DAMA数据管理知识体系指南-读书笔记7
作者:互联网
第七章 数据安全
一、引言
数据安全包括安全策略和过程的规划、建立与执行、为数据和信息资产提供正确的身份验证、授权、访问和审计。数据安全要求来自:
- 利益相关方:应识别利益相关方隐私和保密需求,包括客户、病人、学生、公民、供应商或商业伙伴等;组织中每个人必须对利益相关方数据负有责任的委托人。
- 政府法规:政府法规制定的出发点是保护利益相关方的利益,政府法规目标各有不同,有些规定限制信息访问,有些则确保公开、透明和问责的。
- 特定业务关注点:每个组织的专有数据都需要保护,这些数据运用得当,组织会获得竞争优势;若数据窃取或破坏,则组织就会失去竞争优势。
- 合法访问需求:组织在保护数据安全额同时,还须启用合同访问;业务流程要求不同角色的人能访问、使用和维护不同的数据。
- 合同义务:合同和保密协议对数据安全要求影响。
1.1 业务驱动因素
降低风险和崔进业务增长是数据安全活动的主要驱动因素。
(1)降低风险
信息安全管理首先对组织数据进行分类分级,以便识别需要保护的数据。步骤如下:
- 识别敏感数据资产并分类分级
- 在企业中查找敏感数据
- 确定保护每项资产的方法
- 识别信息与业务流程如何交互
(2)业务增长
电子商务的爆炸式增长改变了商品和服务的提供方式,电子商务推动利润和业务增长。产品和服务质量与信息安全有着相当直接的关系:强大的信息安全能够推动交易进行并建立客户信心。
(3)安全性作为资产
元数据是管理敏感数据的方法之一,可以在数据元素和集合级别标记信息分类和合规敏感度。标准安全的元数据可用于优化数据保护,知道业务开展和技术支持流程,从而降低成本。这一层信息安全有助于防止对数据资产未经授权的访问和滥用。
1.2 目标和原则
(1)目标
- 支持适当访问并防止对企业数据资产的不当访问
- 支持对隐私、保护和保密机制、法规的遵从
- 确保满足利益相关方对隐私和保密的要求
(2)原则
- 协同合作:数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门
- 企业统筹:运用数据安全标准和策略时,必须保证组织的一致性
- 主动管理:数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈。
- 明确责任:明确界定角色和职责,包括跨组织和角色的数据“监管链”。
- 元数据驱动:数据安全分类分级是数据定义的重要组成部分。
- 减少接触以降低风险:最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。
1.3 基本概念
1.3.1 脆弱性
脆弱性是系统中容易遭受攻击的弱点或缺陷,本质上时组织预防中的漏洞。许多情况下,非生产环境比生产环境更容易受到威胁,将生产数据控制在生产环境之内至关重要。
1.3.2 威胁
威胁是一种可能对组织采取的潜在攻击行动,威胁包括发送到组织感染病毒的电力邮件附件、使网络服务器不堪重负以致无法执行业务的进程,以及对已知漏洞的利用等。对每种威胁,都应有一种相应的抵御能力,以防止或限制威胁可能造成的损害。
1.3.3 风险
风险既指损失的可能性,也指构成潜在损失的事务或条件,风险可按潜在损害程度或发生的可能性来确定优先级,从以下几方面计算风险:
- 威胁发生的概率及其可能的频率
- 每次威胁时间可能造成的损害类型和规模,包括声誉损害
- 损害对收入或业务运营的影响
- 发生损害后的修复成本
- 预防威胁的成本,包括漏洞修复手段
- 攻击者可能的目标或意图
1.3.4 风险分类
风险分类描述了数据的敏感性以及出乎恶意目的对数据访问的可能性,分类用于确定谁可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类,风险分类如下几方面:
- 关键风险数据:个人信息
- 高风险数据:为公司提供竞争优势,具有潜在的直接财务价值,往往被主动寻求未经授权使用
- 中等风险数据:对几乎没有实际价值的公司非公开信息,未经授权使用可能会对公司产生负面印象。
1.3.5 数据安全组织
数据安全组织取决于不用的企业规模,数据安全的责任就落在数据管理者身上。数据管理者需要与信息技术开发人员和网络安全专业人员积极合作,以便识别法规要求的数据,前档地保护敏感系统,并设计用户访问控制以强制实施保密性、完整性和数据合规性。
1.3.6 安全过程
数据安全和过程4A+E
- 访问(Access):使具有授权的个人能够及时访问系统
- 审计(Audit):审查安全操作和用户活动,以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档,以验证是否符合安全法规、策略和标准,定期发布审核结果。
- 验证(Authentication):验证用户的访问权限,在身份验证过程中,所有传送过程均经过加密,以防止身份验证信息被盗。
- 授权(Authorization):授予个人访问与其角色相适应的特定数据视图的权限。
- 权限(Entitlement):权限是由单个访问授权决策向用户公开的所有数据元素的总和。
监控:
系统应包括检测意外事件的监视控制,包含机密信息的系统通常实施主动、实时的监控,以提醒安全管理员注意可疑活动或不当访问。被动监控是通过系统定期捕获系统快照,并将趋势与其他标准进行比较,跟踪随时发生的变化。主动监控是一种检测机制,被动监控是一种评价机制。
1.3.7 数据完整性
在安全性方面,数据完整性是一个整体状态要求,以免于遭受不当增/删改所造成的影响。
1.3.8 加密
加密是将纯文本转化为复杂代码,以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密数据不能在没有解密钥匙或算法的情况下读取,解密秘钥或算法通常单独存储,不能基于统一数据集中的其他数据元素来进行计算。3种类型加密方法:
- 哈希:哈希将任意长度数据转换为固定长度数据表示,即使知道所使用的确切算法和应用顺序,也无法解密出原始数据,常见哈希算法有MD5、SHA
- 对称加密:对称机密使用一个密钥来加解密数据,发送方和接收方必须具有读取原始数据的密钥,可诸葛字符机密数据、也可对数据块加密
- 非对称机密:在非对称加密中,发送方和接收方使用不同的密钥,发送方使用公开提供的公钥进行加密,接收方使用私钥解密显示原始数据。
1.3.9 混淆或脱敏
可通过混淆处理(变模糊或不明确)或脱敏(删除、打乱或以其他方式更改数据的外观等)的方式来降低数据可用性,同时避免丢失数据的含义或数据域其他数据集的关系。
数据敏感分为两种类型:静态脱敏和动态脱敏,静态脱敏按执行方式分为不落地脱敏和落地脱敏。静态数据脱敏永久且不可逆转地更改数据,这类数据脱敏在生成环境和开发(或测试)环境之间运用,静态脱敏虽会更改数据,但数据仍可用于测试、应用程序、报表等。
静态数据脱敏 | 不落地脱敏 | 当在数据源(生产环境)和目标(非生产)环境之间移动需要脱敏或混淆处理时,会采用不落地脱敏。由于不会留下中间文件或带有未脱敏数据的数据库,不多地过敏方式非常安全。 |
---|---|---|
落地脱敏 | 当数据源和目标相同时,可使用落地脱敏,从数据源中读取未脱敏数据,进行脱敏操作后直接覆盖原始数据。 | |
动态数据脱敏 | 在不更改基础数据的情况下,在最终用户或系统中改变数据的外观。 | |
脱敏方法 |
|
1.3.10 网络安全术语
后门 | 指计算机系统或应用程序的忽略隐藏入口,它允许未经授权用户绕过密码等限制获取访问权限。后门通常是开发人员处于维护系统的目的而创建的,其他的包括由商业软件包创建者设置的后门。 |
---|---|
机器人或僵尸 | 是已被恶意黑客使用的特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站,远程控制机器人用来执行恶意任务。 |
Cookie | 网站在计算机硬盘上安装的小型数据文件,用于识别老用户并分析其偏好,Cookie用于互联网电子商务。由于Cookie有时会被间谍软件利用,从而引发隐私问题,所以Cookie的使用也有争议 |
防火墙 | 是过滤网络流量的软件或硬件,用于保护单个计算机或整个网络免受未经授权的访问和免遭企业对系统的攻击。防火墙可能会对传入和传出的通信信息进行扫描,以寻找受限或受监管的信息,并防止未经许可通过。某些防火墙还限制对特定外部网站的访问。 |
周界 | 指组织环境与外部系统之间的边界。通常将防火墙部署在所有内部和外部环境之间。 |
DMZ | 非军事区检测,是组织边缘或外围区域,在DMZ和组织之间设有防火墙。DMZ环境与Internet互联网之间始终设有防火墙。DMZ环境用于传递或临时存储在组织之间移动的数据。 |
超级用户账户 | 具有系统管理员或超级用户访问权限的账户,仅在紧急情况下使用。这些账户的凭据保存要求具有高度安全性,只有在紧急情况下才能通过适当的文件或批准发布,并在短时间内到期。 |
键盘记录器 | 一种攻击软件,对键盘上键入的所有击键进行记录,然后发送到互联网上的其他地方。它将会捕获每个密码、备忘录、公式、文档和Web地址。通常,瘦感染的网站或恶意软件下载建安装键盘记录器。某些类型的文档下载也允许安装文件记录器。 |
渗透测试 | 在渗透测试中,来自组织本身或外部安全公司聘任的“白帽”黑客视图从外部侵入系统,正如恶意黑客一样,视图识别系统漏洞。同构渗透测试发现的漏洞应该在应用程序正式发布前予以解决。作为持续软件漏洞消除的证据,可关注来自软件厂商源源不断的安全补丁,这些补丁许多是“白帽”黑客代表供应商执行检测行为的结果。 |
虚拟专用网络(VPN) | VPN使用安全的互联网创建进入组织环境的安全路径或“隧道”。隧道是高度机密的,VPN允许用户和内部网络之间通信,通过使用多重身份验证元素连接到组织环境外围的防火墙。 |
1.3.11 数据安全类型
设施安全 | 是抵御恶意行为人员的第一道防线,设施上至少应具有一个锁定能力的数据中心,其访问权限仅限于授权员工 | |
---|---|---|
设备安全 | 设备安全标准包括:
| |
凭据安全 | 身份管理系统 | 传统上对每个独立资源、平台、应用系统或工作站,用户都有不同的账户和密码,具有企业用户目录的组织科在异构资源之间建立同步机制,以简化用户密码管理。用户只需一次性输入密码,之后所有身份验证和授权都通过引用企业用户目录来执行,实现此功能的神恩管理系统成为“单点登录” |
电子邮件系统的用户ID标准 | 在电子邮件中,用户ID应当是唯一的,大多数使用一些名字或首字母以及完整或部分姓氏作为电子邮件或网络ID,并使用数字来区分冲突。 | |
密码标准 | 密码是保护数据访问的第一道防线,每一个用户账户都需要有一个密码,由用户自己设置,要求在安全标准中定义足够高的密码级别,通常称为“强”密码。 | |
多因素识别 | 有些系统需要额外的识别程序,包括对包含代码的用户移动设备的返回调用、用于登录所必需的硬件设备的使用或诸如指纹、面部识别或视网膜扫描的生物特征因素。 | |
电子通信安全 | 不安全的通信方式可被外部读取或拦截,为避免同构电子邮件或即时通信应用发送个人信息或任何限制级/机密级公司信息;发送电子邮件后,用户将失去对其中信息的控制,它可以在发件人不知情或没有同意的情况下被转发给其他人。 |
1.3.12 数据安全制约因素
数据安全制约因素包括数据保密等级和监管要求,保密要求源自内部,监管要求由外部定义。
- 保密等级:机密信息仅在“需要知道”的基础上共享,保密等级取决于谁需要知道某些类型信息。
- 监管要求:根据外部规则分配监管类别,监管信息在“允许知道”基础上共享,数据共享方式受该法律明确条款的约束。
机密数据 | 保密范围从高到底,以下列出5个机密分类级别:
| |
---|---|---|
监管限制数据 | 法规系列举例 | 某些政府法规按名称指定数据元素,并要求以特定方式对其进行保护:个人身份信息、财务敏感数据、医疗敏感数据/个人健康信息、教育记录 |
行业法规或基于合同的法规 | 某些行业对任何记录、保留和加密嘻嘻有特定的标准,有些嗨不允许删除、编辑或分发到禁止的地方:
|
1.3.13 系统安全风险
识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护,还需要确认系统的固有风险。系统安全风险包括可能危及网络或数据库的风险要素,这些威胁允许合法员工有意或无意地滥用信息,并有助于恶意何可攻击成功。
(1)滥用特权
在授予数据访问权限时,应采用最小特权原则。仅允许用户、进程或程序访问其合法目的所允许的信息。解决权限过大的方案是查询级访问控制,这种控制机制可将数据库权限限制为最低要求的SQL操作和数据范围,数据访问控制粒度要从表格级访问深入到特定行和特定列。
(2)滥用合法特权
处于未经授权的目的,用户可能滥用合法赋予他的数据库权限,需考虑故意和无意滥用风险,部分解决滥用合法特权的方案是数据库访问控制。
(3)未经授权的特权升级
存储过程、内置函数、协议实现甚至SQL语句中都可能存在漏洞,攻击者可能会利用数据库平台软件漏洞将访问权限从普通用户权限变为管理员权限。使用管理权限,违规的开发人员可能会关停审计机制、创建虚假账户、转移资金户或关闭账户。
将传统入侵防护系统(IPS)和查询级访问控制入侵防护相结合,以防止特权升级漏洞。将IPS与其他攻击指标相结合,可提高识别攻击的准确性。
(4)服务账户或共享账户滥用
使用服务账户和共享账户会增加数据泄露风险,并使跟踪漏洞来源的功能更加复杂。
- 账户服务:服务账户的便利性在于可自定义对进程的增强访问,将服务账户的使用限制为特定系统上的特定命令和任务,需要文档和批准才能分发凭据。
- 共享账户:对于共享账户,会将凭据提供给多个用户,由于共享账户提供的访问几乎不受控制,应仔细评估对共享账户的使用,默认情况下使用共享账户。
(5)平台入侵攻击
数据库资产的软件更新和入侵防护需要结合定期软件升级(补丁)和部署专用户入侵防御系统,IPS通常与入侵系统一起部署,目标是杜绝大多数网络入侵企图,并对任何成功通过防御系统的入侵行为快速响应。
(6)注入漏洞
在SQL注入攻击中,攻击者将未经授权的数据库语句插入(或注入)到易受攻击的SQL数据通道中,使用SQL注入时,攻击者可不受限制地访问整个数据库,也用于攻击数据库管理系统。一般通过将所有输入数据上传服务器处理之前对其进行清理,从而降低这种风险。
(7)默认密码
默认密码是许多演示包的一部分,安装第三方阮籍会产生其他账户默认密码。攻击者不断寻找一种窃取敏感数据的捷径,创建必须的用户名和密码组合,并确保DBMS中并未保留默认密码,可缓解对敏感数据的威胁,清楚默认密码是每次实施过程中的重要安全步骤。
(8)备份数据滥用
备份是为了降低数据丢失而产生的相关风险,但备份也代表一种安全风险。对所有数据库备份加密,可防止有形介质或电子传送中丢失备份数据。要安全地管理备份的解密秘钥,密钥必须异地可用,才有助于灾难恢复。
1.3.14 黑客行为/黑客
“黑客行为”一词产生于以寻找执行某些计算机任务的聪明方法为目标的时代。黑客是在复杂的计算机系统中发现未知操作和路径的人。
道德或“白帽”黑客致力于改进系统,有助于系统性修补(更新)计算机系统,以提高其安全性。恶意黑客是故意破坏或“黑人”计算机系统以窃取机密信息或造成损害的人。
1.3.15 网络钓鱼/社工威胁
安全的社工威胁通常涉及直接通信,旨在诱使有权访问受保护数据的人提供信息给拟用于犯罪或恶意目的的人。
社会工程师指恶意黑客视图诱骗人们提供信息或访问信息的方法。网络钓鱼是指通过电话、及时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。网络钓鱼的即时消息和电子邮件还可能引导用户访问虚假网站,诱骗他们提供个人信息。特别微信的是专门针对高管的虚假的电子邮件,被称为“鲸鱼的鱼叉”。
1.3.16 恶意软件
恶意软件时指为损坏、更改或不当访问计算机或网络而创建的软件,恶意软件有多重形式,具体取决于用户:
(1)广告软件
广告软件是一种从互联网下载至计算机的间谍软件,广告软件监控计算机的使用,如访问了哪些网站。广告软件并不违法,但它用于收集完整的用户浏览和购买习惯的个人资料并出售给其他营销公司,恶意软件也很容易利用它来窃取身份信息。
(2)间谍软件
间谍软件是指未经同意而潜入计算机以跟踪在线活动的任何软件程序。当用户从互联网站点下载并安装免费软件时,通常用户不知情时就安装了间谍软件。不同形式的间谍软件跟踪不同的互动类型。有的程序监视网站访问,有的程序则记录用户按键以窃取个人信息,如信用卡号、银行账户信息和密码。
(3)特洛伊木马
特洛伊木马指通过伪装或嵌入合法软件而进入计算机系统的恶意程序。安装后的特洛伊木马将删除文件、访问个人信息、安装恶意软件、重新配置计算机、安装键盘记录器,甚至允许黑客将计算机用作攻击网络中其他计算机的武器。
(4)病毒
病毒是一种计算机程序,它将自身附加到可执行文件或易受攻击的应用程序上,能造成极具破坏性的后果。
(5)蠕虫
计算机蠕虫是一种自己可以在网络中进行复制和传播的程序。受蠕虫感染的计算机将源源不断地发送感染信息。其主要功能是通过消耗大量带宽来危害网络,从而导致网络中断。
(6)恶意软件来源
- 即时消息(IM):允许用户实时地相互传递消息,由于许多IM系统在添加安全功能方面进展缓慢,恶意黑客发现IM是传播病毒、间谍软件、网络钓鱼诈骗和各种蠕虫的有效手段。
- 社交网:在社交网站,用户建立在线个人资料并分享个人信息、观点、照片、博客条目和其他信息,而这些网站已成为在线犯罪、垃圾邮件发送者和身份盗窃者的目标。
- 垃圾邮件:批量发送那些未经请求的商业电子邮件。通常发送给数数千万用户,希望获得一些用户回复。大多数电子邮件路由系统都设有陷阱,它将已知模式的垃圾邮件进行过滤,以减少内部网流量。(排除模式包括:已知的垃圾邮件传送域、抄送或密送的地址超出限量、电子邮件正文只有一个超链接的图、特定文本字符串或单)
二、活动
2.1 识别数据安全需求
(1)业务需求
组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。通过分析业务规则和流程,确定安全接触点。
(2)监管要求
创建一份完整的清单,其中包含所有数据相关法规以及受每项法规影响的数据主题域,在为法规遵从而制定的相关安全策略和实施的控制措施之间建立链接关系。
2.2 制定数据安全制度
所有数据法规遵从行动必须协调一致,以降低成本、工作指令混乱和不必要的本位之争。管理与企业安全相关的行为需要不同级别的制度,
- 企业安全制度:员工访问设施和其他资产的全局策略、电子邮件标准和策略、基于职位或职务的安全访问级别以及安全漏洞报告策略。
- IT安全制度:目录结构标准、密码策略和身份管理框架
- 数据安全制度:单个应用程序、数据库角色、用户组和信息敏感性的类别
2.3 定义数据安全细则
(1)定义数据保密等级
保密等级分类时重要的元数据特征,用于指导用户如何获得访问权限。每个组织都应创建或采用满足业务需求的分级方案。任何分级方案都应清洗易行,它将包含从最低到最高的一系列密级。
(2)定义安全角色
角色组使得安全管理员能够按角色定义权限,并通过在适当角色组中注册用户实现权限授予。为避免数据完整性问题,需要对用户身份数据和角色组成员身份集中管理,是有效访问控制数据质量的要求。对角色定义和组织的方法有两种:网格(从数据开始)和层次结构(从用户开始)。
- 角色分配矩阵:基于数据机密性、法规和用户功能,矩阵可用于映射数据的访问角色。公共用户角色可以访问公开级别中列出的所有数据,不受任何法规约束。
- 角色分配层次结构:在工作组或业务单元级别构建组定义。在层次解耦股中组织角色,以便子角色进一步限制父角色的权限。这些层次结构的持续保护是一项复杂活动,需要能深入获取到单个用户权限的报告系统。
2.4 评估当前安全风险
安全风险包括可能危及网络或数据库的因素。识别风险第一步是确定敏感数据的存储位置,以及这些数据需要哪些措施保护,对每个系统进行以下评估:
- 存储或传送的数据敏感性
- 保护数据的需求
- 现有的安全保护措施
2.5 实施控制和规程
组织必须实施适当的控制以满足安全策略要求,控制和规程应涵盖:
- 用户如何获取和终止对系统或应用程序的访问权限;
- 如何为用户分配角色并从角色中去除
- 如何监控权限级别
- 如何处理和监控访问变更请求
- 如何根据机密性和适用法规对数据进行分类
- 检测到数据泄露后如何处理
(1)分配密级
根据组织的分类方案,数据管理专员负责评估和确定适当的数据密级,文件和报告的分类应基于文件中发现的任何信息的高等密级,在每个页面或每个屏幕的页眉或页脚中标记分类。文件作者和信息产品设计人员负责评估、正确分类和标记每个文档以及每个数据库的适当密级。
(2)分配监管类别
组织应创建或采用能确保满足法规遵循从要求的分类方案,需要有与这些类别相关的数据保护文档要求,因为其中定义了可实施的行为。
(3)管理和维护数据安全
一旦所有需求、制度和过程都到位,则主要任务是确保不会发生安全漏洞。
持续监视系统和审核安全程序的执行 |
|
敏感或异常数据库事务的自动记录应该是任何数据库部署的而义不分,缺乏自动化监控意味着严重的风险 |
|
为了降低风险,可部署实施基于网络的审计设备,设备具有如下优点 |
|
(4)管理安全制度遵行性
管理安全制度合规性包括确保遵循制度并有效维护控制的日常活动,包括提供满足新需求的建议。
管理法规遵行性 | 管理法规遵行性包括:
|
审计数据安全和合规活动 | 应确保数据安全和法规制度遵从情况进行连续性的定期内部审计,审计通常还包括执行测试和检测,如
|
三、工具
3.1 杀毒软件/安全软件
杀毒软件可保护计算机免受网上病毒的侵扰,要定期更新安全软件。
3.2 HTTPS
Web地址以https://开头,则表示网站配备了加密的安全层。用户通常必须提供密码或其他身份验证手段才能访问该站点,在线支付或访问机密信息都采用此加密保护。如果缺乏加密,同一网段上的用户就可读取纯文本信息。
3.3 身份管理技术
身份管理技术是存储分配的凭据,并格局请求与系统共享。
3.4 入侵侦测和入侵防御软件
在不当事件发生时,入侵检测系统(IDS)将通知相关人员,IDS最好与入侵防御系统(IPS)进行连接,IPS系统可对已知攻击和不合逻辑的用户命令组合自动响应。
3.5 防火墙(防御)
安全且复杂的防火墙应部署在企业网关上,它具有在允许高速数据传送的同时还能执行详细的数据分析能力。对于暴露与Internet的web服务器,建议使用更复杂的防火墙结构,因为许多恶意黑客攻击可以通过有意扭曲的合法流量,对数据库和web服务器漏洞加以利用。
3.6 元数据跟踪
跟踪元数据的工具有助于组织对敏感数据的移动进行跟踪,使用元数据标记敏感信息是确保数据得到防护的最佳方式。
3.7 数据脱敏/加密
进行脱敏或加密的工具对于下肢敏感数据的异动很有用
四、方法
4.1 应用CRUD矩阵
创建和使用数据-流程矩阵和数据-角色关系矩阵有助于映射数据访问需求,并指导数据安全角色组、参数和权限定义。
4.2 即时安全补丁部署
应由一个尽可能快的在所有计算机上安装安全补丁程序的流程,恶意黑客只需获取一台计算机访问权限,就可在网络上成功开展攻击,因此不应推迟这些更新。
4.3 元数据中的数据安全属性
元数据存储库对于确保企业数据模型在跨业务流程使用中的完整性和一致性至关重要。元数据应包括数据的安全性和监管分类,安全元数据的到位可保护组织避免员工对敏感数据缺乏认知而造成的影响。
4.4 项目需求中的安全要求
对每个涉及数据的项目都必须解决系统和数据安全问题,在分析阶段详细确定数据和应用程序安全要求。预先识别有助于指导设计,避免阿全流程的改造。
4.5 加密数据的高效搜索
搜索加密数据包括需要解密数据。减少需要解密数据的方法之一是采用相同的加密方法来加密搜索条件,然后用密文去查找匹配项。
4.6 文件清理
文件清理是在文件共享之前从中清理元数据的过程,文件清理降低了注释中国的机密信息可能被共享的风险。
五、实施指南
5.1 就绪评估/风险评估
避免数据安全漏洞的最佳方法是建立安全需求、制度和操作规程的意识,可同构一下方式提高合规性:
- 培训:通过对组织各级安全措施的培训促进安全规范;通过在线测试等评估机制进行培训,以提高员工数据安全意识。
- 制度一致性:为工作组和各部门制定数据安全制度和法规遵从制度,以健全企业制度为目标
- 衡量安全性的收益:奖数据安全的收益同组织计划联系起来
- 为提供商设置安全要求:在SLA和外部合同义务中包括数据安全要求。
- 增强紧迫感:强调法律、合同和监管要求,以增强数据安全管理的紧迫感
- 持续沟通:支持持续员工安全培训计划,向员工通报安全计算实践和当前威胁。
5.2 组织与文化变革
组织需制定数据相关制度,使其能够实现业务目标,同时保护受监管和敏感信息不被滥用或未经授权的披露。
5.3 用户数据授权的可见性
必须在系统实施期间审查每个用户的数据权限,一确定是否包含任何受控信息。
5.4 外包世界中的数据安全
外包增加了跨组织和地理边界共担数据责任的人数,必须在外包合同中明确每个角色的职责和期望。需更严格的风险管理和控制机制,包括:
- 服务水平协议(SLA)
- 外包合同中的有限责任条款
- 合同中的审计权条款
- 明确界定违反合同义务的后果
- 来自服务提供商的定期数据安全报告
- 对供应商系统活动进行独立监控
- 定期且彻底的数据安全审核
- 与服务提供商的持续沟通
- 如果供应商位于另一个国家/地区并发生争议时,应了解合同法中的法律差异。
5.5 云环境中的数据安全
数据安全制度需要考虑跨不同服务模型的数据分布。在云计算中,共担责任、定义数据监管链以及定义所有权和托管尤为重要。基础设施方面的看看对数据安全管理和数据制度有着直接的影响。各种规模的组织都需要微调甚至创建面向云计算的新数据安全管理制度。
六、数据安全治理
6.1 数据安全和企业架构
数据安全架构师企业架构的一部分,描述了企业内如何实现数据安全以满足业务规则和外部法规,安全架构涉及:
- 用于管理数据安全的工具
- 数据加密标准和机制
- 外部供应商和承包商的数据访问指南
- 通过互联网的数据传送协议
- 文档要求
- 远程访问标准
- 安全漏洞时间报告规程
6.2 度量指标
指标有助于流程改进,一些指标衡量流程的进度:开展的审计量、安装的安全系统、报告的事件数以及系统中未经检查的数据量。更复杂的指标将侧重于审计结果或组织在成熟度模型上的变动。创建每个指标的基线,用以显示随时间而取得的进展。
(1)安全实施指标
以下常见的安全指标可设定为正值百分比:
- 安装了最新安全补丁程序的企业计算机百分比
- 安装并运行最新反恶意软件的计算机百分比
- 成功通过背景调查的新员工百分比
- 在年度安全实践测验中得分超狗80%的员工百分比
- 已完成正式风险评估分析的业务单位百分比
- 在发生如火灾、地震、风暴、洪水、堡寨或其他灾难时,成功通过灾难恢复测试的业务流程百分比
- 已成功解决审计发现的问题百分比
可根据列表或同级数据的指标跟踪趋势:
- 所有安全系统的性能指标
- 背景调查和结果
- 应急响应计划和业务连续性计划状态
- 犯罪事件和调查
- 合规的尽职调查以及需要解决的调查结果数量
- 执行的信息风险管理分析以及导致可操作变更的分析数量
- 制度审计的影响和结果
- 安全操作、物理安全和场所保护统计信息
- 记录在案的、可访问的安全标准
- 相关方遵守安全制度的动机
- 业务行为和声誉风险分析,包括员工培训
- 基于特定类型的数据的业务保健因素和内部风险
- 管理者和员工的信息和影响指标,作为数据信息安全工作和制度如何被感知的指示
(2)安全意识指标
考虑并选择适当的指标:
- 风险评估结果:评估结果提供了定性数据,需反馈给相关业务单位
- 风险事件和配置文件:通过这些事件和文件确定需要纠正的未管理风险敞口
- 正式的反馈调查和访谈:通过检查和访谈确定安全意识水平
- 事故复盘、经验教训和受害者访谈:为安全意识方面的缺口提供了丰富的信息来源
- 补丁有效性审计:涉及使用机密和受控信息的计算机,以评估安全补丁的有效性。
(3)数据保护指标
需求决定哪些指标与组织相关:
- 特定数据类型和信息系统的关键性排名
- 与数据丢失、危害或损坏相关事务、黑客攻击、盗窃或灾难的年损失预期
- 特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关
- 数据与特定业务流程的风险映射,与销售点设备相关的风险将包含的金融支付系统过的风险预测中
- 对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估
- 对可能意外或有意泄露敏感信息的业务流程中的特定部分进行流动评估。
(4)安全事件指标
安全事件指标包括:
- 检测到并阻止了入侵尝试数量
- 通过防止入侵节省的安全成本投资回报
(5)机密数据扩散
应衡量机密数据的副本数量,以减少扩散。机密数据存储的位置越多,泄露的风险就越大。
标签:读书笔记,用户,访问,数据管理,数据安全,DAMA,数据,安全,脱敏 来源: https://blog.csdn.net/baidu_38792549/article/details/120321595