日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
數(shù)據(jù)安全的必由之路——數(shù)據(jù)安全治理

引言

讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:域名與空間、網(wǎng)站空間、營銷軟件、網(wǎng)站建設、西工網(wǎng)站維護、網(wǎng)站推廣。

數(shù)據(jù)治理或者數(shù)據(jù)安全在大多數(shù)安全從業(yè)者的印象中是比較熟悉的概念,但數(shù)據(jù)安全治理似乎是個新名詞。實際上,對于擁有重要數(shù)據(jù)資產(chǎn)的各類企業(yè),在數(shù)據(jù)安全治理方面或多或少都有實踐,只是尚未系統(tǒng)化的實行。比如客戶數(shù)據(jù)安全管理規(guī)范及其落地的配套管控措施,以及數(shù)據(jù)分級分類管理規(guī)范。這篇文章我們希望能相對系統(tǒng)化地對此概念進行闡述。

數(shù)據(jù)安全治理的概念——以數(shù)據(jù)的安全使用為目的的綜合管理理念,具體框架見下圖:

圖1數(shù)據(jù)安全治理理念框架

數(shù)據(jù)安全治理與傳統(tǒng)安全概念的差異

為了更加有效地理解數(shù)據(jù)安全治理概念與傳統(tǒng)數(shù)據(jù)安全的差異,對比傳統(tǒng)安全理念如下:

表1數(shù)據(jù)安全治理與傳統(tǒng)數(shù)據(jù)安全的差異對比

一、數(shù)據(jù)安全治理的組織和受眾

數(shù)據(jù)安全治理首先要成立專門的數(shù)據(jù)安全治理機構(gòu),以明確數(shù)據(jù)安全治理的政策、落實和監(jiān)督由誰長期負責。該機構(gòu)通常是虛擬機構(gòu),可稱為數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組,成員由數(shù)據(jù)的利益相關者和專家構(gòu)成。其成立,標志著組織的數(shù)據(jù)安全治理工作正式啟動,使組織內(nèi)數(shù)據(jù)安全規(guī)范制定、數(shù)據(jù)安全技術導入、數(shù)據(jù)安全體系建設得以不斷完善。該機構(gòu)成立后,履行以下職責:

A.數(shù)據(jù)的分級分類原則的制定

B.數(shù)據(jù)安全使用(管理)規(guī)范的制定

C.數(shù)據(jù)安全治理技術的導入

D.數(shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行

E.數(shù)據(jù)安全治理的持續(xù)演進

二、數(shù)據(jù)安全治理的策略與流程

數(shù)據(jù)安全治理,最為重要的是實現(xiàn)數(shù)據(jù)安全策略和流程的制訂,在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進行發(fā)布,所有的工作流程和技術支撐都是圍繞此規(guī)范來制訂、落實。

1. 外部所要遵循的策略

數(shù)據(jù)安全治理同樣需要遵循國家級的安全政策和行業(yè)內(nèi)的安全政策。舉例如下:

(1) 網(wǎng)絡安全法;

(2) 等級保護政策;

(3) BMB17;

(4) 行業(yè)相關的政策要求舉例:

  •  PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、HIPPA;
  •  企業(yè)內(nèi)部控制基本規(guī)范;(三會、財政、審計)
  •  中央企業(yè)商業(yè)秘密保護暫行規(guī)定;

這些政策通常是在制訂組織內(nèi)部政策時重點參考的外部政策規(guī)范。

2.數(shù)據(jù)的分級分類

數(shù)據(jù)治理主要依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途進行分類;以數(shù)據(jù)的價值、內(nèi)容敏感程度、影響和分發(fā)范圍進行敏感級別劃分。

3. 數(shù)據(jù)資產(chǎn)狀況的梳理

(1) 數(shù)據(jù)使用部門和角色梳理

數(shù)據(jù)資產(chǎn)梳理中,明確數(shù)據(jù)如何被存儲、數(shù)據(jù)被哪些對象使用、數(shù)據(jù)被如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用,需要通過自動化的工具進行;對于部門、人員角色梳理,更多在管理規(guī)范文件中體現(xiàn);對于數(shù)據(jù)資產(chǎn)使用角色的梳理,關鍵要明確不同受眾的分工、權(quán)利和職責。

(2) 數(shù)據(jù)的存儲與分布梳理

清楚敏感數(shù)據(jù)分布,才能知道需要對什么樣的庫實現(xiàn)何種管控策略;對該庫運維人員實現(xiàn)怎樣的管控措施;對該庫的數(shù)據(jù)導出實現(xiàn)怎樣的模糊化策略;對該庫數(shù)據(jù)的存儲實現(xiàn)何種加密要求。

(3) 數(shù)據(jù)的使用狀況梳理

明確數(shù)據(jù)被什么業(yè)務系統(tǒng)訪問,才能準確地制訂業(yè)務系統(tǒng)工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

a. 數(shù)據(jù)的訪問控制

針對數(shù)據(jù)使用不同方面,完成對數(shù)據(jù)使用的原則和控制策略,包括:數(shù)據(jù)訪問的賬號和權(quán)限管理、數(shù)據(jù)使用過程管理、數(shù)據(jù)共享(提取)管理、數(shù)據(jù)存儲管理。

b. 定期的稽核策略

定期稽核,保證數(shù)據(jù)安全治理規(guī)范落地,包括:

  • 合規(guī)性檢查;
  • 操作監(jiān)管與稽核;
  • 風險分析與發(fā)現(xiàn)。

三、數(shù)據(jù)安全治理技術支撐框架

1. 數(shù)據(jù)安全治理的技術挑戰(zhàn)

數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理、敏感數(shù)據(jù)訪問與管控、數(shù)據(jù)治理稽核三大挑戰(zhàn)。

圖2 當前數(shù)據(jù)安全治理面臨的挑戰(zhàn)

(1) 數(shù)據(jù)安全狀況梳理技術挑戰(zhàn)

組織需要確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布情況,關鍵問題在于明確敏感數(shù)據(jù)的分布;確定敏感性數(shù)據(jù)如何被訪問,如何掌握敏感數(shù)據(jù)以何種方式被什么系統(tǒng)、什么用戶訪問;確定當前賬號和授權(quán)狀況,清晰化、可視化、報表化的明確敏感數(shù)據(jù)在數(shù)據(jù)庫和業(yè)務系統(tǒng)中的訪問賬號和授權(quán)狀況,明確當前權(quán)控是否具備適當基礎。

(2) 數(shù)據(jù)訪問管控技術挑戰(zhàn)

在敏感數(shù)據(jù)訪問和管控技術方面,面臨以下挑戰(zhàn):

  • 如何將敏感數(shù)據(jù)訪問的審批在執(zhí)行環(huán)節(jié)有效落地對于敏感數(shù)據(jù)的訪問、對于批量數(shù)據(jù)的下載要進行審批制度,這是關鍵;
  • 如何對突破權(quán)控管理的黑客技術進行防御基于數(shù)據(jù)庫的權(quán)限控制技術;
  • 如何在保持高效的同時實現(xiàn)存儲層的加密基于文件層和硬盤層的加密將無法與數(shù)據(jù)庫的權(quán)控體系結(jié)合,對運維人員無效。
  • 如何實現(xiàn)保持業(yè)務邏輯后的數(shù)據(jù)脫敏對于測試環(huán)境、開發(fā)環(huán)境和 BI 分析環(huán)境中的數(shù)據(jù)需要對敏感數(shù)據(jù)模糊化。
  • 如何實現(xiàn)數(shù)據(jù)提取分發(fā)后的管控。

(3) 數(shù)據(jù)安全的稽核和風險發(fā)現(xiàn)挑戰(zhàn)

a. 如何實現(xiàn)對賬號和權(quán)限變化的追蹤

定期對賬號和權(quán)限變化狀況進行稽核,保證對敏感數(shù)據(jù)的訪問在既定策略和規(guī)范內(nèi)。

b. 如何實現(xiàn)全面的日志審計

全面審計是檢驗數(shù)據(jù)安全治理中的策略是否在日常執(zhí)行中切實落地的關鍵。《網(wǎng)絡安全法》針對全面的數(shù)據(jù)訪問審計的要求,日志存儲最少保留6個月;全面審計工作對各種通訊協(xié)議、云平臺的支撐,1000 億數(shù)據(jù)以上的存儲、檢索與分析能力上,均形成挑戰(zhàn)。

c. 如何快速實現(xiàn)對異常行為和潛在風險的發(fā)現(xiàn)與告警

數(shù)據(jù)治理關鍵要素是發(fā)現(xiàn)非正常的訪問行為和系統(tǒng)中存在的潛在漏洞問題。如何對日常行為建模,是海量數(shù)據(jù)中快速發(fā)現(xiàn)異常行為和攻擊行為避免系統(tǒng)面臨大規(guī)模失控的關鍵。

2. 數(shù)據(jù)安全治理的技術支撐

對應數(shù)據(jù)安全治理上述三大挑戰(zhàn),提出針對數(shù)據(jù)安全狀況梳理、數(shù)據(jù)訪問管控及數(shù)據(jù)安全稽核的技術保障體系。

(1) 數(shù)據(jù)安全狀況梳理的技術支撐

a. 數(shù)據(jù)靜態(tài)梳理技術

靜態(tài)梳理完成對敏感數(shù)據(jù)的存儲分布狀況、數(shù)據(jù)管理系統(tǒng)的漏洞狀況、數(shù)據(jù)管理系統(tǒng)的安全配置狀況的信息采集技術。

b. 數(shù)據(jù)動態(tài)梳理技術

動態(tài)梳理技術實現(xiàn)對系統(tǒng)中的敏感數(shù)據(jù)的訪問狀況的梳理。

c. 數(shù)據(jù)狀況的可視化呈現(xiàn)技術

通過可視化技術將靜態(tài)資產(chǎn)和動態(tài)資產(chǎn)梳理技術梳理出的信息以可視化的形式呈現(xiàn),比如敏感數(shù)據(jù)的訪問熱度、資產(chǎn)在組織內(nèi)不同部門或業(yè)務系統(tǒng)內(nèi)的分布、系統(tǒng)的賬號和權(quán)限圖、敏感數(shù)據(jù)的范圍權(quán)限圖:

圖3 數(shù)據(jù)資產(chǎn)分布圖

圖4 數(shù)據(jù)訪問熱度圖

圖5 敏感數(shù)據(jù)賬號和授權(quán)狀況概況圖

d. 數(shù)據(jù)資產(chǎn)的管理系統(tǒng)支撐

基于靜態(tài)梳理、動態(tài)梳理和可視化展現(xiàn)技術,建立數(shù)據(jù)資產(chǎn)的登記、準入、準出和定期核查。

圖6 以自動流量分析技術完成存量資產(chǎn)梳理圖

(2) 數(shù)據(jù)訪問管控的技術支撐

a. 數(shù)據(jù)庫運維審批技術

數(shù)據(jù)庫的專業(yè)運維管控工具可以控制到表、列級及各種數(shù)據(jù)庫操作;可精確控制到具體的語句、語句執(zhí)行的時間、執(zhí)行閾值;滿足事前審批,事中控制的模式。

圖7 數(shù)據(jù)庫安全運維審批流程示意

b. 防止黑客攻擊的數(shù)據(jù)庫防火墻技術

除管理內(nèi)部人員對敏感數(shù)據(jù)的訪問行為,也要對付黑客攻擊和入侵或第三方外包人員突破常規(guī)的權(quán)限控制,因此需要數(shù)據(jù)庫防火墻技術實現(xiàn)防御漏洞攻擊。

圖8 數(shù)據(jù)庫防火墻技術中最核心技術——虛擬補丁技術

c. 數(shù)據(jù)庫存儲加密技術

數(shù)據(jù)庫的存儲加密保證數(shù)據(jù)在物理層得到安全保障,加密技術的關鍵是解決幾個核心問題:

  • 加密與權(quán)控技術的整合;
  • 加密后的數(shù)據(jù)可快速檢索;
  • 應用透明技術;

d. 數(shù)據(jù)庫脫敏技術

數(shù)據(jù)庫脫敏技術,是解決數(shù)據(jù)模糊化的關鍵技術,通過脫敏技術來解決生產(chǎn)數(shù)據(jù)中的敏感信息在測試環(huán)境、開發(fā)環(huán)境和 BI 分析環(huán)境的安全。

圖9 數(shù)據(jù)脫敏技術

在脫敏技術中的關鍵技術包括:

  • 數(shù)據(jù)含義的保持;
  • 數(shù)據(jù)間關系的保持;
  • 增量數(shù)據(jù)脫敏;
  • 可逆脫敏;

e. 數(shù)據(jù)水印技術

數(shù)據(jù)水印技術是為了保持對分發(fā)后的數(shù)據(jù)的追蹤,在數(shù)據(jù)泄露行為發(fā)生后,對造成數(shù)據(jù)泄露的源頭可進行回溯。在分發(fā)數(shù)據(jù)中摻雜不影響運算結(jié)果的水印數(shù)據(jù),水印中記錄分發(fā)信息,當拿到泄密數(shù)據(jù)的樣本,可追溯數(shù)據(jù)泄露源。

(3) 數(shù)據(jù)安全稽核的技術支撐

數(shù)據(jù)安全稽核保障數(shù)據(jù)治理的策略和規(guī)范被有效執(zhí)行和落地,快速發(fā)現(xiàn)潛在的風險和行為。但面對超大規(guī)模的數(shù)據(jù)流量、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務系統(tǒng)數(shù)量,數(shù)據(jù)稽核面臨著很大技術挑戰(zhàn)。

a. 數(shù)據(jù)審計技術

數(shù)據(jù)審計技術是對工作人員行為是否合規(guī)進行判定的關鍵,是基于網(wǎng)絡流量分析技術、高性能入庫技術、大數(shù)據(jù)分析技術和可視化展現(xiàn)技術:

圖10 數(shù)據(jù)審計技術

b. 賬戶和權(quán)限變化追蹤技術

賬號和權(quán)限總是動態(tài)被維護,如何快速了解在已完成的賬號和權(quán)限基線上增加了哪些賬號,賬號權(quán)限是否變化,變化是否遵循合規(guī)性保證,需要通過靜態(tài)的掃描技術和可視化技術完成賬號和權(quán)限的變化稽核。

圖11 授權(quán)變更統(tǒng)計分析管理界面

c. 異常行為分析技術

很多數(shù)據(jù)入侵和非法訪問掩蓋在合理的授權(quán)下,因此需要通過一些數(shù)據(jù)分析技術,對異常行為發(fā)現(xiàn)和定義。定義異常行為,一是通過人工的分析完成;一是對日常行為進行動態(tài)的學習和建模,不符合日常建模的行為予以告警。

表4 異常訪問行為定義

以上很多異常訪問行為,都與頻次有密切關系,引入StreamDB這種以時間窗體為概念,對多個數(shù)據(jù)流進行頻次、累計量和差異量進行分析的技術,用于對大規(guī)模數(shù)據(jù)流的異常發(fā)現(xiàn):

圖12 Stream 數(shù)據(jù)處理技術

數(shù)據(jù)安全治理理念,首先需要成立數(shù)據(jù)安全治理的組織機構(gòu),確保數(shù)據(jù)安全治理工作在組織內(nèi)能真正地落地;其次,完成數(shù)據(jù)安全治理的策略性文件和系列落地文件;再次,通過系列的數(shù)據(jù)安全技術支撐系統(tǒng)應對挑戰(zhàn),確保數(shù)據(jù)安全管理規(guī)定有效落地。

【本文是專欄作者“安華金和”的原創(chuàng)稿件,轉(zhuǎn)載請聯(lián)系原作者】

戳這里,看該作者更多好文


名稱欄目:數(shù)據(jù)安全的必由之路——數(shù)據(jù)安全治理
瀏覽路徑:http://m.5511xx.com/article/coiohoe.html