昨天我們進入第一篇關於資料安全與技術型的連接，
針對資料保護的本身，勾勒初步應注意的地方與技術作法，
我們也透過資料庫的應用場景，
將 SQL 存取過程可能會遇到以及需要偵測的樣態做介紹，
針對錯誤、意外、惡意或潛伏的非預期存取行為進行偵測與保護。

敏感資料(Sensitive Info)是什麼？

包括個人身份識別資訊、醫療記錄、財務資訊、知識產權、商業機密等等。
這些資訊通常需要保密，一旦被泄露或未經授權的訪問，可能會對個人、組織造成嚴重的損失和風險。
或者可能在企業組織可能在因專案整併、部門變更或原有資料管理者離職等因素，
導致相關敏感資料未妥善存管保護，進而成為資料外洩來源高風險所在。

敏感資料的定義牽涉主觀性與組織內部的認定，
但基本上都可以是否影響營業安全與造成直接或間接的經濟損失來判斷，
再者即是是否牽涉個人隱私資訊、對特定個人是否有直接影響，
這類型的資料即可以定義為敏感資料。

敏感資料的定義？

同樣透過資料庫的場景，我們會有既有設計好的架構 (Schema)，
在整個資料表內設計不同資料表與欄位資訊，
營業、業務、會計、財務、人事都資料都可以預先知道存放哪個欄位，
我們可以透過資料安全的保護措施，
預先針對預先存放在何處的敏感資料進行設定與監控，
一旦有任何正常與異常的存取行為即發出告警提示。

敏感資料的提示與格式

數位資料的特型基本上都有可識別的格式可撰寫，
例如透過縝密的正規表達式 (Regular expression)機制，
可以明確定義出身分證字號、地址、電話或相關想識別出來的資料，
進行在網路通訊傳輸相關資料傳遞時，
可以即時檢測內容是否有符合不允許外傳或寫入變動的資料。

敏感資料的取用與限制

愈存有敏感資料系統的保護與監控，更需要資料活動監控技術來實施，
例如存有民眾個資的警監系統，即使是警察調閱時，
也須有相關審批與審核流程，必須有充足理由才能夠調閱民眾個資。
而這背後的存取限制、檢測機制，即可以透過資料安全措施來實現。

當我們知道資料位於何處（資料表、檔案系統）以及它的長相時時，
我們可以透過安全政策預先定義允許與不允許規則，
以及整合身份帳號、角色權限，設定存取政策規則，
除了原先 AP <-> DB 之間的存取之外，可以做到更精細化的存取管控。

遺落的敏感資料發掘

最後則是敏感資料可能因為各式原因散落在不同系統，
也可能因為單位、企業整併或專業新增移除等因素，
導致相同的資料蔓延在企業的各個部門或甚至外部供應商等，
而雲端環境的採用，也會有大量的資料從企業內部放置到雲端，
讓雲端環境也成為可能存放敏感資料的地方。

此時針對敏感資料存在的掃描與探勘技術就成為承平時期，
協助我們評估與衡量資料安全與資料外洩風險的關鍵手段。
無論是透過自動化機制掃描、或是撰寫安全規則定期掃描，
除了針對原先直接的資料存取做好保護之外，
遺漏或潛藏的資料散佈情形，也須記得進行監控與相關安全措施保護。

小結

針對資料本身的保護手段有很多，但敏感資料牽涉到組織的定義，
以及持續性存取過程如何既不影響日常作業效率，
但也需確保資料傳遞過程以及後續應用過程的追蹤與監管，
敏感資料是一開始在制定資料安全保護政策時，需要注意的重要一環。