数据安全项目感受吧

给大家讲讲我这短时间做数据安全项目的感受：

文章水平有限，还请见谅哈，就是随笔一写，懒得排版。

最近都在做数据安全项目（其实我不爱这个行业，我还是喜欢传统的网络安全产品），分为两块，一是数据安全产品的交付、一块是数据治理咨询服务，过程中的问题，在这跟大家喷喷，请各位同行人士答疑解惑或批评。

1、业务系统没有数据字典，想做数据资产识别，感觉就是黑夜里的瞎子，黑上加黑。不过还好有数据安全产品的工具，起码还能帮我们识别一下库、表、字段，但是吧，有一些表名和字段名无法识别，也没有注释（这一块很不规范），也就是说，我们根本不知道这个字段和表干什么用的，现场的情况经常出现有表名无字段名，有字段名没表名，有字段OR表无注释的情况；甚至出现有表和字段但备注不可用；还发现，有些表，在实际系统功能上，没有对应关系，找来系统相关人员，他们也说不清楚.....无语至极！！！

2、我们本来想用工具做数据分类分级，但结果勒，客户这个行业，比较特殊，没有模版，不同行业领域，数据分类分级不一样；不同表不同字段的分类分级，在客户的实际业务场景下是不一致的，所以这个客户，基本就要人工（我不干这个粗活，我指导小弟，丢给小弟干）全部干一遍，打标签，产品嘛，帮不了撒，有些标准化高的行业，比如金融、医疗、政务等等，早就有相应的行业标准、规范、指导，基本上数据安全工具扫一遍，就能对应上，完成80%，然后再细细调整，打标签就好了，但是这种做法局限性很大，一旦没有统一的数据标准化模版，依赖工具实现数据分类分级是个梦；所以数据分类分级一直就是个坑，一直就是卖人头干活的事，但是数据安全不就是这样吗？还得靠我们去慢慢摸索打磨，就像网络的基础安全，大家都知道怎么组织网络架构，什么场景使用什么产品，解决什么问题，走和网络安全一样的路，慢慢规范起来，可能是我唯一能做的事。

3、数据扫描工具的最大好处，就是可以找到无数个数据字典里面没有标注的表和字段，能够最大化的识别到你的数据库服务器有多少垃圾，数据扫描工具还可以识别到表中的主键关系和字段值的必要性，这是对数据资产识别的价值，能给到其他产品，一个参考，哪些数据是该脱敏、加密、水印、管控、放开的。

4、数据安全不是几天一个月能做完的，没有业务系统的开发和业务部门配合，单凭人和技术想做数据安全，那就是吹牛，谁说数据安全治理几天就能做完，记得打她，跳起来打他的膝盖！举个例子，例如一个大的业务系统的数据字典，你从他的建表、编目、分类分级...，当初3个人做了四天才完成，还有绘制数据地图，至少四天，真正的做完一个大的业务系统，是数据安全基础工作，可能是水平问题，我做不了那么快，根据系统的大小，时间不一致，所以哪些几天能搞完一个数据安全治理项目，纯属瞎扯淡。

5、做过项目的实施的，大家都知道，有些甲方，网络端口策略、IP地址规划、VPN申请、资源申请、调研表等等，有些甲方很快、有些甲方，能把你拖哭，我有一个客户当初，调研表拖了我一个多月，我还天天打电话骚扰他、去堵他、借助商务压力去推动，可惜效果并不是很理想，现场的网络端口策略也是，客户说通了吧，但是你一试就是不行，你就得排查：设备端口起来了没、检查下iptables、firewalld、路由、路由、外层环境到对端环境有哪些中间层，客户可不会帮你排查这些，得你自己查，到底问题出在哪，找到原因再去处理，然后你发现接下来处理完了，你就干了这个事，工作内容也不好写，商务一看，工作不饱和，你不行，你就得解释，问题出在哪....反正都是泪。

6、反正，看开点吧，能够把所有数据资产识别出来，进行基础分类分级，出个风险风险评估报告，我就觉得很牛逼了，我个人觉得已经很牛XX了，我也经常会和甲方沟通，他们想要达到的预期是什么样，但是甲方大多数都是没有数据安全这个概念的，所以把，我们就得引领着甲方，第一步先干撒、接下该干撒；一般给甲方说清楚，我们一般分为三个阶段，一是“基础合规”、二是“能力完善”、三是“安全运营”；至于这块怎么解释，后面再说吧，这个一扯，能扯好长。

总结：其实说这么多，最重要是要搞清楚，“数据生命周期安全”，数据采集、传输、存储、使用、共享、销毁或删除；数据流转中的问题，这些过程中，问题有哪些，你要知道怎么去处理，

什么使用场景，分别使用哪种技术（也就是产品），也要了解数据安全的一些要求、和法律法规，不用背，大概知道就行，讲的撒。

下次看自己，想说点撒子