香港六彩一尾中特

網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

當我們在談論數據資產保護的時候,我們是在說什么?

2019-10-22 10:39 推薦: 瀏覽: 7 views 字號:

摘要: 在大數據時代的背景下,以AI、大數據、物聯網、云計算等為標志的新一輪科技變革正在進行,數據的價值和安全越來越受到重視。可以說,“誰掌握數據,誰就掌握了未來。”那么如何定義數據、管理數據、保護數據,實現數據的價值,就成為近來各界熱切關注的議題。 要實現對數據資產...

在大數據時代的背景下,以AI、大數據、物聯網、云計算等為標志的新一輪科技變革正在進行,數據的價值和安全越來越受到重視。可以說,“誰掌握數據,誰就掌握了未來。”那么如何定義數據、管理數據、保護數據,實現數據的價值,就成為近來各界熱切關注的議題。

要實現對數據資產的管理和保護,首先要對數據進行分類。這里將以卡爾頓大學為例,簡要介紹一種數據資產的分類保護方法。根據國家相關法律法規和大學數據安全政策的要求,依據數據敏感程度、價值和對大學的重要性建立一個框架,對數據進行合理分類、保存和使用,便于對不同類型的數據采取適宜的保護措施。

01

數據分類

數據的分類有助于確定使用哪些安全策略來保護該數據。這里我們將數據分為三級(級別數量、分級規則都需根據具體需求制定,下文中表格都僅為舉例):

1.敏感數據或機密數據

2.內部數據

3.公共數據

在大學創建或獲得所有權后,所有大學的數據必須盡快分為這三個敏感級別之一。

敏感數據或者機密數據

定義

☆ 受法律保護的信息。

☆ 合同需要保密的信息。

☆ 大學認為適用于保密處理的其他信息。

☆ 需要最高級別的安全控制、不同程度的訪問控制的敏感或機密信息。

☆ 未經授權的泄露可能會對個人、大學造成嚴重的風險,并對大學的聲譽造成嚴重的影響或損害的信息。

部分舉例

☆ 個人身份信息-可用于區分或追蹤其身份的個人信息。

☆ 與學生直接相關的由大學維護的學生教育記錄,如學生姓名、地址、學位和獲獎情況。

☆ 人力資源信息,如薪資和員工福利信息。

☆ 威脅和風險評估、信息系統漏洞評估和滲透測試的結果。

內部數據

定義

☆?受法律保護的信息。

☆ 合同需要保密的信息。

☆ 大學認為適用于保密處理的其他信息。

☆ 需要最高級別的安全控制、不同程度的訪問控制的敏感或機密信息。

☆ 未經授權的泄露可能會對個人、大學造成嚴重的風險,并對大學的聲譽造成嚴重的影響或損害的信息。

部分舉例

☆ 個人身份信息-可用于區分或追蹤其身份的個人信息。

☆ 與學生直接相關的由大學維護的學生教育記錄,如學生姓名、地址、學位和獲獎情況。

☆人力資源信息,如薪資和員工福利信息。

☆ 威脅和風險評估、信息系統漏洞評估和滲透測試的結果。

公共數據

定義

☆ 任何可能或必須向公眾提供的信息,其訪問或使用沒有法律限制。

☆ 幾乎不需要措施來保護機密性,但需要基本的安保確保大學信息的完整性的數據。

部分舉例

☆ 大學官網上的一般訪問數據。

☆ 大學財務報表和其他已發布的報告。

☆ 可公開獲得的受版權保護的材料。

02

標記

所有非公開的電子或硬拷貝格式的數據都必須標記為機密、敏感或內部。

下表概述了標記數據的要求和指導。

數據類別

標記要求

敏感或機密

☆ 具有多個頁面的單個文檔應在每個單獨的頁面上清楚地標識分類。

☆ 如果無法使用標準頁腳,則電子文檔分類必須清晰可見。

☆ 包含此類數據的電子郵件必須有分類聲明。

內部

☆ 具有多個頁面的單個文檔應在每個單獨的頁面上清楚地標識分類。

☆ 如果無法使用標準頁腳,則電子文檔分類必須清晰可見。

☆ 如果沒有標注,除非發布,否則日常業務通信將被假定為內部。

公開

☆ 沒有具體的標記要求。

03

風險等級評估

評估風險等級需根據損害程度和如果數據丟失、被竊或被未經授權方訪問,將會發生損害的概率來確定。

下表顯示了數據機密性、完整性或可用性受到損害時,相對于損害概率和程度的最低風險等級。

04

數據集

在對數據集進行分類時,必須對任何單個數據元素進行最嚴格的分類。例如,如果數據集包含公開數據和敏感或機密數據的組合,由其生成的數據集必須分類為敏感或機密數據。

注意:在某些情況下,匯總的數據可能會導致集合比任何單個元素敏感級別更高。分類時需考慮匯總的數據的整體敏感度。

05

數據保護

數據安全級別是根據上文中確定的數據分類和風險等級確定的。確定數據的安全級別之后,就可以制定和采取對應安全級別的安全措施。各部門負責實施適當的管理、操作、物理和技術上的控制,以便按規定存儲、使用、傳輸和銷毀數據。下表為不同安全級別的數據的存儲、傳輸和銷毀的保護措施舉例。

安全級別:第三級

存儲:

(1)電子文件和數據必須存儲在歸屬大學的臺式計算機或服務器。

(2)存儲在便攜式或不安全設備上時,必須對電子文件和數據進行加密。

(3)便攜式或不安全設備在不使用時必須存放在安全的地方。

(4)硬拷貝文件必須存儲在具有受控訪問權限的鎖定辦公室或文件柜中。

(5)與第三方共享的機密或敏感數據必須加密。

(6)除非由大學托管或通過適當的協議提供支持,否則數據不得存儲在“云”環境中。

傳輸:

(1)數據必須僅通過安全網絡傳輸。

(2)遍歷不受信任網絡的數據必須包含行業標準加密。

(3)通過傳真或電話傳輸必須具有訪問權限,只有獲得授權的人才能查看或收聽。

摧毀:

(1)數據必須僅通過安全網絡傳輸。

(2)遍歷不受信任網絡的數據必須包含行業標準加密。

(3)通過傳真或電話傳輸必須具有訪問權限,只有獲得授權的人才能查看或收聽。

安全級別:第二級

存儲:

(1)電子文件和數據必須存儲在歸屬大學服務器。

(2)存儲在便攜式或不安全設備上時,必須對電子文件和數據進行加密。

(3)便攜式或不安全設備在不使用時必須存放在安全的地方。

(4)硬拷貝文件必須存儲在鎖定的辦公室或文件柜中。

傳輸:

通過傳真或電話傳輸必須具有訪問權限,只有獲得授權的人才能查看或收聽。

摧毀:

(1)根據大學政策不再需要時必須銷毀。

(2)必須正式刪除電子文件和數據,并且必須使媒體不可讀。

(3)硬拷貝文件必須橫切碎片。

安全級別:第一級

存儲和傳輸:

數據存儲或傳輸不需要安全控制。

摧毀:

文件可以被回收或刪除。

針對這些安全措施和保護標準,可以制定定制化的數據安全保護體系,能夠區別于傳統單一化的數據安全工具,實現數據全生命周期的安全防護。

聯系站長租廣告位!
?
中國首席信息安全官


關閉


關閉
香港六彩一尾中特 江苏7位数历史开奖 中青旅股票行情 广西快三 球探比分007个 王国强股票推荐 财富之都 足球比分ⅴ推荐 广东十一选五开走势 大众麻将官网下载 陕西11选5 qq游戏麻将辅助 15选5今日专家 巴甲比分预测 江苏十一选五直播 世界杯彩票比分倍率 广东11选5平台