精华内容
下载资源
问答
  • 安检数据集备份
    2020-09-23 15:20:31

    链接:https://pan.baidu.com/s/1p95nzPy0LzxfjYixICzeiA 提取码:sofm

    更多相关内容
  • 安检机作为保证公共安全的主要设备,在飞机场、火车站、汽车站等人流量大的公共场合起着至关重要的作用。随着人们对出行安全的高度重视,因此对安检设备提出了更高的要求,尤其对安检速度提出了更高的要求。文中针对...
  • 数据安全管理制度.doc

    2020-02-19 10:12:25
    企业内部数据信息安全管理体系绩效监控、制度,负责对信息数据安全管理体系的运行情况进行监控及评价,负责对信息数据安全状况和绩效监测工作情况进行检查、指导,负责对信息数据安全管理体系的目标及控制措施的完成...
  • 数据安全实践指南

    千次阅读 2022-04-07 11:25:30
    随着互联网、物联网、云计算等技术的快速...在此背景下,国内外数据安全相关法律法规相继出台,以完善大数据安全领域的防护和技术要求,助力大数据安全建设。相较于传统网络安全,数据安全的标准化起步较晚,目前...

    ec2bd509974a80493520bddb21cfa36b.gif

    随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长,我们已进入大数据时代。大数据不断向各个行业渗透,在深刻影响国家政治、经济、民生和国防的同时,也给国家安全、社会稳定和个人隐私等带来了潜在威胁与挑战。在此背景下,国内外数据安全相关法律法规相继出台,以完善大数据安全领域的防护和技术要求,助力大数据安全建设。

    相较于传统网络安全,数据安全的标准化起步较晚,目前业内尚无完整、成熟的可借鉴技术落实方案,缺乏有效的数据安全视角下的实践指南,大量组织在数据安全建设方面仍然处于“摸着石头过河”的状态,这严重耗费了企业的人力、物力,以及本不富余的安全资源。

    《数据安全实践指南》应运而生,本书是美创科技积极组织公司数据安全从业专家,结合公司多年来的数据安全治理经验,以《信息安全技术 数据安全能力成熟度模型》(GB/T 37988—2019)和《数据安全能力建设实施指南》为标准和依据,对数据安全全生命周期的过程域逐一进行解读并提供实践操作建议,尝试在目前业内暂无DSMM成熟实践的背景下,为数据安全组织提供实践指南

    126427a357bc07b3d29335b1c0be3306.png13cd7f1b12a9b3f2881c62ed17a89feb.png

    扫码了解 ↑

    读者对象

    • 企业信息安全负责人。

    • 数据安全部门和数据管理部门的工作人员。

    • 安全风险管理人员。

    • 安全审计、监管人员。

    • 运维、技术支持人员。

    • 数据信息使用者。

    目录

    上拉下滑查看目录 ↓

    推荐序

    前 言

    概念引入篇

    第1章 活络之水:大数据时代的数据流动  2

    1.1 数据流动时代  2

    1.2 数据采集:四面八方皆来客,五湖四海齐聚首  4

    1.2.1 系统日志采集  5

    1.2.2 数据库采集  9

    1.2.3 网络数据采集  10

    1.2.4 传感器采集  12

    1.3 数据分析:铅华褪尽留本色,大浪淘沙始见金  12

    1.3.1 监督学习  13

    1.3.2 无监督学习  13

    1.3.3 半监督学习  15

    1.4 数据关联:世事洞明皆学问,人情练达即文章  16

    1.5 数据质量与数据价值  17

    现状讨论篇

    第2章 数据无罪:大数据时代的数据安全事件  22

    2.1 国内外的数据安全事件  22

    2.1.1 运营商  23

    2.1.2 医疗体系  23

    2.1.3 高校教育  24

    2.1.4 金融体系  24

    2.1.5 电子政务  25

    2.1.6 社交网络  25

    2.1.7 企业生产  26

    2.2 数据无罪,治理之过  27

    2.2.1 数据治理  27

    2.2.2 数据安全治理  28

    2.2.3 治理思路选型  32

    2.2.4 信息安全、网络安全与数据安全的区别  33

    治理选型篇

    第3章 大数据时代的数据安全治理思路  38

    3.1 以数据为中心  38

    3.2 以组织为单位  39

    3.3 以数据生命周期为要素  40

    第4章 数据生命周期安全过程域  41

    4.1 数据采集安全  41

    4.1.1 数据的分类分级  41

    4.1.2 数据采集安全管理  42

    4.1.3 数据源鉴别及记录  43

    4.1.4 数据质量管理  43

    4.2 数据传输安全  44

    4.2.1 数据传输加密  44

    4.2.2 网络可用性管理  45

    4.3 数据存储安全  45

    4.3.1 存储介质安全  46

    4.3.2 逻辑存储安全  46

    4.3.3 数据备份和恢复  47

    4.4 数据处理安全  48

    4.4.1 数据脱敏  48

    4.4.2 数据分析安全  49

    4.4.3 数据的正当使用  50

    4.4.4 数据处理环境安全  51

    4.4.5 数据导入导出安全  52

    4.5 数据交换安全  52

    4.5.1 数据共享安全  53

    4.5.2 数据发布安全  53

    4.5.3 数据接口安全  54

    4.6 数据销毁安全  55

    4.6.1 数据销毁处理  55

    4.6.2 介质销毁处理  56

    4.7 通用安全过程  56

    4.7.1 数据安全策略规划  56

    4.7.2 组织和人员管理  57

    4.7.3 合规管理  59

    4.7.4 数据资产管理  60

    4.7.5 数据供应链安全  60

    4.7.6 元数据管理  61

    4.7.7 终端数据安全  62

    4.7.8 监控与审计  62

    4.7.9 鉴别与访问控制  63

    4.7.10 需求分析  64

    4.7.11 安全事件应急  65

    实践指南篇

    第5章 数据采集安全实践  68

    5.1 数据分类分级  68

    5.1.1 建立负责数据分类分级的职能部门  68

    5.1.2 明确数据分类分级岗位的能力要求  69

    5.1.3 数据分类分级岗位的建设及人员能力的评估方法  69

    5.1.4 明确数据分类分级的目的  71

    5.1.5 确立数据分类分级的原则  71

    5.1.6 制定数据分类分级的方法及细则  71

    5.1.7 制定数据分类分级的安全策略  73

    5.1.8 实施变更审核机制  73

    5.1.9 使用技术工具  74

    5.1.10 基于元数据类型的分类技术  74

    5.1.11 基于实际应用场景的分类技术  74

    5.1.12 技术工具的使用目标和工作流程  75

    5.2 数据采集安全管理  76

    5.2.1 建立负责数据采集安全的职能部门  77

    5.2.2 明确数据采集安全岗位的能力要求  77

    5.2.3 数据采集安全岗位的建设及人员能力的评估方法  77

    5.2.4 明确数据采集的目的  78

    5.2.5 确立数据采集的基本原则  79

    5.2.6 基于大数据的采集来源  79

    5.2.7 明确数据采集方式  80

    5.2.8 确定数据采集周期  81

    5.2.9 制定数据采集的安全策略  81

    5.2.10 制定数据采集的风险评估流程  81

    5.2.11 使用技术工具  82

    5.2.12 基于数据库的采集技术  82

    5.2.13 基于网络数据的采集技术  82

    5.2.14 基于系统日志的采集技术  84

    5.2.15 数据防泄露技术  85

    5.2.16 技术工具的使用目标和工作流程  86

    5.3 数据源鉴别及记录  87

    5.3.1 建立负责数据源鉴别与记录的职能部门  87

    5.3.2 明确数据源鉴别与记录岗位的能力要求  88

    5.3.3 数据源鉴别与记录岗位的建设及人员能力的评估方法  88

    5.3.4 明确数据源鉴别及记录的目的  89

    5.3.5 制定数据采集来源的管理办法  89

    5.3.6 数据溯源方法简介  91

    5.3.7 数据溯源记录  91

    5.3.8 制定数据源鉴别及记录的安全策略  91

    5.3.9 使用技术工具  92

    5.3.10 基于标注和反向查询的数据溯源技术  92

    5.3.11 数据溯源中的安全防护  94

    5.3.12 技术工具的使用目标和工作流程  95

    5.4 数据质量管理  96

    5.4.1 建立负责数据质量管理的职能部门  96

    5.4.2 明确数据质量管理岗位的能力要求  96

    5.4.3 数据质量管理岗位的建设及人员能力的评估方法  96

    5.4.4 明确数据质量管理的目的  97

    5.4.5 数据质量评估维度  97

    5.4.6 实施数据质量校验  98

    5.4.7 实施数据清洗  99

    5.4.8 明确数据质量管理的规范  99

    5.4.9 制定数据质量管理的实施流程  100

    5.4.10 使用技术工具  100

    5.4.11 数据清洗工具的原理  101

    5.4.12 技术工具的使用目标和工作流程  101

    第6章 数据传输安全实践  103

    6.1 数据传输加密  103

    6.1.1 建立负责数据传输加密的职能部门  103

    6.1.2 明确数据传输加密岗位的能力要求  104

    6.1.3 数据传输加密岗位的建设及人员能力的评估方法  104

    6.1.4 明确数据传输加密的目的  105

    6.1.5 制定数据传输安全管理规范  106

    6.1.6 实施数据安全等级变更审核机制  106

    6.1.7 建立密钥安全管理规范  106

    6.1.8 使用技术工具  108

    6.1.9 哈希算法与加密算法  108

    6.1.10 加密传输密钥的认证管理  111

    6.1.11 构建安全传输通道  112

    6.1.12 技术工具的使用目标和工作流程  113

    6.2 网络可用性管理  113

    6.2.1 建立负责网络可用性管理的职能部门  114

    6.2.2 明确网络可用性管理岗位的能力要求  114

    6.2.3 网络可用性管理岗位的建设及人员能力的评估方法  114

    6.2.4 明确网络可用性管理的目的  115

    6.2.5 网络可用性管理指标  116

    6.2.6 提高网络可用性的方法  116

    6.2.7 确立网络服务配置原则  117

    6.2.8 制定网络可用性管理规范  117

    6.2.9 使用技术工具  117

    6.2.10 网络可用性衡量指标  118

    6.2.11 网络可用性管理之避错措施  118

    6.2.12 网络可用性管理之容错措施  119

    6.2.13 网络可用性管理之检错措施  123

    6.2.14 网络可用性管理之排错措施  123

    6.2.15 技术工具的使用目标和工作流程  123

    第7章 数据存储安全实践  125

    7.1 存储介质安全  125

    7.1.1 建立负责存储介质安全的职能部门  125

    7.1.2 明确存储介质安全岗位的能力要求  126

    7.1.3 存储介质安全岗位的建设及人员能力的评估方法  126

    7.1.4 明确存储介质安全管理的目的  127

    7.1.5 存储介质的定义  127

    7.1.6 存储介质采购规范  127

    7.1.7 存储介质存放规范  127

    7.1.8 存储介质运输规范  128

    7.1.9 存储介质使用规范  128

    7.1.10 存储介质维修规范  129

    7.1.11 存储介质销毁规范  129

    7.1.12 使用技术工具  130

    7.1.13 存储介质的常见类型  130

    7.1.14 存储介质的监控技术  130

    7.1.15 基于数据擦除的介质净化技术  131

    7.1.16 技术工具的使用目标和工作流程  132

    7.2 逻辑存储安全  133

    7.2.1 建立负责逻辑存储安全的职能部门  133

    7.2.2 明确逻辑存储安全岗位的能力要求  133

    7.2.3 逻辑存储安全岗位的建设及人员能力的评估方法  133

    7.2.4 明确逻辑存储安全管理的目的  135

    7.2.5 实施系统账号管理  135

    7.2.6 实行认证鉴权  136

    7.2.7 采取访问控制措施  136

    7.2.8 基于逻辑存储系统的病毒和补丁管理  136

    7.2.9 制定日志管理规范  136

    7.2.10 定期检查存储  137

    7.2.11 明确故障管理方法  137

    7.2.12 制定逻辑存储安全配置规则  137

    7.2.13 使用技术工具  138

    7.2.14 安全基线核查技术  139

    7.2.15 日志监控技术  140

    7.2.16 安全基线核查流程和目标  144

    7.2.17 日志监控流程和目标  145

    7.3 数据备份和恢复  145

    7.3.1 建立负责数据备份和恢复的职能部门  146

    7.3.2 明确数据备份和恢复岗位的能力要求  146

    7.3.3 数据备份和恢复岗位的建设与人员能力的评估方法  146

    7.3.4 明确数据备份和恢复的目的  148

    7.3.5 数据备份  148

    7.3.6 明确数据备份安全管理规范  148

    7.3.7 数据恢复  149

    7.3.8 明确数据恢复安全管理规范  150

    7.3.9 使用技术工具  151

    7.3.10 不同网络架构下的备份技术  151

    7.3.11 数据恢复技术与安全管理  153

    7.3.12 技术工具的使用目标和工作流程  154

    第8章 数据处理安全实践  155

    8.1 数据脱敏  155

    8.1.1 建立负责数据脱敏的职能部门  155

    8.1.2 明确数据脱敏岗位的能力要求  156

    8.1.3 数据脱敏岗位的建设及人员能力的评估方法  156

    8.1.4 明确数据脱敏的目的  158

    8.1.5 确立数据脱敏原则  158

    8.1.6 数据脱敏安全管理内容  158

    8.1.7 敏感数据识别  158

    8.1.8 确定脱敏方法  159

    8.1.9 制定脱敏策略  160

    8.1.10 执行脱敏操作  160

    8.1.11 脱敏操作的审计及溯源  160

    8.1.12 使用技术工具  161

    8.1.13 静态脱敏技术  161

    8.1.14 动态脱敏技术  163

    8.1.15 数据脱敏技术的安全性对比  165

    8.1.16 技术工具的使用目标和工作流程  165

    8.2 数据分析安全  166

    8.2.1 建立负责数据分析安全的职能部门  166

    8.2.2 明确数据分析安全岗位的能力要求  167

    8.2.3 数据分析安全岗位的建设与人员能力的评估方法  167

    8.2.4 明确数据分析安全管理的目的  169

    8.2.5 数据分析安全管理的内容  169

    8.2.6 明确数据分析需求  169

    8.2.7 收集数据  169

    8.2.8 建立数据分析模型  169

    8.2.9 评估数据分析模型  170

    8.2.10 实施数据分析  170

    8.2.11 评估数据分析结果  170

    8.2.12 使用技术工具  170

    8.2.13 语法隐私保护技术  171

    8.2.14 语义隐私保护技术  173

    8.2.15 技术工具的使用目标和工作流程  174

    8.3 数据的正当使用  174

    8.3.1 建立负责数据正当使用管理的职能部门  174

    8.3.2 明确数据正当使用管理岗位的能力要求  175

    8.3.3 数据正当使用管理岗位的建设与人员能力的评估方法  175

    8.3.4 明确数据正当使用管理的目的  177

    8.3.5 数据正当使用安全管理的内容  177

    8.3.6 提交数据使用申请  177

    8.3.7 评估数据使用范围及内容  178

    8.3.8 针对数据使用范围及内容的审批  178

    8.3.9 针对数据使用范围及内容的授权  178

    8.3.10 记录存档  178

    8.3.11 使用技术工具  179

    8.3.12 单点登录技术  179

    8.3.13 访问控制技术  179

    8.3.14 基于统一认证授权的IAM技术  182

    8.3.15 技术工具的使用目标和工作流程  183

    8.4 数据处理环境安全  185

    8.4.1 建立负责数据处理环境安全的职能部门  185

    8.4.2 明确数据处理环境安全岗位的能力要求  186

    8.4.3 数据处理环境安全岗位的建设及人员能力的评估方法  186

    8.4.4 明确数据处理环境安全管理的目的  188

    8.4.5 分布式处理节点安全  188

    8.4.6 采取网络访问控制措施  188

    8.4.7 账号管理和身份认证制度要求  189

    8.4.8 访问资源授权  189

    8.4.9 制定加解密处理策略  189

    8.4.10 数据处理监控  189

    8.4.11 审计与溯源制度要求  190

    8.4.12 使用技术工具  190

    8.4.13 账号管理和身份认证实现模式  191

    8.4.14 网络访问控制  193

    8.4.15 授权管理  194

    8.4.16 监控系统与审计系统  195

    8.4.17 技术工具的使用目标和工作流程  195

    8.5 数据导入导出安全  196

    8.5.1 建立负责数据导入导出安全的职能部门  196

    8.5.2 明确数据导入导出安全岗位的能力要求  196

    8.5.3 数据导入导出安全岗位的建设及人员能力的评估方法  197

    8.5.4 明确数据导入导出安全管理的目的  198

    8.5.5 数据导入导出安全管理的内容  198

    8.5.6 明确导入导出的数据内容  199

    8.5.7 提交数据导入导出的申请  199

    8.5.8 评估数据导入导出的范围及内容  199

    8.5.9 针对数据导入导出范围及内容的授权审批  199

    8.5.10 制定数据导入导出规范  200

    8.5.11 明确导出数据存储介质的安全要求  200

    8.5.12 审计与溯源  200

    8.5.13 使用技术工具  200

    8.5.14 多因素认证技术  201

    8.5.15 访问控制技术  201

    8.5.16 数据预处理技术  202

    8.5.17 技术工具的使用目标和工作流程  203

    第9章 数据交换安全实践  204

    9.1 数据共享安全  204

    9.1.1 建立负责数据共享安全的职能部门  204

    9.1.2 明确数据共享安全岗位的能力要求  205

    9.1.3 数据共享安全岗位的建设与人员能力的评估方法  205

    9.1.4 明确数据共享安全管理的目的  207

    9.1.5 数据共享安全管理的内容  207

    9.1.6 提交数据共享申请  207

    9.1.7 评估数据共享的范围及内容  207

    9.1.8 针对数据共享范围及内容的授权审批  208

    9.1.9 实施数据共享  208

    9.1.10 审计与溯源  208

    9.1.11 使用技术工具  209

    9.1.12 基于物理存储介质的摆渡交换技术  210

    9.1.13 基于电路开关的交换技术  210

    9.1.14 基于内容过滤的交换技术  211

    9.1.15 基于协议隔离的交换技术  212

    9.1.16 基于物理单向传输的交换技术  213

    9.1.17 基于密码的交换技术  213

    9.1.18 技术工具的使用目标和工作流程  213

    9.2 数据发布安全  214

    9.2.1 建立负责数据发布安全的职能部门  215

    9.2.2 明确数据发布安全岗位的能力要求  215

    9.2.3 数据发布安全岗位的建设及人员能力的评估方法  215

    9.2.4 明确数据发布安全管理的目的  217

    9.2.5 数据发布安全管理的内容  217

    9.2.6 制定数据发布审核制度  217

    9.2.7 明确数据发布监管要求  218

    9.2.8 制定数据发布事件应急处理流程  218

    9.2.9 使用技术工具  219

    9.2.10 隐私保护数据发布  219

    9.2.11 基于匿名的隐私保护数据发布技术  220

    9.2.12 基于加密的隐私保护数据发布技术  221

    9.2.13 基于失真的隐私保护数据发布技术  221

    9.2.14 技术工具的使用目标和工作流程  221

    9.3 数据接口安全  222

    9.3.1 建立负责数据接口安全的职能部门  222

    9.3.2 明确数据接口安全岗位的能力要求  222

    9.3.3 数据接口安全岗位的建设及人员能力的评估方法  223

    9.3.4 明确数据接口安全管理的目的  225

    9.3.5 制定数据接口开发规范  225

    9.3.6 针对数据接口的管理和审核  225

    9.3.7 审计与溯源  226

    9.3.8 使用技术工具  226

    9.3.9 不安全参数限制机制  227

    9.3.10 时间戳超时机制  227

    9.3.11 令牌授权机制  227

    9.3.12 签名机制  228

    9.3.13 技术工具的使用目标和工作流程  228

    第10章 数据销毁安全实践  229

    10.1 数据销毁处理  229

    10.1.1 建立负责数据销毁处理的职能部门  229

    10.1.2 明确数据销毁处理岗位的能力要求  230

    10.1.3 数据销毁处理岗位的建设及人员能力的评估方法  230

    10.1.4 明确数据销毁安全管理的目的  232

    10.1.5 数据销毁安全管理的内容  232

    10.1.6 明确数据销毁审批流程  232

    10.1.7 制定数据销毁监督流程  233

    10.1.8 使用技术工具  233

    10.1.9 本地数据销毁技术  233

    10.1.10 网络数据销毁技术  234

    10.1.11 技术工具的使用目标和工作流程  236

    10.2 介质销毁处理  237

    10.2.1 建立负责介质销毁处理的职能部门  237

    10.2.2 明确介质销毁处理岗位的能力要求  237

    10.2.3 介质销毁处理岗位的建设及人员能力的评估方法  238

    10.2.4 明确介质销毁安全管理的目的  239

    10.2.5 明确介质销毁审批流程  239

    10.2.6 制定介质销毁监督流程  240

    10.2.7 使用技术工具  240

    10.2.8 物理销毁  240

    10.2.9 化学销毁  241

    10.2.10 技术工具的使用目标和工作流程  241

    第11章 通用安全实践  242

    11.1 数据安全策略规划  242

    11.1.1 建立负责数据安全策略规划的职能部门  242

    11.1.2 明确数据安全策略规划岗位的能力要求  243

    11.1.3 数据安全策略规划岗位的建设及人员能力的评估方法  243

    11.1.4 明确数据安全策略规划的目的  244

    11.1.5 制定数据安全方针政策与管理目标  244

    11.1.6 确立数据安全的基本原则  244

    11.1.7 监管合规?:数据源合规  246

    11.1.8 监管合规?:数据使用合规  246

    11.1.9 监管合规?:数据共享合规  247

    11.1.10 第三方委托处理合规  247

    11.1.11 数据资产管理  248

    11.1.12 数据分类分级和数据安全违规处分  249

    11.1.13 使用技术工具  249

    11.1.14 办公自动化系统  249

    11.1.15 企业内部门户  250

    11.1.16 企业邮箱  251

    11.1.17 企业内部群组  251

    11.2 组织和人员管理  251

    11.2.1 建立负责组织和人员管理的职能部门  252

    11.2.2 明确组织和人员管理岗位的能力要求  252

    11.2.3 组织和人员管理岗位的建设及人员能力的评估方法  253

    11.2.4 明确组织和人员流程管理的目的  253

    11.2.5 明确在职人员的工作职责与权限管控  254

    11.2.6 制定人力资源全流程制度规范  255

    11.2.7 使用技术工具  257

    11.2.8 人力资源系统  257

    11.2.9 人员访问控制技术  258

    11.2.10 办公自动化系统和企业内部门户网站  259

    11.3 合规管理  259

    11.3.1 建立负责合规管理的职能部门  259

    11.3.2 明确合规管理岗位的能力要求  259

    11.3.3 合规管理岗位的建设及人员能力的评估方法  260

    11.3.4 明确合规管理的目的  261

    11.3.5 明确合规覆盖范围  261

    11.3.6 构建检查清单  261

    11.3.7 定期评估与变更控制管理  263

    11.3.8 跨境数据安全管控  263

    11.3.9 明确考核规范  264

    11.3.10 使用技术工具  264

    11.3.11 知识库系统  264

    11.3.12 数据脱敏技术  267

    11.3.13 制度检查流程跟踪系统  268

    11.4 数据资产管理  268

    11.4.1 建立负责数据资产管理的职能部门  268

    11.4.2 明确数据资产管理岗位的能力要求  268

    11.4.3 数据资产管理岗位的建设及人员能力的评估方法  269

    11.4.4 制定数据资产管理制度  269

    11.4.5 实施数据资产登记机制  270

    11.4.6 明确数据资产变更审批流程  271

    11.4.7 使用技术工具  271

    11.4.8 数据资产自动化梳理技术  272

    11.4.9 数据资产管理技术  272

    11.4.10 密钥管理系统  275

    11.5 数据供应链安全  277

    11.5.1 建立负责数据供应链安全的职能部门  277

    11.5.2 明确数据供应链安全岗位的能力要求  278

    11.5.3 数据供应链安全岗位的建设及人员能力的评估方法  278

    11.5.4 明确数据供应链安全管理的内容  279

    11.5.5 使用技术工具  280

    11.5.6 元数据管理技术  281

    11.5.7 数据流入流出控制技术  281

    11.5.8 技术工具的使用目标和工作流程  283

    11.6 元数据管理  283

    11.6.1 建立负责元数据管理的职能部门  284

    11.6.2 明确元数据管理岗位的能力要求  284

    11.6.3 元数据管理岗位的建设及人员能力的评估方法  284

    11.6.4 明确元数据管理的目的和内容  286

    11.6.5 明确元数据访问控制要求  286

    11.6.6 制定元数据变更管理流程  287

    11.6.7 元数据变更和访问操作审计记录  287

    11.6.8 使用技术工具  288

    11.6.9 元数据自动获取技术  289

    11.6.10 元数据访问接口技术  290

    11.6.11 技术工具的使用目标和工作流程  291

    11.7 终端数据安全  293

    11.7.1 建立负责终端数据安全的职能部门  293

    11.7.2 明确终端数据安全岗位的能力要求  293

    11.7.3 终端数据安全岗位的建设及人员能力的评估方法  294

    11.7.4 明确终端数据安全管理的目的和内容  296

    11.7.5 建立终端安全管控规范  296

    11.7.6 制定员工终端行为管理规范  296

    11.7.7 部署数据防泄露平台  297

    11.7.8 终端数据安全监督与检查  297

    11.7.9 建立审计机制与应急处置流程  297

    11.7.10 使用技术工具  297

    11.7.11 终端安全管理技术  298

    11.7.12 数据防泄露技术  300

    11.7.13 移动安全管理技术  301

    11.7.14 技术工具的使用目标和工作流程  303

    11.8 监控与审计  304

    11.8.1 建立负责监控与审计的职能部门  305

    11.8.2 明确数据安全监控与审计岗位的能力要求  305

    11.8.3 监控与审计岗位的建设及人员能力的评估方法  306

    11.8.4 明确监控与审计管理的内容  307

    11.8.5 明确安全监控要求  307

    11.8.6 明确日志记录要求  307

    11.8.7 明确安全审计要求  308

    11.8.8 使用技术工具  310

    11.8.9 数据采集  311

    11.8.10 数据整合  311

    11.8.11 数据分析  312

    11.8.12 技术工具的使用目标和工作流程  312

    11.9 鉴别与访问控制  313

    11.9.1 建立负责鉴别与访问控制的职能部门  313

    11.9.2 明确鉴别与访问控制岗位的能力要求  313

    11.9.3 鉴别与访问控制岗位的建设及人员能力的评估方法  314

    11.9.4 明确鉴别与访问控制管理的目的和内容  315

    11.9.5 制定身份鉴别措施  315

    11.9.6 明确数据权限授权审批流程  316

    11.9.7 实施访问控制管理  317

    11.9.8 建立安全审计机制  317

    11.9.9 使用技术工具  317

    11.9.10 身份标识与鉴别技术  318

    11.9.11 访问控制技术  320

    11.9.12 技术工具的使用目标和工作流程  321

    11.10 需求分析  322

    11.10.1 建立负责需求分析的职能部门  322

    11.10.2 明确需求分析岗位的能力要求  323

    11.10.3 需求分析岗位的建设及人员能力的评估方法  323

    11.10.4 明确需求分析的目的和内容  325

    11.10.5 制定安全需求分析流程  325

    11.10.6 建立安全审计机制  326

    11.10.7 使用技术工具  326

    11.10.8 技术工具的使用目标和工作流程  328

    11.11 安全事件应急  328

    11.11.1 建立负责安全事件应急的职能部门  328

    11.11.2 明确安全事件应急岗位的能力要求  328

    11.11.3 安全事件应急岗位的建设及人员能力的评估方法  329

    11.11.4 制定应急预案与处理流程  330

    11.11.5 应急预案应符合政策要求  331

    11.11.6 使用技术工具  331

    11.11.7 PDCERF模型  331

    11.11.8 态势感知技术  332

    11.11.9 技术工具的使用目标和工作流程  334

    自测参考篇

    第12章 风险评估与自评参考  336

    12.1 组织建设、人员能力控制点与自评要求  336

    12.2 制度流程控制点与自评指标  350

    12.3 技术工具控制点与自评指标  354

    6f9f6e140af90d7e4f4c1c663b13ee26.png

    fa5b4a8ecb3204c88428de9dd9084530.gif

    更多精彩回顾

    书讯 | 4月书讯(下)| 上新了,华章

    书讯 | 4月书讯(上)| 上新了,华章

    资讯 | AI 是否拥有意识?从意识的定义说起

    书单 | 金三银四求职季,十道腾讯算法真题解析!

    干货 | 场景拆解六步设计法,手把手教你细化场景

    收藏 | 赵宏田:用户画像场景与技术实现

    上新 | Web渗透测试实战:基于Metasploit 5.0

    书评 | 数据分析即未来

    0f9e16ccb09205e0b24eb40bbc86af2e.gif

    展开全文
  • 津南数据-数据

    2021-03-30 02:09:43
  • 基于FPGA的安检机图像数据排序算法实现
  • 数据安全--9--数据安全治理浅析

    千次阅读 2022-02-08 09:42:41
    数据安全治理是一个属于纲领战略性的概念,一般和数据安全管理放在一起做参照,以便于增进理解。但这两个概念有所不同,在实际上,数据安全治理是在数据安全领域采取的战略、组织、政策框架的集合。数据安全管理则...

    一、引子

    数据安全治理是一个属于纲领战略性的概念,一般和数据安全管理放在一起做参照,以便于增进理解。但这两个概念有所不同,在实际上,数据安全治理是在数据安全领域采取的战略、组织、政策框架的集合。数据安全管理则主要侧重于战术执行层面。

    本篇我们来聊聊数据安全治理相关的东西。

    二、数据安全治理简介

    数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的总和。

    数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等,目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。

    对于数据安全的目标,一般是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪,防止敏感数据泄露,并满足合规要求。

    同时,数据安全治理确定了边界、改进方向,以及朝着目标方向前进所进行的战略决策、组织架构设计、政策制定、监督等活动。

    数据安全治理大致分为如下几个子领域:

    ● 确定数据安全战略。
    ● 数据安全组织的设计,确定权责边界、监督与问责机制。
    ● 制定数据安全政策文件体系(含政策总纲、管理规定、标准规范、流程等)。

    数据安全治理三要素:

    战略:数据安全的长期目标,可以长期指引大家工作的方向。具体包括差别防护、工作重心、生命周期保护等。
    组织:主要是从业者技能职责认定、责任归属等。
    政策:政策总纲确定整体的数据安全治理原则,并在管理层达成共识,这个政策总纲可以在组织内部自行制定,也可以选择引入业界成熟的标准或框架。

    数据安全管理三要素:

    项目管理:围绕战略展开,通过项目建设支撑安全战略。包括防御基础设施建设、运维基础设施建设、支撑系统建设、流程/工具建设、业务数据安全改进项目等;
    运营管理:围绕组织展开,通过运营管理支撑组织职责、管理问责与绩效考核。包括高层支持、管理者当责、跨部门协作配合、员工支持、数据分析与绩效可视等;
    风险管理:围绕政策展开,通过风险管理支撑业务内外合规与风险可控。包括合规管理、安全开发生命周期管理、风险管理、业务连续性管理、应急预案预事件管理等。

    三、数据治理的范围

    数据治理标的:角色和组织、数据线路、政策和标准、架构、合规、问题管理、项目和服务、数据资产评估、交流;
    数据架构、分析和设计:企业数据建模、价值链分析、相关数据架构、逻辑建模、物理建模、建模标准、模型管理;
    数据库管理:数据库设计、数据库执行、支持和恢复、绩效和优化、归档和清除、技术管理;
    数据安全管理:数据隐私标准、保密分类、密码实务、用户或小组和观点管理、用户身份验证、数据安全审计;
    数据质量管理:质量要求规范、质量侧写和分析、数据质量提升、数据认证和审计;
    参考和主数据管理:数据整合架构、参考数据管理、用户数据整合、产品数据整合、维度管理;
    数据仓库和企业情报管理:数据仓库/企业情报架构、数据仓库/集市执行、企业情报执行、企业情报培训和支持、监测和优化;
    文件、记录和内容管理:电子文件管理、物理记录和文档管理、信息内容管理;
    元数据管理:用户和需求、架构和标准、抓取和整合、知识库管理、询问和报告、分配和发送;

    四、安全项目管理

    项目管理主要包括为支撑数据安全战略而发起的各种建设性项目,如安全防御基础设施、安全运维基础设施、支撑系统、流程、工具,以及重大的安全改进项目。

    为了保障安全架构能力在各业务线的落地,安全团队最好能够提供统一的数据安全管理系统,或者将数据安全管理功能融入数据管理平台或中台。

    数据安全管理系统功能参考:

    ● 提供数据分级分类信息、数据对应的CMDB、数据安全负责人、业务线安全接口人等信息的登记。
    ● 数据的权限申请,含权限明细、有效期等。
    ● 数据流转的审批或登记。
    ● 数据生命周期状态的跟踪,直至数据销毁。
    ● 内外部合规要求与改进指引。
    ● 使用数据的业务登记。
    ● 设计数据安全检查表(Checklist),使用数据的业务,对照合规要求与改进指引,执行自检并保存检查结果,可以用于对业务进行设计合规性的度量。
    ● 风险数据(基于安全的扫描或检测方法,可视化展示各业务的风险)。
    ● 改进计划与改进进度的展示与跟踪。

    数据安全管理系统可以视为数据安全的仪表盘,让大家直观地感受到当前的数据安全风险现状及改进趋势,系统提供的数据可直接作为向上汇报的数据来源。

    五、安全运营管理

    安全运营管理,即日常运营活动的管理,包括了5个层面。

    1、高层支持

    数据安全治理是一个需要高层支持的工作。要获得高层的支持,一般需要通过汇报来进行,那么,应该汇报什么内容,以及希望获得什么样的支持呢?通常来说,需要包括以下点:

    ● 法律法规、监管、合同的要求。其中,以法律法规的强制性要求最为权威。比如《网络安全法》明确规定了网络产品、服务提供者有修复漏洞或安全缺陷的义务。
    ● 违法的处罚,比如违反《网络安全法》要求拒不修复漏洞,最高可罚款50万元,导致严重个人信息泄露事件的最高可罚100万元等。
    ● 风险现状的总结与分析,含风险等级以及对公司的影响。
    ● 业界的实践经验参考,主要包括本行业内的头部企业是怎么做的。
    ● 下一步计划、对公司的意义,以及希望得到的支持,比如建议由高层发起,启动业务改进项目,这一行动在达成合规的同时,将赢得市场的竞争优势地位。

    2、管理者当责

    安全运营团队需要通过适当的方式,将此类问题暴露出来并同步到业务管理层。可以采用的方式有风险数据统计与分析、各业务线的改进得分排名等。

    必要时,也需要针对领导不当责、不严格要求团队或团队负责的业务综合安全风险长期居高不下的情况,向更高级别的管理层提出,供管理问责参考。

    3、跨部门协作配合

    良好协作的前提是构建信任,作为安全运营,需要帮助业务真正地解决问题,建立信任,比如主动解决业务的求助、主动输出培训、主动输出案例与解决方案分享、及时提供技术支持等。

    在进行总结汇报时,也要注意分享利益,提及合作团队为克服什么样的困难而做出的努力,感谢合作团队的付出。在申请项目奖项时,主动纳入各协作团队的同事。

    4、员工支持

    在企业内部推行数据安全时,不是发几个通知就能完成的,也离不开持续的宣传、教育、培训、推广等活动,逐步将数据安全的理念深入人心,将数据安全的最佳实践在内部达成共识。

    5、数据分析与绩效可视

    安全运营的一项重要工作,就是对风险度量数据进行分析总结,用于汇报、沟通,发现需要重点关注的问题,以及展示团队取得的成果,让高层满意。度量数据按照团队进行聚合,比如针对选取的风险指标,给各业务线进行打分和排名,以及输出改进的变化趋势,用于评价各团队的绩效。

    六、合规风险管理

    数据安全合规与风险管理,其目的是为了支撑数据安全治理中的政策总纲与框架,将政策总纲与框架中的原则和精神在日常的产品开发与业务活动过程中落地。

    合规与风险管理可以概括为:定政策、融流程、降风险

    定政策:是指合规管理,包括建立并完善内部政策,使之符合法律法规的要求并作为内部风险改进的依据,以及合规认证与测评,促进合规政策体系改进、业务改进。

    融流程:是指将安全活动在流程中落地,如果将安全要素融入产品开发与发布相关流程,可保障产品全生命周期的安全性。如果将安全相关要求融入业务流程,可保障业务活动的安全合规。

    降风险:是指风险管理,就是以内部政策为依据,在流程中以及日常活动中,评估、识别、检测各业务的数据所面临的风险,根据严重程度对其定级,确定风险处置的优先级,并采取风险控制措施降低风险,防止风险演变为事故,以及对风险进行度量,提升整体数据安全能力。

    七、SDL核心工作

    这一部分主要是为了支撑融流程

    1、安全培训

    产品是由人来设计、开发、测试、实施的,参与人员的安全能力和安全意识,不可避免地影响所交付产品的安全性。所以安全团队的日常运营工作还包括持续的宣传、培训、推广等活动。

    2、安全评估

    评估就是主动识别产品可能的缺陷、漏洞、不合规等风险,评估的形式包括但不限于:

    ● 方案架构设计的评估,可通过同行评审、自检等方式完成。
    ● 代码漏洞的主动发现,可通过代码审计工具来完成。
    ● 安全测试,可通过扫描、测试用例、渗透测试等方式完成。
    ● 合规性评估,如隐私保护措施是否符合所有适用法律法规的要求。

    八、风险管理

    这一部分主要是为了支撑降风险。对于风险管理,可以使用安全架构的5A方法论,来审视产品的架构安全性。

    7.1、风险评估

    以涉及敏感数据的业务为评估对象,来评估其安全性。如果是普通业务,相应的控制措施可以适当放宽。

    1、身份认证

    架构层身份认证机制
    应用和数据层SSO/PKI、DB认证
    设备和主机层运维认证、设备登录
    网络和通信层接入认证
    物理和环境层门禁认证、人脸识别

    2、授权

    架构层授权机制
    应用和数据层授权管理
    设备和主机层运维授权
    网络和通信层动态授权
    物理和环境层授权名单

    3、授权控制

    架构层访问控制
    应用和数据层RBAC/ABAC、应用网关/风控
    设备和主机层运维通道、内部源
    网络和通信层防火墙、NAC
    物理和环境层门禁开关

    4、审计

    架构层审计
    应用和数据层操作审计、日志平台、应用流量审计
    设备和主机层运维审计
    网络和通信层流量审计
    物理和环境层视频监控、来访记录

    5、资产保护

    架构层资产保护
    应用和数据层加密/隐私保护、WAF/CC防护
    设备和主机层补丁/防病毒、HIDS
    网络和通信层抗DDOS
    物理和环境层防火防盗防水

    7.2、风险度量

    我们将安全能力分为5级,从3级开始,作为敏感业务数据安全改进的及格线,4级可视为良好,5级则为优秀。

    级别能力简述数据安全架构能力概述
    5最佳实践+持续改进安全架构实践符合最佳实践并具备持续改进的流程机制
    4增强安全+风险量化安全措施接近最佳实践,并具备风险量化与闭环跟进机制
    3充分定义与合规已按内外部合规要求执行所有必要的安全改进并重复执行
    2计划跟踪仅具备针对典型高危风险的改进计划及跟进措施
    1非正式执行数据安全工作来自于被动需求,尚未主动开展数据安全合规与改进工作

    1、身份认证

    分级要求参考
    5级在4级基础上:员工/用户入口超时退出时间不超过15分钟
    4级在3级基础上:员工/用户入口超时退出时间不超过30分钟;客户端到后端以及后端之间身份认证具备防重放能力;主机双因子身份认证客户端到后端以及后端之间如果只有固定的ApplD+AppKey机制,则达不到该标准
    3级员工/用户入口使用HTTPS集成SSO双因子身份认证,并具备超时退出机制;客户端到后端以及后端之间具备身份认证机制客户端到后端以及后端之间如果只有来源IP机制,则达不到该标准

    2、授权

    分级要求参考
    5级在4级基础上:具备权限分离(SOD)机制;授权与行权分离;具备权限申请流程操作系统管理员、DBA、业务管理员分离;流程上不能审批自己提交的申请
    4级业务自身具备权限最小化机制,且交叉测试通过,能够防止平行越权、垂直越权;具备权限清理机制通过交换URL测试
    3级具备基本的权限管理,比如接入了权限管理系统权限管理系统往往只能控制到CGI这一级,无法控制到基于参数值的权限

    3、访问控制

    分级要求参考
    5级在4级基础上:完善的自动化运维管理平台基本不再登录服务器
    4级具备ABAC或其他针对资产的细粒度访问控制能力;针对数据库的访问,具备唯一路径;应用如对外提供服务则通过应用网关统一接入;具备自动化运维平台典型场景,只能用户自己访问自己创建的数据;使用统一的数据访问层或数据服务,只从一个来源访问数据库
    3级数据接口具备基本的防遍历拉取能力;具备跳板机或自动化运维平台比如频率限制、总量限制、来源限制等

    4、审计

    分级要求参考
    5级在4级基础上:日志平台具备发现异常的自动化审计能力建立基于大数据的分析模型并执行数据挖掘
    4级在3级基础上:日志上传到业务之外的日志平台且日志平台中的日志无法从业务自身发起删除通过Web API或RPC上报日志,而不是直接操作数据库
    3级记录所有对敏感数据的操作日志并保存6个月以上记录时间、来源IP、用户ID、操作等

    5、资产保护

    分级要求参考
    5级在4级基础上:具备数据分级管理系统及登记、自检或检测机制;数据流转跟踪机制;隐私数据统计接口使用差分隐私等机制最好是建立统一的数据安全管理系统
    4级使用KMS配合的存储加密;内外网HTTPS或RPC加密;用户侧收集行为合规及采用差分隐私等机制处理没有KMS则数据无法解密
    3级数据分级;无KMS配合的存储层静态加密;外网HTTPS;敏感个人信息展示脱敏;数据登记,业务纳人安全防御基础设施保护范围应用层继续按明文方式使用存储

    7.3、风险处置

    风险定级之后,接下来就是如何推动业务改进或收敛风险了。风险收敛跟踪需要运营支持系统来进行管理和跟进,一般需要覆盖风险列表展示风险处置流程两个功能。

    7.4、风险运营

    对于风险的量化管理,我们需要选取重要的风险指标(比如弱口令、高危漏洞数量、风险闭环比例等),将风险数据化(包括风险数量、风险等级等),实时体现当前风险的现状;通过持续化的运营活动,记录不同时间段(比如按天、按周、按月等)的风险,并分析变化趋势是否在收敛,以体现安全团队的绩效;对于那些高危且难以收敛的风险,需要重点投入资源加以攻克。

    在这个过程当中,通过各类安全运营活动驱动业务安全改进,就需要使用各种安全风险数据化运营工具。这些工具和技术一般包括:

    ● 风险总览大盘
    ● 例外事项备案登记
    ● 漏洞报告系统
    ● 扫描/检测工具和技术
    ● 风险或问题跟踪系统
    ● 代码审计工具
    ● 项目管理工具

    展开全文
  • 数据安全平台——DSP

    千次阅读 2022-04-03 19:52:46
    DSP全称是Data Security Platforms,Gartner将数据安全平台(DSP)定义为以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。 DSP涵盖了各种场景下的数据安全保护需求,DSP...

    1、DSP是什么 

    DSP全称是Data Security Platforms,Gartner将数据安全平台(DSP)定义为以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。

    DSP涵盖了各种场景下的数据安全保护需求,DSP是以数据安全为核心的保护方案,以数据发现和数据分类分级为基础,混合了多种技术来实现数据安全防护。例如:数据访问控制,数据脱敏,文件加密等,成熟的DSP也可能包含了数据活动监控和数据风险评估的功能。

    2、DSP发展的驱动力

    随着数据逐渐变成新时代生产生活的支柱,数据安全也日益成为保障经济发展、社会稳定和国家安全的重要基石。数据安全面临多项挑战,尤其是与组织机构数据量增多和共享敏感数据需求增加有关。对于大多数组织,需要多种数据安全技术来解决数据安全问题,并为业务发展提供更好的数据安全保护。为满足合规检查,数据安全建设添加各种产品,存在重复建设和建设周期长的情况;各类安全产品之间缺乏有效的联动和统一调度管理,安全风险应对能力难以得到真正提升。

    这种数据安全孤岛严重的情况促使数据安全厂商将单个的安全能力合并到数据安全平台(DSP)中,应用数据安全平台(DSP)可以帮助组织更好的进行数据安全建设。

    3、DSP的演变过程

    大数据环境下,数据量巨大、数据变化快等特征导致大数据分析及应用场景更为复杂,这就需要我们对传统信息安全技术基础之上进行创新,加快数据安全与大型产品平台的融合,从而改善海量数据分析场景下的应用和数据安全问题。

    数据安全市场目前的特点是各业务厂商将其现有的产品功能集成到 DSP 中,常见的数据安全能力包括:数据发现、数据脱敏、数据标识、数据分类分级、云上数据活动监控、数据加密等;以前孤立的安全防护产品在一个共同的平台工具中结合起来,使 DSP 成为数据安全建设的关键节点。

    下图展示了自 2009 年以来数据安全能力的演变,蓝色区域内的这些安全能力是目前一些DSP所具备的,与此同时,DSP也在不断发展,缩小安全能力差距并精细化数据安全策略。

     DAM(数据活动监控)、DbSec(数据库安全)、DAG(数据访问治理)、DLP(数据丢失防护)、Data Masking(数据脱敏)、Tokenization(标识化)、*Data Discovery(数据发现)、Data Risk Analytics(数据风险分析)

     DSP是从运营的角度去做产品化,以产品即服务的形式存在,当前所有产品除自有安全能力之外,其他的必须以服务的展示形式去输出。DSP从最开始的数据活动监控演变为目前的一个数据安全生态体系、数据安全运营,未来DSP要集成的安全能力会更多,通过安全平台+单个安全能力单元去做联动联防,管理能够通过API集成的安全产品以及集成更多的数据安全能力,从而实现数据安全持续运营的目标。

    4、DSP的技术发展框架

    Gartner对DSP 未来状态有更详细的视图。DSP 处于中心位置,其中颜色表示各模块优先级别的相对位置,“数据安全平台”部分概述了这些安全技术的范围、它们在数据安全治理方面发挥的作用以及使用它们的最佳实践。

    DSP所需要的重要安全能力:

    • 敏感数据自动发现和分类分级。DSP 的最佳状态是具有数据分类分级的机器学习能力,判断数据的使用场景,而不是单纯依赖于系统内置的分类分级标准,从而减轻人工的投入。
    • 支持安全策略下发及统一管理。DSP管理界面能够集中管理安全设备、采集数据以及下发安全策略,安全策略支持人工智能和机器学习。
    • DSP 可作为独立产品和基于云的服务产品提供。基于云的产品支持通过 API 集成安全能力单元,使用云交付的 DSP 和数据安全即服务 (DSaaS) 提供的组件可以满足不同企业对数据安全的要求。
    • 数据风险分析能力。通过分析帮助用户配置主动的数据安全防护措施,例如数据分类标签、数据访问控制、数据脱敏、数据库漏洞扫描和数据风险指标。

    未来的数据安全建设必然是从孤立的数据安全产品过渡到数据安全平台,促进数据的业务利用率和价值,从而实现更简单、端到端的数据安全,DSP 产品能够实现这种功能整合。

    5、数据安全治理模式

    通过DSP打通各个孤立的数据安全产品,形成全局态势、总体态势,并借助DSP的算力、智力进行数据分析、模型分析,进一步挖掘复杂、隐秘风险,借助安全元数据进行统一权限管理和处置策略,安全的过程也是一个对抗的过程,我们需要DSP作为数据安全的强大抓手。

    高效的数据安全治理模式:

     数据安全治理先实现体系与技术建设,制定组织机构目前的数据安全治理目标和策略,完善数据安全技术工具建设,使用数据时,再优化数据安全有效的管理策略。通过选择高水平集成能力的 DSP 产品,根据实际需要共享数据,从而实现数据的最大化利用价值,达到数据保护和利用的平衡。数据安全是核心,而不是数据或产品集成,促成以数据安全为中心的框架与大型产品平台融合,这种数据治理模式成本低、见效快、好落地,实现了持续的数据安全运营。

    6、数据安全治理解决方案未来趋势

    DSP更大的价值在于帮助组织机构实现数据安全运营。通过整合安全能力可以覆盖各行业各领域多数的安全场景,从而代替现有的解决方案,不论是大数据安全防护场景、敏感数据防护、全数据形态、等保合规建设、特权防护等解决方案,还是传统IDC、云安全、工控数据安全等场景,DSP可以实现一站式解决数据安全运营问题。

    数据安全组织建设、人员管理、安全流程都可以围绕DSP展开,DSP 工程师的主要职责是充分保护数据,以便可以根据需要使用,而不是通过维护单一产品驱动的数据安全能力来锁定数据。

    写在最后的话:业界之前更多参考的是DSG建设框架,DSG框架提供了一种顶层设计的思维,数据安全治理不应该从安全产品入手,需要从战略规划、流程制度开始,最后以安全产品实现规划。此法虽然具有很好的目标性;但难以应对数据的时效性,成本高,效果小。关于数据安全治理、数据安全运营需要不断实践总结出最佳方案。

    注:DSP的概念来源于Gartner的《2021数据安全技术成熟度曲线》,如有侵权,请联系我删除,以上分享仅供参考和学习, 感兴趣的的可以看看官网的分析研究2022年数据安全平台融合战略路线图

    展开全文
  • 数据安全生命周期管理,是从数据的安全收集或生成开始,覆盖数据的安全使用、安全传输、安全存储、安全披露、安全流转与跟踪,直到安全销毁为止的全过程安全保障机制。 对于数据的隐私生命周期,一般分为以下几个...
  • 本文重点介绍了DSP集成的安全产品(安全技术能力)和差距分析,DSP是以数据安全为核心的保护方案,以数据发现和数据分类分级为基础,混合了多种技术来实现数据安全防护。例如:数据访问控制,数据脱敏,文件加密等,...
  • 数据安全治理方法导论

    千次阅读 多人点赞 2020-11-25 22:30:38
    数据安全-The eye of storm】 目录 第一章 数据安全治理是一套系统工程 1.1 数据安全成为安全的核心问题 1.2 数据泄露路径多元化 1.3 数据安全按相关法律和标准大爆发 1.4 数据安全建设需要有系统化...
  • WHAT何为数据安全? 数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。 与边界安全、文件安全、用户行为安全...
  • 数据安全法整理学习笔记

    千次阅读 2022-04-08 01:11:12
    数据安全法 一、内容学习 第一章 总则 目的:规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。 范围:境内数据处理活动;境外数据处理活动但损害中华...
  • yolov3训练讯飞安检图像数据集记录

    千次阅读 2020-08-27 11:26:17
    yolov3训练讯飞安检图像数据集记录前言前置工作数据集yolov3配置下载yolov3项目代码修改Makefile文件并编译实验准备数据集下载Imagenet上预先训练的权重修改darknet/cfg/voc.data修改darknet/data/voc.name修改...
  • 毫米波安检成像系统高速数据接收设计,陈国平,陈兵,毫米波安检成像技术是一种新型的安检手段,主动式毫米波安检成像系统能够快速获得目标人体的高分辨率图像,针对主动式毫米波安检
  • 数据安全分类分级剖析

    千次阅读 2021-09-15 00:04:46
    数据分类分级对于数据的安全管理至关重要,安全分类分级是一个“硬核课题”,从...数据分级通过对不同级别的数据设置相应访问权限、加密规则、脱敏规则等,可大大提升数据安全管控效率,是数据安全精细化管理的重要一步
  • 十四五规划下,数据安全成为国家、社会发展面临的重要议题,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》已陆续施行。如何做好“数据安全建设”是数字时代的必答题。
  • 数据治理实践之数据安全管理

    千次阅读 2020-08-18 10:36:00
    1. 数据安全治理介绍 1.1 数据安全治理目标和理念 金融机构围绕“让数据使用更安全”的核心目标,重点关注数据的使用权限和应用场景,建设数据安全管理体系,主要理念如下: 数据安全管理不能仅关注单一产品或...
  • 浅析《数据安全能力成熟度模型》

    千次阅读 2021-02-17 21:22:27
    国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》由全国信息安全标准化技术委员会(TC 260)提出并归口,2019年8月30日正式发布,2020年3月1日开始实施。该标准由阿里巴巴、中电子技术标准化研究院...
  • 为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。 【解读】 本条规定了《数据安全法(草案)》的立法目的。 第二条 在中华人民共和国境内开展数据活动...
  • 11月24日,在“从一维到多维 ,让数据安全有章可循——山石网科数据安全综合治理体系发布会”上,山石网科面向全行业推出《数据安全治理白皮书》,并向企业侧正式发布全新的数据安全治理体系和数据安全综合治理平台...
  • 随着我国民用航空业的飞速发展,民航安检工作普遍存在的旅客安检模式单一、政策标准固化、安检资源配置不足、安全裕度得不到扩充、安检自身效能不能释放等问题和弊端,已成为提高安检通行效率、提升机场服务品质、...
  • 数据全生命周期中的安全管理

    千次阅读 2022-01-15 22:29:15
    一般来讲,数据全生命周期是基于数据在组织业务中的流转情况定义的,分为以下6个阶 段。 ● 数据采集:在企业内部系统中新生成数据和从外部收集数据的阶段。 ● 数据存储:数据以任何数字格式进行物理存储或云存储的...
  • 数据安全

    千次阅读 2020-10-28 21:58:23
    数据安全
  • 其中,数据安全是国内外讨论的热点话题,2021年有太多数据安全事件值得回顾和盘点,如大规模泄露与国内源代码泄露、《数据安全法》和《个人信息保护法》双双实施、国内数据安全执法“重拳出击”、“隐私增强计算”...
  • 数据安全--14--隐私保护治理浅析

    千次阅读 2022-02-13 20:39:58
    二、隐私保护治理简介 如果企业面临较大的合规压力,可借鉴数据安全管理的相关做法以及合规要求,构建隐私保护的管理体系,包括: ● 建立隐私保护政策总纲,并在管理层达成共识。 ● 建立隐私保护的组织和团队、...
  • 数据安全相关法律法规国家标准文件
  • 一.数据的安全性: 保护数据库以防止不合法的使用所...数据安全性控制: 用户身份鉴别 静态口令鉴别 动态口令鉴别 生物特征鉴别 智能卡鉴别 多层存取控制 自主存取控制方法 GRANT 授权 REVOKE 收...
  • 完成了资产识别、脆弱性识别及威胁识别后(链接请见文章末尾处),我们可以采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对...
  • 库管员机器人忠于职守,对所有前来存储或读取数据的私人管家进行身份和权限的验证,拒绝存在安全隐患或者权限不足的私人管家与用户数据接触。除此之外,在仓库管理过程中,还有两类机器人可以进出仓库: (1)库...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 788,390
精华内容 315,356
关键字:

数据安全检查