DMBOK2-数据安全
2021-09-25 09:32:29 1 举报
AI智能生成
DMBOK2-数据安全
作者其他创作
大纲/内容
实施指南
培训
制度的一致性
衡量安全性的收益
为供应商设置安全要求
建立紧迫感
持续沟通
外包
任何事情可外包,责任除外
转移控制并非转移责任
数据安全治理
数据安全构架
工具
数据加密标准和机制
文档要求
远程访问标准
安全漏洞事件报告规程
数据安全指标
数据保护指标
安全实施指标
安全意识指标
安全事件指标
目标原则
数据安全活动的目标
支持适当访问、限制不适当的访问
支持对隐私保护、保密制度、法规的遵从
确保满足利益相关者对隐私和保密的要求
原则
协同合作
企业方案
运用数据安全标准和策略时必须保证组织的一致性
主动管理
明确责任
元数据驱动
减少接触以降低风险
基本概念
脆弱性
是系统中容易遭受攻击的弱点或缺陷,是组织中防御的漏洞
非生产环境比生产环境更容易受到威胁
将生产数据控制在生产环境之内
威胁
是一种可能对组织采取的潜在的进行行动,可以是内部也可以是外部的
拒绝服务攻击
风险
造成损失的可能性,也指构潜在损失的事物或条件
风险的优先排序必须由各利益相关者之间通过正式的流程确定
风险分类
所有数据中的最高分类决定了整体的安全分类
关键风险数据
高风险数据
中等风险数据
数据安全组织
数据管理者都需要参与数据安全工作
安全过程(4A)
访问Access
审计Audit
验证Authentication
授权Authorization
监控
主动监控
是一种检测机制
被监控
是一种评价机制
数据完整性
是一个整体状态,免于遭受不当增删的影响
加密
哈希
私钥
对称
公钥
非对称
混淆或脱敏
静态脱敏
永久不可逆地更改数据
动态脱敏
不更改基础数据的情况下,在最终用户或系统中改变数据的外观
方法
替换
混排
时空变异
数据变异
取消或删除
随机选择
加密转换
表达式脱敏
键值脱敏
其他
网络安全术语
后门
机器人
Cookie
防火墙
周界
超级帐号
DMZ
键盘记录
渗透测试
虚拟专用网络
数据安全分类
设施安全
设备安全
凭据安全
电子通信安全
数据安全制约因素
保密等级
监管要求
数据密级
公开
内部使用
机密
受限机密
绝密
系统安全风险
识别风险的第一步是确定敏感数据的存储位置,这些数据需要哪些保护
滥用特权(权限过大)
滥用合法特权
通过自动化的强制监控手段防范
未经授权的特权升级
服务帐户或共享帐户滥用
增加数据泄露风险,使跟踪漏洞来源的能力更复杂
平台入侵攻击
入侵保护最原始的形式是防火墙
注入漏洞
缺省密码
备份数据滥用
黑客行为
网络钓鱼、社工威胁
恶意软件
数据安全需求来自
利益相关者关注的问题
政府监管
合法的商业问题
必要的业务访问需求
有效的安全策略确保用户能以正确的使用,并且限制所有不适当的访问和更新
业务驱动因素
降低风险、促进业务增长是数据安全的主要驱动因素
降低风险
数据安全最好在企业级层面开展
信息安全管理首先对组织的数据进行分类、分级
对外部威胁和内部风险进行评估
业务增长
健壮的信息安全能推动交易并建立客户信心
安全性作为资产
元数据是管理敏感数据的方法之一
与安全相关的元数据是一种战略资产
提高交易、报告、业务分析的质量
降低风险
活动
识别数据安全需求
业务需求
监管要求
制定数据安全制度
企业安全制度
IT安全制度
数据安全制度
企业应定期重新评估数据安全制度
定义数据安全细则
定义数据保密等级
定义数据监管类别
定义安全角色
评估当前安全风险
存储或传送的数据的敏感性
保护数据的要求
现在的安全保护措施
实施控制和规程
工具
杀毒软件
HTTPS
身份管理技术
入侵侦测和防御软件
防火墙
元数据跟踪
使用元数据标记敏感信息是确保数据得到防护的最佳方式
最可能不知道需要保护敏感数据的人是员工和管理人员
数据脱敏加密
方法
CRUD矩阵
即时安全修补程序部署
元数据中数据安全属性
项目需求中的安全要求
高效搜索加密数据
文档清理
0 条评论
下一页
为你推荐
查看更多