《DAMA-DMBOK2》读书笔记-第7章 数据安全

1 文章结构脑图

2 基本概念

2.1 脆弱性

脆弱性： 系统中容易遭受攻击的弱点或缺陷。某些脆弱性称为漏洞敞口。
例如,存在过期安全补丁的网络计算机、不受可靠密码保护的网页、来自未知发件人的电子邮件附件的用户,不受技术命令保护的公司软件(这将使攻击者能够控制系统)。P169

2.2 威胁

威胁： 可能对组织采取的潜在进攻行动。 可以是内部或外部。不一定总是恶意。
例如，发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务(拒绝服务攻击)的进程,以及对已知漏洞的利用等。P169

2.3 风险

风险: 损失的可能性，构成潜在损失的事物或条件。P169

每个威胁，可从以下几个方面计算风险：
1)威胁发生的概率及其可能的频率。
2)每次威胁事件可能造成的损害类型和规模,包括声誉损害。
3)损害对收入或业务运营的影响。
4)发生损害后的修复成本。
5)预防威胁的成本,包括漏洞修复手段。
6)攻击者可能的目标或意图。

2.4 风险分类

风险分类 描述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁(即角色中的人员)可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类。

风险分类，包括以下几个方面： P170

• 1)关键风险数据 CRD。==个人信息==。滥用关键风险数据不仅会伤害个人，还会导致公司遭受重大的处罚，增加挽留客户、员工的成本以及损害公司品牌与声誉，从而对公司造成财务损害
• 2)高风险数据 HRD。高风险数据为公司提供竞争优势，==具有潜在的直接财务价值==，往往被主动寻求未经授权使用。如果高风险数据被滥用，那么可能会因此使公司遭受财务损失。高风险数据的损害可能会导致因不信任而使业务遭受损失，并可能导致法律风险、监管处罚以及品牌和声誉受损。
• 3)中等风险数据 MRD。对几乎==没有实际价值的公司非公开信息==，未经授权使用可能会对公司产生负面影响。

2.5 数据安全组织

数据安全组织。 在缺失专职信息安全人员的组织中,数据安全的责任将落在数据管理者身上。在任何情形下,数据管理者都需要参与数据安全工作。P170
建立企业数据模型对于这个目标的实现至关重要。如果无法清楚知道敏感信息的位置，就不可能创建全面有效的数据保护计划。

2.6 安全过程

数据安全需求和过程分为: 1.4A1E。2.监控。P171

4A1E: 访问(Access)、审计(Audit)、验证(Authentication)、授权(Authorization)。 权限(Entitlement)。信息分类、访问权限、角色组、用户和密码是实施策略和满足4A的一些常用手段。安全监控对于保障其他进程的正常运行也至关重要。
区分:

• 访问：使具有授权的个人能够及时访问系统。作动词用，意味着主 动连接到信息系统并使用数据;作名词用，是指此人对数据具有有效的授权。
• 授权：授予个人访 问与其角色相适应的特定数据视图的权限。在获得授权后，访问控制系统在每次用户登录时都会检查授权令牌的有效性。
• 权限：由单个访问授权决策向用户公开的所有数据元素的总和。P171***

监控: 系统应包括检测意外事件的监视控制 。P171 ***

• 被动监控是通过系统定期捕获系统快照，并将趋势与基准或其他标准进行比较，跟踪随时发生的变化。
• ==主动监控是一种检测机制。被动监控是评价机制。==

2.7 数据完整性

数据完整性(Data Integrity)： 是一个整体状态要求,以免于遭受不当增/删改所造成的影响。*例如,美国的萨班斯法案(Sarbanes-Oxley)主要涉及对如何创建和编辑财务信息的规则进行识别,以保护财务信息的完整性。P172

2.8 加密

加密(Encryption)：： 是将纯文本转换为复杂代码,以隐藏特权信息、验证传送完整性或验证发送者身份的过程。

加密方法：

• 哈希： 将任意长度数据转换为固定长度数据，==有 MD5、SHA==。
• 对称加密： 使用同一个密钥加解密数据。==有 DES、3DES、AES、IDEA==。
• 非对称加密： 发送方和接收方使用不同的密钥。发送方使用公开提供的公钥加密，接收方使用私钥解密，==算法有 RAS、Diffie-Hellman 密钥交换协议。如 PGP==。P172 ***

2.9 混淆或脱敏

可通过混淆处理(变得模糊或不明确)或脱敏(删除、打乱或以其他方式更改数据的外观等)的方式来降低数据可用性,同时避免丢失数据的含义或数据与其他数据集的关系。
例如，当在屏幕上显示敏感信息供参考或者从符合预期应用逻辑的生产数据中创建测试数据集时,混淆或脱敏处理非常有用。P172

混淆： 变得模糊或不明确。
脱敏： 删除、打乱或以其它方式更改数据的外观等。P172

数据脱敏分为静态脱敏和动态脱敏。P173***

• 静态数据脱敏： 永久且不可逆转的更新数据，分不落地脱敏(不会留下中间文件或带有未脱敏数据的数据库，非常安全)和落地脱敏(当数据源和目标相同时使用。从数源中读取未脱敏数据，或在安全位置中另有数据副本，在移动至不安全位置之前进行脱敏处置。有风险。)。
• 动态脱敏： 在不改基础数据的情况下， 在最终用户或系统中改变数据的外观。如将 123456，改为 1256。

脱敏方法：P173-174***

• 1)替换(Substitution)。将字符或整数值替换为查找或标准模式中的字符或整数值。例如,可以用列表中的随机值替换名字。
• 2)混排(Shuffling)。在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性的数据元素。例如,在供应商发票中混排供应商名称,以便将发票上的原始供应商替换为其他有效供应商。
• 3)时空变异(Temporal Variance)。把日期前后移动若干天(小到足以保留趋势)， 足以使它无法识别。
• 4)数值变异(Value Variance)。应用一个随机因素(正负一个百分比，小到足以保持趋势)，重要到足以使它不可识别。
• 5)取消或删除(Nulling or Deleting)。删除不应出现在测试系统中的数据。
• 6)随机选择(Randomization)。将部分或全部数据元素替换为随机字符或一系列单个字符。
• 7)加密技术(Encryption)。通过密码代码将可识别、有意义的字符流转换为不可识别的字符流。
• 8)表达式脱敏(Expression Masking)。将所有值更改为一个表达式的结果。例如，用一个简单的表达式将一个大型自由格式数据库字段中的所有值(可能 包含机密数据)强制编码为“这是个注释字段”。
• 9)键值脱敏(Key Masking)。指定的脱敏算法 /进程的结果必须是唯一且可重复的，用于数据库键值字段(或类似字段)脱敏。这种类型脱敏对用于测试需要保持数据在组织范围内的完整性极为重要。

2.10 网络安全术语

(1)后门: 指计算机系统或应用程序的忽略隐藏入口。它允许未经授权用户绕过密码等限制获取访问权限。
(2)机器人或僵尸。 已被恶意黑客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站。远程控制机器人用来执行恶意任务。
(3)Cookie。 网站在计算机硬盘上安放的小型数据文件，用于识别老用户并分析其偏好。Cookie 用于互联网电子商务。 由于 Cookie 有时会被间谍软件利用，从而引发隐私问题，所以 Cookie 的使用也是有争议的。
(4)防火墙。 过滤网络流量的软件和/或硬件，用于保护单个计算机或整个网络免受未经授权的访问和免遭企图对系统的攻击。
(5)周界。 指组织环境与外部系统之间的边界。通常将防火墙部署在所有内部和外部环境之间。
(6)DMZ。 非军事区(De-militarized Zone)的简称，指组织边缘或外围区域。在 DMZ 和组织之间设有防火墙。DMZ 环境与 Internet 互联网之间始终设有防火墙。DMZ 环境用于传递或临时存储在组织之间移动的数据。
(7)超级用户账户。 超级用户(Super User)账户是具有系统管理员或超超级用户访问权限的账户，仅在紧急情况下使用。这些账户的凭据保存要求具有高度安全性，只有在紧急情况下才能通过适当的文件和批准发布，并在短时间内到期。
(8)键盘记录器。 是一种攻击软件，对键盘上键入的所有击键进行记录，然后发送到互联网上的其他地方。因此，它将会捕获每个密码、备忘录、公式、文档和 Web 地址。通常， 受感染的网站或恶意软件下载将安装键盘记录器。某些类型的文档下载也允许安装键盘记录器。
(9)渗透测试。 来自组织本身或从外部安全公司聘任的“白帽”黑客试图从外部侵入系统，正如 恶意黑客一样，试图识别系统漏洞。==查找漏洞是一个持续的过程，不应受任何指责，唯一要做的 是安装安全补丁。==
(10)虚拟专用网络(VPN)。 使用不安全的互联网创建进入组织环境的安全路径或“隧道”。隧道是高度加密的。VPN 允许用户和内部网络之间通信，通过使用多重身份验证元素连接到组织环境外围的防火墙。然后，VPN 对所有传送数据进行强加密。P174-176 ***

2.11 数据安全类型

(1)设施安全。 ==设施安全是抵御恶意行为人员的第一道防线。== 设施上至少应具有一个锁定能力的数据中心,其访问权限仅限于授权员工。

(2)设备安全。
设备安全(Device Security)的标准包括:

• 1)使用移动设备连接的访问策略。
• 2)在便携式设备(如笔记本计算机、DVD、CD 或 USB 驱动器)上存储数据。
• 3)符合记录管理策略的设备数据擦除和处置。
• 4)反恶意软件和加密软件安装。
• 5)安全漏洞的意识。

(3)凭据安全。 凭据安全是为每个用户分配访问系统时使用的。
有多种不同方式：

• 1)身份管理系统。单点登陆。
• 2)电子邮件系统的用户 ID 标准。电子邮件域，用户 ID 应当是唯一的。
• 3)密码标准。==密码是保护数据访问的第一道防线。建议用户每 45-180 天更改一次密码。==
• 4)多因素识别。所有具有高度敏感信息权限的用户都应使用双重因素识别技术登录网络。

(4)电子通信安全。 不安全的通信方式可被外部读取或拦截。用户必须接受安全培训。发送电子邮件后，用户将失去对其中信息的控制。它可以在发件人不知情或没有同意的情况下被转发给其他人。

P176 ***

2.12 数据安全制约因素

数据安全制约因素： (1)保密等级。“需要知道“。(2)监管要求。”允许知道“。P177

保密和监管区别是 P177

• 主要是来源不同。==保密要求来自内部，监管要求来自外部。==
• 另外的区别是任何数据集(如文档或数据库视图)只能有一个密级,其密级是基于该数据集中最敏感(最高密级)的数据项设立的。然而,监管分类是附加的。单个数据集可能根据多个监管类别限制数据。

当安全限制应用于用户授权(用户授权提供对特定数据元素的访问权限)时，必须遵循全部保护策略，无论这些策略是内部的还是外部的。P178 ***

机密数据分 5 类： P178 ***

• 1)对普通受众公开(For General Audiences)。
• 2)仅内部使用(Internal Use Only)。仅限员工或成员使用的信息，但信息分享的风险很小。这种信息仅供内部使用、可在组 织外部显示或讨论，但不得复制。
• 3)机密(Confidential)。若无恰当的保密协议或类似内容， ==不得在组织以外共享。==不得与其他客户共享客户机密信息。
• 4)受限机密(Restricted Confidential)。 受限机密要求个人通过许可才能获得资格，仅限于特定“需要知道”的个人。
• 5)绝密(Registered Confidential)。信息机密程度非常高，任何信息访问者都 必须签署一份法律协议才能访问数据， 并承担保密责任。

监管限制的数据。 每个企业都必须建立满足自身合规需求的法规类别。更重要的是，此过程和分 类必须尽可能简单，以便具有可操作性。当法规类别的保护法案相似时，应合并为“系列”法规。 每个法规类别都应包括可审计的保护措施，这并非组织工具，而是一种执行方法。
==法规类别的最佳数量建议不超过 9 个。== 一些法规类别示例如下： P178 ***

• 1)法规系列举例： 个人身份信息 PII。财务敏感数据。医疗敏感数据/ 个人健康信息 PHI。教育记录。
• 2)行业法规或基于合同的法规： 支付卡行业数据安全标准 PCI- DSS。竞争优势或商业秘密。合同限制。

2.13 系统安全风险

识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护。另外,还需要确定系统的固有风险。P179

系统安全风险包括可能危及网络或数据库的风险要素。P180-182
(1) 滥用特权。 数据访问权限，应采用==最小特权原则==，防止权限过大。仅允许用户、进程或程序访问其合法目的所允许的信息。解决权限过大的方案是查询级访问控制，这种控制机制可将数据库权限限制为最低要求的 SQL 操作和数据范围。控制粒度要从表格级访问深入到==特定行和特定列==。 在许多组织中有必要使用自动化工具，以使查询级访问控制真正发挥作用。
(2)滥用合法特权。 故意和无意滥用。部分解决滥用合法特权的方案是==数据库访问控制==。
(3)未经授权的特权升级。 攻击者可能会利用数据库平台软件漏洞将访问权限从普通用户权限变为管理员权限。 将 IPS 和查询级访问控制入侵防护相结合，以防止特权升级漏洞。将 IPS 和其它攻击指标结合， 可提高识别攻击的准确性。
(4)服务账户或共享账户滥用。 使用服务账户(批处理ID)和共享账户(通用ID)会增加数据泄露风险,并使跟踪漏洞来源的能力更加复杂。

• 1)服务账户。将服务账户的使用限制为特定系统上的特定命令或任务，需要文档和批准才能分发凭据。
• 2)共享账户。

(5)平台入侵攻击。 数据库资产的软件更新和入侵防护需要结合定期软件升级(补丁) 和部署专用入侵防御系统(Intrusion Prevention Systems,IPS)。
(6)注入漏洞。 在SQL注入攻击中,攻击者将未经授权的数据库语句插入(或注入)到易受攻击的SQL数据通道中,如存储过程和Web应用程序的输入空间。
(7)默认密码。 清除默认密码是每次实施过程中的重要安全步骤。攻击者不断寻找一种窃取敏感数据的捷径。创建必需的用户名和密码组合,并确保DBMS中并未保留默认密码,可缓解对敏感数据的威胁。清除默认密码是每次实施过程中的重要安全步骤。
(8) 备份数据滥用。 备份是为了降低数据丢失而产生的相关风险,但备份也代表一种安全风险。

2.14 黑客行为/黑客

黑客是在复杂的计算机系统中发现未知操作和路径的人。黑客有好有坏。道德或“白帽”(美国西部电影中主人公总是戴着白帽子)黑客致力于改进系统。恶意黑客是故意破坏或“黑入”计算机系统以窃取机密信息或造成损害的人。P182 ***

2.15 网络钓鱼/社工威胁

社会工程: 是指恶意黑客试图诱骗人们提供信息或访问信息的方法。黑客利用所获得的各种信息来说服有关员工他们有合法的请求。P182

网络钓鱼: 指通过电话、即时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。特别危险的是专门针对高管的虚假电子邮件。这被称为 “鲸鱼的鱼叉”。P182

2.16 恶意软件

恶意软件: 广告软件。间谍软件。特洛伊木马。病毒。蠕虫。P183 ***

恶意软件来源:

• 1)即时消息。
• 2)社交网。==某些员工在社交网站上可能发布企业敏感信息或可能影响上市公司股价的“内部”知识,从而引发风险。==
• 3)垃圾邮件。检测垃圾邮件方法之一是将光 标悬停在任意超链接上，该超链接将显示实际链接是否与文本中的公司有共同之处。另一种方法是看是否显示为无法取消订阅。P184***

3 语境关系图

3.1 定义

数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和审计。

数据安全需求来自： P165 见下图7-2
(1)利益相关方。
(2)政府法规。 政府法规制定的出发点是保护利益相关方的利益。政府法规目标各有不同，有些规定是限制信息访问的，而另一些 则是确保公开、透明和问责的。
(3)特定业务关注点(专有数据的保护)。 每个组织的专有数据都需要保护。这些数据运用得当，组织就可以获得竞争优势。
(4)合法访问需求。
(5)合同义务。 需要以规定方式保护某些类型的数据。

3.2 目标

目标： P168

• 1 支持适应访问并防止对企业数据资产的不适当访问。
• 2 持对隐私、保护和保密制度、法 规的遵从。
• 3 确保满足利益相关方对隐私和保密的要求。==【防止不当访问。法规遵从性。满足利 益方要求】==

原则：P169

• 1)协同合作。数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门
• 2)企业统筹。保证组织的一致性。
• 3)主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、 信息技术、数据管理以及业务利益相关方之间的传统职责分离。
• 4)明确责任。必须明确界定角色和职责,包括跨组织和角色的数据“监管链”。
• 5)元数据驱动。数据安全分类分级是数据定义的重要组成部分。
• 6)减少接触以降低风险。最大限度减少敏感/机密数据的扩散，尤其是在非生产环境。

3.3 业务驱动因素

业务驱动因素： 1 ==降低风险==和 2 ==促进业务增长==是数据安全活动的主要驱动因素。3 安全本身就是宝贵的资产。

1.降低风险。 数据安全最好在企业级层面开展。分开可能会导致总成本增加，并可能由于不一致的保护措施而降低安全性。==一个在整个企业中得到适当资金支持、面向系统并保持一致的运营安全策略将降低这些风险。==无效的安全体系结构或流程会导致组织产生违规亏本并降低工作效率。信息安全管理要先对组织内部数据进行==分类分级==，以便识别需要保护的数据。P166***
分类分级的流程如下： P167-168

• 1)识别敏感数据资产并分类分级。
• 2)在企业中查找敏感数据。
• 3)确定保护每项资产的方法。
• 4)识别信息与业务流程如何交互。==还要对外部威胁和内部风险进行评估。==

2.业务增长。 产品和服务质量与信息安全有相接关系。强大的信息安全能够推动交易进行并建立客户的信心。P168 ***

3.安全性作为资产。 元数据是管理敏感数据的方法之一。标准安全的元数据可用于优化数据保护，指导业务开展和技术支持流程，从而降低成本。与安全相关的元数据本身就成了一种战略资产，可以提高交易、报告和业务分析的质量，同时降低由于保护成本和丢失或被盗信息而导致的相关风险。P168 ***

3.4 输入

3.5 活动

活动： 1 识别数据安全需求。2 制定数据安全制度。3 制定数据安全细则。4 评估当前安全风险。 5 实施控制和规程。P167 图 7-2

安全监管关注的是安全结果，而非实现安全的手段。组织应设计自己的安全控制措施，并证明这些措施已达到或超过了法律法规的严格要求。

3.5.1 识别数据安全需求

识别数据安全需求： 区分业务需求、外部监管限制和应用软件产品的规则很重要。P185

==1 业务需求==。在组织内实施数据安全的第一步是==全面了解组织的业务需求==。组织的业务需求、使命、 战略和规模以及所属行业，决定了所需数据安全的严格程度。安全触点。数据-流程矩阵和数据 -角色关系矩阵是非常有效的工具)。
==2 监管要求==。创建一份完整的清单，包含法规清单，写清影响的数据主题域、相关安全策略链接、控制措施。

影响数据安全的法律法规示例如下:
(1)美国
1)2002年萨班斯-奥克斯利法。
2)作为2009年美国复苏和再投资法案的一部分而颁布的经济和临床健康卫生信息技术法案(HITECH)。
3)1996年健康保险便携性和责任法案(HIPAA)。
4)美国金融服务法I和II。
5)美国证券交易委员会(SEC)法律和公司信息安全责任法。
6)国土安全法案和美国爱国者法。
7)联邦信息安全管理法。
8)加利福尼亚州:SB 1386,加州安全违规信息法。
(2)欧盟
1)数据保护指令(EU DPD 95/46/)AB 1901,涉及电子文件或数据库的盗窃。

(3)加拿大
1)加拿大198法案。
(4)澳大利亚
1)澳大利亚经济改革计划法案(CLERP法案)。

影响数据安全的行业监管规范,包括:
1)支付卡行业数据安全标准(PCI DSS)。以合同协议的形式且适用于所有信用卡的公司。
2)欧盟的《巴塞尔协议II》。对在欧盟相关国家开展业务的所有金融机构实施信息控制。
3)客户信息保护的FTC(联邦贸易委员会)标准(美国)。
遵守公司制度或监管限制通常需要调整业务流程。例如,为遵从HIPAA要求,需要授权多个独立用户组访问用户健康信息(受管制的数据元素)。

3.5.2 制定数据安全制度

组织在制定数据安全制度时应==基于自己的业务和法规要求==。
制度是 所选行动过程的陈述以及为达成目标所期望行为的顶层描述。
数据安全策略 描述了所决定的行为，这些行为符合保护其数据的组织的最佳利益。要使这些制度产生可衡量的影响，它们必须是可审计且经审计过的。 P186

管理与企业安全相关的行为需要不同级别的制度,不同级别的制度: P186

• 1)企业安全制度。员工访问设施和其他资产的全局策略、电子邮件标准和策略、基于职位或职务的安全访问级别以及安全漏洞报告策略。
• 2)IT 安全制度。目录结构标准、 密码策略和身份管理框架。
• 3)数据安全制度。单个应用程序、数据库角色、用户组和信息敏感性的类别。

【数据治理委员会】是数据安全制度的审查和批准方。【数据管理专员】是制度的主管方和维护方。

3.5.3 定义数据安全细则

==细则是对制度的补充==，并提供有关如何满足制度意图的其他详细信息。
例如,制度可能声明密码必须遵循强密码准则;强密码的标准将单独详细阐述; 如果密码不符合强密码标准,将会通过阻止创建密码的技术强制执行该制度。

1 定义数据保密等级。 ==保密等级分类==是重要的元数据特征，用于指导用户如何获得访问权 限。
2 定义数据监管类别。==对待特定数据法规的有效方法是分析类似法规并分组归类。可通过使用相同的保护措施类别对数据法规进行恰当的管理==。大多数信息可以聚合，从而使其具有更高或更低的敏感性。分类分级的工作成果是一组经正式批准的安全分级和监管类别。
3 定义安全角色。 角色组减轻工作量。对角色进行定义和组织的方法有两种:网络(从数据开始)或层次结构(从用户开始)。
在用户和角色管理中的挑战之一是==数据一致性==。为避免数据完整性问题，需要对用户身份数据和角色组成员身份集中管理，这也是有效访问控制数据质量的要求。安全管理员创建、修改和删除用户账户和角色组以及对组分类和成员资格的变更应得到批准。应通过变更管理系统跟踪变更。
在组织内不一致或不恰当地应用数据安全措施==可能会导致员工不满==，并给组织带来重大风险。基于角色的安全取决于明确定义、一致分配的角色。两个工具:角色分配矩阵。角色分配层次结构。P188-189。***

3.5.4 评估当前安全风险

安全风险包括可能危及网络和/或数据库的因素。识别风险的第一步是确定敏感数据的存储位置，以及这些数据需要哪些保护措施。P189
对每个系统进行以下评估：

• 1)存储或传送的数据敏感性。
• 2)保护数据的要求。
• 3)现有的安全保护措施。

3.5.5 实时控制和规程

主要由【安全管理员】负责，与【数据管理专员】和【技术团队】 协作。数据库安全性通常是 DBA 的职责。
控制和规程至少应包括：P190
1)用户如何获取和终止对系统和/或应用程序的访问权限。
2)如何为用户分配角色并从角色中去除。
3)如何监控权限级别。
4)如何处理和监控访问变更请求。
5)如何根据机密性和适用法规对数据进行分类。
6)检测到数据泄露后如何处理。

控制和规程：P190-191
(1)分配密级。【数据管理专员】负责评估和确定适当的数据密级。
(2)分配监管类别。组织应创建或采用能确保满足法规遵从要求的分类方案。
(3)管理和维护数据安全。主要任务是确保不会发生安全漏洞。如果发生漏洞，则尽快检测出来。持续监视系统和审核安全程序的执行，对于维护数据安全至关重要。

• 1)控制数据可用性/以数据为中心的安全性。
  • 定义授权和授予授权需要数据清单、对数据需求仔细分析以及每个用户权利中公开的数据文档。
  • 即使数据无意暴露，利用数据脱敏也可以保护数据。解密密钥授权可以是用户授权过程的一部分。授权访问解密密钥的用户可以看到未加密的数据，而其他人只能看到随机字符。
  • 关系数据库视图可用于强制执行数据安全级别。视图可以基于数据值限制对某些行的访问，或对某些列的限制访问，从而限制对机密/受监管字段的访问。
• 2)监控用户身份验证和访问行为。 报告访问是合规性审计的基本要求。监视身份验证和访问行为提供了有关谁正在连接和访问信息资产的信息。监控还有助于发现值得调查的异常、意外或可疑的交易。

(4) 管理安全制度遵从性。1)管理法规遵从性。2)审计数据安全和合规活动。

敏感或异常数据库事务的自动记录应该是任何数据库部署的一部分。缺乏自动化监控意味着严重的风险：P191

• 1)监管风险。
• 2)检测和恢复风险。审计机制代表最后一道防线。
• 3)管理和审计职责风险。审计职责应独立于 DBA 和数据库服务器平台支持人员。
• 4)依赖于不适当的本地审计工具的风险。当该机审计日志显示欺诈性数据库事务时，缺乏指向对此负责的用户链接。

为了降低风险,可以部署实施基于网络的审计设备。基于网络审计设备具有优点： 高性能。职责分离。精细事务跟踪。P192

管理法规遵从性包括： P192

• 1衡量授权细则和程序的合规性。
• 2确保所有数据需求都是可衡量的，因此也是可审计的。
• 3使用标准工具和流程保护存储和运行中的受监管数据。
• 4发现潜在不合规问题以及存在违反法规遵从性的情况时，使用上报程序和通知机制。
  ==【本身程序合规。数据需求可测量可审计。有标准工具和流程来实现。发现问题有上报程序和通知机制】==

数据安全制度的表述、标准文档、实施指南、变更请求、访问监控日志、报告输出和其他记录(电子或硬拷贝)构成了审计的输入来源 。 还有执行测试和检查。 P192

审计测试和检查内容举例 P192

• 1评估制度和细则，确保明确定义合规控制并满足法规要求。
• 2分析 实施程序和用户授权实践，确保符合监管目标、制度、细则和预期结果。
• 3评估授权标准和规程 是否充分且符合技术要求。
• 4当发现存在违规或潜在违规时，评估所要执行的上报程序和通知机 制。
• 5审查外包和外部供应商合同、数据共享协议以及合规义务，确保业务合作伙伴履行义务及 组织履行其保护受监管数据的法律义务。
• 6评估组织内安全实践成熟度，并向高级管理层和其他 利益相关方报告“监管合规状态”。
• 7推荐的合规制度变革和运营合规改进。

3.6 交付成果

3.7 技术驱动因素

3.8 方法

管理信息安全取决于 组织规模、网络架构、要保护的数据类型以及组织采纳的安全策略和标准。1 应用 CURD 矩阵(CURDE-创建、读取、更新、删除、执行)。2 即时安全补丁部署。3元数据中的数据安全属性。4 项目需求中的安全要求。5 加密数据的高效搜索。6 文件清理。P195

3.9 工具

信息安全管理使用的工具，在很大程度上取决于==组织规模、网络架构以及安全组织采用的 策略和标准==。 1)杀毒软件/安全软件。2)HTTPS。3)身份管理技术。4)入侵侦测和入侵防御软件。 5)防火墙(防御)。6)元数据跟踪。7)数据脱敏/加密。P193-194

3.10 度量指标

度量指标: 安全实施指标。安全意识指标。数据保护指标。安全事件指标。机密数据扩散。P199-200

常见的安全实施指标 P200

• 1)安装了最新安全补丁程序的企业计算机百分比。
• 2)安装并运行最新反 恶意软件的计算机百分比。
• 3)成功通过背景调查的新员工百分比。
• 4)在年度安全实践测验中得 分超过 80%的员工百分比。
• 5)已完成正式风险评估分析的业务单位的百分比。
• 6)在发生如火灾、 地震、风暴、洪水、爆炸或其他灾难时，成功通过灾难恢复测试的业务流程百分比。
• 7)已成功 解决审计发现的问题百分比。

安全意识指标：P200

• 1)风险评估结果。
• 2)风险事件和配置文件。
• 3)正式的反馈调查和访谈。
• 4)事故复盘、经验教训和受害者访谈。
• 5)补丁有效性审计。

数据保护指标： P200

• 1)特定数据类型和信息系统的关键性排名。如果无法操作，那么将对企业产生深远影响。
• 2)与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期。
• 3. 特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。
• 4)数据与特定业务流程的风险映射，与销售点设备相关的风险将包含在金融支付系统的风险预测中。
• 5)对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估。
• 6)对可能意外或有意泄露敏感 信息的业务流程中的特定部分进行漏洞评估。

安全事件指标： P200

• 1)检测并阻止入侵尝试数量。
• 2)通过防止入侵节省的安全成本投资回报。

机密数据扩散。应衡量机密数据的副本数量，以减少扩散。机密数据存储的位置越多，泄露的风险就越大。P201

4 实施指南

就绪评估/风险评估。 完美的数据安全几乎不可能，但避免数据安全漏洞的最佳方法是建立安全 需求、制度和操作规程的意识。
组织可通过以下方式提高合规性: P196

• 1)培训。此类培训和测试应 是强制性的，同时是员工绩效评估的前提条件。
• 2)制度的一致性。为工作组和各部门制定数据安全制度和法规遵从制度，以健全企业制度为目标。
• 3)衡量安全性的收益。组织应在平衡记分 卡度量和项目评估中包括数据安全活动的客观指标。
• 4)为供应商设置安全要求。在服务水平协 议(SLA)和外包合同义务中包括数据安全要求。SLA 协议必须包括所有数据保护操作。
• 5)增强紧迫感。强调法律、合同和监管要求，以增强数据安全管理的紧迫感。
• 6)持续沟通。

为了促进其合规，==制定数据安全措施==必须站在==那些将使用数据和系统的人的角度==考虑。精心规划和全面的技术安全措施应使利益相关方更容易获得安全访问。P197

外包世界中的数据安全。 ==任何事情皆可外包,但责任除外==。 任何形式的外包都增加了组织风险，包括失去对技术环境、对组织数据使用方的控制。数据安全措施和流程必须将外包供应商的风险既视为外部风险，又视为内部风险。包括数据安全架构在内的 IT 架构和所有权应该是一项内部职责。换句话说，内部组织拥有并管理企业和安全架构。外包合作伙伴可能负责实现体系架构。P197

外包组织从 CRUD(创建、读取、更新和删除)矩阵的创建中受益匪浅。该矩阵映射跨业务流程、应用程序、角色和组织的数据职责,以跟踪数据转换、血缘关系和监管链。此外,执行业务决策或应用程序功能(如批准审查、批准订单)的能力必须包含在矩阵中。
负责、批注、咨询、通知(RACI)矩阵也有助于明确不同角色的角色、职责分离和职责,包括他们的数据安全义务。RACI矩阵可成为合同协议和数据安全制度的一部分。P197

转移控制，并非转移责任，而是需要更严格的风险管理和控制机制。其中一些机制包括: P197

• 1)服务水平协议(SLA)。
• 2)外包合同中的有限责任条款。
• 3)合同中的审计权条款。
• 4)明确界定违反合同义务的后果。
• 5)来自服务提供商的定期数据安全报告。
• 6)对供应商系统活动进行独立监控。
• 7)定期且彻底的数据安全审核。
• 8)与服务提供商的持续沟通。
• 9)如果供应商位于另一国 家/地区并发生争议时，应了解合同法中的法律差异。

5 数据安全治理

保护企业系统及其存储的数据需要 ==IT 和业务利益相关方之间的协作==。清晰有力的制度和规程是数据安全治理的基础。

安全架构涉及: P198

• 1)用于管理数据安全的工具。
• 2)数据加密标准和机制。
• 3)外部供应商和承包商的数据访问指南。
• 4)通过互联网的数据传送协议。
• 5. 文档要求。
• 6)远程访问标准。
• 7)安全漏洞事件报告规程。

安全架构对于以下数据的集成尤为重要: P199

• 1)内部系统和业务部门。
• -2)组织及其外部业务合作伙伴。
• 3)组织和监管机构。

6 关键架构图

1. 图7-1 数据安全语境关系图

   
   
   图7-1 数据安全语境关系图

2. 图 7-2 语境关系图：数据安全需求的来源

   
   
   图 7-2 语境关系图：数据安全需求的来源