DAMA数据管理知识体系
前言
该章节主要是针对DAMA数据管理知识体系的学习笔记中数据安全,思维导图如下(考题8分)
文章目录
数据安全
1. 数据安全定义
- 数据安全包括安全策略和过程的规划、建立与执行,为数据和信息
资产提供正确的身份验证、授权、访问和审计。
2. 业务驱动因素
- 降低风险
- 1)识别敏感数据资产并分类分级
- 2)在企业中查找敏感数据
- 3)确定保护每项资产的方法
- 4)识别信息与业务流程如何交互
- 促进业务增长
- 安全性作为资产
3. 目标和原则
3.1 目标
- 支持适当访问并防止对企业数据资产的不当访问
- 支持对隐私、保护和保密制度、法规的遵从
- 确保满足利益相关方对隐私和保密的要求
支持适当访问并防止对企业数据资产的不当访问,这个的顺序不能颠倒,如果颠倒就是错误的。
例题:
对数据进行安全管控的目标是多方面的,请从下列选项中选择正确的目标。(A)
A. 支持适当访问并防止对企业数据资产的不当访问
B. 通过分类分级提高数据的质量
C. 确保满足利益相关方股东权益
D. 防止对数据资产的不当访问并支持适当访问
3.2 原则
- 协同合作
- 企业统筹
- 主动管理
- 明确责任
- 元数据驱动
- 减少接触以降低风险
4. 基本概念
4.1 脆弱性
- 脆弱性(Vulnerability)是系统中容易遭受攻击的弱点或缺陷,本 质上是组织防御中的漏洞。某些脆弱性称为漏洞敞口。
- 存在过期安全补丁的网络计算机、不受可靠密码保护的网页、来自未知发件人的 电子邮件附件的用户,不受技术命令保护的公司软件
4.2 威胁
- 威胁(Threat)是一种可能对组织采取的潜在进攻行动。
- 威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法 执行业务(拒绝服务攻击)的进程,以及对已知漏洞的利用
4.3 风险
- 风险(Risk)既指损失的可能性,也指构成潜在损失的事物或条 件。
4.4 风险分类
- 关键风险数据
- 高风险数据
- 中等风险数据
这一段在当时我考试时出过题目,询问了是属于哪种风险,考的就是高风险数据,最后还有一个干扰项
高风险数据为公司提供竞争优势,具有潜在的直接财务价值,往往被主动寻求未经授权使用。 如果高风险数据被滥用,那么可能会因此使公司遭受财务损失。
4.5 加密
- 哈希
- 常见的哈希算法有MD5和SHA
- 对称加密
- 常见的私钥算法包括数据加密标准(DES)、三重DES(3DES)、高级加密标准(AES)和国际数据加密算法(IDEA)
- 非对称加密
- 非对称加密算法包括RSA加密算法和Diffie-Hellman密钥交换协议
5. 安全过程
-
数据安全需求和过程分为4个方面,即4A:访问(Access)、审计 (Audit)、验证(Authentication)和授权(Authorization)。为了有效遵守数据法规,还增加了一个E,即权限(Entitlement)
这里会考英文选项,会说哪个英文单词不是4A的其中之一
例题:
数据安全一般包括 4A+E,请从下列选项中选择关于数据安全不正确的一个“C”
A. 访问(Access) B. 审计(Audit) C. 敏捷(Agile) D. 授权(Authorization)
6. 混淆或脱敏
数据混淆或脱敏是解决数据使用过程中的一种安全手段
- 脱敏分类:静态脱敏和动态脱敏
6.1 静态脱敏
定义:永久且不可逆转地更改数据
种类
- 不落地脱敏
- 落地脱敏
落地脱敏:通常不会在生产环境中使用,而是在生产环境和开发(或测试)环境之间运用
当在数据源(通常是生产环境)和目标(通常是非生产)环境之间移动需要脱敏或混淆处理时,会采用不落地脱敏。
6.2动态脱敏
- 定义:是在不更改基础数据的情况下,在最终用户或系统中改变数据的外观。
- 脱敏方法
- 替换(Substitution)
- 混排(Shuffling)
- 时空变异(Temporal Variance)
- 数值变异(Value Variance)
- 取消或删除(Nulling or Deleting)
- 随机选择(Randomization)
- 加密技术(Encryption)
- 表达式脱敏(Expression Masking)
- 键值脱敏(Key Masking)
7. 数据安全类型
- 设施安全
- 设备安全
- 凭据安全
- 电子通信安全
8. 机密数据分类级别
- 普通受众公开(For general audiences):可向任何人(包括公众)提供的信息。
- **内部使用(**Internal use only):仅限于员工或成员的信息,但信息分享的风险很小。仅供内部使用,可在组织外部显示或讨论,但不得复制。
- 机密(Confidential): 若无恰当签署的保密协议或类似内容,不得在组织以外共享。不得与其他客户共享客户机密信息。
- 受限机密(Restricted confidential):信息仅限于特定"需要知道"角色的个人。受限机密可能要求个人通过许可获得资格。
- 绝密(Registered confidential):信息机密程度非常高,任何信息访问者都必须签署一份法律协议才能访问数据,并承担保密责任。
9.需要被保护的数据
- 人身份信息PII
- 财务敏感数据
- 医疗敏感数据/个人健康信息(PHI)
- 教育记录
10.管理数据安全的方法
- 应用CRUD矩阵
- CRUD: 权限,create, read,update, delete
- RACI: 职责,负责、批注、咨询、通知(RACI) 矩阵
11.外包世界中的数据安全
- 任何事情皆可外包。但责任除外。
甲方是数据拥有者,把数据安全运营工作外包给了乙方,由于管理不善,导致数据泄露。请问这种 数据安全问题应该由谁主要负责?
A. 甲方 B. 乙方 C. 黑客 D. 相关监管部
答案:A
12. 度量指标
- 安全实施
- 安全意识
- 数据保护
- 安全事件
- 机密数据扩散