登 录
注 册
< 信息安全
数据安全
密码学
安全常识
数据安全管控框架
数据审计和保护
数据安全常见风险
热门推荐>>>
中台架构
中台建设与架构
Hadoop
源码分析-NN启动(三)
HBase
HBased对接Hive
Linux
Nginx高可用
Python
数据导出工具
Flink
3分钟搭建Flink SQL测试环境
Kafka
Kafka对接Flume
深度学习
卷积神经网络
数据结构与算法
选择合适的算法
MySQL
数据备份恢复
计算机系统
信号量同步线程
Hive
Hive调优参数大全
其他框架
Azkaban Flow1.0与2.0
ClickHouse
表引擎-其他类型
技术成长
最好的职业建议
精选书单
技术成长书单—机器学习
技术资讯
数据在线:计算将成为公共服务
开发工具
IntelliJ IDEA 20年发展回顾(二)
系统工具
Mac命令行工具
虚拟化
内存虚拟化概述
云原生
云原生构建现代化应用
云服务
一文搞懂公有云、私有云...
Java
Spring Boot依赖注入与Runners
Go
Go函数与方法
SQL
SQL模板
当前位置:
首页
>>
数据安全
>>
数据审计和保护
数据审计和保护
2023-09-13 23:24:28 星期三 发表于北京 阅读:723
 为了业务的快速发展,许多企业内部各团队的数据都是“孤岛”,没有对数据安全产品、策略、管理和实施进行统一的规划和管理。 因此,需要建设统一的数据安全管理平台,以数据为中心的审计和保护框架。能够集中监控不同的应用、各类用户、特权账号管理员对数据的使用情况提供六种支持能力。甚至可以通过机器学习或行为分析的算法,提供智能化的更高级别的风险洞察力,该架构应该包含如下能力: ##### 1、敏感数据发现和分类 跨越关系型数据库、数据仓库、非结构化数据文件、半结构化数据文件和半结构化大数据平台等实现敏感数据的发现和分类。 同时,需要能够涵盖基础设施服务IaaS、Saa和数据库即服务(DataBase-as-a-Service,简称DBaaS)中的本地存储和基于云的存储 ##### 2、实时监控数据访问行为 针对用户的数据访问进行权限设置、监控和控制,特别是包括管理员和开发人员等高权限用户的权限; 使用基于角色的访问控制(Role-Based Access Control,简称RBAC)和基于属性的访问控制(Attribute-Based Access Control,简称ABAC),实现对特定敏感数据的访问控制和监控 ##### 3、特定敏感数据访问管控 使用行为分析技术实时监控用户对敏感数据的访问行为,针对不同场景的模型,生成可定制的安全警报,阻断高风险的用户行为和访问模式等 ##### 4、数据访问权限设置、监控和控制 对用户和管理员访问特定敏感数据进行管控,可以通过加密、去标识化、脱敏、屏蔽或阻塞来实现 ##### 5、数据访问和风险事件审计报告 生成用户数据访问和风险事件审计报告,提供针对不同场景的可定制化的详细信息,从而满足不同的法律法规或标准审计要求。 ##### 6、单一监测和管理控制台 支持跨多个异构数据格式的统一数据安全监测和策略管控。 #### 隐私、保密和合规性数据治理 数据安全保护不仅仅是纯粹的产品和技术问题,更是一个过程,是一种结构化且可重复的方法,用于识别、保护和降低数据安全风险。 这种方法需要协调**人员、流程和技术**,以便安全地为业务服务并防御风险 ##### 人员 数据安全相关组织分为战略层、战术层和操作层三个层次,每一层次都要明确组织中的数据安全相关的角色职责、资源配置和操作指南 ##### 流程 组织应首先检查数据安全相关的各种法规、标准、策略和程序,明确必须满足的要求,并使其制度化与流程化,以指导数据安全实践。 ##### 技术 技术上要支持分析与评估数据安全流程控制和技术控制存在特定风险的工具,并围绕数据安全生命周期、四个技术领域、数据隐私和保密原则构建 ##### 1 数据安全生命周期 为了识别安全风险并选择合适的技术措施和行为来保护机密数据,组织必须首先了解信息如何在整个系统中流动,以及信息如何在不同阶段被多个应用程序访问和处理。 ##### 2 四个技术领域 组织还需要系统评估保护其数据机密性、完整性和可用性的技术是否足以将风险降低到可接受的水平。以下技术领域为此任务提供了一个参考框架。 ###### (1)数据的基础架构 保护机密信息需要技术基础架构,可以保护计算机、存储设备、操作系统、应用程序和网络免受黑客入侵和内部人员窃取。 ###### (2)身份和访问控制 身份和访问控制技术有助于进行身份认证和访问控制,保护个人信息免受未经授权的访问,同时保证合法用户的可用性。 这些技术包括认证机制、数据和资源访问控制、供应系统和用户账户管理。从合规角度来看,IAM功能使组织能够准确地跟踪和管理整个企业所有用户的权限 ###### (3)信息保护 机密数据需要持续保护,因为它们可能在组织内部或外部被共享。组织必须确保其数据库、文档管理系统、文件服务器等处存放的数据在整个生命周期内被正确地分类和保护 ###### (4)审计和报告 审计和报告验证系统与数据访问控制是否有效,这些对于识别可疑的或不合规的行为十分有用。此外还有人工控制作为辅助。 ##### 3 数据隐私和保密原则 以下4条原则旨在帮助组织选择能够保护其机密数据的技术和行为,以指导风险管理和决策的过程。 ###### 原则1:在整个信息生命周期中遵守策略 这包括承诺按照适用的法规和条例处理所有数据,保护隐私数据、尊重客户的选择并得到客户同意,允许个人在必要时审查和更正其信息 ###### 原则2:将数据滥用风险降至最低 信息管理系统应提供合理的管理、技术和物理保障,以确保数据的机密性、完整性和可用性 ###### 原则3:将数据丢失的影响降至最低 信息保护系统应提供合理的保护措施,如加密数据以确保数据遗失或被盗后的机密性。制订适当的数据泄露应对计划,并规划升级路径,对所有可能参与违规处理的员工进行培训 ###### 原则4:展示数据保护策略和措施的有效性 为确保问责制度的实施,组织应遵守隐私保护和保密原则,并通过适当的监督、审计和控制措施来加以验证。此外,组织应该有一个报告违规行为的报告制度和明确定义的流程
京公网安备 11010902000544号