导图社区数据安全

数据安全

Dama知识体系，数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。

编辑于2024-04-02 16:33:26

数据安全

Rainbow

他的近期作品查看更多>>

DAMA知识体系
数据治理知识体系，数据是一种表示方法，它代表的是除自身以外的事物。数据既是对其所代表对象的解释，也是必须解释的对象。
如何利用复盘思维提升工作能力
这是一篇关于如何利用复盘思维提升工作能力的思维导图，主要内容包括：二、复盘步骤，六、结论与总结，五、复盘的效果评估，四、复盘工具，三、复盘角度，一、复盘思维介绍。
17种头脑风暴法头脑风暴
这是一篇关于17种头脑风暴法头脑风暴的思维导图，主要内容包括：持续创作！，像写信一样写东西，用完全不同的方式创造，在很随机的时间起床，利用社交媒体获得反馈，在观众面前头脑风暴，戒掉所有的科技产品，阅读，进行一场“点子风暴”，带根笔散步，边写边说，全部都用记忆搭建，把你想说的画下来，用你的非惯用手写字，头脑风暴每个不可能的想法，每天写下10个想法，“J.K. 罗

数据安全

社区模板帮助中心，点此进入>>

Rainbow

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 34.2k
- 925
- 2.4k
- 393
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 14.7k
- 3
- 185
- 9
Kacyun
域控上线
- 1.6k
- 163
- 11
- 4
jackrao
python思维导图
- 5.4k
- 531
- 242
- 7
(*^▽^*)
css
- 1.2k
- 1
- 43
- 3
A张舫
CSS
- 3.3k
- 262
- 188
- 33
journey
计算机操作系统思维导图
- 4.2k
- 339
- 204
- 18
journey
计算机组成原理
- 1.5k
- 98
- 70
- 8
journey
IMX6UL(A7)
- 519
- 41
- 5
- 0
Handler XU
考试学情分析系统
- 690
- 50
- 10
- 1
蒋龙

数据安全

引言

数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。

数据安全需求来源

1. 利益相关方

2. 政府法规：政府法规制定的出发点是保护利益相关方的利益

3. 特定业务关注点：每个组织的专有数据都需要保护

4. 合法访问需求：组织在保护数据安全的同时，还必须启用合法访问

5. 合同义务：合同和保密协议对数据安全要求也有影像

业务驱动因素：降低风险和促进业务增长是数据安全活动的主要驱动因素

1. 降低风险：随着数据法规的增多（通常是为应对数据盗窃和违规），合规性要求也随之增加

流程：P计划 C控制 D开发 O运营

目标

1. 启动对企业数据资产的适当访问，并防止不适当的访问

2. 理解并遵守所有有关隐私、保护和保密的法规和政策

3. 确保所有利益相关方的隐私和保密需求得到执行和审计

交付成果

1. 数据安全架构

2. 数据安全策略

3. 数据隐私和保密标准

4. 数据安全访问控制

5. 法规遵从的数据访问视图

6. 安全分级记录

7. 身份验证和用户访问历史记录

8. 数据安全审计报告

工具

访问控制系统

保护软件

身份管理技术

入侵监测/入侵防御软件

元数据跟踪

数据脱敏/加密

度量指标

安全实施指标

安全意识指标

数据保护指标

安全事件指标

机密数据扩散率

步骤

1）识别敏感数据资产并分类分级

2）在企业中查找敏感数据

3）确定保护每项资产的方法

4）识别信息与业务流程如何交互

2. 业务增长

3. 安全性作为资产

数据安全目标和原则

目标

1. 支持适当访问并防止对企业数据资产的不当访问

2. 支持对隐私、保护和保密制度、法规的遵从

3. 确保满足利益相关方对隐私和保密的要求

原则

1. 协同合作

2. 企业统筹

3. 主动管理

4. 明确责任

5. 元数据驱动

6. 减少接触以降低风险

风险分类

1. 关键风险数据（Critical Risk Data，CRD）

2. 高风险数据（High Risk Data，HRD）

3. 中等风险数据（Moderate Risk Data，MRD）

安全过程

1）4A加E

访问（Access）

审计（Audit）

验证（Authentication）

授权（Authorization）

权限（Entitlement）

2）监控

数据完整性

在安全性方面，数据完整性（Data Integrity）是一个整体状态要求，以免于遭受不当增/删改所造成的影响。

美国的萨班斯法案（Sarbanes-Oxley）

加密

加密（Encryption）是将纯文本转换为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密

哈希

将任意长度数据转换为固定长度数据标识

对称加密

对称加密使用一个密钥来加解密数据

DES：数据加密标准

3DES：三重DES

AES：高级加密标准

IDEA：国际数据加密算法

非对称加密

在非对称加密中，发送方和接收方使用不同的密钥。

非对称加密算法

RSA

Diffie-Hell-man

PGP（Pretty Good Privacy）是一个免费的公钥加密应用程序

混淆或脱敏

通过混淆处理（变得模糊或不明确）或脱敏（删除、打乱或其它方式更改数据的外观等）的方式来降低数据可用性，同时避免丢失数据的含义或数据与其它数据集的关系

脱敏的类型

静态脱敏

静态数据脱敏（Persistent Data Masking）永久且不可逆转的更改数据。这种类型的脱敏通常不会在生产环境中使用，而是在开发（或测试）环境中运用。静态脱敏虽然会更改数据，但数据仍可用于测试、应用程序、报表等。

1.不落地脱敏（In-flight Persistent Masking）

当在数据源（通常在生产环境）和目标（通常是非生产）环境之间移动需要脱敏或混淆处理时，会采用不落地脱敏

2.落地脱敏（In-place Persistent Masking）

当数据源和目标相同时，可使用落地脱敏。从数据源中读取未脱敏数据，进行脱敏操作后直接覆盖原始数据。

动态脱敏

动态数据脱敏（Dynamic Data Masking）是在不更改基础数据的情况下，在最终用户或系统中改变数据的外观。

脱敏方法

1. 替换

将字符或整数值替换为查找或标准模式中的字符或整数值。例如，可以用列表中的随机值替换名字

2. 混排

在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性的数据元素。

3. 时空变异

把日期前后移动若干天（小到足以保留趋势），足以使它无法识别。

4. 数值变异

应用一个随机因素（正负一个百分比，小到足以保持趋势），重要到足以使它不可识别。

5. 取消或删除

删除不应该出现在测试系统中的数据

6. 随机选择

将部分或全部数据元素替换为随机字符或一系列单个字符。

7. 加密技术

通过密码代码将可识别、有意义的字符流转换为不可识别的字符流。

8. 表达式脱敏

将所有值更改为一个表达式的结果

regular expression正则表达式

9. 键值脱敏

指定的脱敏算法/进程的结果必须是唯一且可重复的，用于数据库键值字段（或类似字段）脱敏。

数据安全类型

1. 设施安全

2. 设备安全

3. 凭据安全

1）身份管理系统

2）电子邮件系统的用户ID标准

3）密码标准

4）多因素识别

4. 电子通信安全

数据安全制约因素

1. 保密等级

机密信息仅在“需要知道”的基础上共享

2. 监管要求

保密和监管的主要区别是要求来源不同

1）机密数据

1. 对普通受众公开

2. 仅内部使用

3. 机密

4. 受限机密

5. 绝密

2）监管限制的数据

活动

管理与企业安全相关对行为需要不同级别的制度

1. 企业安全制度

2. IT安全制度

3. 数据安全制度

工具

1. 杀毒关键/安全软件

2. HTTPS

3. 身份管理技术

4. 入侵侦测和入侵防御软件

5. 防火墙（防御）

6. 元数据跟踪

7. 数据脱敏/加密

实施指南

外包世界中的数据安全

任何事情皆可外包，但责任除外

负责、批注、咨询、通知（RACI）矩阵也有助于明确不同角色的角色、职责分离和职责，包括他们的数据安全义务。

确立明确的问责制和所有权，从而支持总体数据安全制度及其实施。

机密数据扩散

应衡量机密数据的副本数量，以减少扩散。机密数据存储的位置越多，泄漏的风险就越大。