前段时间某站数据库被脱,海量用户数据在暗站售卖,关于数据安全与数据治理再次被提升到一个高度,也成了众安全从业者头疼的问题,无论是运营商、企业、个体对于数据的管理需对用户,对社会团体负应尽的责任。与业务无关的数据坚决不采集,对于业务相关的数据也需安全存储。 以下博主就和大家讨论下企业关于数据安全与数据整理的相关问题。 先解释个某安全厂商所提的“统一安全内容中心”的概念:
** 1、SWG WEB安全网关** 针对高级威胁和数据窃取的最有效防护 ** 2、SEG 邮件安全网关** 针对混合×××和定向×××的最先进邮件防护 ** 3、DLP 数据防泄漏** 采用深层内容分析,对静态、传输中及使用中的数据进行 识别、监控、保护,拥有用户及目的地感知的特色功能 ** 4、Cloud接入安全云** 对任意地点的 web及 邮件提供最佳防护,并且拥有最低的总体拥有成本和最轻松的部署 ** 5、Mobile移动安全** 对移动数据特有的有效防 护,针对窃取、遗失, 恶意 app
上述维度建立统一的安全内容数据中心,分维度保护企业内部数据安全与数据处理。
对于企业信息安全,若想得到结构性的保障就需要有一个 系统性信息安全支撑体系。无论这个体系采用什么样的参考 框架,都需要考虑四个关键的构成要素,即人员People过程 Process 、、技术Technology和数据Data (PPTD),其中: • 人员是过程执行的资源; • 过程是组织的系统性能力; • 技术是过程有效性的支撑; • 数据是过程执行的驱动。 技术安全措施是满足企业信息 安全需求的三类安全措施之一, 也是其中最重要、最复杂的,因 此需要通过架构的设计来保证技 术控制之间的协同以及与其它安 全控制的协同。
风险的核心是围绕着业务支撑或业务产生的资产,并取决于资产
自身的脆弱性和已采取的安全措施,因此安全技术有效性评估策略包括:
• 面向业务/业务资产的有效性评估 • 面向威胁方的有效性评估
• 面向脆弱性的有效性评估
• 综合加权的有效性评估
数据防泄密: 以集中策略为基础,采用深层内容分析, 对静态数据,传输中的数据及使用中的数据 进行识别,监控,保护的相关机制
数据防护所覆盖的生命周期:
数据防泄密博主认为需要从以下三个维度治理:组织、制度、技术
所以那些技术蛮力者一心觉得技术可以解决一切问题的蛮力者,这也是博主把技术放到最后的缘故。
组织保障:
• 自上而下梳理并定义管 理层、业务部门、实施 部门、合规监控及审计 部门等的相关职责;
• 从组织上推动数据防泄 漏管控的实施。
制度保障:
建立或完善数据防泄漏总体策略、数据防泄漏管理办法、数据防泄漏明细策略(面向数据)
及具体的操作流程;从制度体系上支撑数据防泄漏工作。
技术保障:
采用成熟、专业的数据库防泄漏技术平台,落实管理层认可的详细策略,通过平台实现数据外泄行为的记录、告警及阻断;从技术上实现数据防泄漏目标
只有三者有效的结合才能形成有效的体系,可持续化的为公司核心重要数据进行保驾护航。
数据防护整体机制:
