在线图片,重点见png。
资产安全
1、数据管理
数据管理最佳实践参考
- 制定数据策略,明确数据管理的战略目标和原则
- 清晰定义数据的角色和职责,包括数据提供者、所有者和管理者
- 数据管理流程中的数据质量控制流程,确认和验证数据的准确性
- 数据管理文件化,并描述每个数据集中的元数据
- 根据用户需求和数据使用,来规划和定义数据库
- 信息系统基础设施、数据存储、数据备份以及数据自身的更新策略
- 持续的数据审计,提供数据和资产的管理有效性和数据完整性
数据策略
(Data Policy)
- 数据策略为企业或项目制定数据管理的长期战略目标
- 数据策略是一套高阶原则,为数据管理制定指导框架
- 数据策略用来解决一些战略问题,比如数据访问,相关法律问题, 数据管理问题,数据管理责任,数据获取及其他问题;
- 安全人员在制定数据策略时需要考虑的问题包括
- 成本
- 所有权和管理权
- 隐私
- 责任
- 敏感性
- 法律和策略要求
- 策略与流程
数据相关的角色与责任
- 定义所有的数据角色
- 建立全生命周期的数据所有权
- 逐步建立数据可追溯性
- 确保数据质量和元数据的指标维持在一个基本水平之上
- 数据所有权
- 信息生命周期:创建、使用、存储、传输、变更、销毁等;
- 信息一旦创建,必须明确所有权责任。通常是创建、购买、或获取信息的人;
- 所有者责任通常包括:
- 定义信息对于组织使命的影响;
- 理解信息的替换成本;
- 判断组织内网的人谁需要信息,以及在哪种环境下发布信息
- 了解在什么时候数据不再准确或不再需要,应当被销毁
- 数据所有者通常拥有数据的法律权限,包括知识产权和版权等
- 数据所有者应当建立和文件化相关策略
- 数据所有权、知识产权、版权
- 业务相关的法定义务和非法定义务,确保数据合规
- 数据安全、防泄密控制,数据发布、价格、传播相关的策略
- 在数据发布前,与用户或客户签署备忘录和授权协议,明确使用的条件
- 数据管理权
- 数据管理者的责任主要包括:
- 遵照数据策略和数据所有权指南
- 确保适当用户的访问权,以及维护适当级别的数据安全
- 基本的数据集维护,包括不限于数据存储和归档
- 数据集文档化,包括文档的更新
- 确保数据质量,以及数据集的验证,包括阶段性的审计来确保数据完整性
- 与数据管理权限岗位相关的角色有:
- 项目经理,数据经理,GIS经理,IT专家, 数据库管理员,应用开发者,数据采集或获取
- 数据管理者的责任主要包括:
数据质量
- 流程
- 数据质量原则应当在数据管理全生命周期中得到应用,从数据采集开始。 任何一个阶段的数据质量损失都将导致数据可用性的下降。
- 数据获取,并记录数据采集时间
- 数字化之前的数据操作(包括标签准备、数据分类拷贝等)
- 数据样本的标识和记录
- 数据的数字化
- 数据的文档化(获取和记录元数据)
- 数据存储和归档
- 数据发布和传播(包括纸质和电子发布,Web可访问数据库等)
- 使用数据(数据操作和数据分析等)
- 标准准确性 精确度 分辨率 可靠性 可重复性 可重现性 流通性 相关性 可审计能力 完备性 时效性
- 控制
- 质量控制(Quality Control)是基于内部的标准、流程和步骤来控制和监控质量, QC根据数据产品结果来控制;
- 质量保障(QualityAssurance)是基于外部的标准来检查数据活动和质量控制过程,确保最终的产品满足质量要求; QA在数据全生命周期提供保障;
- 数据质量期望值的两个要素:
- 1、不正确的数据记录的频率
- 2、数据记录中错误的重要性
- 数据质量控制的两个过程
- Verification确认:检查是否与源数据匹配,保证准确性等, 通常可以由不太熟悉数据的人进行
- Validation验证:评价是否达到数据质量目标, 以及发生任何偏离的原因,通常由专业人员进行
- 提升
- 预防Prevention:错误预防主要在数据收集和数据录入数据库的阶段
- 纠正Correction:必不可少的手段
- 文件化Documentation:集成到数据库设计中, 1、确保每个记录(record)得到检查,以及对记录的任何变更; 2、元数据记录
数据管理文档化和组织化
- 目标
- 确保数据寿命,并协助重用
- 确保数据使用者理解数据集的内容和局限性
- 辅助数据集的发现
- 辅助数据集和数据的交换
- 最佳实践
- 数据集的标题和文件名
- 文件内容:参数,编码域,缺失值
- 元数据:关于数据的组织、数据域及其关系的信息, 是数据的数据,包括数据标识、质量、空间、属性、数据集的分布等
采用数据标准的好处
- 数据管理效率更高(包括更新与安全)
- 促进数据共享
- 更高的数据质量
- 提升数据一致性
- 促进数据集成
- 更好的理解数据
- 提升数据资源的文件化
- 数据标准有国际的、本国的、区域的和本地的不同标准
2、数据生命周期控制
数据生命周期控制
- 数据定义、数据建模、数据处理、数据库维护和数据安全
- 持续数据审计,来监控数据使用和数据有效性
- 归档,来确保维护有效性,包括定期快照,允许一旦出现数据或备份损坏,可以回滚到之前的版本
数据定义与建模
- 数据库规划包括用户需求分析,数据建模
- 数据获取通过数据录入,报告和长期数据分析
- 数据建模是识别满足用户需求的路径
- 数据建模应当是迭代的,交互式的
- 应该考虑的问题?
- 数据模型
- 数据库概要设计阶段会产生数据模型
- 数据模型包括数据库数据的结构部分、数据库数据的操作部分和数据库数据的约束条件
- 数据结构:数据模型中的数据结构主要描述数据的类型、内容、性质以及数据间的联系等。 数据结构是数据模型的基础,数据操作和约束都基本建立在数据结构上。不同的数据结构具有不同的操作和约束
- 数据操作:数据模型中数据操作主要描述在相应的数据结构上的操作类型和操作方式
- 数据约束:数据模型中的数据约束主要描述数据结构内数据间的语法、词义联系、他们之间的制约和依存关系, 以及数据动态变化的规则,以保证数据的正确、有效和相容
数据库维护
- 指当一个数据库被创建以后的工作都叫做数据库维护。包括备份系统数据、恢复数据库系统、产生用户信息表,并为信息表授权、监视系统运行状况,及时处理系统错误、保证系统数据安全,周期更改用户口令
数据审计
- 监控数据的使用和有效性,数据审计流程包括识别组织的信息需求,明确这些需求的战略重要性级别,将需求映射到组织内外部间的信息流,识别当前提供的资源和服务是否满足需求,找出并分析差距,重复的无效的部分,进行变更
数据存储和归档
- 解决了数据的保存问题
- 考虑的因素包括:服务器硬件和软件,网络基础设施,数据集的大小和格式,数据库的维护和更新,数据库的备份和恢复需求。
- 数据归档(data archiving)是将不再经常使用的数据移到一个单独的存储设备来进行长期保存的过程
数据安全
- 针对数据安全的威胁行为包括:滥用、恶意攻击、无意错误、非授权访问,物理设备盗窃或损坏,自然灾害等;
- 采用分层的安全架构,以及深度防御架构
- 不间断电源,服务器镜像(冗余),备份,备份完整性测试
- 物理访问控制,网络访问控制,防火墙,敏感数据加密
- 软件补丁更新,事件响应,灾难恢复计划等
- 采用基于风险管理的方法
- 风险评估
- 风险降低
- 评价和评估
数据或数据库访问要解决的问题
相关的数据策略和数据所有权是什么? 谁需要访问这些数据? 数据不同的类型和不同的级别? 提供数据的成本和提供数据访问的成本? 终端用户的数据格式? 系统设计的考虑因素? 数据收集中的问题? 元数据的准确性,数据使用限制中的义务问题? 数据使用、存储、传输中的法律问题? 多用户访问中的需求? 在敏感数据方面国际法律的不同等
- 判断数据访问控制的因素包括:
- 隐私
- 商业信用
- 国际安全考虑
- 法律法规等
数据发布
- 敏感数据的标记、处理、存储和销毁:传统数据分级根据机密性,现代分级根据机密性、完整性和可用性
- 介质:需要物理和逻辑控制
- 处理:只有经过授权的人可以访问数据,必须定义相关的策略、流程、步骤
- 存储:敏感数据的备份介质应当加密存储,并封存到安全容器中。严格限制对敏感介质的访问。
- 销毁:建立销毁记录,实施重用控制
- 标记:存储介质需要打上敏感性标签,明确是否加密、联系人、保存时间等;
- 记录保留:一般根据业界标准或法律法规要求来保留数据。定期检查。
数据残留
- Clearing清除:通过正常的系统或软件恢复工具无法恢复。特殊的实验室工具可以恢复。例如,格式化。
- Purging根除:任何技术都无法恢复
- Destruction破坏:存储介质被破坏到常规设备无法读取和使用的地步至不可用
- 处理方式举例:
- Overwriting 覆写:使用程序对介质进行写操作以覆盖原有数据,通常进行三遍
- Degaussing 消磁(第二安全):使用强磁场或电磁场消除磁介质(Magnetic Media)中的数据
- Media Destruction 介质销毁(最安全):从物理上销毁介质,销毁前最好先清除其中的数据 完全销毁存储介质,最安全的方法
- 用化学方法使介质不可用、不可逆(如焚烧或腐蚀)
- 物理上解体介质(如碾碎)
- 形态转变(将固体硬盘液化或气化)
- 对于磁性介质,提高温度以超越居里温度
- Encryption 加密:加密数据使其没有相应密钥的情况下不可读
- Sanitizing数据脱敏
- 云存储的数据安全和数据残留问题:应用数据加密
数据保留
(完整性、可用性)
- 根据业务要求和法律要求来制定数据保留策略
- 数据保留策略定义的步骤
- 评估法定要求、法规义务、业务需求
- 进行记录的分级
- 决定保留周期和销毁方法
- 拟定数据保留策略
- 培训员工
- 进行数据保留检查和审计
- 定期更新策略
- 文件化策略、流程、培训、审计等
- 如何做数据保留
- 分类
- 做数据分类计划,涉及各种类别,包括功能、时间、组织机构等
- 分级
- 按数据敏感级别分级处理
- 标准化
- 制定标准模式,使数据便于检索
- 索引
- 建立数据索引,方便对归类数据进行查询
- 分类
- 保留多长时间
- 商务文件、会议纪要7年
- 发票5年
- 应付款及应收款7年
- 人力资源档案7年 未被录用3年
- 纳税记录 纳税后4年
- 法律往来文书 永久
数据生命周期安全控制
- 定义:随着数据变化过程的安全控制措施
- 获取阶段
- 2个途径:复制和创建
- 数据在能使用前,先进性元数据设计与匹配,然后该信息被索引以便于搜索并分配给一个或多个数据存储区
- 控制措施
- 当存储数据时,加密信息用卡号及PII个人身份信息
- 对于敏感数据,设置严格的数据访问策略
- 设置数据回滚策略以便恢复数据到从前的状态
- 尽量做到获取阶段措施到位,而非事后到位
- 使用阶段
- 定义
- 不同访问级别的用户对数据进行读和改的操作
- 此阶段保护数据CIA三性极具挑战
- 应确保仅恰当的人已授权的方式修改数据
- 确保内部一致性
- 确保修改数据的操作是可重复的
- 具有解决不一致性的自动机制,防止因突然断电等导致的数据不一致
- 信息的使用和聚合,将可触发信息分类、分级等变化
- 定义
- 归档阶段
- 定义
- 当信息不在常规使用时,应该对其进行归档
- 做好恰当的数据保留政策
- 防止数据的修改和非授权访问很长一段时间不被发现
- 备份数据的防护:安全的物理位置、数据加密
- 数据保留时长: 太短,数据可能还有用.如数据操作失败或遭遇攻击,需要恢复数据,电子取证; 太长,浪费数据保存成本也增加了相应的责任
- 备份与归档的区别
- 数据备份:是当前使用的数据集的副本,用于从原始数据的丢失中恢复。数据通常要不断更新备份。
- 数据存档:是不再使用的数据集副本,但在需要保存以备将来的使用。当数据被归档时,它通常被从原来的位置移除,这样存储空间就可以在使用的数据中使用。
- 定义
- Disposal处置
- 定义:
- 当数据不再使用并对它恰当的销毁的时候
- 要求
- 数据确实被销毁,副本也销毁
- 被正确的销毁,数据恢复的花费高出数据本身的价值
- 定义:
5、相关安全标准资源
美国国防部
- DoDI 8510.01 防护信息保障认证与认可流程 DIACAP
- 国家安全局信息保障缓解指南
美国国家标准局 NIST
- 联邦信息处理标准(FIPS)FIPS200
- NIST SP 800系列
- SP800-37 联邦信息系统风险管理框架
- SP800-53 联邦信息系统安全与隐私控制
- SP800-60 信息与信息系统安全分类
- 国家Checklists计划
欧盟网络与信息安全中心 ENISA
- 欧盟网络空间安全战略
国际电联 IEEE
- X.800, X.1205
国际标准组织 ISO
- ISO27001
- ISO27002
4、保护隐私与数据安全控制
隐私保护相关法律要求
- 各国隐私保护法:瑞典1970,美国1974,德国1977,法国1978
- 跨国法规:欧盟1981,OECD经济合作组织 1980
- 隐私保护的基本要求
- 公正合法的获取;仅用于最原始的目的;合适的信息,不超出目标的信息;
- 准确并及时更新;主体可访问;保持安全;完成目的后删除
- 2012年欧盟发布了更全面的数据保护指引
- 欧盟与美国商务部签署“Safe Harbor”安全港协议,解决双方不一致的问题
隐私数据管理角色
- 数据所有者
- 通常指业务经理 渐渐或直接的决定谁可以访问特定的数据
- 数据处理者
防剩磁
- 复写
- 消磁
- 加密
- 物理销毁
限制采集
- 法律政策
- 组织内部的书面政策
数据安全控制
- 静态数据
- 针对存储数据的保护,包括备份磁带、异地存储、密码文件和其他敏感数据
- 风险
- 恶意用户可能通过物理或逻辑范围跟存储设备,获取敏感信息
- 推荐策略
- 指定测试数据恢复计划
- 可移动设备和介质必须进行加密
- 选择合适的加密工具和算法,如AES加密
- 创建安全的口令
- 使用口令和密钥管理工具
- 可移动介质打上标签
- 可移动介质应当保存在安全的场所
- 记录可移动介质的位置,并进行跟踪管理
- 动态数据
- 针对传输数据的保护,主要通过加密方法,防止被截获,如链路加密,端到端加密
- 风险
- 恶意用户可能截获或监控传输中的明文数据
- 推荐对策
- 保密数据在任何网络上进行传输都必须加密,包括内网之间的传输
- 数据可以被Web访问时,必须采用安全加密协议,如SSL3.0,或TLS1.2
- Email传输必须使用PGP或S/MIME,并将数据通过加密软件加密作为附件
- 非Web数据应当采用应用级加密
- 无法采取应用级加密时,应当采用Ipsec加密或SSH加密
- 应用和数据库之间通信应采用加密
- 设备之间传输敏感数据应当采用加密
- DLP数据防泄漏
- 动态数据
- 静态数据
- 使用数据
- 隐写术和水印技术
- 保护其他资产
- 保护移动设备
- 加密设备的所数据
- 纸质文件
- 保险箱
- 保护移动设备
- 安全基线、适用范围和裁剪
- 为系统建立最小的防护措施
- 企业可以根据自己的情况定制安全基线
- 美国联邦政府配置基线(USGCB)
- 范围与裁剪
- 通过范围定义和裁剪的方法,聚焦安全架构的重点
- 根据企业的需求,灵活应用各类标准和基线
3、信息分级与资产管理
信息分级分类
- 分级:一般按照敏感度:、按照重要性
- 分类:一般按照CIA损失的影响度, 分为高,中,低
- 政府或军的信息分级
- 见第一章风险管理
- 商业
- 见第一章风险管理
信息分级控制
- 职责分离(判断两个或更多的人必须参与访问敏感信息,防止欺诈行为
- 定期审查(审查分类层次、数据和程序等相关内容,
- 标记,标识和处理程序 Marking(物理存储介质上做标记), Labeling(系统里分级标注)
责任的层级
- 角色类型
- 执行管理层
- 注意:高级管理层对组织安全最终负责
- 数据所有者
- 负责决定数据分级
- 批准数据的访问权
- 间接或直接决定谁可以访问数据
- 数据所有者通常拥有法律权限,包含知识产权和版权等
- 数据保管者
- 系统所有者
- 安全管理员
- 监督者
- 变更控制分析师
- 数据分析师
- 用户
- 审计师
- 执行管理层
资产管理的概念
- Inventory Management 库存管理
- 主要是维护软硬件资产的状态
- Configuration Management配置管理更广的概念,增加了多个管理维度
- 配置管理可以基于配置项(CI)建立分类、组件、上下游、父子关系等
- 基于配置项进行变更控制,监控配置项的状态
- IT Asset Management 资产管理更广的概念,增加了多个管理维度
- 增加了资产的财务视角:成本、价值、合同状态
- 资产的全生命周期管理:从采购到废止
- 物理、财务、合同全方位管理
- 配置管理库(CMDB)
- 集中管理所有资产配置信息的库
实施资产管理的3个关键要素
- 建立一个单独的集中的资产管理数据库: 包括资产、组件、合同、运行状态、财务、影响、上下游关系等;
- 组织级分工和管理流程: 资产管理涉及IT的基础设施、应用交付、桌面支持、网络管理等部门, 更涉及到合同管理、采购、财务等;因此跨部门的协调流程非常重要。
- 可扩展的技术和基础设施: 需要规划企业级的可扩展的技术和工具
资产管理与信息安全
- 资产管理是信息安全实施的基础,没有资产管理就无法深入了解信息安全事件。
- 资产管理驱动访问控制建设,如NAC网络访问控制
- 软件License管理:防止侵权,安全管理员应协助实施控制,并定期检查
- 设备生命周期安全管理
- 需求定义阶段:定义安全需求、安全成本是否合适、是否满足安全架构
- 获取与实施阶段:验证安全特性、安全配置、安全认证认可、设备入库
- 运行与维护阶段:配置检查、漏洞评估、变更控制
- 废止阶段:数据安全、配置库更新