数据安全技术体系建设的思考

已于 2022-08-22 20:30:26 修改
阅读量1.6k 收藏 3
点赞数
分类专栏: 数据安全 文章标签: 大数据 安全 经验分享
于 2022-08-22 18:38:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49097613/article/details/126439478
版权

《数据安全法》、《个人信息保护法》等相关的法律法规落地也有近1年的时间了,各个行业的敏感程度不尽相同,像是互联网、运营商、金融等行业在数据安全建设方面走的还是比较快,像是政府这类有强合规需求的客户也在快速加强数据安全的建设,而一些企业则主要还是由实际的需求来驱动。但是无论哪类客户,在数据安全建设上总会提出:我的数据安全应该如何建设?

其实数据安全的建设可以分为:数据安全管理体系、数据安全技术体系和数据安全运营体系,这里先说说对于技术体系建设的一些思考。

目录

一、数据安全风险的来源

1.账号带来的数据安全风险

2.系统及应用带来的数据安全风险

二、数据安全建设的难点

1.数据资产不清晰:

2.数据流动情况不清晰:

3.异常风险难以识别:

4.风险事件难以追溯:

三、数据安全如何落地

1.确认建设范围:

2.确认数据分布情况:

3.确认数据流转情况:

4.数据安全风险分析:

5.确认已有防护措施:

6.形成风险需求清单:

7.形成数据安全方案:

一、数据安全风险的来源

1.账号带来的数据安全风险

账号带来的数据安全风险分为两大类:一类是特权账号;一类是业务账号。

特权账号:就是我们常说的管理员账号,拥有这类账号的人员往往是操作系统管理员、数据库管理员,由于其工作的需要使得其具备较高权限,像是微盟、链家和思科等事件,均是后台相关的人员删除数据或者相关资源给公司带来巨大的损失。

业务账号:就是各类系统的业务账号,一般的业务操作人员安全意识不足,可能存在账号共用、账号外借、违规滥用、违规操作等情况,尤其是对那些存在大量个人敏感信息、金融信息的重要系统,可能带来较大的影响。

2.系统及应用带来的数据安全风险

承载数据的环境以及与数据发生连接的应用同样会对数据的安全产生危险,如:操作系统、WEB应用、API服务接口、数据库自身等。

操作系统:操作系统是承载数据的基础环境,通过对操作系统的渗透与口令爆破等攻击,然后进行提权操作进而控制系统,其中存放的数据无非就是一个个的文件夹,在操作系统层面可以轻易的将数据文件删除或是拷贝泄漏。尤其是近期centos宣布停止更新之后,大量的企业、政府的系统基于centos开发,后期或将面临大量的漏洞被发现且难以修复的问题。

数据库:是数据存储和运行的重要环境,数据库本身也是一种应用,如果说数据库自身存在漏洞,或是数据库版本停止维护,而有些用户的系统短时间内很难迁移到新版本的数据库平台上,将会导致面临漏洞无法修复的情况;同时对于SQL注入攻击,进行提权之后可以建立账号、导出数据、篡改数据等操作。

应用:应用是前端用户访问后端数据的重要渠道,用户使用各类WEB或客户端应用访问后台数据库,各类应用开发的严谨性不同,在各类开发语言的框架下或多或少存在一定的漏洞,应用中往往存储着连接数据库的硬编码账号,通过应用漏洞拿到这些账号可以直接连接到数据库,因此带来较大的安全风险。

API服务接口:现在大家都在建设平台,把各个业务系统打通,通过平台统一调度对外提供服务等等,尤其像是数据中台类产品,大量的通信都依赖于API接口

最低0.47元/天 解锁文章
明菜觉厉
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
大数据安全体系介绍之技术体系
juan777的博客
02-01 3819
一、 背景 随着信息化进入3.0阶段,越来越呈现出万物数字化、万物互联化,基于海量数据进行深度学习和数据挖掘的智能化特征。数据安全正式站在了时代的聚光灯下,隆重登场。计算机行业的安全是一个由来已久概念,我们比较认可雷万云博士对于信息安全发展阶段的划分,认为截止到目前,信息安全大致经历了5个时期。 第一个时期是通信安全时期,其主要标志是1949年香农发表的《保密通信的信息理论》。在这个时期主要为...
数据安全思考(转载)
流浪法师的博客
06-25 671
数据安全思考!!!!!!
大数据安全体系建设实践和思考
SafePloy_SH的博客
06-14 187
大数据的发展成为了新时代经济和社会的重要支撑之一,但随着大数据量的增长,安全问题也变得日益突出。技术体系主要是指建设安全的网络、安全的存储、安全的计算和安全的传输;而灾备则是备份数据的一种更加彻底的方式,它可以保证在发生非常严重的灾难时,企业的数据和系统可以快速恢复。大数据的存储与分析都需要使用到数据库技术,因此在技术体系方面,我们首先要考虑数据库的安全性。针对不同的身份,建立不同的权限控制体系,对数据进行精确授权。数据还原技术是在数据丢失时,通过多种手段,将部分还原的方法来完成大数据的恢复。
数据安全建设的思路ing
流浪法师的博客
09-08 1201
数据安全建设应该如何下手,本文结合自身经历将思路大致说了一下。
企业数据安全管理体系建设“六步走”!
ITIL之家公众号
05-24 459
更多专业文档请访问 www.itilzj.com来源:谈数据导读:当前,全球数字化转型正在以爆发性速度快速发展,数据作为数字化的核心已经成为新时代的核心生产要素之一。9月1日《数据安全法》正式施行,如何做数据安全建设成为当前各行业负责人最为关心、关注的问题。本文提出数据安全保障体系“六步走”建设思路,旨在为客户数据安全建设提供体系化思路及参考。构建数据安全保障体系需要厘清...
移动安全风险分析及安全体系建设.pdf
08-07
随着移动通信和互联网技术发展,移动互联网已经广泛存在于人们的日常生活,未来将更多地融合到个人和企业的生活生产中,因此对移动互联网进行安全风险评估和安全防御体系建设成为必要。 结合相关标准和当前移动互联网...
浅谈消防救援通信技术体系建设思考.pdf
09-02
1.1 救援效率的提升:消防救援信息技术体系建设能显著提高应对突发灾害的效率。在火灾、爆炸、毒气泄漏等灾害现场,通信不畅可能导致救援人员面临安全威胁,而无法快速获取内部信息则会延误救援行动。因此,建立...
大数据安全标准化白皮书完整版
12-24
1. 标准体系:构建一套完整的大数据安全标准体系,包括数据安全、系统安全、网络安全等方面。 2. 技术标准:制定统一的技术规范,如数据加密算法、安全接口等,促进技术的互操作性。 3. 运营管理:建立标准化的运营...
金融业数据安全实践与思考.pdf
05-08
金融信息化 金融信息化发展历程 金融业数据安全实践与方法论 金融信息化/数字化生态 智慧办公整体安全解决方案 整体安全解决方案 金融云建设保护数据安全 ...数据安全技术解决方案 数据安全管理体系
【推荐】最新数据安全解决方案和实践合集.zip
07-27
数据安全技术体系建设实践; 数据安全治理; 数据供应链安全保障实战; 数据泄密新挑战; 数字化转型下数据融合开放的安全保障; 腾讯云数据安全中台; 网络空间治理体系.关键问题分析; 网站离线数据安全分析漫谈;...
续:企业数据安全建设思路之框架体系
专注网络安全,聚焦数据安全。
10-23 871
组织体系建设了,有了人,有了分工怎么做事儿,需要有什么样的规范制度流程依据什么样的操作规章或是指导文件等等,这就是需要在我们管理体系上完成的工作,针对于这个里可以依据于不同的行业或者是客户属性,结合法律法规相对应的国标行规以及实际的业务场景,去针对性的设计我相应的一些规范和要求。目标是符合我业务的需要,公司战略的需要。对于运营我们可以理解为数据的集中化管理,日常监控规范化业务的识别,以及针对全网数据的持续监测,对于数据的深度分析,安全态势研判,在遇到紧急事件,具有专门的应急响应机制,事件处理机制等等。
图解<网络数据安全管理条例>及数据安全技术体系
ITIL之家公众号
01-20 378
公众号回复:干货,领取价值58元/套IT管理体系文档公众号回复:ITIL教材,领取最新ITIL4中文教材更多专业文档请访问 www.itilzj.com完整高清PDF版本及网络数据安全管理...
互联网企业:如何建设数据安全体系
WLANQY的博客
01-31 931
赵彦,现任美团点评集团安全部高级总监,负责集团旗下全线业务的信息安全与隐私保护。加盟美团点评前,曾任华为云安全首席架构师,奇虎360企业安全技术总监、久游网安全总监、绿盟科技安全专家等职务。白帽子时代是Ph4nt0m Security Team的核心成员,互联网安全领域第一代资深从业者。美团点评集团安全部的大多数核心人员,拥有多年互联网以及安全领域实践经验,很多同学参与过大型互联网公司的安全体系建设,其中也不乏全球化安全运营人才,具备百万级IDC规模攻防对抗的经验
数据安全体系规划
Maoweihao_的博客
07-23 2410
数据安全体系规划1 背景1.1 安全风险1.2 风险来源1.2.1 数据集中管理1.2.2 基础设施虚拟化及平台组件开源1.2.3 敏感数据共享1.2.4 内部泄露1.3 国家对数据安全的重视1.4 企业对数据安全的重视2 安全体系目标3 安全体系整体框架3.1 安全组织架构3.2 安全策略3.3 安全管理3.4 安全运营3.5 安全技术3.6 合规评测4 数据安全能力成熟度5 体系演进规划 1 背景 1.1 安全风险     “数字时代之始,数据经济之始,数据开始爆
浅谈数据安全
fe1ch1
07-21 4593
在《网络安全法》中,虽然已经明确了要求保障网络数据的完整性、保密性、可用性的能力,但随着近些年数据安全热点事件的出现,如数据泄露事件、个人信息滥用事件。表明对数据保护的要求仅依赖《网络安全法》中的几款条例是不足以支撑的。因此2021年9月1日《中华人民共和国数据安全法》便正式诞生,从此数据安全也被推上了风口浪尖。 那么数据安全如何定义? 与传统网络安全有何区别? 数据安全体系又应该如何建立?...
数据安全传输技术
sunhaidong886的专栏
07-08 3178
数据传输过程中,我们经常关注与以下三个方面问题,保证消息的可靠防篡改: 1)消息是从哪里来的 2)消息传输过程中没有被篡改过; 3)希望特定的接收方获取 为了解决上面的问题,就要涉及机密的相关知识。加密算法根据解密秘钥不同分为对接加密、非对称加密。对称加密技术是指通过一把钥匙实行加密和解密技术。此种机密技术处理的速度较快,是的大量数据的加密解密操作,但是秘钥容易被泄露,最终导致信息泄露。非...
信创浪潮下,看看大公司是如何建立数据安全保护体系的?
文件数据安全交换
10-09 1249
从整个信创产业链来看,以政策为主要驱动力的信息安全投入水平仍落后于国际水平,行业标准并未形成。那么在信创这个大浪潮下,什么样的安全产品能够满足用户需求呢?企业要如何建设数据安全保护体系呢?
面向业务的数据安全防护体系
最新发布
weixin_42267060的博客
11-07 527
进而基于新型网络安全防御框架,重新定义并演进为数据安全战略对抗能力、数据安全战术对抗能力、数据安全对抗能力和数据安全对抗运营能力,补齐数据安全合规能力,形成数据安全威胁防护模型。脱离业务的数据安全体系建设是“无源之水,无本之木”。本文通过比对网络安全防御框架与网络安全威胁框架,识别战略和战术层面存在的不足,构建体系化的数据安全对抗能力,重新定义并补全数据安全对抗战略能力、对抗战术能力和数据安全对抗能力,构建分层的数据安全防护能力体系,更加侧重于数据安全能力在对抗攻击行为过程中,对攻击者产生的实际防护效果。
思考】数据资产管理痛点以及解决思路
欢迎来到李奇峰的数据世界
05-08 2495
文章中所有内容均为本人从事大数据行业以来,所遇到的数据开发-数据仓库-数据管理方向所暴露出来的通用性问题以及思考后总结的一些解决思路,无关具体行业与业务。 希望自己的思考可以给各位同仁提供一些微不足道的参考。 一、痛点总结 1.1 元数据层面 目前很多公司亦或是不重视或是不存在元数据层面的管理,殊不知作为大数据中老生常谈的内容,其存在的必要性以及其对数据管理的有效性。 元数据作为记录数据的数据,随着公司数据资产的增加,需要对其进行有效的管理,从而能够快速获取到数据的相关信息并进行使用。包括数据在哪里.
民航数据安全防护体系的探索与思考.pptx
03-21
"民航数据安全防护体系的探索与思考" 民航数据安全防护体系是当前民航行业中一个至关重要的议题,尤其在旅客信息泄露频繁、新技术应用带来风险、数据流动风险增加以及法律法规不健全的背景下,构建一个高效且全面的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明菜觉厉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值