过程域设定背景和目标
备份与恢复是为了提高信息系统的高可用性和灾难可恢复性,在数据库系统崩溃的时候,没有数据库 备份就没法找到数据。保证数据可用性是数据安全的基础。
过程域具体标准要求解读
制度流程:
——数据服务可靠性和可用性安全保护目标
——数据存储冗余策略和设计指导;
——数据复制、备份与恢复的操作规程,如数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等
——数据复制、数据备份与恢复的定期检查和更新工作要求,如数据副本更新频率、保存期限等,确保数据副本或备份数据的有效性等。
技术工具:
——数据备份和恢复的技术工具要统一,并做到自动化执行。
——对已备份的数据要有安全管理技术手段,包括但不限于对备份数据的访问控制、压缩或加密管理、完整性和可用性管理。
过程域充分定义级实施指南
制度流程参考:
案例 1:《 XXX公司电子数据备份和恢复管理规程》关键内容:
案例 2:《 XXX公司数据备份和恢复管理规范》关键内容:
技术工具参考:
业界很成熟的技术,这里不赘述。
标准参考:
——GB∕T 31500-2015《信息安全技术 存储介质数据恢复服务要求》
——GBT 22239-2008《信息安全技术 信息系统安全等级保护基本要求》
过程域设定背景和目标
数据作为一种重要的生产资料,充分分析与挖掘数据的内在价值成为了现代企业创新成长的必经之路, 但同时敏感数据的泄露风险也与日俱增。严格意义上来讲,任何有权限访问数据的人员,均有可能导致敏 感数据的泄露。另一方面,没有数据访问权限的人员,也可能有对该数据进行分析挖掘的需求,数据的访 问约束大大限制了充分挖掘数据价值的范围。数据脱敏技术通过将敏感数据进行数据的变形,为用户提供 虚假数据而非真实数据,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及 外包环境中安全地使用脱敏后的真实数据集,既保护了组织的敏感信息不泄露,又达到了挖掘数据价值的 目标。本过程域的设定,即要求组织通过建立脱敏机制,来防止组织敏感数据的泄露。
过程域具体标准要求解读
本过程域要求组织根据相关法律法规、标准的要求,以及组织自身业务的需求,明确需要脱敏的业务 场景、规范要求及使用的脱敏工具。
制度流程:
——要求组织建立统一的数据脱敏制度规范和流程,明确数据脱敏的业务场景,以及在不同业务应用场景下数据脱敏的规则和方法,这里重点强调的是组织需要统一策略,统一规范。
——脱敏应跟使用者的业务权限和数据的使用场景来动态调整,用户申请对敏感数据的访问处理时,应根据使用者的岗位职责、业务范围等,来评估其使用真实数据的必要性,并根据其业 务职责来选择不同的数据脱敏规则及方法。
技术工具:
——要求组织具备统一的数据脱敏工具,数据脱敏工具应具备静态脱敏和动态脱敏的功能。
——脱敏工具应与组织的数据权限管理平台实现联动,可以根据使用者的职责权限或者业务处理 活动动态化的调整脱敏的规则,职责权限一般用来决定他可以访问哪些敏感数据,业务处理 活动则主要决定采用哪些脱敏方式,例如用户展现的敏感数据则可以通过部分数据遮蔽等方式实现,用户开发测试的数据则通过同义替换的方式实现。
——脱敏工具对数据的脱敏操作过程都应该留存日志记录,以审核违规使用和恶意行为,防止意外的敏感数据泄露。
过程域充分定义级实施指南
制度流程参考:
以下数据在使用时应进行脱敏处理。 ——个人信息:能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况 的各种信息。包括个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、 个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息等。具体可参考 GB/T35273 《信息安全技术 个 人信息安全规范》 ——组织敏感信息:涉及到组织的商业秘密、经营状况、核心技术的重要信息,包括但不限于客 户信息、供应商信息、产品开发信息、关键人事信息、财务信息等。 ——国家重要数据:国家重要数据是指组织在境内收集、产生、控制的不涉及国家秘密,但与国 家安全、经济发展、社会稳定,以及企业和公共利益密切相关的数据,包括这些数据的原始数据和衍生数据。
技术工具参考:
脱敏在技术实现上,主要有以下几种技术方式:
泛化 技术 。 在保留原始数据局部特征的前提下使用一般值替代原始数据,泛化后的数据具有不 可逆性,具体的技术方法包括但不限于:
数据截断:直接舍弃业务不需要的信息,仅保留部分关键信息,例如将手机号码13500010001 截断为135;
日期偏移取整:按照一定粒度对时间进行向上或向下偏移取整,可在保证时间数据一定分布 特 征的情况下隐藏原始时间,例如将时间20150101 01:01:09按照5秒钟粒度向下取整得到 20150101 01:01:05;
规整:将数据按照大小规整到预定义的多个档位,例如将客户资产按照规模分为高、中、低 三 个级别,将客户资产数据用这三个级别代替。
抑制技术。 通过隐藏数据中部分信息的方式来对原始数据的值进行转换,又称为隐藏技术,具 体的技术方法,具体的技术方法包括但不限于:
掩码:用通用字符替换原始数据中的部分信息,例如将手机号码13500010001经过掩码得到 135****0001,掩码后的数据长度与原始数据一样。
扰乱技术。 通过加入噪声的方式对原始数据进行干扰,以实现对原始数据的扭曲、改变,扰乱 后的数据仍保留着原始数据的分布特征,具体的技术方法包括但不限于:
有损 技术。 通过损失部分数据的方式来保护整个敏感数据集,适用于数据集的全部数据汇总后 才构成敏感信息的场景,具体的技术方法包括但不限于:
限制返回行数:仅仅返回可用数据集合中一定行数的数据,例如商品配方数据,只有在拿到 所有配方数据后才具有意义,可在脱敏时仅返回一行数据;
限制返回列数:仅仅返回可用数据集合中一定列数的数据,例如在查询人员基本信息时,对 于某些敏感列,不包含在返回的数据集中。
数据脱敏的核心是实现数据可用性和安全性之间的平衡,既要考虑系统开销,满足业务系统的需求, 又要兼顾最小可用原则,最大限度的敏感信息泄露。因此在实施过程中,也应该围绕这两个点进行规范。 即首先需要对敏感数据进行识别和定义,其次基于使用者的职责以及业务范围判断他是否需要使用这些敏 感数据,他用这些数据来做哪些事,然后基于这些判断来选择数据脱敏的方法和技术措施。例如开发人员 需要用这些数据进行测试的,应满足能够保留数据属性特征,可以采用扰乱等脱敏方式。如果是要投到大 屏做展示用的,则可以选择掩码方式隐藏部分敏感内容。企业应结合自身业务开展的情况,分类分析数据 需要脱敏的场景,规范每种场景下数据脱敏的规则和流程。组织在确定好数据脱敏的场景和脱敏的规则并 形成制度文件后,就可以选择配置相关的数据脱敏工具,统一在业务系统中部署,配合制度文件的落实。
l 标准参考:
——ISO&IEC 27038_2014《数字脱敏规范》
——DB52/T 1126-2016《政府数据 数据脱敏工作指南》
[数据安全能力建设实施指南 V1.0(征求意见稿)](http://github5.com/view/1836?f=
文章浏览阅读9k次,点赞4次,收藏34次。转自:http://bbs.21dianyuan.com/thread-233723-1-1.html1.1.4 驱动线路(死区控制、隔离变压器)A.互补驱动(带死区控制)实现方式,UC3843的PWM输出用逻辑非门芯片取反,然后利用RCD做死区,经驱动IC HIP2101(仿真软件自带驱动芯片模型),得到两路带死区的互补驱动信号PWM1和PWM2,如下图所示:该电路可用来做同步Buck,同..._simplis
文章浏览阅读5.2k次。1、什么是构建你一定知道“构建(construction)”一次在软件开发领域以外的含义。“构建”就是“建筑工人(construction workers)”在建设一栋房屋,一所学校,乃至一座摩天大楼时所做的工作。在你年轻时,可能也曾用“硬纸板(construction paper)”构建过什么东西吧。按照一般的用法,“构建”是指建设的过程。构建过程可能包含有计划、设计、检查工作的一些方面,但..._软件构建是什么意思
文章浏览阅读9.4k次,点赞2次,收藏10次。问题描述安装好了centOS服务器,一直用Secure CRT工具通过ssh服务来远程连接linux,很方便的进行各种操作。今天偶然尝试了一下在非root的一般用户下执行重启服务器的命令,发现一般用户是没有权限执行重启的,果断使用sudo命令再次执行,终于重启成功,却发现Secure CRT再也连不上服务器了,郁闷不已,去网上查找各种资料总算有了一点粗浅的认识,记录下来,也让其他的linux beginner们能够少走些弯路吧。普通用户下执行重启命令:shutdown -r now 或者 _服务器重启reboot 无法连接
文章浏览阅读916次。详细错误:java.util.concurrent.ExecutionException: org.apache.catalina.LifecycleException: Failed to start component [StandardEngine[Catalina].StandardHost[localhost].StandardContext[/coin-deal]] at java...._"[\"ajp-nio-8012\"]"
文章浏览阅读5.7k次,点赞2次,收藏11次。转载:http://www.layui.com/doc/modules/layer.html弹层组件文档 - layui.layerlayer 至今仍作为 layui 的代表作,她的受众广泛并非偶然,而是这数年来的坚持、不弃的执念,将那些不屑的眼光转化为应得的尊重,不断完善和维护、不断建设和提升社区服务,在 Web 开发者的圈子里口口相传,乃至于成为今天的 layui 最强劲的源动力。目前,lay..._doc/modules/layer.html
文章浏览阅读871次,点赞19次,收藏18次。汇编语言程序格式_8086汇编 精简教程
文章浏览阅读1.2k次。十分钟上手基于Core的Lua编程语言一、函数、变量二、数组、表(table)三、流程控制:if、elseif、else四、循环控制:for、while五、结语前言:无论您擅长什么语言,C、python、Java、Lua、或PHP,哪怕是刚入门的编程小白,只要您掌握了最基本的编程思想比如:if,else, for, while的用法,您基本就可以很快速的上手 Core 的编程开发了。在 Core上面的编程只会涉及到最基本的编程语法,而编程语言自带的一些高级特性在 Core 上您基本用不到,即使Cor
文章浏览阅读1.8w次,点赞32次,收藏232次。LDPC各类译码方法的MATLAB实现主要内容新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入主要内容LDP..._最小和译码算法
文章浏览阅读1.1k次。C语言开发编译工具gcc的详细安装教程(图文)_安装c语言
文章浏览阅读1.5w次,点赞32次,收藏272次。文章目录0)前端1、什么是前端?2、为什么需要前端?前端的发展简史:3、前端开发的类型Web前端开发:客户端(APP)开发:4、前端与后端的交互Ajax:Socket:*前端技术栈1)核心语言1.1 HTML什么是HTML?HTML如何描述网页?HTML文档与网页的关系?1.2 CSS什么是CSS?为什么使用CSS?1.3 JavaScript(JS)什么是JavaScript?JavaScript的作用?2)基础技术2.1 AJAX什么是AJAX?AJAX的工作原理?2.2 JSON什么是JSON?为什么_前端技术栈
文章浏览阅读1k次。如题,要使用Spring Boot + JWT + VUE + Node.js实现单点登录功能_jeeccg 登录功能
文章浏览阅读894次,点赞21次,收藏11次。rabbit mq 面试题