前段時間某站數據庫被脫,海量用戶數據在暗站售賣,關於數據安全與數據治理再次被提升到一個高度,也成了衆安全從業者頭疼的問題,無論是運營商、企業、個體對於數據的管理需對用戶,對社會團體負應盡的責任。與業務無關的數據堅決不採集,對於業務相關的數據也需安全存儲。
以下博主就和大家討論下企業關於數據安全與數據整理的相關問題。
先解釋個某安全廠商所提的“統一安全內容中心”的概念:
1、SWG WEB安全網關
針對高級威脅和數據竊取的最有效防護
2、SEG 郵件安全網關
針對混合×××和定向×××的最先進郵件防護
3、DLP 數據防泄漏
採用深層內容分析,對靜態、傳輸中及使用中的數據進行 識別、監控、保護,擁有用戶及目的地感知的特色功能
4、Cloud接入安全雲
對任意地點的 web及 郵件提供最佳防護,並且擁有最低的總體擁有成本和最輕鬆的部署
5、Mobile移動安全
對移動數據特有的有效防 護,針對竊取、遺失, 惡意 app
上述維度建立統一的安全內容數據中心,分維度保護企業內部數據安全與數據處理。
對於企業信息安全,若想得到結構性的保障就需要有一個 系統性信息安全支撐體系。無論這個體系採用什麼樣的參考 框架,都需要考慮四個關鍵的構成要素,即人員People過程 Process 、、技術Technology和數據Data (PPTD),其中:
• 人員是過程執行的資源;
• 過程是組織的系統性能力;
• 技術是過程有效性的支撐;
• 數據是過程執行的驅動。
技術安全措施是滿足企業信息 安全需求的三類安全措施之一, 也是其中最重要、最複雜的,因 此需要通過架構的設計來保證技 術控制之間的協同以及與其它安 全控制的協同。
風險的核心是圍繞着業務支撐或業務產生的資產,並取決於資產
自身的脆弱性和已採取的安全措施,因此安全技術有效性評估策略包括:
• 面向業務/業務資產的有效性評估 • 面向威脅方的有效性評估
• 面向脆弱性的有效性評估
• 綜合加權的有效性評估
數據防泄密: 以集中策略爲基礎,採用深層內容分析, 對靜態數據,傳輸中的數據及使用中的數據 進行識別,監控,保護的相關機制
數據防護所覆蓋的生命週期:
數據防泄密博主認爲需要從以下三個維度治理:組織、制度、技術
所以那些技術蠻力者一心覺得技術可以解決一切問題的蠻力者,這也是博主把技術放到最後的緣故。
組織保障:
• 自上而下梳理並定義管 理層、業務部門、實施 部門、合規監控及審計 部門等的相關職責;
• 從組織上推動數據防泄 漏管控的實施。
制度保障:
建立或完善數據防泄漏總體策略、數據防泄漏管理辦法、數據防泄漏明細策略(面向數據)
及具體的操作流程;從制度體系上支撐數據防泄漏工作。
技術保障:
採用成熟、專業的數據庫防泄漏技術平臺,落實管理層認可的詳細策略,通過平臺實現數據外泄行爲的記錄、告警及阻斷;從技術上實現數據防泄漏目標
只有三者有效的結合才能形成有效的體系,可持續化的爲公司核心重要數據進行保駕護航。
數據防護整體機制: