数据安全--16--数据采集阶段安全防护措施

本博客地址:https://security.blog.csdn.net/article/details/131033616

一、引子

数据采集阶段的安全防护措施主要是从三个方面来开展的,第一个是从个人数据主体采集方面,第二个是从外部机构采集方面,以上两个方面基本涵盖了数据采集的源头,但由于数据源头不同,所做的数据防护措施也是不一样的,第三个方面是老生常谈的数据分类分级。

二、从个人数据主体采集

从个人数据主体采集数据的防护措施主要有以下:

1、采集数据的客户端在完成对应的业务之后,本地不应该留存敏感数据,这里的客户端包含APP、Web等,同时,要及时清理客户端的缓存,防止采集的数据泄露;

2、采集数据时不应该超范围采集数据,这里主要是要做到采集的个人信息应与提供的服务直接相关,同时与合同协议条款、隐私政策中约定采集的内容保持一致;

3、采集的合规性保障,主要包括不违规采集数据,例如采集频率过高等;不隐瞒采集数据,例如实际上采集了但隐私政策等文件中没有说明;不通过诱骗、误导用户的方式来采集数据等等;

4、采集的生命周期要与业务服务周期一致,当提供的产品或服务停止运营时,数据的采集活动也要相应的停止。

三、从外部机构采集

从外部机构采集数据的防护措施主要有以下:

1、合同约束,在从外部机构采集数据时,需要通过合同协议等方式,明确双方在数据安全方面的责任及义务,明确数据采集范围、频度、类型、用途等,以此确保外部机构数据的合法合规性和真实性,必要时提供相关个人信息主体的授权;

2、约束机制,在从外部数据供应方处采集数据时,需要制定数据供应方约束机制,并明确数据源、数据采集范围和频度,并事前开展数据安全影响评估;

3、采集数据时不应该超范围采集数据,这里主要是要做到采集的企业客户数据应与提供的产品或服务直接相关,并与合同协议条款、隐私政策中约定采集的内容保持一致。

四、数据分类分级

数据分类分级是一个理论上很简单,但实际操作起来非常复杂的事情,这主要介绍数据分类分级的实践。

数据分类分级本身在数据防护中不会产生太大的价值,它的意义在于将分类分级结果输入给其他安全防护能力,之后可以对不同类别、不同级别数据进行不同的防护措施,从而开展差异化的数据安全防护。

1、建立数据分类分级制度

做数据分类分级,第一步要做的就是建立分类分级规范制度,这也是数据分类分级工作中最容易做的一步,这里主要介绍一下数据分类分级制度的思路。

在数据分类分级制度中,第一要明确数据分类分级的步骤和数据分类分级的原则,数据分类分级的步骤一般都是先细分业务、然后根据业务归类数据,之后划分数据级别,最后做后续操作。第二是对数据分类分级的步骤进行详细描述即可。同时,在该制度中还应当根据公司的具体情况列明哪些数据属于哪些类别和级别(这里列明主要数据即可)。

数据分类分级的规范制度是为后续数据全生命周期涉及到的技术和管理提供依据的。

2、建立数据分类分级平台

数据分类分级的实际工作全部都集中在数据分类分级平台上开展,那如何建立数据分类分级平台呢?答案只有一个字:买!或者两个字:自研。这个具体就不多说了。

3、数据资产梳理及接入

这里梳理的数据资产主要是指数据库,因为平台化的东西都需要结构化的数据来对接。当然,对于类似word/excel等办公文档也是需要梳理的,只是这些文档不能很好的与数据分类分级平台集成。

梳理完数据资产后,就需要将这些数据资产接入数据分类分级平台了,除了靠人工梳理的数据资产外,还可以通过扫描的方式发现数据资产。

人工梳理资产接入如图所示:

在这里插入图片描述

自动扫描发现数据资产如图所示:

在这里插入图片描述

4、分类分级模板维护

分类分级模板维护是数据分类分级工作中最为关键的一步,也是最难的一步。

这一步我们首先需要设计数据分类分级的架构,例如分多少个一级类多少个二级类,每个类叫啥名等等,然后分多少个级别,每个级别如何定义等等,这里主要是根据前面编撰好的数据分类分级规范来开展即可。

需要注意的是,分类分级模板需要覆盖到所有数据。在这里,我们会发现实际上的数据远比理论上的数据复杂的多,会冒出很多奇奇怪怪的数据字段出来,例如这个名称那个类型的种种,所以在分类分级制度中我有提到,我们只需要列举主要字段所在的类别和级别就可以了,因为制度中是写不全的。

另外,实际中的数据还会存在诸多问题,例如姓名字段,有叫name、names、username、usersname、xingming、yonghu、yonghuming、shouhuoren……等等各式各样的名称,如果数据库中的字段没有写备注,那就只能靠挨个排查,而面对天量的数据库,这是一个很难完成的工作。除此之外,还有例如在这个库中username字段是指姓名,而另一个库中username是指口令名(可能是邮箱、QQ号、手机号之类的东西),导致同一个字段的释义是完全是两个不同的概念。

除以上之外,实际的数据库中还有很多其他问题,就不一一例举了,这些问题会严重影响分类分级模板的准确性与维护的难度!

目前对于分类分级模板的维护尚未有较好的解决办法,相对比较柔和的办法是每个库都维护一个独立的分类分级模板,毕竟就单一库来说,存在一些坑爹问题的概率要低很多。而分类分级模板可以直接复制,这样相同字段的规则就可以直接使用了。

模板如下所示(图片不涉及泄密,因为这是官方的demo):

在这里插入图片描述

5、分类分级任务执行

分类分级模板设置完成之后,选中对应的数据资产使用分类分级模板执行分类分级任务即可,分类分级任务是一键执行的。

那这里我们主要做什么工作呢?这里主要关注并解决的问题是:由于分类分级模板的不完善,导致部分数据字段没有被匹配到或者匹配错误的问题。

对于以上两个问题,主要的解决办法是通过回头完善分类分级模板,之后再次执行分类分级任务。同时也可以对未匹配到的数据字段进行人工打标,即人工指定该字段所属的类型与级别。

这里的工作量主要取决于产生问题的数据字段的多少,如果产生问题的数据字段不多,则可以很快完成问题字段的修补,如果产生问题的数据字段很多,则工作量较大。

将所有数据字段都划分到对应的类别和级别后,数据分类分级工作就算是基本完成了,至于分类分级数据的报表这种,一般平台会自动生成,后续主要维护好新增数据库表和新增数据字段即可。

分类分级任务执行如图所示:

在这里插入图片描述

分类分级数据报表如图所示:

在这里插入图片描述

6、联动其他防护平台

我们前面说到,单纯的只做数据分类分级工作并没有特别大的价值,分类分级的目的是为了对数据进行更好的差异化管理,而不是一把梭式的管理,所以对数据做完分类分级后,需要将分类分级的结果对接到其他的防护平台中进行差异化防护。

举个例子,我们将数据分类分级结果对接到OA审批系统中,即可实现数据外发审批的自动化,当数据是公开级别时,可自动判定无审批通过,当数据级别不是公开级别时,将依据不同的数据级别自动对接不同的审批层级。

再举个例子,我们将数据分类分级的结果对接到数据防泄漏系统中,公开级别的数据外发不会触发DLP的拦截规则,而不是公开级别的数据外发,则会根据外发数据的敏感度、数据量来触发不同的告警。

总体来说,使用数据分类分级工具可以帮助我们完成资产的梳理与发现工作,并大大降低了数据分类分级的难度,弥补手工分类分级的各种短板。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/27035.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Bitmiracle Docotic.Pdf 9.015 Crack

Docotic.Pdf 库是正确的法语和强大的编程和界面,可以让用户和开发人员创建专业和高质量的 PDF 文件,甚至可以阅读和修改那些已经存在的。它具有干净而强大的编程接口,能够帮助用户创建质量非常好的 PDF 文档。在这个库的帮助下,用…

CMake学习(1): CMake基本使用

https://subingwen.cn/cmake/CMake-primer/ 1. CMake 概述 CMake是一个项目构建工具,并且是跨平台的。Cmake跟Makefile其实是差不多的,只不过makefile更底层些。大多是 IDE 软件都集成了 make,比如:VS 的 nmake、linux 下的 GNU…

python之函数(参数,匿名函数,局部变量和全局变量)

文章目录 前言一、函数的参数 1、形参和实参2、必传参数(也叫:必须参数)3、关键字传参4.、默认参数5、不定长参数6、传参的顺序二、匿名函数(lambda函数) 1. 定义及特点语法格式2. lambda函数的特点三、函数返回值retu…

【测试开发】实训记录日志

软件测试系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 了解测试开发和软件测试 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 …

SSD源码总结

一、生成默认框 默认框的宽高 默认框的宽高是相对于原图的尺寸计算出来的。 默认框的中心 默认框的中心是相对于特征图的尺寸计算出来的。 二、将真实框分配给默认框 1、区分正负样本 1.1、选取正样本 计算真实框(bboxs)与每个默认框(…

SpringMVC-【回顾】

回顾MVC架构 什么是mvc:模型、视图、控制器 -----软件设计规范 回顾servlet maven项目导入依赖(webmvc,servlet-api,jsp-api,jstl,junit)创建子模块,在子模块中添加框架支持(在子模块中导入依赖jsp、servlet【因为父…

2018 年一月联考逻辑真题

2018 年一月联考逻辑真题 三、逻辑推理:第 26-55 小题,每小题 2 分,共 60 分。下列每題给出的A.、 B.、C.、D.五个选项中,只有一项是符合试题要求的。请在答题卡上将所选项的字母涂黑。 真题(2018-26)-翻译…

区块链的基本介绍

目录 1、简介 2、区块链的分类 2.1 公有链 2.2 联盟链 2.3 私有链 3、区块链特征 4、区块链结构 5、区块链对记账权利的分配方式 5.1 POW 5.2 PoS 5.3 DPoS 6、Defi、NFT、 gameFi 7、DAPP 7.1 DAPP 的核心要素 8、比特币 8.1 比特币简介 8.2 比特币数字签名…

基站机房:保障通信网络稳定,如何解决安全隐患?

基站机房作为无线通信网络的关键组成部分,承载着大量的网络设备和通信设施,对于运营商和通信服务提供商来说具有重要意义。 无论是大型运营商还是通信服务提供商,动环监控系统都将成为他们成功运营和管理通信网络的关键工具。 客户案例 案例…

Java学习路线(22)——测试框架Junit

一、单元测试概念 单元测试就是针对最小的功能单元编写测试代码,Java程序最小的功能单元是方法,因此,单元测试就是针对Java方法的测试,进而检查方法正确性。 二、Junit测试框架 (一)概念: Jun…

HBase:(三)HBase API

HBase:(一)安装部署_只爱大锅饭的博客-CSDN博客hbase部署安装https://blog.csdn.net/qq_35370485/article/details/130988364?spm1001.2014.3001.5501 1.创建maven项目 2.添加依赖 <dependency><groupId>org.apache.hbase</groupId><artifactId>hba…

【Java基础】注解与反射

一、学习笔记 &#xff08;本文内容基本源自参考链接1视频教程&#xff09; 1、注解的含义 1&#xff09;注解&#xff08;annotation)是从jdk5.0开始引入的新技术&#xff0c;其作用&#xff1a;不是程序本身&#xff0c;可对程序作解释&#xff08;该作用与注释comment相同…

MFC(十二)多个对话框

我们来制定多个对话框&#xff0c;每个对话框都有不同的功能&#xff0c;单击下一步&#xff0c;即可跳转到下一个对话框 1.新建一个启动按钮 2.在资源视图&#xff0c;Dialog里面&#xff0c;右键-->添加资源---->dialog>选择IDD PROPPAGE_SMALL新建 属性页&#…

同浏览器下多窗口进行跨源通信、同源通信

同浏览器下多窗口进行跨源通信、同源通信 多页面通信运用到了“发布订阅”的设计模式&#xff0c;一个页面发布指令&#xff0c;其他页面进行订阅并进行相应的行为操作&#xff01; 一、跨源通信 window.postMessage() window.postMessage() 方法可以安全地实现跨源通信。通常…

Vue.js 中的数据双向绑定是如何实现的?

Vue.js 中的数据双向绑定是如何实现的&#xff1f; Vue.js 是一款流行的前端框架&#xff0c;它的核心功能之一是数据双向绑定。本文将介绍 Vue.js 中数据双向绑定的实现原理&#xff0c;并附上相关代码实例。 什么是数据双向绑定&#xff1f; 在传统的前端开发中&#xff0c…

智能应用搭建平台——LCHub低代码表单 vs 流程表单 vs 仪表盘

1. LCHub低代码如何选择 「流程表单」:填报数据,并带有流程审批功能,适合报销、请假申请或其他工作流; 「表单」:填报数据,并带有数据协作功能,如修改、删除、导入、导出,并可以给不同的人不同的管理权限; 「仪表盘」:数据分析处理、结果展示功能,如数据汇总、趋…

JavaSSM笔记(一)

**建议&#xff1a;**对Java开发还不是很熟悉的同学&#xff0c;最好先花费半个月到一个月时间大量地去编写小项目&#xff0c;不推荐一口气学完&#xff0c;后面的内容相比前面的内容几乎是降维打击&#xff0c;一口气学完很容易忘记之前所学的基础知识&#xff0c;尤其是Java…

Python--注释

Python--注释 <font size4, colorblue> 一、Python中注释的形式<font size4, colorblue> 1、单行注释&#xff1a;使用“#”符号注释<font size4, colorblue> 2、多行注释&#xff1a;使用一对三个英文单引号注释<font size4, colorblue> 3、多行注释&…

通用文字识别OCR 之实现数字化教材

引言 通用文字 OCR 识别 API 是一种功能强大的服务&#xff0c;可用于多场景、多语种的整图文字检测和识别&#xff0c;通过将OCR技术应用于学校环境&#xff0c;可以实现教育资源的数字化和学习过程的自动化。 本文将探讨通用文字识别OCR 在学校的实际应用&#xff0c;希望对…

如何在 JavaScript 中创建自定义警告框

本文将介绍如何使用 jQuery UI、SweetAlert2 和自定义警报功能在 JavaScript 中创建自定义警报框。 使用 jQuery UI 创建自定义警告框 我们可以使用 jQuery UI 来模仿 JavaScript 本机 alert() 函数的功能。 尽管 jQuery UI 有很多 API&#xff0c;您可以使用它的 dialog() AP…