Question

14.6.1　数据脱敏

数据脱敏在百度百科上的定义是，对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。当涉及客户安全数据或者一些商业性敏感数据时，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。

数据脱敏的应用非常广泛，比如我们常见的火车票上的身份证号码会用星号替换其中一些数字。按照脱敏规则，可以分为可恢复性脱敏和不可恢复性脱敏。可恢复性脱敏就是数据经过脱敏规则的转化后，还可以经过某些处理过程还原出原来的数据；相反，数据经过不可恢复性脱敏之后，将无法还原到原来的样子，可以把二者分别看成可逆加密和不可逆加密。

金融行业作为一个强监管的行业，经营过程中收集到的客户资料信息（包括身份证、银行卡号、手机号、住址等个人信息）必须进行严格保护，数据脱敏是一个必不可少的环节，特别是在开发、测试过程中可能会使用到真实生产数据时。随着业务越来越复杂及后台数据库里表规模越来越大、结构越来越复杂，依靠人工梳理敏感信息的方式已经不能满足日益复杂的安全需求，商业的脱敏系统应运而生，这类系统基本上都利用各类敏感信息的规则通过自动扫描来发现敏感信息字段。

除此之外，生产系统中的真实数据在对客户展示时，也需要考虑脱敏处理；内部系统也是一样，避免不必要的信息泄露的方式，基本都需要对系统进行改造，在前端展示、数据导出环节进行控制。这里需要注意一些“坑”，比如测试环境中的数据已经脱敏，测试人员对功能测试时往往发现不了系统内在逻辑是否进行了脱敏，一旦有问题的代码发布到生产环境，可能效果会和测试环境不一样。假设某页面上直接出现了客户信息（如手机号），随着现在互联网传播手段的流行，造成的声誉风险可能会非常大。

14.6.2　水印与溯源

水印在数据安全领域广泛应用，主要用来防止敏感信息被以截屏、拍照的方式泄露出去。水印，根据其可见性，可以分为明文水印和隐藏水印。明文水印一般主要起警示的效果，比如企业内部文档通常加上“内部资料，请注意保密”字样的水印；而隐藏水印，更多是站在追踪溯源的角度考虑。这两种水印一般会同时使用，企业里通过技术手段配合行政手段，往往具有更好的震慑效果。

根据使用场景的不同，水印又有屏幕水印、网页数字水印、图片水印、文档水印等各种呈现方式。屏幕水印一般是通过后台 Agent 来实现在屏幕上打上水印；网页数字水印一般通过网页背景技术来实现；图片水印是通过将图片打上水印标记生成另一个图片来实现；文档水印更多是在文档本身体现，需要文档工具支持。结合笔者经验，下面介绍三种比较特殊的水印处理技术，供大家参考。

1.强化版网页数字水印

常规的网页数字水印，基本上都是写着诸如员工编号等信息的透明度很高的图片，以 Background-Image 的方式平铺满整个屏幕，有一定技能的人可利用浏览器按 F12 找到对应元素直接删除水印。

有没有更好的办法防止删除水印呢？一般人想到通过 JavaScript 来实现—当发现有人删除这个 DOM 节点时再重新生成即可。除了删除，还有 DOM 节点的隐藏、挪动、篡改等手段也会影响水印效果。

另外，如果通过防火墙或一些浏览器插件工具拦截到水印服务的请求呢？再来个连接检查请求，看水印服务是否可达，不可达则破坏页面不显示正常内容。

如果以上都解决了，那攻击者通过查看 JS 代码发现其判断逻辑，在浏览器代理工具中修改相应结果呢？这时候就需要对 JS 代码进行保护了，不只是常见的压缩混淆，还会涉及前端代码保护技术。对抗是无止境的，结合已有的保护技术，在代码里通过埋点对恶意行为进行记录，也是一个非常好的方案，毕竟企业里真正懂这些技术的人不多，通过埋点发现“高手”也是件有趣的事情。

2.WPS 字库水印

WPS 文档朔源专用版客户端创建的公文，可将用户的登录身份基本信息（以及硬件 ID 设备信息）形成隐藏的数字水印分布在公文的文字排版中，如图 14-12 所示。

图 14-12　WPS 隐藏水印效果图

从图 14-13 可以看出，其水印功能是利用特殊字体，在打开、打印文件时对字体进行绘制，埋入相应的数据水印，图 14-13 是 WPS 隐写用户信息的原理图。

以上过程不影响原文件，仅影响 WPS 呈现出来的效果，而且仅通过肉眼识别不出来，用户基本感觉不到。但是，如果当用户通过打印、复印、拍照等方式造成文档泄密时，单位管理者仅需要获取公文的复印件或相关的拍照图片，即可通过 WPS 公文溯源解析系统，寻找到泄密的原始人，从而方便追责工作，图 14-14 为溯源提取原理图。

图 14-13　WPS 隐写用户信息原理图

图 14-14　WPS 隐藏水印溯源提取原理图

3.矢量水印

屏幕矢量水印是某公司新一代的水印解决方案。该方案抛弃原有“所见即可得”的水印方式，用一种“轻微型”标记的方式来展现水印，近乎等同于“隐形水印”。如果一旦通过屏幕拍照或者截屏引发了泄密事件，即可通过泄密照片上的矢量水印信息快速锁定泄密者。

屏幕矢量水印具有抗折叠、冗余备份、抗波尔纹等特点，无论照片如何压缩、优化、折叠都不会影响水印信息的审计和泄密源的定位。只需要在查询页面中，输入水印信息进行查询，就可以锁定的泄密人。如果得到的泄密的图片不够完整，系统也能支持查询出精确度最高的结果。

图 14-15 是一个矢量水印效果截图。

图 14-15　矢量水印效果

可以看到在图 14-15 上有很多点阵，每个点阵后台代表不同的字符，如图 14-16 所示。

图 14-16　矢量水印追查

通过特定的算法只需提取 4~6 个相连的点阵即可追溯文档泄露相关信息。

14.6.3　UEBA

2014 年，Gartner 发布了用户行为分析(UBA) 市场定义，UBA 技术目标市场聚焦在安全（窃取数据) 和诈骗（利用窃取来的信息) 上，帮助组织检测内部威胁以及有针对性的攻击和金融诈骗。但随着数据窃取事件越来越多，Gartner 认为有必要把这部分从诈骗检测技术中剥离出来，于是在 2015 年正式更名为用户实体行为分析(UEBA)。

UEBA 最近很火，国外一些领先的 UEBA 厂商凭借检测能力上的优势，已经在尝试颠覆原有市场格局，包括 Exabeam、Gurucul、Interset、Niara、Securonix、Splunk（2015 年收购 Caspida）等。这些产品的出发点主要是解决以下问题：

·账号失陷检测。

·主机失陷检测。

·数据泄漏检测。

·内部用户滥用。

·提供事件调查的上下文。

毫无疑问，这些威胁都是企业最关注的风险。而在国内这方面的公司或产品还不够完善，很多企业在尝试从传统的 SIEM/SOC 转向大数据平台进而走向 UEBA。需要保持关注，国外 UEBA 的火热不是没有道理的。

从数据安全的角度上看，内部用户对业务系统的异常访问是需要关注的，比如去年报道的针对征信系统批量查询的案例，通过对账号的异地、异常时间登录，到数据的批量查询下载，都是可以发现的。

14.6.4　CASB

随着云技术和虚拟化技术的普及，越来越多的企业已经没有传统意义上的数据中心机房了，各种业务系统迁移到云上，包括企业邮箱、企业网盘、CRM、ERP、OA、HR 等各类业务系统均托管给云服务商，计算资源规模化、集约化使办公效率取得大幅度提升。在这种情况下，存储资源变为共享式，企业随之失去了对应用及数据的安全控制权。既要享受便捷的云端服务，又不能失去对自身数据的控制权，基于这个预期，Gartner 在 2012 年提出了 CASB 概念，定义了在新的云计算时代，企业或用户掌控云上数据安全的解决方案模型。CASB 产品有两种工作模式：一种是 Proxy 模式，另一种是 API 模式。

在 Proxy 模式下，CASB 要处理企业上传到云应用的全部流量，重要数据采用加密等安全策略处理后再上传到云服务商；而在 API 模式中，企业数据直接传给云服务商，CASB 利用云应用的 API，对用户进行访问控制以及执行企业的安全策略。

金融行业的特殊性导致业务上云成为一个具有争议性的话题，笔者建议需要保持关注，技术潮流势不可挡，传统金融机构面临互联网公司的挑战势必加快这方面的技术转型。