2021年2月15日
资产安全的第一步是:识别和分类信息和资产,包括三类资产:个人身份信息PII,受保护的健康信息PHI,专有数据(有助于保持组织竞争优势的数据)。
政府军事资产分类:绝密(Top Secret)、秘密(Secret)、机密(Confidential)、未分类(Unclassified)。
非政府商业分类:机密专有(Confidential/Proprietary)、私有(Privade)、敏感(Sensitive)、公开(public)。
资产分类应与数据分类相匹配
定义安全需求并识别安全控制:加密、身份和访问管理(IAM)安全控制。
数据状态:静态、动态、使用中。保护数据保密性的最佳方法:强加密。
管理敏感数据的一个关键目标:组织数据泄露
1.标记敏感数据和资产:物理标签、电子标签
2.处理敏感信息和资产:安全传输、操作错误、备份失控、权限错误
3.存储敏感数据:强加密(AES256)、环境控制
4.销毁敏感数据:多步骤,多方法重复做
5.消除数据残留:消磁器、SSD的销毁方法写入新数据或加密
6.确保适当的资产保留期:清除过期的数据
数据保护方法:主要就是加密。1.用对称加密保护数据:AES、3DES、BlowFish(Bcrypt);2.传输加密:HTTPS、***、IPsec、SSH。
数据处理方法:
擦除(Erasing):执行删除操作
清理(Cleaning):清理或覆盖操作、重新使用介质
清除(Purging):更强烈的清理、为在不太安全的环境重用介质
消磁(Degaussing):强磁场,不适合CD、DVD、SSD
销毁(Destruction):最安全的净化方法,物理销毁
数据所有权:
1.数据所有者:一般是组织最终负责人,CEO、总裁、部门主管DH等。
2.资产所有者:通常和数据所有者是一个人,拥有资产,一般是存数据的硬盘等。
3.业务/任务所有者:确保各个系统能为企业提供价值。
4.数据使用者:任何处理数据的系统,采用假名(用字符替换真实名字)、匿名(随机替换性和名等信息)。
5.管理者:负责授予人员适当的访问权限。
6.托管员:正确存储和正确保护数据来保护数据完整性和安全性,管理员和托管员通常是IT部门员工。
7.用户
安全基线:用于保护资产,确保最低安全标准,比如微软组策略。
1.范围界定,按需定制
2.选择标准,不同行业可以选择不同行业标准或者国家、国际标准。
课后此题,20题,做对了12个。