数据安全
数据的安全性
为保障数据的安全性和可访问性,同时阻止对其进行未授权访问而采取的控制和措施。
增强数据安全性的需求正在上升
越来越多的数据可以在许多不同的地方进行存储和访问
数据安全必须应用于阻止的各个层面:
物理环境
所有传统计算环境
所有移动环境
对于组织来说,数据安全都是优先考虑事项
应将其纳入所有安全策略
数据的存储方式
DAS:直连式存储(Direct-Attached Storage,简称DAS)
NAS:(Network Attached Storage:网络附属存储)按字面简单说就是连接在网络上,具备资料存储功能的装置,因此也称为“网络存储器”。
SAN:一般指存储区域网络。存储区域网络(Storage Area Network,简称SAN)采用网状通道(Fibre Channel ,简称FC,区别与Fiber Channel光纤通道)技术,通过FC交换机连接存储阵列和服务器主机,建立专用于数据存储的区域网络。
数据加密
全磁盘加密
数据库加密
文件加密
可移动媒介的加密
移动设备加密
电子邮件加密
语音加密
数据敏感性
公共:对大多数人可用:产品目录
私有:仅对组织可用:公司机密
限制性:仅对被选中的人员可用:资薪数据库
机密:对组织和客户可用:个人验证信息
数据管理的角色
所有者:为数据负责,通常是业务主管或经经理,指定保管者
保管者:对数据进行直接管理
隐私保密官:保证机密数据不被泄露,确保用户只能访问他们自己的数据,促进相关法律规定的服从
用户:不直接负责管理数据,但负责服从数据安全策略
数据保留
维持特定数据的存在于控制,使之具有合规性的过程
组织通常需要根据法律的要求在一定的时间内保留某些类型的数据
例子:
医疗保健供应商的审计日志必须保留几年
供应商可能还需要将员工的电子邮件保留较短的一段时间
组织必须衡量保留需求和隐私要求
过长地保留PII/PHI信息可能会暴露更大的风险
保留策略必须与数据处理策略紧密结合
数据处理
清理、消磁、切碎、粉碎、焚烧
物理安全
物理安全控制
限制,检测和监控对物理区域或资产的访问
大楼
设备
服务器机房
财务区域
数据中心
成本效益分析可以帮助确定部署控制的位置
控制措施可能需要考虑合规性要求
控制的分类:
遏制
防御
检测
更正
补偿
技术
管理
例:
锁
钥匙的管理
登记和访客
视频监控
安保人员
标志
照明
诱捕陷阱门
物理障碍
安全容器
法拉第笼(防止无线信号干扰)
屏幕过滤器
警报
运动检测
环境控制
HVAC系统:供暖通风与空气调节系统
冷热通道
警报控制面板
火灾防御
火灾检测
火灾抑制
环境监控
定期监控环境和控制措施是一项关键任务
降低硬件和其他资产受到损害的风险
监控系统可能可以与已有的控制措施进行交互
一些控制方式提供了它们自己的监控系统
人身安全
员工和资产的安全对整体安全性也很重要
实施物理控制的准则
进行成本效益分析,以确定物理安全控制的可行性
确定需要物理控制的规定
实施适合你的物理环境的各种物理控制类型
认识到你的物理环境可能会暴露在不利的环境条件下
实施HVAC系统和消防管理流程等环境控制
确保对环境风险进行持续监控
确保人身和财产安全是优先考虑事项
思考现有的物理控制如何帮助实现安全控制
指定火灾或毒气泄漏危险事件中的逃生计划
定期进行演戏以测试人员的准备情况
务必对安全控制进行持续性的测试
合规
我在字面上理解就是符合规范,例如某些机构或者组织在进行活动时需要遵循相应的法律,法规,或者行业规范、组织策略等。
对于网络安全这方面来说,即安全与合规性:我的理解是保护客户数据安全以应对现有法规的变更,并控制编辑、审批和发布特定内容的权限,以始终保持合规性,遵循安全和隐私标准,保护客户数据的安全。
有一句话说:“毁掉信任容易,建立信任却很难”
安全和合规性功能可以保护客户的信息安全,同时保持品牌的合规性。