业务驱动因素:降低风险和促进业务增长是数据安全活动的主要驱动因素。
1、降低风险
对组织数据分类分级:1)识别敏感数据资产并分类分级。2)在企业中查找敏感数据。3)确定保护每项资产的方法。4)识别信息与业务流程如何交互。
2、业务增长
3、数据安全性作为资产
活动:1识别数据安全需求。2制定数据安全制度。3制定数据安全细则。4评估当前安全风险。5实施控制和规程。
组织数据安全遵循以下指导原则:1)协同合作。2)企业统筹。3)主动管理。4)明确责任。5)元数据驱动。6)减少接触以降低风险。
为方便理解,整理本部分思维导图如下:
1、脆弱性:系统中容易遭受攻击的弱点或缺陷,漏洞敞口。
2、威胁:可能对组织采取的潜在进攻行动。可以是内部或外部。不一定总是恶意。
3、风险:损失的可能性,构成潜在损失的事物或条件。
计算风险:
(1)威胁发生的概率及其可能的频率
(2)每次威胁事件可能造成的损害类型和规模。
(3)损害对收入或业务运营的影响
(4)发生损害后的修复成本
(5)预防威胁的成本,包括漏洞修复手段
(6)攻击者可能的目标或意图
4、风险分类:关键风险数据。高风险数据。中等风险数据
5、数据安全组织:取决于不同的企业规模。
6、安全过程
数据安全需求和过程分为4个方面,4A
【监控】
系统应包括检测意外事件的
1、主动监控。2、被动监控。
7、数据完整性
整体状态要求,以免于遭受不当增删改查所造成的影响。
8、加密
加密方法:
1、哈希:将任意长度数据转换为固定长度数据,有MD5、SHA。
2、对称加密:使用同一个密钥加解密数据。DES、3DES、AES、IDEA。
3、非对称加密:发送方和接收方使用不同的密钥。发送方使用公开提供的公钥加密,接收方使用私钥解密,如PGP。
9、混淆或脱敏
混淆:变得模糊或不明确。
脱敏:删除、打乱或以其它方式更改数据的外观等。
数据脱敏分为静态脱敏和动态脱敏。
1、静态数据脱敏:永久且不可逆转的更新数据,分不落地脱敏(不会留下中间文件或带有未脱敏数据的数据库,非常安全)和落地脱敏(当数据源和目标相同时使用。从数源中读取未脱敏数据,或在安全位置中另有数据副本,在移动至不安全位置之前进行脱敏处置。有风险。)。
2、动态数据脱敏:在不改基础数据的情况下,在最终用户或系统中改变数据的外观。如将123456,改为12**56。
3、脱敏方法
1)替换(Substitution)。将字符或整数值替换为查找或标准模式中的字符或整数值。
2)混排(Shuffling)。在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性的数据元素。
3)时空变异(TemporalVariance)。把日期前后移动若干天(小到足以保留趋势),足以使它无法识别。
4)数值变异(ValueVariance)。应用一个随机因素(正负一个百分比,小到足以保持趋势),重要到足以使它不可识别。
5)取消或删除(NullingorDeleting)。删除不应出现在测试系统中的数据。
6)随机选择(Randomization)。将部分或全部数据元素替换为随机字符或一系列单个字符。
7)加密技术(Encryption)。通过密码代码将可识别、有意义的字符流转换为不可识别的字符流。
8)表达式脱敏(ExpressionMasking)。将所有值更改为一个表达式的结果。例如,用一个简单的表达式将一个大型自由格式数据库字段中的所有值(可能包含机密数据)强制编码为“这是个注释字段”。
9)键值脱敏(KeyMasking)。指定的脱敏算法/进程的结果必须是唯一且可重复的,用于数据库键值字段(或类似字段)脱敏。
10、网络安全术语
1、后门
2、机器人或僵尸
3、Cookie
4、防火墙
5、周界
6、DMZ
7、超级用户账户
8、键盘记录器
9、渗透测试
10、虚拟专用网络
11、数据安全类型
1、设施安全。
2、设备安全(设备安全标准:使用移动设备连接的访问策略;在便携式设备上存储数据;符合记录管理策略的设备数据擦除和处置;反恶意软件和加密软件安装;安全漏洞的意识)。
3、凭据安全【身份管理系统。电子邮件系统的用户ID标准。密码标准。多因素识别】。
4、电子通信安全。
12、数据安全制约因素
1、保密等级。2、监管要求。
保护策略:
1、机密数据
机密数据分5类:
1)对普通受众公开(ForGeneralAudiences)。
3)机密(Confidential)。若无恰当的保密协议或类似内容,不得在组织以外共享。不得与其他客户共享客户机密信息。
4)受限机密(RestrictedConfidential)。受限机密要求个人通过许可才能获得资格,仅限于特定“需要知道”的个人。
5)绝密(RegisteredConfidential)。信息机密程度非常高,任何信息访问者都必须签署一份法律协议才能访问数据,并承担保密责任。
2、监管限制的数据
1)法规系列(个人身份信息PII;财务敏感数据;医疗敏感数据/个人健康信息PHI;教育记录)
2)行业法规或基于合同的法规(支付卡行业数据安全标准PCI-DSS;竞争优势或商业秘密;合同限制)
13、系统安全风险
(1)滥用特权。数据访问权限,应采用最小特权原则,仅允许用户、进程或程序访问其合法目的所允许的信息。解决权限过大的方案是查询级访问控制,控制粒度要从表格级访问深入到特定行和特定列。
(2)滥用合法特权。故意和无意滥用。部分解决滥用合法特权的方案是数据库访问控制。
(4)服务账户或共享账户滥用。服务账户。共享账户。
(5)平台入侵攻击。
(6)注入漏洞,SQL注入。
(7)默认密码。
(8)备份数据滥用。
14、黑客行为/黑客
黑客是在复杂的计算机系统中发现未知操作和路径的人。
15、网络钓鱼、社工威胁
通常涉及直接通信,诱使有权访问受保护数据的人提供该信息给你拟用户犯罪或恶意目的的人。
16、恶意软件
数据安全没有活动可以满足所有必需的隐私和保密要求。
有以下几部分。
识别数据安全需求:
1业务需求(组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。数据-流程矩阵和数据-角色关系矩阵是非常有效的工具)。
组织在制定数据安全制度时应基于自己的业务和法规要求。
制度是所选行动过程的陈述以及为达成目标所期望行为的顶层描述。
数据安全策略描述了所决定的行为,这些行为符合保护其数据的组织的最佳利益。要使这些制度产生可衡量的影响,它们必须是可审计且经审计过的。
不同级别的制度:
1)企业安全制度。
2)IT安全制度。
3)数据安全制度。数据治理委员会是数据安全制度的审查和批准方。数据管理专员是制度的主管方和维护方。
1定义数据保密等级。保密等级分类是重要的元数据特征,用于指导用户如何获得访问权限。
2定义数据监管类别。
3定义安全角色。角色组减轻工作量。
对角色进行定义和组织的方法有两种:网络(从数据开始)或层次结构(从用户开始)。
两个工具:角色分配矩阵。角色分配层次结构。
1)存储或传送的数据敏感性。2)保护数据的要求。3)现有的安全保护措施。
主要由安全管理员负责,与数据管理专员和技术团队协作。
控制和规程至少应包括:
1)用户如何获取和终止对系统和/或应用程序的访问权限。
2)如何为用户分配角色并从角色中去除。
3)如何监控权限级别。
4)如何处理和监控访问变更请求。
5)如何根据机密性和适用法规对数据进行分类。
6)检测到数据泄露后如何处理。
控制和规程:
(1)分配密级。
(2)分配监管类别。
(3)管理和维护数据安全。1)控制数据可用性/以数据为中心的安全性。2)监控用户身份验证和访问行为。
缺乏自动化监控意味着严重的风险:1)监管风险。2)检测和恢复风险。3)管理和审计职责风险。4)依赖于不适当的本地审计工具的风险。
基于网络审计设备具有优点:高性能。职责分离。精细事务跟踪。
(4)管理安全制度遵从性。1)管理法规遵从性。2)审计数据安全和合规活动。
1、杀毒软件/安全软件。2、HTTPS。3、身份管理技术。4、入侵侦测和入侵防御软件。5、防火墙(防御)。6、元数据跟踪。7、数据脱敏/加密。
1、应用CURD矩阵(CURDE-创建、读取、更新、删除、执行)。2、即时安全补丁部署。3、元数据中的数据安全属性。4、项目需求中的安全要求。5、加密数据的高效搜索。6、文件清理。
【就需评估/风险评估】
完美的数据安全几乎不可能,但避免数据安全漏洞的最佳方法是建立安全需求、制度和操作规程的意识。
组织可通过以下方式提高合规性:1)培训。此类培训和测试应是强制性的,同时是员工绩效评估的前提条件。2)制度的一致性。为工作组和各部门制定数据安全制度和法规遵从制度,以健全企业制度为目标。3)衡量安全性的收益。组织应在平衡记分卡度量和项目评估中包括数据安全活动的客观指标。4)为供应商设置安全要求。在服务水平协议(SLA)和外包合同义务中包括数据安全要求。SLA协议必须包括所有数据保护操作。5)增强紧迫感。强调法律、合同和监管要求,以增强数据安全管理的紧迫感。6)持续沟通。
【组织与文化变革】
数据管理专员通常负责数据分类。
【外包世界中的数据安全】
任何形式的外包都增加了组织风险,包括失去对技术环境、对组织数据使用方的控制。数据安全措施和流程必须将外包供应商的风险既视为外部风险,又视为内部风险。包括数据安全架构在内的IT架构和所有权应该是一项内部职责。换句话说,内部组织拥有并管理企业和安全架构。外包合作伙伴可能负责实现体系架构。
转移控制,并非转移责任,而是需要更严格的风险管理和控制机制。
1、服务水平协议(SLA)
2、外包合同中的有限责任条款
3、合同中的审计权条款
4、明确界定违反合同义务的后果
5、来自服务提供商的定期数据安全报告
6、对供应商系统活动进行独立监控
7、定期且彻底的数据安全审核
8、与服务提供商的持续沟通
9、如果供应商位于另一个国家地区并发生争议,应了解合同法中的法律差异
负责、批注、咨询、通知(RACI)矩阵也有助于明确不同角色的角色、职责分离和职责,包括他们的数据安全义务。
【云环境中的数据安全】
数据安全制度需要在跨不同服务模型的数据分布。
数据安全架构是企业架构的一部分。
安全架构涉及:1)用于管理数据安全的工具。2)数据加密标准和机制。3)外部供应商和承包商的数据访问指南。4)通过互联网的数据传送协议。5)文档要求。6)远程访问标准。7)安全漏洞事件报告规程。
安全架构对于以下数据的集成尤为重要:1)内部系统和业务部门。2)组织及其外部业务合作伙伴。3)组织和监管机构。
【安全实施指标】
常见的安全实施指标:1)安装了最新安全补丁程序的企业计算机百分比。2)安装并运行最新反恶意软件的计算机百分比。3)成功通过背景调查的新员工百分比。4)在年度安全实践测验中得分超过80%的员工百分比。5)已完成正式风险评估分析的业务单位的百分比。6)在发生如火灾、地震、风暴、洪水、爆炸或其他灾难时,成功通过灾难恢复测试的业务流程百分比。7)已成功解决审计发现的问题百分比。
【安全意识指标】
安全意识指标:1)风险评估结果。2)风险事件和配置文件。3)正式的反馈调查和访谈。4)事故复盘、经验教训和受害者访谈。5)补丁有效性审计。
【数据保护指标】
【安全事件指标】
安全事件指标:检测并阻止入侵尝试数量。通过防止入侵节省的安全成本投资回报。