【数据管理】DAMA-数据安全

news2024/11/24 6:25:49

目录

1、概述

2、数据安全要求来源

3、业务驱动因素

4、目标和原则

5、脆弱性、威胁、风险

6、风险分类

7、安全过程

8、数据完整性

9、混淆或脱敏

10、数据安全类型

11、数据安全制约因素

12、系统安全风险

13、工具


1、概述

数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证授权、访问和审计。


2、数据安全要求来源

(1)利益相关方
应识别利益相关方的隐私和保密需求,包括客户、病人、学生、公民、供应商或商业伙伴等组织中的每个人必须是对利益相关方数据负有责任的受托人。
(2)政府法规
政府法规制定的出发点是保护利益相关方的利益。政府法规目标各有不同,有些规定是限制信息访问的,而另一些则是确保公开、透明和问责的。
(3)特定业务关注点
每个组织的专有数据都需要保护。这些数据运用得当,组织就可以获得竞争优势。若保密数据遭窃取或破坏,则组织就会失去竞争优势。
(4)合法访问需求
组织在保护数据安全的同时,还须启用合法访问。业务流程要求不同角色的人能够访问、使用和维护不同的数据。
(5)合同义务
合同和保密协议对数据安全要求也有影响。例如,PCI标准是信用卡公司和某个商业企业之间的协议,需要以规定方式保护某些类型的数据(如强制加密客户密码)。


3、业务驱动因素

  • 降低风险
  • 业务增长
  • 安全性作为资产


4、目标和原则

数据安全活动目标,包括以下几个方面:

  • 1)支持适当访问并防止对企业数据资产的不当访问。
  • 2)支持对隐私、保护和保密制度、法规的遵从。
  • 3)确保满足利益相关方对隐私和保密的要求。

组织数据安全遵循以下指导原则:

  • 1)协同合作。数据安全是一项需要协同的工作,涉及 T 安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
  • 2)企业统筹。运用数据安全标准和策略时,必须保证组织的一致性。
  • 3)主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
  • 4)明确责任。必须明确界定角色和职责,包括跨组织和角色的数据“监管链”5)元数据驱动。数据安全分类分级是数据定义的重要组成部分。
  • 6)减少接触以降低风险。最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。

5、脆弱性、威胁、风险

1.脆弱性
脆弱性(Vulnerabiliy)是系统中容易遭受攻击的弱点或缺陷,本质上是组织防御中的。某些脆弱性称为漏洞敞口。例如,存在过期安全补丁的网络计算机、不受可靠密码保护的网页、来自未知发件人的电子邮件附件的用户,不受技术命令保护的公司软件(这将使攻击者能够控制系统)。在许多情况下,非生产环境比生产环境更容易受到威胁。因此,将生产数据控制在生产环境之内至关重要。


2.威胁
威胁(Threat)是一种可能对组织采取的潜在进攻行动。威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务(拒绝服务攻击)的进程,以及对已知漏洞的利用等。
威胁可以是内部的,也可以是外部的。他们并不总是恶意的。一个穿制服的内部人员可以在不知情的情况下再次对组织采取攻击性行动。威胁可能与特定的漏洞有关,因此可以优先考虑对这些漏洞进行补救。对每种威胁,都应该有一种相应的抵御能力,以防止或限制威胁可能造成的损害存在威胁的地方也称为攻击面。


3.风险
既指损失的可能性,也指构成潜在损失的事物或条件。从以下几个方面计算风险:

  • 1)威胁发生的概率及其可能的频率。
  • 2)每次威胁事件可能造成的损害类型和规模,包括声誉损害。
  • 3)损害对收入或业务运营的影响。
  • 4)发生损害后的修复成本。
  • 5)预防威胁的成本,包括漏洞修复手段。
  • 6)攻击者可能的目标或意图。

6、风险分类

风险分类措述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁(即色中的人员)可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类。风分类包括以下几个方面:
1)关键风险数据(Criteal Risk Data,CRD)。由于个人信息具有很高的直接财务价值,因此内部和外部各方可能会费尽心思寻求未经授权使用这些信息。滥用关键风险数据不仅会伤害个人,还会导致公司遭受重大的处罚,增加挽留客户、员工的成本以及损害公司品牌与声誉,从而对公司造成财务损害。
2)高风险数据(High Risk Data,HRD)。高风险数据为公司提供竞争优势,具有潜在的直接财务价值,往往被主动寻求未经授权使用。如果高风险数据被滥用,那么可能会因此使公司遭受财务损失。高风险数据的损害可能会导致因不信任而使业务遭受损失,并可能导致法律风险、监管处罚以及品牌和声誉受损。
3)中等风险数据(Moderate Risk Dat,MRD)。对几乎没有实际价值的公司非公开信息,未经授权使用可能会对公司产生负面影响。


7、安全过程

4A: 访问、审计、验证、授权;+ E:权限。信息分类、访问权限、角色组、用户和密码是实施策略和满足4A的一些常用手段。安全监控对于保障其他进程的正常运行也至关重要。监控和审计都可连续或定期地进行。式审计必须由第三方进行才能视为有效。第三方可以来自组织内部,也可以来自组织外部。

1)访问(Access)。使具有授权的个人能够及时访问系统。访问作动词用,意味着主动连接到信息系统并使用数据;作名词用,是指此人对数据具有有效的授权。
2)审计(Audit)。审查安全操作和用户活动,以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档,以验证是否符合安全法规、策略和标准。这些审核的结果会定期发布。
3)验证(Authentication)。验证用户的访问权限。当用户试图登录到系统时,系统需要验证此人身份是否属实。除密码这种方式外,更严格的身份验证方法包括安全令牌、回答问题或提交指纹。在身份验证过程中,所有传送过程均经过加密,以防止身份验证信息被盗。

4)授权(Authorization)。授予个人访问与其角色相适应的特定数据视图的权限。在获得授权后,访问控制系统在每次用户登录时都会检查授权令牌的有效性。从技术上讲,这是公司活动目录中数据字段中的一个条目,表示此人已获得授权访问数据。它进一步表明,用户凭借其工作或公司地位有权获得此权限,这些权限由相关负责人授予。
5)权限(Entitlement)。权限是由单个访问授权决策向用户公开的所有数据元素的总和。在生成授权请求之前,负责的经理必须决定某人“有权”访问此信息。在确定授权决策的监管和保密要求时,需要对每个授权所暴露的所有数据进行清点。


监控

系统应包括检测意外事件(包括潜在的安全违规)的监视控制。包含机密信息(如工资或财务数据)的系统通常实施主动、实时的监控,以提醒安全管理员注意可疑活动或不当访问。


8、数据完整性

加密:哈希、对称加密、非对称加密

9、混淆或脱敏


10、数据安全类型

  • 设施安全
  • 设备安全
  • 平台安全

11、数据安全制约因素

  • 保密等级
  • 监管要求

12、系统安全风险

  • 滥用特权
  • 滥用合法特权
  • 未经授权的特权升级
  • 服务账户或共享账户滥用
  • 平台入侵攻击
  • 注入漏洞
  • 默认密码
  • 备份数据滥用

13、工具

信息安全管理使用的工具,在很大程度上取决于组织规模、网络架构以及安全组织采用的策略和标准。

  • 杀毒软件/安全软件:杀毒软件可保护计算机免受网上病毒的侵扰。每天都有新的病毒和其他恶意软件出现,因此重要的是要定期更新安全软件。
  • HTTPS:如果 Web 地址以 https://开头,则表示网站配备了加密的安全层。用户通常必须提供密码或其他身份验证手段才能访问该站点。在线支付或访问机密信息都采用此加密保护。在通过Inteme或企业内部执行敏感操作时,培训用户在URL地址中查找它(htps://)。如果缺乏加密,同一网段上的用户就可以读取纯文本信息。
  • 身份管理技术:身份管理技术(Identily Management Teehnology)是存储分配的凭据,并根据请求(如当用户登录到系统时)与系统共享。尽管大多数或所有应用程序使用中央凭据存储库,虽然这对于用户来说更方便,但是一些应用程序仍然会管理自身的凭据存储库。有一些用于管理凭据的协议;轻量级目录访问协议(LDAP)就是其中之一。
  • 入侵侦测和入侵防御软件:用于识别、阻止和响应恶意的网络活动和攻击。这类软件通常包含两种主要类型:入侵检测系统(Intrusion Detection System, IDS)和入侵防御系统(Intrusion Prevention System, IPS)。
  • 防火墙:旨在监控和控制网络流量,根据预定义的安全规则决定是否允许数据包的传输。其主要功能是保护内部网络免受外部威胁,防止未经授权的访问。防火墙可以根据不同的功能和工作方式分为多种类型,如包过滤防火墙、代理防火墙、状态检测防火墙和下一代防火墙(NGFW)。
  • 元素据跟踪:在数据管理中,元数据是关于数据的数据,它提供了数据的结构、来源、历史、质量、上下文等信息。元数据跟踪则是指对元数据的变化、使用情况进行监控和记录的过程,这对于确保数据的可追溯性、一致性和安全性至关重要。
  • 数据脱敏/加密:将敏感数据转化为虚假或掩码数据的过程,这些数据看起来与真实数据相似,但不会暴露任何真实信息。数据脱敏有助于保护个人隐私和数据安全,同时保持数据的可用性和分析价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2124203.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

无人机动力系统设计之电调芯片参数选型

无人机动力系统设计之电调芯片参数选型 1. 源由2. 关键因素2.1 电压范围2.2 电流处理能力2.3 控制方式2.4 PWM输出与分辨率2.5 通讯接口2.6 保护功能2.7 支持霍尔传感器与无传感器模式2.8 集成度与外围器件2.9 效率与散热2.10 市场供应与成本 3. 因素阐述3.1 PWM工作频率3.1.1 …

二次规划及其MATLAB实现

引言 二次规划(Quadratic Programming, QP)是一类重要的优化问题,其目标函数为二次函数,约束条件为线性不等式或等式。二次规划问题在工程、经济、金融等领域有广泛应用,如投资组合优化、人脸表情动画的权重求解、机械…

UE中如何制作后处理设置面板

1)UE中如何制作后处理设置面板 2)Magica Clothes 2插件与Burst编译问题 3)UI大小和文本变量 4)如何检索直线与网格的所有交点 这是第399篇UWA技术知识分享的推送,精选了UWA社区的热门话题,涵盖了UWA问答、社…

tabBar设置底部菜单选项以及iconfont图标,setTabBar设置TabBar和下拉刷新API

tabBartabBar属性:设置底部 tab 的表现 ​ ​ ​ ​ 首先在pages.json页面写一个tabBar对象,里面放入list对象数组,里面至少要有2个、最多5个 tab, 如果只有一个tab的话,H5(浏览器)依然可以显示底部有一个导航栏,如果没有,需要重启后才有,小程序则报错,只有2个以上才可以…

51单片机-蜂鸣器介绍-1

作者:王开心 时间:2024.9.11 目的:学习51进阶中。。。 蜂鸣器是一种一体化结构的电子讯响器, 采用直流电压供电, 广泛应用于计算机、 打印机、 复印机、 报警器、 电子玩具、 汽车电子设备、 电话机、 定时器等电子…

数学 |x-2| + 2|x-5| = 12 ,那么x = ?

1、先上图,问了一下AI,这AI的节奏是不认识这个。 2、这个题的解题思路:如何去掉绝对值符号,让这个题看上去正常一些,然后就可以解。 |x-2| 这个代表,x到2的距离。|x-5| 这个代表,x到5的距离。 …

基于SSM的“高校就业管理系统”的设计与实现(源码+数据库+文档)

基于SSM的“高校就业管理系统”的设计与实现(源码数据库文档) 开发语言:Java 数据库:MySQL 技术:SSM 工具:IDEA/Ecilpse、Navicat、Maven 系统展示 首界面 后台首页 各管理功能 摘要 本论文主要讲述了基于SSM框…

移动UI案例:交通旅行类整套案例

1. 地图导航: 提供地图展示、路线规划、实时导航等功能,帮助用户找到目的地并提供最佳路线。 2. 公交线路查询: 提供公交车站信息、线路查询、实时公交到站信息等功能,方便用户使用公共交通工具。 3. 实时交通信息:…

0基础跟德姆(dom)一起学AI Python进阶10-算法和数据结构

* 自定义代码-模拟链表 * 删除节点 * 查找节点 * 算法入门-排序类的 * 冒泡排序 * 选择排序 * 插入排序 * 快速排序 * 算法入门-查找类的 * 二分查找-递归版 * 二分查找-非递归版 * 分线性结构-树介绍 * 基本概述 * 特点和分类 * 自定义代码-模拟二叉树 …

windows下关闭解除占用端口的进程

环境:windows 10 场景:启动某一应用程序时,提示其他应用已占用此端口,比如端口2425。 解决步骤: 1/3、打开windows的命令提示符,输入以下命令,查找占用此端口2425的PID号: # win…

winpe是什么意思_winpe制作详细图文教程

有些小白很好奇,winpe是什么意思?所谓的winpe系统其实就是当我们的电脑出现问题而不能进入正常系统时候的一种“紧急备用”系统。如果需要重装操作系统的话,以往采用光盘使用的比较多,随着技术的进步,用u盘制作一个winpe去安装系…

中国(分31省、分196个国家地区、分19个行业)对外直接投资存量及流量(2003-2022年)

2003-2022年中国(分31省、分196个国家地区、分19个行业)对外直接投资存量及流量_分行业资本存量数据资源-CSDN文库https://download.csdn.net/download/2401_84585615/89475600 相关数据 中国(31省)对外非金融类直接投资存量及流…

【C语言 vs C++:编译过程详解与对比】

C语言 vs C:编译过程详解与对比 对于初学编程的人来说,C语言和C语言的编译过程有着很多相似之处,但它们也有显著的区别。本文将带你详细了解C和C编译的整个流程,并对比两者的主要不同点。 1. C 和 C 的编译过程简介 在现代编程中…

网络操作系统项目

部署与管理Active Directory 项目基础知识 活动目录是一种由微软开发的网络服务,用于在网络环境中管理和组织用户、计算机和其他网络资源。它是基于目录服务的概念,类似于电话号码簿。 活动目录主要用于集中管理网络中的用户帐户、组织单位、计算机、打…

在 openEuler 系统中,设置补全功能可以提高命令行操作的效率。

目录 1.在 openEuler 系统中,设置补全功能可以提高命令行操作的效率。你可以通过以下步骤设置命令行补全功能 安装 Bash 补全工具 启用 Bash 补全 保存并关闭文件后,重新加载配置: 🌐 无论你是初学者还是经验丰富的专家&#x…

如何从损坏的 Mac 或外部驱动器恢复数据

告诉人们要备份是件好事。但人性意味着,寻求备份建议通常是在最坏的情况已经发生之后才会发生。希望您能够按照我们的建议修复损坏的驱动器并恢复数据,但我们还将介绍您需要了解的有关没有备份而崩溃的信息以及如何从损坏的硬盘或外部驱动器中恢复数据。…

ssm框架下实现手机营业厅连签送流量

功能概述 模拟常见手机营业厅APP登录签到领取流量功能,利用SSM框架完成登录签到领取流量,具体功能如下: 用户登录之后方可签到,点击签到,领取10积分,每天最多签到一次 一个月内只要连续登录签到7天&…

西圣find、蜂鸟t15、善尼体可视挖耳勺值得买吗?全方面测评实力王者品牌

可视挖耳勺作为一种新兴的掏耳神器,在市场上受到了广泛欢迎,各大品牌纷纷推出新品。然而,近期网络上关于可视挖耳勺的负面声音也在增多。不少消费者反映在使用过程中出现画质低清、画面卡顿等现象。作为一名居家物品测评博主,我对…

移动瑜伽馆:随时随地,开启身心之旅—轻空间

在快节奏的现代生活中,人们对健康与平衡的追求愈发强烈,瑜伽作为一种身心结合的运动,正受到越来越多人的青睐。然而,传统瑜伽场馆的固定场地、长时间建设与高昂的成本,常常限制了其普及和发展。如今,一种全…

大模型研发全揭秘:AI模型设计的五大关键步骤

模型设计是大模型项目研发的核心环节,它决定了模型的性能、效果以及在实际场景中的适用性。设计一个高效的模型不仅要求对算法的精通,还需要全面理解问题背景、合理调整模型架构和参数,并构建科学的评估体系。本文将深入探讨大模型项目研发流…