精华内容
下载资源
问答
  • 数据治理实践之数据安全管理

    千次阅读 2020-08-18 10:36:00
    1. 数据安全治理介绍 1.1 数据安全治理目标和理念 金融机构围绕“让数据使用更安全”的核心... 为了有效实践数据安全目标和理念,机构必须打造数据安全闭环管理体系,推动数据安全治理体系持续改善。 1.2 数据安全...

     

    1. 数据安全治理介绍

    1.1 数据安全治理目标和理念

    金融机构围绕“让数据使用更安全”的核心目标,重点关注数据的使用权限和应用场景,建设数据安全管理体系,主要理念如下:

    • 数据安全管理不能仅关注单一产品或技术平台,应该覆盖数据所有使用环节和应用场景安全;
    • 满足数据安全的基本需求,包括数据保护、数据合规、敏感数据管理等;
    • 重视数据分级分类、数据角色授权、数据安全过程场景化管理。
    • 为了有效实践数据安全目标和理念,机构必须打造数据安全闭环管理体系,推动数据安全治理体系持续改善。

    1.2 数据安全管理框架

     

    图1-数据安全管理框架

     

    1.3 数据安全与网络安全差异

    引入数据安全并非取代网络安全,而是在传统网络安全体系基础上,有效地实现对核心数据的安全管控。数据安全是在网络安全提供的有效边界防御基础上保障数据安全。

     

    表 1-数据安全与网络安全的差异对比

     

    1.4 数据安全与数据治理差异

     

    表 2-数据安全治理与数据治理的差异对比

     

     

    2.数据安全需求分析

    2.1数据安全外部监管合规要求

    • 《指引》要求金融业机构建立数据安全策略与标准并执行落地,保障机构数据的完整性、准确性和连续性。
    • 《中华人民共和国网络安全法》发布及配套陆续出台了《数据出境管理办法》、《个人信息安全管理规范》、《个人隐私数据管理办法》、《大数据安全标准》等相关法律法规,对数据安全有明确合规要求;
    • 《国家信息安全等级保护2.0》由公安部牵头推动,要求国境内信息系统进行安全保护等级保护,根据信息系统在国家安全、经济建设、社会生活的重要程度,以及其遭破坏对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度等因素定级;
    • 在国外开展业务,还需了解海外数据安全相关法律法规,如欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)等。
    • 更多数据安全法律法规可以参考附件-数据安全法律法规清单。

    2.2数据安全内部管理提升需求

    当前许多机构积极开展数字化战略,利用大数据、云计算、人工智能、物联网等技术重塑商业和运营模式。随着数字化深入业务,业务上下游数据流转、汇集、不断创新价值,对数据完整性、保密性和可用性提出更多安全方面的管理提升需求。

     

     

     

    3.数据安全对象识别

    3.1 数据资产安全盘点

    数据安全对象的识别一般可以通过数据资产盘点的方式进行。我们建议数据资产的安全盘点要遵循外部法律、法规的合规要求实施,盘点过程中需要特别注意对个人隐私信息和重要数据的定义。数据资产安全盘点的产出是将期望识别的安全对象的关键属性与现有系统字段建立映射,具体的映射过程可以在信息系统的数据字典设计阶段进行

    数据安全对象识别环节的侧重点是数据资产分级分类

    • 数据资产分类依据数据来源、内容和用途,数据资产分级按照数据价值、内容敏感程度、影响和分发范围不同,划分相应数据机密级别。
    • 经过数据分级分类,识别核心数据资产,投入更多资源精细化管理数据安全,使数据安全在敏捷共享和安全可控之间达到平衡。
    • 对于敏感数据资产,按其所有者(部门、系统、管理人员等)进行密级分类,将数据资产分级为公开、内部、敏感、机密等。

     

     

     

     

    4.数据安全风险评估及消除

    数据安全风险评估一般分为“按数据生命周期安全评估”和“按场景化数据安全评估”两种方法。将评估结果输入数据安全风险矩阵,输出风险视图和消除举措。

    • 按数据生命周期安全评估是基于数据生命周期各阶段进行风险识别,按数据安全成熟度评估相应差距。
    • 按场景化数据安全评估是在数据生命周期各阶段的数据安全细化场景,基于数据资产分级分类的不同安全属性,识别数据安全具体风险点。
    • 将数据安全风险评估的风险点输入数据安全风险矩阵,列出各场景的风险消除举措。

    4.1数据生命周期安全评估法

    围绕数据生命周期各阶段,明晰相关数据安全过程域的监管法规要求和业务需求,分析对应安全策略,从组织建设、制度流程、技术工具和人力能力角度评估数据安全现状、原则和数据安全控制措施。

     

    图2-数据生命周期安全

     

    阶段风险评估重点:

    • 数据采集阶段,数据分月级分类、数据采集安全处理、数据源鉴别和记录、数据质量管理;
    • 数据传输阶段,数据传输加密、网络可用性管理;
    • 数据存储阶段,存储媒体安全、逻辑存储安全、数据备份和恢复;
    • 数据处理阶段,数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全;
    • 数据交换阶段,数据共享安全、数据发布安全、数据接口安全;
    • 数据销毁阶段,数据销毁处置、存储媒体销毁处置;
    • 在数据通用过程中,加强数据安全策略、组织和人员管理、数据供应链安全、元数据安全、终端数据安全、监控与内部审计、鉴别与访问控制、需求分析、安全事件应急。

    4.2场景化数据安全评估法

    围绕数据安全场景,以数据分级分类为核心,根据数据安全合规监管和业务提升要求,评估相应数据访问控制的现状差距、制定数据安全控制措施。

    主要场景的风险评估重点:

    • 数据访问账号和用户权限管理,通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制;
    • 数据使用过程的访问权限管理,建议批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的指定设备、地点、访问过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制;
    • 数据共享(提取)权限管理,通过最小共享和泛化、共享(提取)审批、最小使用范围、责任传递、定期稽核等方式控制;
    • 定期权限稽核,主要通过数据安全的合规性检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制;
    • 数据存储管理,通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问管理、存储设备的移动管理、存储设备的销毁管理等方式控制。

    4.3风险差距分析矩阵

    将风险评估识别出的数据安全风险,按风险类型归集并输入风险差距分析矩阵,根据数据安全场景,进行数据流的用户隐私、机构机密和合规威胁的现状差距分析。输出风险消除举措、保护技术和管控行为,形成风险分析统一视图。

     

    表3-风险差距分析矩阵

     

    风险矩阵实施步骤:

    • 建立风险差距矩阵,明确数据流的业务目的、涉及系统和业务流程的数据安全、保密和合规要求;
    • 执行安全威胁建模,识别数据流的机密数据所需跨越的信任边界,应对数据安全性、策略、流程或实施要求的可能变化;
    • 分析数据安全风险,针对现有数据安全的保护控制、技术和行为进行风险 / 差距分析,识别现有保护措施未能解决的威胁,评估相关风险;
    • 确定风险消除措施,列出使各项风险达到可接受水平所需额外控制措施、技术和活动,评估每项风险成本 / 收益,决定是否以及如何降低、转移确定风险;
    • 评估消除措施有效性,如存在不可接受风险,审查前述结果并重新启动整个风险评估周期。

     

     

     

    5. 数据安全管理规划

    在系统化评估数据资产的机密性,完整性和可用性,识别风险消除举措足以将风险降低到可接受水平后,据此进行数据安全管理规划:

    5.1 建全安全组织

    基于数据治理组织构架,在合规或IT部门成立专业化数据安全团队,通过与数据治理组织的协同配合,保证能长期持续执行数据安全管理工作。制定数据安全的决策机制,界定部门和角色(受众)职责和权限,使数据安全任务有的放矢。灵活设计该组织的结构、规模和形式,协同多方部门积极参与数据安全管理过程。

    5.2 制定制度规范

    建立整体方针政策,加强数据资产分级分类和管控,划分敏感数据使用部门和人员角色,限定角色的数据使用场景,制定场景对应制度规范、操作标准和模板,推动执行落地。

    5.3 建立技术架构

    规划数据安全技术架构,保护计算单元、存储设备、操作系统、应用程序和网络边界各层免受恶意软件、黑客入侵和内部人员窃取等威胁:

    • 信息基础设施层保护,如认证机制、数据和资源访问控制、用户账户管理,身份管理系统等;
    • 应用数据层保护,整个数据生命周期内正确分类和保护存储于数据库、文档管理系统、文件服务器等的敏感数据;
    • 内部审计监控层,合规管控系统、监控与自动化内部审计验证系统和数据访问控制是否有效。

     

     

     

    6. 持续改善

    通过行为管理、内部审计稽核和闭环管理等措施,推进数据安全管理体系的不断优化,推动数据安全的持续改善。

    6.1 行为管控

    • 结合数据流相关的业务流程,加强数据在访问、运维、传输、存储、销毁各环节的数据安全保护举措:
    • 及时梳理和更新数据资产清单,增加/修改核心数据资产信息及安全访问角色;
    • 监控数据安全指标,加强敏感数据的用户访问行为管控;
    • 主动响应最新合规需求,新增或移除数据安全管控策略;
    • 当业务模式或组织结构发生变化,及时调整敏感数据的访问权限和行为方式;
    • 建全高效数据安全组织结构,调整和持续执行数据安全策略和规范。

    6.2内部审计稽核

    对过程化主要场景,如开发测试、数据运维、数据分析、应用访问、特权访问等,引入量化内部审计手段和稽查工具定期内部审计和稽核。

    • 合规性检测,确保数据安全政策有效执行;
    • 对操作过程数据安全进行监管和稽查;
    • 监管和稽查数据访问账号和用户权限;
    • 加强业务单位和运维部门的数据访问过程合法性监管和稽查;
    • 运用大数据自动分析日志,发现潜在异常行为;
    • 采用渗透测试等技术开展数据安全测试。

    6.3 闭环管理

    闭环管理数据安全,及时根据政策合规与制度规范提升需求,滚动修订数据安全的制度、流程、标准,保障数据安全的规划、计划、实施、运行、监督的全程管控,持续提升机构的数据安全能力。

     

     

    结语

     

    数据安全是企业稳健经营的重要因素,近些年从监管趋势上也不难看出,国家对数据安全管控的重视。在长期的数据治理过程中,我们建议企业通过识别和整改数据安全风险及问题,逐步完善权限管理和数据安全评估等管控流程,严格执行数据日志内部审计和安全备份等制度,建立数据管理应急机制,通过提升安全团队专业化能力来逐步构建企业的数据安全文化,助推企业数据资产价值的不断提升。

    展开全文
  • 数据安全治理方法导论

    千次阅读 2020-11-25 22:30:38
    数据安全-The eye of storm】 目录 第一章 数据安全治理是一套系统工程 1.1 数据安全成为安全的核心问题 1.2 数据泄露路径多元化 1.3 数据安全按相关法律和标准大爆发 1.4 数据安全建设需要有系统化...

    【数据安全-The eye of  the storm】

     

     


    目录

    第一章 数据安全治理是一套系统工程

    1.1 数据安全成为安全的核心问题

    1.2 数据泄露路径多元化

    1.3 数据安全按相关法律和标准大爆发

    1.4 数据安全建设需要有系统化思维和建设框架

    第二章 数据安全治理基本理念

    2.1 Gartner 数据安全治理理念

    2.2 数据安全治理系统理论设计

    第三章 数据安全治理-组织建设

    第四章 数据安全治理-规范制定

    4.1 外部需要遵循的策略

    4.2 数据分类分级

    4.3 数据资产及使用状况梳理

    4.3.1 数据使用部门和角色梳理

    4.3.2 数据的存储与分布梳理

    4.3.3 数据的使用状况梳理

    4.4 数据的访问控制

    4.5 定期稽核策略

    第五章 数据安全治理-技术支撑

    5.1 数据安全治理的技术挑战

    5.1.1 数据安全状况梳理技术挑战

    5.1.2 数据访问管控技术挑战

    5.1.3 数据安全的稽核和风险发现挑战

    5.2 数据安全治理的技术支撑

    5.2.1 数据资产梳理的技术支撑

    5.2.2 数据使用安全控制

    5.2.3 数据安全审计与稽核

    5.2.4 数据安全监管运营

    第六章 数据安全治理-人员能力


     


    第一章 数据安全治理是一套系统工程


    1.1 数据安全成为安全的核心问题

           ① 数据成为资产、成为生产资料,收到重要保护

       ②个人信息、隐私保护涉及人身安全、公平对待

                  ③ 新技术发展,基于数据驱动的经济模型

    1.2 数据泄露路径多元化

    黑客攻击

    内部人员叛卖信息

    离职员工信息泄露

    第三方外包人员非法交易

    数据共享

    …等等

    1.3 数据安全按相关法律和标准大爆发

    GDPR

    2017 网络安全法

    2018 信息安全技术个人信息安全规范

    数据处境管理办法

    重要数据管理办法

    中华人民共和国密码法

    个人信息保护法

    数据安全法

    相关行业法规

    ...等等

    1.4 数据安全建设需要有系统化思维和建设框架

    问题:

    1、       是否沿用网络安全的处理策略,边界防护和攻击防护作为重点?

    2、       数据安全的主体责任是谁?存储部门?使用部门?还是安全部门?

    3、       数据安全产品的策略如何设置?

    与网络安全非常不同的一点:数据与业务是强融合的,数据是流动的。

    基于数据与业务系统的高度融入,数据如何被使用、数据的价值更被业务部门所识别;但是安全法规,又通常由单位或企业的安全或保密部门所负责;数据安全产品的采购和使用,需要系统化的方法,需要与数据处理的业务场景整合,既能保证数据使用行为不受影响,又能保证必要的安全措施能够得到保障。

    数据安全治理的思路,正是这种将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。


    第二章 数据安全治理基本理念


    2.1 Gartner 数据安全治理理念

    Gartner数据安全治理架构

    Step1:业务需求与安全(风险 / 威胁 / 合规性)之间的平衡

    这里需要考虑 5 个维度的平衡:经营策略、治理、合规、IT 策略和风险容忍度,这也是治理队伍开展工作前需要达成统一的 5 个要素。

    经营策略:确立数据安全的处理如何支撑经营策略的制定和实施

    治理:对数据安全需要开展深度的治理工作

    合规:企业和组织面临的合规要求

    IT 策略:企业的整体 IT 策略同步

    风险容忍度:企业对安全风险的容忍度在哪里

    Step2:数据优先级

    进行数据分级分类,以此对不同级别数据实行合理的安全手段。

    Step3:制定策略,降低安全风险

    从两个方向考虑如何实施数据安全治理,一是明确数据的访问者(应用用户 / 数据管理人员)、访问对象、访问行为;二是基于这些信息制定不同的、有针对性的数据安全策略。

    Step4:实行安全工具

    数据是流动的,数据结构和形态会在整个生命周期中不断变化,需要采用多种安全工具支撑安全策略的实施。Gartner 在 DSG 体系中提出了实现安全和风险控制的 5个工具:Crypto、DCAP、DLP、CASB、IAM。这 5 个工具是指 5 个安全领域,其中可能包含多个具体的技术手段。

    Step5:策略配置同步

    策略配置同步主要针对 DCAP 的实施而言,集中管理数据安全策略是 DCAP 的核心功能,而无论访问控制、脱敏、加密、令牌化,哪种手段都必须注意对数据访问和使用的安全策略保持同步下发,策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。

     

    2.2 数据安全治理系统理论设计

    数据安全治理的核心目的是保障数据是使用安全,围绕此目的,构建理论系统时应包括如下几点:

    1、战略愿景:数据使用安全

    2、需求覆盖:业务支撑、数据保护、合规、隐私保护

    3、核心理念:数据分类分级、角色授权、场景化保护、运营优化

    4、实施步骤:组织建设→资产梳理→策略制定→过程控制→效果监测→持续优化

    5、落点维度:组织建设、制度流程、技术工具、人员能力

    数据安全治理系统架构


    第三章 数据安全治理-组织建设

     

    组织建设是数据安全治理极为重要的一步,完善的组织建设对推动数据安全建设工作的进展起决定成败的作用。数据安全组织应涵盖业务、管理、安全、执行等部门的数据安全治理组织机构,才能做到业务和安全的有效平衡。

    数据安全治理组织机构

    决策层

    数据安全治理委员会。对数据安全负最终的责任。单位主要负责人任组长,业务部门、安全部门、内部审计部门等部门的主要负责人;

    管理层

    数据安全管理团队。安全部门、业务部门、审计部门组成,共同执行数据安全管理任务、数据安全的合规管理任务;

    执行层

    数据安全运营团队。安全部门、业务部门、数据安全合作伙伴组成。负责具体落实和执行数据安全决策;

    参与层

    员工及合作伙伴

    监督层

    数据安全治理审计小组。数据安全治理稽核工作落实部门。


    第四章 数据安全治理-规范制定


    在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内经常被作为《某某数据安全管理规范》进行发布,所有的工作流程和技术支撑都是围绕着此规范来制定和落实。但这个规范的出台往往需要经过大量的工作才能完成,这些工作通常包括:

    A、梳理出组织所需要遵循的外部政策,并从中梳理出与数据安全管理相关的内容;

    B、根据该组织的数据价值和特征,梳理出核心数据资产,并对其分级分类;

    C、理清核心数据资产使用的状况(收集、存储、使用、流转);

    D、分析核心数据资产面临的威胁和使用风险;

    E、明确核心数据资产访问控制的目标和访问控制流程;

    F、制订出组织对数据安全规范落实和安全风险进行定期的核查策略;

    G、整个策略的技术支撑规范。

    制度规范一般会从业务的数据安全需求、数据安全风险控制需要及国家、不同行业的合规性要求等方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

    数据安全治理制度规范建设

    4.1 外部需要遵循的策略

    需梳理出相关法律法规与数据安全相关的要求,这些法律法规通常包括:

    网络安全法

    数据安全法

    个人信息保护法

    GDPR

       行业监管单位相关法规

      等等

    4.2 数据分类分级

    数据保护需要有的放矢、因“数”而异,不能采用一刀切的策略做保护,需要根据不同的业务需求做精细化的安全策略,才能实现安全与使用的平衡。

    所以,对组织来说,对数据做分类分级,是实施数据安全治理的必经之路。

    (1)数据分级分类的原则:

    分类:依据数据的来源、内容和用途对数据进行分类;

    分级:按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分。

    (2)数据分级分类方式

    根据梳理出的备案数据资产,进行敏感数据的自动探测,通过特征探测定位敏感数据分布在哪些数据资产中;

    针对敏感的数据资产进行分级分类标记,分类出敏感数据所有者(部门、系统、管理人员等);

    根据已分类的数据资产由业务部门进行敏感分级,将分类的数据资产划分公开、内部、敏感等不同的敏感级别。

    以下为某运营商的数据分类表及分级表;

    数据分类表

    数据分级表

     

    4.3 数据资产及使用状况梳理

    4.3.1 数据使用部门和角色梳理

    对于数据资产使用角色的梳理,关键是要明确在数据安全治理中不同受众的分工、权利和职责

    组织与职责,明确安全管理相关部门的角色和责任,一般包括:

    安全管理部门:制度制定、安全检查、技术导入、事件监控与处理;

    业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理;

    运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理;

    其它:第三方外包、人事、采购、审计等部门管理。

    对于数据治理的角色与分工,需要明确关键部门内不同角色的职责,一般包括:

    安全管理部门:政策制定者、检查与审计管理、技术导入者

    业务部门:根据单位的业务职能划分

    运维部门:运行维护、开发测试、生产支撑

    4.3.2 数据的存储与分布梳理

    敏感数据分布在哪里,是实现管控的关键。

    只有清楚敏感数据分布在哪里,才能知道需要实现怎样的管控策略;比如,针对数据库这个层面,掌握数据分布在哪个库、什么样的库,才能知道对该库的运维人员实现怎样的管控措施;对该库的数据导出实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求

    某运营商对敏感系统分布的梳理结果

    以运营商行业上述梳理结果为例,这仅仅是一个数据梳理的基础,更重要的是要梳理出不同的业务系统对这些敏感信息访问的基本特征,如访问的时间、IP、访问的次数、操作行为类型、数据操作批量行为等,在这些基本特征的基础上,完成数据管控策略的制定。

    4.3.3 数据的使用状况梳理

    在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制定这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。

    4.4 数据的访问控制

    针对数据使用的不同方面,需要完成对数据使用的原则和控制策略,一般包括如下方面:

    数据访问的账号和权限管理

    数据使用过程管理

    数据共享(提取)管理

    数据存储管理

    1、专人账号管理

    1、业务需要访问原则

    1、最小共享和模糊化原则

    1、涉密数据存储的网络区隔

    2、账号独立原则

    2、批量操作审批原则

    2、共享(提取)审批原则

    2、敏感数据存储加密

    3、账号授权审批

    3、高敏感访问审批原则

    3、最小使用范围原则

    3、备份访问管理

    4、最小授权原则

    4、批量操作和高敏感访问指定设备、地点原则

    4、责任传递原则

    4、存储设备的移动管理

    5、账号回收管理

    5、访问过程审计记录

    5、定期稽核

    5、存储设备的销毁管理

    6、管理行为审计记录

    6、开发测试访问模糊化原则

       

    7、定期账号稽核

    7、访问行为定期稽核

       

    4.5 定期稽核策略

    定期的稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责,包括

    • 合规性检查:确保数据安全使用政策被真实执行;

    • 操作监管与稽核

    • 数据访问账号和权限的监管与稽核

    1)要具有账号和权限的报告

    2)要具有账号和权限的变化报告

    • 业务单位和运维部门数据访问过程的合法性监管与稽核:

    1)要定义异常访问行为特征

    2)要对数据的访问行为具有完全的记录和分析

    • 风险分析与发现:

    1)对日志进行大数据分析,发现潜在异常行为

    2)对数据使用过程进行尝试攻击,进行数据安全性测试

    因此建立健全数据安全治理过程管理的制度、流程、标准体系是非常必要的,后期才可以保障实行数据安全规划、计划、实施、运行、督查的全过程管控。对信息安全制度、标准进行滚动式修订,可以持续夯实自身数据安全标准化管理基础。

     


    第五章 数据安全治理-技术支撑


     

    5.1 数据安全治理的技术挑战

    实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。

    数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。

    5.1.1 数据安全状况梳理技术挑战

    组织需要确定敏感性数据在系统内部的分布情况,其中的关键问题在于如何在成百上千的数据库和存储文件中明确敏感数据的分布;组织需要确定敏感性数据是如何被访问的,如何掌握敏感数据在被什么系统、什么用户以什么样的方式访问;组织需要迅速确定当前的账号和授权状况,清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况,明确当前权控是否具备适当的基础。

    5.1.2 数据访问管控技术挑战

    在敏感数据访问和管控技术方面,细分至五个方面的挑战:

    (1)如何将敏感数据访问的审批在执行环节有效落地

    对于敏感数据的访问、对于批量数据的下载要进行审批制度,这是数据治理的关键;但工单的审批若是在执行环节无法有效控制,访问审批制度仅仅是空中楼阁。

    (2)如何对突破权控管理的黑客技术进行防御

    基于数据库的权限控制技术,在基于漏洞的攻击的基础上将很容易被突破。

    (3)如何在保持高效的同时实现存储层的加密

    基于文件层和硬盘层的加密将无法与数据库的权控体系结合,对运维人员无效;如何实现存储加密、权限控制和快速检索的整体解决,是这一问题的关键,只有这样的存储加密才能保证安全的同时数据可用。

    (4)如何实现保持业务逻辑后的数据脱敏

    对于测试环境、开发环境和 BI 分析环境中的数据需要对敏感数据模糊化,但模糊化的数据保持与生产数据的高度仿真,是实现安全可用的基础。

    (5)如何实现数据提取分发后的管控

    数据的共享是数据的基本使用属性,但数据的复制是没有痕迹的;数据分发后如何保证数据不会被流转到失控的环境,或者被复制后可溯源,这是数据提取分发管理的关键。

    5.1.3 数据安全的稽核和风险发现挑战

    1、如何实现对账号和权限变化的追踪

    定期地对账号和权限变化状况进行稽核,是保证对敏感数据的访问在既定策略和规范内的关键;但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。

    2、如何实现全面的日志审计

    在新的网络安全法出台后全面的数据访问审计要求,日志存储要求 6 个月;在新的等保中要求,云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑,1000 亿数据以上的存储、检索与分析能力上,均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。

    3、如何快速实现对异常行为和潜在风险的发现与告警

    数据治理中,有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模,在海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。

    5.2 数据安全治理的技术支撑

    5.2.1 数据资产梳理的技术支撑

    数据安全治理,始于数据资产梳理。数据资产梳理是数据库安全治理的基础,通过对数据资产的梳理,可以确定敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。根据本单位的数据价值和特征,梳理出本单位的核心数据资产,对其分级分类,在此基础之上针对数据的安全管理才能确定更加精细的措施。

    数据资产梳理有效地解决企业对资产安全状况摸底及资产管理工作;改善以往传统方式下企业资产管理和梳理的工作模式,提高工作效率,保证了资产梳理工作质量。合规合理的梳理方案,能做到对风险预估和异常行为评测,很大程度上避免了核心数据遭破坏或泄露的安全事件。

    (1)静态梳理技术

    静态梳理是完成对敏感数据的存储分布状况的摸底,从而帮助安全管理人员掌握系统的数据资产分布情况。

    静态梳理可以分为结构化数据梳理和非结构化数据梳理。

    对于结构化数据的梳理,通过静态的扫描技术可以获得数据的以下基本信息:

    A、通过端口扫描和特征发现,可以得到系统网段内存在的数据库列表,以及所分布的IP,从而获得数据库资产清单;

    B、根据所定义的企业内不同敏感数据的特征,以及预先定义的这些数据的类别和级别,通过对表中的数据进行采样匹配,获得不同的列、表和库中的数据所对应的级别和类别;

    对于非结构化数据,通过磁盘扫描技术,根据预先定义的数据特征,对于 CSV、HTML、XML、PDF、Word、Excel 和 PPT 等文档中的内容进行扫描,获得这些文件中所具有的信息的类别和级别。

    无论是结构化还是非结构化,都要建立对应的敏感数据资产清单。

    动态梳理技术是基于对网络流量的扫描,实现对系统中的敏感数据的访问状况的梳理,包括:敏感数据的存储分布、敏感数据的系统访问状况、敏感数据的批量访问状况、敏感数据的访问风险。

    通过动态梳理技术可以获得数据的以下基本信息:

    哪些 IP(数据库主机)是数据的来源;

    哪些 IP(业务系统或运维工具)是数据的主要访问者;

    敏感数据是如何被业务系统访问的(时间、流量、操作类型、语句);

    敏感数据是如何被运维人员访问的(IP、用户、操作);

    动态梳理同样要分为对结构化数据访问网络流量的扫描,以及非结构化数据访问的网络流量的扫描。结构化数据的网络流量,主要是对各种 RDBMS、NOSQL、MPP 数据库的通讯协议的流量监控;非结构化数据主要是对 Mail 协议、HTTP、FTP 等协议的监控和解析。

    (3)数据状况的可视化呈现技术

    通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化的形式呈现;比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、敏感数据的范围权限图。

    (4)数据资产存储系统的安全现状评估

    安全现状评估是将已定位、梳理的数据库资产进行全面检测评估,评估项包括:口令和账户、弱安全策略、权限宽泛、权限提升漏洞、日志、补丁升级等,评估是否存在安全漏洞。

    通过安全风险检查让数据资产管理员全面了解数据库资产运行环境是否存在安全风险。

    通过安全现状评估能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,保持数据库的安全健康状态。

    安全现状评估的价值:

    (1)提升数据库使用安全系数:检测出数据库的 DBMS 漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等问题。对检测出的问题进行有针对性的修复,整体提升数据库使

    用安全系数。

    (2)降低数据库被黑客攻击风险:检测出数据库使用过程中由于人为疏忽造成的诸多安全隐患,例如:低安全配置、弱口令、高危程序代码、权限宽泛等。对上述安全隐患进行针对性处理后可有效降低黑客攻击风险。

    (3)满足政策检测要求:在进行安全现状评估后,数据库管理人员可针对数据库漏洞、风险使用等方面的风险进行改进,满足相关政策对数据库安全使用的检测要求。

    5.2.2 数据使用安全控制

    数据在使用过程中,按照数据流动性以及使用需求划分,将会面临如下使用场景:

    ●通过业务系统访问数据

    ●在数据库运维时调整数据

    ●开发测试时使用数据

    ● BI 分析时使用数据

    ●面向外界分发数据

    ●内部高权限人员使用数据

    数据使用安全控制示意图

    5.2.3 数据安全审计与稽核

    数据安全稽核是安全管理部门的重要职责,以此保障数据安全治理的策略和规范被有效执行和落地,以确保快速发现潜在的风险和行为。但数据稽核在大型企业或机构超大规模的数据流量、庞大的数据管理系统和业务系统数量面前,也面临着很大的技术挑战。

    数据所面临的威胁与风险是动态变化的过程,入侵环节、入侵方式、入侵目标均随着时间不断演进。这也就要求我们的防护体系、治理思路不能墨守成规,更不能一成不变。所以数据安全治理的过程中我们始终要具备一项关键能力——完善的审计与稽核能力。通过审计与稽核的能力来帮助我们掌握威胁与风险的变化,明确我们的防护方向,进而调整我们的防护体系,优化防御策略,补足防御薄弱点,使防护体系具备动态适应能力,真正实现数据安全防护。

    数据的安全审计和稽核机制由四个环节组成,分别是行为审计与分析、权限变化监控、异常行为分析、建立安全基线。

    5.2.3.1 行为审计与分析

    在数据安全治理的思路下,我们建设数据安全防护体系时必须具备审计能力。利用数据库协议分析技术将所有访问和使用数据的行为全部记录下来,包括账号、时间、IP、会话、操作、对象、耗时、结果等等内容。一套完善的审计机制能够为数据安全带来两个价值:

    1、事中告警

    数据的访问、使用、流转过程中一旦出现可能导致数据外泄、受损的恶意行为时,审计机制可以第一时间发出威胁告警,通知管理人员。管理人员在第一时间掌握威胁信息后,可以针对性的阻止该威胁,从而降低或避免损失。所以,审计机制必须具备告警能力,可以通过邮件、短信等方式发出告警通知。

    为实现事中告警能力,审计系统需要能够有效识别风险威胁,需要具备下列技术:

    ●漏洞攻击检测技术:针对 CVE 公布的漏洞库,提供漏洞特征检测技术;

    ● SQL 注入监控技术:提供 SQL 注入特征库;

    ●口令攻击监控:针对指定周期内风险客户端 IP 和用户的频次性登录失败行为监控;

    ●高危访问监控技术:在指定时间周期内,根据不同的访问来源,如:IP 地址、数据库用户、MAC 地址、操作系统、主机名,以及应用关联的用户、IP 等元素设置访问策略;

    ●高危操作控制技术:针对不同访问来源,提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控,并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制;

    ●返回行超标监控技术:提供对敏感表的返回行数监控;

    ● SQL 例外规则:根据不同的访问来源,结合指定的非法 SQL 语句模板添加例外规则,以补充风险规则的不足,形成完善的审计策略。

    2、事后溯源

    数据的访问、使用过程出现信息安全事件之后,可以通过审计机制对该事件进行追踪溯源,确定事件发生的源头(谁做的?什么时间做的?什么地点做的?),还原事件的发生过程,分析事件造成的损失。不但能够对违规人员实现追责和定责,还为调整防御策略提供非常必要的参考。所以,审计机制必须具备丰富的检索能力,可以将全要素作为检索条件的查询功能,方便事后溯源定位。

    一套完善的审计机制是基于敏感数据、策略、数据流转基线等多个维度的集合体,对数据的生产流转,数据操作进行监控、审计、分析,及时发现异常数据流向、异常数据操作行为,并进行告警,输出报告。

    5.2.3.2 权限变化监控

    账号和权限总是动态被维护的,在成千上万的数据账号和权限下,如何快速了解在已经完成的账号和权限基线上增加了哪些账号,账号的权限是否变化了,这些变化是否遵循了合规性保证。需要通过静态的扫描技术和可视化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。

    权限变化监控是指监控所有账号权限的变化情况,包括账号的增加和减少,权限的提高和降低,是数据安全稽核的重要一环。对权限变化进行监控,对抵御外部提权攻击,对抵御内部人员私自调整账号权限进行违规操作均是必不可少的关键能力。

    权限变化监控能力的建立分为两个阶段,第一是权限梳理,第二是权限监控。

    1、权限梳理

    结合人工和静态扫描技术,对现有账号情况进行详细梳理,梳理结果形成账号和权限基线,该基线的调整必须遵循规章制度的合规性保障。通过可视化技术帮助管理人员直观掌握环境中所有账号及对应的权限情况。

    2、权限监控

    账号和权限基线一旦形成,即可通过扫描技术对所有账号及权限进行变化监控。监控结果与基线进行对比,一旦出现违规变化(未遵循规章制度的私自调整权限)会通过可视化技术和告警技术确保管理人员第一时间可以得到通知。

    5.2.3.3 异常行为分析

    在安全稽核过程中,除了明显的数据攻击行为和违规的数据访问行为外,很多的数据入侵和非法访问是掩盖在合理的授权下的,这就需要通过一些数据分析技术,对异常性的行为进行发现和定义,这些行为往往从单个的个体来看是合法的。

    对于异常行为,可以通过两种方式,一种是通过人工的分析完成异常行为的定义;一种是对日常行为进行动态的学习和建模,对于不符合日常建模的行为进行告警。

    几种异常行为定义举例

     

    5.2.4 数据安全监管运营

    在组织进行数据安全治理系统化工程建设的过程中,需要一套自动化的监管运营平台帮助其实现策略的智能化运营以及风险的可视化呈现。组织利用数据安全监管运营平台,实现对数据进行分类分级保护,重点保护“敏感信息”,明确 “允许谁(WHO),在哪种环境下(Where),什么时候(When)、对什么信息(What)、使用什么方法(How)、做(Do)什么操作(4W1H1D)”,对数据全生命周期做到“可视化”、“可量化”、“可审计”和“可感知”、“可控制”。

    依靠数据安全监管运营,可全面掌握全域敏感数据资产分类、分级及分布情况,有效监控敏感数据流转路径和动态流向。通过集中化数据安全管控策略管理,实现数据分布、流转、访问过程中的态势呈现和风险识别。平台通过采集引擎和控制引擎进行隐私数据收集与管控,为组织实现对数据发现、集中化策略管理、数据泄露分析、数据安全运营的全生命周期管控。

    数据安全监管运营展示

     


    第六章 数据安全治理-人员能力


     

    一方面:做好数据安全工作人员的专业认证。

     

    另一方面,定期对组织进行数据安全意识培训;

    《全文完》

    参考文献:

    数据安全治理白皮书2.0

    天融信数据安全治理中心及数据安全产品线相关材料

         

    展开全文
  • DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个...

    2019年8月30日,《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。

    DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

    数据分级分类三维立体模型

     

    在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。

    数据生命周期安全过程域

     

    随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。

    本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为开篇,将介绍数据采集安全阶段的数据分类分级过程域(PA01)。

     

    01定义

     

    DSMM标准在充分定义级对数据分类分级要求如下:

    组织建设

    组织应设立负责数据安全分类分级工作的管理岗位利人员,主要负责定义组织整体的数据分类分级的安全原则( BP.01.04)。

    制度流程

    1)应明确数据分类分级原则、方法和操作指南(BP.01.05);

    2)应对组织的数据进行分类分级标识和管理(BP.01.06);

    3)应对不同类别利级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施(BP.01.07);

    4)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。

    技术工具

    应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。

    人员能力

    负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)。

     

    02实践指南

     

    组织建设

    组织机构在条件允许的情况下应该设立一个数据分类分级部门并招募相关人员,负责公司整体的数据分类分级工作,包括负责定义组织机构整体的数据分类分级安全原则和操作指南、推动相关指南的落地情况、建立数据分类分级审批机制、对组织机构中的进行完数据分类分级的数据进行标识和管理、对识别到的敏感数据进行脱敏处理、对数据分类分级中的重要操作进行审计和记录等。

    人员能力

    针对数据分类分级岗位的相关人员,需要具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行,除此之外,还需要相关人员具备良好的数据分类分级基础,了解公司内部的数据资产范围、组织架构,能够准确识别出哪些数据属于敏感数据等,同时还需要相关人员熟悉数据分类分级的合规要求,熟练掌握数据安全措施,拥有制定标准化流程或制度的经验,能够根据公司的具体情况制定出符合公司真实环境的数据分类分级原则、数据分类分级操作指南、数据分类分级管理制度、数据分类分级清单等,并推动相关要求与制度的真实落地。

    落地执行性确认

    针对组织建设和对应人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

    制度流程

    1)数据分级分类原则

    数据分级分类应结合实际情况,明确需求,以数据的属性为基础,遵循科学性、稳定性、实用性和扩展性原则。

    ❖ 科学性——按照数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分级分类;

    ❖ 稳定性——根据实际情况,以数据最稳定的特征和属性为依据指定分级分类方案;

    ❖ 实用性——数据的分级分类要确保每个类目下要有数据,不设没有意义的类目;

    ❖ 扩展性——数据分级分类方案在总体上应具有概括性和包容性,能够实现各种类型数据的分类,以及满足将来可能出现的数据类型。

    2)分级分类方法及细则

    ❖ 数据分类常用方法:按关系分类,基于业务(来源)、基于内容、基于监管等。

    ❖ 数据分级常用方法:按特性分级,基于价值(公开、内部、重要核心等)、基于敏感程度(公开、秘密、机密、绝密等)、基于司法影响范围(大陆境内、跨区、跨境等)。

    ❖ 常见公用数据分类方法:重要数据、个人及企业信息、业务数据。(重要数据指泄露可导致危害国家安全/公共利益生命财产安全/危害国家关键基础设施/扰乱市场秩序/可推论出国家秘密等的数据。)

    ❖ 个人及企业信息包含直接个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或企业的各种信息。

    ❖ 业务数据包含:企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动产生的可存储的数据。

    根据上述公共分类,其对应分级分别如下:

    重要数据分级

     

    个人及企业信息分级

     

    业务数据分级

     

    企业可基于上述公共分类、分级策略,结合自身业务、合规需求实际,规划出自己的数据分类分级方法,建立组织/公司自己的的数据分类分级原则和方法,将数据按照重要程度进行分类,然后在数据分类的基础上根据数据安全在受到破坏后,对组织造成的影响和损失进行分级。

    企业自主分类分级示例

     

    在进行数据分类分级后需要有针对性地制定数据防护要求,设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等。

    3)变更审核

    在进行分类分级工作中要明确相关内容和操作流程的审核和审批机制,保证数据分类分级工作符合组织的分类分级原则和制度要求。原则上已被明确分类分级的数据,其分级只可升级不可降级(防止泄密),审批需多人控制,涉及数据所有者、数据分类分级管理者,行者管理者等。

    4)技术工具简述

    数据分类分级技术工具实现落地的前提是确定了组织内部的数据分类分级方法和策略,也就是分类和分级的规则。技术层面看,数据分类分级首先涉及到最初的数据发现,目前数据类型可以分为两种,一种是结构化的数据,如业务数据、数据库等;另外一种则是非结构化的数据,如商业文件、财务报表、合同等,依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术,进行数据分类,根据数据分类的结果,依据标签进行敏感数据的划分,最终实现数据分级的效果。

    按元数据类型分类技术:

    内容感知分类技术,对非结构化数据内容的自动分析来确定分类,涉及正则表达式、完全匹配、部分或完整指纹识别、机器学习等。

    情境感知分类技术,基于数据特定属性类型,利用广泛上下文属性,适用于静态数据(如基于存储路径或其他文件元数据)、使用中的数据(如由CAD应用程序创建的数据)和传输中的数据(基于IP)。

    按实际应用场景分类技术:

    根据分类分级规则,建立标签库,利用机器学习算法经过训练形成分类器,利用分类器将生成的分类器应用在有待分类的文档集合中,获取文档的分类结果,并可进行自动化打标。

    受限于篇幅,此处技术工具不进行进一步展开,下图为数据分级分类的技术工具进行分类分级作业的基本流程图。

    分类分级作业的基本流程图

     

    本文转自杭州美创科技有限公司公众号,载如需二次转载,请咨询美创服务热线4008113777。

    展开全文
  • 基于数据生命周期的安全防护

    千次阅读 2020-01-11 15:23:34
    数据安全治理是一项非常庞大的工程,包含管理、运维、风险管控、技术支撑、标准化等一系列内容,数据治理及安全治理,是当企业发展一定程度(既有业务层的深度,又有产品线的广度),需利用已有数据推动业务进入一...

    前几篇写到关于数据安全治理相关内容,数据安全治理是一项非常庞大的工程,包含管理、运维、风险管控、技术支撑、标准化等一系列内容,数据治理及安全治理,是当企业发展一定程度(既有业务层的深度,又有产品线的广度),需利用已有数据,推动业务进入一种新的形态,最终谋求利润最大化的过程。 一般企业并没有达到需要治理的程度(没有达到治理的程度来自多方面,如战略层,阶段下以业务为主、安全为辅,从投入产出比来说,预算有限,实行必要型安全),不管从合规角度还是内生需求角度,只需要在现有体系下逐步增加对数据生命周期的安全防护即可(弱水三千,只取一瓢饮,剩下的需要再说)。

    数据治理层级

    本篇以技术支撑,即数据生命周期的安全防护为主,为一般企业提供数据安全防护建议。

    一、数据生命周期管理

    数据生命周期管理是指在数据采集、传输、存储、处理、交换(共享、应用)、销毁等阶段下对流动的数据进行综合管理。在数据生命周期管理期间,涉及人、管理、技术三个层面。

    人:培训、运维、风险收敛、问题处置、绩效考核等。

    管理:数据管理办法、管理制度及流程、标准规范等;

    技术:访问控制、脱敏、加密、审计、加固、告警分析等;

    数据生命周期管理

    二、数据生命周期下存在的安全风险

    数据生命周期内,不同环节存在不同安全风险,只有了解环节内的风险,才能针对性的“治根”解决安全问题。

    管理与人的因素,暂时不考虑,以数据支撑即技术风险为主。

    采集阶段:

    1.数据源服务器存在安全风险,如未及时更新漏洞、未进行主机加固、未进行病毒防护。

    2.缺少采集访问控制及可信认证。

    3.缺少数据层安全防护,如运维人员拖库和外部SQL注入等。

    4.缺少审计及异常事件告警。

    传输阶段:

    1.采集前置机存在安全风险,如未及时更新漏洞、未进行主机加固、未进行病毒防护。

    2.缺少传输过程中异常行为控制及相关身份认证。

    3.未进行加密传输。

    4.传输内容未进行审计及异常操作告警。

    存储阶段:

    1.数据池服务器存在安全风险,如未及时更新漏洞、未进行主机加固、未进行病毒防护。

    2.数据明文存储,具有泄露利用风险。

    3.缺少统一访问控制及相关身份认证。

    4.缺少审计及异常操作告警。

    5.缺少数据容灾备份机制。

    6.网络架构设计不合理,未进行物理隔离或者逻辑隔离。

    处理阶段:

    1.缺少数据访问控制。

    2.缺少数据脱敏机制 。

    3.缺少数据处理审计及异常操作告警。

    交换(共享、使用)阶段:

    1.交换服务器存在安全风险,如未及时更新漏洞、未进行主机加固、未进行病毒防护。

    2.缺少数据访问控制。

    3.缺少数据脱敏机制。

    4.缺少数据处理审计及异常操作告警。

    数据生命周期存在的安全风险

    三、数据生命周期与防护

    了解数据生命周期生命周期的风险后,便可提出对应的技术解决办法。针对第二节所讲安全风险,可从数据层、网络层、主机层、应用层等多个方面提供对应解决办法。具体技术解决办法与与数据生命周期风险两者关系可为下图:

    数据风险与技术体系关系

    以数据生命周期为基础的数据安全防护技术,目前业界经常提到,但没有具体给出相对清晰的风险及对应的技术解决办法,本文通过整理两者关系,形成风险与技术对应表,旨在读者清晰了解数据生命周期的安全防护技术,灵活应用于自身环境中。文章中风险只是我简单梳理,并不表征所有风险。

    展开全文
  • 数据访问安全代理 CASB

    千次阅读 2019-03-16 21:13:24
    云访问安全代理(CASB)技术是个快速成长的市场,该技术旨在帮助公司企业在云端应用各种安全策略。 万里长城曾是抵御侵略的坚实基础,是以城墙为主体,同大量城、障、亭、标相结合的中国古代第一军事工程,赋予了...
  • 目录1 大数据面临的机遇1.1大数据技术促进国家和社会发展1.2大数据成为企业竞争的新焦点1.3 大数据技术为大数据安全技术的研究提供了技术支持2 大数据给信息安全带来新挑战2.1 大数据技术与大数据安全技术不匹配2.2 ...
  • 数据安全与隐私保护

    千次阅读 2020-01-11 17:28:05
    小论文 大数据安全与隐私保护 关键词: 数据安全 隐私保护 密码学 摘要: 本篇论文讲述了上课所学习到的大数据的机遇...本篇论文第一部分第一节讲述了大数据分析挖掘的价值与机遇,同时提及了大数据安全的现状与挑战...
  • 云计算与大数据安全

    千次阅读 2018-10-16 08:38:54
    社会信息化和网络化的发展导致数据爆炸式增长,全球数据量大约每两年翻一番,这就意味着最近两年...在智能时代新形势下,数据安全、隐私安全乃至大数据平台安全等均面临新威胁与新风险,大数据安全保障工作面临严峻...
  • Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了。 虽然媒体上发表了很多谴责的言论,但...
  • 滴滴大数据安全权限实践

    千次阅读 2020-12-17 21:12:09
    桔妹导读:在滴滴,数据是非常重要的资产,基于数据的数仓建设,数据分析、数据挖掘、数据科学等构建了滴滴的数据体系,支撑着滴滴的业务快速发展。在这个背景下,如何保障用户获取数据的易用性的同时...
  • 互联网企业数据安全体系建设

    千次阅读 2020-06-25 09:05:34
    Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了。 虽然媒体上发表了很多谴责的言论,但...
  • 5G、物联网等新技术的发展,推动亿万终端接入互联网,网间传输着大量的用户数据。然而作为互联网应用访问的枢纽,DNS在其设计之初对数据的完整性、可靠性缺乏考虑,导致用户的资产信息、应用访问信息、访问行为等...
  • Oracle DBA手记4:数据安全警示录

    千次阅读 2012-07-13 16:43:40
    Oracle DBA手记4:数据安全警示录 盖国强 著 ISBN978-7-121-17206-9 2012年7月出版 定价:65.00元 16开 404页 宣传语 灾难与拯救 全真全程商业案例! 内 容 简 介 这是一本写给大家看的数据安全之书,不...
  • 摘要:随着大数据分布式计算和分布式存储等新技术的广泛应用,数据分析挖掘、共享交易等新应用场景的出现,导致数据在创造价值、提高政府治理能力的同时,面临数据安全和个人隐私泄露等问题。近年来,数据泄露事件...
  • 1、云数据库安全现状及问题 伴随着云基础设施的快速增长和成熟,与之对应的云数据库服务也层出不穷。一方面,受益于云服务的便捷性传统企业加速业务上云,通过充分发挥云数据库特有的轻松部署、高可靠、低成本等...
  • 互联网的飞速发展,也带来了许多安全问题,作为互联网的土著居民,我们有必要在数据信息繁杂的时代保护自己的数据安全,现在带你走进互联网应用最为广泛的网络协议HTTP和HTTPS,让你在安全浏览信息的同时保护自己的...
  • 关于数据传输安全(SSH协议)

    千次阅读 2017-12-17 16:45:57
    有计算机网络基础的同学都知道,在网上传输的数据是可以被截取的。那么怎样才能获得安全? 一、春点行话 电影《智取威虎山》里,那些我们听不懂的“汉语”,就是春点行话,也可以叫“暗语”,像这样: 土匪:...
  • utm_medium=referral一、背景Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了。虽然媒体上....
  • 其次,众所周知数据不平衡对分类模型的影响很大,而内容安全场景恰恰存在非常严重的数据不平衡问题。本文主要讨论文本分类在内容安全应用中遇到的数据不平衡问题以及常用的解决办法。 数据不平衡问..
  • 如何保证API调用时数据安全

    千次阅读 2018-06-11 21:35:31
    前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要...数据安全性非常重要,特别是用户相关的信息,...
  • 数据,作为一种新型生产要素,早已成为推动国经济质量发展的重要动能。数据智能驱动金融业蝶变,“一切业务数据化,一切数据业务化”势不可挡。  我国金融数字化水平处于领先地位  随着大数据、云计算、区块链、AI...
  • 前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后...数据安全性非常重要,特别是用户相关的...
  • 数据安全相关概念(上)

    千次阅读 2019-11-17 19:53:54
    数据安全 特征:多样化、海量化、快速化、价值密度低、复杂 云计算 基于互联网的计算新方式,通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算、软件和信息 云计算特征 资源共享、按需分配、弹性...
  • 人工智能、机器学习和数据推动未来生产力的发展 https://blog.csdn.net/wowotuo/article/details/54744833 人工智能是信息时代的尖端技术。在最新的“创新简介”系列文件中,我们研究机器学习和深度学习的进步如何...
  • 人工智能、机器学习和数据推动未来生产力的发展http://note.youdao.com/share/index.html?id=9874d468e9dece80bcc23819232438fd&type=note&from=timeline&isappinstalled=0#/人工智能是信息时代的尖端技术。...
  • 大表哥 helen 再次重现江湖,并且带来不断的惊喜~~~据 FreeBuf 报道,8 月 28 日早上 6 点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据...
  • 不过很多业内人士认为,物联网的真正影响区域在于业务,因为智能设备可以为决策者提供正确的数据来跟踪、管理和评估运营。  由于高科技设备和系统的激增,近年来世界各地智慧城市的发展势头稳定,希望实施未来技术...
  • 除了不同层面的防御机制之外,MaxCompute产品还会提供一套安全监控系统,用于监控用户作业及用户数据安全活动,如AccessKey滥用,项目空间安全配置不当,用户代码运行时触犯安全策略,以及用户数据是否遭受异常...
  • 数字经济时代,新兴技术层出不穷,云、5G、AI等不断的推动着...其中,创新数据基础设施高峰论坛汇聚了来自各个城市和行业的建设者、专家、和企业大咖,深度探讨数据价值,何把握新基建的机遇,推动基础设施与政企数字化建设提

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 91,639
精华内容 36,655
关键字:

安全推动数据