【安全每日一讲】加强数据安全保护 共享数字化时代便利

news2025/1/20 13:33:45
  • 前言

数据安全是数据治理的核心内容之一,随着数据治理的深入,我不断的碰到数据安全中的金发姑娘问题(指安全和效率的平衡)。

DAMA说,降低风险和促进业务增长是数据安全活动的主要驱动因素,数据安全是一种资产,这是很好的观点。

所以小德决定系统化的去学习一下数据安全知识,因此重新研读了DAMA、DCMM、相关书籍的数据安全内容,在此基础上,尝试用更系统化、通俗化、案例化的方式讲清楚数据安全到底是什么,希望带给大家新的理解。

  • 数据安全是什么
    • 数据安全的定义

数据安全是指保护数字数据免受未授权访问、泄露、破坏或丢失的过程和技术。这包括一系列的措施、策略和程序,旨在保护数据的保密性、完整性和可用性。

如果数据是家中的珍贵物品,数据安全就像是锁门、安装报警系统和保险,确保宝贵的东西不被偷走或损坏,同时确保你在需要时能够使用它们。

    • 数据安全的原则

DAMA给出了数据安全的原则,共包括6个方面:

  1. 协同合作。数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
  2. 企业统筹。运用数据安全标准和策略时,必须保证组织的一致性。
  3. 主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
  4. 明确责任。必须明确界定角色和职责,包括跨组织和角色的数据“监管链”。
  5. 元数据驱动。数据安全分类分级是数据定义的重要组成部分。
  6. 减少接触以降低风险。最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。

如果侧重于数据本身的安全属性,数据安全的原则应包括保密性、完整性和可用性,统称为CIA三元组。

  1. 保密性:确保数据只对授权用户可见和可访问。
  2. 完整性:保护数据免受未授权的修改,确保数据的准确性和可靠性。
  3. 可用性:确保在需要时,授权用户能够访问和使用数据。

想象一个团队运动,比如足球,每个球员(数据用户)需要知道如何保护球(数据)不被对手(威胁)夺走,传球(处理数据)要精确,而且整个队伍(组织)需要一起努力保持球的控制(数据安全)。

    • 数据安全活动的目标

根据DAMA定义,数据安全活动目标,主要包括以下三个方面:

  1. 支持适当访问并防止对企业数据资产的不当访问。 
  2. 支持对隐私、保护和保密制度、法规的遵从。 
  3. 确保满足利益相关方对隐私和保密的要求。 
  • 数据安全主要风险

    • 是数据资产梳理不清和分级分类不准带来的安全死角问题

参与流通的数据形态日益丰富,数据资产梳理和分类分级难度加大,极易产生安全死角。传统的数据分析方法和工具难以从非结构化数据中识别信息内容和重要程度,在规则制定方面,各地区各部门对数据分类分级制度的定位和规则存在差异,同时,数据的类别级别需要结合业务场景进行动态调整,在不同场景下的等级认定以及相应的管控或处理技术可能不同,数据分类分级的持续性难以保持。

    • 是数据泄露风险是当今突出的数据安全问题

在数据使用过程中,数据泄露风险是目前重要的数据安全问题。在数据大量流动和使用的过程中,可能会因为网络安全漏洞或人为失误而导致数据泄露。例如,黑客或不法分子可能会通过攻击系统窃取业务数据和用户数据,并用于恶意目的。

    • 是数据滥用风险是急需治理的数据安全问题

数据滥用风险也是当前数字经济发展急需治理的数据安全问题之一。数据滥用风险是数据收集者不当使用所收集的数据的风险。伴随着数字经济逐步渗透至各种生活场景,用户信息被大量收集。

    • 是场景化应用的数据安全风险

场景化业务应用”作为推进数字化变革的重要应用载体,在“场景化”开发过程中常会碰到因为安全因素考虑不够周全或者缺失或者存在业务逻辑缺陷等导致的自身安全风险,同时也会带来诸如恶意破解、核心代码被窃取、恶意代码注入、数据泄露、内容篡改、互动关联、认证风险等一些列安全问题。

    • 是数据共享交换的数据安全风险

数据要素市场建设加速推动了数据共享、交易和使用,尤其在数字政府建设过程中,数据来源多样、权属不同,且为了实现“让数据多跑腿、百姓少跑路”的目标,对数据共享的需求十分强烈。这导致在数据采集、共享、传输、应用过程中涉及非常多的主体,容易导致数据安全管理责任不清晰。而且由于各个政府部门,特别是基层单位的防护能力参差不齐,在共享过程中一旦薄弱部位被利用,就可能引发全局渗透风险。同时,由于数据流转链路增长,也进一步加大了数据流向和使用追踪难度。

    • 是数据API化的数据安全风险

在共同建设信息基础设施、融合基础设施及创新基础设施的背景下,需要连通不同类型的设施和应用,使得各类数据、算力和功能够在不同的区间内,形成高效共享,API作为能够支撑线上应用连接和数据传输重任的一种轻量化技术,其应用越来越普遍。由API传输的核心业务数据、个人身份信息等数据的流动性,大大增强,因此这些数据面临着较大的泄漏和滥用风险,成为数据保护的薄弱一环,外部恶意攻击者会利用API接口批量获取敏感数据。从“数字生态”角度看,目前数据的交互、传输、共享等往往有多方参与,涉及到用户、应用方、关联方等多个主体,由此使得数据泄露风险点激增,风险环境愈发复杂。

    • 是新技术应用的数据安全风险

由于AI技术的普及、算法的滥用和深度伪造等新技术带来的大量真假难辨的新闻事件,增加了辨别网络舆情真伪的困难度,增加了侵权案件、隐私泄露事件的发生,降低了恶意攻击成本、增加了隐蔽性,同时,增加了政府管理难度、危害国家社会民众利益。

  • 如何加强数据安全保护
  1. 强化数据加密是保护网络安全数据的关键措施。通过采用先进的加密技术,对敏感数据进行加密处理,使得即使数据被窃取,攻击者也无法解密和获取有价值的信息。此外,定期更新加密密钥,加强加密算法的安全性,能有效提高数据的保密性。

  1. 网络安全数据还可以帮助我们评估网络的安全性。通过对历史安全数据的分析,我们可以了解网络中存在的安全隐患和潜在的风险,从而有针对性地进行安全加固和优化。此外,安全数据还可以为安全审计和合规性检查提供支持,确保企业的网络符合相关的法律法规和行业标准。

  1. 定期进行数据备份和恢复演练也是保护网络安全数据的重要手段。及时将重要数据进行备份,并存储在安全的地方,以便在遭受灾害或系统故障时能够快速恢复数据,减少数据损失的风险。

提示建议:企业方面适配裸金属服务器,提供快照服务,支持秒级创建/回滚的极速快照,无人值守的自动化数据备份

  1. 定期进行安全审计和风险评估也是保护网络安全数据的重要环节。通过安全审计,及时发现系统中的安全漏洞和潜在风险,并采取相应的措施进行修复和改进。同时,要根据评估结果制定合理的安全策略和应急预案,以应对可能发生的安全事件。

提示建议:德迅云安全风险评估:帮助企业系统分析资产所面临的威胁,及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。并提出有针对性的抵御威胁的防护对策、整改措施。为防范和化解风险提供科学依据。

德迅云安全-领先云安全服务与解决方案提供商  

以及提供多种审计代码审计(https://www.dexunyun.com/codesj)、日记审计(https://www.dexunyun.com/journal)、数据库审计

(https://www.dexunyun.com/database)

  • 综上所述

除了技术措施外,合适的管理和组织措施也是数据安全的关键。敏感数据应分类,并根据敏感程度分配适当的访问权限。只有授权人员才能访问和处理敏感数据。此外,员工教育和培训也是重要的环节。定期进行员工教育和培训,加强他们对数据安全的意识和知识,可以减少人为失误和社会工程攻击的风险。

最后,数据安全需要持续的关注和改进。定期进行安全评估可以帮助发现和修复潜在的安全漏洞。同时,定期进行安全演练可以提高应对安全事件的能力和反应速度。个人和机构应确保遵守适用的数据隐私和保护法规,并采取相应的措施来保护用户的数据隐私。

总之,数据安全是当今数字化时代面临的重要挑战。个人和机构需要采取综合的技术和管理措施来保护数据的完整性、机密性和可用性。通过意识到数据安全的重要性,并采取适当的措施,个人和机构可以有效地保护自己的数据免受潜在的威胁。只有确保数据安全,我们才能更好地利用和共享数字化时代带来的便利和机遇。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1667601.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

47.乐理基础-音符的组合方式-连线

连线与延音线长得一模一样 它们的区别就是延音线的第三点,延音线必须连接相同的音 连线在百分之九十九的情况下,连接的是不同的音,如下图的对比,连线里的百分之1,以现在的知识无法理解,后续再写 在乐谱中遇…

【MySQL】聊聊你不知道的前缀索引原理以及使用场景

背景 在本周的时候,接到一个需求,需要通过加密后的身份证 md5 去数据库里匹配。由于业务方存储的是身份证 md5username 构建的一列,并且没有加索引。 解决方案:1.新建一列 md5的列,加索引 2.对现有的列进行加前缀索引…

数组实现循环队列

1、分析 循环队列最主要的特点为当前面的空间被pop后,后面的数据可以插入到前面空余的数据中去; 所以最难的部分为判断什么时候为空什么时候为满: a、空满问题 我们先来分析当数据满时,head和tail相等(tail认为是指…

C++:9.scanf扩展——原来这么好用!

——scanf:我**不常用了? 有一天看到了一道题: C 输入一个时间,输出它属于,白天,下午还是黑夜。 输入样例: 15:20 00:00 13:14 05:20 11:45 14:00 ……??? 大胆题目小瞧我的编程水平!!!!!…

什么是 IIS

什么是 IIS 一、什么是 IIS二、IIS 的功能三、IIS 几点说明四、IIS 的版本五、IIS 常见的组合 欢迎关注【云边小网安】 一、什么是 IIS IIS:指 Internet Information Services ,是一种由微软公司开发的 Web 服务器应用程序。IIS:是一种 Web …

GPU prompt

提问: GPU是如何与CPU协调工作的? GPU也有缓存机制吗?有几层?速度差异是多少? GPU渲染流程有哪些阶段?他们的功能分别是什么? Early-Z技术是什么?发生在哪个阶段?这个…

MySQL表死锁查询语句

步骤1:查询表死锁的sql语句: SELECT * FROM information_schema.PROCESSLIST where length(info) >0 ; 或 SELECT * FROM information_schema.INNODB_TRX; 步骤2:删除 kill "对应的线程id"

hadoop克隆虚拟机

克隆虚拟机 小白的Hadoop学习笔记 2024/5/11 9:42 文章目录 克隆虚拟机准备好模板机克隆* 记得先将模板机关机 配置ipifcfg-ens33hostnamehosts重启 测试是否成功ifconfigping xshell 准备好模板机 克隆 * 记得先将模板机关机 下一页>>下一页 选择创建完整克隆 起名字…

【大模型赋能开发者】海云安入选数世咨询LLM驱动数字安全2024——AI安全系列报告

近日,国内知名数字产业领域第三方调研咨询机构数世咨询发布了LLM驱动数字安全2024——AI安全系列报告。报告通过调研、公开信息收集等方式对目前十余家已具备LLM相关的应用能力安全厂商对比分析出了这一领域当前的产业现状并进行了各厂商的能力展示。 海云安凭借近…

Linux:文件系统

Linux:文件系统 磁盘物理结构存储结构逻辑结构 文件系统inode分区 & 分组分区管理inode Bitmap & inode TableBlock Bitmap & Data BlocksGDT & Super Block & Boot Block 重新理解目录 软硬链接软链接硬链接软硬链接的使用场景 磁盘 计算机需…

C++中vector的简单实现

文章目录 一、主要任务1. 查看文档的网站的链接2.内部模拟的函数 二、本人的模拟实现过程1. 所需模拟实现的函数a.构造、拷贝构造b. reverse()扩容c.insert()、push_back()插入数据d. erase()、pop_back()删除数据e. swap()交换f. begin()、end()非const与const迭代器g. 完善构…

什么是$t?$t的介绍及使用

目录 $t介绍&#xff1a; 作用&#xff1a; 安装国际化插件&#xff1a; 创建国际化资源文件 配置 vue-i18n &#xff1a; 切换语言&#xff1a; 下面为中文和英文状态下的效果&#xff1a; 如下面所示&#xff0c;这是一段前端代码&#xff1a; <el-form-item :label…

如何在 Linux / Ubuntu 上下载和安装 JMeter?

Apache JMeter 是一个开源的负载测试工具&#xff0c;可以用于测试静态和动态资源&#xff0c;确定服务器的性能和稳定性。在本文中&#xff0c;我们将讨论如何下载和安装 JMeter。 安装 Java&#xff08;已安装 Java 的此步骤可跳过&#xff09; 安装 Java 要下载 Java&…

序列到序列模型在语言识别Speech Applications中的应用 Transformer应用于TTS Transformer应用于ASR 端到端RNN

序列到序列模型在语言识别Speech Applications中的应用 A Comparative Study on Transformer vs RNN in Speech Applications 序列到序列(Seq2Seq)模型在语音识别(Speech Applications)中有重要的应用。虽然Seq2Seq模型最初是为了解决自然语言处理中的序列生成问题而设计的…

访客管理系统对于校园安全的重要性

校园访客办理计划是针对校园安全需求规划的安全办理体系&#xff0c;主要用于对校园外来人员的科学办理。要做好校园安全作业&#xff0c;把风险分子拒之门外尤为要害。校园访客办理计划实现访客实名制&#xff0c;并结合公安网、黑名单功用&#xff0c;对风险人员进行提前预警…

指针的奥秘(四):回调函数+qsort使用+qsort模拟实现冒泡排序

指针 一.回调函数是什么&#xff1f;二.qsort函数使用1.qsort介绍2.qsort排序整型数据3.qsort排序结构体数据1.通过结构体中的整形成员排序2.通过结构体中的字符串成员排序 三.qsort模拟实现冒泡排序 一.回调函数是什么&#xff1f; 回调函数就是一个通过函数指针调用的函数。 …

机器人系统ros2-开发实践07-将机器人的状态广播到 tf2(Python)

上个教程将静态坐标系广播到 tf2&#xff0c;基于这个基础原理这个教程将演示机器人的点位状态发布到tf2 1. 写入广播节点 我们首先创建源文件。转到learning_tf2_py我们在上一教程中创建的包。在src/learning_tf2_py/learning_tf2_py目录中输入以下命令来下载示例广播示例代码…

显卡、显卡驱动、CUDA、cuDNN、CUDA Toolkit、NVCC、nvidia-smi等概念的区别与联系

在科技日新月异的今天&#xff0c;显卡、显卡驱动、CUDA、cuDNN、CUDA Toolkit、NVCC、nvidia-smi等术语已经成为了科技领域的重要组成部分。本文旨在阐述这些术语之间的区别与联系&#xff0c;帮助您更好地理解它们在技术生态系统中的作用。 一、显卡 显卡&#xff0c;也称为…

利用PS在不伤背景的前提下根据颜色去除图像上不想要的内容

下面为一个例子&#xff0c;去除图像上红色的虚线 Step1.用套索工具框选带有颜色的部分 Step2.切换到魔术棒工具&#xff0c;上端选项中&#xff0c;点击与选区交叉&#xff0c;连续这一项不要勾选 Step3.在需要去除的部分点击一下即可在框选范围内选中所有同颜色的区域&#x…

“二代”接班进行时:达利食品许阳阳揭秘“零食大王”成长密钥

“二代接班”早已不是一个新鲜话题。近年来&#xff0c;随着时间的推移&#xff0c;那些伴随改革开放和中国制造崛起的民营企业&#xff0c;更多的正在经历或已完成“二代接班”。 “毛巾王子”家的洁丽雅&#xff0c;最近因大手笔签约多位代言人而引起讨论的九牧王&#xff0…