DAMA学习笔记(六)-数据安全

1.引言

数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。数据安全实践的目标是根据隐私和保密法规、合同协议和业务要求来保护信息资产。这些要求来自以下几个方面:

1）利益相关方: 应识别利益相关方的隐私和保密需求，包括客户、病人、学生、公民、供应商或商业伙伴等。组织中的每个人必须是对利益相关方数据负有责任的受托人。
2）政府法规: 政府法规制定的出发点是保护利益相关方的利益。政府法规目标各有不同，有些规定是限制信息访问的，而另一些则是确保公开、透明和问责的。
3）特定业务关注点: 每个组织的专有数据都需要保护。这些数据运用得当，组织就可以获得竞争优势。若保密数据遭窃取或破坏，则组织就会失去竞争优势。
4）合法访问需求: 组织在保护数据安全的同时，还须启用合法访问。业务流程要求不同角色的人能够访问、使用和维护不同的数据。
5）合同义务: 合同和保密协议对数据安全要求也有影响。

数据安全需求的来源语境关系图如图7-1所示。

在这里插入图片描述

1.1 业务驱动因素

降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。安全本身就是宝贵的资产。

业务增长包括实现并维持运营业务目标。数据安全问题、违规以及对员工访问数据不合理的限制会对成功运营造成直接影响。

如果将降低风险和发展业务的目标整合到一个连贯的信息管理和保护战略中，那么这些目标可以是互补和相互支持的。

1.降低风险

信息安全管理首先对组织数据进行分类分级，以便识别需要保护的数据。整个流程包括以下步骤：

1）识别敏感数据资产并分类分级。eg: 个人身份识别、医疗数据、财务数据等
2）在企业中查找敏感数据。根据存储位置的不同安全要求也不同。
3）确定保护每项资产的方法。
4）识别信息与业务流程如何交互。

除了对数据本身进行分类分级外，还需对外部威胁（如来自黑客和犯罪分子的威胁）和内部风险（由员工和流程产生）进行评估。许多数据的丢失或暴露是由于员工对高度敏感的信息缺乏认识或者绕过安全策略视而不见造成的。

2.业务增长

值得信赖的电子商务推动利润和业务的增长。产品和服务质量与信息安全有着相当直接的关系：强大的信息安全能够推动交易进行并建立客户的信心。

3.安全性作为资产

元数据是管理敏感数据的方法之一。可以在数据元素和集合级别标记信息分类和合规敏感度。利用数据标记技术，可以使元数据跟随信息一起在企业内流动。标准安全的元数据可用于优化数据保护，指导业务开展和技术支持流程，从而降低成本。

1.2 目标和原则

1.2.1目标

数据安全活动目标，包括以下几个方面：

1）支持适当访问并防止对企业数据资产的不当访问。
2）支持对隐私、保护和保密制度、法规的遵从。
3）确保满足利益相关方对隐私和保密的要求。

1.2.2 原则

组织数据安全遵循以下指导原则：

1）协同合作。数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
2）企业统筹。运用数据安全标准和策略时，必须保证组织的一致性。
3）主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
4）明确责任。必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。
5）元数据驱动。数据安全分类分级是数据定义的重要组成部分。
6）减少接触以降低风险。最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。

1.3 基本概念

1.脆弱性

脆弱性（Vulnerability）是系统中容易遭受攻击的弱点或缺陷，本质上是组织防御中的漏洞。某些脆弱性称为漏洞敞口。eg: 不受可靠密码保护的网页、来自未知发件人的电子邮件附件的用户，不受技术命令保护的公司软件等。

2.威胁

威胁（Threat）是一种可能对组织采取的潜在进攻行动。威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务（拒绝服务攻击）的进程，以及对已知漏洞的利用等。威胁可以是内部的，也可以是外部的。威胁可能与特定的漏洞有关，因此可以优先考虑对这些漏洞进行补救。

3.风险

风险（Risk）既指损失的可能性，也指构成潜在损失的事物或条件。风险可按潜在损害程度或发生的可能性来确定优先级，而容易被利用的漏洞会具有发生风险的更大可能性。通常，优先级列表结合两方面的指标。风险的优先排序必须由各利益相关方通过正式的流程来确定。对于每个可能的威胁，可从以下几个方面计算风险：

1）威胁发生的概率及其可能的频率。
2）每次威胁事件可能造成的损害类型和规模，包括声誉损害。
3）损害对收入或业务运营的影响。
4）发生损害后的修复成本。
5）预防威胁的成本，包括漏洞修复手段。
6）攻击者可能的目标或意图。

4.风险分类

风险分类描述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁（即角色中的人员）可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类。风险分类包括以下几个方面：

1）关键风险数据（Critical Risk Data，CRD）。滥用关键风险数据不仅伤害个人, 还会导致公司受到重大处罚。
2）高风险数据（High Risk Data，HRD）。滥用高风险数据会导致公司造成财务损失, 更严重会导致法律以及监管处罚。
3）中等风险数据（Moderate Risk Data，MRD）。滥用中等风险数据, 可能会对公司产生负面影响。

5.数据安全组织

数据安全组织取决于不同的企业规模。在信息技术（IT）领域内通常有完整的信息安全职能。大型企业通常设有向CIO或CEO报告的首席信息安全官（CISO）。在缺失专职信息安全人员的组织中，数据安全的责任将落在数据管理者身上。在任何情形下，数据管理者都需要参与数据安全工作。在大型企业中，信息安全人员可以让业务经理指导具体数据治理和用户授权的职能。例如，授予用户权限和数据法规遵从。数据管理者需要与信息技术开发人员和网络安全专业人员积极合作，以便识别法规要求的数据，恰当地保护敏感系统，并设计用户访问控制以强制实施保密性、完整性和数据合规性。

6.安全过程

数据安全需求和过程分为4个方面，即4A：访问（Access）、审计（Audit）、验证（Authentication）和授权（Authorization）。为了有效遵守数据法规，还增加了一个E，即权限（Entitlement）。

(1) 访问（Access）。授权的个人能够及时访问系统。
(2) 审计（Audit）。审查安全操作和用户活动，以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档，以验证是否符合安全法规、策略和标准。
(3) 验证（Authentication）。验证用户的访问权限。验证方式:密码、令牌、指纹等方式。
(4) 授权（Authorization）。授予个人访问与其角色相适应的特定数据视图的权限。
(5) 权限（Entitlement）。权限是由单个访问授权决策向用户公开的所有数据元素的总和。
(6) 监控系统应包括检测意外事件（包括潜在的安全违规）的监视控制。包含机密信息（如工资或财务数据）的系统通常实施主动、实时的监控，以提醒安全管理员注意可疑活动或不当访问。被动监控是通过系统定期捕获系统快照，并将趋势与基准或其他标准进行比较，跟踪随时发生的变化。主动监控是一种检测机制，被动监控是一种评价机制。

7.数据完整性

在安全性方面，数据完整性（Data Integrity）是一个整体状态要求，以免于遭受不当增/删改所造成的影响。

8.加密

加密（Encryption）是将纯文本转换为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密方法主要有3种类型，即哈希(任意长度数据–> 固定长度表示, 哈希算法:MD5和SHA)、对称加密(密钥(发送和接收相同), 加密算法:数据加密标准(DES)、三重DES(3DES)、高级加密标准(AES)和国际数据加密算法(IDEA)、非对称加密(发送和接收不同, 非对称加密算法包括RSA加密算法和Diffie-Hellman密钥交换协议等)，其复杂程度和密钥结构各不相同。

9.混淆或脱敏

通过混淆处理（变得模糊或不明确）或脱敏（删除、打乱或以其他方式更改数据的外观等）的方式来降低数据可用性，同时避免丢失数据的含义或数据与其他数据集的关系。数据混淆或脱敏是解决数据使用过程中的一种安全手段。数据脱敏分为两种类型：静态脱敏和动态脱敏。

(1) 静态数据脱敏(Persistent Data Masking):永久且不可逆转地更改数据。应用于生产环境与开发(测试)环境之间。
- 1）不落地脱敏（In-flight Persistent Masking）。当在数据源（通常是生产环境）和目标（通常是非生产）环境之间移动需要脱敏或混淆处理时，会采用不落地脱敏。
- 2）落地脱敏（In-place Persistent Masking）。当数据源和目标相同时，可使用落地脱敏。从数据源中读取未脱敏数据，进行脱敏操作后直接覆盖原始数据。
(2) 动态数据脱敏(Dynamic Data Masking) 在不更改基础数据的情况下，在最终用户或系统中改变数据的外观。
(3) 脱敏方法: 替换(Substitution)、混排(Shuffling)、时空变异(Temporal Variance)、数值变异(Value Variance)、取消或删除(Nulling or Deleting)、随机选择(Randomization)、加密技术(Encryption)、表达式脱敏(Expression Masking)、键值脱敏(Key Masking)。

10.网络安全术语

后门（Backdoor）: 计算机系统或应用程序的忽略隐藏入口, 它允许未经授权用户绕过密码等限制获取访问权限。一般是开发人员维护系统而创建。
机器人（Robot）或僵尸（Zombie）是已被恶意黑客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站。
Cookie是网站在计算机硬盘上安放的小型数据文件，用于识别老用户并分析其偏好。
防火墙（Firewall）是过滤网络流量的软件和/或硬件，用于保护单个计算机或整个网络免受未经授权的访问和免遭企图对系统的攻击。
周界（Perimeter）是指组织环境与外部系统之间的边界, 通常将防火墙部署在所有内部和外部环境之间。
DMZ是非军事区（De-militarized Zone）的简称，指组织边缘或外围区域, 在DMZ和组织之间设有防火墙, 用于传递或临时存储在组织之间移动的数据。

在这里插入图片描述

超级用户（Super User）账户是具有系统管理员或超级用户访问权限的账户，仅在紧急情况下使用。
键盘记录器（Key Logger）是一种攻击软件，对键盘上键入的所有击键进行记录，然后发送到互联网上的其他地方。
渗透测试在应用程序正式发布之前发现的漏洞予以解决。查找漏洞是一个持续的过程，不应受任何指责，唯一要做的是安装安全补丁。
虚拟专用网络（VPN）使用不安全的互联网创建进入组织环境的安全路径或“隧道”。

11.数据安全类型

设施安全（Facility Security）是抵御恶意行为人员的第一道防线。设施上至少应具有一个锁定能力的数据中心，其访问权限仅限于授权员工。
设备安全（Device Security）的标准包括：
- 1）使用移动设备连接的访问策略。
- 2）在便携式设备(如笔记本、DVD、CD或USB驱动器)上存储数据。
- 3）符合记录管理策略的设备数据擦除和处置。
- 4）反恶意软件和加密软件安装。
- 5）安全漏洞的意识。
凭据安全是为每个用户分配访问系统时使用的。大多数凭据是用户ID和密码的组合。基于系统数据敏感性以及系统链接到凭据存储库的能力，在同一环境的系统之间使用凭据有多种不同方式。
电子通信安全 不安全的通信方式可被外部读取或拦截。

12.数据安全制约因素

数据安全制约因素包括数据的保密等级和监管要求。

1）保密等级。保密意味着机密或私密。保密等级取决于谁需要知道某些类型的信息。
2）监管要求。根据外部规则（如法律、条约、海关协定和行业法规）分配监管类别。监管信息在“允许知道”的基础上共享。
保密和监管的主要区别是要求来源不同。保密要求源自内部，而监管要求则由外部定义。
任何数据集（如文档或数据库视图）只能有一个密级, 监管分类是附加(可以有多个监管类别)的。
机密等级:公开、内部使用、机密、受限机密、绝密; 监管分类: 法规(个人信息、财务数据、医疗数据、教育记录)和行业或基于合同限制(支付卡行业数据、竞争优势或商业秘密以及合同限制)。

13.系统安全风险

识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护, 需要确定系统的固有风险。系统安全风险包括可能危及网络或数据库的风险要素。

（1）滥用特权
- 在授予数据访问权限时，仅允许用户、进程或程序访问其合法目的所允许的信息。
- 解决权限过大的方案是查询级访问控制，这种控制机制可将数据库权限限制为最低要求的SQL操作和数据范围。
（2）滥用合法特权
- 出于未经授权的目的，用户可能滥用合法赋予他的数据库权限。
- 公司Web应用程序的结构通常限制用户查看单个患者的医疗历史记录，无法同时查看多条记录，并且不允许电子拷贝。

两种风险都需要考虑：故意和无意滥用。当医护人员故意不当地使用组织数据时，就会发生故意滥用。恶意的医护人员想要用患者病历来换取金钱或进行蓄意伤害，如公开发布（或威胁发布）敏感信息。

（3）未经授权的特权升级
- 存储过程、内置函数、协议实现甚至SQL语句中都可能存在漏洞。
- 攻击者可能会利用数据库平台软件漏洞将访问权限从普通用户权限变为管理员权限。
- 将传统入侵防护系统（IPS）和查询级访问控制入侵防护相结合，以防止特权升级漏洞。
（4）服务账户或共享账户滥用
- 使用服务账户（批处理ID）和共享账户（通用ID）会增加数据泄露风险，并使跟踪漏洞来源的能力更加复杂。
- 服务账户的便利性在于可自定义对进程的增强访问。将服务账户的使用限制为特定系统上的特定命令或任务，需要文档和批准才能分发凭据。
- 当所需用户账户数多到应用程序无法处理时，或添加特定用户需要大量工作或产生额外许可成本时，可创建共享账户。
（5）平台入侵攻击
- 数据库资产的软件更新和入侵防护需要结合定期软件升级（补丁）和部署专用入侵防御系统(Intrusion Prevention Systems，IPS)。IPS通常(但并非总是)与入侵检测系统(IntrusionDetection System，IDS) 一起部署。
（6）注入漏洞
- 在SQL注入攻击中，攻击者将未经授权的数据库语句插入（或注入）到易受攻击的SQL数据通道中，如存储过程和Web应用程序的输入空间。
- 使用SQL注入时，攻击者可以不受限制地访问整个数据库。
- 通过将SQL命令作为函数或存储过程的参数，SQL注入也用于攻击数据库管理系统（DBMS）。
（7）默认密码
- 在软件包安装期间创建默认账户是软件业长期以来的一种惯例。
- 默认密码是许多演示包的一部分。安装第三方软件会产生其他账户默认密码。
- 清除默认密码是每次实施过程中的重要安全步骤。
（8）备份数据滥用
- 备份是为了降低数据丢失而产生的相关风险，但备份也代表一种安全风险。

14.黑客行为/黑客

“黑客行为”一词产生于以寻找执行某些计算机任务的聪明方法为目标的时代。黑客是在复杂的计算机系统中发现未知操作和路径的人。黑客有好有坏。道德黑客有助于系统性地修补（更新）计算机系统，以提高其安全性。恶意黑客是故意破坏或“黑入”计算机系统以窃取机密信息或造成损害的人。恶意黑客通常寻找财务或个人信息，以窃取金钱或身份信息。

15.网络钓鱼/社工威胁

安全的社工威胁通常涉及直接通信（无论是当面、通过电话，还是通过互联网），旨在诱使有权访问受保护数据的人提供该信息（或信息访问途径）给拟用于犯罪或恶意目的人。社会工程（Social Engineering）是指恶意黑客试图诱骗人们提供信息或访问信息的方法。网络钓鱼（Phishing）是指通过电话、即时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。

16.恶意软件

恶意软件是指为损坏、更改或不当访问计算机或网络而创建的软件。计算机病毒、蠕虫、间谍软件、密钥记录器和广告软件都是恶意软件的例子。恶意软件可以有多种形式，具体取决于其用途（复制、销毁、记录或进行盗窃，或行为监控）。

广告软件（Adware）是一种从互联网下载至计算机的间谍软件。用于监控计算机的浏览记录以及个人信息。
间谍软件（Spyware）是指未经同意而潜入计算机以跟踪在线活动的任何软件程序。一般搭载在其他软件上。
特洛伊木马是指通过伪装或嵌入合法软件而进入计算机系统的恶意程序。
病毒（Virus）是一种计算机程序，它将自身附加到可执行文件或易受攻击的应用程序上，能造成从让人讨厌到极具破坏性的后果。
计算机蠕虫（Worm）是一种自己可以在网络中进行复制和传播的程序。主要功能是消耗大量带宽来危害网络，从而导致网络中断。
恶意软件来源:即时消息、社交网、垃圾邮件。

2.活动

数据安全活动包括确定需求、评估当前环境的差距或风险、实施安全工具与流程以及审核数据安全措施，以确保其有效。监管关注的是安全的结果，而非实现安全的手段。

2.1 识别数据安全需求

1. 业务需求
- 组织的业务需求、使命、战略和规模以及所属行业，决定了所需数据安全的严格程度。
- 通过分析业务规则和流程，确定安全接触点。
1. 监管需求
- 创建一份包含所有相关数据法规以及受每项法规影响的数据主题域，在为法规遵从而制定的相关安全策略和实施的控制措施之间建立链接关系。
- 影响数据安全的法律法规: 联邦信息安全管理法(美国)、数据保护指令(欧盟)、支付卡行业数据安全标准(加拿大)。

2.2 制定数据安全制度

制度是所选行动过程的陈述以及为达成目标所期望行为的顶层描述。数据安全策略描述了所决定的行为，这些行为符合保护其数据的组织的最佳利益。制定安全制度需要IT安全管理员、安全架构师、数据治理委员会、数据管理专员、内部和外部审计团队以及法律部门之间的协作。管理与企业安全相关的行为需要不同级别的制度，例如：企业安全制度、IT安全制度、数据安全制度。数据治理委员会是数据安全制度的审查和批准方。数据管理专员是制度的主管方和维护方。 制度需要在不妨碍用户访问的前提下保护数据，以确保数据安全。

2.3 定义数据安全细则

制度提供行为准则，但并不能列出所有可能的意外情况。细则是对制度的补充，并提供有关如何满足制度意图的其他详细信息。

1. 定义数据保密等级 – 保密等级分类是重要的元数据特征，用于指导用户如何获得访问权限。eg:绝密。
1. 定义数据监管类别 – 安全分级和监管分类的一项关键原则是，大多数信息可以聚合，从而使其具有更高或更低的敏感性。
1. 定义安全角色 – 数据访问控制可根据需要在单个用户级或组织级中进行管理(按小组授权)。构（从用户开始）。
- 角色分配矩阵 – 基于数据机密性、法规和用户功能，矩阵可用于映射数据的访问角色。
- 角色分配层次结构 – 在工作组或业务单元级别构建组定义。在层次结构中组织这些角色，以便子角色进一步限制父角色的权限。

2.4 评估当前安全风险

安全风险包括可能危及网络和/或数据库的因素。识别风险的第一步是确定敏感数据的存储位置，以及这些数据需要哪些保护措施。对每个系统进行以下评估：

1）存储或传送的数据敏感性。
2）保护数据的要求。
3）现有的安全保护措施。

2.5 实施控制和规程

数据安全策略的实施和管理主要由安全管理员负责，与数据管理专员和技术团队协作。例如，数据库安全性通常是DBA的职责。组织必须实施适当的控制以满足安全策略要求。控制和规程（至少）应涵盖：

1）用户如何获取和终止对系统和/或应用程序的访问权限。
2）如何为用户分配角色并从角色中去除。
3）如何监控权限级别。
4）如何处理和监控访问变更请求。
5）如何根据机密性和适用法规对数据进行分类。
6）检测到数据泄露后如何处理。

对允许原始用户授权的要求要进行记录，以便在条件不再适用时取消授权。一个组织要满足此控制过程可能实施和维护如下流程:

（1）分配密级 – 数据管理专员负责评估和确定适当的数据密级。
（2）分配监管类别 – 创建或采用能确保满足法规遵从要求的分类方案。
（3）管理和维护数据安全 – 确保不会发生安全漏洞。如果发生漏洞，则尽快检测出来。
- 1）控制数据可用性/以数据为中心的安全性。定义授权和授予授权需要数据清单、对数据需求仔细分析以及每个用户权利中公开的数据文档。即使数据无意暴露，利用数据脱敏也可以保护数据。解密密钥授权可以是用户授权过程的一部分。关系数据库视图可用于强制执行数据安全级别。
- 2）监控用户身份验证和访问行为。报告访问是合规性审计的基本要求。监视身份验证和访问行为提供了有关谁正在连接和访问信息资产的信息。监控还有助于发现值得调查的异常、意外或可疑的交易。
  - 缺乏自动化监控意味着严重的风险：
    - 1）监管风险。
    - 2）检测和恢复风险。审计机制代表最后一道防线。
    - 3）管理和审计职责风险。审计职责应独立于 DBA 和数据库服务器平台支持人员。
    - 4）依赖于不适当的本地审计工具的风险。当该机审计日志显示欺诈性数据库事务时，缺乏指向对此负责的用户链接。**基于网络审计设备具有优点：**高性能。职责分离。精细事务跟踪。
（4）管理安全制度遵从性 – 确保遵循制度并有效维护控制的日常活动。
- 1. 管理法规遵从性包括：
  - ①衡量授权细则和程序的合规性。
  - ②确保所有数据需求都是可衡量。
  - ③使用标准工具和流程保护存储和运行中的受监管数据。
  - ④发现潜在不合规问题以及存在违反法规遵从性的情况时，使用上报程序和通知机制。
- 1. 审计数据安全和合规活动
  - 数据安全制度的表述、标准文档、实施指南、变更请求、访问监控日志、报告输出和其他记录（电子或硬拷贝）构成了审计的输入来源。
  - 审计测试和检查内容举例：
    - ①评估制度和细则，确保明确定义合规控制并满足法规要求。
    - ②分析实施程序和用户授权实践，确保符合监管目标、制度、细则和预期结果。
    - ③评估授权标准和规程是否充分且符合技术要求。
    - ④当发现存在违规或潜在违规时，评估所要执行的上报程序和通知机制。
    - ⑤审查外包和外部供应商合同、数据共享协议以及合规义务，确保业务合作伙伴履行义务及组织履行其保护受监管数据的法律义务。
    - ⑥评估组织内安全实践成熟度，并向高级管理层和其他利益相关方报告“监管合规状态”。
    - ⑦推荐的合规制度变革和运营合规改进。

3.工具

信息安全管理使用的工具，在很大程度上取决于组织规模、网络架构以及安全组织采用的策略和标准。

3.1 杀毒软件/安全软件

杀毒软件可保护计算机免受网上病毒的侵扰。

3.2 HTTPS

如果Web地址以https://开头，则表示网站配备了加密的安全层。用户通常必须提供密码或其他身份验证手段才能访问该站点。在线支付或访问机密信息都采用此加密保护。

3.3 身份管理技术

身份管理技术（Identity Management Technology）是存储分配的凭据，并根据请求（如当用户登录到系统时）与系统共享。

3.4 入侵侦测和入侵防御软件

当黑客入侵防火墙或其他安全措施时，设有能够检测入侵并动态地拒绝访问的工具很有必要。在不当事件发生时，入侵检测系统(IDS)将通知相关人员。IDS最好与入侵防御系统(IPS)进行连接，IPS系统可对已知攻击和不合逻辑的用户命令组合自动响应。检测通常是通过分析组织内的模式来进行。对预期模式的了解可检测出异常事件，当异常事件发生时系统会发送警报。

3.5 防火墙(防御)

安全且复杂的防火墙应部署在企业网关上，它具有在允许高速数据传送的同时还能够执行详细的数据报分析的能力。对于暴露于Internet的Web服务器，建议使用更复杂的防火墙结构，因为许多恶意黑客攻击可以通过有意扭曲的合法流量，对数据库和Web服务器漏洞加以利用。

3.6 元数据跟踪

跟踪元数据的工具有助于组织对敏感数据的移动进行跟踪, 同时存在风险:外部代理可从与文档关联的元数据中检测出内部信息。元数据标记敏感信息是确保数据得到防护的最佳方式。

3.7 数据脱敏/加密

进行脱敏或加密的工具对于限制敏感数据的移动很有用。

4.方法

管理信息安全取决于组织规模、网络架构、要保护的数据类型以及组织采纳的安全策略和标准。

4.1 应用CRUD矩阵

创建和使用数据-流程矩阵和数据-角色关系（CRUD—创建、读取、更新、删除）矩阵有助于映射数据访问需求，并指导数据安全角色组、参数和权限的定义。

4.2 即时安全补丁部署

及时更新计算机上安装的安全补丁, 防止恶意黑客攻击计算机获取超级访问权限。

4.3 元数据中的数据安全属性

元数据存储库对于确保企业数据模型在跨业务流程使用中的完整性和一致性至关重要。元数据应包括数据的安全性和监管分类。安全元数据的到位可保护组织避免员工对敏感数据缺乏认知而造成的影响。当数据管理专员确定适用密级和监管类别时，类别信息应记录在元数据存储库中。这些分类可用于定义和管理用户权限和授权，并告知开发团队与敏感数据相关的风险。

4.4 项目需求中的安全要求

每个涉及数据的项目都必须解决系统和数据安全问题，在分析阶段详细确定数据和应用程序安全要求, 有助于指导设计, 将合规性构建到系统的基本架构中, 还可用于选择适当的供应商/采购软件包。

4.5 加密数据的高效搜索

减少需要解密数据量的方法之一是采用相同的加密方法来加密搜索条件（如字符串），然后用密文去查找匹配项。

4.6 文件清理

文件清理是在文件共享之前从中清理元数据（如历史变更记录跟踪）的过程。文件清理降低了注释中的机密信息可能被共享的风险。

5.实施安全

实施数据安全项目取决于企业文化、风险性质、公司管理数据的敏感性以及系统类型。实施系统组件应在战略性的安全规划和支持架构的指导下开展。

5.1 就绪评估/风险评估

完美的数据安全几乎不可能，但避免数据安全漏洞的最佳方法是建立安全需求、制度和操作规程的意识。组织可通过以下方式提高合规性：

1）培训。安全措培训和测试应是强制性的，同时是员工绩效评估的前提条件。
2）制度的一致性。为工作组和各部门制定数据安全制度和法规遵从制度，以健全企业制度为目标。
3）衡量安全性的收益。组织应在平衡记分卡度量和项目评估中包括数据安全活动的客观指标。
4）为供应商设置安全要求。在服务水平协议（SLA）和外包合同义务中包括数据安全要求。SLA协议必须包括所有数据保护操作。
5）增强紧迫感。强调法律、合同和监管要求，以增强数据安全管理的紧迫感。
6）持续沟通。

5.2 组织与文化变革

为了促进其合规，制定数据安全措施必须站在那些将使用数据和系统的人的角度考虑。精心规划和全面的技术安全措施应使利益相关方更容易获得安全访问。

5.3 用户数据授权的可见性

在系统实施期间审查每个用户的数据授权（即单点授权提供的所有数据的总和），以确定是否包含任何受控信息。监管敏感性分级应是数据定义过程的标准部分。

5.4 外包世界中的数据安全

任何形式的外包都增加了组织风险，包括失去对技术环境、对组织数据使用方的控制。数据安全措施和流程必须将外包供应商的风险既视为外部风险，又视为内部风险。包括数据安全架构在内的IT架构和所有权应该是一项内部职责。换句话说，内部组织拥有并管理企业和安全架构。外包合作伙伴可能负责实现体系架构。

转移控制，并非转移责任，而是需要更严格的风险管理和控制机制。其中一些机制包括：

1）服务水平协议（SLA）。
2）外包合同中的有限责任条款。
3）合同中的审计权条款。
4）明确界定违反合同义务的后果。
5）来自服务提供商的定期数据安全报告。
6）对供应商系统活动进行独立监控。
7）定期且彻底的数据安全审核。
8）与服务提供商的持续沟通。
9）如果供应商位于另一国家/地区并发生争议时，应了解合同法中的法律差异。

5.5 云环境中的数据安全

在云计算中，共担责任、定义数据监管链以及定义所有权和托管权尤为重要。基础设施方面的考虑对数据安全管理和数据制度有着直接的影响。例如，当云计算提供商通过网络交付软件时，谁负责防火墙？谁负责服务器上的访问权限？

6.数据安全治理

6.1 数据安全和企业架构

企业架构定义了企业的信息资产和企业组件、它们之间的相互关系以及关于转换、原则和指南的业务规则。数据安全架构描述了在企业内如何实现数据安全以满足业务规则和外部法规。安全架构涉及：

1）用于管理数据安全的工具。
2）数据加密标准和机制。
3）外部供应商和承包商的数据访问指南。
4）通过互联网的数据传送协议。
5）文档要求。
6）远程访问标准。
7）安全漏洞事件报告规程。

安全架构对于以下数据的集成尤为重要：

1）内部系统和业务部门。
2）组织及其外部业务合作伙伴。
3）组织和监管机构

6.2 度量指标

指标还有助于流程改进，一些指标衡量流程的进度：开展的审计量、安装的安全系统、报告的事件数以及系统中未经检查的数据量。

1.安全实施指标

常见的安全指标可以设定为正值百分比：

1）安装了最新安全补丁程序的企业计算机百分比。
2）安装并运行最新反恶意软件的计算机百分比。
3）成功通过背景调查的新员工百分比。
4）在年度安全实践测验中得分超过80%的员工百分比。
5）已完成正式风险评估分析的业务单位的百分比。
6）在发生如火灾、地震、风暴、洪水、爆炸或其他灾难时，成功通过灾难恢复测试的业务流程百分比。
7）已成功解决审计发现的问题百分比。

可以根据列表或统计数据的指标跟踪趋势：

1）所有安全系统的性能指标。
2）背景调查和结果。
3）应急响应计划和业务连续性计划状态。
4）犯罪事件和调查。
5）合规的尽职调查以及需要解决的调查结果数量。
6）执行的信息风险管理分析以及导致可操作变更的分析数量。
7）制度审计的影响和结果，如清洁办公桌制度检查，由夜班安保人员在换班时执行。
8）安全操作、物理安全和场所保护统计信息。
9）记录在案的、可访问的安全标准（制度）。
10）相关方遵守安全制度的动机。
11）业务行为和声誉风险分析，包括员工培训。
12）基于特定类型数据（如财务、医疗、商业机密和内部信息）的业务保健因素和内部风险。
13）管理者和员工的信心和影响指标，作为数据信息安全工作和制度如何被感知的指示。

2.安全意识指标

1）风险评估结果。评估结果提供了定性数据，需要反馈给相关业务单位，以增强其责任意识。
2）风险事件和配置文件。通过这些事件和文件确定需要纠正的未管理风险敞口。在安全意识倡议实施后，通过后续的测试来确定风险敞口以及制度遵从方面的缺失或可衡量改进的程度，以了解这些信息的传达情况。
3）正式的反馈调查和访谈。通过这些调查和访谈确定安全意识水平。此外，还要衡量在目标人群中成功完成安全意识培训的员工数量。
4）事故复盘、经验教训和受害者访谈。为安全意识方面的缺口提供了丰富的信息来源。具体指标可包括已减小了多少漏洞。
5）补丁有效性审计。涉及使用机密和受控信息的计算机，以评估安全补丁的有效性（尽可能推荐自动补丁系统）。

3.数据保护指标

1）特定数据类型和信息系统的关键性排名。如果无法操作，那么将对企业产生深远影响。
2）与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期。
3）特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。
4）数据与特定业务流程的风险映射，与销售点设备相关的风险将包含在金融支付系统的风险预测中。
5）对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估。
6）对可能意外或有意泄露敏感信息的业务流程中的特定部分进行漏洞评估。

4.安全事件指标

安全事件指标包括：

1）检测到并阻止了入侵尝试数量。
2）通过防止入侵节省的安全成本投资回报。

5.机密数据扩散

应衡量机密数据的副本数量，以减少扩散。机密数据存储的位置越多，泄露的风险就越大。

7.总结

数据安全包括安全策略和过程的规划、建立和执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。
数据安全需求来自：（1）利益相关方。（2）政府法规。（3）特定业务关注点(专有数据的保护)。（4）合法访问需求。（5）合同义务。
业务驱动因素： 降低风险和促进业务增长是数据安全活动的主要驱动因素。安全本身就是宝贵的资产。
数据安全的目标: 1 支持适应访问并防止对企业数据资产的不适当访问。2 持对隐私、保护和保密制度、法规的遵从。3 确保满足利益相关方对隐私和保密的要求。
数据安全的原则: 1）协同合作。2）企业统筹。3）主动管理。4）明确责任。5）元数据驱动。6）减少接触以降低风险。
脆弱性： 系统中容易遭受攻击的弱点或缺陷，漏洞敞口。
威胁： 可能对组织采取的潜在进攻行动。可以是内部或外部。不一定总是恶意。
风险： 损失的可能性，构成潜在损失的事物或条件。
风险分类： 1）关键风险数据 CRD。2）高风险数据 HRD。3）中等风险数据 MRD。
数据安全组织。 建立企业数据模型对于这个目标的实现至关重要。
数据安全需求和过程分为：1.4A1E。2.监控。
4A1E：访问(Access)、审计(Audit)、验证(Authentication)、授权(Authorization)、权限(Entitlement)。
监控：系统应包括检测意外事件的监视控制。
加密方法：哈希、对称加密、非对称加密。
混淆或脱敏：通过两种来降低数据的可用性。混淆： 变得模糊或不明确。脱敏： 删除、打乱或以其它方式更改数据的外观等。
脱敏方法: 替换(Substitution)、混排(Shuffling)、时空变异(Temporal Variance)、数值变异(Value Variance)、取消或删除(Nulling or Deleting)、随机选择(Randomization)、加密技术(Encryption)、表达式脱敏(Expression Masking)、键值脱敏(Key Masking)。
后门： 指计算机系统或应用程序的忽略隐藏入口。
机器人或僵尸: 已被恶意黑客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站。
Cookie: 网站在计算机硬盘上安放的小型数据文件，用于识别老用户并分析其偏好。
防火墙: 过滤网络流量的软件和/或硬件，用于保护单个计算机或整个网络免受未经授权的访问和免遭企图对系统的攻击。
周界: 指组织环境与外部系统之间的边界。
DMZ: 非军事区（De-militarized Zone）的简称，指组织边缘或外围区域。
超级用户账户: 超级用户（Super User）账户是具有系统管理员或超超级用户访问权限的账户，仅在紧急情况下使用。
键盘记录器: 是一种攻击软件，对键盘上键入的所有击键进行记录，然后发送到互联网上的其他地方。
渗透测试: 来自组织本身或从外部安全公司聘任的“白帽”黑客试图从外部侵入系统，正如恶意黑客一样，试图识别系统漏洞。
虚拟专用网络（VPN）: 使用不安全的互联网创建进入组织环境的安全路径或“隧道”。
数据安全类型：（1）设施安全。 (2) 设备安全 (3) 凭据安全 (4) 电子通信安全
数据安全制约因素：（1）保密等级。“需要知道“。（2）监管要求。”允许知道“。保密要求来自内部，监管要求来自外部。
机密数据分 5 类：1）对普通受众公开 2）仅内部使用 3) 机密 4) 受限机密 5) 绝密。
监管限制的数据: 1）法规系列举例： 个人身份信息 PII。2）行业法规或基于合同的法规：支付卡行业数据安全标准 PCI-DSS。竞争优势或商业秘密。合同限制。
系统安全风险：识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护。(1)滥用特权。数据访问权限，应采用最小特权原则，防止权限过大。(2) 滥用合法特权。 故意和无意滥用。(3) 未经授权的特权升级 (4) 服务账户或共享账户滥用。 (5) 平台入侵攻击。 (6) 注入漏洞。 (7) 默认密码。 (8) 备份数据滥用。
黑客行为/黑客。 黑客是在复杂的计算机系统中发现未知操作和路径的人。
网络钓鱼/社工威胁。社会工程：是指恶意黑客试图诱骗人们提供信息或访问信息的方法。网络钓鱼： 指通过电话、即时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。
恶意软件来源：1)即时消息。2)社交网。3)垃圾邮件。
安全监管关注的是安全结果，而非实现安全的手段。
【活动 1】识别数据安全需求 1 业务需求 2 监管要求
【活动 2】制定数据安全制度 组织在制定数据安全制度时应基于自己的业务和法规要求。
不同级别的制度：1）企业安全制度。 2）IT 安全制度。3) 数据安全制度。
【活动 3】定义数据安全细则 1 定义数据保密等级。2 定义数据监管类别。3 定义安全角色。
【活动 4】评估当前安全风险。 安全风险包括可能危及网络和/或数据库的因素。
【活动 5】实施控制和规程。 主要由【安全管理员】负责，与【数据管理专员】和【技术团队】协作。
工具：信息安全管理使用的工具，在很大程度上取决于组织规模、网络架构以及安全组织采用的策略和标准。
方法：管理信息安全取决于组织规模、网络架构、要保护的数据类型以及组织采纳的安全策略和标准。
就绪评估/风险评估。 完美的数据安全几乎不可能，但避免数据安全漏洞的最佳方法是建立安全需求、制度和操作规程的意识。
数据安全治理。 保护企业系统及其存储的数据需要 IT 和业务利益相关方之间的协作。清晰有力的制度和规程是数据安全治理的基础。
常见的安全实施指标： 1）安装了最新安全补丁程序的企业计算机百分比。2）安装并运行最新反恶意软件的计算机百分比。3）成功通过背景调查的新员工百分比。4）在年度安全实践测验中得分超过 80%的员工百分比。5）已完成正式风险评估分析的业务单位的百分比。6）在发生如火灾、地震、风暴、洪水、爆炸或其他灾难时，成功通过灾难恢复测试的业务流程百分比。7）已成功解决审计发现的问题百分比。
安全意识指标： 1）风险评估结果。2）风险事件和配置文件。3）正式的反馈调查和访谈。4）事故复盘、经验教训和受害者访谈。5）补丁有效性审计。
数据保护指标：1）特定数据类型和信息系统的关键性排名。2）与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期。 3）特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。4）数据与特定业务流程的风险映射，与销售点设备相关的风险将包含在金融支付系统的风险预测中。5）对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估。6）对可能意外或有意泄露敏感信息的业务流程中的特定部分进行漏洞评估。
安全事件指标：1）检测并阻止入侵尝试数量。2）通过防止入侵节省的安全成本投资回报。
机密数据扩散。 应衡量机密数据的副本数量，以减少扩散。机密数据存储的位置越多，泄露的风险就越大。