=Start=
缘由:
闲扯,个人的一些碎碎念。
说来也怪,做了很久的安全/数据安全,有些时候当其他人问你数据安全是什么,以及你做的是哪一部分,涉及到什么具体工作/产品/项目,为什么要做这些,怎么做好这些的问题时,还是会一愣,然后大概率从自己正在干的事情说起,好一点的可能还要加上以后的规划——这些事情很重要,如果讲不清楚很可能是基础不行或是没做过(又或者是近期务虚的工作多了,以前干的工作又没有及时深入总结,导致一时想不起来);但在准备晋升答辩时,(这种自下而上的介绍方式/顺序)对于高阶的评委或者管理者来说,又不重要,他们想看的是全局、整体的思考,需要的是自上而下的视角;不过平时大部分实际干活的人,习惯于用自下而上的视角去看待自己的日常工作,这么做久了之后,可能就会光顾埋头赶路,忘了抬头看天,对于有一些想法和追求的人,建议每隔一段时间给自己安排一个从具体事务中抽离出来的机会,用自上而下的视角来观察一下自己的工作甚至是岗位(对公司/团队的价值在哪?),看看能不能有一些不一样的发现。
是什么、为什么、怎么样?
NLP思维层次模型(金字塔结构,自下而上依次是:环境、行为、能力、信念和价值观、身份、精神)
一般人——受环境影响,采取相应的行为动作得到一定的结果,能力得到一定提升。
(信念和价值观)高层次的人——有坚定的个人信念和价值观,在选择做什么的层次上有自己的方法论,可以基于业界最佳实践和当前所处环境的利用相关方法论选择要做的事情和方向;同时在确定了做什么之后,在具体怎么做的层次上也有自己的方法论,可以用这个方法论指导自己完成要做的事情;在做事情的过程中会产生相应的行为,拿到最终的结果并影响当前的环境(而不是像处在低层次的人那样被环境所影响)。
- 某个领域的图腾一般的人物;
- 某个子领域的开创者、奠基人;
- 某个子领域的带头人
- 选择要做的事情和方向的方法论;
- 具体如何做事情的方法论;
- 某个具体项目/事情上的业界最佳实践;
- 能力强大到可以影响周边的环境 or 行为受周边环境的影响;
正文:
参考解答:
合法合规+风险可控
数据安全的定义
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据安全是指采用保护措施来防止数据受到未经批准的访问并保持数据机密性、完整性和可用性。数据安全性优秀实践包括数据保护技术,例如数据加密、密钥管理、数据编辑、数据子集和数据屏蔽,以及特权用户访问控制、审计和监视。
数据安全是指在数字信息的整个生命周期中保护数字信息免遭未经授权的访问并抵御损坏、失窃等风险。
数据安全有助于在其整个生命周期中保护敏感数据,了解用户活动和数据的上下文,并防止未经授权使用数据或丢失数据。
数据安全是组织保护其数字信息免遭未经授权的访问、使用、修改、损坏、利用、丢失和盗窃的流程。它是网络安全一个必不可少的组成部分,涉及实施工具和措施以确保数据的机密性、完整性和可用性。
数据安全有助于保护整个生命周期内的敏感数据,了解用户活动和数据的背景,并防止未经授权使用数据。数据安全涉及了解你拥有的数据及其所在位置,并识别对该数据的威胁。
数据安全性的重要性
对于任何组织,数据都是非常宝贵的资产。因此,保护数据免受任何未经授权的访问至关重要。数据泄露、审计失败和未遵守监管要求都可能会导致声誉受损、品牌资产损失、知识产权受损以及违规罚款。根据欧盟通用数据保护条例 (GDPR),数据泄露可能会导致组织面临高达其全球年收入 4% 的罚款,造成重大的经济损失。敏感数据包括个人身份信息、财务信息、健康信息和知识产权。组织需要采用数据保护措施来避免数据泄露并帮助实现合规性。
随着数据作为生产要素的重要性凸显,数据安全的地位不断提升,尤其随着《数据安全法》的正式颁布,数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。
数据安全措施不完善会带来严重后果,无论是财务方面,还是声誉方面。美国公司数据泄露的平均成本现在已超过 944 万美元,而且有 83% 的组织遭遇过不止一次泄露。组织既面临着法律责任,也有可能会遭受毁灭性的财务损失。而且如果泄露事件引起广泛关注,还会严重损害人们对品牌的认知,导致丧失客户信任。
仅仅在过去十年期间,数据泄露就曾影响过很多世界上最声名显赫的公司。近期的数据安全漏洞已经开始针对行业巨头,例如 Apple、Meta、Twitter 等,这进一步突显了进行全面数据保护的必要性。2021 年,T-Mobile 的一次数据泄露事件影响了预计 7700 万人;由于客户数据被发布到了知名网络犯罪论坛上,这导致该公司需要支付 3.5 亿美元进行和解。当前的数据安全趋势旨在降低安全漏洞造成的影响和财务损失。
数据安全的工作内容划分
数据安全的四个关键问题是机密性、完整性、可用性和合规性。
安全管理
建设完善公司数据安全管理体系
标准解读——网络安全法/数据安全法/个人信息保护法等法律法规的监管要求解读(这方面可以看看炼石网络整理的文章/文档)
制度规范——一方面是满足数据安全法等法律法规的合法合规性要求,另一方面这也是内部沟通、案例处置的依据所在
流程改进——权限审批、授权管理、账户管理等流程上可能需要添加安全卡点或知会安全部门
安全评审——依据整理好的checklist做检查
风险评估——
方案设计——偏技术,需要一个稍微懂些安全技术的同学了解安全内部的能力和产品然后在外部团队有安全架构设计需求时提供可落地的安全方案
整改推进——对基于扫描、沟通、外部反馈等方式发现的安全风险问题跟进修复情况,推动修复流程的完成
意识宣导——通过入职保密协议签署、应用系统banner提醒、会议室投屏、工区易拉宝等方式持续进行安全宣传以达成员工安全意识的提高和增强
安全培训——入职培训、安全编码培训、安全考试等方式对员工进行安全意识、能力的培训
数据保护
认证——比如SSO等
鉴权——有能力的自己搞,没能力的提需求给中台来搞
权限管理——有能力的自己搞,没能力的提需求给中台来搞
数据加密
密钥管理
数据脱敏
明暗水印
文档防泄漏
数据分类分级
监控审计
日志采集
数据分析
异常审计(简单基本的运营可以在平台/策略稳定之后外包给其它同学处理,能力强的人只处理特殊的、有难度的case)
DLP
策略开发
事件溯源
针对数据生存周期各阶段开展安全监控和审计(日志采集是基础,数据分析和持续运营是关键),以保证对数据的访问和操作均得到有效的监控和审计。
一些可参考的数据安全框架大图
奇安信数据安全能力框架
https://www.cnblogs.com/itxiaoshen/p/15367248.html
奇安信发布业界首个“数据安全能力框架”
https://mp.weixin.qq.com/s/0YrfP_AKHvb9z3ZmqVPwWg
MicroSoft管理信息和网络风险
https://learn.microsoft.com/zh-cn/azure/cloud-adoption-framework/organize/cloud-security
https://aka.ms/SecurityRoles
全知科技正式发布《数据安全作战地图》知识图谱
https://www.aqniu.com/industry/96892.html
CAPE数据安全能力框架,为数字经济保驾护航
https://mp.weixin.qq.com/s/qKAxR55NBbMeXUxHGLA8WA
安恒数盾数据安全
https://www.dbappsecurity.com.cn/product/cloud1392.html
参考链接:
中华人民共和国数据安全法
https://www.gov.cn/xinwen/2021-06/11/content_5616919.htm
什么是数据安全性?
https://www.oracle.com/cn/security/database-security/what-is-data-security/
什么是数据安全?
https://www.ibm.com/cn-zh/topics/data-security
数据安全解决方案
https://www.aliyun.com/solution/security/datasecurity
什么是数据安全?
https://www.microsoft.com/zh-cn/security/business/security-101/what-is-data-security
什么是数据安全?
https://www.elastic.co/cn/what-is/data-security
【数据治理实践】
https://www2.deloitte.com/cn/zh/pages/financial-services/articles/data-safety-management.html
数据安全治理实践指南(1.0)
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210720377857004616.pdf
=END=
《 “数据安全是什么?” 》 有 4 条评论
亚马逊的黑暗秘密 – 数据安全与隐私保护“最佳实践”
https://mp.weixin.qq.com/s/iuPPSiFBZNGqFrJGMUwPtw
`
本文是Reveal和WIRED的一份调查报告,该报告指出亚马逊的数据安全与隐私保护存在系统性缺陷,亚马逊信息安全部门内部混乱动荡,部门负责人更替频繁,导致工作连续性严重受损;部门预算、人手严重不足,许多重要项目推进缓慢;自动化安全监控工具投入明显不足,主要依靠老旧的人工检测机制。高层管理对安全问题重视不够,数据泄露和内部滥用事件屡禁不止,但治理进展缓慢。员工权限管理混乱也导致用户隐私数据极易在公司内部扩散。
该报告全文超过40多页,笔者人工整理了一下主要内容,然后用GPT进行了总结,如下:
根据文档,可以总结出亚马逊公司在数据安全和隐私保护方面存在诸多问题:
1.员工权限管理存在严重漏洞,大量员工可以代表用户进行交易、获取敏感信息。2010年和2015年的内部审计就发现了这一问题,但一直没有得到有效解决。
2.用户支付数据和其他敏感信息曝光给了数以万计的员工,存在严重的泄露风险。2017年,2400万用户的信用卡信息就这样暴露了两年之久。
3.自动化安全监测系统极为薄弱,主要依赖人工报告问题。这导致问题识别和响应严重滞后,许多攻击可能在网络中存留数年而未被发现。
4.信息安全部门严重缺乏投入,高管承诺与实际需求严重失衡。关键项目和工具因预算不足而难以推进。
5.安全部门组织运转混乱,上下级不信任,内部团队之间缺乏协作。部门负责人更替频繁导致工作断层。
6.最高管理层没有将数据安全作为企业发展的重中之重,导致问题难以得到高效解决。
7.2018年以来,安全部门内部评估认为泄密事件未被发现、系统可见性缺失、凭证保护不力等都是极高风险,但治理进展缓慢。
8.前几年:一位客户服务代表滥用系统获取一位女性客户的私人信息。
9.过去: 第三方卖家试图贿赂员工获取数据。
10.最近:两名员工滥用权限访问用户数据被解雇。
11.长期以来:软件工程师持有高权限账户和后门访问。
12.当前:亚马逊内部存在对安全问题的广泛担忧。
7.文章最后更新于2022年12月。
所以可以看出,文章所提到的各种网络安全事件发生的时间跨度很广,从几年前一直到最近(2015 – 2020年)。综上所述,这类问题在亚马逊公司内部已经存在并发生了很长一段时间,不是最近才凸显出来的。
`
2023年度数据泄露分析报告
Identity Theft Resource Center 2023 Annual Data Breach Report Reveals Record Number of Compromises; 72 Percent Increase Over Previous High
Date: 01/25/2024
https://www.idtheftcenter.org/post/2023-annual-data-breach-report-reveals-record-number-of-compromises-72-percent-increase-over-previous-high/
ITRC_2023-Annual-Data-Breach-Report.pdf
https://www.idtheftcenter.org/wp-content/uploads/2024/01/ITRC_2023-Annual-Data-Breach-Report.pdf
保持合规需要重点关注的安全指标
The Most Important Security Metrics to Maintain Compliance
https://www.upguard.com/blog/security-metrics
`
Customers and regulators alike are increasingly concerned about the information security programs of organizations and how they plan to prevent security incidents and safeguard sensitive data.
客户和监管机构都越来越关注企业的信息安全计划,以及他们如何计划防止安全事故和保护敏感数据。
That’s why it’s important to establish a set of security metrics that measure the effectiveness of, participation in the use of security controls. A well-chosen set of metrics will help guide future security decision-making and improve the security posture of your organization.
因此,建立一套安全指标来衡量安全控制的有效性和参与使用情况非常重要。一套精心选择的指标将有助于指导未来的安全决策,并改善组织的安全态势。
Regardless of what metrics you pick, remember that they should be quantifiable and influence day-to-day behavior as well as the long-term strategy. They should also comply with your information security, data security, mobile security, and network security frameworks.
无论您选择哪种衡量标准,请记住它们都应该是可量化的,并能影响日常行为和长期战略。它们还应符合信息安全、数据安全、移动安全和网络安全框架。
And ideally, you should have a set of metrics that are easily understandable for non-technical stakeholders, such as shareholders, Board members, and regulators. Hard numbers and industry benchmarks are a great way to avoid confusion while highlighting key areas for improvement.
在理想情况下,您应该制定一套非技术利益相关者(如股东、董事会成员和监管机构)易于理解的指标。硬性数字和行业基准是避免混淆的好方法,同时还能突出需要改进的关键领域。
Why are Security Metrics Important?
As Peter Drucker said, what gets measured, gets managed. If you can’t measure the results of your security efforts, you won’t know how you’re tracking.
安全指标为何重要?
正如彼得-德鲁克(Peter Drucker)所说,有衡量才有管理。如果无法衡量安全工作的成果,就无法了解自己的跟踪情况。
You need to have metrics in place to assess the effectiveness of the security controls you have invested in.
您需要制定衡量标准,以评估您所投资的安全控制措施的有效性。
安全指标之所以重要,主要有两个原因:
* 对安全关键指标和态势的分析,有助于围绕预算、人员和技术投资做出决策。
* 好的指标能提供量化信息,你可以用这些信息向管理层、董事会成员、客户甚至股东表明你对保密性、完整性和可用性的重视。
如何选择正确的安全指标
以下七项原则将帮助您为组织选择正确的安全指标:
1. 目的:衡量标准应支持业务目标和监管要求,将衡量标准与业务挂钩有助于利益相关者的认同,并确保资源得到有效利用
2. 可控性: 指标必须证明目标正在实现,这样的指标才有价值。因此,指标必须衡量可控流程和结果。
3. 背景: 不要仅仅把笔测试或安全工具的结果称为指标,它必须有意义。要回答 “我们为什么要收集这些数据?”、”这些数据说明了什么问题?”以及 “这些数据与我们的行业相比有什么不同?”等问题。
4. 最佳实践: 了解您要实现的目标,以及同类最佳指标是什么样的。
5. 量化: 指标需要量化,这样才能在不同时间和不同组织之间进行比较。尽管如此,围绕目标关键成果(OKRs)的定性背景也非常重要。
6. 数据质量: 指标的好坏取决于用于创建指标的数据,因此要确保数据具有较高的准确性、精确性和可靠性。
7. 易于收集和分析: 如果不能轻松地收集和分析所需数据,再好的指标也是白搭。准备和报告指标不应该花费您太多时间。理想情况下,您应该有一个始终保持更新的仪表板,组织中的任何人都可以查看。
遵循这些原则将帮助您确定建立所需指标所需的数据和服务。重要的是要记住,您的业务环境会影响收集哪些数据来形成您的安全指标。这些指标还取决于您部署的技术、使用的安全控制以及外包给第三方供应商的数量。
* 安全评级:组织的安全评级越高,其整体安全态势就越好。
* 停留时间: 攻击者在未被发现的情况下访问敏感数据的平均时间,停留时间越长,攻击者删除敏感数据的时间就越长,攻击的破坏性就越大。
* 漏洞: 内部系统和供应商控制的系统中已知漏洞的数量,如 CVE 上列出的漏洞。漏洞管理可帮助您根据严重程度对漏洞进行排序,提高优先级。
* 网络安全意识培训: 有多少员工完成了网络安全意识培训?
一些常见的监管要求,如 PCI DSS、HIPAA、GDPR、CCPA、CPS 234、LGPD、PIPEDA、FIPA、The SHIELD Act、GLBA 和 FISMA。
`
归因
https://mp.weixin.qq.com/s/6sZYFn39tg5_zPAiC7cFyQ
`
引言
偶然看到这篇文章,把我想说的一些思路完全归纳总结了,其中对不同纬度的归因层次所采取的思维方式和行动方式印象深刻,这给了我启发:从不同纬度去归因,可以找到不同纬度的解决办法,下层问题采取上层方法,能够解决的概率大一些。另外,对我们普通人来讲,并不是要追求最高的归因纬度,能在行为、能力层归因已经很厉害了。能够在精神层归因的人,属于天选之子,不必过于苛求自己。
==
我现在越来越意识到,人和人的差距很大程度上来自于他对每件事情不同的归因。像我们现在面试一个管理层的人会看他什么,我们会问他遇到过最大的挑战和困难是什么?问他的解决思路?但更重要的是观察他在这个过程当中对这件事情的归因。
也就过了一两年,这个时候很多教育行业的CEO朋友就打电话来问我,说要做背调,原来这个老兄在找工作,对上一段的创业经历,他很多问题的细节答不上来,千篇一律的解释,大家觉得很奇怪,就是:
行业不行、环境不行、时机不行、产品不行、投资人不行、谁都不行谁都是白痴,只有他怀才不遇
只有这位老兄**因为他一贯的这种消极的归因方式,几乎好像没有任何成长,路呢也越走越窄**。
过去这些年,我发现身边大量的人也有这样的规律:
**一个人遇到事情,他归因的方式很大程度上决定了他未来的命运**
可能这套思维方式也会对你的未来产生很大的影响,如果你想更快的成为一个能成事的人,那么接下来的内容你应该存下来多看几遍。
==
举个例子,公司产品最近的用户口碑明显下滑,影响到了转介绍率,也影响到了业绩。
* 环境层的人会怎么说呢,最近我们在跟竞争对手打价格战,所以只能先降低交付成本和质量,先去追求效率了。而且国内市场的用户越来越挑剔,不如我们去搞海外,现在都流行出海,你看环境层的人,他首先想到的就是向外归因,然后去逃避环境。
* 行为层的人会怎么说,从今天开始,相关部门按照新的SOP。加班加点,我们要严抓质量。
* 能力层的人会怎么想呢,是不是我们的培训做的还不够好,所以教学团队的水平和能力还不行,还有质检流程会不会有问题,因为各种各样的能力不足,所以才导致了我们产品口碑和质量的问题。
* 信念层的人会思考什么呢,他们会想是不是我们团队的价值观出了问题,我们在座的高管的心理是不是把用户的价值放在了企业利润的后面,如果自上而下大家都秉承了产品质量优先的观念,那么下面三层的问题还会存在吗? 你看这种思维方式是不是很高屋建瓴,是不是有点虚。如果你觉得虚,那你一定没有做过经营性管理,一定没有接触过上层、信念层的人:他会先弄清楚为什么做,这比怎么做更加关键。 –信念层归因
信念决定他想构建什么样的能力,能力促进行为,改变环境。
他们会想清楚来到这个世界上是为什么,想改变什么,如何才能实现自我价值。 –精神层归因
==
从上往下依次是:
精神层
身份层
信念层
能力层
行为层
环境层
当你被当下的一些选择和压力困扰的时候,不妨以这样的顺序把这个三角形反过来。自上而下的重新去思考,你的人生就会通透很多,你会慢慢让自己远离内耗,远离那些琐碎的事和那些糟糕的情绪。
`