当前位置： 首页 >> 数据安全 >> 数据安全管控框架

---

数据安全管控框架

2023-09-12 23:26:09 星期二  发表于北京  阅读：2701

---

 参考书籍  豆瓣链接：https://book.douban.com/subject/36390967/ 当前，数据量的快速增长和数据泄露事件频发的趋势，加上组织内外不断扩大的数据使用需求，极大地改变了对数据保护及其解决方案的诉求。 由于数据安全涉及数据**生产、传输、存储、使用、共享、销毁**等全生命周期的每一步，并且涉及众多参与者，所以一个成功的数据安全方案的规划和建设需要借鉴一些有经验的模型框架 Forrester提出的`数据安全管控（Data SecurityControl，简称DSC）`框架把安全管控数据分解成三大领域 **定义数据、分解和分析数据、防御风险和保护数据** #### 定义好数据可以简化数据管控 我们不太可能把所有数据保护起来，比如把所有的数据都加密，这从运维的角度来说太复杂了，而且效率比较低。为了更好地了解所要保护的数据，进行数据发现和数据分类非常关键 ##### 数据发现 首先知道数据都存储在哪里 ##### 数据分类 数据分类是数据保护的基石，首先需要制定相应的标准，数据分类的标准会随着业务和数据的变化而有所变化 #### 分解和分析数据帮助更好地制定安全策略 剖析数据的商业价值及其在业务中的重要性，然后决定相应的安全策略和技术。 比如： >对于经常与外部交换的敏感数据，安全团队可以部署能够实现安全协作的方案； 对于内部业务部门希望用于数据分析的敏感数据，可以对使用中的数据进行保护或进行匿名去标识化处理。 同时，了解数据的状态很重要： >数据是如何流动的？ 谁在使用这些数据？ 使用频率如何？ 使用的目的是什么？ 这些数据是如何收集的？ 如果数据完整性受到破坏，会产生什么样的后果？ #### 防御风险和保护数据免受威胁 随着数据风险的加大，以及攻击的数量和复杂程度的增加，DSC框架建议了四种方法。 ##### 控制访问 确保正确的用户能够在正确的时间访问正确的数据。要在整个生命周期中保护数据，并严格限制可以访问重要数据的人数，持续监控用户的访问行为 ##### 监控数据使用行为 帮助安全团队预先提示潜在的滥用行为。可以通过部署**用户实体行为分析**（User and EntityBehavior Analytics，简称UEBA）等工具，并将其与安全分析集成，来实现主动保护敏感数据所需的可见性 ##### 删除不再需要的数据 通过适当的数据发现和分类，可以防御性地处置不再需要的敏感数据。安全、防御性地处理数据是一种强大的防御策略，可以降低法律风险，降低存储成本，并降低数据泄露的风险。 ##### 混淆数据 不法分子利用互联网上的“地下黑市”买卖敏感数据。我们可以通过使用数据抽象和模糊技术（如加密、去标识化和掩蔽）生成“混淆数据”，来降低数据的价值