以人为中心,基于行为场景的数据安全治理体系

发布时间 2020-02-19

即将召开的2020年RSA大会

吸引着全球网络信息安全行业的目光

“Human Element”(人的因素)

作为今年的主题词

是意料之外也在情理之中



传统安全建设中

往往忽视了人这一重要环节

密码再复杂,防不住记在本子上

边界再安全,防不住内部搞破坏

.........



纵观国内外数据泄露事件,所有的安全事件中数据都是人泄露的,其中80%的数据泄露事件是内部人员造成,这也是最难防护、影响最大的。IT系统中人员是IT身份(账号),人员通过各种行为场景操作使用数据,处处充满了数据泄露的安全隐患。



数据是企业最核心的资产

人员是安全最薄弱的一环

因此

管好人是整个数据安全建设的关键点








澳门浦京娱乐场集团数据安全建设新思路——以身份为中心


基于行为场景的数据安全治理体系



对各种行为场景建立数据安全防护策略保障数据安全,数据安全策略的制定以数据为基础,根据数据类别和使用场景制定,分步骤建设数据安全治理体系。





对数据进行发现



发现IT系统中有哪些敏感数据及敏感数据位置,并对数据进行分级分类。而分级分类当前缺乏统一引导标准,需要企业根据业务情况定义。





梳理业务场景



数据业务场景分为运维操作、业务访问、数据导出三大类,对各类场景进行细分和人员匹配。





针对行为场景 建立数据安全防护策略



? 业务访问场景数据安全防护策略



针对通过业务系统在线查看数据,对页面内容进行动态脱敏和水印标识,降低敏感信息泄露扩散的范围,防止业务人员或第三方人员拍照和录像,也可对发生的信息泄露事件展开有效追溯。



针对应用下载数据的场景,采用“零下载”(虚拟网络文件夹)功能对下载文件进行管控。一方面降低文件下载的频度和范围;另一方面对下载的文件内容进行必要的防护,比如文件加密、设置文档水印等。



? 数据库后台访问场景安全防护策略



针对数据库后台访问场景,对操作过程实行强审计,并采用金库模式(二次授权模式)对重要操作进行二次授权管理;加强运维操作的审批管,对运维操作返回结果动态实时脱敏,防止数据外泄、杜绝大批量信息查询行为的发生。



针对内部人员通过后台下载数据文件,采用“零下载”功能对下载文件进行管控。



? 数据导出场景数据安全防护策略



针对测试人员因为测试需要把生产环境的数据导出到测试环境中或导出用于数据分析,采用静态脱敏技术对导出数据进行脱敏处理。



方案涉及安全产品清单:


1、4A统一安全管控平台

2、应用安全管控系统ASCG

3、核心信息管控系统VBH

4、运维安全网关OSM

5、统一身份认证系统UIAM

6、数据库脱敏系统DBMasking