理论教育 数据安全治理的优化建议

数据安全治理的优化建议

时间:2023-05-23 理论教育 版权反馈
【摘要】:数据安全是安全治理的一部分,也要遵循风险管理的思路进行治理体系的设计。数据安全治理机制的设计和完善思路如图8-15所示。图8-15 基于风险的数据安全治理模型1.发现&分类:寻找、分类和保护重要信息数据安全保护的重点是核心、敏感数据,所以保护的前提是要找到这些敏感数据。要能定期生成报表,并能够将报表自动推送给管理员,便于管理员进行管控和调整安全措施。

数据安全治理的优化建议

安全管理是数据治理的重要内容之一,要对数据安全进行统一管理,从数据安全管理、数据系统安全、运行环境安全、数据应用安全、数据传输环境保护、数据备份及恢复、入侵检测和安全审计等不同方面,全面加强数据安全保护工作。

数据安全是安全治理的一部分,也要遵循风险管理的思路进行治理体系的设计。数据安全治理机制的设计和完善思路如图8-15所示。

978-7-111-52778-7-Chapter08-16.jpg

图8-15 基于风险的数据安全治理模型

1.发现&分类:寻找、分类和保护重要信息

数据安全保护的重点是核心、敏感数据,所以保护的前提是要找到这些敏感数据。随着数据量的不断扩增,寻找和分类这些敏感信息的难度也越来越大。确定重要数据要从业务价值角度入手,从数据的重要性、机密性等指标进行判断,最终确定哪些数据是需要重点保护的核心数据,并对数据进行分类,便于分类表保护。

2.评估&加固:风险评估和保障措施设计

在确定了核心数据之后,就要对数据进行风险评估,风险评估分为两大类:漏洞和配置测试可以检查各种漏洞,如缺少的补丁、权限配置错误和默认账户问题;行为测试通过实时监控所有数据库流量,根据数据库的访问和操作方式识别漏洞,如登录失败次数过多,或在非规定时间登录等。风险评估后要根据数据面临的漏洞、脆弱性等设置相应的保护策略和措施。针对数据的安全管控措施,一般包含用户管理、访问控制、监视和数据保护等几个维度,具体如图8-16所示。(www.daowen.com)

3.监控&执行:监控和执行各项策略,主动实时安全

采用自动化工具来固化数据安全防护策略与措施,实现核心重要数据的实时监控和防护,并能够记录用户的所有操作,便于审计和跟踪。监控既要防止内部用户的非法或可疑的行为,又要抵挡欺诈用户或外来者的攻击,实现内外部一体化的安全防护。

978-7-111-52778-7-Chapter08-17.jpg

图8-16 数据安全管控的内容体系

4.审计&报表:细粒度审计追踪,制作安全保护报表

自动化工具要能覆盖所有数据库活动的连续、详细的追踪记录,并进行实时的语境分析和过滤,从而实现主动控制,生成审计员需要的具体信息。要能定期生成报表,并能够将报表自动推送给管理员,便于管理员进行管控和调整安全措施。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈