Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

什么是数据安全基础架构?

2021年4月的最后几天,也补充了这篇文章。修补,简要说明最近工作中对数据安全结构的认识。我希望它有用。以下是数据安全的基础结构、运营管理和产品的自我研究。本文的一部分场景限于自己的经验,各行各业可能有些不同。但道理大致相同。


大多数情况下,成为数据安全的学生可能不参与数据安全的基础结构,更多的focus在运营和服务交付水平上。例如,提供相应的咨询,处理内外客户的需求。数据安全相关设备/软件的配置运输维护大多由基础安全的学生维护。这对于新人来说,实际上容易进入的点误区。只能看到手中处理的相关服务,忽略了整个方面的东西。甚至忽略了处理业务的生命周期链。只有理解业务,才能更好地为业务服务。在数据安全的基础结构中,至少要注意三点。一是过程和战略的制定,二是工具和设备的维护,三是相应服务的提供。这三点都应该有约束的框架,可以像剧本一样跑。


因此,在数据安全的基础结构中,应该关注战略,也应该关注产品和服务的交付部分,这也是最初需要的事情——了解业务结构。数据安全符合业务,需要知道哪里提供什么样的服务,服务需要什么样的监督,现有的设计能否满足监督的要求等。因此,没有业务的深入理解不能安全数据。其次,必须从组织结构中确立合作的流程规范。例如,获得生产数据的流程,唯一的方法是从哪里来的(需要折叠入口吗?中所述情节,对概念设计中的量体体积进行分析假设只有合规部门才能取得数据,法务部门即使需要相应的数据,也需要合规部门的审查。所有操作流程也应有相应的审查记录。从技术结构建设相应的解决方案,数据如何保存,保存在哪里,如何传输,静态数据是否实现加密(DARE),权限是否受到管理,使用的工具是否符合相应的标准等,是技术结构需要解决的问题。


以下从不同的角度简要介绍相关的工作内容,从不同的角度来看,分散与安全过程相关的内容,乍一看有点无知,但实际上这种安全工作更加完善。例如,从银联获得数字证书的过程。从业务的角度来看,作为访问机构需要通过证明书进行身份认证,只需提供相应的行政流程(书面申请、盖章等)即可获得。但是如何设置证书接收人,证书接收人的信息如何处理,如何满足取得证书的环境安全,如何确保取得证书的过程可以审计,如何安全存储取得后的证书?不也在业务范围内吗?此外,从应用程序的角度来看,只要提供这个证明书调用到应用程序即可。在这个过程中,实际上需要考虑基础结构、多活、灾害准备室、不同虚拟化技术下的配置、是否有预读等。回到数据本身,如何将等级为xx的一对公私钥密钥正确,公共钥可以自由分发,私钥只能应用于存储器读取。如何避免非法阅读、权限控制、私钥保护等返回数据本身。

分享: