DAMA學習筆記(六)-數據安全

1.引言

??數據安全包括安全策略和過程的規劃、建立與執行，為數據和信息資產提供正確的身份驗證、授權、訪問和審計。數據安全實踐的目標是根據隱私和保密法規、合同協議和業務要求來保護信息資產。這些要求來自以下幾個方面:

1）利益相關方: 應識別利益相關方的隱私和保密需求，包括客戶、病人、學生、公民、供應商或商業伙伴等。組織中的每個人必須是對利益相關方數據負有責任的受托人。
2）政府法規: 政府法規制定的出發點是保護利益相關方的利益。政府法規目標各有不同，有些規定是限制信息訪問的，而另一些則是確保公開、透明和問責的。
3）特定業務關注點: 每個組織的專有數據都需要保護。這些數據運用得當，組織就可以獲得競爭優勢。若保密數據遭竊取或破壞，則組織就會失去競爭優勢。
4）合法訪問需求: 組織在保護數據安全的同時，還須啟用合法訪問。業務流程要求不同角色的人能夠訪問、使用和維護不同的數據。
5）合同義務: 合同和保密協議對數據安全要求也有影響。

數據安全需求的來源語境關系圖如圖7-1所示。

在這里插入圖片描述

1.1 業務驅動因素

??降低風險和促進業務增長是數據安全活動的主要驅動因素。確保組織數據安全，可降低風險并增加競爭優勢。安全本身就是寶貴的資產。

??業務增長包括實現并維持運營業務目標。數據安全問題、違規以及對員工訪問數據不合理的限制會對成功運營造成直接影響。

??如果將降低風險和發展業務的目標整合到一個連貫的信息管理和保護戰略中，那么這些目標可以是互補和相互支持的。

1.降低風險

??信息安全管理首先對組織數據進行分類分級，以便識別需要保護的數據。整個流程包括以下步驟：

1）識別敏感數據資產并分類分級。eg: 個人身份識別、醫療數據、財務數據等
2）在企業中查找敏感數據。根據存儲位置的不同安全要求也不同。
3）確定保護每項資產的方法。
4）識別信息與業務流程如何交互。

??除了對數據本身進行分類分級外，還需對外部威脅（如來自黑客和犯罪分子的威脅）和內部風險（由員工和流程產生）進行評估。許多數據的丟失或暴露是由于員工對高度敏感的信息缺乏認識或者繞過安全策略視而不見造成的。

2.業務增長

??值得信賴的電子商務推動利潤和業務的增長。產品和服務質量與信息安全有著相當直接的關系：強大的信息安全能夠推動交易進行并建立客戶的信心。

3.安全性作為資產

??元數據是管理敏感數據的方法之一。可以在數據元素和集合級別標記信息分類和合規敏感度。利用數據標記技術，可以使元數據跟隨信息一起在企業內流動。標準安全的元數據可用于優化數據保護，指導業務開展和技術支持流程，從而降低成本。

1.2 目標和原則

1.2.1目標

??數據安全活動目標，包括以下幾個方面：

1）支持適當訪問并防止對企業數據資產的不當訪問。
2）支持對隱私、保護和保密制度、法規的遵從。
3）確保滿足利益相關方對隱私和保密的要求。

1.2.2 原則

??組織數據安全遵循以下指導原則：

1）協同合作。數據安全是一項需要協同的工作，涉及IT安全管理員、數據管理專員/數據治理、內部和外部審計團隊以及法律部門。
2）企業統籌。運用數據安全標準和策略時，必須保證組織的一致性。
3）主動管理。數據安全管理的成功取決于主動性和動態性、所有利益相關方的關注、管理變更以及克服組織或文化瓶頸，如信息安全、信息技術、數據管理以及業務利益相關方之間的傳統職責分離。
4）明確責任。必須明確界定角色和職責，包括跨組織和角色的數據“監管鏈”。
5）元數據驅動。數據安全分類分級是數據定義的重要組成部分。
6）減少接觸以降低風險。最大限度地減少敏感/機密數據的擴散，尤其是在非生產環境中。

1.3 基本概念

1.脆弱性

??脆弱性（Vulnerability）是系統中容易遭受攻擊的弱點或缺陷，本質上是組織防御中的漏洞。某些脆弱性稱為漏洞敞口。eg: 不受可靠密碼保護的網頁、來自未知發件人的電子郵件附件的用戶，不受技術命令保護的公司軟件等。

2.威脅

??威脅（Threat）是一種可能對組織采取的潛在進攻行動。威脅包括發送到組織感染病毒的電子郵件附件、使網絡服務器不堪重負以致無法執行業務（拒絕服務攻擊）的進程，以及對已知漏洞的利用等。威脅可以是內部的，也可以是外部的。威脅可能與特定的漏洞有關，因此可以優先考慮對這些漏洞進行補救。

3.風險

??風險（Risk）既指損失的可能性，也指構成潛在損失的事物或條件。風險可按潛在損害程度或發生的可能性來確定優先級，而容易被利用的漏洞會具有發生風險的更大可能性。通常，優先級列表結合兩方面的指標。風險的優先排序必須由各利益相關方通過正式的流程來確定。對于每個可能的威脅，可從以下幾個方面計算風險：

1）威脅發生的概率及其可能的頻率。
2）每次威脅事件可能造成的損害類型和規模，包括聲譽損害。
3）損害對收入或業務運營的影響。
4）發生損害后的修復成本。
5）預防威脅的成本，包括漏洞修復手段。
6）攻擊者可能的目標或意圖。

4.風險分類

??風險分類描述了數據的敏感性以及出于惡意目的對數據訪問的可能性。分類用于確定誰（即角色中的人員）可以訪問數據。用戶權限內所有數據中的最高安全分類決定了整體的安全分類。風險分類包括以下幾個方面：

1）關鍵風險數據（Critical Risk Data，CRD）。濫用關鍵風險數據不僅傷害個人, 還會導致公司受到重大處罰。
2）高風險數據（High Risk Data，HRD）。濫用高風險數據會導致公司造成財務損失, 更嚴重會導致法律以及監管處罰。
3）中等風險數據（Moderate Risk Data，MRD）。濫用中等風險數據, 可能會對公司產生負面影響。

5.數據安全組織

??數據安全組織取決于不同的企業規模。在信息技術（IT）領域內通常有完整的信息安全職能。大型企業通常設有向CIO或CEO報告的首席信息安全官（CISO）。在缺失專職信息安全人員的組織中，數據安全的責任將落在數據管理者身上。在任何情形下，數據管理者都需要參與數據安全工作。在大型企業中，信息安全人員可以讓業務經理指導具體數據治理和用戶授權的職能。例如，授予用戶權限和數據法規遵從。數據管理者需要與信息技術開發人員和網絡安全專業人員積極合作，以便識別法規要求的數據，恰當地保護敏感系統，并設計用戶訪問控制以強制實施保密性、完整性和數據合規性。

6.安全過程

??數據安全需求和過程分為4個方面，即4A：訪問（Access）、審計（Audit）、驗證（Authentication）和授權（Authorization）。為了有效遵守數據法規，還增加了一個E，即權限（Entitlement）。

(1) 訪問（Access）。授權的個人能夠及時訪問系統。
(2) 審計（Audit）。審查安全操作和用戶活動，以確保符合法規和遵守公司制度和標準。信息安全專業人員會定期查看日志和文檔，以驗證是否符合安全法規、策略和標準。
(3) 驗證（Authentication）。驗證用戶的訪問權限。驗證方式:密碼、令牌、指紋等方式。
(4) 授權（Authorization）。授予個人訪問與其角色相適應的特定數據視圖的權限。
(5) 權限（Entitlement）。權限是由單個訪問授權決策向用戶公開的所有數據元素的總和。
(6) 監控系統應包括檢測意外事件（包括潛在的安全違規）的監視控制。包含機密信息（如工資或財務數據）的系統通常實施主動、實時的監控，以提醒安全管理員注意可疑活動或不當訪問。被動監控是通過系統定期捕獲系統快照，并將趨勢與基準或其他標準進行比較，跟蹤隨時發生的變化。主動監控是一種檢測機制，被動監控是一種評價機制。

7.數據完整性

??在安全性方面，數據完整性（Data Integrity）是一個整體狀態要求，以免于遭受不當增/刪改所造成的影響。

8.加密

??加密（Encryption）是將純文本轉換為復雜代碼，以隱藏特權信息、驗證傳送完整性或驗證發送者身份的過程。加密方法主要有3種類型，即哈希(任意長度數據–> 固定長度表示, 哈希算法:MD5和SHA)、對稱加密(密鑰(發送和接收相同), 加密算法:數據加密標準(DES)、三重DES(3DES)、高級加密標準(AES)和國際數據加密算法(IDEA)、非對稱加密(發送和接收不同, 非對稱加密算法包括RSA加密算法和Diffie-Hellman密鑰交換協議等)，其復雜程度和密鑰結構各不相同。

9.混淆或脫敏

??通過混淆處理（變得模糊或不明確）或脫敏（刪除、打亂或以其他方式更改數據的外觀等）的方式來降低數據可用性，同時避免丟失數據的含義或數據與其他數據集的關系。數據混淆或脫敏是解決數據使用過程中的一種安全手段。數據脫敏分為兩種類型：靜態脫敏和動態脫敏。

(1) 靜態數據脫敏(Persistent Data Masking):永久且不可逆轉地更改數據。應用于生產環境與開發(測試)環境之間。
- 1）不落地脫敏（In-flight Persistent Masking）。當在數據源（通常是生產環境）和目標（通常是非生產）環境之間移動需要脫敏或混淆處理時，會采用不落地脫敏。
- 2）落地脫敏（In-place Persistent Masking）。當數據源和目標相同時，可使用落地脫敏。從數據源中讀取未脫敏數據，進行脫敏操作后直接覆蓋原始數據。
(2) 動態數據脫敏(Dynamic Data Masking) 在不更改基礎數據的情況下，在最終用戶或系統中改變數據的外觀。
(3) 脫敏方法: 替換(Substitution)、混排(Shuffling)、時空變異(Temporal Variance)、數值變異(Value Variance)、取消或刪除(Nulling or Deleting)、隨機選擇(Randomization)、加密技術(Encryption)、表達式脫敏(Expression Masking)、鍵值脫敏(Key Masking)。

10.網絡安全術語

后門（Backdoor）: 計算機系統或應用程序的忽略隱藏入口, 它允許未經授權用戶繞過密碼等限制獲取訪問權限。一般是開發人員維護系統而創建。
機器人（Robot）或僵尸（Zombie）是已被惡意黑客使用特洛伊木馬、病毒、網絡釣魚或下載受感染文件接管的工作站。
Cookie是網站在計算機硬盤上安放的小型數據文件，用于識別老用戶并分析其偏好。
防火墻（Firewall）是過濾網絡流量的軟件和/或硬件，用于保護單個計算機或整個網絡免受未經授權的訪問和免遭企圖對系統的攻擊。
周界（Perimeter）是指組織環境與外部系統之間的邊界, 通常將防火墻部署在所有內部和外部環境之間。
DMZ是非軍事區（De-militarized Zone）的簡稱，指組織邊緣或外圍區域, 在DMZ和組織之間設有防火墻, 用于傳遞或臨時存儲在組織之間移動的數據。

在這里插入圖片描述

超級用戶（Super User）賬戶是具有系統管理員或超級用戶訪問權限的賬戶，僅在緊急情況下使用。
鍵盤記錄器（Key Logger）是一種攻擊軟件，對鍵盤上鍵入的所有擊鍵進行記錄，然后發送到互聯網上的其他地方。
滲透測試在應用程序正式發布之前發現的漏洞予以解決。查找漏洞是一個持續的過程，不應受任何指責，唯一要做的是安裝安全補丁。
虛擬專用網絡（VPN）使用不安全的互聯網創建進入組織環境的安全路徑或“隧道”。

11.數據安全類型

設施安全（Facility Security）是抵御惡意行為人員的第一道防線。設施上至少應具有一個鎖定能力的數據中心，其訪問權限僅限于授權員工。
設備安全（Device Security）的標準包括：
- 1）使用移動設備連接的訪問策略。
- 2）在便攜式設備(如筆記本、DVD、CD或USB驅動器)上存儲數據。
- 3）符合記錄管理策略的設備數據擦除和處置。
- 4）反惡意軟件和加密軟件安裝。
- 5）安全漏洞的意識。
憑據安全是為每個用戶分配訪問系統時使用的。大多數憑據是用戶ID和密碼的組合。基于系統數據敏感性以及系統鏈接到憑據存儲庫的能力，在同一環境的系統之間使用憑據有多種不同方式。
電子通信安全 不安全的通信方式可被外部讀取或攔截。

12.數據安全制約因素

??數據安全制約因素包括數據的保密等級和監管要求。

1）保密等級。保密意味著機密或私密。保密等級取決于誰需要知道某些類型的信息。
2）監管要求。根據外部規則（如法律、條約、海關協定和行業法規）分配監管類別。監管信息在“允許知道”的基礎上共享。
保密和監管的主要區別是要求來源不同。保密要求源自內部，而監管要求則由外部定義。
任何數據集（如文檔或數據庫視圖）只能有一個密級, 監管分類是附加(可以有多個監管類別)的。
機密等級:公開、內部使用、機密、受限機密、絕密; 監管分類: 法規(個人信息、財務數據、醫療數據、教育記錄)和行業或基于合同限制(支付卡行業數據、競爭優勢或商業秘密以及合同限制)。

13.系統安全風險

??識別風險的第一步是確定敏感數據的存儲位置以及這些數據需要哪些保護, 需要確定系統的固有風險。系統安全風險包括可能危及網絡或數據庫的風險要素。

（1）濫用特權
- 在授予數據訪問權限時，僅允許用戶、進程或程序訪問其合法目的所允許的信息。
- 解決權限過大的方案是查詢級訪問控制，這種控制機制可將數據庫權限限制為最低要求的SQL操作和數據范圍。
（2）濫用合法特權
- 出于未經授權的目的，用戶可能濫用合法賦予他的數據庫權限。
- 公司Web應用程序的結構通常限制用戶查看單個患者的醫療歷史記錄，無法同時查看多條記錄，并且不允許電子拷貝。

兩種風險都需要考慮：故意和無意濫用。當醫護人員故意不當地使用組織數據時，就會發生故意濫用。惡意的醫護人員想要用患者病歷來換取金錢或進行蓄意傷害，如公開發布（或威脅發布）敏感信息。

（3）未經授權的特權升級
- 存儲過程、內置函數、協議實現甚至SQL語句中都可能存在漏洞。
- 攻擊者可能會利用數據庫平臺軟件漏洞將訪問權限從普通用戶權限變為管理員權限。
- 將傳統入侵防護系統（IPS）和查詢級訪問控制入侵防護相結合，以防止特權升級漏洞。
（4）服務賬戶或共享賬戶濫用
- 使用服務賬戶（批處理ID）和共享賬戶（通用ID）會增加數據泄露風險，并使跟蹤漏洞來源的能力更加復雜。
- 服務賬戶的便利性在于可自定義對進程的增強訪問。將服務賬戶的使用限制為特定系統上的特定命令或任務，需要文檔和批準才能分發憑據。
- 當所需用戶賬戶數多到應用程序無法處理時，或添加特定用戶需要大量工作或產生額外許可成本時，可創建共享賬戶。
（5）平臺入侵攻擊
- 數據庫資產的軟件更新和入侵防護需要結合定期軟件升級（補丁）和部署專用入侵防御系統(Intrusion Prevention Systems，IPS)。IPS通常(但并非總是)與入侵檢測系統(IntrusionDetection System，IDS) 一起部署。
（6）注入漏洞
- 在SQL注入攻擊中，攻擊者將未經授權的數據庫語句插入（或注入）到易受攻擊的SQL數據通道中，如存儲過程和Web應用程序的輸入空間。
- 使用SQL注入時，攻擊者可以不受限制地訪問整個數據庫。
- 通過將SQL命令作為函數或存儲過程的參數，SQL注入也用于攻擊數據庫管理系統（DBMS）。
（7）默認密碼
- 在軟件包安裝期間創建默認賬戶是軟件業長期以來的一種慣例。
- 默認密碼是許多演示包的一部分。安裝第三方軟件會產生其他賬戶默認密碼。
- 清除默認密碼是每次實施過程中的重要安全步驟。
（8）備份數據濫用
- 備份是為了降低數據丟失而產生的相關風險，但備份也代表一種安全風險。

14.黑客行為/黑客

??“黑客行為”一詞產生于以尋找執行某些計算機任務的聰明方法為目標的時代。黑客是在復雜的計算機系統中發現未知操作和路徑的人。黑客有好有壞。道德黑客有助于系統性地修補（更新）計算機系統，以提高其安全性。惡意黑客是故意破壞或“黑入”計算機系統以竊取機密信息或造成損害的人。惡意黑客通常尋找財務或個人信息，以竊取金錢或身份信息。

15.網絡釣魚/社工威脅

??安全的社工威脅通常涉及直接通信（無論是當面、通過電話，還是通過互聯網），旨在誘使有權訪問受保護數據的人提供該信息（或信息訪問途徑）給擬用于犯罪或惡意目的人。社會工程（Social Engineering）是指惡意黑客試圖誘騙人們提供信息或訪問信息的方法。網絡釣魚（Phishing）是指通過電話、即時消息或電子郵件誘使接受方在不知情的情況下提供有價值的信息或個人隱私。

16.惡意軟件

??惡意軟件是指為損壞、更改或不當訪問計算機或網絡而創建的軟件。計算機病毒、蠕蟲、間諜軟件、密鑰記錄器和廣告軟件都是惡意軟件的例子。惡意軟件可以有多種形式，具體取決于其用途（復制、銷毀、記錄或進行盜竊，或行為監控）。

廣告軟件（Adware）是一種從互聯網下載至計算機的間諜軟件。用于監控計算機的瀏覽記錄以及個人信息。
間諜軟件（Spyware）是指未經同意而潛入計算機以跟蹤在線活動的任何軟件程序。一般搭載在其他軟件上。
特洛伊木馬是指通過偽裝或嵌入合法軟件而進入計算機系統的惡意程序。
病毒（Virus）是一種計算機程序，它將自身附加到可執行文件或易受攻擊的應用程序上，能造成從讓人討厭到極具破壞性的后果。
計算機蠕蟲（Worm）是一種自己可以在網絡中進行復制和傳播的程序。主要功能是消耗大量帶寬來危害網絡，從而導致網絡中斷。
惡意軟件來源:即時消息、社交網、垃圾郵件。

2.活動

??數據安全活動包括確定需求、評估當前環境的差距或風險、實施安全工具與流程以及審核數據安全措施，以確保其有效。監管關注的是安全的結果，而非實現安全的手段。

2.1 識別數據安全需求

1. 業務需求
- 組織的業務需求、使命、戰略和規模以及所屬行業，決定了所需數據安全的嚴格程度。
- 通過分析業務規則和流程，確定安全接觸點。
1. 監管需求
- 創建一份包含所有相關數據法規以及受每項法規影響的數據主題域，在為法規遵從而制定的相關安全策略和實施的控制措施之間建立鏈接關系。
- 影響數據安全的法律法規: 聯邦信息安全管理法(美國)、數據保護指令(歐盟)、支付卡行業數據安全標準(加拿大)。

2.2 制定數據安全制度

??制度是所選行動過程的陳述以及為達成目標所期望行為的頂層描述。數據安全策略描述了所決定的行為，這些行為符合保護其數據的組織的最佳利益。制定安全制度需要IT安全管理員、安全架構師、數據治理委員會、數據管理專員、內部和外部審計團隊以及法律部門之間的協作。管理與企業安全相關的行為需要不同級別的制度，例如：企業安全制度、IT安全制度、數據安全制度。數據治理委員會是數據安全制度的審查和批準方。數據管理專員是制度的主管方和維護方。 制度需要在不妨礙用戶訪問的前提下保護數據，以確保數據安全。

2.3 定義數據安全細則

??制度提供行為準則，但并不能列出所有可能的意外情況。細則是對制度的補充，并提供有關如何滿足制度意圖的其他詳細信息。

1. 定義數據保密等級 – 保密等級分類是重要的元數據特征，用于指導用戶如何獲得訪問權限。eg:絕密。
1. 定義數據監管類別 – 安全分級和監管分類的一項關鍵原則是，大多數信息可以聚合，從而使其具有更高或更低的敏感性。
1. 定義安全角色 – 數據訪問控制可根據需要在單個用戶級或組織級中進行管理(按小組授權)。構（從用戶開始）。
- 角色分配矩陣 – 基于數據機密性、法規和用戶功能，矩陣可用于映射數據的訪問角色。
- 角色分配層次結構 – 在工作組或業務單元級別構建組定義。在層次結構中組織這些角色，以便子角色進一步限制父角色的權限。

2.4 評估當前安全風險

??安全風險包括可能危及網絡和/或數據庫的因素。識別風險的第一步是確定敏感數據的存儲位置，以及這些數據需要哪些保護措施。對每個系統進行以下評估：

1）存儲或傳送的數據敏感性。
2）保護數據的要求。
3）現有的安全保護措施。

2.5 實施控制和規程

??數據安全策略的實施和管理主要由安全管理員負責，與數據管理專員和技術團隊協作。例如，數據庫安全性通常是DBA的職責。組織必須實施適當的控制以滿足安全策略要求。控制和規程（至少）應涵蓋：

1）用戶如何獲取和終止對系統和/或應用程序的訪問權限。
2）如何為用戶分配角色并從角色中去除。
3）如何監控權限級別。
4）如何處理和監控訪問變更請求。
5）如何根據機密性和適用法規對數據進行分類。
6）檢測到數據泄露后如何處理。

對允許原始用戶授權的要求要進行記錄，以便在條件不再適用時取消授權。一個組織要滿足此控制過程可能實施和維護如下流程:

（1）分配密級 – 數據管理專員負責評估和確定適當的數據密級。
（2）分配監管類別 – 創建或采用能確保滿足法規遵從要求的分類方案。
（3）管理和維護數據安全 – 確保不會發生安全漏洞。如果發生漏洞，則盡快檢測出來。
- 1）控制數據可用性/以數據為中心的安全性。定義授權和授予授權需要數據清單、對數據需求仔細分析以及每個用戶權利中公開的數據文檔。即使數據無意暴露，利用數據脫敏也可以保護數據。解密密鑰授權可以是用戶授權過程的一部分。關系數據庫視圖可用于強制執行數據安全級別。
- 2）監控用戶身份驗證和訪問行為。報告訪問是合規性審計的基本要求。監視身份驗證和訪問行為提供了有關誰正在連接和訪問信息資產的信息。監控還有助于發現值得調查的異常、意外或可疑的交易。
  - 缺乏自動化監控意味著嚴重的風險：
    - 1）監管風險。
    - 2）檢測和恢復風險。審計機制代表最后一道防線。
    - 3）管理和審計職責風險。審計職責應獨立于 DBA 和數據庫服務器平臺支持人員。
    - 4）依賴于不適當的本地審計工具的風險。當該機審計日志顯示欺詐性數據庫事務時，缺乏指向對此負責的用戶鏈接。**基于網絡審計設備具有優點：**高性能。職責分離。精細事務跟蹤。
（4）管理安全制度遵從性 – 確保遵循制度并有效維護控制的日常活動。
- 1. 管理法規遵從性包括：
  - ①衡量授權細則和程序的合規性。
  - ②確保所有數據需求都是可衡量。
  - ③使用標準工具和流程保護存儲和運行中的受監管數據。
  - ④發現潛在不合規問題以及存在違反法規遵從性的情況時，使用上報程序和通知機制。
- 1. 審計數據安全和合規活動
  - 數據安全制度的表述、標準文檔、實施指南、變更請求、訪問監控日志、報告輸出和其他記錄（電子或硬拷貝）構成了審計的輸入來源。
  - 審計測試和檢查內容舉例：
    - ①評估制度和細則，確保明確定義合規控制并滿足法規要求。
    - ②分析實施程序和用戶授權實踐，確保符合監管目標、制度、細則和預期結果。
    - ③評估授權標準和規程是否充分且符合技術要求。
    - ④當發現存在違規或潛在違規時，評估所要執行的上報程序和通知機制。
    - ⑤審查外包和外部供應商合同、數據共享協議以及合規義務，確保業務合作伙伴履行義務及組織履行其保護受監管數據的法律義務。
    - ⑥評估組織內安全實踐成熟度，并向高級管理層和其他利益相關方報告“監管合規狀態”。
    - ⑦推薦的合規制度變革和運營合規改進。

3.工具

??信息安全管理使用的工具，在很大程度上取決于組織規模、網絡架構以及安全組織采用的策略和標準。

3.1 殺毒軟件/安全軟件

??殺毒軟件可保護計算機免受網上病毒的侵擾。

3.2 HTTPS

??如果Web地址以https://開頭，則表示網站配備了加密的安全層。用戶通常必須提供密碼或其他身份驗證手段才能訪問該站點。在線支付或訪問機密信息都采用此加密保護。

3.3 身份管理技術

??身份管理技術（Identity Management Technology）是存儲分配的憑據，并根據請求（如當用戶登錄到系統時）與系統共享。

3.4 入侵偵測和入侵防御軟件

??當黑客入侵防火墻或其他安全措施時，設有能夠檢測入侵并動態地拒絕訪問的工具很有必要。在不當事件發生時，入侵檢測系統(IDS)將通知相關人員。IDS最好與入侵防御系統(IPS)進行連接，IPS系統可對已知攻擊和不合邏輯的用戶命令組合自動響應。檢測通常是通過分析組織內的模式來進行。對預期模式的了解可檢測出異常事件，當異常事件發生時系統會發送警報。

3.5 防火墻(防御)

??安全且復雜的防火墻應部署在企業網關上，它具有在允許高速數據傳送的同時還能夠執行詳細的數據報分析的能力。對于暴露于Internet的Web服務器，建議使用更復雜的防火墻結構，因為許多惡意黑客攻擊可以通過有意扭曲的合法流量，對數據庫和Web服務器漏洞加以利用。

3.6 元數據跟蹤

??跟蹤元數據的工具有助于組織對敏感數據的移動進行跟蹤, 同時存在風險:外部代理可從與文檔關聯的元數據中檢測出內部信息。元數據標記敏感信息是確保數據得到防護的最佳方式。

3.7 數據脫敏/加密

??進行脫敏或加密的工具對于限制敏感數據的移動很有用。

4.方法

??管理信息安全取決于組織規模、網絡架構、要保護的數據類型以及組織采納的安全策略和標準。

4.1 應用CRUD矩陣

??創建和使用數據-流程矩陣和數據-角色關系（CRUD—創建、讀取、更新、刪除）矩陣有助于映射數據訪問需求，并指導數據安全角色組、參數和權限的定義。

4.2 即時安全補丁部署

??及時更新計算機上安裝的安全補丁, 防止惡意黑客攻擊計算機獲取超級訪問權限。

4.3 元數據中的數據安全屬性

??元數據存儲庫對于確保企業數據模型在跨業務流程使用中的完整性和一致性至關重要。元數據應包括數據的安全性和監管分類。安全元數據的到位可保護組織避免員工對敏感數據缺乏認知而造成的影響。當數據管理專員確定適用密級和監管類別時，類別信息應記錄在元數據存儲庫中。這些分類可用于定義和管理用戶權限和授權，并告知開發團隊與敏感數據相關的風險。

4.4 項目需求中的安全要求

??每個涉及數據的項目都必須解決系統和數據安全問題，在分析階段詳細確定數據和應用程序安全要求, 有助于指導設計, 將合規性構建到系統的基本架構中, 還可用于選擇適當的供應商/采購軟件包。

4.5 加密數據的高效搜索

??減少需要解密數據量的方法之一是采用相同的加密方法來加密搜索條件（如字符串），然后用密文去查找匹配項。

4.6 文件清理

??文件清理是在文件共享之前從中清理元數據（如歷史變更記錄跟蹤）的過程。文件清理降低了注釋中的機密信息可能被共享的風險。

5.實施安全

??實施數據安全項目取決于企業文化、風險性質、公司管理數據的敏感性以及系統類型。實施系統組件應在戰略性的安全規劃和支持架構的指導下開展。

5.1 就緒評估/風險評估

??完美的數據安全幾乎不可能，但避免數據安全漏洞的最佳方法是建立安全需求、制度和操作規程的意識。組織可通過以下方式提高合規性：

1）培訓。安全措培訓和測試應是強制性的，同時是員工績效評估的前提條件。
2）制度的一致性。為工作組和各部門制定數據安全制度和法規遵從制度，以健全企業制度為目標。
3）衡量安全性的收益。組織應在平衡記分卡度量和項目評估中包括數據安全活動的客觀指標。
4）為供應商設置安全要求。在服務水平協議（SLA）和外包合同義務中包括數據安全要求。SLA協議必須包括所有數據保護操作。
5）增強緊迫感。強調法律、合同和監管要求，以增強數據安全管理的緊迫感。
6）持續溝通。

5.2 組織與文化變革

??為了促進其合規，制定數據安全措施必須站在那些將使用數據和系統的人的角度考慮。精心規劃和全面的技術安全措施應使利益相關方更容易獲得安全訪問。

5.3 用戶數據授權的可見性

??在系統實施期間審查每個用戶的數據授權（即單點授權提供的所有數據的總和），以確定是否包含任何受控信息。監管敏感性分級應是數據定義過程的標準部分。

5.4 外包世界中的數據安全

??任何形式的外包都增加了組織風險，包括失去對技術環境、對組織數據使用方的控制。數據安全措施和流程必須將外包供應商的風險既視為外部風險，又視為內部風險。包括數據安全架構在內的IT架構和所有權應該是一項內部職責。換句話說，內部組織擁有并管理企業和安全架構。外包合作伙伴可能負責實現體系架構。

??轉移控制，并非轉移責任，而是需要更嚴格的風險管理和控制機制。其中一些機制包括：

1）服務水平協議（SLA）。
2）外包合同中的有限責任條款。
3）合同中的審計權條款。
4）明確界定違反合同義務的后果。
5）來自服務提供商的定期數據安全報告。
6）對供應商系統活動進行獨立監控。
7）定期且徹底的數據安全審核。
8）與服務提供商的持續溝通。
9）如果供應商位于另一國家/地區并發生爭議時，應了解合同法中的法律差異。

5.5 云環境中的數據安全

??在云計算中，共擔責任、定義數據監管鏈以及定義所有權和托管權尤為重要。基礎設施方面的考慮對數據安全管理和數據制度有著直接的影響。例如，當云計算提供商通過網絡交付軟件時，誰負責防火墻？誰負責服務器上的訪問權限？

6.數據安全治理

6.1 數據安全和企業架構

??企業架構定義了企業的信息資產和企業組件、它們之間的相互關系以及關于轉換、原則和指南的業務規則。數據安全架構描述了在企業內如何實現數據安全以滿足業務規則和外部法規。安全架構涉及：

1）用于管理數據安全的工具。
2）數據加密標準和機制。
3）外部供應商和承包商的數據訪問指南。
4）通過互聯網的數據傳送協議。
5）文檔要求。
6）遠程訪問標準。
7）安全漏洞事件報告規程。

??安全架構對于以下數據的集成尤為重要：

1）內部系統和業務部門。
2）組織及其外部業務合作伙伴。
3）組織和監管機構

6.2 度量指標

??指標還有助于流程改進，一些指標衡量流程的進度：開展的審計量、安裝的安全系統、報告的事件數以及系統中未經檢查的數據量。

1.安全實施指標

常見的安全指標可以設定為正值百分比：

1）安裝了最新安全補丁程序的企業計算機百分比。
2）安裝并運行最新反惡意軟件的計算機百分比。
3）成功通過背景調查的新員工百分比。
4）在年度安全實踐測驗中得分超過80%的員工百分比。
5）已完成正式風險評估分析的業務單位的百分比。
6）在發生如火災、地震、風暴、洪水、爆炸或其他災難時，成功通過災難恢復測試的業務流程百分比。
7）已成功解決審計發現的問題百分比。

可以根據列表或統計數據的指標跟蹤趨勢：

1）所有安全系統的性能指標。
2）背景調查和結果。
3）應急響應計劃和業務連續性計劃狀態。
4）犯罪事件和調查。
5）合規的盡職調查以及需要解決的調查結果數量。
6）執行的信息風險管理分析以及導致可操作變更的分析數量。
7）制度審計的影響和結果，如清潔辦公桌制度檢查，由夜班安保人員在換班時執行。
8）安全操作、物理安全和場所保護統計信息。
9）記錄在案的、可訪問的安全標準（制度）。
10）相關方遵守安全制度的動機。
11）業務行為和聲譽風險分析，包括員工培訓。
12）基于特定類型數據（如財務、醫療、商業機密和內部信息）的業務保健因素和內部風險。
13）管理者和員工的信心和影響指標，作為數據信息安全工作和制度如何被感知的指示。

2.安全意識指標

1）風險評估結果。評估結果提供了定性數據，需要反饋給相關業務單位，以增強其責任意識。
2）風險事件和配置文件。通過這些事件和文件確定需要糾正的未管理風險敞口。在安全意識倡議實施后，通過后續的測試來確定風險敞口以及制度遵從方面的缺失或可衡量改進的程度，以了解這些信息的傳達情況。
3）正式的反饋調查和訪談。通過這些調查和訪談確定安全意識水平。此外，還要衡量在目標人群中成功完成安全意識培訓的員工數量。
4）事故復盤、經驗教訓和受害者訪談。為安全意識方面的缺口提供了豐富的信息來源。具體指標可包括已減小了多少漏洞。
5）補丁有效性審計。涉及使用機密和受控信息的計算機，以評估安全補丁的有效性（盡可能推薦自動補丁系統）。

3.數據保護指標

1）特定數據類型和信息系統的關鍵性排名。如果無法操作，那么將對企業產生深遠影響。
2）與數據丟失、危害或損壞相關的事故、黑客攻擊、盜竊或災難的年損失預期。
3）特定數據丟失的風險與某些類別的受監管信息以及補救優先級排序相關。
4）數據與特定業務流程的風險映射，與銷售點設備相關的風險將包含在金融支付系統的風險預測中。
5）對某些具有價值的數據資源及其傳播媒介遭受攻擊的可能性進行威脅評估。
6）對可能意外或有意泄露敏感信息的業務流程中的特定部分進行漏洞評估。

4.安全事件指標

安全事件指標包括：

1）檢測到并阻止了入侵嘗試數量。
2）通過防止入侵節省的安全成本投資回報。

5.機密數據擴散

??應衡量機密數據的副本數量，以減少擴散。機密數據存儲的位置越多，泄露的風險就越大。

7.總結

數據安全包括安全策略和過程的規劃、建立和執行，為數據和信息資產提供正確的身份驗證、授權、訪問和審計。
數據安全需求來自：（1）利益相關方。（2）政府法規。（3）特定業務關注點(專有數據的保護)。（4）合法訪問需求。（5）合同義務。
業務驅動因素： 降低風險和促進業務增長是數據安全活動的主要驅動因素。安全本身就是寶貴的資產。
數據安全的目標: 1 支持適應訪問并防止對企業數據資產的不適當訪問。2 持對隱私、保護和保密制度、法規的遵從。3 確保滿足利益相關方對隱私和保密的要求。
數據安全的原則: 1）協同合作。2）企業統籌。3）主動管理。4）明確責任。5）元數據驅動。6）減少接觸以降低風險。
脆弱性： 系統中容易遭受攻擊的弱點或缺陷，漏洞敞口。
威脅： 可能對組織采取的潛在進攻行動。可以是內部或外部。不一定總是惡意。
風險： 損失的可能性，構成潛在損失的事物或條件。
風險分類： 1）關鍵風險數據 CRD。2）高風險數據 HRD。3）中等風險數據 MRD。
數據安全組織。 建立企業數據模型對于這個目標的實現至關重要。
數據安全需求和過程分為：1.4A1E。2.監控。
4A1E：訪問(Access)、審計(Audit)、驗證(Authentication)、授權(Authorization)、權限(Entitlement)。
監控：系統應包括檢測意外事件的監視控制。
加密方法：哈希、對稱加密、非對稱加密。
混淆或脫敏：通過兩種來降低數據的可用性。混淆： 變得模糊或不明確。脫敏： 刪除、打亂或以其它方式更改數據的外觀等。
脫敏方法: 替換(Substitution)、混排(Shuffling)、時空變異(Temporal Variance)、數值變異(Value Variance)、取消或刪除(Nulling or Deleting)、隨機選擇(Randomization)、加密技術(Encryption)、表達式脫敏(Expression Masking)、鍵值脫敏(Key Masking)。
后門： 指計算機系統或應用程序的忽略隱藏入口。
機器人或僵尸: 已被惡意黑客使用特洛伊木馬、病毒、網絡釣魚或下載受感染文件接管的工作站。
Cookie: 網站在計算機硬盤上安放的小型數據文件，用于識別老用戶并分析其偏好。
防火墻: 過濾網絡流量的軟件和/或硬件，用于保護單個計算機或整個網絡免受未經授權的訪問和免遭企圖對系統的攻擊。
周界: 指組織環境與外部系統之間的邊界。
DMZ: 非軍事區（De-militarized Zone）的簡稱，指組織邊緣或外圍區域。
超級用戶賬戶: 超級用戶（Super User）賬戶是具有系統管理員或超超級用戶訪問權限的賬戶，僅在緊急情況下使用。
鍵盤記錄器: 是一種攻擊軟件，對鍵盤上鍵入的所有擊鍵進行記錄，然后發送到互聯網上的其他地方。
滲透測試: 來自組織本身或從外部安全公司聘任的“白帽”黑客試圖從外部侵入系統，正如惡意黑客一樣，試圖識別系統漏洞。
虛擬專用網絡（VPN）: 使用不安全的互聯網創建進入組織環境的安全路徑或“隧道”。
數據安全類型：（1）設施安全。 (2) 設備安全 (3) 憑據安全 (4) 電子通信安全
數據安全制約因素：（1）保密等級。“需要知道“。（2）監管要求。”允許知道“。保密要求來自內部，監管要求來自外部。
機密數據分 5 類：1）對普通受眾公開 2）僅內部使用 3) 機密 4) 受限機密 5) 絕密。
監管限制的數據: 1）法規系列舉例： 個人身份信息 PII。2）行業法規或基于合同的法規：支付卡行業數據安全標準 PCI-DSS。競爭優勢或商業秘密。合同限制。
系統安全風險：識別風險的第一步是確定敏感數據的存儲位置以及這些數據需要哪些保護。(1)濫用特權。數據訪問權限，應采用最小特權原則，防止權限過大。(2) 濫用合法特權。 故意和無意濫用。(3) 未經授權的特權升級 (4) 服務賬戶或共享賬戶濫用。 (5) 平臺入侵攻擊。 (6) 注入漏洞。 (7) 默認密碼。 (8) 備份數據濫用。
黑客行為/黑客。 黑客是在復雜的計算機系統中發現未知操作和路徑的人。
網絡釣魚/社工威脅。社會工程：是指惡意黑客試圖誘騙人們提供信息或訪問信息的方法。網絡釣魚： 指通過電話、即時消息或電子郵件誘使接受方在不知情的情況下提供有價值的信息或個人隱私。
惡意軟件來源：1)即時消息。2)社交網。3)垃圾郵件。
安全監管關注的是安全結果，而非實現安全的手段。
【活動 1】識別數據安全需求 1 業務需求 2 監管要求
【活動 2】制定數據安全制度 組織在制定數據安全制度時應基于自己的業務和法規要求。
不同級別的制度：1）企業安全制度。 2）IT 安全制度。3) 數據安全制度。
【活動 3】定義數據安全細則 1 定義數據保密等級。2 定義數據監管類別。3 定義安全角色。
【活動 4】評估當前安全風險。 安全風險包括可能危及網絡和/或數據庫的因素。
【活動 5】實施控制和規程。 主要由【安全管理員】負責，與【數據管理專員】和【技術團隊】協作。
工具：信息安全管理使用的工具，在很大程度上取決于組織規模、網絡架構以及安全組織采用的策略和標準。
方法：管理信息安全取決于組織規模、網絡架構、要保護的數據類型以及組織采納的安全策略和標準。
就緒評估/風險評估。 完美的數據安全幾乎不可能，但避免數據安全漏洞的最佳方法是建立安全需求、制度和操作規程的意識。
數據安全治理。 保護企業系統及其存儲的數據需要 IT 和業務利益相關方之間的協作。清晰有力的制度和規程是數據安全治理的基礎。
常見的安全實施指標： 1）安裝了最新安全補丁程序的企業計算機百分比。2）安裝并運行最新反惡意軟件的計算機百分比。3）成功通過背景調查的新員工百分比。4）在年度安全實踐測驗中得分超過 80%的員工百分比。5）已完成正式風險評估分析的業務單位的百分比。6）在發生如火災、地震、風暴、洪水、爆炸或其他災難時，成功通過災難恢復測試的業務流程百分比。7）已成功解決審計發現的問題百分比。
安全意識指標： 1）風險評估結果。2）風險事件和配置文件。3）正式的反饋調查和訪談。4）事故復盤、經驗教訓和受害者訪談。5）補丁有效性審計。
數據保護指標：1）特定數據類型和信息系統的關鍵性排名。2）與數據丟失、危害或損壞相關的事故、黑客攻擊、盜竊或災難的年損失預期。 3）特定數據丟失的風險與某些類別的受監管信息以及補救優先級排序相關。4）數據與特定業務流程的風險映射，與銷售點設備相關的風險將包含在金融支付系統的風險預測中。5）對某些具有價值的數據資源及其傳播媒介遭受攻擊的可能性進行威脅評估。6）對可能意外或有意泄露敏感信息的業務流程中的特定部分進行漏洞評估。
安全事件指標：1）檢測并阻止入侵嘗試數量。2）通過防止入侵節省的安全成本投資回報。
機密數據擴散。 應衡量機密數據的副本數量，以減少擴散。機密數據存儲的位置越多，泄露的風險就越大。