哪里有价值,哪里就有攻击,攻击者一定是不断的靠近价值层。从未来看,安全的关注点也在发生变化,从早期的关注系统,到关注业务,到当下及未来更关注人、
关注数据。近年来泄密门事件层出不穷,如何更好的开展数据安全治理工作,参考了相关资料,也引入一个个人的看法。从技术角度、管理角度来看如何进行。
个人看法未必成熟,多沟通。
(一)、技术角度:
数据的安全治理主要包括以下四类技术措施:
1.1 DAP:
国内目前有一种趋势,就是将DAP独立成不同的产品形态,包括数据库扫描器、数据库防火墙、数据库审计产品等。最近刚碰上用户单独采购数据库扫描器等。
gartner发布了一个报告《运用数据库审计与保护的9个关键能力》,里面提及了DAP的9个关键能力。
这里包含了数据(库)安全策略;数据发现和分类;用户和权限的评估;应用账号、特权账号的监控和审计;事件的收集分析报告;漏洞和配置管理;入侵防护;数据的加密、标记和模糊化处理等。
1.2 DLP:
DLP分为网络DLP和终端DLP,这个是业内目前常见的数据安全防护手段。其中基于内容感知或内容识别的网络数据泄露防护产品相对应用的更多。网络数据防泄露产品,安装在企业网络出口处,负责监视网络数据。保护企业客户数据、公司信息、知识产权等关键和敏感数据的安全。
谈到DLP,其实DDM(动态数据脱敏)也需要重点谈下,好多用户对数据脱敏比较感兴趣,需求也逐渐旺盛,这里包括了结构化数据和非结构化数据脱敏的需求。数据脱敏常见有两种场景。1、随着大数据分析的逐渐流行,第三方商业智能和精准营销服务等被广为接受,业务部门的数据交由第三方分析时候需要进行数据脱敏,同时某些数据脱敏后还需要还原成原始业务数据。2、生产数据在非生产环境下使用:由于业务上的需要,很多企业需要在非生产环境中使用生产系统的真实业务数据,比如在测试系统中用真实数据运行各项测试用例、在培训系统中用业务数据进行演示等等,考虑到数据隐私需要进行脱敏处理。
1.3 DRM:
数字版权保护(Digital Right
Management,DRM)是目前对网络中传播的数字作品进行版权保护的主要手段.DRM是采取信息安全技术手段在内的系统解决方案,在保证合法的、
具有权限的用户对数字信息(如数字图像、音频、视频等)正常使用的同时,保护数字信息创作者和拥有者的版权,根据版权信息获得合法收益。
1.4 MDP:
企业应专注于移动数据保护(MDP)、网络准入控制(NAC)和移动设备管理(MDM)工具。其中MDP(移动数据保护)是一类产品,旨在控制数据泄漏,通过如加密、权限管理保护企业信息。
关于MDP(移动数据保护)产品的分析资料,见下图中标红部分。
gartner2014年企业移动技术的 IT 市场周期
gartner2014年企业移动技术成熟度
(二)、从管理角度看,
通过6个步骤来实现数据访问治理。包括:
2.1、发现用户和资源
这里包括确认主体(访问者、使用者)、客体(识别数据、数据的分类分级)。
有文章其实深入谈到这部分,这里不再赘述。
“敏感数据位置不明,令管理者寝食难安”(http://www.sec-un.org/ponemon-data-security-survey-findings.html)
2.2、数据分类和访问权限分配
如何从业务角度规范岗位角色权限,避免权限的滥用?关于访问权限的分配主要包括帐号权限申请、帐号权限审批、帐号权限创建等
有篇文章“敏感数据分类,是首选的数据保护技术”( http://www.sec-un.org/ponemon-data-security-survey-findings-2.html)
2.3、指定数据的所有者和审批
确定数据的所有者和审批权限。
2.4、访问行为的审计和报告
是否具有有效的审计手段和明确的审计策略,可及时发现各种违规行为,同时定期进行访问行为的审计。
2.5、自动访问请求和问题的自动修复
2.6、防止未经授权的改变。对未授权变更行为的告警与控制。
行为至此,觉得还是谈的比较浅,收工,再思考再实践。