第7章数据安全

思维导图

7.1 引言

数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。虽然数据安全的详细情况(如哪些数据需要保护)因行业和国家有所不同，但是数据安全实践的目标是相同的，即根据隐私和保密法规、合同协议和业务要求来保护信息资产。这些要求来自以下几个方面。

(1)利益相关方

        应识别利益相关方的隐私和保密需求，包括客户、病人、学生、公民、供应商或商业伙伴等。组织中的每个人必须是对利益相关方数据负有责任的受托人。

(2)政府法规

        政府法规制定的出发点是保护利益相关方的利益。政府法规目标各有不同，有些规定是限制信息访问的，而另一些则是确保公开、透明和问责的。

(3)特定业务关注点每个组织的专有数据都需要保护。

        这些数据运用得当，组织就可以获得竞争优势。若保密数据遭窃取或破坏，则组织就会失去竞争优势。

(4)合法访问需求

        组织在保护数据安全的同时，还须启用合法访问。业务流程要求不同角色的人能够访问、使用和维护不同的数据。

(5)合同义务

        合同和保密协议对数据安全要求也有影响。例如，PCI标准是信用卡公司和某个商业企业之间的协议，需要以规定方式保护某些类型的数据(如强制加密客户密码)。

7.1.1 业务驱动因素

降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。安全本身就是宝贵的资产。

数据安全风险与法规遵从性、企业和股东的信托责任、声誉以及员工保护、业务合作伙伴、客户隐私、敏感信息的法律、道德责任等有关。组织可能因不遵守法规和合同义务而被罚款。数据泄露会导致声誉和客户信心的丧失

1、降低风险

随着数据法规的增多(通常是为应对数据盗窃和违规)，合规性要求也随之增加。安全部门通常不仅负责管理IT合规性要求，还负责管理整个组织的策略、实践、数据分类分级和访问授权规则。与数据管理的其他职责类似，数据安全最好在企业级层面开展。

一个在整个企业中得到适当资金支持、面向系统并保持一致的运营安全策略将降低这些风险。

信息安全管理首先对组织数据进行分类分级，以便识别需要保护的数据。整个流程包括以下步骤:

识别敏感数据资产并分类分级。有一些数据资产和敏感数据 (包括个人身份识别、医疗数据、财务数据等)需要根据所属行业和组织类型等进行分类分级。
在企业中查找敏感数据。这取决于数据存储的位置，其安全要求可能有所不同。大量敏感数据存储在单一位置，如果这个位置遭到破坏，那么将会带来极高的风险。
确定保护每项资产的方法。根据数据内容和技术类型不同，确保采取针对性的安全措施。
识别信息与业务流程如何交互。需要对业务流程进行分析，以确定在什么条件下允许哪些访问。

2、业务增长

产品和服务质量与信息安全有着相当直接的关系：强大的信息安全能够推动交易进行并建立客户的信心。

3、安全性作为资产

元数据是管理敏感数据的方法之一。可以在数据元素和集合级别标记信息分类和合规敏感度。利用数据标记技术，可以使元数据跟随信息一起在企业内流动。开发一个包含数据特征的主存储库意味着企业的所有部门都可准确了解敏感信息所需的保护级别。

如果实施了通用标准，那么这种方法就允许多个部门，包括业务部门和供应商之间使用相同的元数据。标准安全的元数据可用于优化数据保护，指导业务开展和技术支持流程，从而降低成本。这一层信息安全有助于防止对数据资产未经授权的访问和滥用。当敏感数据被正确识别出来时，组织就可以与客户和合作伙伴建立信任。与安全相关的元数据本身就成了一种战略资产，可以提高交易、报告和业务分析的质量，同时降低由于保护成本和丢失或被盗信息而导致的相关风险。

7.1.2 目标和原则

1、目标

数据安全活动目标，包括以下几个方面:

支持适当访问并防止对企业数据资产的不当访问。
支持对隐私、保护和保密制度、法规的遵从。
确保满足利益相关方对隐私和保密的要求。

2、原则

协同合作。数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
企业统筹。运用数据安全标准和策略时，必须保证组织的一致性。
主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
明确责任。必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。
元数据驱动。数据安全分类分级是数据定义的重要组成部分。
减少接触以降低风险。最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。

7.1.3 基本概念

1、脆弱性

脆弱性(Vulnerability)是系统中容易遭受攻击的弱点或缺陷，本质上是组织防御中的漏洞。某些脆弱性称为漏洞敞口。例如，存在过期安全补丁的网络计算机、不受可靠密码保护的网页、来自未知发件人的电子邮件附件的用户，不受技术命令保护的公司软件(这将使攻击者能够控制系统)。

在许多情况下，非生产环境比生产环境更容易受到威胁。因此，将生产数据控制在生产环境之内至关重要。

2、威胁

威胁(Threat)是一种可能对组织采取的潜在进攻行动。威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务(拒绝服务攻击)的进程，以及对已知漏洞的利用等。

威胁可以是内部的，也可以是外部的。他们并不总是恶意的。一个穿制服的内部人员可以在不知情的情况下再次对组织采取攻击性行动。威胁可能与特定的漏洞有关，因此可以优先考虑对这些漏洞进行补救。对每种威胁，都应该有一种相应的抵御能力，以防止或限制威胁可能造成的损害。存在威胁的地方也称为攻击面。

3、风险

风险(Risk)既指损失的可能性，也指构成潜在损失的事物或条件。对于每个可能的威胁，可从以下几个方面计算风险:

威胁发生的概率及其可能的频率。
每次威胁事件可能造成的损害类型和规模，包括声誉损害。
损害对收入或业务运营的影响。
发生损害后的修复成本。
预防威胁的成本，包括漏洞修复手段。
攻击者可能的目标或意图。

风险可按潜在损害程度或发生的可能性来确定优先级，而容易被利用的漏洞会具有发生风险的更大可能性。通常，优先级列表结合两方面的指标。风险的优先排序必须由各利益相关方通过正式的流程来确定。

4、风险分类

风险分类描述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁(即角色中的人员)可以访问数据。用户权限内所有数据中的最高安全分类决定了整体的安全分类。风险分类包括以下几个方面:

1)关键风险数据(Critical Risk Data，CRD)。

由于个人信息具有很高的直接财务价值，因此内部和外部各方可能会费尽心思寻求未经授权使用这些信息。滥用关键风险数据不仅会伤害个人，还会导致公司遭受重大的处罚，增加挽留客户、员工的成本以及损害公司品牌与声誉，从而对公司造成财务损害。

2)高风险数据(High Risk Data，HRD)。

高风险数据为公司提供竞争优势，具有潜在的直接财务价值，往往被主动寻求未经授权使用。如果高风险数据被滥用，那么可能会因此使公司遭受财务损失。高风险数据的损害可能会导致因不信任而使业务遭受损失，并可能导致法律风险、监管处罚以及品牌和声誉受损。

3)中等风险数据(Moderate Risk Data，MRD)。

对几乎没有实际价值的公司非公开信息，未经授权使用可能会对公司产生负面影响。

5、数据安全组织

数据安全组织取决于不同的企业规模。在信息技术(IT)领域内通常有完整的信息安全职能。大型企业通常设有向CIO或CEO报告的首席信息安全官(CISO)。在缺失专职信息安全人员的组织中，数据安全的责任将落在数据管理者身上。在任何情形下，数据管理者都需要参与数据安全工作。

当IT和数据管理这两个治理实体缺乏一个有组织的流程来共享法规和安全要求时，这种协同作用的机会常常会错过。因此，需要有一个标准的程序来实现他们的数据法规、数据丢失威胁和数据保护要求，并在每个软件开发或安装项目开始时就这样做。

数据管理者需要与信息技术开发人员和网络安全专业人员积极合作，以便识别法规要求的数据，恰当地保护敏感系统，并设计用户访问控制以强制实施保密性、完整性和数据合规性。企业越大，就越需要团队合作，并依赖正确和更新的企业数据模型。

6、安全过程

数据安全需求和过程分为4个方面，即4A:访问(Access)、审计 (Audit)、验证(Authentication)和授权(Authorization)。为了有效遵守数据法规，还增加了一个E，即权限(Entitlement)。信息分类、访问权限、角色组、用户和密码是实施策略和满足4A的一些常用手段。安全监控对于保障其他进程的正常运行也至关重要。监控和审计都可连续或定期地进行。正式审计必须由第三方进行才能视为有效。第三方可以来自组织内部，也可以来自组织外部。

(1)4A

1)访问(Access)。使具有授权的个人能够及时访问系统。访问作动词用，意味着主动连接到信息系统并使用数据；作名词用，是指此人对数据具有有效的授权。

2)审计(Audit)。审查安全操作和用户活动，以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档，以验证是否符合安全法规、策略和标准。这些审核的结果会定期发布。

3)验证(Authentication)。验证用户的访问权限。当用户试图登录到系统时，系统需要验证此人身份是否属实。除密码这种方式外，更严格的身份验证方法包括安全令牌、回答问题或提交指纹。在身份验证过程中，所有传送过程均经过加密，以防止身份验证信息被盗。

4)授权(Authorization)。授予个人访问与其角色相适应的特定数据视图的权限。在获得授权后，访问控制系统在每次用户登录时都会检查授权令牌的有效性。从技术上讲，这是公司活动目录中数据字段中的一个条目，表示此人已获得授权访问数据。它进一步表明，用户凭借其工作或公司地位有权获得此权限，这些权限由相关负责人授予。

5)权限(Entitlement)。权限是由单个访问授权决策向用户公开的所有数据元素的总和。在生成授权请求之前，负责的经理必须决定某人“有权”访问此信息。在确定授权决策的监管和保密要求时，需要对每个授权所暴露的所有数据进行清点。

(2)监控

系统应包括检测意外事件(包括潜在的安全违规)的监视控制。包含机密信息(如工资或财务数据)的系统通常实施主动、实时的监控，以提醒安全管理员注意可疑活动或不当访问。

某些安全系统将主动中断不遵循特定访问配置文件要求的活动。在安全管理人员详细评估之前，账户或活动将保持锁定状态。

相反，被动监控是通过系统定期捕获系统快照，并将趋势与基准或其他标准进行比较，跟踪随时发生的变化。系统向负责的数据管理专员或安全管理人员发送报告。主动监控是一种检测机制，被动监控是一种评价机制。

7、数据完整性

在安全性方面，数据完整性(Data Integrity)是一个整体状态要求，以免于遭受不当增/删改所造成的影响。例如，美国的萨班斯法案 (Sarbanes-Oxley)主要涉及对如何创建和编辑财务信息的规则进行识别，以保护财务信息的完整性。

8、加密

加密(Encryption)是将纯文本转换为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密数据不能在没有解密密钥或算法的情况下读取。解密密钥或算法通常单独存储，不能基于同一数据集中的其他数据元素来进行计算。加密方法主要有3种类型，即哈希、对称加密、非对称加密，其复杂程度和密钥结构各不相同。

(1)哈希

哈希(Hash)将任意长度数据转换为固定长度数据表示。即使知道所使用的确切算法和应用顺序，也无法解密出原始数据。通常哈希用于对传送完整性或身份的验证。常见的哈希算法有MD5和SHA。

(2)对称加密

对称加密使用一个密钥来加解密数据。发送方和接收方都必须具有读取原始数据的密钥。可以逐个字符加密数据(如在传送中)，也可对数据块加密。常见的私钥算法包括数据加密标准(DES)、三重 DES(3DES)、高级加密标准(AES)和国际数据加密算法 (IDEA)。Cyphers Twofish算法和Serpent算法也被视为安全方法。由于DES现在可被多种攻击手段轻松攻破，因此使用简单的DES是不明智的。

(3)非对称加密

在非对称加密中，发送方和接收方使用不同的密钥。发送方使用公开提供的公钥进行加密，接收方使用私钥解密显示原始数据。当许多数据源只需将受保护的信息发送给少数接收方(如将数据提交到清算交易所)时，这种加密方法非常有用。非对称加密算法包括RSA加密算法和 Diffie-Hellman密钥交换协议等。PGP(Pretty Good Privacy)是一个免费的公钥加密应用程序。

9、混淆或脱敏

可通过混淆处理(变得模糊或不明确)或脱敏(删除、打乱或以其他方式更改数据的外观等)的方式来降低数据可用性，同时避免丢失数据的含义或数据与其他数据集的关系。例如，与其他对象或系统的外键关系。属性中的值可能会更改，但新值对这些属性仍然有效。当在屏幕上显示敏感信息供参考或者从符合预期应用逻辑的生产数据中创建测试数据集时，混淆或脱敏处理非常有用。

数据混淆或脱敏是解决数据使用过程中的一种安全手段。数据脱敏分为两种类型:静态脱敏和动态脱敏。静态脱敏按执行方式又可以分为不落地脱敏和落地脱敏。

(1)静态数据脱敏

静态数据脱敏(Persistent Data Masking)永久且不可逆转地更改数据。这种类型的脱敏通常不会在生产环境中使用，而是在生产环境和开发(或测试)环境之间运用。静态脱敏虽然会更改数据，但数据仍可用于测试、应用程序、报表等。

1)不落地脱敏(In-flight Persistent Masking)。当在数据源(通常是生产环境)和目标(通常是非生产)环境之间移动需要脱敏或混淆处理时，会采用不落地脱敏。由于不会留下中间文件或带有未脱敏数据的数据库，不落地脱敏方式非常安全。另外，如果部分数据在脱敏过程中遇到问题，则可重新运行脱敏过程。（两环境之间，从生产脱敏后都测试环境）

2)落地脱敏(In-place Persistent Masking)。当数据源和目标相同时，可使用落地脱敏。从数据源中读取未脱敏数据，进行脱敏操作后直接覆盖原始数据。假定当前位置不应该保留敏感数据，需要降低风险，或者在安全位置中另有数据副本，在移动至不安全位置之前就应当进行脱敏处理。这个过程存在一定的风险，如果在脱敏过程中进程失败，那么很难将数据还原为可用格式。该技术在一些细分领域中还有些用途，但一般来说，不落地脱敏能更安全地满足项目需求。（比如：一张表的字段进行脱敏后，覆盖原来的数据【同表操作】）

(2)动态数据脱敏

动态数据脱敏(Dynamic Data Masking)是在不更改基础数据的情况下，在最终用户或系统中改变数据的外观。当用户需要访问某些敏感的生产数据(但不是全部数据)时，这就相当有用。例如，在数据库中，假设社会安全号码存储为123456789，那么采用此方法后，呼叫中心人员需要验证通话对象时，看到的该数据显示的是∗∗∗-∗∗-6789。（需要做展示的时候，在进行查询过程中进行脱敏，然后页面展示，不改数据库原值）

(3)脱敏方法

可以脱敏或混淆数据的方法有以下几种:

1)替换(Substitution)。将字符或整数值替换为查找或标准模式中的字符或整数值。例如，可以用列表中的随机值替换名字。

2)混排(Shuffling)。在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性的数据元素。例如，在供应商发票中混排供应商名称，以便将发票上的原始供应商替换为其他有效供应商。同一列值中的不同行数据进行交换

3)时空变异(Temporal Variance)。把日期前后移动若干天(小到足以保留趋势)，足以使它无法识别。

4)数值变异(Value Variance)。应用一个随机因素(正负一个百分比，小到足以保持趋势)，重要到足以使它不可识别。

5)取消或删除(Nulling or Deleting)。删除不应出现在测试系统中的数据。

6)随机选择(Randomization)。将部分或全部数据元素替换为随机字符或一系列单个字符。

7)加密技术(Encryption)。通过密码代码将可识别、有意义的字符流转换为不可识别的字符流。

8)表达式脱敏(Expression Masking)。将所有值更改为一个表达式的结果。例如，用一个简单的表达式将一个大型自由格式数据库字段中的所有值(可能包含机密数据)强制编码为“这是个注释字段”。

9)键值脱敏(Key Masking)。指定的脱敏算法/进程的结果必须是唯一且可重复的，用于数据库键值字段(或类似字段)脱敏。这种类型脱敏对用于测试需要保持数据在组织范围内的完整性极为重要。

10、网络安全术语

数据安全涉及静态数据和动态数据两种情况。动态数据需要网络才能在系统之间移动。组织已经无法完全信任防火墙可保护其免受恶意软件和来自社交方面的攻击。每台计算机都需要一道防线，而Web服务器由于在互联网上持续向全世界开放，因此更需要复杂的安全保护。

(1)后门

后门(Backdoor)是指计算机系统或应用程序的忽略隐藏入口。它允许未经授权用户绕过密码等限制获取访问权限。后门通常是开发人员出于维护系统的目的而创建的，其他的包括由商业软件包创建者设置的后门。安装任何软件系统或网页包时，默认密码保持不变，这就是一个后门，黑客早晚会发现它的存在，所以任何后门都是安全风险。

(2)机器人或僵尸

机器人(Robot)或僵尸(Zombie)是已被恶意黑客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站。远程控制机器人用来执行恶意任务。例如，发送大量垃圾邮件、使用网络阻塞互联网数据报、执行非法资金转移和托管欺诈性网站等来攻击合法企业。机器人网络是机器人计算机(被感染机器)组成的网络。考虑到台式机和笔记本计算机逐渐被智能手机、平板计算机、可穿戴设备和其他设备所取代，其中许多设备用于商业交易，数据暴露的风险只增不减。

(3)Cookie

Cookie是网站在计算机硬盘上安放的小型数据文件，用于识别老用户并分析其偏好。Cookie用于互联网电子商务。由于Cookie有时会被间谍软件利用，从而引发隐私问题，所以Cookie的使用也是有争议的。

(4)防火墙

防火墙(Firewall)是过滤网络流量的软件和/或硬件，用于保护单个计算机或整个网络免受未经授权的访问和免遭企图对系统的攻击。防火墙可能会对传入和传出的通信信息进行扫描，以寻找受限或受监管的信息，并防止未经许可通过(数据泄露防护)。某些防火墙还限制对特定外部网站的访问。

(5)周界

周界(Perimeter)是指组织环境与外部系统之间的边界。通常将防火墙部署在所有内部和外部环境之间。

(6)DMZ

DMZ是非军事区(De-militarized Zone)的简称，指组织边缘或外围区域。在DMZ和组织之间设有防火墙。DMZ环境与Internet互联网之间始终设有防火墙(图7-3)。DMZ环境用于传递或临时存储在组织之间移动的数据。

(7)超级用户账户

超级用户(Super User)账户是具有系统管理员或超级用户访问权限的账户，仅在紧急情况下使用。这些账户的凭据保存要求具有高度安全性，只有在紧急情况下才能通过适当的文件和批准发布，并在短时间内到期。例如，分配给生产控制的员工可能需要对多个大型系统进行访问授权，但这些授权应严格控制时间、用户ID、位置或其他要求，以防被滥用。

(8)键盘记录器

键盘记录器(Key Logger)是一种攻击软件，对键盘上键入的所有击键进行记录，然后发送到互联网上的其他地方。因此，它将会捕获每个密码、备忘录、公式、文档和Web地址。通常，受感染的网站或恶意软件下载将安装键盘记录器。某些类型的文档下载也允许安装键盘记录器。

(9)渗透测试

在未经测试以确保真正安全时，新建的网络和网站是不完整的。在渗透测试(Penetration Testing)中，来自组织本身或从外部安全公司聘任的“白帽”黑客试图从外部侵入系统，正如恶意黑客一样，试图识别系统漏洞。通过渗透测试发现的漏洞应该在应用程序正式发布之前予以解决。

(10)虚拟专用网络

虚拟专用网络(VPN)使用不安全的互联网创建进入组织环境的安全路径或“隧道”。隧道是高度加密的。VPN允许用户和内部网络之间通信，通过使用多重身份验证元素连接到组织环境外围的防火墙。然后，VPN对所有传送数据进行强加密。

11、数据安全类型

数据安全不仅涉及防止不当访问，还涉及对数据的适当访问。应通过授予权限(选择加入)来控制对敏感数据的访问。未经许可，不允许用户在系统内查看数据或执行操作。“最小权限”是一项重要的安全原则。仅允许用户、进程或程序访问其合法目的所允许的信息。

(1)设施安全

设施安全(Facility Security)是抵御恶意行为人员的第一道防线。设施上至少应具有一个锁定能力的数据中心，其访问权限仅限于授权员工。社会工程威胁将“人”视为设施安全中最薄弱的环节。应确保员工拥有保护设施数据的工具和接受相关培训。

(2)设备安全

移动设备，包括笔记本计算机、平板计算机和智能手机，由于可能丢失、被盗以及遭受犯罪黑客的物理/电子攻击，本身并不安全。移动设备通常存有公司的电子邮件、电子表格、地址和文档，如果遭公开，那么就可能对组织、员工或客户造成损害。随着便携式设备的爆炸式增长，这些设备(包括公司拥有和个人所有)的安全性管理计划必须作为公司整体战略安全架构的一部分。该计划应包括软件和硬件工具。

设备安全(Device Security)的标准包括:

使用移动设备连接的访问策略。
在便携式设备(如笔记本计算机、DVD、CD或USB驱动器)上存储数据。
符合记录管理策略的设备数据擦除和处置。
反恶意软件和加密软件安装。
安全漏洞的意识。

(3)凭据安全

凭据安全是为每个用户分配访问系统时使用的。大多数凭据是用户ID和密码的组合。基于系统数据敏感性以及系统链接到凭据存储库的能力，在同一环境的系统之间使用凭据有多种不同方式。

身份管理系统。
电子邮件系统的用户ID标准。
密码标准。

密码是保护数据访问的第一道防线。每一个用户账户都需要有一个密码，由用户(账户所有者)自己设置。要求在安全标准中定义足够高的密码级别，通常称为“强”密码。

密码过期，首次登录修改密码，定期修改密码

大多数安全专家建议用户每隔45~180天更改一次密码，具体更改频率取决于系统性质、数据类型和企业敏感程度。但是，更改密码过于频繁也会带来风险，因为员工会在本子上记录新密码。
多因素识别。

有些系统需要额外的识别程序。这包括对包含代码的用户移动设备的返回调用、用于登录所必需的硬件设备的使用或者诸如指纹、面部识别或视网膜扫描的生物特征因素。双重因素识别使得进入账户或登录用户设备更加困难，所有具有高度敏感信息权限的用户都应使用双重因素识别技术登录网络。

(4)电子通信安全

不安全的通信方式可被外部读取或拦截。为避免通过电子邮件或即时通信应用发送个人信息或任何限制级/机密级公司信息，用户必须接受安全培训。发送电子邮件后，用户将失去对其中信息的控制。它可以在发件人不知情或没有同意的情况下被转发给其他人。

社交媒体也应被视为不安全的通信方式，包括博客、门户、Wiki、论坛和其他互联网或局域网社交媒体，都不应包含机密或限制级信息。

12、数据安全制约因素

数据安全制约因素包括数据的保密等级和监管要求。

(1)保密等级。

保密意味着机密或私密。组织确定哪些类型的数据不应泄露到组织外部，甚至不应为组织中某些部门所知道。机密信息仅在“需要知道”的基础上共享。保密等级取决于谁需要知道某些类型的信息。

(2)监管要求。根据外部规则(如法律、条约、海关协定和行业法规)分配监管类别。监管信息在“允许知道”的基础上共享。数据共享方式受该法规明细条款的约束。

保密和监管的主要区别是要求来源不同。保密要求源自内部，而监管要求则由外部定义。另外的区别是任何数据集(如文档或数据库视图)只能有一个密级，其密级是基于该数据集中最敏感(最高密级)的数据项设立的。然而，监管分类是附加的。单个数据集可能根据多个监管类别限制数据。为了确保法规遵从性，应执行每种法规类别所需的所有操作以及保密要求。

当安全限制应用于用户授权(用户授权提供对特定数据元素的访问权限)时，必须遵循全部保护策略，无论这些策略是内部的还是外部的。

(1)机密数据

保密范围要求从高(如只有极少人能够访问员工薪酬数据)到低 (每个人都可以访问产品目录)。在以下列出的5个机密分类级别中，典型的分类架构可能包括其中两个或更多。

1)对普通受众公开(For General Audiences)。可向任何人(包括公众)提供的信息。

2)仅内部使用(Internal Use Only)。仅限员工或成员使用的信息，但信息分享的风险很小。这种信息仅供内部使用、可在组织外部显示或讨论，但不得复制。

3)机密(Confidential)。若无恰当的保密协议或类似内容，不得在组织以外共享。不得与其他客户共享客户机密信息。

4)受限机密(Restricted Confidential)。受限机密要求个人通过许可才能获得资格，仅限于特定“需要知道”的个人。

5)绝密(Registered Confidential)。信息机密程度非常高，任何信息访问者都必须签署一份法律协议才能访问数据，并承担保密责任。

保密级别并不意味着由于监管要求而受到任何限制的细节。例如，不会通知数据管理者，不得在数据来源国之外公开数据，或者某些员工不得查看某些基于HIPAA之类法规的信息。

(2)监管限制的数据

某些类型的信息受外部法律、行业标准或合同规范的约束，对其使用方式、谁可以访问以及出于何种目的访问将产生影响。由于有许多重叠的法规，所以更容易按主题域将其归纳到几个法规类别或法规系列中，以便更好地向数据管理者通报法规要求。

当然，每个企业都必须建立满足自身合规需求的法规类别。更重要的是，此过程和分类必须尽可能简单，以便具有可操作性。当法规类别的保护法案相似时，应合并为“系列”法规。每个法规类别都应包括可审计的保护措施，这并非组织工具，而是一种执行方法。由于不同行业受到不同类型法规的影响，组织需要制定满足其运营需求的法规类别。例如，本国以外没有业务的公司可能无须纳入与出口有关的法规。

但是，由于各个国家/地区在个人数据隐私法律方面都有所交融，而且客户可能来自世界各地，因此将所有客户数据隐私法规整理到同一个法规类别中，并符合所有国家的要求，可能更为明智且容易。这样既可以提供统一实施标准，也可以确保全球任何地方的合规性。

例如，按照法律，法规合规的某个条例可能禁止数据库中某类数据元素流出原始国家的物理边界。国内和国际的一些法规都有此要求。

法规类别的最佳数量建议不超过9个。一些法规类别示例如下:

1)法规系列举例。

某些政府法规按名称指定数据元素，并要求以特定的方式对其进行保护。每个元素不需要多个不同的法规类别;相反，使用单个法案条例系列来保护所有特定目标的数据字段。在这些类别(是合同义务，而非政府法规)中可能包含某些PCI数据。PCI合同义务在全球基本统一。

1个人身份信息(PII)。

个人身份信息也称为个人隐私信息 (PPI)，包括任何可以识别个人或一组人的信息，如姓名、地址、电话号码、日程安排、政府ID号码、账号数据报、年龄、种族、宗教、生日、家庭成员或朋友的姓名、职业和薪酬等数据。高度类似的保护行动可以满足欧盟隐私指令、加拿大隐私法(PIPEDA)、日本PIP法案 (2003)、PCI标准、美国FTC要求、GLB与FTC标准以及大多数信息安全泄露法案的要求。

2财务敏感数据。

所有财务信息，包括可能称为“股东”或“内部人士”的数据以及尚未公开披露的所有当前财务信息。另外，还包括未公布的任何未来业务计划、计划中的并购或分拆、公司重大问题的非公开报告、高级管理层的意外变化、综合的销售以及订单和账单数据。对所有这些信息都可归为此类别并采用相同的保护策略。

3医疗敏感数据/个人健康信息(PHI)。

有关个人健康或医疗的所有信息。要确保公司法律顾问意识到在业务开展或拥有客户的国家/地区，组织需要遵守法律要求的必要性。

4教育记录。

有关个人教育的所有信息。

2)行业法规或基于合同的法规。

某些行业对如何记录、保留和加密信息有特定的标准，有些还不允许删除、编辑或分发到禁止的地方。例如，有关药品、危险品、食品、化妆品和先进技术的法规，禁止在原产国之外传送或存储某些信息，或要求在传送过程中对数据进行加密。

支付卡行业数据安全标准(PCI-DSS)。
竞争优势或商业秘密。
合同限制。

13、系统安全风险

识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护。另外，还需要确定系统的固有风险。系统安全风险包括可能危及网络或数据库的风险要素。这些威胁允许合法员工有意或无意地滥用信息，并有助于恶意黑客攻击成功。

(1)滥用特权

在授予数据访问权限时，应采用最小特权原则。仅允许用户、进程或程序访问其合法目的所允许的信息。风险是指当具有超出工作职责需要的权限时，用户可能会出于恶意目的或意外地滥用这些权限。用户可能被过多地授予超出应该拥有的访问权限(权限过大)。仅仅管理用户授权工作，本身就具有很大的挑战性。DBA可能缺乏时间或元数据来定义和更新每个用户的授权细粒度访问控制机制。因此，许多用户被赋予通用默认访问权限，该权限远远超过具体工作需要。缺乏对用户权利的监督，这是许多数据法规指定数据管理安全性的原因之一。

解决权限过大的方案是查询级访问控制，这种控制机制可将数据库权限限制为最低要求的SQL操作和数据范围。数据访问控制粒度要从表格级访问深入到特定行和特定列。查询级访问控制可以检测出恶意员工滥用特权的行为。

(2)滥用合法特权

出于未经授权的目的，用户可能滥用合法赋予他的数据库权限。

两种风险都需要考虑：故意和无意滥用。当医护人员故意不当地使用组织数据时，就会发生故意滥用。恶意的医护人员想要用患者病历来换取金钱或进行蓄意伤害。无意滥用的风险更常见：勤奋的医护人员为满足其所认为的合法工作目的，将大量患者信息检索并存储到工作计算机中。一旦数据保存到终端计算机上，就很容易受到笔记本计算机被盗和丢失而造成的影响。

部分解决滥用合法特权的方案是数据库访问控制。这不仅适用于特定查询，而且适用于对终端计算机(使用时间、位置和下载信息量)强制实施安全策略，以及降低任何用户无限制地访问包含敏感信息的全部记录的能力，除非他们的工作有明确要求并经其主管批准。

(3)未经授权的特权升级

存储过程、内置函数、协议实现甚至SQL语句中都可能存在漏洞。攻击者可能会利用数据库平台软件漏洞将访问权限从普通用户权限变为管理员权限。例如，金融机构的软件开发人员可能会利用易受攻击的缺陷特性来获得数据库管理权限。使用管理权限，违规的开发人员可能会关停审计机制、创建虚假账户、转移资金或关闭账户。

将传统入侵防护系统(IPS)和查询级访问控制入侵防护相结合，以防止特权升级漏洞。这些系统检查数据库流量，以识别出与已知模式相对应的漏洞。例如，如果给定功能容易受到攻击，IPS可能会对该进程的所有访问进行阻止，或者对允许嵌入式攻击的进程进行阻止。将IPS与其他攻击指标(如查询访问控制)相结合，可提高识别攻击的准确性。IPS可检测出数据库请求所访问的是否为漏洞功能，而查询访问控制可以检测请求是否符合正常的用户行为。如果一个请求同时指示对脆弱功能的访问且行为异常，那么几乎肯定会发生攻击。

(4)服务账户或共享账户滥用

使用服务账户(批处理ID)和共享账户(通用ID)会增加数据泄露风险，并使跟踪漏洞来源的能力更加复杂。有些组织将监控系统配置为忽略与这些账户相关的任何警报，会进一步增加这些风险。信息安全经理应考虑运用工具来安全地管理服务账户。

1)服务账户。

服务账户的便利性在于可自定义对进程的增强访问。但如果用于其他目的，则无法跟踪到特定用户或管理员。除非有权访问解密密钥，一般服务账户不会对加密数据产生威胁。这一点对于服务器上保存法律文档、医疗信息、商业机密或机密运营计划等数据尤为重要。

将服务账户的使用限制为特定系统上的特定命令或任务，需要文档和批准才能分发凭据。考虑每次使用时分配新密码，可参考使用诸如超级用户账户之类的管理流程。

2)共享账户。

当所需用户账户数多到应用程序无法处理时，或添加特定用户需要大量工作或产生额外许可成本时，可创建共享账户。对于共享账户，会将凭据提供给多个用户。由于要通知所有用户，所以密码很少更改。由于共享账户提供的访问几乎不受控制，因此应仔细评估对共享账户的使用。默认情况下不应使用共享账户。

(5)平台入侵攻击

数据库资产的软件更新和入侵防护需要结合定期软件升级(补丁) 和部署专用入侵防御系统(Intrusion Prevention Systems，IPS)。IPS通常(但并非总是)与入侵检测系统(IntrusionDetection System，IDS) 一起部署。目标是杜绝大多数网络入侵企图，并对任何成功通过防御系统的入侵行为快速响应。入侵保护的最原始形式是防火墙。但随着移动用户、Web访问和移动计算设备成为大多数企业环境的一部分时，一个简单的防火墙虽然仍是必要的，但已无法满足安全需求。

随着时间的推移，厂商提供的更新减少了数据库平台中的漏洞。遗憾的是，软件更新通常由企业定期按维护周期实施，而不是在补丁可用后尽快实施。在补丁更新之前，数据库不受保护。此外，兼容性问题有时会完全阻止软件更新。要解决这些问题，需实施部署入侵防御系统 (IPS)。

(6)注入漏洞

在SQL注入攻击中，攻击者将未经授权的数据库语句插入(或注入)到易受攻击的SQL数据通道中，如存储过程和Web应用程序的输入空间。这些注入的SQL语句被传递到数据库，在那里它们通常作为合法命令执行。使用SQL注入时，攻击者可以不受限制地访问整个数据库。

一般通过将所有输入数据上传服务器处理之前对其进行清理，从而降低这种风险。

(7)默认密码

在软件包安装期间创建默认账户是软件业长期以来的一种惯例。有一些是用于安装本身的需要，另一些是为用户提供开箱即用的测试软件的方法。默认密码是许多演示包的一部分。安装第三方软件会产生其他账户默认密码。攻击者不断寻找一种窃取敏感数据的捷径。创建必需的用户名和密码组合，并确保DBMS中并未保留默认密码，可缓解对敏感数据的威胁。清除默认密码是每次实施过程中的重要安全步骤。

(8)备份数据滥用

备份是为了降低数据丢失而产生的相关风险，但备份也代表一种安全风险。新闻报道中有许多有关丢失备份介质的故事。对所有数据库备份加密，可防止有形介质或电子传送中丢失备份数据。要安全地管理备份的解密密钥，密钥必须异地可用，才有助于灾难恢复。

14、黑客行为/黑客

“黑客行为”一词产生于以寻找执行某些计算机任务的聪明方法为目标的时代。黑客是在复杂的计算机系统中发现未知操作和路径的人。黑客有好有坏。

道德或“白帽”黑客致力于改进系统。如果没有这些道德黑客，就只有在偶然情况下才能发现并纠正的系统漏洞。道德黑客有助于系统性地修补(更新)计算机系统，以提高其安全性。

恶意黑客是故意破坏或“黑入”计算机系统以窃取机密信息或造成损害的人。恶意黑客通常寻找财务或个人信息，以窃取金钱或身份信息。他们试图猜测简单的密码，并试图找到现有系统中尚未记录的弱点和后门。他们有时被称为“黑帽”黑客。

15、网络钓鱼/社工威胁

安全的社工威胁通常涉及直接通信(无论是当面、通过电话，还是通过互联网)，旨在诱使有权访问受保护数据的人提供该信息(或信息访问途径)给拟用于犯罪或恶意目的人。

社会工程(Social Engineering)是指恶意黑客试图诱骗人们提供信息或访问信息的方法。黑客利用所获得的各种信息来说服有关员工他们有合法的请求。有时，黑客会按顺序联系几个人，在每一步收集信息以用于获得下一个更高级别员工的信任。

网络钓鱼(Phishing)是指通过电话、即时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。

16、恶意软件

恶意软件是指为损坏、更改或不当访问计算机或网络而创建的软件。计算机病毒、蠕虫、间谍软件、密钥记录器和广告软件都是恶意软件的例子。如果不是出于其他原因，未经系统所有者授权而占用磁盘空间和可能的处理周期，以及任何未经许可安装的软件都可视为恶意软件。恶意软件可以有多种形式，具体取决于其用途(复制、销毁、记录或进行盗窃，或行为监控)。

(1)广告软件

广告软件(Adware)是一种从互联网下载至计算机的间谍软件。广告软件监控计算机的使用，如访问了哪些网站。广告软件也可能在用户的浏览器中插入对象和工具栏。广告软件并不违法，但它用于收集完整的用户浏览和购买习惯的个人资料并出售给其他营销公司。恶意软件也很容易利用它来窃取身份信息。

(2)间谍软件

间谍软件(Spyware)是指未经同意而潜入计算机以跟踪在线活动的任何软件程序。这些程序倾向于搭载在其他软件程序上。当用户从互联网站点下载并安装免费软件时，通常用户不知情时就安装了间谍软件。不同形式的间谍软件跟踪不同的活动类型。有的程序监视网站访问，有的程序则记录用户按键以窃取个人信息，如信用卡号、银行账户信息和密码。

包括搜索引擎在内的许多合法网站都会安装跟踪间谍软件，这也是一种广告软件。

(3)特洛伊木马

特洛伊木马(Trojan Horse)是希腊人送给特洛伊人的一座大型木制“雕像礼物”，特洛伊人迅速将其作为战利品带入城中。不幸的是，木马中隐藏了希腊士兵，这些士兵在进入特洛伊城后就溜出来并袭击了这座城市。

在计算机安全术语中，特洛伊木马是指通过伪装或嵌入合法软件而进入计算机系统的恶意程序。安装后的特洛伊木马将删除文件、访问个人信息、安装恶意软件、重新配置计算机、安装键盘记录器，甚至允许黑客将计算机用作攻击网络中其他计算机的武器(机器人或僵尸)。

(4)病毒

病毒(Virus)是一种计算机程序，它将自身附加到可执行文件或易受攻击的应用程序上，能造成从让人讨厌到极具破坏性的后果。一旦受感染文件被打开就可执行病毒文件。病毒程序总是需要依附于另一个程序上。下载打开这些受感染的程序可能会释放病毒。

(5)蠕虫

计算机蠕虫(Worm)是一种自己可以在网络中进行复制和传播的程序。受蠕虫感染的计算机将源源不断地发送感染信息。其主要功能是通过消耗大量带宽来危害网络，从而导致网络中断。蠕虫也可能会执行多种其他恶意的活动。

(6)恶意软件来源

1)即时消息。

2)社交网。

3)垃圾邮件。

7.2 活动

7.2.1 识别数据安全需求

区分业务需求、外部监管限制和应用软件产品的规则很重要。尽管应用程序系统是执行业务规则和过程的载体，但这些系统通常具有超出业务流程所需的数据安全要求。在套装软件和现成的系统中，这些安全需求变得越来越普遍。同时也有必要确保支持组织的数据安全标准。

1、业务需求

在组织内实施数据安全的第一步是全面了解组织的业务需求。组织的业务需求、使命、战略和规模以及所属行业，决定了所需数据安全的严格程度。

通过分析业务规则和流程，确定安全接触点。业务工作流中的每个事件都可能有自己的安全需求。在进行这些需求与数据安全角色组、参数和权限定义之间的映射时，数据-流程矩阵和数据-角色关系矩阵是非常有效的工具。有计划地处理短期和长期目标，以实现均衡有效的数据安全功能。

2、监管要求

7.2.2 制定数据安全制度

组织在制定数据安全制度时应基于自己的业务和法规要求。制度是所选行动过程的陈述以及为达成目标所期望行为的顶层描述。数据安全策略描述了所决定的行为，这些行为符合保护其数据的组织的最佳利益。要使这些制度产生可衡量的影响，它们必须是可审计且经审计过的。

制定安全制度需要IT安全管理员、安全架构师、数据治理委员会、数据管理专员、内部和外部审计团队以及法律部门之间的协作。

管理与企业安全相关的行为需要不同级别的制度，例如:

企业安全制度。员工访问设施和其他资产的全局策略、电子邮件标准和策略、基于职位或职务的安全访问级别以及安全漏洞报告策略。
IT安全制度。目录结构标准、密码策略和身份管理框架。
数据安全制度。单个应用程序、数据库角色、用户组和信息敏感性的类别。

通常，IT安全制度和数据安全制度是安全制度组合的一部分。然而最好将其区别开来。数据安全制度在本质上颗粒度更细，针对不同内容，需要不同的控制和过程。数据治理委员会是数据安全制度的审查和批准方。数据管理专员是制度的主管方和维护方。

员工需要了解并遵从安全制度。制定安全制度应明确定义和实现所需流程及其背后的原因，以便安全制度易于实现和遵从。制度需要在不妨碍用户访问的前提下保护数据，以确保数据安全。

安全制度应便于供应商、消费者和其他利益相关方可以轻松访问，应在公司局域网或类似协作门户上被提供和维护。

应定期重新评估数据安全制度、过程和活动，在所有利益相关方的数据安全要求之间取得尽可能的平衡。

7.2.3 定义数据安全细则

制度提供行为准则，但并不能列出所有可能的意外情况。细则是对制度的补充，并提供有关如何满足制度意图的其他详细信息。

1、定义数据保密等级

保密等级分类是重要的元数据特征，用于指导用户如何获得访问权限。每个组织都应创建或采用满足其业务需求的分级方案。任何分级方案都应清晰易行，它将包含从最低到最高的一系列密级。例如，从“一般用途”到“绝密”。

2、定义数据监管类别

高度公开的数据泄露事件(其中敏感的个人信息被泄露)日益增多，导致出台了很多与数据相关的法律。聚焦于金融的数据事件促使全球各国政府实施更多的法规。这就产生了新的数据类别，可称为“监管信息”。法规要求是信息安全的延伸。需要采取其他措施，以对监管要求进行有效管理。

安全分级和监管分类的一项关键原则是，大多数信息可以聚合，从而使其具有更高或更低的敏感性。

分类分级的工作成果是一组经正式批准的安全分级和监管类别，以及从中央存储库中获得此类元数据的流程，以便业务和技术员工了解他们所处理、传送和授权信息的敏感性。

3、定义安全角色

数据访问控制可根据需要在单个用户级或组织级中进行管理。通过为角色组授予权限，从而为组中每个成员授予权限。角色组使得安全管理员能够按角色定义权限，并通过在适当角色组中注册用户实现权限授予。

在用户和角色管理中的挑战之一是数据一致性。为避免数据完整性问题，需要对用户身份数据和角色组成员身份集中管理，这也是有效访问控制数据质量的要求。安全管理员创建、修改和删除用户账户和角色组以及对组分类和成员资格的变更应得到批准。应通过变更管理系统跟踪变更。

在组织内不一致或不恰当地应用数据安全措施可能会导致员工不满，并给组织带来重大风险。基于角色的安全取决于明确定义、一致分配的角色。对角色进行定义和组织的方法有两种：网格(从数据开始)或层次结构(从用户开始)。

1、角色分配矩阵

2、角色分配层次结构

7.2.4 评估当前安全风险

安全风险包括可能危及网络和/或数据库的因素。识别风险的第一步是确定敏感数据的存储位置，以及这些数据需要哪些保护措施。对每个系统进行以下评估:

存储或传送的数据敏感性。
保护数据的要求。
现有的安全保护措施。

记录调查结果以此为将来的评价创建基线。记录文档也可能是隐私法规遵从的要求。

7.2.5 实施控制和规程

数据安全策略的实施和管理主要由安全管理员负责，与数据管理专员和技术团队协作。例如，数据库安全性通常是DBA的职责。组织必须实施适当的控制以满足安全策略要求。控制和规程(至少)应涵盖:

用户如何获取和终止对系统和/或应用程序的访问权限。
如何为用户分配角色并从角色中去除。
如何监控权限级别。
如何处理和监控访问变更请求。
如何根据机密性和适用法规对数据进行分类。
检测到数据泄露后如何处理。

对用户和组授权的所有初始授权和后续变更，必须经由某些管理层级别的正式请求、跟踪和批准。

1、分配密级

2、分配监管类别

3、管理和维护数据安全

控制数据可用性/以数据为中心的安全性
监控用户身份验证和访问行为

敏感或异常数据库事务的自动记录应该是任何数据库部署的一部分。缺乏自动化监控意味着严重的风险:

监管风险
检测和恢复风险
管理和审计职责风险
依赖于不适当的本地审计工具风险

为了降低风险，可以部署实施基于网络的审计设备。虽然这可以解决与单机审计工具相关的大多数弱点，但是不能代替由受过培训的审计人员进行的定期审计。此类设备具有以下优点:

高性能(High Performance)。基于网络的审计设备可以在线运行，对数据库性能的影响很小。
职责分离(Separation of Auties)。基于网络的审计设备应独立于DBA运行，从而能够恰当地将审计职责与管理职责分开。
精细事务跟踪(Granular Transaction Tracking)。它支持高级欺诈检测、取证和恢复。日志包括源应用程序名称、完整查询文本、查询响应属性、源操作系统、时间和源名称等详细信息。

4、管理安全制度遵从性

1)管理法规遵从性。

2)审计数据安全和合规活动。

数据安全制度的表述、标准文档、实施指南、变更请求、访问监控日志、报告输出和其他记录(电子或硬拷贝)构成了审计的输入来源。

7.3 工具

信息安全管理使用的工具，在很大程度上取决于组织规模、网络架构以及安全组织采用的策略和标准。

7.3.1 杀毒软件/安全软件

杀毒软件可保护计算机免受网上病毒的侵扰。每天都有新的病毒和其他恶意软件出现，因此重要的是要定期更新安全软件。

7.3.2 HTTPS

如果Web地址以https://开头，则表示网站配备了加密的安全层。用户通常必须提供密码或其他身份验证手段才能访问该站点。如果缺乏加密，同一网段上的用户就可以读取纯文本信息。

7.3.3 身份管理技术

身份管理技术(Identity Management Technology)是存储分配的凭据，并根据请求(如当用户登录到系统时)与系统共享。尽管大多数或所有应用程序使用中央凭据存储库，虽然这对于用户来说更方便，但是一些应用程序仍然会管理自身的凭据存储库。有一些用于管理凭据的协议：轻量级目录访问协议(LDAP)就是其中之一。

7.3.4 入侵侦测和入侵防御软件

当黑客入侵防火墙或其他安全措施时，设有能够检测入侵并动态地拒绝访问的工具很有必要。在不当事件发生时，入侵检测系统(IDS)将通知相关人员。IDS最好与入侵防御系统(IPS)进行连接，IPS系统可对已知攻击和不合逻辑的用户命令组合自动响应。检测通常是通过分析组织内的模式来进行。对预期模式的了解可检测出异常事件，当异常事件发生时系统会发送警报。

7.3.5 防火墙（防御）

安全且复杂的防火墙应部署在企业网关上，它具有在允许高速数据传送的同时还能够执行详细的数据报分析的能力。对于暴露于Internet的 Web服务器，建议使用更复杂的防火墙结构，因为许多恶意黑客攻击可以通过有意扭曲的合法流量，对数据库和Web服务器漏洞加以利用。

7.3.6 元数据跟踪

跟踪元数据的工具有助于组织对敏感数据的移动进行跟踪。这些工具会存在一种风险：外部代理可从与文档关联的元数据中检测出内部信息。使用元数据标记敏感信息是确保数据得到防护的最佳方式。由于大量数据丢失事件都是由于不知道数据的敏感性而缺少数据保护造成的。如果元数据以某种方式从元数据库中暴露出来，则可能会发生这种风险，因为元数据文档完全掩盖了任何假设的风险。由于经验丰富的黑客在网络上查找不受保护的敏感数据非常简单，因此这种风险可以忽略不计。最有可能忽视保护敏感数据的人，往往是员工和管理人员。

7.3.7 数据脱敏/加密

进行脱敏或加密的工具对于限制敏感数据的移动很有用。

7.4 方法

管理信息安全取决于组织规模、网络架构、要保护的数据类型以及组织采纳的安全策略和标准。

7.4.1 应用CRUD矩阵

创建和使用数据-流程矩阵和数据-角色关系(CRUD—创建、读取、更新、删除)矩阵有助于映射数据访问需求，并指导数据安全角色组、参数和权限的定义。某些版本中添加E(Execute)执行，以创建 CRUDE矩阵。

7.4.2 即时安全补丁部署

应该有一个尽可能快地在所有计算机上安装安全补丁程序的流程。恶意黑客只需获取一台计算机超级访问权限，就可以在网络上成功地开展攻击，因此不应该推迟这些更新。

7.4.3 元数据中的数据安全属性

元数据存储库对于确保企业数据模型在跨业务流程使用中的完整性和一致性至关重要。元数据应包括数据的安全性和监管分类。安全元数据的到位可保护组织避免员工对敏感数据缺乏认知而造成的影响。当数据管理专员确定适用密级和监管类别时，类别信息应记录在元数据存储库中。如果技术允许的话，则标记到数据。这些分类可用于定义和管理用户权限和授权，并告知开发团队与敏感数据相关的风险。

7.4.4 项目需求中的安全要求

对每个涉及数据的项目都必须解决系统和数据安全问题，在分析阶段详细确定数据和应用程序安全要求。预先识别有助于指导设计，避免安全流程的改造。如果实施团队一开始就了解数据保护要求，那么可将合规性构建到系统的基本架构中。此信息还可用于选择适当的供应商/ 采购软件包。

7.4.5 加密数据的高效搜索

搜索加密数据显然包括需要解密数据。减少需要解密数据量的方法之一是采用相同的加密方法来加密搜索条件(如字符串)，然后用密文去查找匹配项。匹配加密搜索条件的数据量要少得多，因此解密成本 (和风险)会更低。然后在结果集上使用明文搜索以获得完全匹配。

7.4.6 文件清理

文件清理是在文件共享之前从中清理元数据(如历史变更记录跟踪)的过程。文件清理降低了注释中的机密信息可能被共享的风险。特别是在合同中，获取这些信息可能会对谈判产生负面影响。

7.5 实施指南

实施数据安全项目取决于企业文化、风险性质、公司管理数据的敏感性以及系统类型。实施系统组件应在战略性的安全规划和支持架构的指导下开展。

7.5.1 就绪评估/风险评估

培训
制度一致性
衡量安全性的收益
为供应商设置安全要求
增强紧迫感
持续沟通

7.5.2 组织与文化变革

组织需要制定数据相关制度，使其能够实现业务目标，同时保护受监管和敏感信息不被滥用或未经授权的披露。在权衡风险与易获得性的时候，组织必须考虑到所有利益相关方的利益。通常，技术架构必须适应数据架构来平衡这些需求，以创建安全有效的电子环境。在大多数组织中，如果要成功保护其数据，那么管理层和员工的行为都需要改变。

在许多大型公司中，信息安全小组的工作涉及制定制度、保障措施、安全工具、访问控制系统以及信息保护设备和系统。应该清楚地理解和认同这些要素是对数据管理专员和数据管理人员所做工作的补充。数据管理专员通常负责数据分类。信息安全团队协助其遵从执行，并根据数据保护制度以及安全和监管分类建立操作规程。

在忽视客户和员工期望的情况下，实施数据安全措施可能会导致员工不满、客户不满和组织风险。为了促进其合规，制定数据安全措施必须站在那些将使用数据和系统的人的角度考虑。精心规划和全面的技术安全措施应使利益相关方更容易获得安全访问。

7.5.3 用户数据授权的可见性

必须在系统实施期间审查每个用户的数据授权(即单点授权提供的所有数据的总和)，以确定是否包含任何受控信息。了解谁可以访问哪些数据、需要包含密级和监管分类描述的元数据管理以及对权利和授权本身的管理。监管敏感性分级应是数据定义过程的标准部分。

7.5.4 外包世界中的数据安全

任何事情皆可外包，但责任除外。

外包IT运营会带来额外的数据安全挑战和责任。外包增加了跨组织和地理边界共担数据责任的人数。对以前非正式的角色和责任必须明确定义为合同义务，必须在外包合同中明确每个角色的职责和期望。

任何形式的外包都增加了组织风险，包括失去对技术环境、对组织数据使用方的控制。数据安全措施和流程必须将外包供应商的风险既视为外部风险，又视为内部风险。

IT外包的成熟使组织能够重新审视外包服务。一个广泛的共识是，包括数据安全架构在内的IT架构和所有权应该是一项内部职责。换句话说，内部组织拥有并管理企业和安全架构。外包合作伙伴可能负责实现体系架构。转移控制，并非转移责任，而是需要更严格的风险管理和控制机制。其中一些机制包括:

服务水平协议(SLA)。
外包合同中的有限责任条款。
合同中的审计权条款。
明确界定违反合同义务的后果。
来自服务提供商的定期数据安全报告。
对供应商系统活动进行独立监控。
定期且彻底的数据安全审核。
与服务提供商的持续沟通。
如果供应商位于另一国家/地区并发生争议时，应了解合同法中的法律差异。

在外包环境中，跟踪跨系统和个人的数据血缘或流转对于维护“监管链”至关重要。外包组织从CRUD(创建、读取、更新和删除)矩阵的创建中受益匪浅。该矩阵映射跨业务流程、应用程序、角色和组织的数据职责，以跟踪数据转换、血缘关系和监管链。此外，执行业务决策或应用程序功能(如批准审查、批准订单)的能力必须包含在矩阵中。

负责、批注、咨询、通知(RACI)矩阵也有助于明确不同角色的角色、职责分离和职责，包括他们的数据安全义务。

RACI矩阵可成为合同协议和数据安全制度的一部分。通过定义责任矩阵(如RACI)在参与外包的各方之间确立明确的问责制和所有权，从而支持总体数据安全制度及其实施。

在外包信息技术业务中，维护数据的责任仍在组织方。建立适当的履约机制，并对签订外包协议的缔约方抱有现实期望至关重要。