日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
【廉環(huán)話】不要讓數(shù)據(jù)安全成為“盲盒”里的那只貓--淺談咨詢業(yè)數(shù)據(jù)安全體系建設(shè)

不知大家是否注意到這樣的現(xiàn)象:雖然我們近年來不斷增加對于信息安全的重視和投入,但是安全攻擊與破壞事件卻屢見不鮮。且不談攻擊者如何“不講武德”,我們是否過度地通過硬核技術(shù)的堆砌,盲目地為數(shù)據(jù)與信息安全打造銅墻鐵壁,卻反而忽略了構(gòu)建和實施具有本企業(yè)針對性的數(shù)據(jù)安全體系,從而將其放入了一個未知的“盲盒”中。

在應(yīng)城等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供成都做網(wǎng)站、成都網(wǎng)站建設(shè)、成都外貿(mào)網(wǎng)站建設(shè) 網(wǎng)站設(shè)計制作定制網(wǎng)站制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計,網(wǎng)絡(luò)營銷推廣,成都外貿(mào)網(wǎng)站建設(shè)公司,應(yīng)城網(wǎng)站建設(shè)費用合理。

本文將以尤其注重數(shù)據(jù)安全的咨詢業(yè)為例,按照“人、貨、場”的思路,有的放矢地和您討論,如何以數(shù)據(jù)中心,調(diào)動不同人員的職能,在具體的使用場景中,逐步構(gòu)建并做實安全體系架構(gòu),以促進數(shù)據(jù)在企業(yè)中的良性內(nèi)循環(huán)與“保值”。

為了方便大家理解和掌握,我為該體系架構(gòu)擬出了如下二十四字口訣:“找對人 - 認清物 - 細分類 - 賦權(quán)值 - 分等級 - 辨風險 - 定規(guī)則 - 審管理”。下面讓我們來逐條進行探討與研究。

找對人

我們可以根據(jù)企業(yè)當前的組織架構(gòu),以數(shù)據(jù)為中心,定位各種職能部門、以及包含的角色,并按需明確他們的職責。其中包括:

  • 決策人員
  1. 對整個組織負責,制定符合法律、法規(guī)、以及行業(yè)規(guī)范的數(shù)據(jù)安全管理戰(zhàn)略、目標和總體要求。
  2. 指派、授權(quán)和指導合適的管理人員,開展日常數(shù)據(jù)管理工作,批準管理人員制定的各項數(shù)據(jù)安全策略。
  3. 對審計人員反饋的問題進行問責和督導解決。
  • 管理人員
  1. 根據(jù)企業(yè)具體業(yè)務(wù)的發(fā)展或當前項目的特征,制定數(shù)據(jù)處置的具體執(zhí)行步驟。
  2. 定期向決策人員匯報數(shù)據(jù)管控的態(tài)勢。
  3. 對執(zhí)行人員的日常實際工作進行檢查和指導。
  4. 配合審計人員順利開展審查工作。
  • 執(zhí)行人員
  1. 具體實施和執(zhí)行數(shù)據(jù)安全的日常工作。
  2. 定期向管理人員匯報安全態(tài)勢以及各類事件。
  3. 接受和配合審計人員的監(jiān)督和審查。
  • 外包人員
  1. 按照既定的合同,提供約定的產(chǎn)品或服務(wù)。
  2. 定期向管理人員匯報執(zhí)行的結(jié)果,及時溝通任何意外狀況。
  • 最終用戶
  1. 按照既定的處置策略使用軟、硬件、及數(shù)據(jù)。
  2. 及時報告面臨的各項數(shù)據(jù)問題。
  3. 接受和配合審計人員的審查。
  • 審計人員
  1. 對管理人員、執(zhí)行人員、以及最終用戶的日常工作進行監(jiān)督和審查。
  2. 將檢查結(jié)果反饋給決策人員。
  3. 跟蹤審查問題的解決情況等。

下圖展示了這六種人員角色之間的關(guān)系:

當然,上述人員角色是比較典型的組織架構(gòu)。您也可以靈活地根據(jù)新的業(yè)務(wù)需求,臨時規(guī)劃和設(shè)計出針對特定意圖的專項小組,及時協(xié)調(diào),構(gòu)建,改進和保障某個特定業(yè)務(wù)服務(wù),在落地過程中的數(shù)據(jù)安全水平。

認清物

找對了人,我們就可以通過與不同人員的交流,獲悉他們?nèi)粘=佑|到的各種軟、硬件介質(zhì)。我們通常以數(shù)據(jù)為原點,認清那些存儲著靜態(tài)數(shù)據(jù)的有形硬件設(shè)備,處理著實時數(shù)據(jù)的軟件應(yīng)用,承載著動態(tài)數(shù)據(jù)的網(wǎng)絡(luò),包含著結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)庫,存放著非結(jié)構(gòu)化數(shù)據(jù)的云平臺,以及被用于持續(xù)讀寫數(shù)據(jù)的文件系統(tǒng)服務(wù)器、以及用戶各類終端等數(shù)據(jù)資產(chǎn)。

同時,為了全面、完整、直觀地梳理出不同數(shù)據(jù)資產(chǎn)的相互關(guān)系,充分利用和發(fā)掘數(shù)據(jù)的價值,以利于決策,我們需要在邏輯關(guān)系上,對IT資產(chǎn)所隸屬的部門、項目組等屬主類元信息(Metadata),進行發(fā)現(xiàn)和完善,構(gòu)建出以節(jié)點、屬性、流轉(zhuǎn)方向為網(wǎng)結(jié)狀結(jié)構(gòu)的關(guān)系圖表。

此外,在實際梳理的過程中,我們可以采用射頻識別(RFID)、以及二維碼(QR code)等技術(shù),運用“自動化工具發(fā)現(xiàn) + 人工錄入 + 二次審核”的循環(huán)流程,對現(xiàn)有IT資產(chǎn)進行持續(xù)標記與采集。

細分類

在識別了各種有形的硬件設(shè)備與無形軟件系統(tǒng)之后,我們需要通過手動或自動化的管理工具,以制表或建庫的形式,對它們進行分類。在此,我們可以參照ISO27001里提到的如下安全分類方法:

當然,在實際操作過程中,我們也可以從業(yè)務(wù)的角度出發(fā),按照項目種類、客戶類型、利益沖突、甚至是領(lǐng)域互斥性等維度,進行分析與劃分。我的經(jīng)驗是:細分的深度不宜超過三層,類別不宜超過二十種。

賦權(quán)值

在完成了資產(chǎn)的梳理和分類之后,我們可以從信息安全的經(jīng)典理論出發(fā),充分考慮資產(chǎn)在其機密性(C)、完整性(I)和可用性(A)缺失的情況下,可能給企業(yè)帶來影響程度,對每一項IT資產(chǎn)的C、I、A三個維度賦予相應(yīng)的數(shù)值。在此基礎(chǔ)上,我們進而基于如下的公式,計算出資產(chǎn)的權(quán)重值(V):

分等級

既然給數(shù)據(jù)分配了價值,那么我們就可以進一步掌控哪些數(shù)據(jù)需要被加密存放,哪些數(shù)據(jù)在使用后需要立即清除,哪些數(shù)據(jù)僅能在內(nèi)部被受限制地使用,哪些數(shù)據(jù)可以被直接對外開放。為了達到此類效果,我們就需要進一步對數(shù)據(jù)、及其對應(yīng)的介質(zhì)進行分級。

在具體實踐中,我們可以根據(jù)本企業(yè)的習慣與偏好,設(shè)定不同的權(quán)值區(qū)間。在此基礎(chǔ)上,我既可以簡單地劃分出:“高、中、低”三個安全級別,又可以采用:“絕密、機密、隱私、敏感、公開”等復雜的分級標準。最終,我們還需要以物理或邏輯標簽的形式,來標識對象的準確密級。

值得一提的是,在一些保密性要求非常嚴格的場合,我們甚至需要對某些結(jié)構(gòu)化數(shù)據(jù)表中的字段,非結(jié)構(gòu)化數(shù)據(jù)域中的鍵/值(K/V),以及某個介質(zhì)對應(yīng)的屬性標簽里的元信息,進行不同安全級別的區(qū)分。

辨風險

對于資產(chǎn)的分類、分級,我們在前面主要梳理的是對象自身的安全性。由于這些對象持續(xù)被使用或提供服務(wù),因此我們需要識別出它們所在企業(yè)運營環(huán)境中的各種外部威脅、以及內(nèi)部弱點等方面。通常我們需要通過如下四步走,來辨析存在的風險:

  • 收集與識別:根據(jù)過往的記錄、以及業(yè)界經(jīng)驗,召集上述不同角色的人員,使用頭腦風暴、互動訪談、矩陣與圖表分解等方法,識別目標資產(chǎn)在現(xiàn)有環(huán)境中的風險特征。例如:
  1. 技術(shù)層面上 - 軟、硬件介質(zhì)的故障與損壞、應(yīng)用系統(tǒng)的自身缺陷、惡意軟件的死鎖、以及網(wǎng)絡(luò)上的各種拒絕服務(wù)的攻擊等。
  2. 支撐系統(tǒng)層面上 - 機房停電、辦公區(qū)漏水、以及運營商網(wǎng)絡(luò)中斷等。
  3. 人為層面上 – 訪問掛馬的網(wǎng)站、各種操作性的失誤、以及文件數(shù)據(jù)被誤改或篡改等。
  4. 管理層面上 – 人員意識的缺乏、處置方式的錯誤、以及規(guī)章制度的不完善等。
  • 分析與評估:運用定性/定量等不同的方法,對已發(fā)現(xiàn)的風險從程度、范圍、以及可能性三個維度進行評估與排序,進而得出風險等級矩陣。在實際中,我們可以參考如下的界定標準進行風險的量化:
  1. 損害的程度 – 輕微、一般、較大、嚴重、特大等。
  2. 影響的范圍 - 整個企業(yè)、所有外部客戶、多個分站點、某個部門、部分系統(tǒng)、單個服務(wù)等。
  3. 發(fā)生的可能性 – 可考慮物理與邏輯上所處的區(qū)域、自身的容錯能力、等級保護與合規(guī)的達標情況等。
  • 應(yīng)對與處置:如前所述,我們需要根據(jù)本企業(yè)的風險偏好(即風險接受能力),在通用的風險減輕、轉(zhuǎn)移、規(guī)避、以及接受等處置方法中進行選擇,并予以應(yīng)對。其中,我們需要對如下兩個方面引起重視:
  1. 根據(jù)木桶原理,我們應(yīng)當注意處置措施的一致性,以免出現(xiàn)局部“短板”。
  2. 在分清風險的所有者、以及控制實施者的基礎(chǔ)上,兼顧時間、預算等成本,靈活增減各項管控策略。
  • 監(jiān)控改進:通過運用持續(xù)監(jiān)控與跟蹤事件等方式,我們既能夠以“增量”的方式識別出新的風險;又能夠在現(xiàn)有“存量”上獲悉管理的效果,以及殘留風險的態(tài)勢,進而提出糾正或改進的計劃。

總之,我們可以從“知己”的角度出發(fā),進行業(yè)務(wù)影響分析(BIA),同時從“知彼”的方面,借用各種風險評估(RA)的方式,確保風險管理的落地,并為必要時的全面復盤做好基礎(chǔ)性的準備工作。

定規(guī)則

當然,前面的風險識別與管控,主要還是由決策人員和管理人員共同完成的。而對于執(zhí)行人員與外包人員而言,我們需要通過一套完整的規(guī)章制度,來指導他們的日常工作,并規(guī)范他們的數(shù)據(jù)處置行為。也就是說,作為安全體系中必不可少的一部分,企業(yè)需要制定出全面、適當、明確的安全執(zhí)行方案和標準,以妥善管控企業(yè)內(nèi)部的信息、以及流入流出的各種重要數(shù)據(jù)。同時,我們也要確保整個運營過程,能夠持續(xù)遵守所在地區(qū)的法律、法規(guī)。

為了讓大家有個直觀的概念,下面我列舉出本企業(yè)正在恪守執(zhí)行的典型數(shù)據(jù)系統(tǒng)管理與實施細則:

硬件

  • 用戶電腦
  1. 僅使用安裝了企業(yè)統(tǒng)一化的定制操作系統(tǒng)鏡像,訪問并處理工作中的相關(guān)數(shù)據(jù)。
  2. 通過組策略(Group Policy)禁止用戶擅自修改系統(tǒng)環(huán)境與安全設(shè)置,并啟用無使用時的自動鎖屏等功能。
  3. 禁止用戶修改瀏覽器的代理、隱私等安全設(shè)置。
  4. 預安裝惡意軟件防護工具,并使用戶無法禁用其守護進程。
  5. 普通用戶登錄賬戶不應(yīng)具備本地管理員權(quán)限,既無法寫入或修改系統(tǒng)注冊表,也無法將電腦退出或修改企業(yè)的域控。
  6. 通過管理工具對用戶電腦進行統(tǒng)一的更新、修改和信息收集。
  7. 通過啟用硬盤加密功能,來保證設(shè)備在丟失或被盜時,文件的機密性得以保障。
  • 服務(wù)器
  1. 統(tǒng)一安裝企業(yè)定制的、滿足安全基線的操作系統(tǒng)鏡像。
  2. 預安裝企業(yè)級惡意軟件防護工具,并實現(xiàn)集中化的管理和更新。
  3. 通過刪除和重命名默認管理員帳號等方式,來加固服務(wù)器。
  4. 通過管理工具對服務(wù)器進行統(tǒng)一的更新、修改和信息收集。
  • 移動設(shè)備
  1. 任何移動設(shè)備都必須通過認證,方可連接到企業(yè)郵箱。
  2. 可通過移動設(shè)備管理(MDM)系統(tǒng),遠程鎖定或擦除丟失設(shè)備上的數(shù)據(jù)。
  3. 默認啟用自動鎖屏、強鎖屏密碼等安全策略。
  • 機房
  1. 安裝能夠保持常鎖狀態(tài)的門禁系統(tǒng),且開鎖的權(quán)限僅限于部分人員。
  2. 進出機房要有記錄。
  3. 機房應(yīng)配備有架空防靜電地板、7×24小時空調(diào)、不間斷電源、以及安全攝像頭等。
  4. 對于托管類數(shù)據(jù)中心,應(yīng)參照ISO27011的相關(guān)標準,配有7×24小時監(jiān)控、雙路供電、以及主從DNS的雙線制等,ITIL服務(wù)類型的管理。

軟件

  • 應(yīng)用程序
  1. 針對不同的應(yīng)用程序,設(shè)置不同的用戶和組別,以及不同的訪問權(quán)限。
  2. 通過單點登錄(SSO)來統(tǒng)一各種應(yīng)用,以實現(xiàn)用戶賬號權(quán)限的自動匹配。
  3. 根據(jù)程序的功能和使用的范圍,擬制所有應(yīng)用的全量列表,其中包含:類別、基本描述、版本號、許可證、獲取方式等信息。
  4.  通過工具繪制某類數(shù)據(jù)在內(nèi)部各個應(yīng)用(或系統(tǒng))之間進行流轉(zhuǎn)的用例圖(如下圖所示)。

  • 文檔及其管理平臺
  1. 建議將工作相關(guān)文檔存入指定的共享目錄,而非用戶電腦的本地磁盤;將客戶或特定項目的相關(guān)文檔導入特定的協(xié)作管理平臺。
  2. 文檔在存儲過程中,除了指定其公開(Public)或私有(Private)屬性外,還應(yīng)當對具體用戶和組別,指定“讀、寫、改、刪”等細粒度權(quán)限。
  3. 通過管理平臺,持續(xù)記錄并保存用戶的各項操作日志,并能夠?qū)Σ缓弦?guī)的行為予以警告。
  • 郵件管理
  1. 對出入本系統(tǒng)的郵件配置防病毒、防惡意軟件、反垃圾郵件、黑/白名單、加密歸檔等服務(wù)。
  2. 對郵件的PC客戶端、移動端、以及基于網(wǎng)頁的郵件訪問方式等,啟用安全設(shè)置。
  3. 禁止用戶通過手動、或自定義設(shè)置規(guī)則進行批量轉(zhuǎn)發(fā)。
  4. 通過SaaS服務(wù)等方式,保持郵件系統(tǒng)在斷網(wǎng)情況下的可用性。

網(wǎng)絡(luò)

  • 連網(wǎng)方式
  1. 發(fā)現(xiàn)并繪制詳細的網(wǎng)絡(luò)連接設(shè)備與端口狀態(tài)的拓撲圖。
  2. 對各種網(wǎng)絡(luò)連接設(shè)備采用統(tǒng)一化的配置模板,并對各個設(shè)備的配置進行集中式備份。
  3. 劃分僅供外部用戶以安全套接層(SSL)方式訪問的DMZ區(qū)域與資源。
  4. 在網(wǎng)絡(luò)邊緣與接入處,對出入向數(shù)據(jù)包執(zhí)行內(nèi)容掃描,請求特征分析,策略合規(guī)判斷,以及跟蹤記錄等操作。
  • 無線連接
  1. 提供全覆蓋的統(tǒng)一ID和企業(yè)版加密連接控制。
  2. 允許域賬號通過無線網(wǎng)絡(luò)訪問企業(yè)資源;而非域用戶僅能訪問公共的資源。

數(shù)據(jù)

  • 對本地和云端存儲空間實施邏輯隔離,確保數(shù)據(jù)的物理存放符合所在區(qū)域的本地法律規(guī)范。
  • 按需對測試、共享、以及發(fā)布類數(shù)據(jù)進行脫敏(Data Desensitization)和加噪,并按照ISO/IEC 27018的相關(guān)標準,保護數(shù)據(jù)隱私。
  • 對靜態(tài)存放與動態(tài)流轉(zhuǎn)的數(shù)據(jù),按需采用企業(yè)級的加密標準(如:AES 256 bit和TLS v1.3),并對歸檔數(shù)據(jù)實施恰當?shù)牧舸媾c銷毀策略。

訪問

  • 訪問賬號
  1. 通過基于角色的訪問控制(RBAC),來實現(xiàn)最小特權(quán)(LUA)管理。
  2. 執(zhí)行人員僅使用特殊賬號進行運維與管理類操作,以方便跟蹤和審計。
  3. 按照職權(quán)分離(SoD)和須知(Need to know)的原則設(shè)定不同的用戶組。
  4. 對所有賬號統(tǒng)一采取強密碼策略。
  • 遠程接入
  1. 統(tǒng)一采用多因素的訪問認證方式。
  2. 允許任何設(shè)備接入基于網(wǎng)頁的遠程桌面與應(yīng)用;僅允許本企業(yè)移動設(shè)備連接虛擬專用網(wǎng)。
  3. 為外包人員提供特殊賬號、受限的虛擬專用網(wǎng)連接、以及必需的應(yīng)用。
  • 協(xié)作平臺
  1. 以集中化管理的協(xié)作平臺,實現(xiàn)內(nèi)、外部人員的溝通、協(xié)作、以及文件交換。
  2. 使用統(tǒng)一的內(nèi)部平臺,實現(xiàn)對所有的事件、問題、請求、以及變更的管理。
  3. 使用統(tǒng)一的資源平臺,實現(xiàn)對各類客戶,以及項目進度的跟蹤與管理。

防御

  • 以服務(wù)級別協(xié)議(SLA)的方式,制定完備的備份與恢復策略,以及恢復點(RPO)和恢復時間目標(RTO),并將備份介質(zhì)離站放置。
  • 使用安全信息與事件管理(SIEM)系統(tǒng)對日志予以集中和分析。
  • 監(jiān)控各種網(wǎng)絡(luò)設(shè)備和服務(wù)器硬盤的使用率、以及在線狀態(tài)等指標。
  • 制定并定期更新應(yīng)急響應(yīng)流程,組織相關(guān)人員進行演練。
  • 定期對軟、硬件進行滲透測試,對人員進行社會工程與郵件釣魚等安全意識測試。

可見,上述細則涵括了硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)、訪問、防御,六種企業(yè)里最常見的數(shù)據(jù)流轉(zhuǎn)領(lǐng)域,以及各類人員能夠頻繁接觸到的場景。

審管理

常言道:“三分技術(shù)、七分管理?!鼻懊嫖覀兺ㄟ^理論和技術(shù)的介紹,為前四種角色人員,分步驟展示了基本的安全體系結(jié)構(gòu)。而對于最終用戶和審計人員來說,則需要通過如下方面,培養(yǎng)自己的安全意識和基本應(yīng)對能力,并且據(jù)此來指導日常的各項工作。

  • 定期以海報、電子郵件、速查手冊、以及面對面技能培訓等方式,來參與并獲取安全與風險意識。
  • 禁止安裝并使用那些非企業(yè)認可的社交賬號、即時通訊軟件、以及在線文件平臺。對在各大平臺上發(fā)布、轉(zhuǎn)發(fā)、披露本企業(yè)數(shù)據(jù)和敏感信息的行為,進行規(guī)范、限制和監(jiān)控。
  • 定期執(zhí)行和參與內(nèi)、外部審計,重視審計中發(fā)現(xiàn)的問題,并及時整改。
  • 接受上下游合作商、以及由客戶所主導的,參照《通用數(shù)據(jù)保護條例(GDPR)》或《網(wǎng)絡(luò)安全法》等法律法規(guī),所開展的各類安全評審活動。

結(jié)語

掌握著各類敏感數(shù)據(jù)的咨詢業(yè),比其他領(lǐng)域更需要重視數(shù)據(jù)安全。通過上述針對安全架構(gòu)的逐層討論,希望您已經(jīng)對其中涉及到的人、貨、場等方面有所了解。當然,理論概念是需要實踐和落地的。如果我們只注重技術(shù)的堆砌,而與業(yè)務(wù)脫鉤,那么將會淪為疲于撿漏、甚至消極應(yīng)對。因此,讓我們以上述要點為參考,制定出屬于自己企業(yè)與行業(yè)特點的可實現(xiàn)安全體系,一邊搭建一邊改進,不斷迭代。常言道:“與其臨淵羨魚,不如退而結(jié)網(wǎng)?!弊屛覀償]起袖子,下場搏擊吧。


分享標題:【廉環(huán)話】不要讓數(shù)據(jù)安全成為“盲盒”里的那只貓--淺談咨詢業(yè)數(shù)據(jù)安全體系建設(shè)
轉(zhuǎn)載源于:http://m.5511xx.com/article/cdggegi.html