• 安策数据加密保护-如何建设数据安全管理能力

    20226月9日,国家市场监督管理总局、国家互联网信息办公室发布了《关于开展数据安全管理认证工作的公告》 ,基于 《信息安全技术 网络数据处理安全要求》(以下简称“GB/T 41479”)等相关标准规范开展数据安全管理认证工作, 也可简称DSM认证,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并发布了《数据安全管理认证实施规则》(以下简称“《规则》”)来指导具体的认证工作。

    01 数据安全管理体系化建设的必要性

    DSM认证不是针对某个产品或服务的单独认证,是基于GB/T41479等相关标准规范从数据处理全生命周期的安全技术要求(包括收集、存储、使用、传输、提供、删除、访问控制等),以及安全管理要求(包括数据安全负责人、人力保障、事件应急处置),双重维度来分析数据处理行为的安全与合规。

    网络运营者以往仅以“防黑客攻击与满足合规性”为焦点,难以满足GB/T41479的要求,因此亟需围绕“数据的安全使用”开展更加严格、具体、有效且持续的建设,通过数据安全治理体系化建设,实现“数据安全防护、敏感信息管理与合规”的重要目标,以体系化的思路建设数据安全管理能力对于日后经营业务的顺利展开具有重大意义。

    02数据安全管理的技术体系支撑能力

    网络运营者在进行数据安全管理体系化建设的时候,应参照标准GB/T 41479中提出的具体要求,本文从标准应用角度出发,详解标准内容,展示实践案例,供参考:

    实践建议1数据资产梳理和分类分级依赖的关键技术主要有基于数据源探测/数据识别算法,发现数据源,识别数据特征,通过字段名、数据、字段描述三要素进行数据特征识别。利用多维度规则进行表/字段名称与备注拆分,针对业务属性进行统计分析,表/字段自动关联统计,机器学习/建模/持续更新,进行分类分级结果发布与使用。

    实践建议2首先要将数据安全管理体系与数据安全技术体系二者以有效运营的方式持续建设并推行。围绕数据安全工作需求,实现“集中化、规范化、流程化”的日常化数据安全运营。数据安全运营管控平台整合了风险评估、分类分级、事件监测、加密、脱敏、审计、防护等关键技术,通过可视化的运营监管功能界面设计,从资产、数据、业务、合规、事件、处置、风险等多维度进行监管,帮助管理者全面掌握数据安全运营状况,落实数据安全保护义务。

    实践建议3数据库安全审计关键技术涵盖数据库网络流量分析技术、数据库访问协议精确解析和词法语法分析、高性能入库技术、虚拟化环境下的插件引流技术、大数据分析技术和可视化展现技术。很多数据入侵和非法访问掩盖在合理的授权下,通过数据分析技术,对异常行为准确发现和定义,及时向用户告警。

    实践建议4数据库透明加解密关键技术使得数据库的存储加密保证数据在物理层得到安全保障,加密技术的关键是解决几个核心问题:加密与权控技术的整合;加密后的数据可快速检索,应用透明。

    实践建议5web敏感数据监测的关键技术基于网络流量通讯协议分析和解析技术,具有API接口自动发现、敏感数据识别、应用账号发现、流式计算引擎及高速策略匹配引擎等核心技术。可帮助用户全面掌握敏感数据使用状况,及时防控敏感数据行为风险,针对数据泄露事件进行有效溯源,快速梳理业务应用及接口资产。

    实践建议6数据脱敏技术是解决数据共享过程中敏感数据匿名化的关键技术,脱敏技术依赖的关键技术包括:数据语义保持;数据间关系的保持;增量数据脱敏;可逆脱敏。

    实践建议7数据库运维安全的关键技术包括运维管控到表、列级及各种数据库操作;可精确控制到具体的语句、语句执行的时间、执行阈值;满足事前审批,事中控制、事后全审计的模式。同时,对返回的敏感数据实现部分遮盖。

     

    版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com

    来源:安策科技、 | 关键词:软件安全 | 受欢迎指数(

与我们一起实践过安全的企业代表