公司在进行数据安全的时候,难免会先对数据进行分类分级。面对快速迭代的业务和海量的数
据,尤其是互联网行业没有成熟的分类标准,让很多从业者无从下手。那么应该如何分类分级呢
?首先,大家要对公司的业务结构有个大概的了解,按照业务结构大致理清数据的分类,比如用
户数据、业务数据;再想想公司什么数据重要。在这里,数据的重要性一方面是考虑监管,另一
方面是考虑公司的业务。比如某个数据泄露,会给公司带来什么样的影响?对公司的影响可以分
为经济影响、舆论影响和法律影响(见图3)。
遵循这个思路,就可以确定分类分级的大致原型。
下一步是按照分类分级的初步标准做资产盘点。做资产盘点时,一方面要了解各部门都有哪些
数据,对照分类分类进行汇总;另一方面,我们应该知道这些数据存在于哪里,它们属于哪里
,它们来自哪里,它们将被传送到哪里。这些搞清楚之后,就可以画出数据资产的血流图了。
作者将附上资产盘点表模板供您参考(见图4)。
数据,对照分类分类进行汇总;另一方面,我们应该知道这些数据存在于哪里,它们属于哪里
,它们来自哪里,它们将被传送到哪里。这些搞清楚之后,就可以画出数据资产的血流图了。
作者将附上资产盘点表模板供您参考(见图4)。
现在我们知道了在检查数据资产时应该关注什么,那么我们应该如何检查这些海量的数据呢?
笔者认为以“手动+自动工具”的方式识别更为全面。顾名思义,“手工”就是手工对各个部门的
数据进行面试和调研。也可以试试自己的APP,应用系统等。,并独立做数据盘点,但不要
轻易尝试生产环境系统。建议在这里申请隔离测试环境的权限。“自动工具”是在自动扫描工具
中配置关键字和常规表2.2数据存储。
笔者认为以“手动+自动工具”的方式识别更为全面。顾名思义,“手工”就是手工对各个部门的
数据进行面试和调研。也可以试试自己的APP,应用系统等。,并独立做数据盘点,但不要
轻易尝试生产环境系统。建议在这里申请隔离测试环境的权限。“自动工具”是在自动扫描工具
中配置关键字和常规表2.2数据存储。
在数据存储阶段,是众所周知的对称和非对称加密,这里就不详细介绍了。我们只需要根据
我们公司的业务要求来做。
我们公司的业务要求来做。
对于数据的日常使用,最基本的就是访问控制。大家按照后角色-权威的思路梳理。此外,
这里我们提供一些其他方面的数据管理思路。例如:你日常工作中的数据交互会涉及到大量
的数据提取,所以你可以充分利用上面提到的库存表,建立一个工单流程。访问应用系统时
,页面上有很多敏感数据,可以脱敏显示。当然会有业务上的反对。“业务使用场景需要看
到敏感数据!”这样就需要做一个半脱敏显示,只需要一个个点击就可以查看完整的数据。
同时还可以做脱敏平台,可以解决生产数据无法使用的问题,但是制作测试数据很麻烦。
还有一个内容就是经常有人截图给同事发一些信息。这些截图很可能含有敏感数据,我们
可以做“屏幕水印+盲水印”,既起到威慑作用,又能有效地溯源,一举两得。最后一条是很
多业务人员会从系统下载导出敏感数据,所以员工下载文件时,我们会对文件进行加密,
然后通过其他方式告知员工密码,解决了原始文件泄露的风险。识别数据库特征的敏感字
段。
这里我们提供一些其他方面的数据管理思路。例如:你日常工作中的数据交互会涉及到大量
的数据提取,所以你可以充分利用上面提到的库存表,建立一个工单流程。访问应用系统时
,页面上有很多敏感数据,可以脱敏显示。当然会有业务上的反对。“业务使用场景需要看
到敏感数据!”这样就需要做一个半脱敏显示,只需要一个个点击就可以查看完整的数据。
同时还可以做脱敏平台,可以解决生产数据无法使用的问题,但是制作测试数据很麻烦。
还有一个内容就是经常有人截图给同事发一些信息。这些截图很可能含有敏感数据,我们
可以做“屏幕水印+盲水印”,既起到威慑作用,又能有效地溯源,一举两得。最后一条是很
多业务人员会从系统下载导出敏感数据,所以员工下载文件时,我们会对文件进行加密,
然后通过其他方式告知员工密码,解决了原始文件泄露的风险。识别数据库特征的敏感字
段。
