一、前言
本文是《DAMA数据管理知识体系指南》第七章的读书笔记,主要讲述数据安全相关的内容,按照CDMP考试认证的内容占比为6%。第二章讲述了数据处理的伦理道德,从人为主观层面出发制定的一些规则保证数据的安全以及合理使用,本章主要从数据安全技术的角度出发讲述在数据管理中如何进行数据安全保障。本章的内容涉及的规范定义和网络安全知识较多,因此文中总结的概念性内容占比较大,其余内容总结较为简洁,有兴趣的同学可以深入阅读原文进行学习。文章文字约7000字,建议大家在PC端进行阅读。(第二章参考链接:《DAMA数据管理知识体系指南》读书笔记-第二章(数据处理伦理 上))
二、内容结构
本章节内容比较丰富,首先从数据治理的驱动因素、目标原则以及基本概念为切入点对数据治理的概念和背景进行较为详细的阐释;然后结合数据治理的具体实践活动对整个治理的过程以及核心事项进行讲解;并对整个过程中所用到的工具方法、总结指南以及度量指标进行了相应的总结。其整体内容结构图如下所示:
三、主要内容
1.引言
数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和审计。数据安全的详细情况因为行业和国家有所不同,但是数据安全实践的目标是相同的,即隐私和保密法规、合同协议和业务要求来保护信息资产。总的来说,所有的数据安全需求主要来自于以下几个方面:
利益相关方:应识别利益相关方的隐私和保密需求,包括客户、病人、学生、公民、供应商或商业伙伴等。组织中的每个人必须是对利益相关方数据负有责任的受托人。
政府法规:政府法规制定的出发点是保护利益相关方的利益。政府法规目标各有不同,有些规定是限制信息访问(如各平台的用户个人信息),而另一些则是确保公开、透明和问责(如失信名单)。
特定业务关注点:每个组织的专业数据都需要保护,这些数据运用得当就可以获得竞争优势。若数据遭窃取或者破坏,就会失掉竞争优势。
合法访问需求:组织在保护数据安全的同时,还需启用合法访问,业务流程要求不同角色的人能够访问、使用和维护不同的数据。(个保法已经明确提出该点,数据访问的最小粒度)
合同义务:合同和保密协议对数据安全的要求。
1.1业务驱动因素
降低风险和促进业务增长是数据安全活动的最主要驱动因素。确保组织数据安全,可降低风险并增加竞争优势。另外,安全本身就是一种宝贵的资产。
降低风险:随着数据的增多(通常是为应对数据盗窃和违规),合规性要求也随之增加。与数据管理的其他职责一样,数据安全最好在企业层面开展。常见的流程步骤主要包括:识别敏感数据资产并分类分级;在企业中查找敏感数据;确定保护每项资产的方法;明确信息和业务流程如何交互。
业务增长:值得信赖的线上系统推动利润和业务的增长,产品和服务质量与信息安全有相当直接的关系:强大的信息安全能够推动交易进行并建立客户的信心。
安全性作为资产:元数据是管理敏感数据的方法之一,可以在数据元素和集合级别标记信息分类和合规敏感度。标准安全的元数据可用于优化数据保护,指导业务开展和技术支持流程,从而降低成本。这一层信息安全有助于防止对数据资产未经授权的访问和滥用。
1.2目标和原则
数据安全活动的主要目标包括以下几个方面:
支持适当访问并防止对企业数据资产的不当访问
支持对隐私、保护和保密机制、法规的遵从
确保满足利益相关方对隐私和保密的要求
组织数据安全需要遵循的主要原则包括:
协同合作:数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
企业统筹:运用数据安全标准和策略时,必须保证组织的一致性。
主动管理:数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈。
明确责任:明确界定角色和职责,包括跨组织和角色的数据“监管链”。
元数据驱动:数据安全分类分级是数据定义的重要组成部分。
减少接触以降低风险:最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。
1.3基本概念
脆弱性:系统中容易遭受供给的弱点和缺陷,本质上是组织防御中的漏洞。在许多情况下,非生产环境比生产环境更容易受到威胁,因此将生产数据控制在生产环境内至关重要。
威胁:威胁是一种可能对组织采取的潜在攻击行动,威胁包括发送到组织感染病毒的电力邮件附件、使网络服务器不堪重负以致无法执行业务的进程,以及对已知漏洞的利用等。对每种威胁,都应有一种相应的抵御能力,以防止或限制威胁可能造成的损害。
风险:既指损失的可能性,也指构成潜在损失的事物或条件,风险可按潜在损害程度或发生的可能性来确定优先级,从以下几方面计算风险:
威胁发生的概率及其可能的频率
每次威胁事件可能造成的损害类型和规模,包括声誉损害
损害对收入或业务运营的影响
发生损害后的修复成本
预防威胁的成本,包括漏洞修复手段
攻击者可能的目标或意图
风险分类:风险分类描述了数据的敏感性以及出乎恶意目的对数据访问的可能性,分类用于确定谁可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类,风险分类如下几方面:
关键风险数据:由于个人信息具有很高的直接财务价值,因此很多人可能会费尽心思未经授权的使用这些信息。
高风险数据:为公司提供竞争优势,具有潜在的直接财务价值,往往被主动寻求未经授权使用。
中等风险数据:对几乎没有实际价值的公司非公开信息,未经授权使用可能会对公司产生负面印象。
数据安全组织:数据安全组织取决于不同的企业规模。数据管理者需要与信息技术开发人员和网络安全专业人员积极合作,以便识别法规要求的数据,恰当地保护敏感系统,并设计用户访问控制以强制实施保密性、完整性和数据合规性。企业越大,就越需要团队合作,并依赖正确和更新的企业数据模型。
安全过程:数据安全需求和过程分为4个方面,即4A:访问(Access)、审计(Audit)、验证(Authentication)和授权(Authorization),为了遵循数据法规,还增加了一个E,即权限(Entitlement)。
访问(Access):使具有授权的个人能够及时访问系统
审计(Audit):审查安全操作和用户活动,以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档,以验证是否符合安全法规、策略和标准,定期发布审核结果。
验证(Authentication):验证用户的访问权限,在身份验证过程中,所有传送过程均经过加密,以防止身份验证信息被盗。
授权(Authorization):授予个人访问与其角色相适应的特定数据视图的权限。
权限(Entitlement):权限是由单个访问授权决策向用户公开的所有数据元素的总和。
数据完整性:在安全性方面,数据完整性(Data Integrity)是一个整体状态要求,以免于遭受不当增/删改所造成的影响。
加密:加密是将纯文本转化为复杂代码,以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密数据不能在没有解密钥匙或算法的情况下读取,解密密钥或算法通常单独存储,不能基于统一数据集中的其他数据元素来进行计算。加密算法主要有3种类型:
哈希:哈希将任意长度数据转换为固定长度数据表示,即使知道所使用的确切算法和应用顺序,也无法解密出原始数据,常见哈希算法有MD5、SHA。
对称加密:对称机密使用一个密钥来加解密数据,发送方和接收方必须具有读取原始数据的密钥,可逐个字符加密数据、也可对数据块加密。
非对称机密:在非对称加密中,发送方和接收方使用不同的密钥,发送方使用公开提供的公钥进行加密,接收方使用私钥解密显示原始数据。
混淆或脱敏:可通过混淆处理(变模糊或不明确)或脱敏(删除、打乱或以其他方式更改数据的外观等)的方式来降低数据可用性,同时避免丢失数据的含义或数据域其他数据集的关系。
网络安全术语:网络安全术语是一个比较专业的领域名词集合,如后门、机器人、cookie,防火墙、周界、DMZ、超级用户账户、键盘记录器、渗透测试、虚拟专用网络等,对于不太了解该领域的人有一定认知难度。
后门:指计算机系统或应用程序的忽略隐藏入口,它允许未经授权用户绕过密码等限制获取访问权限。后门通常是开发人员出于维护系统的目的而创建的,其他的包括由商业软件包创建者设置的后门。
机器人或僵尸:是已被恶意黑客使用的特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站,远程控制机器人用来执行恶意任务。
Cookie:网站在计算机硬盘上安装的小型数据文件,用于识别老用户并分析其偏好,Cookie用于互联网电子商务。由于Cookie有时会被间谍软件利用,从而引发隐私问题,所以Cookie的使用也有争议
防火墙:是过滤网络流量的软件或硬件,用于保护单个计算机或整个网络免受未经授权的访问和免遭企业对系统的攻击。防火墙可能会对传入和传出的通信信息进行扫描,以寻找受限或受监管的信息,并防止未经许可通过。某些防火墙还限制对特定外部网站的访问。
周界:指组织环境与外部系统之间的边界。通常将防火墙部署在所有内部和外部环境之间。
DMZ:非军事区检测,是组织边缘或外围区域,在DMZ和组织之间设有防火墙。DMZ环境与Internet互联网之间始终设有防火墙。DMZ环境用于传递或临时存储在组织之间移动的数据。
超级用户账户:具有系统管理员或超级用户访问权限的账户,仅在紧急情况下使用。这些账户的凭据保存要求具有高度安全性,只有在紧急情况下才能通过适当的文件或批准发布,并在短时间内到期。
键盘记录器:一种攻击软件,对键盘上键入的所有点击键进行记录,然后发送到互联网上的其他地方。它将会捕获每个密码、备忘录、数学公式、文档和Web地址。通常,受感染的网站或恶意软件下载将安装键盘记录器。某些类型的文档下载也允许安装文件记录器。
渗透测试:在渗透测试中,来自组织本身或外部安全公司聘任的“白帽”黑客试图从外部侵入系统,正如恶意黑客一样,试图识别系统漏洞。同构渗透测试发现的漏洞应该在应用程序正式发布前予以解决。作为持续软件漏洞消除的证据,可关注来自软件厂商源源不断的安全补丁,这些补丁许多是“白帽”黑客代表供应商执行检测行为的结果。
虚拟专用网络(VPN):VPN使用安全的互联网创建进入组织环境的安全路径或“隧道”。隧道是高度机密的,VPN允许用户和内部网络之间通信,通过使用多重身份验证元素连接到组织环境外围的防火墙。
2.活动
2.1 识别数据安全需求
业务需求:组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。通过分析业务规则和流程,确定安全接触点。
监管需求:创建一份完整的清单,其中包含所有数据相关法规以及受每项法规影响的数据主题域,在为法规遵从而制定的相关安全策略和实施的控制措施之间建立链接关系。
2.2制定数据安全制度
组织在制定数据安全制度时应基于自己的业务和法规要求。制度是所选行动的陈述以及为达成目标所期望行为的顶层描述。所有数据法规遵从行动必须协调一致,以降低成本、工作指令混乱和不必要的本位之争。同时,管理与企业安全相关的行为需要不同级别的制度
企业安全制度:员工访问设施和其他资产的全局策略、电子邮件标准和策略、基于职位或职务的安全访问级别以及安全漏洞报告策略。
IT安全制度:目录结构标准、密码策略和身份管理框架
数据安全制度:单个应用程序、数据库角色、用户组和信息敏感性的类别
2.3定义数据安全细则
定义数据保密等级:保密等级分类是重要的元数据特征,用于指导用户如何获得访问权限。每个组织都应创建或采用满足业务需求的分级方案。任何分级方案都应清晰易行,它将包含从最低到最高的一系列密级。
定义数据监管类别:角色组使得安全管理员能够按角色定义权限,并通过在适当角色组中注册用户实现权限授予。为避免数据完整性问题,需要对用户身份数据和角色组成员身份集中管理,有效访问控制数据质量的要求。对角色定义和组织的方法有两种:网格(从数据开始)和层次结构(从用户开始)。
定义安全角色:角色组使得安全管理员能够按角色定义权限,并通过在适当角色组中注册用户实现权限授予。为避免数据完整性问题,需要对用户身份数据和角色组成员身份集中管理,有效访问控制数据质量的要求。
2.4评估当前安全风险
安全风险包括可能危及网络或数据库的因素。识别风险第一步是确定敏感数据的存储位置,以及这些数据需要哪些措施保护,对每个系统进行以下评估:
存储或传送的数据敏感性
保护数据的需求
现有的安全保护措施
2.5实施控制规程
组织必须实施适当的控制以满足安全策略要求,控制和规程应涵盖:
用户如何获取和终止对系统或应用程序的访问权限;
如何为用户分配角色并从角色中去除
如何监控权限级别
如何处理和监控访问变更请求
如何根据机密性和适用法规对数据进行分类
检测到数据泄露后如何处理
3.工具
信息安全管理使用的工具,在很大程度上取决于组织规模、网络架构以及安全组织采用的策略和标准。
3.1杀毒软件/安全软件
杀毒软件可保护计算机免受网上病毒的侵扰,要定期更新安全软件。
3.2HTTPS
Web地址以https://开头,则表示网站配备了加密的安全层。用户通常必须提供密码或其他身份验证手段才能访问该站点,在线支付或访问机密信息都采用此加密保护。如果缺乏加密,同一网段上的用户就可读取纯文本信息。
3.3身份管理技术
身份管理技术是存储分配的凭据,并根据请求与系统共享。
3.4入侵侦测和入侵防御软件
在不当事件发生时,入侵检测系统(IDS)将通知相关人员,IDS最好与入侵防御系统(IPS)进行连接,IPS系统可对已知攻击和不合逻辑的用户命令组合自动响应。
3.5 防火墙
安全且复杂的防火墙应部署在企业网关上,它具有在允许高速数据传送的同时还能执行详细的数据分析能力。对于暴露于Internet的web服务器,建议使用更复杂的防火墙结构,因为许多恶意黑客攻击可以通过有意扭曲的合法流量,对数据库和web服务器漏洞加以利用。
3.6 元数据跟踪
跟踪元数据的工具有助于组织对敏感数据的移动进行跟踪,使用元数据标记敏感信息是确保数据得到防护的最佳方式。
3.7 数据脱敏/加密
进行脱敏或加密的工具对于下肢敏感数据的异动很有用
4.方法
4.1应用CRUD矩阵
创建和使用数据-流程矩阵和数据-角色关系矩阵有助于映射数据访问需求,并指导数据安全角色组、参数和权限定义。
4.2即时安全补丁部署
应该有一个尽可能快地在所有计算机上安装安全补丁程序的流程,恶意黑客只需获取一台计算机访问权限,就可在网络上成功开展攻击,因此不应推迟这些更新。
4.3元数据中的数据安全属性
元数据存储库对于确保企业数据模型在跨业务流程使用中的完整性和一致性至关重要。元数据应包括数据的安全性和监管分类,安全元数据的到位可保护组织避免员工对敏感数据缺乏认知而造成的影响。对元数据进行分类,可以更有效地定位问题和影响,更好地保障安全,更快地将安全影响降低。
4.4项目需求中的安全要求
对每个涉及数据的项目都必须解决系统和数据安全问题,在分析阶段详细确定数据和应用程序安全要求。预先识别有助于指导设计,避免全流程的改造。
4.5加密数据的高效搜索
搜索加密数据包括需要解密数据。减少需要解密数据的方法之一是采用相同的加密方法来加密搜索条件,然后用密文去查找匹配项。
4.6文件清理
文件清理是在文件共享之前从中清理元数据的过程,文件清理降低了注释中国的机密信息可能被共享的风险。
5.实施指南
5.1就绪评估/风险评估
保持数据安全与企业文化息息相关,组织往往会对违纪做出反应,而不是主动管理问责并确保可审计性。虽然完美的数据安全几乎不可能,但避免数据安全漏洞的最佳方法是建立安全需求、制度和操作规程的意识。组织可以通过以下方式提高合规性:
培训:通过对组织各级安全措施的培训促进安全规范;通过在线测试等评估机制进行培训,以提高员工数据安全意识。
制度一致性:为工作组和各部门制定数据安全制度和法规遵从制度,以健全企业制度为目标
衡量安全性的收益:将数据安全的收益同组织计划联系起来
为提供商设置安全要求:在SLA和外部合同义务中包括数据安全要求。
增强紧迫感:强调法律、合同和监管要求,以增强数据安全管理的紧迫感
持续沟通:支持持续员工安全培训计划,向员工通报安全计算实践和当前威胁。
5.2组织与文化变革
组织需制定数据相关制度,使其能够实现业务目标,同时保护受监管和敏感信息不被滥用或未经授权的披露。
5.3用户数据授权的可见性
必须在系统实施期间审查每个用户的数据授权,以确定是否包含任何受控信息。了解谁可以访问哪些数据、需要包含密级和监管分类描述的元数据管理及对权利和授权本身管理。
5.4外包世界中的数据安全
外包增加了跨组织和地理边界共担数据责任的人数,必须在外包合同中明确每个角色的职责和期望。需更严格的风险管理和控制机制。
5.5云环境中的数据安全
数据安全制度需要考虑跨不同服务模型的数据分布。在云计算中,共担责任、定义数据监管链以及定义所有权和托管尤为重要。基础设施方面对数据安全管理和数据制度有着直接的影响。各种规模的组织都需要微调甚至创建面向云计算的新数据安全管理制度。
6.数据安全治理
6.1数据安全和企业架构
数据安全架构是企业架构的一部分,描述了企业内如何实现数据安全以满足业务规则和外部法规,安全架构涉及:
用于管理数据安全的工具
数据加密标准和机制
外部供应商和承包商的数据访问指南
通过互联网的数据传送协议
文档要求
远程访问标准
安全漏洞时间报告规程
6.2度量指标
必须对信息保护过程进行衡量并确保按要求运行。有的指标有助于流程改进,有的指标衡量流程的进度:开展的审计量、安装的安全系统、报告的事件数以及系统中未经检查的数据量。更复杂的指标将侧重于审计结果或组织在成熟度模型上的变动。创建每个指标的基线,用以显示随时间而取得的进展。常见指标可以分为如下几类:安全实施指标、安全意识指标、数据保护指标、安全事件指标、机密数据扩散。
四、思考与总结
随着数据的不断膨胀,数据的管理难度不断加大、数据滥用风险不断增加,造成了数据技术在服务于人们的时候也为大家带来了很大的困扰。在第二章中我们总结了数据处理的伦理,其中很大一部分就是保证数据安全,本文对数据安全的技术、实施注意事项、度量指标等进行了全面的概述,让我们对数据安全有了一个较为全面的理解。(数据泄露的案例:《DAMA数据管理知识体系指南》读书笔记-第二章(数据处理伦理 下))
数据安全是较为底层的技术,在我们的日常工作中可能难以察觉,但一旦我们需要相关技术却不能满足时,其影响往往是我们难以承受的。因此,在日常的数据工作中,我们需要在各个层面进行数据安全的实践。从数据安全技术、数据权限管理、数据加密手段、数据应用原则等进行监督管理。
数据安全犹如数据工作的底裤,可以看不见,但是不能没有。
转载链接:https://mp.weixin.qq.com/s/iCcglohorQ5-2KQvQBLXOw
550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
