导图社区 DAMA-CDGA数据治理工程师-7.数据安全

DAMA-CDGA数据治理工程师-7.数据安全

数据安全管理指支持适当访问并防止对企业数据资产的不当访问、支持对隐私、保护和保密制度、法规的遵从、确保满足利益相关方对隐私和保密的要求。

编辑于2024-03-05 20:23:35

DAMA CDGA 数据治理工程师

Don Corleone

他的近期作品查看更多>>

DAMA-CDGA数据治理工程师-17.数据管理和组织变革管理
不是因为新组织宣布成立或新系统实施上线就要变革，而是人们认识到变革带来的价值而发生行为变化时，变革就会发生。
DAMA-CDGA数据治理工程师-16.数据管理组织与角色期望
随着数据领域的快速发展，组织需要改进管理和治理数据的方式，数据管理和数据治理组织需要足够灵活，才能在不断发展的环境中有效的工作，因此，它们需要澄清关于所有权、协作、职责和决策的基本问题。
DAMA-CDGA数据治理工程师-15.数据管理成熟度评估
能力成熟度评估是一种基于能力成熟度模型框架的能力提升方案，描述了数据管理能力初始状态发展到最优化的过程。当一个组织满足某阶段能力特征时，就可以评估其成熟度等级，并制定一个提高能力的计划。

DAMA-CDGA数据治理工程师-7.数据安全

社区模板帮助中心，点此进入>>

Don Corleone

他的近期作品查看更多>>

相似推荐
大纲

项目时间管理6大步骤
- 17.4k
- 351
- 894
- 128
MindMaster
项目管理的五个步骤
- 50.5k
- 2.0k
- 2.6k
- 508
MindMaster
电商部人员工作结构
- 7.7k
- 175
- 247
- 14
issen
电费水费思维导图
- 3.0k
- 3
- 20
- 3
蔡正兆(Joe Choi)
D服务费结算
- 1.1k
- 0
- 13
- 2
蔡正兆(Joe Choi)
暮尚正常运转导图
- 7.7k
- 697
- 43
- 0
宋林鉴
产品经理如何做好项目管理
- 7.0k
- 48
- 209
- 10
issen
车队管理
- 3.5k
- 12
- 78
- 4
嘻嘻哈哈
创业者10条创业经
- 1.3k
- 123
- 99
- 0
(*^▽^*)
创业十大思维误区
- 3.5k
- 208
- 407
- 9
(*^▽^*)

7.数据安全

引言

安全要求来源

利益相关方

政府法规

特定业务关注点

每个组织都有专有的数据需要保护

合法访问需求

业务流程要求不同角色的人能够访问、使用和维护不同的数据

合同义务

业务驱动因素

降低风险

数据安全最好在企业级层面开展

如果缺乏协同努力，业务单元各自寻找安全需求的解决方案，将导致总成本增加，同时还可能由于不一致的保护措施而降低安全性

无效的安全体系结构或流程可能导致组织产生违规成本并降低工作效率

首先对组织数据进行分类，以便识别需要保护的数据

流程

1、识别敏感数据资产并进行分类

有一些数据资产和敏感数据，需要根据所属行业和组织类型等进行分类分级

2、在企业中查找敏感数据

取决于数据存储的位置，其安全要求可能不同

大量敏感信息存储在单一位置，如果这个位置遭到破坏，将产生极高风险

3、确定保护每项资产的方法

根据数据内容和技术类型，采取针对性安全措施

4、识别信息与业务流程如何交互

需要对业务流程进行分析，以确定在什么条件下允许那些访问

除了对数据本身进行分类分级外，还需要对外部威胁和内部风险进行评估

促进业务增长

强大的信息安全能够推动交易进行并建立客户的信心

安全性作为资产

元数据是管理敏感数据的方法之一

可以在数据元素和集合级别标记信息分类和合规敏感度

利用数据标记技术，可以使元数据随信息一起在企业内流动

目标和原则

目标

支持适当访问并防止对企业数据资产的不当访问

支持对隐私、保护和保密制度、法规的遵从

确保满足利益相关方对隐私和保密的要求

原则

协同合作

数据安全是一项需要协同的工作，涉及IT、数据管理专员、内外部审计、法律等部门

企业统筹

运用数据安全标准和策略时，必须保证组织的一致性

主动管理

明确责任

明确界定角色和职责

元数据驱动

数据安全分类分级是数据定义的重要组成部分

减少接触以降低风险

最大限度的减少敏感、机密数据的扩散，尤其是在非生产环境

基本概念

脆弱性

是系统中容易遭受攻击的弱点和缺陷，本质上是组织防御中的漏洞

某些脆弱性称为漏洞敞口

例如，存在过期安全补丁的网络计算机、不受可靠密码保护的网页、来自未知发件人的电子邮件附件的用户、不受技术命令保护的公司软件

威胁

是一种可能对组织采取的潜在进攻行动

威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务的进程、以及对已知漏洞的利用

可以是内部的，也可是外部的

风险

既指损失的可能性，也指构成潜在损失的事物或条件

可以从以下几个方面计算风险

威胁发生的概率及其可能的频率

每次威胁事件可能造成的损害类型和规模，包括声誉损害

损害对收入或业务运营的影响

发生损害后的修复成本

预防威胁的成本，包括漏洞修复手段

攻击者可能的目标或意图

风险可按潜在损害程度或发生的可能性来确定优先级

风险分类

描述了数据的敏感性以及处于恶意目的对数据访问的可能性

分类用于确定谁可以访问数据

用户权限内所有数据中的最高安全分类决定了整体的安全风险

包括

关键风险数据

由于个人信息具有很高的直接财务价值，因此内部和外部各方都可能会费尽心思寻求未经授权使用这些信息

滥用关键风险数据不仅会伤害个人，还会导致公司遭受重大的处罚，增加挽留客户。员工的成本以及损害公司品牌于声誉，从而对公司造成财务风险

高数据风险

高风险数据为公司提供竞争优势，具有潜在的直接财务价值，往往被主动寻求未经授权使用

如果高风险被滥用，那么可能会因此使公司遭受财务损失

中等风险数据

对几乎没有实际价值的公司非公开信息，未经授权使用可能会对公司产生负面影响

数据安全组织

大型企业通常设有向CIO或CEO汇报的首席信息安全官CISO

安全过程

授权Authorization

授予个人访问与其角色相适应的特定数据视图的权限

在获得权限后，访问控制系统在每次用户登录时都会检查授权令牌的有效性

从技术上讲，这是公司活动目录中数据字段中的一个条目，表示此人已获得授权访问数据

权限Entitlement

是由单个访问权限授权决策向用户公开的所有数据元素的总和

访问Acess

使具有授权的个人能够及时访问系统

验证Authentication

验证用户的访问权限

当用户试图登录到系统时，系统需要验证此人身份是否属实

除密码这种方式外，更严格的身份验证方法包括安全令牌、回答问题或提交指纹

在身份验证过程中，所有传送过程均应加密，以防止身份验证信息被盗

审计Audit

审查安全操作和用户活动，以确保符合法规和遵守公司制度和标准

监控和审计都可连续或定期的进行

正式审计必须由第三方进行才能视为有效

第三方可以来自组织内部，也可以来自组织外部

监控

主动监控

包含机密信息的系统通常实施主动、实时的监控，以提醒安全管理员注意可疑活动或不当访问

是一种检测机制

被动监控

被动监控是通过系统定期捕获系统快照，并将趋势与基准或其他标准进行比较，跟踪实时发生的变化

系统向数据管理员或安全管理员发送报告

是一种评价机制

数据完整性

是一个整体状态要求，以免于遭受不当增/删/改所造成的影响

加密

是将纯文本转换为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份的过程

加密数据不能在没有解密密钥或算法的情况下读取

解密密钥或算法通常单独存储，不能基于同一数据集中的其他数据元素来进行计算

加密方法

哈希

是将任意长度转换为固定长度数据表示

即使知道所使用的确切算法和应用顺序，也无法解密出原始数据

MD5/SHA

对称加密

使用一个密钥来加解密数据

发送方和接收方都必须具有读取数据原始数据的密钥

数据标准加密DES、三重DES 3DES、高级加密标准AES、国际数据加密算法IDES

非对称加密

发送方和接收方使用不同的密钥

发送方使用公开提供的公钥进行加密，接收方使用私钥解密显示原始数据

RSA、Diffie-Hell-man、PGP（免费的公钥加密应用程序）

混淆和脱敏

可通过混淆处理（变得模糊和不明确）或脱敏（删除、打乱或以其他方式更改数据的外观等）方式来降低数据可用性，同时避免丢失数据的含义或数据与其他数据集的关系

数据混淆和脱敏是解决数据使用过程中的一种安全手段

静态脱敏

静态脱敏永久且不不可逆转的更改数据

通常不会在生产环境中使用，而是在生产环境和开发（测试）环境之间运用

不落地脱敏

当在数据源（通常是生产环境）和目标环境（通常是非生产环境）之间移动需要脱敏或混淆处理时，会采用不落地脱敏

是通过系统定期捕获系统快照，并将趋势与基准或其他标准进行比较，跟踪随时发生的变化

由于不会留下中间文件或带有未脱敏的数据的数据库，不落地脱敏方式非常安全

如果部分数据在脱敏过程中遇到问题，则可重新运行脱敏过程

落地脱敏

当数据源和目标相同时，可使用落地脱敏

从数据源中读取未脱敏数据，进行脱敏操作后直接覆盖原始数据

存在一定风险，如果在脱敏过程中进程失败，那么很难将数据还原为可用格式

动态脱敏

是在不更改基础数据的情况下，在最终用户或系统中改变数据的外观

号码123456789，呼叫时显示******789

脱敏方法

替换

混排

时空变异

数值变异

取消或删除

随机选择

加密技术

表达式脱敏

键值脱敏

网络安全术语

后门

指计算机系统或应用程序的忽略隐藏入口

它允许未经授权用户绕过密码等限制获取访问权限

后门通常是开发人员处于维护系统的目的创建的，其他的包括由商业软件包创建者设置的后门

安装任何软件系统或网页包时，默认密码保持不变，这就是一个后门，黑客早晚会发现它的存在，所以任何后门都是安全风险

机器人或僵尸

指已被恶意黑客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站

远程控制机器人执行恶意任务

垃圾邮件、网络阻塞、托管欺诈网站

是网站在计算机硬盘上安装的小型数据文件，用于识别老客户并分析其嗜好

有时会被间谍软件利用，进而引发隐私问题

防火墙

是过滤网络流量的软件/硬件，用于保护单个计算机或整个网络免受未经授权的访问和免遭企图对系统的攻击

可能会对传入或传出的通信信息进行扫描，以寻找受限或受监管的信息，并防止未经许可通过，还限定对特定外部网站进行访问

周界

指组织环境和外部系统之间的边界

防火墙部署在内部和外部之间

DMZ

非军事区，指组织边缘或外围区域

在DMZ和组织之间设有防火墙

超级用户账户

是具有系统管理员或超级用户访问权限的账户，仅在紧急情况下使用

键盘记录器

是一种攻击软件，对键盘上键入的所有击键进行记录，然后发送到互联网上

渗透测试

来自组织本身或外部安全公司聘用的“白帽”黑客试图从外部侵入系统，如恶意黑客一样，试图识别系统漏洞

发现的漏洞应在应用程序正式发布之前予以解决

定期对所有软件进行渗透测试，安装安全补丁

虚拟专用网络

VPN使用不安全的互联网创建进入组织环境的安全路径或“隧道”，隧道是高度加密的

VPN允许用户和内部网络之间通信，通过使用多重身份验证元素连接到组织环境外围的防火墙

VPN对所有传输的数据进行加密

数据安全类型

概述

数据安全不仅涉及防止不正当访问，还涉及对数据的正当访问

应通过授予权限控制对敏感数据的访问

未经许可，不允许用户在系统内查看数据或执行操作

“最小权限”是一项重要的安全原则

仅允许用户、进程或程序访问其合法目的所允许的信息

设施安全

是抵御恶意行为人员的第一道防线

至少应具有一个锁定能力的数据中心，其访问权限仅限于授权员工

设备安全

使用移动设备连接的访问策略

在便携式设备上存储数据

符合记录管理策略的设备数据擦除和处置

反恶意软件和加密软件安装

安全漏洞意识

凭据安全

是为每个用户分配访问系统时使用的

大多数凭据是用户ID和密码组合

身份管理系统

传统上对于每个独立资源、平台、应用系统或工作站，用户都有不同的账户和密码

此方法要求用户管理多套账户和密码

具有企业用户目录的组织可以在异构资源之间建立同步机制，以简化用户密码管理

这种情况下，用户只需一次性输入密码，之后所有身份验证和授权都通过引用企业用户目录来执行

实现此功能的身份管理系统称为“单点登录”，从用户角度看是最佳的

电子邮件系统的用户ID标准

用户ID应当是唯一的

密码标准

密码是保护数据的第一道防线

要求在安全标准中定义足够高的密码级别，通常称为“强”密码

建议按周期更改密码，具体更改频率取决于系统性质、数据类型和企业敏感程度

但是过于频繁的更改密码也会带来风险

多重因素识别

有些系统需要额外的识别程序

包括对包含代码的用户移动设备的返回调用、用于登录所必须的硬件设备的使用或诸如指纹、面部识别、视网膜扫描的生物特征因素

双重因素识别使得进入账户或登录用户设备更加困难，具有高度敏感信息权限的用户都应使用双重因素识别技术登录网络

电子通信安全

不安全的通信方式可被外部读取或拦截

社交媒体也被视为安全的通信方式，包括博客、门户、WIKI、论坛或其他社交媒体，都不应包含机密或限制信息

数据安全制约因素

保密等级

要求来源

内部

任何数据集只能有一个密级：其密级是基于该数据集中最敏感（最高密级）的数据项设立的

机密数据

对普通受众公开的

仅内部使用的

机密

受限机密

绝密

监管要求

要求来源

外部定义

监管是分类附加的：单个数据集可能根据多个监管类别限制数据

监管数据

法规系列

个人身份信息

财务敏感信息

医疗/个人健康信息

教育信息

行业法规或合同法规

支付卡行业数据安全标准

竞争优势或商业秘密

合同限制

系统安全风险

滥用特权

在授权数据访问权限时，应采用最小特权原则

仅运行用户、进程、程序访问其合法目的所允许的信息

风险是指当具有超出工作职责需要的特权时，用户可能会出于恶意目的或意外地滥用这些权限

用户可能被过多的授予超出应该拥有的访问权限

缺乏对用户权利的监督，这是许多数据法规指定数据管理安全性的原因之一

滥用合法特权

出于未经授权的目的，用户可能滥用合法赋予他的数据库权限

例如：具有犯罪倾向的医生，有权通过指定的WEB应用程序查看他患者的病例

未经授权的特权升级

攻击者可能会利用数据库平台软件漏洞将访问权限从普通用户权限变为管理员权限

服务账户或共享账户滥用

使用服务账户或共享账户会增加数据泄露风险，并使跟踪漏洞来源能力更加复杂

平台入侵攻击

注入漏洞

在SQL注入攻击中，攻击者将未经授权的数据库语句插入到易受攻击的SQL语句中

这些注入的SQL语句被传递到数据库，在那里他们通常作为合法命令执行

使用SQL注入时，攻击者可不受限制的访问整个数据库

默认密码

清除默认密码是每次实施过程中的重要安全步骤

备份数据滥用

黑客行为

白帽黑客

致力于改性系统、发现漏洞进行修补

黑帽黑客

故意破坏系统造成损害

网络钓鱼/社工威胁

网络钓鱼是指通过电话、即时消息或电子邮件等诱使对方在不之情的情况下提供有价值的信息或个人隐私

恶意软件

广告软件

是一种从互联网上下载至计算机的间谍软件

监控计算机的使用，如访问了哪些网站，也可能在浏览器中插入对象和工具栏

并不违反，但它用于收集完整的用户浏览和购买习惯的个人资料并出售给营销公司

间谍软件

未经同意而潜入计算机及跟踪在线活动的任何软件程序

不同形式的间谍软件跟踪不同的活动类型

有的程序监视网站访问，有的程序则记录用户按键机窃取个人信息

特洛伊木马

指通过伪装或嵌入合法软件而进入计算机系统的恶意程序

安装后的特洛伊木马将删除文件、访问个人信息、安装恶意软件、重新配置计算机、安装键盘记录器，甚至允许黑客将计算机用作攻击网络中其他计算机的武器（机器人或僵尸）

病毒

是一种计算机程序，它将自身附加到可执行文件或易受攻击的应用程序上，造成破坏性结果

蠕虫

一种自己可以在网络中进行复制和传播的程序

受蠕虫感染的计算机将源源不断的发送感染信息

主要是消耗大量带宽，从而导致网络中断

恶意软件来源

即时消息

社交网

垃圾邮件

活动

识别数据安全需求

业务需求

组织的业务需求、使命、战略规模、所属行业，决定了所需数据安全的严格程度

例如：美国金融证券行业收到严格监管、大型和小型零售商具有相似的核心活动，但选择的安全类型不同

通过分析业务规则和流程，确定安全接触点

监管要求

制定数据安全制度

制度

是所选行动过程的陈述以及为达成目标期望行为的顶层描述

策略

描述所决定的行为

级别

企业安全制度

IT安全制度

数据安全制度

1、IT安全制度和数据安全制度是安全制度组合的一部分； 2、最好将其区分； 3、数据安全制度在本质上颗粒度更细，针对内容不同，需要不同的控制和过程；

主管和维护

数据管理专员

审查和批准

数据治理委员会

定义数据安全细则

概述

制度提供行为准则，但不能列出所有可能得意外情况

细则是对制度的补充，并提供有关如何满足制度意图的其他详细信息

定义数据保密等级

定义数据监管级别

定义安全角色

数据访问控制可根据需要在单个用户级或组织级中进行管理。也就是说，逐个用户账户授权和更新访问权限需要大量的冗余工作

小型组织可能会发现在单个级别管理数据访问是可接受的

大型组织将从基于角色的访问控制中受益匪浅，通过为角色组授予权限，从而为组中的每个成员授予权限

角色分配矩阵

角色分配层次结构

评估当前安全风险

实施控制和规程

分配密级

分配监管类别

管理和维护数据安全

控制数据可用性/以数据为中心的安全性

监控用户身份验证和访问行为

管理安全制度遵从性

管理法规遵从性

审计数据安全和合规活动

工具

杀毒软件/安全软件

杀毒软件可保护计算机免受网上病毒的侵扰

每天都有新的病毒和其他恶意软件出现，因此重要的是定期更新安全软件

HTTPS

如果Web地址以http://开头，则表示该网站配备了加密的安全层

用户必须提供密码或其他身份验证手段才能访问该站点

在线支付或访问机密信息都采用此加密保护

如果缺乏加密，同一网段上的用户就可以读取纯文本信息

身份管理技术

存储分配的凭据，并根据请求与系统共享

大多数应用程序使用中央凭证数据存储库，但一些应用仍然会管理自身的凭据存储库

某些公司采用并提供企业许可的“密码安全”的产品，该产品在每个用户的计算机上创建加密的密码文件。用户只需学习一个长密码即可打开程序，并且可以安全的将所有密码存储在加密文件中。单点登录系统可以起到同样的作用。

入侵侦测和入侵防御技术

入侵检测系统IDS

触发报警

入侵防御系统IPS

自动响应

防火墙

安全且复杂的防火墙应部署在企业网关上，它具有在允许高速数据传送的同时还能够执行详细的数据分析的能力

对于暴露于Internet的Web服务器，建议使用更复杂的防火墙结构，因为许多恶意黑客攻击可以通过有意扭曲的合法流量，对数据库和Web服务器漏洞加以利用

元数据跟踪

跟踪元数据的工具有助于组织对敏感数据的移动进行跟踪

风险：外部带来可从与文档关联的元数据中检测出内部数据

使用元数据标记敏感信息是确保数据得到防护的最佳方式

数据脱敏/加密

方法

应用CRUD矩阵

常见和使用数据-流程矩阵和数据-角色矩阵（CRUD--创建、读取、更新、删除）有助于映射数据访问需求，并指导数据安全角色组、参数和权限定义

即时安全补丁部署

元数据中的数据安全属性

元数据存储库对于确保企业数据模型在跨业务流程使用中的完整性和一致性至关重要

项目需求中的安全要求

对每个涉及数据的项目都必须解决系统和数据安全问题，在分析阶段详细确定数据和应用安全要求

预先识别安全要求，有助于指导设计，避免安全流程的改造

加密数据的高效搜索

搜索加密数据显然包括需要解密数据

减少需要解密数据量的方法之一是采用相同的加密方式来加密搜索条件（如字符串），然后用密文去查找匹配项

文件清理

是指在文件共享之前从中删除元数据的过程

实施指南

就绪评估/风险评估

提高合规性

培训

制度一致性

衡量安全性收益

为供应商设置安全要求

增强紧迫感

持续沟通

组织和文化变革

用户数据授权的可见性

系统实施期间审查每个用户的数据授权（即单点授权提供的所有数据的总和）以确定是否包含任何受控信息

外包世界中的数据安全

任何事情皆可外部，责任除外

任何形式的外包都增加了组织风险

数据安全措施和流程必须将对外部供应商的风险既视为外部风险，又视为内部风险

转移控制，并非转移职责，而是需要更为严格的风险管理和控制机制

负责、批准、咨询、通知（RACI）矩阵有助于明确不同角色的角色、职责分离和职责，包括他们的数据安全义务

云环境中的数据安全

DaaS/SaaS/PaaS/XaaS

在云计算中，共担责任、定义数据监管以及定义所有权和托管权尤为重要

数据安全治理

数据安全和企业架构

度量指标

安全实施指标

安全意识指标

数据保护指标

安全事件指标

检测并阻止了入侵尝试数量

通过防止入侵节省的安全成本投资回报

机密数据扩散

应衡量机密数据的副本数量，减少扩散

机密数据存储的位置越多，泄露的风险就越大