=Start=
缘由:
2023年1月17日,人力资源社会保障部办公厅就《数据安全工程技术人员国家职业标准(征求意见稿)》等4个职业标准向社会公开征求意见。
2023年3月20日,人力资源社会保障部办公厅、中央网信办秘书局工业和信息化部办公厅共同颁布《数据安全工程技术人员国家职业标准》。
简单整理一下前段时间看到的国家出的标准,方便后面随时查阅和做标记。
正文:
参考解答:
数据安全工程技术人员国家职业标准(2023 年版)
1.职业概况
1.1 职业名称
数据安全工程技术人员
1.2 职业编码
2-02-38-12
1.3 职业定义
从事数据安全需求分析挖掘、技术方案设计、项目实施、运营管理等工作的工程技术人员。
1.4 专业技术等级
本职业共设三个等级, 分别为: 初级、中级、高级。
1.5 职业环境条件
室内, 常温。
1.6 职业能力特征
具有较强的学习能力、计算能力、表达能力及分析、推理和判断能力。
1.7 普通受教育程度
大学专科毕业。
……
2. 基本要求
2.1 职业道德
2.1.1 职业道德基本知识
2.1.2 职业守则
(1) 遵纪守法, 爱岗敬业。
(2) 勤奋进取, 忠于职守。
(3) 认真负责, 团结协作。
(4) 爱护设备, 安全操作。
(5) 诚实守信, 讲求信誉。
(6) 勇于创新, 精益求精。
2.2 基础知识
2.2.1 基础理论知识
(1) 计算机硬件基础知识。
(2) 计算机软件基础知识。
(3) 操作系统基础知识。
(4) 网络基础知识。
(5) 数据库基础知识。
(6) 数据结构基础知识。
2.2.2 技术基础知识
(1) 网络安全知识。
(2) 密码技术知识。
(3) 数据分类分级知识。
(4) 数据质量管理知识。
(5) 数据处理活动安全管理知识。
(6) 数据采集与数据预处理知识。
(7) 数据计算与数据存储知识。
(8) 数据运营与技术指导知识。
(9) 数据分析与挖掘知识。
(10) 软件设计与开发知识。
(11) 应急响应管理知识。
2.2.3 相关法律、法规、 标准知识
(1) 《中华人民共和国劳动法》 相关知识。
(2) 《中华人民共和国民法典》 相关知识。
(3) 《中华人民共和国网络安全法》 相关知识。
(4) 《中华人民共和国数据安全法》 相关知识。
(5) 《中华人民共和国个人信息保护法》 相关知识。
(6) 《中华人民共和国密码法》 相关知识。
(7) 《中华人民共和国保守国家秘密法》 相关知识。
(8) 《中华人民共和国刑法》 相关知识。
(9) 《关键信息基础设施安全保护条例》 相关知识。
(10) 《数据出境安全评估办法》 相关知识。
(11) 其他数据安全相关法律法规、管理规定、标准相关知识。
2.2.4 其他知识
(1) 保密管理知识。
(2) 环境保护知识。
(3) 文明生产知识。
(4) 劳动保护知识。
3. 工作要求
本《标准》对初级、中级、高级的专业能力要求和相关知识要求依次递进,高级别涵盖低级别的要求。
| 职业功能 | 工作内容 | 专业能力要求 | 相关知识要求 |
|---|---|---|---|
| 数据安全管理 | x | x | x |
| 数据安全工程规划设计和建设实施 | x | x | x |
| 数据安全技术开发与运维 | x | x | x |
| 数据安全监测与应急处置 | x | x | x |
| 数据安全评估 | x | x | x |
3.1 初级
3.2 中级
3.3 高级
4. 权重表
4.1 理论知识权重表
| 项目/专业技术等级 | 初级(%) | 中级(%) | 高级(%) |
|---|---|---|---|
| 基本要求-职业道德 | 5 | 5 | 5 |
| 基本要求-基础知识 | 20 | 10 | 5 |
| 相关知识要求-数据安全管理 | 25 | 20 | 10 |
| 相关知识要求-数据安全工程规划设计和建设实施 | 15 | 20 | 15 |
| 相关知识要求-数据安全技术开发与运维 | 15 | 15 | 15 |
| 相关知识要求-数据安全监测与应急处置 | 10 | 15 | 25 |
| 相关知识要求-数据安全评估 | 10 | 15 | 25 |
| 合计 | 100 | 100 | 100 |
4.2 专业能力要求权重表
| 项目/专业技术等级 | 初级(%) | 中级(%) | 高级(%) |
|---|---|---|---|
| 数据安全管理 | 40 | 25 | 20 |
| 数据安全工程规划设计和建设实施 | 15 | 20 | 20 |
| 数据安全技术开发与运维 | 20 | 20 | 15 |
| 数据安全监测与应急处置 | 15 | 20 | 20 |
| 数据安全评估 | 10 | 15 | 25 |
| 合计 | 100 | 100 | 100 |
5. 附录
5.1 术语定义
- 数据资产
被保护的数据。 - 数据载体
用于存放和传输数据的媒体。 - 数据处理
包括数据的收集、存储、使用、加工、传输、提供、公开等。 - 数据安全
通过采取必要措施, 确保数据处于有效保护和合法利用的状态, 以及具备保障持续安全状态的能力。 - 数据安全评估
针对数据收集、存储、使用、加工、传输、提供、公开等活动, 根据相关法规标准要求, 按照风险分析的方法, 分析数据相关活动存在的安全风险。
5.2 参考文献
[1] GB/T 37973—2019 《信息安全技术 大数据安全管理指南》 相关知识
[2] GB/T 37988—2019 《信息安全技术 数据安全能力成熟度模型》 相关知识
[3] GB/T 39725—2020 《信息安全技术 健康医疗数据安全指南》 相关知识
[4] GB/T 39477—2020 《信息安全技术 政务信息共享数据安全技术要求》 相关知识
[5] GB/T 42014—2022 《信息安全技术 网上购物服务数据安全要求》 相关知识
[6] GB/T 42012—2022 《信息安全技术 即时通信服务数据安全要求》 相关知识
[7] GB/T 42015—2022 《信息安全技术 网络支付服务数据安全要求》 相关知识
参考链接:
数据安全工程技术人员国家职业标准(征求意见稿)
http://www.mohrss.gov.cn/xxgk2020/fdzdgknr/jcgk/zqyj/202301/P020230117567138096977.pdf
数据安全工程技术人员国家职业标准(2023 年版)
https://www.jswx.gov.cn/fwhd/tzgg/202303/W020230329636683080237.pdf
数据安全国家职业标准启动征求意见:新职业的要求有哪些?
https://www.secrss.com/articles/51287
数据安全工程技术人员国家职业标准-2023年版(高清原文无水印)安全从业者能力提升必读指引
https://mp.weixin.qq.com/s/jPsuZrj9v_Tua7YHOJDlBw
=END=
《 “[read]数据安全工程技术人员国家职业标准” 》 有 8 条评论
数据安全岗位技能要求及工作职责讨论 | 总第192周
https://mp.weixin.qq.com/s/if9_Ugd0CO_LXfgupV97Hg
`
话题:一直有个疑虑,“数据安全岗位”到底是属于偏技术岗位还是偏管理岗位?工作内容应不应该包含法务合规范畴?工作职责的边界到底是什么?技术岗应该具备哪些数据安全技术技能?
A1:既有技术也有管理,只了解管理的上限比较低。
A2:管理、技术、合规、运营,这4个能力在数据安全团队都要有吧。不同分工侧重不同。前段时间不是正好国家出了标准《数据安全工程技术人员国家职责标准》,可以参考下。
Q:管理和合规放一起会不会好些?
A3:我看到重心只搞数据安全管理和合规的,做得其实很辛苦,要兼顾很多,还需要背一定的责任,除非这公司是监管导向的。没技术团队支撑,不能提供让业务看到价值的数据安全解决方案,就很难做。
A4:管理也是要靠平台的。纯人工管理肯定很累,有系统支撑就容易多。如果技术能力能跟上会更好。但是目前企业在安全工作分工上,我感觉数据安全技术这块,可能更多让安全技术团队承接。目前数据安全团队做的最多的确实就是管理和合规这2块。数据安全管理和数据安全解决方案都能提供,影响力会大些。尤其是提供贴近业务的数据安全解决方案,才能跟业务同盟。
Q:不知道大家工作中遇没遇到这样的事,数据安全需求,业务产品听不懂、也不想听,技术研发同学能听懂能认可,但是技术研发听产品的需求。这类偏技术的数据安全产品需求,其实挺难推进。几乎没有研发经验的人员去沟通,说都说不明白。
目前能有一些实践收效的是把一些数据安全问题需求转化为产品需求(产品能听懂的)可以正常推进排期,然后再技术方案过程中与研发沟通对齐目前以及本次解决啥问题(聚焦),再不断对研发PUA(除三观之外的,数据安全观),包括精简的API安全评估手段方案(包含toC ToB To内部),稍微好一些,至少面上能和业务产品和研发融洽一些,不是见面就怼。
A16:我这边实践碰到的处理方式:
安全高层强势,让产研出方案,安全只提要求,审核方案;
安全内部技术合规数据安全结合,通过技术安全人员了解需求和要求后,和产研沟通方案,有时候会要给产研一些建议或者实践方式,来适配业务看是否可应用(有些产研相对被动)。
A17:我们碰到不多。更多的是开发排期排不过来。其实安全就是个业务方。所以直接把需求给到产品经理侧推动完善PRD就可以了。但是偏技术类的需求,一般性产品不接的,我们直接对接开发。举个例子,比如数据库敏感字段加密。日志脱敏。这种把产品经理loop进来没有意义。
A18:如果研发流程安全与合规有参与,提需求就行了。然后技术层面,正常安全提需求,研发出方案,安全确认。也有时候研发想不到技术实现方案,那就我们做技术方案,没办法得有一方往前走,事情才能推动。
A19:有可能是业务听不懂,也不想听,或者不想负责。与他无关是一切的祸首。
A20:**这种事只能是与负责人对齐目标,下面执行。**我们之前也是对接开发,但是复盘发现,有些是系统性问题,如果从业务产品侧出发并水平展开,处理起来很高效,并且防范性较好。这块我想补充一下,产品需要懂原则,可以不懂技术实现。数据加密、数据脱敏、数据去标识化,未来这些问题会从技术转为产品需求。感觉是需要逐步统一沟通字典的。
`
八字真言:虚事做实,实事做虚 | 总第191周
https://mp.weixin.qq.com/s/z_-ej0MFQa0_ovQ68ABmXA
`
提个问题:安全上老板总是以解决点的问题为基调,不愿意基于业务建立长远的规划去投入,认为没发生就无需投入,能省则省。如何突破?
A1:老板不觉得事后补救的成本会远大于事前预防,所以就不愿意投入了吧。
A2:公司不一定要突破。公司面临各种风险,也要赚钱,有的风险会让他亏钱,这种要内生前置解决,降低治病成本;有的风险是莫须有的,会让他不健康,但医生让他健康作息,他也只想加班赚钱,他接受了。**安全战略得和业务战略匹配,明确整体规划,急难险重,优先级,不能超前。**最后如果公司拖了安全后腿,可以换个平台施展。
在做风险评估的时候,如果某一项风险5年都不发生一次,领导也没有应对极端场景的诉求,那这个风险就不需要去缓解。
当然了,类似断供风险,低频高危,领导真的不care,发生了,死了,那就死了。
A3:长远规划是建立在已识别到的暂时未发生的事情上,那么未来1-2年能做好且在一定程度上可规避未来可能发生的风险,却舍不得投入。比如数据安全持续沉淀,业务安全等。
A4:从某种程度上来说,安全从业人员的居安思危是老板需要的,他想知道,现在做了这么多,还会发生哪些风险,哪些最危险,他能不能承受,然后他也会做出决策。
但是**怎么说服领导,怎么获取信任,怎么获得话语权,这个是管理学的话题,不是科学不是实践,有科学研究和没科学研究的成功率是相近的,说明它因人而异无法照搬,我觉得也是本群相对最需要补的一块能力,却无法通过分享交流获得这个能力,因为这个的起点是,你的领导是什么类型的决策者,但大家没法公开说这个。**
有的老板在想网络战了怎么办,脱钩了怎么办,有的老板在想明年利润达不到这个数我就不能冲击上市了。他们的风险偏好一定是迥异的。
A5:以后做安全先给老板来个类似投资风险测评,确认是激进的还是保守的风格。选择老板!
A6:就算不做,汇报中也会识别老板性格。不管啥安全体系,第一章永远是战略、组织、获得支持,但他不会告诉你怎么获得支持。
一句话抽象总结:虚的东西要实做,实的东西要虚做,也只有这样才可能把事情做好。
Q:最近碰到辛苦大半月的项目设备被上级砍掉了大半,怎么向上管理?我发现是这样的,领导都很重视安全,都知道安全很重要,具体到落地的时候,就是这个这么贵,有必要吗?有那么危险吗?发生风险概率多少?
A14:管理学问题,没有通解。还是要对症下药,**汇报只是临门一脚,是所有环节的最后一环。更多的,是要在规划、日常沟通中下功夫的。**零碎时间的闲聊,效果挺好的。比如多和领导吃饭沟通。平时不沟通,汇报放大招,领导不挑战,那就有鬼了。
A15:日常沟通中下功夫这方面确实做得不到位,看见领导“绕着走”。
A16:很形象了,很多IT人员,在食堂碰到领导了,找个其他桌子吃饭;在电梯看到领导了,赶紧等下一趟。本来都是沟通的机会,却没有抓住。有这种想法的,说明其没有切肤之痛,又或者安全风险发生后的成本在可接受预期之内。
**最重要你得搞清楚领导认为什么是重要的,什么才是安全。而不是你到处教育他什么是你认为的安全。**很多人沟通时候把领导当傻子,觉得领导就是不懂,我要把我这套灌输给你,让你理解。那这种就只能呵呵了。
A17:可以从领导的上级关心的安全方向以及他关心的安全方向相结合,来推动安全工作,效果会好一点。比如要采购灭火器,让你证明这地方发生火灾的概率,有一套科学的方法论证或数学模型啥的。然后对标同行, 我们的差距是什么,什么时候能达到人家的标准。
A18:这要前提领导懂安全,领导砍掉的做好记录作为已知的风险延后,等待一个机会再提出来看看领导什么意思,还是决策不要就顺着,毕竟决策和责任在领导。
**有时候,让一些事情发生,再跟进。别着急预防。**
`
炼石整理:300页幻灯片图解数据安全风险评估(附下载)
https://mp.weixin.qq.com/s/YMeM37dh3c0GJSMRHzQ2_g
`
为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,全国信息安全标准化技术委员会在组织编制国家标准的同时,编制了《网络安全标准实践指南——网络数据安全风险评估实施指引》(信安秘字〔2023〕70号,以下简称“实践指南”),用于指导开展网络数据安全风险评估工作,于2023年5月29日正式发布。
网络数据安全风险评估实施指引
一、范围
二、术语定义
三、风险评估概述
3.1 评估思路
3.3 评估流程
3.2 评估内容
3.4 评估手段
四、评估准备
4.1 明确评估目标
4.2 确定评估范围
4.3 组建评估团队
4.4 开展前期准备
4.5 制定评估方案
五、信息调研
5.1 数据处理者调研
5.2 业务和信息系统调研
5.3 数据资产调研
5.4 数据处理活动调研
5.5 安全措施调研
六、风险识别
6.1 数据安全管理
6.2 数据处理活动
6.3 数据安全技术
6.4 个人信息保护
七、综合分析
7.1 梳理问题清单
7.2 风险分析与评价
7.3 提出整改建议
八、评估总结
8.1 评估报告
8.2 风险处置
`
如何构建数据安全运营指标体系,有效量化和指导数据安全运营工作?
https://www.secrss.com/articles/57843
`
# 数据安全运营指标体系建设价值
当前数据安全运营过程之中存在诸多问题。第一,缺乏缺乏方向和目标,缺少明确、可量化的指标体系,数据安全运营需要做到什么程度,要达到怎样目标并没有明确概念,导致数据安全运营缺乏方向和动力,无法有效地支持业务发展;第二,缺乏可见性和可度量性,无法通过数据和事实来展示和证明自己的工作成果,缺少直接有效地向上级或者利益相关方汇报和沟通的方式方法;第三,缺乏可控性和可持续性,无法通过规划和执行来驱动和改进自己的工作流程,应对复杂多变的数据安全环境能力缺失;第四,缺乏可信任性和可交付性,无法建立良好的合作关系。
数据安全运营指标体系是一套用于评估和改进数据安全运营能力和效果的标准和方法。首先,基于运营指标体系,可提高数据安全运营可见性和可度量性,使得数据安全运营不再是一个黑箱或者空话,而是可通过数据和事实来展示和证明;其次,可提高数据安全运营可控性和可持续性,使得数据安全运营不再是被动或一次性的工作,而是可通过规划和执行来驱动和改进;最后,可提高数据安全运营可信任性和可交付性,使得数据安全运营不再是一个孤立或无用的工作,而是可通过沟通和协作来支持和赋能业务。具体可实现以下目的:
1.明确数据安全运营目标和范围,对齐和赋能业务价值;
2.量化数据安全运营输入和输出,提升风险管理能力;
3.优化数据安全运营流程和方法,提升技术结合能力;
4.验证数据安全运营效果和水平,满足内外部需求与要求。
# 数据安全运营指标体系建设内容
数据安全运营指标体系是一种用于评估和指导数据安全运营能力的方法,体系从不同维度、内容来构建和应用。根据不同数据安全运营目标和场景,可选择合适的指标体系来进行数据安全运营规划、执行、监控和改进。本体系包含风险维度、能力维度与价值维度三方面。
风险维度-主要关注数据安全运营过程中面临的各种风险,包括数据泄露、数据篡改、数据丢失、数据滥用等,以及风险对业务和法律的影响。风险维度指标包括风险识别率、风险评估准确性、风险治理效果、风险收敛率等。
能力维度-主要关注数据安全运营所需的各种能力,包括技术能力、管理能力与人员能力等,以及这些能力对数据安全运营支撑和提升作用。能力维度指标包括技术覆盖率、技术准确率、技术召回率、技术鲁棒性、管理规范性、管理效率、人员素质、人员满意度等。
价值维度-主要关注数据安全运营对业务价值的贡献,包括保障业务正常运行、提升业务信任度、增强业务竞争力等,以及这些价值量化和展示方式。价值维度指标包括业务可用性、业务满意度、业务增长率、业务收入等。
`
首页 > 产品 > 数据安全 > 安恒数盾数据安全
https://www.dbappsecurity.com.cn/product/cloud1392.html
`
数据安全风险Top10
1. 数据资产底数不清
数据在哪、有哪些类型、哪些是敏感数据,这些数据的敏感等级分别是什么? 如果不能做到数据分类分级,就没有明确的保护的目标,无法做到针对安全风险进行有效防护。
2. 数据库漏洞
很多数据库管理员担心修复数据库漏洞程序会对他们的数据库产生业务影响。但是现在,存在漏洞的脆弱数据库被攻击的风险非常高。
3. 特权账号
特权账号一般是指root、DBA等超级管理员账户,特权账号一旦保管不当,极易导致数据被恶意篡 改、删除、批量下载以及恶意提权操作等。
4. 过度授权
数据库的授权应当遵循最小权限授予原则,即仅授予满足用户需要的最小权限,在数据库中,如果 进行了不当授权,则极易造成低权限用户执行本不该属于该用户的风险操作行为,带来不可预估安 全风险。
5. 开发测试环节数据泄露
随着业务系统越来越复杂,而开发周期却越来越短,对开发和测试要求随之提高。对于业务系统的 性能测试往往需要准备大量的高质量的数据,由于开发测试环境中使用生产数据造成的数据泄露, 在各行各业都时有发生,2014年韩国发生三大发卡行由于开发测试环节泄露信用卡信息,一时轰动全球。
6. 运维人员篡改拖库风险
运维人员使用数据库账号进行运维管理,该账号的权限有可能超出实际运维管理所需要的标准。如 果对其缺少访问行为控制管理,受利益驱动,运维人员可直接篡改交易、窃取敏感数据、甚至直接泄露上亿个人隐私信息。
7. 重要数据明文存储
由于数据库的存储架构中,数据以数据文件的形式明文存储在操作系统中,由于数据存储介质遗 失,或者黑客和不怀好意的人直接通过操作系统获取数据库文件,都会造成数据大量泄露。
8. 终端数据泄露风险
通常,信息安全防护体系是由服务器、网络和终端三个环节组成。在信息安全体系中,最薄弱环节往往是终端安全防护。目前,终端安全防护的技术手段极为有限,终端存在诸多安全隐患,其中最大的问题是终端普遍存在数据泄露风险。
9. 数据稽核难
监控整个组织中的数据访问是追查取证的重要手段。一旦无法监视数据操作合规性异常,无法收集数据库活动的审计详细信息,这将会造成在数据泄露后无法进行溯源分析,产生严重的组织风险,导致定责模糊、取证困难,最后追溯行动不了了之。进而极可能导致二次泄露事件的发生。
10. 数据泄露无法取证溯源
当组织机构将数据共享、外发给第三方后,由于第三方人员保管不当造成数据泄露时,无法及时通 过定位数据外发人员、外发目标和时间等信息进而确定最终的泄露主体,造成数据泄露事件无法溯 源取证和对安全事件定责。
# 数据安全全景图
# CAPE数据安全能力框架
## 以身份和数据双中心
保护数据安全的目标之一是防止未经授权的用户进行数据非法访问和操作。所以需同时从访问者”身份”和访问对象”数据”两个方向入手,双管齐下。
零信任:
在没有经过身份鉴别之前,不信任企业内部和外部的任何人/系统设条,需基于身份认人证和授权,执行以身份为中心的动态访问控制。
数据分类分级:
聚焦以数据为中心进行安全建设,有针对性的保护高价值数据及业务,数据发现和分类分级是以数据为中小M保护的重要基础。
## 全面覆盖立体化防护原则
全生命周期:
横向上需全面覆盖数据资源的收集、存储、加工、使用、提供、交易、公开等行为活动的整个生命周期,采用多种安全工具支撑安全策略的实施。
数据安全态势感知:
纵向上通过风险评估、数据梳理、访问监控,大数据分析,进行数据资产价值评平古。数据资产弱点评估、数据资产威胁评估,最终形成数据安全态势感知。
立体化防护体系:
通过组织、制度、场景、技术、人员等自上而下的落实来构建立体化的数据安全防护体系。
## 智能化、体系化原则
在信息技术和业务环境越来越复杂的当下,仅靠人工方式来运维和管理安全已经捉襟见肘了,人工智能、大数据已经有相 当的成熟度,如UEBA异常行为分析、NLP加持的识别算法、场景化脱敏算法等;同时,仅靠单独技术措施只能解决单方面 的问题,必须形成体系化的思维,通过能力模块间的联动打通,系统形成体系化的整体数据安全防护能力,并持续优化和改进,从而提升整体安全运营和管理的质量和效率。
# 全场景数据安全
生产区
共享开放区
应用区
测试开发区
运维管理区
# 数据要素安全流通
`
网安厂商:数据安全布局时间线
https://mp.weixin.qq.com/s/jvtQQTMUBRnyC4JVHqUHpw
`
数据安全法于2021年9月1日正式施行,数据安全近两年已成为网络安全行业新的增量,国内主要网络安全厂商借助快速的产线扩展能力、解决方案整合能力、行业客户积累等自身综合实力快速布局,伴随着数据安全政策体系的逐步完善与落地,各行业密集开始进行数据安全建设,各厂商也将从中受益颇多。本文整理八家网安厂商近几年在数据安全方向的布局动态以供参考。
# 奇安信
2020.9-发布数据安全开放平台—一防水堡
2021.5-升级数据安全开放平台,发布“数据交易沙箱”
2021.8-发布“数据安全能力框架”以及“数据安全运行构想图”(数据安全ConOps)
2022.1-发布数据卫士套件(特权卫士、权限卫士、API卫士、隐私卫士和数据安全态势感知运营中心)
2022.3-针对政企内部数据安全治理问题推出“奇安信网神应用数据访问控制系统”
2022.5-数据跨境卫士
# 安恒信息
2020.9-智慧政务数据安全管控解决方案入选2020年数据安全实践案例库
2021-提出”CAPE”数据安全能力框架,发布数据安全管控平台、数据安全岛平台、零信任解决方案、数据安全分级与风险评估系统四项创新产品
2021.7-发布数据安全整体解决方案
2022.5-战略升级,发布数盾数据安全全景图
# 深信服
2020.11-针对数字政府数据安全问题发布数据共享安全治理与运营体系模型(DSSG)
2021.7-教育行业数据安全治理体系
2022.10-联合交通部发布《综合交通数据安全蓝皮书》
# 启明星辰
2020.7-以传统数据安全产品为支撑构建天榕数据安全管控平台
2021.12-启明星辰集团DT(数据时代)总部落地杭州并发布数据安全新版图数据绿洲
2022.12-提炼总结数据安全治理体系,发布《数据安全体系(数据绿洲)建设指南》
# 绿盟科技
2019.4-发布全新数据安全解决方案
2020.5-数据库审计与防护(DAS)全新版本发布
2020.10-发布数据安全运营平台(NSFOCUSISOP-DS)
2021.6-发布工业互联网数据安全监测解决方案与数据安全运营平台ISOP-DS新版本
2020.12-发布数据脱敏系统DMS
2022.10-创新推出源代码暴露核查服务和“数安湖”隐私计算平台(联合海光信息)
# 天融信
2018.11-发布新一代天融信数据库安全网关
2018.12-发布新一代数据脱敏系统
2021.10-发布基于IPDRR的工业互联网数据安全体系
2021.11-三类数据隔离摆波解决方案
2022.7-发布数据出境自评估解决方案
# 山石网科
2017.8-发布数据安全产品线(数据泄露防护系统和数据库审计与防护系统)
2018.3-发布数据库审计与防护系统新版本
2019-推出静态数据脱敏系统
2021.11-发布全新的数据安全治理体系和数据安全综合治理平台
2022-发布数据库加密与访问控制系统和应用(API)数据安全审计系统,布局规划数据泄露防护系统、动态数据脱敏系统、应用数据安全网关、数据库运维安全网关系统
# 迪普科技
2019.7-2020-推出数据安全管控平台
2020.11-发布《运营商数据安全白皮书》
参考来源:各公司官网或官方微信公众号
`
深度分析 |全场景覆盖的大数据安全防护实践思路
https://mp.weixin.qq.com/s/kR1Mbw6WkXbHlg-TKWxOjA
`
当前我国进入“十四五”建设新征程。随着数字化经济的快速发展,一场以数据为中心的网络攻防战已经拉开序幕。跨界融合的业务、复杂多变的IT环境、持续创新的技术,令传统基于边界的安全防护、单次静态的安全策略配置已经无法满足数据业务发展的安全需求。
全面贯彻以“中华人民共和国数据安全法”为基础的数字化战略,构建全场景数据安全运营能力。贴合客户需求,形成场景化的数据安全解决方案,实现数据安全“全领域、全要素、全类型”的全面覆盖,达到“全面防护,智能分析,自动响应”的数据安全防护效果,有效保护数据在全生命周期过程中的安全。
1. 全领域覆盖的大数据共享交换安全
在新型基础设施中,大数据中心已成为数据汇聚的核心平台之一。根据Synergy Research Group统计显示,全球超大规模数据中心数量增至659个,自2016年年中以来增加一倍多,结合过去三年数据,超大规模数据中心的增长几乎呈直线增长,每个季度平均有16个新数据中心上线。大数据中心将数字化世界产生的大量数据进行集合,在统一存储的同时,进行高速的计算与处理,将挖掘与分析出的有价值数据提供到各行各业的应用中,达到“取之于民、用之于民、造福于民”的作用。
大数据中心利用大数据平台实现数据共享交换已经成为趋势,多种技术的融合也为大数据共享交换提供了有力的安全保障措施。融合技术创新成为数据安全治理方案的核心,运用多种机制综合维护用户数据安全,核心机制包括6种,分别是:
基于大数据平台环境的漏洞与配置检查、
基于数据采集汇聚环境的敏感数据扫描与定位、
基于用户身份的认证与鉴权、
基于API接口作为数据传输媒介的API安全防护与数据流向追踪、
基于前置数据库的数据行为审计与加密保护、
基于人工智能为依托的数据安全统一运营。
与此同时,数据安全治理方案还要通过综合应用UEBA、数据挖掘、隐私计算、AI大数据分析等多种先进技术,并结合威胁情报库,对整个大数据共享交换系统进行全面的数据安全关联分析和展现,用可视化的效果实现对数据安全的全面运营。
图1大数据共享交换安全
2. 全要素覆盖的大数据业务安全
大数据安全中的全要素是指,由人员链、业务链、供应链等因素发起的关联式深度威胁。在我国数字化转型的快速推进时期,为了解决全要素的安全问题,需要转变安全视角,从整体大数据业务出发,围绕对外的门户业务、内部办公业务和生产业务、业务运维四种场景,结合多种检测和防护技术,在数据价值最大化的同时,保障大数据业务安全。
图2数据场景及安全措施
图2场景中,在业务系统与数据中心之间采用数据库防火墙、数据脱敏、数据库审计、API安全来做到相应的防护与审计效果。对于运维场景,除了依靠堡垒机来防护以外,也同样需要数据库防火墙、数据脱敏、数据库审计和API安全来对数据进行防护,同时还应具有数据扫描的能力,帮助业务系统发现更多的数据风险。终端侧,不管是办公终端、生产终端,还是运维终端,要从准入、加密、远程桌面、DLP等方面入手,全面保障数据的安全,谨防数据泄漏情况的发生。
大数据业务安全中一个重要的因素是用户的确权,不管是数据的采集、存储、传输,还是使用、共享、销毁,都需要根据数据的重要级别设置对应的访问权限,因此针对用户应提供全面统一的认证管理,让可信变成现实,权限关联数据内容,再结合统一的密钥管理系统,使数据的访问认证和加密相互关联,全面的保证数据的保密性、完整性和可用性。
图3用户权限与数据访问安全
图3中,数据在被访问的同时需要依托动态的权限控制来保障数据的安全,这里就要提到两款常见的产品(数据库防火墙和数据脱敏),这两款产品都是基于数据库协议分析与控制技术、内容识别与脱敏算法来实现对数据的访问控制。其中数据库防火墙主要包括对数据库的访问行为控制、危险操作阻断、可疑行为审计和返回结果的脱敏能力,而数据脱敏主要包括动态脱敏、静态脱敏,以及脱敏数据风险评估的能力。从访问权限的控制角度来看,数据库防火墙在细粒度的访问控制上优势更加明显,数据脱敏则更加注重脱敏算法的多样性,这两种能力如果搭配来使用,会达到事半功倍的效果,让具有不同权限的用户或者业务系统在正常运行的情况下实现访问数据内容的可用不可见、所需方可见的效果。
图4数据共享交换防泄漏
图4中,数据在办公和生产环境中的数据交换共享是常见的工作方式,很多单位用户为了防范数据被员工有意或无意的泄漏,都会对敏感数据进行加密,加密后的数据多少也会对交互产生一些影响,为了避免影响,可以采用加密与环境隔离的方式来实现,及内部数据不加密,只要在数据脱离环境时再进行加密处理。在此基础上再采用替换密钥的方法,让数据在跨环境交换时无需解密即可进行交换,从而杜绝了数据丢失的风险。
3. 全类型覆盖的大数据风险评估与安全防护
大数据安全中的全类型是指,环境的缺陷可导致外部和内部的攻击破坏和数据窃取,行为的不规范可导致恶意的窃取和无意识的滥用和泄漏。如何防范和杜绝风险,就要对风险点有准确的识别能力,从数据安全风险评估的角度可以总结为三类指标,包括:数据主体、数据环境、数据行为。数据主体除了对分类分级有明确定义外,其脆弱性难以评判,那么数据面临的主要风险就是来自其“数据环境”和“数据行为”,结合数据生命周期的六个阶段,逐一对数据环境风险和数据行为风险进行评估与判定,明确风险,为防护手段提供确实的依据。如图5所示。
图5数据风险点识别
对于恶意攻击以及因无意识数据滥用发起的攻击,根据数据主体、数据环境、数据行为所产生的风险点,建立自动化的数据安全纵深防护预警体系进行切实应对。以数据为中心,向外对业务、网络、设备、用户采取“零信任”的态度,任意环节失信后都能实现熔断保护,利用更加智能的方式实现数据风险的动态联防。如图6所示。
图6自动化的数据安全纵深防护预警体系
**围绕数据主体、数据环境、数据行为,在用户侧、终端侧、网络侧、业务侧,以及数据中心,全面做好安全防护措施,外向内防攻击、防入侵、防篡改,内向外防滥用、防伪造、防泄露。最关键的是,要对全部纵深防护环节进行整体控制,实现环境感知,可信控制和全面审计。**构建统一的数据安全运营平台,对整个网络的威胁、日志持续监控,通过内外部的态势数据、评估数据、情报数据的内容,利用安全大数据对事件进行快速分析,当发现敏感数据泄漏风险、黑客入侵风险、数据篡改风险、越权访问等数据安全风险时,智能判断风险发生的位置、路径、方式等,从而快速向风险发生最近的或最直接的安全防御系统发出指令,安全防御系统根据指令调整安全策略,对链路、会话、行为等做出警告并阻断操作,实现自动化的响应能力,及时发现问题,及时阻止安全问题。
总结:
以“中华人民共和国数据安全法”为准绳,强调以体系化建设为指引,引入新技术来优化传统技术和管理流程,通过实现自动化和半自动化以降低数据安全与数据开发利用的运营成本,从而确立数据安全管理制度,提升数据安全治理与开发利用的技术水平,有效的应对数据安全风险与挑战,在保障数据安全的同时让数据价值最大化。
`
CSO失业的9种方式
https://mp.weixin.qq.com/s/uHBYNSuRaalgdfoI8kynnA
`
对于顶级 IT 安全高管来说,失去工作其实非常容易,只需要一个愚蠢的决定,一个简单的疏忽,或者糟糕的沟通。
首席安全官 (CSO) 努力保护他们的企业和职业,然而,所有这些努力都可能在瞬间消失,只需一点点的不注意,一个错误的假设,或者听从一些误导性的建议。
你打算保住工作吗?那就学习以下九个需要避免的危险领域。
1-过度自信
自大可能导致职业的早期毁灭,特别是在部署未经验证但流行的安全解决方案时。
“这种方法会造成安全漏洞,增加人为错误的风险,并导致利益相关者产生虚假的安全感——直到发生重大事件,导致灾难性的网络安全事件。”网络安全技术公司 XYPRO.com 的首席信息安全官 (CISO) Steve Tcherchian 说。
过度自信还会导致安全懈怠。“当个人或企业认为他们当前的安全流程已经足够时,他们就不会保持警惕,可能会变得容易受到新威胁的攻击。”Tcherchian 指出。因此,安全漏洞会被忽视,防御措施变得过时。
2-推动失控的复杂性
当安全负责人失去对基本任务的关注,并被最新技术和热点话题分散注意力时,职业生涯往往会脱轨,商业咨询公司安永的全球和亚太地区网络安全咨询负责人 Richard Watson 说。结果是获得了大量技术,增加了不必要的复杂性和不必要的分心。
复杂性带来的挑战在于,它在网络预算日益受到审查的同时增加了成本,并可能使组织的网络防御变得更弱。“与所有技术集成一样,漏洞可能会出现,正是通过这些漏洞,攻击者可以获得优势。”Watson 指出。
更糟糕的是,复杂性会导致一种虚假的安全感,组织会觉得有最新的技术创新在保护他们。Watson 报告称,安永最近对全球 500 家领先组织进行了一项研究,发现顶级安全表现者正在接受简化,并朝着单一集成平台方法迈进。
3-缺乏 GRC(治理、风险管理和合规性)
部署网络安全堆栈而不包括正式的治理、风险管理和合规性 (GRC) 计划,可能轻易颠覆职业生涯。
“这个错误可能是毁灭性的,因为它会影响业务的许多方面。”无线网络服务公司 Velaspan 的 CISO Scott Hawk 说。如果没有稳固的 GRC 计划,安全负责人更有可能在技术上过度支出,产生虚假的安全感,错过其安全姿态的关键组成部分,并与业务的其他部分产生不一致。
GRC 框架确保风险管理、合规要求和治理集成到组织的整体战略中。“GRC 将围绕网络安全创建一场全企业的对话,有助于设定优先级并推动采纳。” Hawk 说,GRC 努力使网络安全成为业务的推动者。
4-未能将网络安全与企业目标对齐
安全专家犯下的最大错误不是技术错误、误算,甚至不是未能预见潜在威胁,网络安全平台提供商 Axio 的高级网络安全顾问 Richard Caralli 说。“最大的错误是未能在其组织背景下理解和框架网络安全计划。”这也是一种潜在的职业杀手。
网络安全的存在及其执行应在企业使命、目标和宗旨的背景下进行。“保护对企业生存最重要的东西应该驱动网络安全的优先级和投资。”Caralli 说。
他补充道,制定和执行一个优先考虑企业重视的关键成功因素的网络安全计划的能力完全掌握在网络安全领导者手中。“未能将网络安全工作与企业价值对齐,会导致投资错配、资源利用不当和总体上较差的网络安全结果。”他说。
5-低估访问控制的重要性
许多安全领导者花时间担心系统后门,而没有认识到访问权限带来的威胁,身份、安全和治理技术提供商 Zilla Security 的联合创始人 Nitin Sonawane 警告说。“身份是系统的前门,”他指出,“忽视不安全和配置错误的身份是一个大错误。”
企业往往未能充分管理前员工和合同工的访问权限,导致孤儿账户可能被威胁行为者利用。同时,现有员工在公司任职期间随着承担新职责,通常会积累对敏感系统和数据的访问权限。“过度特权的身份在发生漏洞时会带来更大的风险。”Sonawane 警告说。
Sonawane 认为,管理身份的最有效方法是使用 AI。如今大多数企业都维护 HR 应用程序,如 Workday、Paylocity 或 BambooHR,它们作为每个用户业务资料的真实来源。当发生调动时,企业通常期望用户的新主管决定用户应保留哪些权限。“新主管具有做出这些决策的业务背景,而 AI 可以帮助他们确定需要哪些访问权限以及哪些超出了其业务职能的范围。”
6-忽视人为因素
安全领导者犯的最大错误是完全专注于技术解决方案和流程,IT 咨询公司 Presidio 的现场 CISO Dan Lohrmann 说。他警告说,最大的漏洞来自人员方面。“低估关系的安全专家会失败。”
Lohrmann 说,员工试图绕过控制并规避既定政策和程序的倾向可能导致一系列内部威胁。“这为那些试图造成伤害或盗窃的人打开了大门,并且可以像勒索软件攻击或其他数据泄露一样造成声誉和品牌损害。”他说。
Lohrmann 指出,员工和其他授权人员可以很狡猾。“我见过有人通过延迟行动、拖延时间、公开在团队中制造分歧、反对领导或既定的组织目标、冒不必要的风险,或因无能或未经培训而破坏优秀的网络安全项目。”他解释说。
人员也可能随时间发生变化。“一些曾经是出色专业人士的员工,现在因疲劳或注意力不集中而失去了专注,因为他们在做兼职或有其他分心事物,”Lohrmann 说。流氓或粗心的用户和/或合同工也可能造成混乱。
更好的招聘实践,包括彻底的背景调查,可以大大提高内部安全性,Lohrmann 说。“注意疲劳迹象也很重要。”
7-让遗弃的数据保留
云存储中的陈旧数据可能被隐藏和遗忘,但它可能在没有警告的情况下回来破坏 CSO 的职业生涯。“遗留陈旧数据会带来重大危险,从安全漏洞到合规问题,而且这是一个重要的错误,因为它是如此可预防。”数据安全软件提供商 Metomic 的 CEO Rich Vibert 说。
未授权访问是首要问题,Vibert 表示:“如果访问控制没有得到精细的维护和更新,旧文件中包含的敏感信息很容易落入不法之徒手中。” 当前员工或外部合作者继续拥有文件访问权限时,风险会升级。
Vibert 说,当攻击者捕获遗弃文件时,数据泄露的可能性增加,包括个人信息、财务记录或机密商业数据。“这些被遗忘或未管理的数据片段通常缺乏强有力的保护,使其成为有吸引力的目标。”此外,陈旧数据可以为网络犯罪分子提供有价值的历史信息,使他们能够编写更具说服力的网络钓鱼邮件或社会工程攻击,从而增加成功入侵的可能性。
8-不与业务部门建立联系
与非技术利益相关者的无效沟通可能导致误解和混乱,播下不信任的种子,缺乏对安全计划的支持,以及在寻求安全预算批准时遇到更多挑战,全球技术研究和咨询公司 ISG 的 Ventana Research 数字技术研究主任 Jeff Orr 说。
Orr 建议使用商业术语来传达关键的安全问题及其对业务目标的影响。“提供示例以帮助将安全概念与业务活动联系起来,”他建议 CSO 也应澄清安全报告。“审查安全决策如何与业务影响相关。”
9-自满
最大的职业致命错误是相信一切都在控制之中。这类领导者把信任寄托在安全项目和日程表上,安全技术提供商 Radware 的 CISO Howard Taylor 说。“他们信任他们的一系列行业认证可以保护他们的业务免受网络恶棍的侵害。”
企业在遭受历史性支付交易数据泄露后,最后的话是:“我们刚通过了 PCI DSS 认证。”
`