數(shù)據(jù)安全治理關鍵技術之數(shù)據(jù)庫脫敏技術詳解
數(shù)據(jù)安全治理之API監(jiān)測系統(tǒng) ,解決API接口安全問題【安華金和】
新一代數(shù)據(jù)庫脫敏技術,為敏感數(shù)據(jù)建立保護盾!
數(shù)據(jù)庫脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設思路的著力點——數(shù)據(jù)安全咨詢服務【安華金和】
數(shù)據(jù)庫防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關鍵技術之數(shù)據(jù)庫脫敏技術詳解【安華金和】
中國數(shù)據(jù)安全治理落地指導書籍《數(shù)據(jù)安全治理白皮書5.0》正式發(fā)布(附下載)
在數(shù)據(jù)資產(chǎn)的梳理中,需要明確這些數(shù)據(jù)如何被存儲,需要明確數(shù)據(jù)被哪些部門、系統(tǒng)、人員使用,數(shù)據(jù)被如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用,往往需要通過自動化的工具進行 ;而對于部門和人員的角色梳理,更多是要在管理規(guī)范文件中體現(xiàn)。對于數(shù)據(jù)資產(chǎn)使用角色的梳理,關鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工、權(quán)利和職責。
組織與職責,明確安全管理相關部門的角色和責任,一般包括:
安全管理部門:制度制定、安全檢查、技術導入、事件監(jiān)控與處理;
業(yè)務部門:業(yè)務人員安全管理、業(yè)務人員行為審計、業(yè)務合作方管理;
運維部門:運維人員行為規(guī)范與管理、運維行為審計、運維第三方管理;
其它:第三方外包、人事、采購、審計等部門管理。
數(shù)據(jù)治理的角色與分工,需要明確關鍵部門內(nèi)不同角色的職責,包括:
安全管理部門:政策制定者、檢查與審計管理、技術導入者業(yè)務部門:根據(jù)單位的業(yè)務職能劃分
運維部門:運行維護、開發(fā)測試、生產(chǎn)支撐
敏感數(shù)據(jù)在什么數(shù)據(jù)庫中分布著,是實現(xiàn)管控的關鍵。
只有清楚敏感數(shù)據(jù)在什么庫中分布,才能知道需要對什么樣的庫實現(xiàn)怎樣的管控策略;對該庫的運維人員實現(xiàn)怎樣的管控措施;對該庫的數(shù)據(jù)導出,實現(xiàn)怎樣的模糊化策略;對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求。
在清楚了數(shù)據(jù)的存儲分布的基礎上,還需要掌握數(shù)據(jù)被什么業(yè)務系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務系統(tǒng)訪問,才能更準確地制訂這些業(yè)務系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。
大類 | 原有信息分類 | 包含的客戶信息 |
業(yè)務支撐 | BOSS | 政企客戶資料、個人客戶資料、各類特殊名單、用戶密碼、詳單、賬單、客戶消費信息、基本業(yè)務訂購關系、增值業(yè)務(含數(shù)據(jù)業(yè)務)訂購關系、增值業(yè)務信息、統(tǒng)計報表、渠道及合作伙伴資料、資源數(shù)據(jù) |
EDA | 政企客戶資料、個人客戶資料、各類特殊名單、用戶密碼、詳單、賬單、客戶消費信息、基本業(yè)務訂購關系、增值業(yè)務(含數(shù)據(jù)業(yè)務)訂購關系、增值業(yè)務信息、統(tǒng)計報表、渠道及合作伙伴資料、資源數(shù)據(jù) | |
客戶服務平臺 | 可獲取的信息:詳單、客戶資料 | |
網(wǎng)管系統(tǒng) | 可獲取的信息:位置信息 | |
通信系統(tǒng) | 短信網(wǎng)關 | 短信記錄,短信內(nèi)容 |
ISAG | 彩信記錄,彩信內(nèi)容 | |
HLR | 客戶當前位置信息、用戶狀態(tài) | |
WAP網(wǎng)關 | 客戶上網(wǎng)記錄、彩信記錄 | |
端局 | 原始話單文件、位置信息 | |
關口局 | 原始話單文件 | |
業(yè)務平臺 | ISMP-BMW | 訂購關系 |
終端自注冊平臺 | 終端型號信息 | |
天翼live | 通訊記錄 | |
協(xié)同通信平臺 | 通訊記錄 | |
基地平臺 | 訂購關系、行為 |
圖5某運營商對敏感系統(tǒng)分布的梳理結(jié)果
以運營商行業(yè)上述梳理結(jié)果為例,這僅僅是一個數(shù)據(jù)梳理的基礎,更重要的是要梳理出不同的業(yè)務系統(tǒng)對這些敏感信息訪問的基本特征,如訪問的時間、IP、 訪問的次數(shù)、 操作行為類型、 數(shù)據(jù)操作批量行為等, 在這些基本特征的基礎上,完成數(shù)據(jù)管控策略的制訂。