第7章数据安全_不落地脱敏-CSDN博客

本文链接：https://blog.csdn.net/weixin_42749734/article/details/137248919

思维导图

7.1 引言

数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。虽然数据安全的详细情况(如哪些数据需要保护)因行业和国家有所不同，但是数据安全实践的目标是相同的，即根据隐私和保密法规、合同协议和业务要求来保护信息资产。这些要求来自以下几个方面。

(1)利益相关方

        应识别利益相关方的隐私和保密需求，包括客户、病人、学生、公民、供应商或商业伙伴等。组织中的每个人必须是对利益相关方数据负有责任的受托人。

(2)政府法规

        政府法规制定的出发点是保护利益相关方的利益。政府法规目标各有不同，有些规定是限制信息访问的，而另一些则是确保公开、透明和问责的。

(3)特定业务关注点每个组织的专有数据都需要保护。

        这些数据运用得当，组织就可以获得竞争优势。若保密数据遭窃取或破坏，则组织就会失去竞争优势。

(4)合法访问需求

        组织在保护数据安全的同时，还须启用合法访问。业务流程要求不同角色的人能够访问、使用和维护不同的数据。

(5)合同义务

        合同和保密协议对数据安全要求也有影响。例如，PCI标准是信用卡公司和某个商业企业之间的协议，需要以规定方式保护某些类型的数据(如强制加密客户密码)。

7.1.1 业务驱动因素

降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。安全本身就是宝贵的资产。

数据安全风险与法规遵从性、企业和股东的信托责任、声誉以及员工保护、业务合作伙伴、客户隐私、敏感信息的法律、道德责任等有关。组织可能因不遵守法规和合同义务而被罚款。数据泄露会导致声誉和客户信心的丧失

1、降低风险

随着数据法规的增多(通常是为应对数据盗窃和违规)，合规性要求也随之增加。安全部门通常不仅负责管理IT合规性要求，还负责管理整个组织的策略、实践、数据分类分级和访问授权规则。与数据管理的其他职责类似，数据安全最好在企业级层面开展。

一个在整个企业中得到适当资金支持、面向系统并保持一致的运营安全策略将降低这些风险。

信息安全管理首先对组织数据进行分类分级，以便识别需要保护的数据。整个流程包括以下步骤:

识别敏感数据资产并分类分级。有一些数据资产和敏感数据 (包括个人身份识别、医疗数据、财务数据等)需要根据所属行业和组织类型等进行分类分级。
在企业中查找敏感数据。这取决于数据存储的位置，其安全要求可能有所不同。大量敏感数据存储在单一位置，如果这个位置遭到破坏，那么将会带来极高的风险。
确定保护每项资产的方法。根据数据内容和技术类型不同，确保采取针对性的安全措施。
识别信息与业务流程如何交互。需要对业务流程进行分析，以确定在什么条件下允许哪些访问。

2、业务增长

产品和服务质量与信息安全有着相当直接的关系：强大的信息安全能够推动交易进行并建立客户的信心。

3、安全性作为资产

元数据是管理敏感数据的方法之一。可以在数据元素和集合级别标记信息分类和合规敏感度。利用数据标记技术，可以使元数据跟随信息一起在企业内流动。开发一个包含数据特征的主存储库意味着企业的所有部门都可准确了解敏感信息所需的保护级别。

如果实施了通用标准，那么这种方法就允许多个部门，包括业务部门和供应商之间使用相同的元数据。标准安全的元数据可用于优化数据保护，指导业务开展和技术支持流程，从而降低成本。这一层信息安全有助于防止对数据资产未经授权的访问和滥用。当敏感数据被正确识别出来时，组织就可以与客户和合作伙伴建立信任。与安全相关的元数据本身就成了一种战略资产，可以提高交易、报告和业务分析的质量，同时降低由于保护成本和丢失或被盗信息而导致的相关风险。

7.1.2 目标和原则

1、目标

数据安全活动目标，包括以下几个方面:

支持适当访问并防止对企业数据资产的不当访问。
支持对隐私、保护和保密制度、法规的遵从。
确保满足利益相关方对隐私和保密的要求。

2、原则

协同合作。数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
企业统筹。运用数据安全标准和策略时，必须保证组织的一致性。
主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
明确责任。必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。
元数据驱动。数据安全分类分级是数据定义的重要组成部分。
减少接触以降低风险。最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。

7.1.3 基本概念

1、脆弱性

脆弱性(Vulnerability)是系统中容易遭受攻击的弱点或缺陷，本质上是组织防御中的漏洞。某些脆弱性称为漏洞敞口。例如，存在过期安全补丁的网络计算机、不受可靠密码保护的网页、来自未知发件人的电子邮件附件的用户，不受技术命令保护的公司软件(这将使攻击者能够控制系统)。

在许多情况下，非生产环境比生产环境更容易受到威胁。因此，将生产数据控制在生产环境之内至关重要。

2、威胁

威胁(Threat)是一种可能对组织采取的潜在进攻行动。威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务(拒绝服务攻击)的进程，以及对已知漏洞的利用等。

威胁可以是内部的，也可以是外部的。他们并不总是恶意的。一个穿制服的内部人员可以在不知情的情况下再次对组织采取攻击性行动。威胁可能与特定的漏洞有关，因此可以优先考虑对这些漏洞进行补救。对每种威胁，都应该有一种相应的抵御能力，以防止或限制威胁可能造成的损害。存在威胁的地方也称为攻击面。

3、风险

风险(Risk)既指损失的可能性，也指构成潜在损失的事物或条件。对于每个可能的威胁，可从以下几个方面计算风险:

威胁发生的概率及其可能的频率。
每次威胁事件可能造成的损害类型和规模，包括声誉损害。
损害对收入或业务运营的影响。
发生损害后的修复成本。
预防威胁的成本，包括漏洞修复手段。
攻击者可能的目标或意图。

风险可按潜在损害程度或发生的可能性来确定优先级，而容易被利用的漏洞会具有发生风险的更大可能性。通常，优先级列表结合两方面的指标。风险的优先排序必须由各利益相关方通过正式的流程来确定。

4、风险分类

风险分类描述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁(即角色中的人员)可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类。风险分类包括以下几个方面:

1)关键风险数据(Critical Risk Data，CRD)。

由于个人信息具有很高的直接财务价值，因此内部和外部各方可能会费尽心思寻求未经授权使用这些信息。滥用关键风险数据不仅会伤害个人，还会导致公司遭受重大的处罚，增加挽留客户、员工的成本以及损害公司品牌与声誉，从而对公司造成财务损害。

2)高风险数据(High Risk Data，HRD)。

高风险数据为公司提供竞争优势，具有潜在的直接财务价值，往往被主动寻求未经授权使用。如果高风险数据被滥用，那么可能会因此使公司遭受财务损失。高风险数据的损害可能会导致因不信任而使业务遭受损失，并可能导致法律风险、监管处罚以及品牌和声誉受损。

3)中等风险数据(Moderate Risk Data，MRD)。

对几乎没有实际价值的公司非公开信息，未经授权使用可能会对公司产生负面影响。

5、数据安全组织

数据安全组织取决于不同的企业规模。在信息技术(IT)领域内通常有完整的信息安全职能。大型企业通常设有向CIO或CEO报告的首席信息安全官(CISO)。在缺失专职信息安全人员的组织中，数据安全的责任将落在数据管理者身上。在任何情形下，数据管理者都需要参与数据安全工作。

当IT和数据管理这两个治理实体缺乏一个有组织的流程来共享法规和安全要求时，这种协同作用的机会常常会错过。因此，需要有一个标准的程序来实现他们的数据法规、数据丢失威胁和数据保护要求，并在每个软件开发或安装项目开始时就这样做。

数据管理者需要与信息技术开发人员和网络安全专业人员积极合作，以便识别法规要求的数据，恰当地保护敏感系统，并设计用户访问控制以强制实施保密性、完整性和数据合规性。企业越大，就越需要团队合作，并依赖正确和更新的企业数据模型。

6、安全过程

数据安全需求和过程分为4个方面，即4A:访问(Access)、审计 (Audit)、验证(Authentication)和授权(Authorization)。为了有效遵守数据法规，还增加了一个E，即权限(Entitlement)。信息分类、访问权限、角色组、用户和密码是实施策略和满足4A的一些常用手段。安全监控对于保障其他进程的正常运行也至关重要。监控和审计都可连续或定期地进行。正式审计必须由第三方进行才能视为有效。第三方可以来自组织内部，也可以来自组织外部。