DAMA第七章:数据安全

今天想喝可乐
366 阅读5分钟

引言

业务驱动因素

数据安全的主要驱动因素:降低风险、促进业务增长。

数据安全定义:定义、规划、开发、执行安全策略和规程,提供对数据和信息资产的适当验证、授权、访问、审计。

1.降低风险

步骤:
1)识别敏感数据资产并分类分级。
2)在企业中查找敏感数据。
3)确定保护每项资产的方法。
4)识别信息与业务流程如何交互。
对外部威胁(黑客、犯罪分子)和内部风险(员工、流程)进行评估。

2.业务增长

3.安全性

管理敏感数据的方法:元数据

目标和原则

1.目标

数据安全目标:
启用对企业数据资产的适当访问,并防止不适当的访问。
理解并遵守所有有关隐私、保护、保密的法规和政策。
确保所有利益相关方的隐私、保密需求得到执行和审计。

2.原则

1)协同合作。
2)企业统筹。
3)主动管理。
4)明确责任。
5)元数据驱动。
6)减少接触以降低风险。

基本概念

1.脆弱性vulnerability

2.威胁threat

3.风险risk

4.风险分类

1)关键风险数据critical risk data,CRD
2)高风险数据high risk data,HRD
3)中等风险数据moderate risk data,MRD

5.数据安全组织

熟悉信息安全官CISO、NIST风险管理框架。

6.安全过程

(1)4A
    1)访问accesss
    2)审计audit
    3)验证authentication
    4)授权authorization
    5)权限entitlement
    
(2)监控

7.数据完整性data integrity

萨班斯法案sarbanes-oxley

8.加密encryption

将文本转换为复杂代码,隐藏特权信息、验证传送完整性、验证发送者身份的过程。

(1)哈希hash
(2)对称加密
(3)非对称加密

9.混淆、脱敏

数据脱敏类型:
(1)静态数据脱敏persistent data masking
    永久且不可逆的更改数据;在生产开发测试环境使用。
    1)不落地脱敏in-flight persistent masking
    2)落地脱敏in-place persistent masking
    
(2)动态数据脱敏dynamic data masking
    不更改基础数据,在最终用户/系统中改变数据外观。

(3)脱敏方法
    1)替换substitution
    2)混排shuffling
    3)时空变异tamporal variance
    4)数值变异value variance
    5)取消/删除nulling/deleting
    6)随机选择randomization
    7)加密技术encryption
    8)表达式脱敏expression masking
    9)键值脱敏key masking

10.网络安全术语

1)后门backdoor
(2)机器人robot/僵尸zombie
(3)cookie
(4)防火墙firewall
(5)周界perimeter
(6)非军事区DMZ,组织边缘/外围区域
(7)超级用户账户super user
(8)键盘记录器key logger
(9)渗透测试penetration yesting,模仿黑客试图从外部侵入系统,识别系统漏洞。
(10)虚拟专用网络VPN,使用不安全的互联网创建进入组织环境的安全路径/“隧道”。

11.数据安全类型

(1)设施安全facility security
(2)设备安全device security
(3)凭据安全
    1)身份管理系统,单点登录
    2)电子邮件系统的用户id标准
    3)密码标准
    4)多因素识别
(4)电子通信安全

12.数据安全制约因素

1)保密等级
2)监管要求

(1)机密数据
    1)对普通受众公开for general audiences
    2)仅内部使用internal use only
    3)机密confidential
    4)受限机密restricted confidential
    5)绝密registered confidential
(2)监管限制的数据
    1)法规系列,建议不超过9个类别
        1.个人身份信息PII,个人隐私信息PPI
        2.财务敏感数据
        3.医疗敏感数据/个人健康信息PHI
        4.教育记录
    2)行业法规/基于合同的法规
        1.支付卡行业数据安全标准PCI-DSS
        2.竞争优势/商业机密
        3.合同限制

13.系统安全风险

(1)滥用特权
(2)滥用合法特权
(3)未经授权的特权升级
    传统入侵防护系统IPS
(4)服务账户/共享账户滥用
(5)平台入侵攻击
    入侵防御系统intrusion prevention systems,IPS
    入侵检测系统intrusion detection systems,IDS
(6)注入漏洞
(7)默认密码
(8)备份数据滥用

14.黑客行为

15.网络钓鱼phishing/社工威胁

16.恶意软件

(1)广告软件adware
(2)间谍软件spyware
(3)特洛伊木马trojan horse
(4)病毒virus
(5)蠕虫worm
(6)恶意软件来源
    1)即时消息IM
    2)社交网
    3)垃圾邮件spam

活动

识别数据安全需求

1.业务需求

2.监管要求

制定数据安全制度

企业相关制度:
1)企业安全制度
2)IT安全制度
3)数据安全制度

定义数据安全细则

1.定义数据保密等级

2.定义数据监管类别

3.定义安全角色

评估当前安全风险

实施控制、规程

工具

杀毒软件/安全软件

HTTPS

身份管理技术identity management technology

入侵侦测IDS、入侵防御软件IPS

防火墙(防御)

元数据跟踪

数据脱敏/加密

方法

应用CRUD矩阵

创建和使用数据-流程矩阵和数据-角色关系(CRUD:创建、读取、更新、删除)矩阵有助于映射数据访问需求。

即时安全补丁部署

元数据中的数据安全属性

项目需求中的安全要求

加密数据的高效搜索

文件清理

实施指南

就绪评估/风险评估

组织与文化变革

用户数据授权的可见性

外包世界中的数据安全

万物皆可外包,但责任除外。 外包供应商风险,外部+内部风险。

CRUD,角色,对物/对数据; RACI(责任、批注、咨询、通知),责任,对人。

云环境中的数据安全

共担责任

数据安全治理

数据安全、企业架构

度量指标

1.安全实施指标

2.安全意识指标

3.数据保护指标

4.安全事件指标

5.机密数据扩散

avatar
文章
阅读
粉丝