目录
一、什么是数据安全?
二、数据安全管理方法
1.数据分类
2.数据分级
3.加密脱敏
一、什么是数据安全?
数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。
二、数据安全管理方法
主要分为数据分类、数据分级、数据脱敏三个关键步骤来管理。
1.数据分类
数据分类就是把相同属性或特征的数据归集在一起,形成不同的类别,方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务角度或数据管理的角度出发的,例如:行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等,根据这些维度,将具有相同属性或特征的数据按照一定的原则和方法进行归类。
分类依据:
- 关键性:数据对于企业日常运营和业务的重要程度?
- 可用性:企业能够及时获取和访问所需数据吗,所访问的数据是否可靠?
- 敏感性:如果数据被泄露,对业务的潜在影响是什么?
- 完整性:数据在存储或传输过程中有丢失或被篡改的情况吗,对业务的影响有多大?
- 合规性:按照法规、公司制度、监管要求或行业标准数据需要存档或保留多长时间?
2.数据分级
数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的,本质上就是数据敏感维度的数据分类。
按敏感程度划分(仅供参考)
级别 | 敏感程度 | 判断标准 |
|---|---|---|
1级 | 公开数据 | 可以免费获得和访问的信息,没有任何限制或不利后果,例如营销材料、联系信息、客户服务合同和价目表 |
2级 | 内部数据 | 安全要求较低但不打算公开的数据,例如客户数据、销售手册和组织结构图。 |
3级 | 秘密数据 | 敏感数据,如果泄露可能会对运营产生负面影响,包括损害公司、其客户、合作伙伴或员工。例如包括供应商信息、客户信息、合同信息、员工信息和薪水信息等。 |
4级 | 机密数据 | 高度敏感的公司数据,如果泄露可能会使组织面临财务、法律、监管和声誉风险。例如包括客户身份信息、个人身份和信用卡信息。 |
按受影响的程度划分(仅供参考)
级别 | 影响程度 | 判断标准 |
|---|---|---|
1级 | 无影响 | 数据被破坏后,对企业或个人均没有影响 |
2级 | 轻微影响 | 数据被破坏后,对企业或个人有影响,但影响范围不大,遭受的损失可控 |
3级 | 重要影响 | 数据被破坏后,企业或个人遭到重要商业、经济、名誉上的影响 |
4级 | 严重影响 | 数据被破坏后,不仅对企业和个人遭受影响,甚至还对国家安全带来影响或风险 |
3.加密脱敏
对于像身份证、手机号、用户家庭住址、籍贯等个人隐私敏感数据以及财务等企业敏感数据,必须要做好相应的脱敏处理,才能最大限度的保证数据不被泄露。
当前主要的数据脱敏手段有:
掩码部分/全遮盖:用指定字符(比如,*****)替换敏感数据的全部或者部分
静态加密算法加密:通过MD5、hash或者自研算法加密,可以进行加盐,直接存储一份加密后的数据用于查询
动态加密算法加密:通过MD5、hash或者自研算法加密,可以进行加盐,在用户查询时对于敏感字段动态加密
ps:数据分级分类标准可以参考国家公开发布的分级分类标准(金融数据安全分级指南等),再结合公司内部业务现状综合确定。
