數(shù)據(jù)泄漏事件�,層出不窮���。從印度的國家身份識別數(shù)據(jù)庫數(shù)據(jù)泄露到挪威衛(wèi)生局信息系統(tǒng)數(shù)據(jù)泄露,圓通�、順豐、華住集團���、萬豪喜達屋以及剛剛被披露的豐田數(shù)據(jù)泄露�。這些政府部門及大型商業(yè)組織都擁有相對健全的網(wǎng)絡(luò)安全防護手段�,但數(shù)據(jù)泄露事件仍然時有發(fā)生,究其根本����,除了數(shù)據(jù)安全保護難度大外,在每一起事件的背后�,都有數(shù)據(jù)安全管理不得當?shù)挠白印?/p>
有的放矢才能事半功倍
近期國內(nèi)各重點行業(yè)和相關(guān)單位都在開展加強對重要數(shù)據(jù)和公民個人信息的安全保護的專項治理工作。通過對數(shù)據(jù)資產(chǎn)梳理�,形成數(shù)據(jù)資產(chǎn)清單,可以對互聯(lián)網(wǎng)相關(guān)的重要數(shù)據(jù)和個人信息采集、存儲��、傳輸�、使用、提供�、銷毀等環(huán)節(jié)的具體情況清楚把握�����,在此基礎(chǔ)上進一步排查信息系統(tǒng)和數(shù)據(jù)庫��,是否存在弱口令�����、未授權(quán)訪問��、數(shù)據(jù)明文傳輸�、缺少安全審計,訪問控制�����、策略不嚴等突出安全隱患��,才能聚焦數(shù)據(jù)安全突出風(fēng)險進行安全保護,進而有的放矢的完善數(shù)據(jù)全生命周期安全保護�,切實提升重要數(shù)據(jù)和公民個人信息安全保護能力。
五步走����,敏感數(shù)據(jù)狀況全掌握
1、數(shù)據(jù)資產(chǎn)定位
1)掃描發(fā)現(xiàn)數(shù)據(jù)庫:通過網(wǎng)絡(luò)掃描或者流量監(jiān)聽等技術(shù)手段發(fā)現(xiàn)信息系統(tǒng)中運行的數(shù)據(jù)庫�����。
2)建立數(shù)據(jù)資產(chǎn)底單:通過對發(fā)現(xiàn)的數(shù)據(jù)庫信息整理����,初步建立數(shù)據(jù)資產(chǎn)底單。
輸出:《數(shù)據(jù)資產(chǎn)底單》��。
2�、數(shù)據(jù)資產(chǎn)標識
1)找到數(shù)據(jù)擁有者:為數(shù)據(jù)資產(chǎn)底單上的數(shù)據(jù)資產(chǎn)找到擁有者或管理者,一般是業(yè)務(wù)的運營者或者管理者����。
2)獲取數(shù)據(jù)訪問權(quán)限:從數(shù)據(jù)擁有者或管理者那里獲取數(shù)據(jù)權(quán)限,一般是只讀權(quán)限�����,為數(shù)據(jù)標識做準備。
注:數(shù)據(jù)資產(chǎn)標識是對數(shù)據(jù)資產(chǎn)屬性信息填充完整的動作��,標識內(nèi)容包含資產(chǎn)所屬管理部門��、項目�、所屬業(yè)務(wù)系統(tǒng)等信息,實現(xiàn)信息清單化管理�。
3、數(shù)據(jù)類型標識
按照預(yù)定義的重要數(shù)據(jù)或個人信息數(shù)據(jù)特征如姓名����、證件號�、銀行賬戶、金額�、日期、住址�、電話號碼、Email地址等數(shù)據(jù)����,在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進行自動的識別,發(fā)現(xiàn)敏感數(shù)據(jù)�,并可以根據(jù)規(guī)則對發(fā)現(xiàn)的敏感數(shù)據(jù)進行導(dǎo)出清單。通過自動識別敏感數(shù)據(jù)�,可以避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作�����,同時能夠持續(xù)的發(fā)現(xiàn)新的敏感數(shù)據(jù)���。
個人敏感信息示例
4、數(shù)據(jù)資產(chǎn)清單
1)確認標識結(jié)果:抽查部分數(shù)據(jù)標識結(jié)果��,可以結(jié)合數(shù)據(jù)量來確定需要重點保護的數(shù)據(jù)資產(chǎn)��。
2)形成數(shù)據(jù)清單:經(jīng)過確認后的數(shù)據(jù)標識����,形成數(shù)據(jù)資產(chǎn)詳細清單,實現(xiàn)數(shù)據(jù)資產(chǎn)的清單化管理�����,樣例如下:
數(shù)據(jù)清單(樣例)
重要數(shù)據(jù)或個人信息統(tǒng)計表(樣表)
輸出:《數(shù)據(jù)資產(chǎn)清單》《數(shù)據(jù)資產(chǎn)詳細清單》《重要或敏感數(shù)據(jù)清單》《重要數(shù)據(jù)或個人信息統(tǒng)計表》等����。
5、持續(xù)監(jiān)控
1)定期進行數(shù)據(jù)資產(chǎn)梳理:數(shù)據(jù)資產(chǎn)是處于動態(tài)變化中的���,對于數(shù)據(jù)資產(chǎn)的梳理應(yīng)當根據(jù)業(yè)務(wù)情況定期開展��。
2)數(shù)據(jù)使用監(jiān)控:通過技術(shù)手段理清數(shù)據(jù)使用情況和數(shù)據(jù)流向��;
輸出:《數(shù)據(jù)資產(chǎn)變化趨勢報告》����。
數(shù)據(jù)資產(chǎn)梳理關(guān)鍵技術(shù)
1、基于網(wǎng)絡(luò)嗅探技術(shù)���,自動尋找發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的數(shù)據(jù)庫�����。
需要支持多種數(shù)據(jù)庫自動發(fā)現(xiàn)�����,主動嗅探網(wǎng)內(nèi)數(shù)據(jù)庫的發(fā)現(xiàn)技術(shù),可以指定IP段和端口的范圍進行搜索����,也可以基于訪問流量解析自動發(fā)現(xiàn)與識別數(shù)據(jù)庫的技術(shù)。
2�、基于特征匹配的敏感數(shù)據(jù)探測技術(shù),自動梳理數(shù)據(jù)庫中個人隱私敏感數(shù)據(jù)分布��。
一般應(yīng)用的后臺數(shù)據(jù)庫都成千上萬張表,要保護核心數(shù)據(jù)資產(chǎn)����,首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方,需要能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)�����,定位敏感數(shù)據(jù)存儲與分布���,統(tǒng)計敏感數(shù)據(jù)量級���,可以通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對個人敏感信息、信用卡賬戶信息���、企業(yè)敏感信息等的表和列進行掃描�����,也支持用戶自定義敏感對象搜索關(guān)鍵字功能��。
3�、基于數(shù)據(jù)使用與監(jiān)測技術(shù)�,可動態(tài)梳理敏感數(shù)據(jù)使用情況����。
針對應(yīng)用系統(tǒng)運行�、開發(fā)測試、對外數(shù)據(jù)傳輸和前后臺操作等使用環(huán)節(jié)�����,對數(shù)據(jù)的流轉(zhuǎn)���、 存儲與使用進行監(jiān)控�����,對應(yīng)用側(cè)����、內(nèi)部運維側(cè)及開發(fā)測試的訪問行為����,對訪問敏感數(shù)據(jù)的頻次進行熱度分析���。
數(shù)據(jù)資產(chǎn)梳理��,是幫助組織厘清數(shù)據(jù)資產(chǎn)��,實現(xiàn)分級分類管理保護的基礎(chǔ)�����,是數(shù)據(jù)安全治理中數(shù)據(jù)資產(chǎn)狀況摸底的落地支撐���,也是大數(shù)據(jù)時代�,保障數(shù)據(jù)資源開放共享的關(guān)鍵一環(huán)��。
產(chǎn)品咨詢:4000 258 365 
