DAMA数据管理知识体系指南-读书笔记7

第七章 数据安全

一、引言

       数据安全包括安全策略和过程的规划、建立与执行、为数据和信息资产提供正确的身份验证、授权、访问和审计。数据安全要求来自：

• 利益相关方：应识别利益相关方隐私和保密需求，包括客户、病人、学生、公民、供应商或商业伙伴等；组织中每个人必须对利益相关方数据负有责任的委托人。
• 政府法规：政府法规制定的出发点是保护利益相关方的利益，政府法规目标各有不同，有些规定限制信息访问，有些则确保公开、透明和问责的。
• 特定业务关注点：每个组织的专有数据都需要保护，这些数据运用得当，组织会获得竞争优势；若数据窃取或破坏，则组织就会失去竞争优势。
• 合法访问需求：组织在保护数据安全额同时，还须启用合同访问；业务流程要求不同角色的人能访问、使用和维护不同的数据。
• 合同义务：合同和保密协议对数据安全要求影响。

1.1 业务驱动因素

       降低风险和崔进业务增长是数据安全活动的主要驱动因素。

（1）降低风险

       信息安全管理首先对组织数据进行分类分级，以便识别需要保护的数据。步骤如下：

• 识别敏感数据资产并分类分级
• 在企业中查找敏感数据
• 确定保护每项资产的方法
• 识别信息与业务流程如何交互

（2）业务增长

       电子商务的爆炸式增长改变了商品和服务的提供方式，电子商务推动利润和业务增长。产品和服务质量与信息安全有着相当直接的关系：强大的信息安全能够推动交易进行并建立客户信心。

（3）安全性作为资产

       元数据是管理敏感数据的方法之一，可以在数据元素和集合级别标记信息分类和合规敏感度。标准安全的元数据可用于优化数据保护，知道业务开展和技术支持流程，从而降低成本。这一层信息安全有助于防止对数据资产未经授权的访问和滥用。

1.2 目标和原则

（1）目标

• 支持适当访问并防止对企业数据资产的不当访问
• 支持对隐私、保护和保密机制、法规的遵从
• 确保满足利益相关方对隐私和保密的要求

（2）原则

• 协同合作：数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门
• 企业统筹：运用数据安全标准和策略时，必须保证组织的一致性
• 主动管理：数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈。
• 明确责任：明确界定角色和职责，包括跨组织和角色的数据“监管链”。
• 元数据驱动：数据安全分类分级是数据定义的重要组成部分。
• 减少接触以降低风险：最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。

1.3 基本概念

1.3.1 脆弱性

       脆弱性是系统中容易遭受攻击的弱点或缺陷，本质上时组织预防中的漏洞。许多情况下，非生产环境比生产环境更容易受到威胁，将生产数据控制在生产环境之内至关重要。

1.3.2 威胁

       威胁是一种可能对组织采取的潜在攻击行动，威胁包括发送到组织感染病毒的电力邮件附件、使网络服务器不堪重负以致无法执行业务的进程，以及对已知漏洞的利用等。对每种威胁，都应有一种相应的抵御能力，以防止或限制威胁可能造成的损害。

1.3.3 风险

       风险既指损失的可能性，也指构成潜在损失的事务或条件，风险可按潜在损害程度或发生的可能性来确定优先级，从以下几方面计算风险：

• 威胁发生的概率及其可能的频率
• 每次威胁时间可能造成的损害类型和规模，包括声誉损害
• 损害对收入或业务运营的影响
• 发生损害后的修复成本
• 预防威胁的成本，包括漏洞修复手段
• 攻击者可能的目标或意图

1.3.4 风险分类

       风险分类描述了数据的敏感性以及出乎恶意目的对数据访问的可能性，分类用于确定谁可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类，风险分类如下几方面：

• 关键风险数据：个人信息
• 高风险数据：为公司提供竞争优势，具有潜在的直接财务价值，往往被主动寻求未经授权使用
• 中等风险数据：对几乎没有实际价值的公司非公开信息，未经授权使用可能会对公司产生负面印象。

1.3.5 数据安全组织

       数据安全组织取决于不用的企业规模，数据安全的责任就落在数据管理者身上。数据管理者需要与信息技术开发人员和网络安全专业人员积极合作，以便识别法规要求的数据，前档地保护敏感系统，并设计用户访问控制以强制实施保密性、完整性和数据合规性。

1.3.6 安全过程

       数据安全和过程4A+E

• 访问（Access）：使具有授权的个人能够及时访问系统
• 审计（Audit）：审查安全操作和用户活动，以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档，以验证是否符合安全法规、策略和标准，定期发布审核结果。
• 验证（Authentication）：验证用户的访问权限，在身份验证过程中，所有传送过程均经过加密，以防止身份验证信息被盗。
• 授权（Authorization）：授予个人访问与其角色相适应的特定数据视图的权限。
• 权限（Entitlement）：权限是由单个访问授权决策向用户公开的所有数据元素的总和。

       监控：

       系统应包括检测意外事件的监视控制，包含机密信息的系统通常实施主动、实时的监控，以提醒安全管理员注意可疑活动或不当访问。被动监控是通过系统定期捕获系统快照，并将趋势与其他标准进行比较，跟踪随时发生的变化。主动监控是一种检测机制，被动监控是一种评价机制。

1.3.7 数据完整性

       在安全性方面，数据完整性是一个整体状态要求，以免于遭受不当增/删改所造成的影响。

1.3.8 加密

       加密是将纯文本转化为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密数据不能在没有解密钥匙或算法的情况下读取，解密秘钥或算法通常单独存储，不能基于统一数据集中的其他数据元素来进行计算。3种类型加密方法：

• 哈希：哈希将任意长度数据转换为固定长度数据表示，即使知道所使用的确切算法和应用顺序，也无法解密出原始数据，常见哈希算法有MD5、SHA
• 对称加密：对称机密使用一个密钥来加解密数据，发送方和接收方必须具有读取原始数据的密钥，可诸葛字符机密数据、也可对数据块加密
• 非对称机密：在非对称加密中，发送方和接收方使用不同的密钥，发送方使用公开提供的公钥进行加密，接收方使用私钥解密显示原始数据。

1.3.9 混淆或脱敏

       可通过混淆处理（变模糊或不明确）或脱敏（删除、打乱或以其他方式更改数据的外观等）的方式来降低数据可用性，同时避免丢失数据的含义或数据域其他数据集的关系。

       数据敏感分为两种类型：静态脱敏和动态脱敏，静态脱敏按执行方式分为不落地脱敏和落地脱敏。静态数据脱敏永久且不可逆转地更改数据，这类数据脱敏在生成环境和开发（或测试）环境之间运用，静态脱敏虽会更改数据，但数据仍可用于测试、应用程序、报表等。

静态数据脱敏	不落地脱敏	当在数据源（生产环境）和目标（非生产）环境之间移动需要脱敏或混淆处理时࿰