昨天刚做完阿里巴巴的数据安全考试,
心里觉得有些意思,我先来简单的说一下,这次比赛,算了,还是给你们来几道题
10以下不属于数据脱敏安全过程域要求的是:
梳理需要脱敏处理的应用场景、脱敏处理流程、涉及部门及人员的职责分工
建立组织级数据脱敏规范,明确数据脱敏的规则、脱敏方法和使用限制等
建立组织级数据分析安全审核流程,对数据分析的数据源、数据分析需求、分析逻辑进行审核, 以确保数据分析目的、分析操作等的正当性
负责数据脱敏管理的人员应具备对不同分类和级别的数据制定数据脱敏方案的能力
13 单项选择题
对数据实施脱敏处理前要进行的必要工作是:
梳理数据资产脱敏场景,并针对不同分类分级的数据制定脱敏要求
制定脱敏评估指标、评估分析和评估方法等,以反映脱敏治理效果。
对数据脱敏处理过程相应的操作日志进行记录,以满足数据脱敏处理安全审计要求。
明确定义数据溯源策略和溯源机制,溯源数据表达方式和格式规范,以及溯源数据安全存储与使用的管理制度
16 单项选择题
关于数据备份和灾难恢复技术,下面说法不正确的是?
数据恢复只能处理狭义的数据失效,而灾难恢复则可以处理广义的数据失效
灾难恢复与普通数据恢复的最大区别在于,在整个系统都失效时,用灾难恢复措施能够迅速恢复系统
备份不等于单纯的复制,管理也是备份重要的组成部分,管理包括备份的可计划性、备份的自动化操作、历史记录的保存,以及日志记录等
双机、磁盘阵列、镜像、分布式系统等高可用系统可以完全替代数据备份
19 单项选择题
关于DSMM中的“数据安全策略和规划”这个安全过程域,下面描述不正确的是:
应通过建立组织层面数据安全策略规划体系,保证数据安全战略规划与组织机构的数据业务规划相适应。
应设立数据安全战略规划岗位和人员,负责对制定组织机构整体的战略规划并推进阶段性的规划执行;同时,要对安全规划进行评估,确保数据安全策略、安全目标和战略规划内容的合规性
应建立组织机构统一的信息化平台,向全员宣传战略规划的重要性;同时需要注意对数据安全战略规划保密,不应当面向组织机构内部全员进行发布
应依据机构数据安全战略规划目标,制定数据安全规划各阶段目标、任务和工作重点,并对战略规划目标和安全规划实施过程进行监督与控制
22 单项选择题
以下不属于数据备份和恢复安全域三级要求的是:
制定组织级数据存储时效性管理策略和规程,明确数据分享、存储、使用和清除的有效期、有效期到期时对数据的处理流程、过期存储数据的安全管理策略
在核心业务中,对业务中涉及的数据脱敏场景与需求进行了分析,对于脱敏的流程、方法有一定预定的方式实现
具备备份和归档数据安全的技术手段,包括但不限于对备份和归档数据的访问控制、压缩 或加密管理、完整性和可用性管理,确保对备份和归档数据的安全性、存储空间的有效利用和安全访问
建立组织级数据备份与恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、 日志记录规范、数据保存时长等
26 单项选择题
数据传输安全相关的要求不包括:
组织要区分安全域内、安全域间等不同的数据服务相关的数据传输场景
组织要根据数据的不同分类分级定义数据传输管理要求
数据传输工具要满足数据传输安全策略相应的安全控制技术方案,包括安全通道、可信通道、数据加密等;
在数据分类分级定义的基础上明确各类各级数据的加密存储要求,包括对数据加密算法的要求和数据加密密钥的管理要求。
27 单项选择题
检测安全性入侵的时候,以下哪一种工具是有效的?
数据挖掘工具
数据利用工具
数据整理工具
数据访问工具
29 单项选择题
以下关于DSMM能力级别的描述,不属于3级必须要求的是()
数据安全管理部门应与具体数据安全过程相关的部门及外部组织共同合作,建立有效的沟通和推进机制,保证数据安全组织建设相关标准的统一执行。
数据安全人员能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之间以统 一的标准来实现数据安全保障。
数据安全的制度流程能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之 间以统一的标准来进行数据安全保障。
技术工具应支持在数据的各生命周期过程中自动化采集数据和度量,并对度量结果进行展示。
30 单项选择题
数据导入导出安全域的主要目的是( )
设立统一的数据导入导出安全管理岗位和人员,负责制定规则和提供技术方案
在导入导出完成后对数据导入导出通道缓存的数据进行清除
防止可能对数据自身的可用性和完整性构成的危害,以及降低可能存在的数据泄漏风险
建立数据导出安全评估和授权审批流程,评估数据导出的安全风险
34 单项选择题
以下哪项不属于数据分类分级的应用场景?
所有涉及个人隐私的信息都要做脱敏处理,如身份证号,手机号等;
安全级别在L2及以上的数据,均不允许对公司外部传播
策略与规范中考虑数据分类分级相关制度建设
在元数据管理系统中对数据分类和分级进行标识
36 单项选择题
DSMM中对元数据的定义主要是指( )
管理元数据
技术元数据
业务元数据
38 单项选择题
DSMM主要借鉴以下哪个模型/标准的思想?
信息技术服务标准(ITSS)
信息安全管理要求ISO/IEC27001
能力成熟度模型(CMM)
信息安全等级保护
41 单项选择题
访问控制列表 (ACL)是一种常用的数据访问控制手段, 以下不属于访问控制的是?
文件许可权,例如,创建、读取、编辑或删除文件的权限。
程序许可权,例如,执行程序的权限。
数据许可权,例如,检索或更新数据库中的信息的权限。
用户通过凭证验证后登入系统。
44 单项选择题
数据分类分级是数据安全管理工作的重要环节,下面哪一项不是对数据进行分类分级时需要重点考虑的?
数据敏感性
数据时效性
数据存储
法律法规的规定
53 不定项选择题
属于数据处理阶段的安全域包括( )
数据处理环境安全
数据正当使用
数据供应链管理
监控与审计
元数据管理
在进行数据访问行为审计中,应该记录以下哪些信息?
用户ID
登入登出的日期时间
终端标识
对系统、数据、应用的访问尝试,无论成功还是失败
文件和网络访问
系统配置变更
使用系统工具
57 不定项选择题
在某组织网络环境中,发现无法识别的加密数据通过FTP被发送到远程服务器,弱点扫描发现Linux服务器缺少一些操作系统补丁。进一步调查后,发现服务器上存在一些未识别的运行进程。这个时候,数据安全团队的关键第一步行动应该是?
抓取进程ID数据,并提交给反病毒厂商核查
重启这些Linux服务器,检查运行的进程,并安装操作系统补丁
从生产环境移除一个Linux服务器,并进行隔离
通知高级管理层,发生安全泄漏事故
63 不定项选择题
数据共享安全主要指哪些场景?
通过业务系统对外部客户提供数据
通过合作的方式与第三方合作伙伴交换数据
通过互联网平台发布企业财报数据
组织内部公告组织架构调整结果
64 不定项选择题
数据共享管理平台三级水平应具备哪些功能?
采取多种措施确保个人信息在委托处理、共享、转让等对外提供场景的安全合规,如数据脱敏、数据加密、安全通道、共享交换区域等
对共享数据及数据共享过程进行监控审计,确保共享的数据属于共享业务场景需求且没有超出数据共享使用授权范围
建立共享数据格式规范,如提供机器可读的格式规范,确保高效获取共享数据
明确数据提供者与共享数据使用者的数据安全责任,确保共享数据使用者具备与数据提供者足够或相当的安全防护能力
69 不定项选择题
数据资产管理主要关注哪些因素:
资产识别
资产分布
资产分类分级
资产使用场景
资产负责人
我觉得很有意思,
1.首先我感觉很像文科生的东西,在一个就是逐渐了解作为理工科出身的我们,要面临的各种处境:
到底是成为工具,还是成为人?我觉得这个问题抛出的有点早了,应该最后给出,接着写吧
2.基于框架的思想我们时代所要创造性发展制定规则
数据安全能力成熟度模型架构,直接上图
数据安全能力成熟度模型的架构由以下三个维度构成:
安全能力维度
安全能力维度明确了组织机构在数据安全领域所需具备的能力,包括组织建设、制度流程、技术工 具和人员能力四个关键能力。
能力成熟度等级维度
本标准对组织机构的数据安全能力成熟度的分级评估,是基于各能力成熟度等级下的数据安全能力 通用实践(GP,Generic Practices)所定义的分级评估方法,对各数据安全过程进行的能力成熟度等级评估。
本标准的能力成熟度等级划分为五级,具体包括:1 级是非正式执行级,2 级是计划跟踪级,3 级是充分定义级,4 级是量化控制级,5 级是持续优化级。
数据安全过程维度
数据安全过程包括数据生命周期安全过程和通用安全过程。
数据安全过程各安全过程由若干个安全过程域(PA,Process Area)组成, 各个安全过程域由若干个基本实践(BP,Base Practices)组成。
数据生命周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、 数据交换安全、数据销毁安全六个阶段的安全过程
不得不说,部署的很全面啊,能力,成熟度,过程分析,样样都有
使用方法也很全面
再来一张:
里面的设计要求不是很好弄明白,对于我们这种非企业非架构,只能叹为观止,但是里面的内容也是相当清晰的,管理制度的建成,持续优化的能力,实现数据的安全价值,等等一系列牵扯到的都写进去了,
3个人信息的保护+数据的共享
数据即价值,没错倒是数据怎么采集,怎么生产价值,又是另一回事了,
举个例子,就像我在大学早已经没有了个人的隐私,手机号,身份证号,头像,银行卡号,家庭情况,早已经没了。。
其实这还不算啥,我感觉最让人厌烦的就是,学校到底是把数据兜了几圈/?又转手了几家企业?每次让我们下载app检验是不是自己的分人信息,其实这些ordures app网页授权够让人生气的了,很多的学生都是对这些企业或者学校感觉保护隐私 这方面十分的有信心,但我更多的得想法是他们的安全意识不够,不仅是学生个人,还包括学校,以及企业单位,倒不是说轻易拖个库那马简单,更多的是人的因素,不管是从数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据 交换安全、数据销毁安全
都是问题多多,
要注意的是,目前,我国尚未出台专门的个人信息保护法,个人信息保护相关规定散见于多个法律法规和规章制度之中。
要注意是还有,不只是我们自己国家在做,还有更国际化的标准
| 序号 | 标准类型 | 标准编号 | 标准名称 |
| 1. | 国际标准 | ISO/IEC 20547-4 | 信息技术 大数据参考架构 第 4 部分:安全与隐 私保护 |
| 2. | 国际标准 | ISO/IEC 19086-4 | 云计算 服务水平协议(SLA)框架 第 4 部分:安 全与隐私保护 |
| 3. | 国际标准 | ITU-T Y.3600 | 大数据 基于云计算的要求和能力
|
| 4 | 美国标准 | NIST 1500-4 | NIST 大数据互操作框架:第 4 册 安全与隐私 |
还没完,接着走其他的,
放几个链接:
IBM企业
https://www.ibm.com/developerworks/cn/data/library/bd-1503bigdatagovernance3/
信息安全】个人信息保护标准化时代来临——《个人信息安全规范》简评
互联网企业数据安全体系建设
http://sh.qihoo.com/pc/9cfc3c570919cb0bb?sign=360_e39369d1
数据那全
https://baike.baidu.com/item/%E6%95%B0%E6%8D%AE%E5%AE%89%E5%85%A8/3204964?fr=aladdin
大数据时代下的隐私保护
https://baijiahao.baidu.com/s?id=1577145097873467500&wfr=spider&for=pc
再说几个技术层面的关键词:
水印,vpn,流量保护,GB/T 35273-2017, 连接池,访问控制(多),数据资产管理,差分隐私,隐私保护方法K L,密码体制,数据脱敏,备份逻辑物理,数据网络,团队建设,架构和政策,数据丢失预防治理、风险和合规性身份和访问,管理事件响应和法医分析,渗透测试安全,DevOps安全的软件开发
步骤1:承认网络安全是人员问题而不是技术问题,因此需要优先考虑
步骤2:解决人为因素,以便企业的网络安全思维可以在遭遇攻击之前发展
步骤3:网络安全正在逐渐成为成熟的子专业,专业人士应该获得所需的技能
1111
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
