近年来,全球数据安全事件频发,大众用户对自己隐私数据的保护意识逐渐增强,数据安全
问题引起了社会各界的广泛关注,用户数据泄露给公司带来的经济损失、声誉影响也被放大。
在国家数据安全法(国内立法见图1,不作赘述)的提出和制定过程中,也可能产生法律责任。如
何在现实工作中融入最佳实践,是当前面临的一个迫切需要解决的问题,也是一个需要灵活化
、自由化的工作模式及其海量数据、庞大的系统架构。当然,不存在困难,只有勇敢地打工人
。陌陌安全总结了一些数据安全方面的实际工作经验与大家讨论分享,也欢迎各位读者提出自
己公司的特色来进行交流和借鉴。数据安全方面的探讨和实践。
本部分主要介绍总体数据安全体系框架的构建(见图2),并对数据安全生命周期进行了详细说明。
该框架的思路是从组织、制度和技术保障三个层面上共同实施。机构设置:明确各部门在数据
安全方面的职责分工,将责任落实到人。系统保障:制定相关的数据安全体系,明确数据安全
的要求。技术性保证:通过技术手段,实现数据安全的组织与制度要求。二、资料安全生命周
期。
安全方面的职责分工,将责任落实到人。系统保障:制定相关的数据安全体系,明确数据安全
的要求。技术性保证:通过技术手段,实现数据安全的组织与制度要求。二、资料安全生命周
期。
企业在进行数据安全管理时,必然首先对数据进行分类分级。在面临企业的迭代性和其海量数
据时,特别是互联网行业缺乏成熟的分类分级标准,使得许多从业者无从下手。那我们究竟该
如何分类分级呢?第一,大家应该对公司的商业结构有一个总体的了解,根据商业结构对数据
进行大致的分类,比如用户数据,商业数据,再考虑公司的哪些数据是重要的。这类数据的重
要性在于,一方面是监管,另一方面是公司业务。例如某项数据泄露,会给企业带来怎样的影
响,对企业的影响可分为经济影响、舆论影响、法律影响等方面。
据时,特别是互联网行业缺乏成熟的分类分级标准,使得许多从业者无从下手。那我们究竟该
如何分类分级呢?第一,大家应该对公司的商业结构有一个总体的了解,根据商业结构对数据
进行大致的分类,比如用户数据,商业数据,再考虑公司的哪些数据是重要的。这类数据的重
要性在于,一方面是监管,另一方面是公司业务。例如某项数据泄露,会给企业带来怎样的影
响,对企业的影响可分为经济影响、舆论影响、法律影响等方面。
按此思路,可以确定一个分类分级的大致雏形。下一步是按照初步的分类分级标准来做资产盘
点。进行资产清查时,一方面要了解各部门拥有哪些数据,对照分类分级进行汇总,另一方面
要了解哪些数据存在,哪些数据是属于哪个部门的,哪些数据是从哪个部门来的,哪些数据会
传递给哪个部门。清楚这些之后,就可以绘制数据资产的血脉图。后附资产盘存表模板,供大
家参考(见图4)。
点。进行资产清查时,一方面要了解各部门拥有哪些数据,对照分类分级进行汇总,另一方面
要了解哪些数据存在,哪些数据是属于哪个部门的,哪些数据是从哪个部门来的,哪些数据会
传递给哪个部门。清楚这些之后,就可以绘制数据资产的血脉图。后附资产盘存表模板,供大
家参考(见图4)。
既然已经了解了数据资产盘点的重点在哪里,那么问题来了,该如何对大量数据进行盘点呢?
作者认为采用人工+自动化工具”的双重方式进行识别更为全面。正如其名称所示,人工是人
工访谈,调查部门数据。你还可以去试用自己的APP,应用系统等等,自主进行数据盘点,但
不要轻易试用生产环境系统哦,这里还是建议申请隔离测试环境的权限。自动工具是指在自动
扫描工具中配置关键字、正则表达式,以识别对数据库特征敏感的字段。
作者认为采用人工+自动化工具”的双重方式进行识别更为全面。正如其名称所示,人工是人
工访谈,调查部门数据。你还可以去试用自己的APP,应用系统等等,自主进行数据盘点,但
不要轻易试用生产环境系统哦,这里还是建议申请隔离测试环境的权限。自动工具是指在自动
扫描工具中配置关键字、正则表达式,以识别对数据库特征敏感的字段。
