目录
一、分值分布
CDGA:8分(8单选)
CDGP:10分(论述题)
考点:
驱动因素、目标和原则
基本概念、活动
数据安全评估指标
数据安全治理
二、重点知识梳理
1、引言
语境关系图:
数据安全需求来自:
- 利益相关方。
- 政府法规。
- 特定业务关注点。
- 合法访问需求。
- 合同义务。
1.1 业务驱动因素
业务驱动因素:降低风险和促进业务增长是数据安全活动的主要驱动因素。
- 降低风险
- 对组织数据分类分级步骤:
- 1)识别敏感数据资产并分类分级。
- 2)在企业中查找敏感数据。
- 3)确定保护每项资产的方法。
- 4)识别信息与业务流程如何交互。
- 对组织数据分类分级步骤:
- 业务增长
- 安全性作为资产:元数据是管理敏感数据的方法之一。可以在数据元素和集合级别标记信息分类和合规敏感度。
1.2 目标和原则
目标:
- 启用对企业数据资产的适当访问,并防止不适当的访问。
- 理解并遵守所有有关隐私、 保护和保密的法规和政策。
- 确保所有利益相关方的隐私和保密需求得到执行和审计。
原则:
- 协同合作。数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
- 企业统筹。运用数据安全标准和策略时,必须保证组织的一致性
- 主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
- 明确责任。必须明确界定角色和职责,包括跨组织和角色的数据“监管链”
- 元数据驱动。数据安全分类分级是数据定义的重要组成部分
- 减少接触以降低风险。最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中
1.3 基本概念
信息安全领域术语:
- 脆弱性:系统中容易遭受攻击的弱点或缺陷,漏洞敞口。
- 威胁:可能对组织采取的潜在进攻行动。 可以是内部或外部。不一定总是恶意。
- 风险:损失的可能性,构成潜在损失的事物或条件。
- 从以下方面计算风险:
- 1) 威胁发生的概率及其可能的频率
- 2)每次威胁事件可能造成的损害类型和规模,包括声誉损害。
- 3)损害对收入或业务运营的影响
- 4)发生损害后的修复成本
- 5)预防威胁的成本,包括漏洞修复手段。
- 6)攻击者可能的目标意图
- 从以下方面计算风险:
- 风险分类:
- 1)中等风险数据
- 2)高风除数据。
- 3)关键风险数据。
安全过程:
- 数据安全需求和过程:
- 4A:
- 访问(Access):使具有授权的个人能够及时访问系统。作动词用,意味着主动连接到信息系统并使用数据;作名词用,是指此人对数据具有有效的授权
- 审计(Audit):审查安全操作和用户活动,以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档,以验证是否符合安全法规、策略和标准。这些审核的结果会定期发布。
- 验证(Authentication):验证用户的访问权限。当用户试图登录到系统时,系统需要验证此人身份是否属实。除密码这种方式外,更严格的身份验证方法包括安全令牌、回答问题或提交指纹。在身份验证过程中,所有传送过程均经过加密,以防止身份验证信息被盗
- 授权(Authorization):授予个人访问与其角色相适应的特定数据视图的权限。在获得授权后,访问控制系统在每次用户登录时都会检查授权令牌的有效性。
- 1E:
- 权限(Entitlement):由单个访问授权决策向用户公开的所有数据元素的总和
- 4A:
- 监控:
- 主动监控:主动监控是一种检测机制。
- 被动监控:是通过系统定期捕获系统快照,并将趋势与基准或其他标准进行比较,跟踪随时发生的变化。系统向负责的数据管理专员或安全管理人员发送报告。被动监控是一种评价机制。
数据完整性:在安全性方面,数据完整性 (Data Integrity) 是一个整体状态要求,以免于遭受不当增/删改所造成的影响。例如,美国的萨班斯法案 (Sarbanes-Oxley) 主要涉及对如何创建和编辑财务信息的规则进行识别,以保护财务信息的完整性。
加密:是将纯文本转换为复杂代码,以隐藏特权信息、验证传送完整性或验证发送者身份的过程
- 类型:
- 1)哈希
- MD5
- SHA
- 2)对称加密
- DES
- 3DES
- AES
- DEA
- 3)非对称加密
- RSA
- PGP
- 1)哈希
混淆或脱敏:混淆或脱敏都是用来降低数据可用性,同时避免丢失数据的含义或数据与其他数据集的关系
- 混淆:变得模糊或不明确
- 脱敏:删除、打乱或以其他方式更改数据的外观等
- 脱敏类型:
- 静态脱敏:永久且不可逆转的更新数据
- 不落地脱敏:不会留下中间文件或带有未脱敏数据的数据库,非常安全
- 落地脱敏:当数据源和目标相同时使用。从数源中读取未脱敏数据,或在安全位置中另有数据副本,在移动至不安全位置之前进行脱敏处置。有风险。
- 动态脱敏:在不改基础数据的情况下,在最终用户或系统中改变数据的外观。
- 静态脱敏:永久且不可逆转的更新数据
- 脱敏类型:
- 脱敏方法:
- 1)替换(Substitution)。将字符或整数值替换为查找或标准模式中的字符或整数值。
- 2)混排(Shuffling)。在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性 的数据元素。
- 3)时空变异(Temporal Variance)。把日期前后移动若干天(小到足以保留趋势),足以使它无法识别。
- 4)数值变异(Value Variance)。应用一个随机因素(正负一个百分比,小到足以保持趋势),重要到足以使它不可识别。
- 5)取消或删除(Nulling or Deleting)。删除不应出现在测试系统中的数据。
- 6)随机选择(Randomization)。将部分或全部数据元素替换为随机字符或一系列单个字符。
- 7)加密技术(Encryption)。通过密码代码将可识别、有意义的字符流转换为不可识别的字符流。
- 8)表达式脱敏(Expression Masking)。将所有值更改为一个表达式的结果。例如,用一个简单的表达式将一个大型自由格式数据库字段中的所有值(可能包含机密数据)强制编码为“这是个注释字段”。
- 9)键值脱敏(Key Masking)。指定的脱敏算法/进程的结果必须是唯一且可重复的,用于数据库键值字段(或类似字段)脱敏。
网络安全术语:
- 后门:是指计算机系统或应用程序的忽略隐藏入口
- 机器人或僵尸:是已被恶意客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站
- Cookie:是网站在计算机硬盘上安放的小型数据文件,用于识别老用户并分析其偏好
- 防火墙:是过滤网络流量的软件和/或硬件,用于保护单个计算机或整个网络免受未经授权的访问和免遭企图对系统的攻击
- 周界:是指组织环境与外部系统之间的边界。通常将防火墙部署在所有内部和外部环境之间。
- DMZ:指组织边缘或外围区域
- 超级用户账户
- 键盘记录器
- 渗透测试
- 虚拟专用网络
数据安全类型:
- 设施安全:设施安全(Facility Security) 是抵御恶意行为人员的第一道防线
- 设备安全:移动设备,包括笔记本计算机、平板计算机和智能手机,由于可能丢失、被盗以及遭受犯罪黑客的物理/电子攻击,本身并不安全。
- 标准:
- 1)使用移动设备连接的访问策略。
- 2)在便携式设备(如笔记本计算机、DVD、CD或USB驱动器)上存储数据
- 3)符合记录管理策略的设备数据擦除和处置。
- 4)反恶意软件和加密软件安装
- 5)安全漏洞的意识。
- 标准:
- 凭据安全:
- 身份管理系统:单点登录从用户角度来看是最佳的
- 电子邮件系统的用户ID标准。
- 密码标准:密码是保护数据访问的第一道防线
- 多因素识别。
- 电子通信安全。
数据安全制约因素:
- 保密等级。
- 机密数据分类:
- 1)对普通受众公开(For General Audiences)。
- 2)仅内部使用(Internal Use Only)。仅限员工或成员使用的信息,但信息分享的风险很小。这种信息仅供内部使用、可在组织外部显示或讨论,但不得复制。
- 3)机密(Confidential)。若无恰当的保密协议或类似内容,不得在组织以外共享。不得与其他客户共享客户机密信息。
- 4)受限机密(Restricted Confidential)。受限机密要求个人通过许可才能获得资格,仅限于特定“需要知道”的个人。
- 5)绝密(Registered Confidential)。信息机密程度非常高,任何信息访问者都必须签署一份法律协议才能访问数据, 并承担保密责任
- 机密数据分类:
- 监管要求。
- 法规类别
- 1)法规系列举例
- 个人身份信息
- 财务敏感信息
- 医疗敏感数据/个人健康信息
- 2)行业法规或基于合同的法规
- 支付卡行业数据安全标准
- 竞争优势或商业秘密
- 合同限制
- 1)法规系列举例
- 法规类别
保密和监管主要区别是来源不同:保密要求来自内部,监管要求来自外部
系统安全风险:识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护
- 类别:
- (1)滥用特权:数据访问权限,应采用最小特权原则,仅允许用户、进程或程序访问其合法目的所允许的信息。解决权限过大的方案是查询级访问控制,控制粒度要从表格级访问深入到特定行和特定列。
- (2)滥用合法特权:故意和无意滥用。部分解决滥用合法特权的方案是数据库访问控制。
- (3)未经授权的特权升级。
- (4)服务账户或共享账户滥用。
- 服务账户
- 共享账户。
- (5)平台入侵攻击。
- (6)注入漏洞。
- (7)默认密码。
- (8)备份数据滥用。
网络钓鱼/社工威胁:
- 社会工程 (Social Engineering) 是指恶意黑客试图诱骗人们提供信息或访问信息的方法。黑客利用所获得的各种信息来说服有关员工他们有合法的请求。有时,黑客会按顺序联系几个人,在每一步收集信息以用于获得下一个更高级别员工的信任。
- 网络钓鱼 (Phishing)是指通过电话、即时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。通常,这些呼叫或消息似乎来自合法来源。
恶意软件:
- 类型:
- 广告软件。
- 间谍软件。
- 特洛伊木马。
- 病毒。
- 蠕虫。
- 来源:
- 即时消息
- 社交网
- 垃圾邮件
2、活动
安全监管关注的是安全结果,而非实现安全的手段。组织应设计自己的安全控制措施,并证明这 些措施已达到或超过了法律法规的严格要求。
2.1 识别数据安全需求
- 业务需求:组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。数据-流程矩阵和数据-角色关系矩阵是非常有效的工具。
- 监管要求。创建法规清单,写清影响的数据主题域、相关安全策略、控制措施。
2.2 制定数据安全制度
组织在制定数据安全制度时应基于自己的业务和法规要求。制度是所选行动过程的陈述以及为达成目标所期望行为的顶层描述。数据安全策略描述了所决定的行为,这些行为符合保护其数据的组织的最佳利益。要使这些制度产生可衡量的影响,它们必须是可审计且经审计过的。
- 不同级别的制度:
- 1)企业安全制度。
- 2)IT 安全制度。
- 3)数据安全制度。
数据治理委员会是数据安全制度的审查和批准方。数据管理专员是制度的主管方和维护方
2.3 定义数据安全细则
- 1 定义数据保密等级。保密等级分类是重要的元数据特征,用于指导用户如何获得访问权限。
- 2 定义数据监管类别。
- 3 定义安全角色。角色组减轻工作量。
- 角色进行定义和组织的方法有两种:
- 网络(从数据开始)
- 层次结构(从用户开始)
- 两个工具:
- 角色分配矩阵。
- 角色分配层次结构。
- 角色进行定义和组织的方法有两种:
2.4 评估当前安全风险
- 1)存储或传送的数据敏感性。
- 2)保护数据的要求。
- 3)现有的安全保护措施。
2.5 实施控制和规程
主要由安全管理员负责,与数据管理专员和技术团队协作。
控制和规程:
- 涵盖内容
- 1)用户如何获取和终止对系统和/或应用程序的访问权限。
- 2)如何为用户分配角色并从角色中去除。
- 3)如何监控权限级别。
- 4)如何处理和监控访问变更请求。
- 5)如何根据机密性和适用法规对数据进行分类。
- 6)检测到数据泄露后如何处理。
- 控制和规程:
- (1)分配密级。
- (2)分配监管类别。
- (3)管理和维护数据安全。
- 1)控制数据可用性/以数据为中心的安全性。
- 2)监控用户身份验证和访问行为。
- (4)管理安全制度遵从性。
- 1)管理法规遵从性。
- 2)审计数据安全和合规活动。
- 缺乏自动化监控意味着严重的风险:
- 1)监管风险。
- 2)检测和恢复风险。
- 3)管理和审计职责风险。
- 4)依赖于不适当的本地审计工具的风险。
- 基于网络审计设备具有优点:
- 1)高性能。
- 2)职责分离。
- 3)精细事务跟踪。
- 管理法规遵从性包括:
- 1)管理法规遵从性:
- ①衡量授权细则和程序的合规性。
- ②确保所有数据需求都是可衡量的,因 此也是可审计的。
- ③使用标准工具和流程保护存储和运行中的受监管数据。
- ④发现潜在不合规问 题以及存在违反法规遵从性的情况时,使用上报程序和通知机制。
- 2)审计数据安全和合规活动:数据安全制度的表述、标准文档、实施指南、变更请求、访问监控日志、报告输出和其他记录(电 子或硬拷贝)构成了审计的输入来源。还有执行测试和检查
- 审计测试和检查内容举例:
- ①评估制度和细则,确保明确定义合规控制并满足法规要求。
- ②分析实施程序和用户授权实践,确保符合监管目标、制度、细则和预期结果。
- ③评估授权标准和规程是否充分且符合技术要求。
- ④当发现存在违规或潜在违规时,评估所要执行的上报程序和通知机制。
- ⑤审查外包和外部供应商合同、数据共享协议以及合规义务,确保业务合作伙伴履行义务及组织履行其保护受监管数据的法律义务。
- ⑥评估组织内安全实践成熟度,并向高级管理层和其他利益相关方报告“监管合规状态”。
- ⑦推荐的合规制度变革和运营合规改进。
- 审计测试和检查内容举例:
- 1)管理法规遵从性:
3、工具
4、方法
详见语境关系图
5、实施指南
5.1 就绪评估/风险评估
组织可通过以下方式提高合规性:
- 1)培训。此类培训和测试应是强制性的,同时是员工绩效评估的前提条件。
- 2)制度的一致性。为工作组和各部门制定数据安全制度和法规遵从制度,以健全企业制度为目标。
- 3)衡量安全性的收益。组织应在平衡记分卡度量和项目评估中包括数据安全活动的客观指标。
- 4)为供应商设置安全要求。在服务水平协议(SLA)和外包合同义务中包括数据安全要求。SLA 协议必须包括所有数据保护操作。
- 5)增强紧迫感。强调法律、合同和监管要求,以增强数据安全管理的紧迫感。
- 6)持续沟通。
5.2 组织和文化变革
为了促进其合规,制定数据安全措施必须站在那些将使用数据和系统的人的角度考虑。精心规划 和全面的技术安全措施应使利益相关方更容易获得安全访问。
5.3 外包世界中的数据安全
- 任何事情皆可外包,但责任除外
- 任何形式的外包都增加了组织风险,包括失去对技术环境、对组织数据使用方的控制。数据安全 施和流程必须将外包供应商的风险既视为外部风险,又视为内部风险。包括数据安全架构在内的IT架构和所有权应该是一项内部职责。换句话说,内部组织拥有并管理企业和安全架构。外包合作伙伴可能负责实现体系架构
6、数据安全治理
6.1 数据安全和企业架构
安全架构涉及:
- 1)用于管理数据安全的工具。
- 2)数据加密标准和机制。
- 3)外部供应商和承包商的数据访问指南。
- 4)通过互联网的数据传送协议。
- 5)文档要求。
- 6)远程访问标准。
- 7)安全漏洞事件报告规程。
安全架构对于以下数据的集成尤为重要:
- 1)内部系统和业务部门。
- 2)组织及其外部业务合作伙 伴。
- 3)组织和监管机构。
6.2 度量指标
度量指标:
- 安全实施指标。
- 1)安装了最新安全补丁程序的企业计算机百分比。
- 2)安装并运行最新反恶意软件的计算机百分比。
- 3)成功通过背景调查的新员工百分比。
- 4)在年度安全实践测验中得分超过80%的员工百分比。
- 5)已完成正式风险评估分析的业务单位的百分比。
- 6)在发生如火灾、 地震、风暴、洪水、爆炸或其他灾难时,成功通过灾难恢复测试的业务流程百分比。
- 7)已成功解决审计发现的问题百分比
- 安全意识指标。
- 1)风险评估结果。
- 2)风险事件和配置文件。
- 3)正式的反馈调查和访谈。
- 4)事故复盘、经验教训和受害者访谈。
- 5)补丁有效性审计。
- 数据保护指标。
- 1)特定数据类型和信息系统的关键性排名。如果无法操作,那么将对企业产生深远影响。
- 2)与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期。
- 3) 特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。
- 4)数据与特定业务流程的风险映射,与销售点设备相关的风险将包含在金融支付系统的风险预测中。
- 5)对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估。
- 6)对可能意外或有意泄露敏感信息的业务流程中的特定部分进行漏洞评估。
- 安全事件指标。
- 1)检测并阻止入侵尝试数量。
- 2)通过防止入侵节省的安全成本投资回报。
- 机密数据扩散。
- 应衡量机密数据的副本数量,以减少扩散。机密数据存储的位置越多,泄露的风险就越大.