數(shù)據(jù)泄漏事件��,層出不窮�����。從印度的國家身份識別數(shù)據(jù)庫數(shù)據(jù)泄露到挪威衛(wèi)生局信息系統(tǒng)數(shù)據(jù)泄露���,圓通�、順豐����、華住集團���、萬豪喜達(dá)屋以及剛剛被披露的豐田數(shù)據(jù)泄露��。這些政府部門及大型商業(yè)組織都擁有相對健全的網(wǎng)絡(luò)安全防護(hù)手段�,但數(shù)據(jù)泄露事件仍然時有發(fā)生���,究其根本�����,除了數(shù)據(jù)安全保護(hù)難度大外�,在每一起事件的背后,都有數(shù)據(jù)安全管理不得當(dāng)?shù)挠白印?/p>
有的放矢才能事半功倍
近期國內(nèi)各重點行業(yè)和相關(guān)單位都在開展加強對重要數(shù)據(jù)和公民個人信息的安全保護(hù)的專項治理工作����。通過對數(shù)據(jù)資產(chǎn)梳理,形成數(shù)據(jù)資產(chǎn)清單�����,可以對互聯(lián)網(wǎng)相關(guān)的重要數(shù)據(jù)和個人信息采集���、存儲����、傳輸�、使用、提供���、銷毀等環(huán)節(jié)的具體情況清楚把握����,在此基礎(chǔ)上進(jìn)一步排查信息系統(tǒng)和數(shù)據(jù)庫��,是否存在弱口令、未授權(quán)訪問����、數(shù)據(jù)明文傳輸、缺少安全審計�����,訪問控制����、策略不嚴(yán)等突出安全隱患,才能聚焦數(shù)據(jù)安全突出風(fēng)險進(jìn)行安全保護(hù)��,進(jìn)而有的放矢的完善數(shù)據(jù)全生命周期安全保護(hù)�����,切實提升重要數(shù)據(jù)和公民個人信息安全保護(hù)能力�����。
五步走�,敏感數(shù)據(jù)狀況全掌握
1�����、數(shù)據(jù)資產(chǎn)定位
1)掃描發(fā)現(xiàn)數(shù)據(jù)庫:通過網(wǎng)絡(luò)掃描或者流量監(jiān)聽等技術(shù)手段發(fā)現(xiàn)信息系統(tǒng)中運行的數(shù)據(jù)庫。
2)建立數(shù)據(jù)資產(chǎn)底單:通過對發(fā)現(xiàn)的數(shù)據(jù)庫信息整理����,初步建立數(shù)據(jù)資產(chǎn)底單。
輸出:《數(shù)據(jù)資產(chǎn)底單》����。
2、數(shù)據(jù)資產(chǎn)標(biāo)識
1)找到數(shù)據(jù)擁有者:為數(shù)據(jù)資產(chǎn)底單上的數(shù)據(jù)資產(chǎn)找到擁有者或管理者��,一般是業(yè)務(wù)的運營者或者管理者�����。
2)獲取數(shù)據(jù)訪問權(quán)限:從數(shù)據(jù)擁有者或管理者那里獲取數(shù)據(jù)權(quán)限�����,一般是只讀權(quán)限����,為數(shù)據(jù)標(biāo)識做準(zhǔn)備。
注:數(shù)據(jù)資產(chǎn)標(biāo)識是對數(shù)據(jù)資產(chǎn)屬性信息填充完整的動作,標(biāo)識內(nèi)容包含資產(chǎn)所屬管理部門�����、項目�、所屬業(yè)務(wù)系統(tǒng)等信息,實現(xiàn)信息清單化管理�����。
3�����、數(shù)據(jù)類型標(biāo)識
按照預(yù)定義的重要數(shù)據(jù)或個人信息數(shù)據(jù)特征如姓名�����、證件號�����、銀行賬戶���、金額、日期、住址�����、電話號碼���、Email地址等數(shù)據(jù)�����,在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進(jìn)行自動的識別�,發(fā)現(xiàn)敏感數(shù)據(jù)����,并可以根據(jù)規(guī)則對發(fā)現(xiàn)的敏感數(shù)據(jù)進(jìn)行導(dǎo)出清單。通過自動識別敏感數(shù)據(jù)���,可以避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作���,同時能夠持續(xù)的發(fā)現(xiàn)新的敏感數(shù)據(jù)。
個人敏感信息示例
4���、數(shù)據(jù)資產(chǎn)清單
1)確認(rèn)標(biāo)識結(jié)果:抽查部分?jǐn)?shù)據(jù)標(biāo)識結(jié)果�,可以結(jié)合數(shù)據(jù)量來確定需要重點保護(hù)的數(shù)據(jù)資產(chǎn)。
2)形成數(shù)據(jù)清單:經(jīng)過確認(rèn)后的數(shù)據(jù)標(biāo)識���,形成數(shù)據(jù)資產(chǎn)詳細(xì)清單��,實現(xiàn)數(shù)據(jù)資產(chǎn)的清單化管理�,樣例如下:
數(shù)據(jù)清單(樣例)
重要數(shù)據(jù)或個人信息統(tǒng)計表(樣表)
輸出:《數(shù)據(jù)資產(chǎn)清單》《數(shù)據(jù)資產(chǎn)詳細(xì)清單》《重要或敏感數(shù)據(jù)清單》《重要數(shù)據(jù)或個人信息統(tǒng)計表》等���。
5����、持續(xù)監(jiān)控
1)定期進(jìn)行數(shù)據(jù)資產(chǎn)梳理:數(shù)據(jù)資產(chǎn)是處于動態(tài)變化中的�����,對于數(shù)據(jù)資產(chǎn)的梳理應(yīng)當(dāng)根據(jù)業(yè)務(wù)情況定期開展�。
2)數(shù)據(jù)使用監(jiān)控:通過技術(shù)手段理清數(shù)據(jù)使用情況和數(shù)據(jù)流向;
輸出:《數(shù)據(jù)資產(chǎn)變化趨勢報告》����。
數(shù)據(jù)資產(chǎn)梳理關(guān)鍵技術(shù)
1、基于網(wǎng)絡(luò)嗅探技術(shù)�����,自動尋找發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的數(shù)據(jù)庫���。
需要支持多種數(shù)據(jù)庫自動發(fā)現(xiàn)����,主動嗅探網(wǎng)內(nèi)數(shù)據(jù)庫的發(fā)現(xiàn)技術(shù)�����,可以指定IP段和端口的范圍進(jìn)行搜索����,也可以基于訪問流量解析自動發(fā)現(xiàn)與識別數(shù)據(jù)庫的技術(shù)。
2���、基于特征匹配的敏感數(shù)據(jù)探測技術(shù)�����,自動梳理數(shù)據(jù)庫中個人隱私敏感數(shù)據(jù)分布��。
一般應(yīng)用的后臺數(shù)據(jù)庫都成千上萬張表���,要保護(hù)核心數(shù)據(jù)資產(chǎn)����,首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方����,需要能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù),定位敏感數(shù)據(jù)存儲與分布�����,統(tǒng)計敏感數(shù)據(jù)量級�,可以通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對個人敏感信息、信用卡賬戶信息����、企業(yè)敏感信息等的表和列進(jìn)行掃描,也支持用戶自定義敏感對象搜索關(guān)鍵字功能���。
3��、基于數(shù)據(jù)使用與監(jiān)測技術(shù)��,可動態(tài)梳理敏感數(shù)據(jù)使用情況�。
針對應(yīng)用系統(tǒng)運行��、開發(fā)測試、對外數(shù)據(jù)傳輸和前后臺操作等使用環(huán)節(jié)����,對數(shù)據(jù)的流轉(zhuǎn)、 存儲與使用進(jìn)行監(jiān)控�����,對應(yīng)用側(cè)�����、內(nèi)部運維側(cè)及開發(fā)測試的訪問行為��,對訪問敏感數(shù)據(jù)的頻次進(jìn)行熱度分析���。
數(shù)據(jù)資產(chǎn)梳理,是幫助組織厘清數(shù)據(jù)資產(chǎn)����,實現(xiàn)分級分類管理保護(hù)的基礎(chǔ),是數(shù)據(jù)安全治理中數(shù)據(jù)資產(chǎn)狀況摸底的落地支撐�����,也是大數(shù)據(jù)時代,保障數(shù)據(jù)資源開放共享的關(guān)鍵一環(huán)�。
產(chǎn)品咨詢:4000 258 365 
