文章讲述了安全牛发布的《数据分类分级自动化建设指南》,强调了数据分类分级的法律法规遵从、智能化探索,以及美创科技的DDAC系统在数据安全中的应用,包括内置分类分级标准、动态感知和智能分类分级等能力。
近日,安全牛发布《数据分类分级自动化建设指南》研究报告,对数据分类分级的主要技术、实施要点、选型指导、发展趋势等展开深入探讨,为各行业数据分类分级自动化工作落地提供帮助与指引。
美创科技被列为代表推荐厂商, 落地案例—农商行基于分类分级的数据安全管控建设入选该《指南》 最佳实践。
报告发布会上,美创科技副总裁王利强同时带来《数据分类分级的智能化探索》主题演讲。
数据分类分级的智能化探索
▲ 点击上面视频,全面了解数据安全分类分级智能化探索
美创科技一直深耕于数据发现与分类分级的研究,基于纵深行业的广泛实践,围绕“分类分级标准、数据识别、数据目录”等构建智能能力,聚焦“提升效率、知识复用、持续运营”不断探索。
如视频中提到,单位组织开展数据分类分级,需从国家监管角度出发,建立“自上而下”的分类分级路径,将监管视角转换为企业自身的视角,将法律法规转换为实际落地的分类分级规则。
● ****从监 管角度,
数据分类分级需要遵从《数据安全法》和《个人信息保护法》等法律法规以及合规监管要求,因此关乎国家主权、公共安全的重要数据(包括核心数据),以及关于个人安全的个人信息,是数据安全分类分级合规的主要内容。
● 从组织角度,
数据分类分级在完成基础合规义务的前提下,关乎组织自身安全的商业机密数据成为重点,组织应从数据资产分类中找到跟经营安全相关的分类,识别同时定义敏感级别,实现精准化的安全管理和防护,并迎合数据要素化方向的数据流动场景。
**暗据发现和数据分类分级系统(简称:DDAC)**持续升级,围绕分类分级标准、数据识别、数据目录等构建智能能力,帮助各行业用户以高效、准确的手段发现国家安全、个人安全和组织安全所必须的重要/个人/机密数据。
△暗数据发现和数据分类分级系统产品架构
目 标: 形成数据资产目录和安全数据清单,全面掌握数据资产分类分级及重要/个人数据的情况,实现数据安全标准化、规范化、常态化的管理。
手段: 围绕重要数据、个人信息数据、组织机密数据建立从发现到识别到管理的技术体系。
DDAC的五大核心能力
内置分类分级标准
DDAC从数据安全相关法规出发,结合各行业数据分类分级指南,从合规、合需两个角度定义数据、级别、识别策略及法规条例参考,形成了覆盖重要数据、个人信息与商业机密等数据的分类分级标准和识别策略,同时基于在多个行业的数据领域沉淀,内置医疗、人社、金融、政府等多个行业语义识别规则。
动态感知能力
DDAC具备数据源自动发现、DDL变更自动捕获、数据量级动态监测等能力,实时监测数据动态变化,实现对资产的动态化、持续化感知。
数据智能分类分级
DDAC采用规则匹配、智能推荐、机器学习、NLP、大模型等多种智能技术,推动分类分级智能、高效落地。
赋能百态
DDAC提供标准对外接口方案,标准化对接为数据安全和其他业务系统提供数据分级管理的安全合规支撑,能与数据安全产品进行联动,将分类分级的结果同步至三方系统,实现在数据安全治理、数据分级分类、数据资产管理等方面进行协作,更大的发挥数据的利用价值。
基于分类分级的数据安全整体策略联动
资产可视化管理
DDAC支持安全数据的目录化管理,提供符合法规的资产发现报告/资产分级报告/安全合规报告,以及资产分级大屏、智能作业大屏等可视化大屏,为用户直观清晰地展现数据价值,帮助用户快速地了解数据,同时支持用户对图表进行修改或者点击查看、缩放、拖拽等操作。
DDAC行业实践
暗数据发现和数据分类分级系统推出以来,始终紧跟行业用户需求,直面数据分类分级落地难点,获得诸多权威认可,首批通过中国信通院“大数据产品评测”数据安全专项数据分类分级工具评测,获得中国信通院“数据分类分级能力检验进阶级”认证,入选《IDC
TechScape: 中国数据安全技术发展路线图,2022》数据分类分级主导型技术领域推荐厂商。
目前,暗数据发现和数据分类分级系统已在大数据局、人社、能源、金融、医疗、地产、企业、交通、教育等广泛实践。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
