数据安全
跳到导航
跳到搜索
数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和审计。有效的数据安全策略和过程确保合法用户能以正确的方式使用和更新数据,并且限制所有不适当的访问和更新(Ray,2012)
数据安全管理的业务驱动因素
降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全,可降低风险并增加竞争优势。
业务驱动因素
- 降低风险
- 业务增长
- 安全性作为资产
目标和原则
数据安全管理的目标
数据安全管理的目标,包括以下几个方面:
- 支持适当访问并防止对企业数据资产的不当访问。
- 支持对隐私、保护和保密制度、法规的遵从。
- 确保满足利益相关方对隐私和保密的要求。
数据安全管理的指导原则:
- 协同合作:数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
- 企业统筹:运用数据安全标准和策略时,必须保证组织的一致性。
- 主动管理:数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
- 明确责任:必须明确界定角色和职责,包括跨组织和角色的数据“监管链”。
- 元数据驱动:数据安全分类分级是数据定义的重要组成部分。
- 减少接触以降低风险:最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。
基本概念
- 脆弱性(Vulnerability)
- 威胁(Threat)
- 风险(Risk)
- 风险分类
- 数据安全组织
- 安全过程
- 访问(Access)
- 审计(Audit)
- 验证(Authentication)
- 授权(Authorization)
- 权限(Entitlement)
- 监控
- 数据完整性(Data Integrity)
- 加密(Encryption)
- 哈希(Hash)
- 对称加密
- 非对称加密
- 混淆
- 脱敏
- 后门(Backdoor)
- 机器人(Robot)
- 僵尸(Zombie)
- Cookie
- 防火墙(Firewall)
- 周界(Perimeter)
- DMZ
- 超级用户账户
- 键盘记录器
- 渗透测试
- 虚拟专用网络VPN
- 数据安全类型
- 设施安全
- 设备安全
- 凭据安全
- 密码标准
- 多因素识别
- 数据安全制约因素
- 系统安全风险类型
- 服务账户
- 共享账
- 平台入侵攻击
- 注入漏洞
- 默认密码
- 备份数据滥用
- 黑客行为/黑客
- 网络钓鱼
- 社工威胁
- 恶意软件
- 广告软件
- 间谍软件
- 特洛伊木马
- 病毒
- 蠕虫
- 恶意软件来源
- 即时消息
- 社交网
- 垃圾邮件
管理活动
- 识别数据安全需求
- 业务需求
- 监管要求
- 制定数据安全制度
- 定义数据安全细则
- 定义数据保密等级
- 定义数据监管类别
- 定义安全角色
- 评估当前安全风险
- 实施控制和规程
- 分配密级
- 分配监管类别
- 管理和维护数据安全
- 管理安全制度遵从性
工具和方法
工具
- 杀毒软件/安全软件
- HTTPS
- 身份管理技术
- 入侵侦测和入侵防御软件
- 防火墙
- 元数据跟踪
- 数据脱敏/加密
方法
- 应用CRUD 矩阵
- 即时安全补丁部署
- 元数据中的数据安全属性
- 项目需求中的安全要求
- 加密数据的高效搜索
- 文件清理
实践指南
实施数据安全项目取决于企业文化、风险性质、公司管理数据的敏感性以及系统类型。实施系统组件应在战略性的安全规划和支持架构的指导下开展。
- 就绪评估/风险评估
- 组织与文化变革
- 用户数据授权的可见性
- 外包世界中的数据安全
- 云环境中的数据安全
数据安全的治理
保护企业系统及其存储的数据需要IT和业务利益相关方之间的协作。清晰有力的制度和规程是数据安全治理的基础。
- 数据安全和企业架构
- 度量指标:以下列表可能有助于选择适用的指标。
- 安全实施指标
- 安全意识指标
- 数据保护指标
- 安全事件指标
- 机密数据扩散率
参考资料
- 证券期货业数据分类分级指引 JR/T 0158—2018
- 基础电信企业数据分类分级方法 YDT 3813-2020
- 浙江省公共数据分类分级指南 DB33/T 2351—2021
- 贵州省政府数据分类分级指南 DB 52/T 1123—2016
- 金融数据安全 数据安全分级指南 JRT 0197-2020