企业数据安全
数据安全的保护对象是公司的信息数据。信息数据有各种表现形式,如结构化数据(sql,json)及非结构化数据(图片,音频视频,office文档)。按作用类型分类,可分为客户数据,员工数据,业务数据,财务数据,权限数据,代码数据等。当然更准确的分类方式要根据各公司自己的具体情况进行。拿个人来说,数据安全有财不外露、不怕贼偷就怕贼惦记的俗理。拿企业来说,不管是古代的账房先生,还是现代企业的财务部门,都是老板极为信任的人才能担任。随着互联网发展,黑灰产发展,以及国家立法的要求,个人及企业对数据保护的要求在提高,范围在扩大。而且在监管层面,对数据安全的监管检查,也慢慢变成了新的监管重点。
企业数据安全建设落地
应急跟需求:处理应急跟公司需求。
法律合规:参考通用法律法规,及行业地方等特定法规,梳理数据安全要求。
数据梳理:梳理公司所有的数据,对数据进行分类分级。建设数据发现机制跟能力。
状态调研及评估:调研安全建设状态,评估建设完成度。
决策工作内容:结合数据安全调研结果,结合公司整体的建设方案,以数据安全能力模型为指导思想,来决定工作内容,内容顺序,落地方案。
具体到每条数据的数据安全
按数据生命周期的理念有如下简化版的落地内容:
1、采集阶段:最小化采集,完整性校验,合法合规等。
2、传输阶段:传输通道加密,内容加密,两端鉴权等。
3、存储阶段:存储加密,介质加密,数据备份等。
4、使用阶段:鉴权,访问控制,脱敏,流转日志等。
5、加工阶段:算法安全,过程审计,结果数据分类定级。
6、公开阶段:脱敏,水印,合规,审计等。
7、销毁阶段:数据删除,匿名化处理,物理销毁等。
数据安全与其他安全方面的耦合
基础安全:数据与数据库/数据仓库的存储对应关系;数据流转的基础组件顺序。如果存在弱口令,网络访问控制不当,AK泄露等问题,可导致数据泄露。
办公安全:安全办公;内鬼行为的审计及发现。如果存在内鬼可导致数据泄露。
应用安全:应用的数据调用关系,调用权限,日志记录,全流程的串联分析。如果存在越权、命令执行、SQL注入等问题,可导致数据泄露。
业务安全:黑灰产分析;互联网环境下,风控模型的设计及改进;垃圾数据清洗。
总结
1、数据安全是围绕公司信息数据的安全保护。
2、数据安全正在成为新的监管重点。
3、数据安全作为新兴安全领域,目前并没有很多配套工具。
4、数据安全是全公司都应该参与的体系化的工作,它牵扯到公司全部门,而非几个部门。
5、数据安全,与其他安全方面严重耦合。其他安全方面的问题都可能导致数据安全问题。
