高质量解读《互联网企业安全高级指南》三部曲（技术篇）——隐私保护

前言：
高效读书，一张逻辑图读懂、读薄书中重点。
注：下面文字只是对逻辑思维图的”翻译“，节省时间，只看图即可。

隐私保护逻辑思维图  

1.说明
1.1.隐私保护诞生于互联网时代，而移动互联网、物联网发展起来后进一步提升了这方面的需求，对于业务规模比较大的公司，尤其是2C市场和全球化的公司，隐私保护成了安全 建设中的必要选项
1.2.隐私保护近来逐渐兴起主要有几方面的原因
1.2.1.互联网和移动互联网兴起，大批的厂商承载了上亿网民的个人数据，这些个人数据的泄露不仅影响业务运营，影响品牌，加剧用户流失，实际上在立法较成熟的国度 和区域也触到了法律
1.2.2.国家间的对抗从实体战争发展成网络信息战，维度不同了，自然更重视国家的数据， 从欧盟宣布废弃安全港协议就可见一斑
1.2.3.个人、企业、国家这3个层次决定了隐私保护的重要性
1.3.对于互联网企业而言，隐私保护在业务角度有如下诉求
1.3.1.防止盗号，撞库，用户（玩家）数据泄露，数据被供应商和分包商非法倒卖
1.3.2.防止信息过度搜集，以及在用户不知情、无选择权的情况下被收集和存储
1.3.3.有跨境业务时，需要遵从当地的合规性要求，否则不能准入
1.3.4.跨境数据传输需要通过专门的法律框架
1.3.5.有完整的安全体系和技术措施保护数据
1.3.6.设置专职的隐私保护职位（高管）
1.3.7.供应链上下游环节对隐私保护的遵从性
1.3.8.提供审计的手段
1.3.9.法律承诺，违约赔偿和违约责任
2.数据分类
2.1.隐私保护对数据分类的要求更细，以便对数据的全生命周期提供不同的保护、访问控制和加密策略
3.访问控制
3.1.访问控制（Identity & Access Management, IAM）示意图如图 14-2 所示

3.2.典型的IAM应该包含如下几方面的元素
3.2.1.谁（定义角色）
3.2.2.对哪些资源（定义对象）
3.2.3.拥有（定义“允许”还是“拒绝”）
3.2.4.哪些具体权限（定义增删改查和其他的操作）
3.2.5.有效期是多久（定义失效时间）
3.2.6.在此基础上还可以继续添加：组策略、通配符、根据条件触发或定义访问控制策略、 多因素认证等
4.数据隔离
4.1.对于在线应用的后台数据存储而言，敏感数据（例如用户库、口令、密保、支付等） 应考虑分表分库存储
4.2.对于终端设备，应考虑沙箱级隔离，屏蔽非法程序的恶意访问，或合法程序的非授权越界访问
4.3.在云的虚拟化环境中，一般情况用VPC隔离
5.数据加密
5.1.对于结构化数据，比如用户注册的身份证号、信用卡信息在持久化时需要考虑选择性字段加密，目前可以使用的技术包括TDE （Transparent Data Encryption,透明数据加密）和 应用级加密
5.2.对于非结构化数据，例如，文件、图片一般使用自实现的文件加密或磁盘块加密，在数据传输过程中TLS成了目前事实上的标准
6.秘钥管理
6.1.**管理基础设施（KMI）通常分两部分：**的存储，对**本身的访问授权管理，更上层的加密方法通常由应用自身去实现
6.2.在海量用户服务体系下的**管理需要解决几个方面的问题
6.2.1.单一的**无法支持海量架构，必须是多级层级**体系
6.2.2.支持**的全生命周期管理：创建、**、禁用、转换（创建新的**对当前时间 点以后的数据进行加解密，保存老的**用以解密过去用该**加密的数据，在加密数据中标记对应的**版本以通知KMS用哪个**来解密）、分发、备份、销毁
6.2.3.物理安全：防止云平台厂商，IDC托管方读取**
7.安全删除
7.1.对于加密数据或加密文件系统，不需要删除数据，只需要使用安全的方法删除加***，对于非加密数据，需要使用安全的方法不仅格式化元数据，而且还要重写数据块，物理上可以使用消磁等手段
8.匿名化
8.1.互联网环境里广告和推荐系统都依赖于跟踪用户偏好和历史行为做推荐，风控和业务数据挖掘类的BI系统也需要跟踪用户行为，如设备指纹、cookie、帆布指纹等各种技术都 可以用来跟踪用户
8.2.为了尽可能地解绑个人隐私和用户行为的关系，出现了匿名化的产品设计理念，例如苹果用，个UUID ( Universally Unique Identifier,通用唯一识别码)作为用户标识
9.内容分级
9.1.在应用系统对访问者只通过单因素认证，而不是通过多因素认证充分鉴权的情况下， 只对其开放有限的数据，对于隐私相关的重要数据只有通过完整的多因素认证或者基于风控系统的判断为可信访问时才开启