普及企業(yè)級數(shù)據(jù)安全管理

? ??

? ? ? 江湖傳言：數(shù)據(jù)玩的溜，牢飯吃的久？眾看官是不是聞風(fēng)喪膽？

? ? ? ?每個數(shù)據(jù)開發(fā)者都應(yīng)該非常深刻的明白數(shù)據(jù)安全意味著什么。簡直就是一根紅線，絲毫不能越過。

? ? ? ?近幾年，國家對個人隱私數(shù)據(jù)保護(hù)越來越強(qiáng)，企業(yè)在使用數(shù)據(jù)的時候也非常注重?cái)?shù)據(jù)安全，那么，我們應(yīng)該怎么做，才能保護(hù)好自己，保護(hù)好公司的數(shù)據(jù)資產(chǎn)呢？

? ? ? ?數(shù)據(jù)安全管理是計(jì)劃，制定，執(zhí)行相關(guān)安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過程中有恰當(dāng)?shù)恼J(rèn)證，授權(quán)等措施，最終目標(biāo)是保護(hù)信息資產(chǎn)符合隱私及保密法規(guī)要求，并與業(yè)務(wù)要求相一致。

? ? ? ?使用簡單密級分類模式，對企業(yè)數(shù)據(jù)和信息產(chǎn)品進(jìn)行分類，一般根據(jù)公司業(yè)務(wù)實(shí)際情況來進(jìn)行劃分。

? ? ? ?任務(wù)責(zé)任人或者產(chǎn)品負(fù)責(zé)人需要對其涉及到的數(shù)據(jù)進(jìn)行適當(dāng)?shù)拿芗壴u估，并打上相應(yīng)的標(biāo)簽?？梢詾楹罄m(xù)的權(quán)限管理及元數(shù)據(jù)管理打下堅(jiān)實(shí)的基礎(chǔ)。

? ? ? ?數(shù)據(jù)脫敏是保證數(shù)據(jù)安全的最基本的手段，脫敏方法有很多，最常用的就是使用可逆加密算法，對數(shù)倉每一個敏感字段都需要加密。

? ? ?? 需要開發(fā)一套完善的數(shù)據(jù)權(quán)限控制體系，最好是能做到字段級別，有些表無關(guān)人員是不需要查詢的，所以不需要任何權(quán)限，有些表部分人需要查詢，除數(shù)據(jù)工程師外，其他人均需要通過OA流程進(jìn)行權(quán)限審批，需要查看哪些表的哪些字段，為什么需要這個權(quán)限等信息都需要審批存檔。

? ? ? 有些字段明顯是敏感數(shù)據(jù)，比如身份證號，手機(jī)號等信息，但是業(yè)務(wù)庫并沒有加密，而且從字段名來看，也很難看出是敏感信息，所以抽取到數(shù)據(jù)倉庫后需要使用程序去統(tǒng)一檢測是否有敏感數(shù)據(jù)，然后根據(jù)檢測結(jié)果讓對應(yīng)負(fù)責(zé)人去確認(rèn)是否真的是敏感字段，是否需要加密等。

? ? ? 流程化主要是體現(xiàn)在公司內(nèi)部取數(shù)或者外部項(xiàng)目數(shù)據(jù)同步，取數(shù)的時候如果數(shù)據(jù)量很大或者包含了敏感信息，是需要提OA ?審批流程的，讓領(lǐng)導(dǎo)及對應(yīng)數(shù)據(jù)負(fù)責(zé)人知道誰要取這些數(shù)據(jù)，取這些數(shù)據(jù)的意義在哪，出了問題可以回溯，快速定位到責(zé)任人。

? ? ? ??開發(fā)外部項(xiàng)目的時候，不同公司之間的數(shù)據(jù)同步，是需要由甲方出具同意書的，并且需要簽署責(zé)任條款，需要不定期出示數(shù)據(jù)安全報告，否則的話風(fēng)險太大。

? ? ? 及時發(fā)現(xiàn)敏感sql的執(zhí)行并詢問責(zé)任人，事后分析操作日志，查出有問題的操作。

? ? ? 數(shù)據(jù)部門需要把數(shù)據(jù)安全當(dāng)做一項(xiàng)KPI去考核，讓大家積極的參與到數(shù)據(jù)安全管理當(dāng)中去。

? ? ? 企業(yè)安全部門需要整理數(shù)據(jù)安全規(guī)范文檔，然后發(fā)給大家讓大家系統(tǒng)的了解數(shù)據(jù)安全以及應(yīng)該如何操作。

? ? ? ?組織內(nèi)部安全部門或者外部審計(jì)人員來執(zhí)行數(shù)據(jù)安全審計(jì)，其目標(biāo)是為管理層和數(shù)據(jù)治理委員會提供客觀中肯的評價，合理可行的建議

• ? ? ? ? ?審計(jì)范圍大體上包含

• ? ? ? ? ?安全策略聲明

• ? ? ? ? ?標(biāo)準(zhǔn)文檔
  

• ? ?? ? ? 實(shí)施指南

• ? ? ? ? ?變更請求

• ? ? ? ? ?訪問監(jiān)控日志
  

• ? ? ?? ? 報表輸出

• ? ? ?? ? 其他電子和書面記錄等

? ? ? ?不要為了一時的利益，泄露公司數(shù)據(jù)資產(chǎn)，輕則行業(yè)名聲敗壞，重則要負(fù)法律責(zé)任，一定要三思而后行！