您现在的位置是:云播影院 > 法律常识 >
数据安全基础知识之数据架构
文章来源:admin 时间:2024-05-24
等技术的不断发展,“数据”已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。数据的计量单位至少是PB级别计算。这个时代不仅给“数据”赋予了“价值”属性,也同步赋予了“法律”属性,这些都推动着国家和企业重视数据,重视数据安全。
据IBM《2019年全球数据泄露成本报告》显示,恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。数据泄漏对企业来说不仅是经济损失,还有国家层面的巨额罚款;比如Facebook的8700万用户数据的不当泄漏被罚款50亿美金,英国航空公司的50万乘客数据的不当泄漏被罚款2.3亿美元;国内大量企业都号称自己有百万、千万甚至过亿的用户量,但你们是否有相应的数据安全能力来保证用户数据不外泄,或者你们是否有能力应对合规层面的巨额罚款。
国内层面,近期相继出台了《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、 《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》等。
结构化数据:即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据
非结构化数据:包括所有格式的工作文档、文本、图片、XML、HTML、各类报表、图像和音频视频信息等等
半结构化数据:就是介于完全结构化数据(如关系型数据库、面向对象数据库中的数据)和完全无结构的数据(如声音、图像文件等)之间的数据,HTML文档就属于半结构化数据
通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
互联网+的时代,市场的快速变化,企业业务的极速调整,企业每天都有可能出现系统上线、功能调整、接口的三方接入、数据的线上和线下外发等。面对这些变化和场景,我们如何应对?
新技术带来新风险。云、物联网、大数据和AI等新技术的广泛应用给企业带来了巨大生产力的同时,也改变了传统网络的数据防护思路,新型的网络威胁我们如何应用?
大数据的兴起,数据的起始计量单位变成至少是PB级,甚至是EB级,在如此庞大的数据量面前,如何有效管理,如果做数据的快速识别、监控、检测、处置、响应?
数据价值的提升,导致外部威胁的目的性、隐蔽性、破坏性都成上升趋势。如何降低威胁暴露面和何种体系防护应对?
目标:满足合规,贴合业务,将数据风险降低至可接受水平,让数据使用更安全。
办法总比困难多,面对各位数据安全挑战,数据安全从业者要有自己的数据安全防护体系思路,善于学习新技术新经验的能力,总结自己的套路和打法,以终为始,不断更新和进步。
业务面前,安全不是他们的对立面,要采取双赢思维,建立信任关系。业务的目的是盈利,而安全是保证业务稳定盈利,规避风险最佳帮手,彼此相辅相成,相互依存。
数据安全的执行和管理需要以数据为中心,宏观层,在满足合规的基础上,依托组织建设,采取技术和管理的手段,实施层,采取“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大安全功能,保证数据全证明周期的安全。
基于数据安全模型框架,梳理数据安全建设过程所需的基本功能和重点功能,制定如下数据安全建设框架:
数据治理小组负责整体决策层工作,比如数据安全计划的定位,策略、政策和组织等的制定;数据安全团队负责整体战术层和执行层工作,战术层比如具体安全计划的管理管控,如合规管理、风险管理、计划管理、进度管理和指标管理等等;执行层负责整体数据安全计划的落地工作,人员包括专业的数据安全人员和各业务团队的安全接口人。
通过“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大功能,落地数据安全的合规、管理、技术和运营。
通过组织建设和数据安全能力实现,保证组织用户数据、业务数据和公司数据,最终实现使数据使用更安全的愿景。
数据安全工作如此繁杂多样,我们如何具体落地和有序建设执行呢,基于数据安全建设框架,制定如下数据安全实施框架:
整体来看,每做一件事情,我们都要先做好计划,然后实施,实施中进行复核检测,进而改进,如此反复,阶梯式完成,形成一个PDCA的循环。
我们要制定好计划、确定范围和明确目标,识别的重点工作为:范围和边界的识别、账号识别、权限识别、数据识别、系统识别、操作识别、流程识别和数据的分类分级。
在Plan中的成果进行处置,事前做保护,事中做监视和检测,事后做响应和恢复。重点工作为合规的落地;安全基线的落地;管理制度的建立‘敏感信息在数据生命周期中的管控、处置和审计,如敏感数据打标签、传输的加密、存储的加密或脱敏、使用的脱敏、操作的日志记录等。
注:合规的部分问题可以参考我另两篇文章《数据安全怎么做——合规篇之CCPA》《数据安全怎做——合规篇之数据安全法》
其他详细内容都在撰写中,后续会一一发出,比如数据安全治理、管理各种子篇、技术各种子篇等等,敬请期待。
数据安全是企业安全中与业务贴合最近的一项工作,好的落地势必会带来对业务的影响,所以搞定管理层是关键性因素,给数据安全工作戴上数据治理的帽子,
安全牵头,拉上所有数据相关方共同执行和承担责任,这样会大大增加工作开展的效率和有效性。
除此之外,数据安全的工作繁多,数据安全从业者需要为众多事情结合公司业务排好优先级,风险最大的不一定先做,优先做公司业务当前状态最需要的刚需,制定好工作计划,摸清家底,工作有序开展。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。举报投诉
采集本身不了解而盲目去做项目会走很多弯路,这篇文章可以帮助初学者掌握一些
,ARM相比单片机多了一些外设和总线。在仅仅是裸奔的情况下,如果熟悉了ARM
之所以更复杂,当然是为了跑更快以及更好地支持片上系统,所以在某种程度上来说对片上系统不是很了解的话那对于ARM
量少,主要用于IC之间的通讯,而 CAN 总线则不同,CAN(Controller Area Network) 总线
总结本文为个人学习笔记,仅供学习参考用,如有侵权,请联系(一)简单理解32位操作系统只能支持4G内存(二)
模块,包括I / O焊盘,逻辑块和开关矩阵。FPGA是VLSI的一些新兴趋势领域。FPGA
类型字节数值范围Char1-128~127Unsigned char10`255short2-32768
类型一.界面介绍 (基于 MATLAB R2018a)MATLAB的工作界面形式简洁,主要由标题栏、功能区、工具栏、当前目录窗口
一STM32的介绍STM32是基于ARM内核的32位MCU系列———内核为ARM公司为要求高性能,低成本,低功耗的嵌入式应用专门
其中提到了一些高速串行信号的测试测量方法和简单的原理性介绍,适合初学者使用。PS。这其中提到的一些测量设备现在已经升级为最新的仪器设备,但是测试的原理和技术还是可以让大家闲暇时候品一品的。如有任何问题,欢迎坛友们与小弟交流~~~
本帖最后由 eehome 于 2013-1-5 10:10 编辑 液晶显示器
挑选用于测量电流的分流电阻器一个分流电阻器中三个电阻两个端子还是四个?
目的:基于实际经验与实际项目详细理解并掌握成为合格的硬件工程师的最基本
目的:基于实际经验与实际项目详细理解并掌握成为合格的硬件工程师的最基本
目的:基于实际经验与实际项目详细理解并掌握成为合格的硬件工程师的最基本
最新教程简介本章节为大家讲解UDP(User Datagram Protocol,用户
报协议),需要大家对UDP有个基础的认识,方便后面章节UDP实战操作。 (本章的
前言《MSP430单片机应用基础与实践》(华中科技大学出版社)------第0章------计算机的
1.2 开发环境1.2.1 软件开发环境1.2.2 硬件环境SPI2. Demo...
各項基礎知識1. 光學與顏色2. 冷陰極燈管3. 背光源的結構4. 光學材料的選用5. 設計上的考量因素6. 未來的挑戰未來的發展趨勢與挑戰? 大型化? 高輝度、廣視角化? 長壽命化? 輕量化? 結構簡單化? 低價化? 前光源
一、简介现今,在实验室研究、测试和测量以及工业自动化领域中,绝大多数科研人员和工程师使用配有PCI、PXI/CompactPCI、PCMCIA、USB、IEEE1394、ISA、并行或
教程 本课程特点:1 计算机专业重要的专业基础课之一.2 需要有关“程序设计语言”和“离散数学” 的
误差及相关概念 → 真实值与标准值误差是测量值与真实结果之间的差异,要想知道误差的大小,必须知道线
在纷繁复杂的电视广告中,我们经常听到某产品获得某国的什么认证,大概的意思呢,就是说这种认
精华集锦,其中阐述了逐次逼近模数转换器的基本原理、算法及优缺点;ADC和DAC的直流规格和交流规格分析;DAC数模转换
精华集锦,其中阐述了逐次逼近模数转换器的基本原理、算法及优缺点;ADC和DAC的直流规格和交流规格分析;DAC数模转换器详
资料下载的电子资料下载,更有其他相关的电路图、源代码、课件教程、中文资料、英文资料、参考设计、用户指南、解决方案等资料,希望可以帮助到广大的电子工程师们。
讲解文档,是一份还算不错的参考文档,感兴趣的可以下载看看,,,,,,,,,,,
,Arrays.sort(数组名)—给数组排输出,String是最基本的
模式? 我相信有很多人回答了这个问题,但我会给你一些考虑的理由。 首先,如果您了解
库由多个组件组成,包括服务器、存储引擎和客户端等。MySQL 服务器是
SQL(Structured Query Language,结构化查询语言)是一种用于管理关系型