本書從大數(shù)據(jù)基本概念開始引入��,簡介大數(shù)據(jù)目前的技術應用以及技術流程���,從而引出大數(shù)據(jù)時代下的數(shù)據(jù)便利性���、價值以及隱患;列舉國內(nèi)外數(shù)據(jù)安全事件案例�����,引出數(shù)據(jù)治理����、數(shù)據(jù)安全治理概念,介紹國內(nèi)外數(shù)據(jù)安全治理常用思路以及多個方法論����,并以國內(nèi)GB/T 37988-2019即DSMM數(shù)據(jù)安全能力成熟度為實踐思路選型��,逐個介紹DSMM中三級(充分定義級)定義下各過程域?qū)M織建設����、人員能力���、制度流程以及技術工具相關要求,在此之上基于美創(chuàng)科技多年數(shù)據(jù)安全治理實踐經(jīng)驗�,對上述各過程域逐一進行解讀以及提供實踐指南操作建議,并總結歸納DSMM全部要求�,整合生成基于數(shù)據(jù)安全風險評估的量化觀察指標和建議實踐目標,為組織后續(xù)基于DSMM相關實踐和自評提供實踐指南和參考依據(jù)�。
為什么要寫這本書
隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)���、云計算等技術的快速發(fā)展�����,全球數(shù)據(jù)量出現(xiàn)爆炸式增長����,我們已進入大數(shù)據(jù)時代���。大數(shù)據(jù)不斷向各個行業(yè)滲透��,在深刻影響國家政治��、經(jīng)濟����、民生和國防的同時,也給國家安全����、社會穩(wěn)定和個人隱私等帶來了潛在威脅與挑戰(zhàn)。在此背景下���,國內(nèi)外數(shù)據(jù)安全相關法律法規(guī)相繼出臺�,以完善大數(shù)據(jù)安全領域的防護和技術要求��,助力大數(shù)據(jù)安全建設�����。
相較于傳統(tǒng)網(wǎng)絡安全����,數(shù)據(jù)安全的標準化起步較晚,目前業(yè)內(nèi)尚無完整�、成熟的可借鑒技術落實方案,缺乏有效的數(shù)據(jù)安全視角下的實踐指南�����,大量組織在數(shù)據(jù)安全建設方面仍然處于“摸著石頭過河”的狀態(tài)���,這嚴重耗費了企業(yè)的人力���、物力,以及本不富余的安全資源��。
鑒于此�����,美創(chuàng)科技積極組織公司數(shù)據(jù)安全從業(yè)專家�����,結合公司多年來的數(shù)據(jù)安全治理經(jīng)驗�,以《信息安全技術 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988—2019)和《數(shù)據(jù)安全能力建設實施指南》為標準和依據(jù),對數(shù)據(jù)安全全生命周期的過程域逐一進行解讀并提供實踐操作建議���,嘗試在目前業(yè)內(nèi)暫無DSMM成熟實踐的背景下���,為數(shù)據(jù)安全組織提供實踐指南�,以期拋磚引玉�,引導數(shù)據(jù)安全組織進行數(shù)據(jù)安全有序化、實效化建設和發(fā)展���。
讀者對象
本書適合以下讀者:
企業(yè)信息安全負責人�。
數(shù)據(jù)安全部門和數(shù)據(jù)管理部門的工作人員����。
安全風險管理人員。
安全審計��、監(jiān)管人員�����。
運維�、技術支持人員。
數(shù)據(jù)信息使用者��。
如何閱讀本書
本書共分為五篇�����,從大數(shù)據(jù)的基本概念開始引入,探討數(shù)據(jù)安全治理思路選型��,科普DSMM中三級定義下各過程域的相關要求��,并提供實踐指南和操作建議�����,后整合生成基于數(shù)據(jù)安全風險評估的量化觀察指標和建議實踐目標����。本書內(nèi)容循序漸進�、深入淺出,具備一定的實踐參考性����。
概念引入篇(第1章)從大數(shù)據(jù)的基本概念開始,簡單介紹大數(shù)據(jù)技術目前的應用情況���,以及數(shù)據(jù)采集�、分析關聯(lián)等技術流程��,從而引出大數(shù)據(jù)時代下數(shù)據(jù)的便利性�����、價值和安全隱患問題。
現(xiàn)狀討論篇(第2章)列舉國內(nèi)外數(shù)據(jù)安全事件案例��,引出數(shù)據(jù)治理�、數(shù)據(jù)安全治理的概念,介紹國內(nèi)外數(shù)據(jù)安全治理常用的思路及多個方法論����,并基于目前國內(nèi)數(shù)據(jù)安全的發(fā)展趨勢,探討技術規(guī)劃選型建議�,終以《信息安全技術 數(shù)據(jù)安全能力成熟度模型》為實踐指南進行選型。
治理選型篇(第3章和第4章)介紹大數(shù)據(jù)時代的數(shù)據(jù)安全治理思路�,并逐個介紹DSMM中3級(即充分定義級)定義下各過程域?qū)慕M織建設、人員能力���、制度流程和技術工具等相關要求�����。
實踐指南篇(第5章至第11章)是本書的核心內(nèi)容��,該篇基于美創(chuàng)科技多年數(shù)據(jù)安全治理實踐經(jīng)驗�����,對上述各過程域逐一進行解讀����,并提供實踐操作建議。
自測參考篇(第12章)基于實踐指南篇的內(nèi)容輸出��,歸納DSMM在數(shù)據(jù)安全生命周期中的所有要求�����,并整合內(nèi)容輸出可量化���、可衡量的指標,提供基于數(shù)據(jù)安全視角的數(shù)據(jù)安全測評表�����,以供組織進行自評和DSMM建設參考��,為組織后續(xù)基于DSMM相關實踐和自評提供實踐指南及參考依據(jù)��。
勘誤和支持
由于筆者水平有限����,編寫時間倉促����,不妥之處在所難免���,懇請讀者批評指正��。如果您有更多寶貴的建議或意見�,歡迎發(fā)送郵件至datasec@mchz.com.cn����,我們很期待能夠得到您的真摯反饋。
推薦序
前 言
概念引入篇
第1章 活絡之水:大數(shù)據(jù)時代的數(shù)據(jù)流動 2
1.1 數(shù)據(jù)流動時代 2
1.2 數(shù)據(jù)采集:四面八方皆來客�����,五湖四海齊聚首 4
1.2.1 系統(tǒng)日志采集 5
1.2.2 數(shù)據(jù)庫采集 9
1.2.3 網(wǎng)絡數(shù)據(jù)采集 10
1.2.4 傳感器采集 12
1.3 數(shù)據(jù)分析:鉛華褪盡留本色�,大浪淘沙始見金 12
1.3.1 監(jiān)督學習 13
1.3.2 無監(jiān)督學習 13
1.3.3 半監(jiān)督學習 15
1.4 數(shù)據(jù)關聯(lián):世事洞明皆學問,人情練達即文章 16
1.5 數(shù)據(jù)質(zhì)量與數(shù)據(jù)價值 17
現(xiàn)狀討論篇
第2章 數(shù)據(jù)無罪:大數(shù)據(jù)時代的數(shù)據(jù)安全事件 22
2.1 國內(nèi)外的數(shù)據(jù)安全事件 22
2.1.1 運營商 23
2.1.2 醫(yī)療體系 23
2.1.3 高校教育 24
2.1.4 金融體系 24
2.1.5 電子政務 25
2.1.6 社交網(wǎng)絡 25
2.1.7 企業(yè)生產(chǎn) 26
2.2 數(shù)據(jù)無罪���,治理之過 27
2.2.1 數(shù)據(jù)治理 27
2.2.2 數(shù)據(jù)安全治理 28
2.2.3 治理思路選型 32
2.2.4 信息安全��、網(wǎng)絡安全與數(shù)據(jù)安全的區(qū)別 33
治理選型篇
第3章 大數(shù)據(jù)時代的數(shù)據(jù)安全治理思路 38
3.1 以數(shù)據(jù)為中心 38
3.2 以組織為單位 39
3.3 以數(shù)據(jù)生命周期為要素 40
第4章 數(shù)據(jù)生命周期安全過程域 41
4.1 數(shù)據(jù)采集安全 41
4.1.1 數(shù)據(jù)的分類分級 41
4.1.2 數(shù)據(jù)采集安全管理 42
4.1.3 數(shù)據(jù)源鑒別及記錄 43
4.1.4 數(shù)據(jù)質(zhì)量管理 43
4.2 數(shù)據(jù)傳輸安全 44
4.2.1 數(shù)據(jù)傳輸加密 44
4.2.2 網(wǎng)絡可用性管理 45
4.3 數(shù)據(jù)存儲安全 45
4.3.1 存儲介質(zhì)安全 46
4.3.2 邏輯存儲安全 46
4.3.3 數(shù)據(jù)備份和恢復 47
4.4 數(shù)據(jù)處理安全 48
4.4.1 數(shù)據(jù)脫敏 48
4.4.2 數(shù)據(jù)分析安全 49
4.4.3 數(shù)據(jù)的正當使用 50
4.4.4 數(shù)據(jù)處理環(huán)境安全 51
4.4.5 數(shù)據(jù)導入導出安全 52
4.5 數(shù)據(jù)交換安全 52
4.5.1 數(shù)據(jù)共享安全 53
4.5.2 數(shù)據(jù)發(fā)布安全 53
4.5.3 數(shù)據(jù)接口安全 54
4.6 數(shù)據(jù)銷毀安全 55
4.6.1 數(shù)據(jù)銷毀處理 55
4.6.2 介質(zhì)銷毀處理 56
4.7 通用安全過程 56
4.7.1 數(shù)據(jù)安全策略規(guī)劃 56
4.7.2 組織和人員管理 57
4.7.3 合規(guī)管理 59
4.7.4 數(shù)據(jù)資產(chǎn)管理 60
4.7.5 數(shù)據(jù)供應鏈安全 60
4.7.6 元數(shù)據(jù)管理 61
4.7.7 終端數(shù)據(jù)安全 62
4.7.8 監(jiān)控與審計 62
4.7.9 鑒別與訪問控制 63
4.7.10 需求分析 64
4.7.11 安全事件應急 65
實踐指南篇
第5章 數(shù)據(jù)采集安全實踐 68
5.1 數(shù)據(jù)分類分級 68
5.1.1 建立負責數(shù)據(jù)分類分級的職能部門 68
5.1.2 明確數(shù)據(jù)分類分級崗位的能力要求 69
5.1.3 數(shù)據(jù)分類分級崗位的建設及人員能力的評估方法 69
5.1.4 明確數(shù)據(jù)分類分級的目的 71
5.1.5 確立數(shù)據(jù)分類分級的原則 71
5.1.6 制定數(shù)據(jù)分類分級的方法及細則 71
5.1.7 制定數(shù)據(jù)分類分級的安全策略 73
5.1.8 實施變更審核機制 73
5.1.9 使用技術工具 74
5.1.10 基于元數(shù)據(jù)類型的分類技術 74
5.1.11 基于實際應用場景的分類技術 74
5.1.12 技術工具的使用目標和工作流程 75
5.2 數(shù)據(jù)采集安全管理 76
5.2.1 建立負責數(shù)據(jù)采集安全的職能部門 77
5.2.2 明確數(shù)據(jù)采集安全崗位的能力要求 77
5.2.3 數(shù)據(jù)采集安全崗位的建設及人員能力的評估方法 77
5.2.4 明確數(shù)據(jù)采集的目的 78
5.2.5 確立數(shù)據(jù)采集的基本原則 79
5.2.6 基于大數(shù)據(jù)的采集來源 79
5.2.7 明確數(shù)據(jù)采集方式 80
5.2.8 確定數(shù)據(jù)采集周期 81
5.2.9 制定數(shù)據(jù)采集的安全策略 81
5.2.10 制定數(shù)據(jù)采集的風險評估流程 81
5.2.11 使用技術工具 82
5.2.12 基于數(shù)據(jù)庫的采集技術 82
5.2.13 基于網(wǎng)絡數(shù)據(jù)的采集技術 82
5.2.14 基于系統(tǒng)日志的采集技術 84
5.2.15 數(shù)據(jù)防泄露技術 85
5.2.16 技術工具的使用目標和工作流程 86
5.3 數(shù)據(jù)源鑒別及記錄 87
5.3.1 建立負責數(shù)據(jù)源鑒別與記錄的職能部門 87
5.3.2 明確數(shù)據(jù)源鑒別與記錄崗位的能力要求 88
5.3.3 數(shù)據(jù)源鑒別與記錄崗位的建設及人員能力的評估方法 88
5.3.4 明確數(shù)據(jù)源鑒別及記錄的目的 89
5.3.5 制定數(shù)據(jù)采集來源的管理辦法 89
5.3.6 數(shù)據(jù)溯源方法簡介 91
5.3.7 數(shù)據(jù)溯源記錄 91
5.3.8 制定數(shù)據(jù)源鑒別及記錄的安全策略 91
5.3.9 使用技術工具 92
5.3.10 基于標注和反向查詢的數(shù)據(jù)溯源技術 92
5.3.11 數(shù)據(jù)溯源中的安全防護 94
5.3.12 技術工具的使用目標和工作流程 95
5.4 數(shù)據(jù)質(zhì)量管理 96
5.4.1 建立負責數(shù)據(jù)質(zhì)量管理的職能部門 96
5.4.2 明確數(shù)據(jù)質(zhì)量管理崗位的能力要求 96
5.4.3 數(shù)據(jù)質(zhì)量管理崗位的建設及人員能力的評估方法 96
5.4.4 明確數(shù)據(jù)質(zhì)量管理的目的 97
5.4.5 數(shù)據(jù)質(zhì)量評估維度 97
5.4.6 實施數(shù)據(jù)質(zhì)量校驗 98
5.4.7 實施數(shù)據(jù)清洗 99
5.4.8 明確數(shù)據(jù)質(zhì)量管理的規(guī)范 99
5.4.9 制定數(shù)據(jù)質(zhì)量管理的實施流程 100
5.4.10 使用技術工具 100
5.4.11 數(shù)據(jù)清洗工具的原理 101
5.4.12 技術工具的使用目標和工作流程 101
第6章 數(shù)據(jù)傳輸安全實踐 103
6.1 數(shù)據(jù)傳輸加密 103
6.1.1 建立負責數(shù)據(jù)傳輸加密的職能部門 103
6.1.2 明確數(shù)據(jù)傳輸加密崗位的能力要求 104
6.1.3 數(shù)據(jù)傳輸加密崗位的建設及人員能力的評估方法 104
6.1.4 明確數(shù)據(jù)傳輸加密的目的 105
6.1.5 制定數(shù)據(jù)傳輸安全管理規(guī)范 106
6.1.6 實施數(shù)據(jù)安全等級變更審核機制 106
6.1.7 建立密鑰安全管理規(guī)范 106
6.1.8 使用技術工具 108
6.1.9 哈希算法與加密算法 108
6.1.10 加密傳輸密鑰的認證管理 111
6.1.11 構建安全傳輸通道 112
6.1.12 技術工具的使用目標和工作流程 113
6.2 網(wǎng)絡可用性管理 113
6.2.1 建立負責網(wǎng)絡可用性管理的職能部門 114
6.2.2 明確網(wǎng)絡可用性管理崗位的能力要求 114
6.2.3 網(wǎng)絡可用性管理崗位的建設及人員能力的評估方法 114
6.2.4 明確網(wǎng)絡可用性管理的目的 115
6.2.5 網(wǎng)絡可用性管理指標 116
6.2.6 提高網(wǎng)絡可用性的方法 116
6.2.7 確立網(wǎng)絡服務配置原則 117
6.2.8 制定網(wǎng)絡可用性管理規(guī)范 117
6.2.9 使用技術工具 117
6.2.10 網(wǎng)絡可用性衡量指標 118
6.2.11 網(wǎng)絡可用性管理之避錯措施 118
6.2.12 網(wǎng)絡可用性管理之容錯措施 119
6.2.13 網(wǎng)絡可用性管理之檢錯措施 123
6.2.14 網(wǎng)絡可用性管理之排錯措施 123
6.2.15 技術工具的使用目標和工作流程 123
第7章 數(shù)據(jù)存儲安全實踐 125
7.1 存儲介質(zhì)安全 125
7.1.1 建立負責存儲介質(zhì)安全的職能部門 125
7.1.2 明確存儲介質(zhì)安全崗位的能力要求 126
7.1.3 存儲介質(zhì)安全崗位的建設及人員能力的評估方法 126
7.1.4 明確存儲介質(zhì)安全管理的目的 127
7.1.5 存儲介質(zhì)的定義 127
7.1.6 存儲介質(zhì)采購規(guī)范 127
7.1.7 存儲介質(zhì)存放規(guī)范 127
7.1.8 存儲介質(zhì)運輸規(guī)范 128
7.1.9 存儲介質(zhì)使用規(guī)范 128
7.1.10 存儲介質(zhì)維修規(guī)范 129
7.1.11 存儲介質(zhì)銷毀規(guī)范 129
7.1.12 使用技術工具 130
7.1.13 存儲介質(zhì)的常見類型 130
7.1.14 存儲介質(zhì)的監(jiān)控技術 130
7.1.15 基于數(shù)據(jù)擦除的介質(zhì)凈化技術 131
7.1.16 技術工具的使用目標和工作流程 132
7.2 邏輯存儲安全 133
7.2.1 建立負責邏輯存儲安全的職能部門 133
7.2.2 明確邏輯存儲安全崗位的能力要求 133
7.2.3 邏輯存儲安全崗位的建設及人員能力的評估方法 133
7.2.4 明確邏輯存儲安全管理的目的 135
7.2.5 實施系統(tǒng)賬號管理 135
7.2.6 實行認證鑒權 136
7.2.7 采取訪問控制措施 136
7.2.8 基于邏輯存儲系統(tǒng)的病毒和補丁管理 136
7.2.9 制定日志管理規(guī)范 136
7.2.10 定期檢查存儲 137
7.2.11 明確故障管理方法 137
7.2.12 制定邏輯存儲安全配置規(guī)則 137
7.2.13 使用技術工具 138
7.2.14 安全基線核查技術 139
7.2.15 日志監(jiān)控技術 140
7.2.16 安全基線核查流程和目標 144
7.2.17 日志監(jiān)控流程和目標 145
7.3 數(shù)據(jù)備份和恢復 145
7.3.1 建立負責數(shù)據(jù)備份和恢復的職能部門 146
7.3.2 明確數(shù)據(jù)備份和恢復崗位的能力要求 146
7.3.3 數(shù)據(jù)備份和恢復崗位的建設與人員能力的評估方法 146
7.3.4 明確數(shù)據(jù)備份和恢復的目的 148
7.3.5 數(shù)據(jù)備份 148
7.3.6 明確數(shù)據(jù)備份安全管理規(guī)范 148
7.3.7 數(shù)據(jù)恢復 149
7.3.8 明確數(shù)據(jù)恢復安全管理規(guī)范 150
7.3.9 使用技術工具 151
7.3.10 不同網(wǎng)絡架構下的備份技術 151
7.3.11 數(shù)據(jù)恢復技術與安全管理 153
7.3.12 技術工具的使用目標和工作流程 154
第8章 數(shù)據(jù)處理安全實踐 155
8.1 數(shù)據(jù)脫敏 155
8.1.1 建立負責數(shù)據(jù)脫敏的職能部門 155
8.1.2 明確數(shù)據(jù)脫敏崗位的能力要求 156
8.1.3 數(shù)據(jù)脫敏崗位的建設及人員能力的評估方法 156
8.1.4 明確數(shù)據(jù)脫敏的目的 158
8.1.5 確立數(shù)據(jù)脫敏原則 158
8.1.6 數(shù)據(jù)脫敏安全管理內(nèi)容 158
8.1.7 敏感數(shù)據(jù)識別 158
8.1.8 確定脫敏方法 159
8.1.9 制定脫敏策略 160
8.1.10 執(zhí)行脫敏操作 160
8.1.11 脫敏操作的審計及溯源 160
8.1.12 使用技術工具 161
8.1.13 靜態(tài)脫敏技術 161
8.1.14 動態(tài)脫敏技術 163
8.1.15 數(shù)據(jù)脫敏技術的安全性對比 165
8.1.16 技術工具的使用目標和工作流程 165
8.2 數(shù)據(jù)分析安全 166
8.2.1 建立負責數(shù)據(jù)分析安全的職能部門 166
8.2.2 明確數(shù)據(jù)分析安全崗位的能力要求 167
8.2.3 數(shù)據(jù)分析安全崗位的建設與人員能力的評估方法 167
8.2.4 明確數(shù)據(jù)分析安全管理的目的 169
8.2.5 數(shù)據(jù)分析安全管理的內(nèi)容 169
8.2.6 明確數(shù)據(jù)分析需求 169
8.2.7 收集數(shù)據(jù) 169
8.2.8 建立數(shù)據(jù)分析模型 169
8.2.9 評估數(shù)據(jù)分析模型 170
8.2.10 實施數(shù)據(jù)分析 170
8.2.11 評估數(shù)據(jù)分析結果 170
8.2.12 使用技術工具 170
8.2.13 語法隱私保護技術 171
8.2.14 語義隱私保護技術 173
8.2.15 技術工具的使用目標和工作流程 174
8.3 數(shù)據(jù)的正當使用 174
8.3.1 建立負責數(shù)據(jù)正當使用管理的職能部門 174
8.3.2 明確數(shù)據(jù)正當使用管理崗位的能力要求 175
8.3.3 數(shù)據(jù)正當使用管理崗位的建設與人員能力的評估方法 175
8.3.4 明確數(shù)據(jù)正當使用管理的目的 177
8.3.5 數(shù)據(jù)正當使用安全管理的內(nèi)容 177
8.3.6 提交數(shù)據(jù)使用申請 177
8.3.7 評估數(shù)據(jù)使用范圍及內(nèi)容 178
8.3.8 針對數(shù)據(jù)使用范圍及內(nèi)容的審批 178
8.3.9 針對數(shù)據(jù)使用范圍及內(nèi)容的授權 178
8.3.10 記錄存檔 178
8.3.11 使用技術工具 179
8.3.12 單點登錄技術 179
8.3.13 訪問控制技術 179
8.3.14 基于統(tǒng)一認證授權的IAM技術 182
8.3.15 技術工具的使用目標和工作流程 183
8.4 數(shù)據(jù)處理環(huán)境安全 185
8.4.1 建立負責數(shù)據(jù)處理環(huán)境安全的職能部門 185
8.4.2 明確數(shù)據(jù)處理環(huán)境安全崗位的能力要求 186
8.4.3 數(shù)據(jù)處理環(huán)境安全崗位的建設及人員能力的評估方法 186
8.4.4 明確數(shù)據(jù)處理環(huán)境安全管理的目的 188
8.4.5 分布式處理節(jié)點安全 188
8.4.6 采取網(wǎng)絡訪問控制措施 188
8.4.7 賬號管理和身份認證制度要求 189
8.4.8 訪問資源授權 189
8.4.9 制定加解密處理策略 189
8.4.10 數(shù)據(jù)處理監(jiān)控 189
8.4.11 審計與溯源制度要求 190
8.4.12 使用技術工具 190
8.4.13 賬號管理和身份認證實現(xiàn)模式 191
8.4.14 網(wǎng)絡訪問控制 193
8.4.15 授權管理 194
8.4.16 監(jiān)控系統(tǒng)與審計系統(tǒng) 195
8.4.17 技術工具的使用目標和工作流程 195
8.5 數(shù)據(jù)導入導出安全 196
8.5.1 建立負責數(shù)據(jù)導入導出安全的職能部門 196
8.5.2 明確數(shù)據(jù)導入導出安全崗位的能力要求 196
8.5.3 數(shù)據(jù)導入導出安全崗位的建設及人員能力的評估方法 197
8.5.4 明確數(shù)據(jù)導入導出安全管理的目的 198
8.5.5 數(shù)據(jù)導入導出安全管理的內(nèi)容 198
8.5.6 明確導入導出的數(shù)據(jù)內(nèi)容 199
8.5.7 提交數(shù)據(jù)導入導出的申請 199
8.5.8 評估數(shù)據(jù)導入導出的范圍及內(nèi)容 199
8.5.9 針對數(shù)據(jù)導入導出范圍及內(nèi)容的授權審批 199
8.5.10 制定數(shù)據(jù)導入導出規(guī)范 200
8.5.11 明確導出數(shù)據(jù)存儲介質(zhì)的安全要求 200
8.5.12 審計與溯源 200
8.5.13 使用技術工具 200
8.5.14 多因素認證技術 201
8.5.15 訪問控制技術 201
8.5.16 數(shù)據(jù)預處理技術 202
8.5.17 技術工具的使用目標和工作流程 203
第9章 數(shù)據(jù)交換安全實踐 204
9.1 數(shù)據(jù)共享安全 204
9.1.1 建立負責數(shù)據(jù)共享安全的職能部門 204
9.1.2 明確數(shù)據(jù)共享安全崗位的能力要求 205
9.1.3 數(shù)據(jù)共享安全崗位的建設與人員能力的評估方法 205
9.1.4 明確數(shù)據(jù)共享安全管理的目的 207
9.1.5 數(shù)據(jù)共享安全管理的內(nèi)容 207
9.1.6 提交數(shù)據(jù)共享申請 207
9.1.7 評估數(shù)據(jù)共享的范圍及內(nèi)容 207
9.1.8 針對數(shù)據(jù)共享范圍及內(nèi)容的授權審批 208
9.1.9 實施數(shù)據(jù)共享 208
9.1.10 審計與溯源 208
9.1.11 使用技術工具 209
9.1.12 基于物理存儲介質(zhì)的擺渡交換技術 210
9.1.13 基于電路開關的交換技術 210
9.1.14 基于內(nèi)容過濾的交換技術 211
9.1.15 基于協(xié)議隔離的交換技術 212
9.1.16 基于物理單向傳輸?shù)慕粨Q技術 213
9.1.17 基于密碼的交換技術 213
9.1.18 技術工具的使用目標和工作流程 213
9.2 數(shù)據(jù)發(fā)布安全 214
9.2.1 建立負責數(shù)據(jù)發(fā)布安全的職能部門 215
9.2.2 明確數(shù)據(jù)發(fā)布安全崗位的能力要求 215
9.2.3 數(shù)據(jù)發(fā)布安全崗位的建設及人員能力的評估方法 215
9.2.4 明確數(shù)據(jù)發(fā)布安全管理的目的 217
9.2.5 數(shù)據(jù)發(fā)布安全管理的內(nèi)容 217
9.2.6 制定數(shù)據(jù)發(fā)布審核制度 217
9.2.7 明確數(shù)據(jù)發(fā)布監(jiān)管要求 218
9.2.8 制定數(shù)據(jù)發(fā)布事件應急處理流程 218
9.2.9 使用技術工具 219
9.2.10 隱私保護數(shù)據(jù)發(fā)布 219
9.2.11 基于匿名的隱私保護數(shù)據(jù)發(fā)布技術 220
9.2.12 基于加密的隱私保護數(shù)據(jù)發(fā)布技術 221
9.2.13 基于失真的隱私保護數(shù)據(jù)發(fā)布技術 221
9.2.14 技術工具的使用目標和工作流程 221
9.3 數(shù)據(jù)接口安全 222
9.3.1 建立負責數(shù)據(jù)接口安全的職能部門 222
9.3.2 明確數(shù)據(jù)接口安全崗位的能力要求 222
9.3.3 數(shù)據(jù)接口安全崗位的建設及人員能力的評估方法 223
9.3.4 明確數(shù)據(jù)接口安全管理的目的 225
9.3.5 制定數(shù)據(jù)接口開發(fā)規(guī)范 225
9.3.6 針對數(shù)據(jù)接口的管理和審核 225
9.3.7 審計與溯源 226
9.3.8 使用技術工具 226
9.3.9 不安全參數(shù)限制機制 227
9.3.10 時間戳超時機制 227
9.3.11 令牌授權機制 227
9.3.12 簽名機制 228
9.3.13 技術工具的使用目標和工作流程 228
第10章 數(shù)據(jù)銷毀安全實踐 229
10.1 數(shù)據(jù)銷毀處理 229
10.1.1 建立負責數(shù)據(jù)銷毀處理的職能部門 229
10.1.2 明確數(shù)據(jù)銷毀處理崗位的能力要求 230
10.1.3 數(shù)據(jù)銷毀處理崗位的建設及人員能力的評估方法 230
10.1.4 明確數(shù)據(jù)銷毀安全管理的目的 232
10.1.5 數(shù)據(jù)銷毀安全管理的內(nèi)容 232
10.1.6 明確數(shù)據(jù)銷毀審批流程 232
10.1.7 制定數(shù)據(jù)銷毀監(jiān)督流程 233
10.1.8 使用技術工具 233
10.1.9 本地數(shù)據(jù)銷毀技術 233
10.1.10 網(wǎng)絡數(shù)據(jù)銷毀技術 234
10.1.11 技術工具的使用目標和工作流程 236
10.2 介質(zhì)銷毀處理 237
10.2.1 建立負責介質(zhì)銷毀處理的職能部門 237
書單推薦
