国产精品美女久久久,国产熟女高潮免费视频亚洲综合eee4444 ,离婚了天天跑去日前妻

首頁 > 新聞資訊 > 行業(yè)新聞

數(shù)據(jù)安全治理 | 開放API數(shù)據(jù)安全解決方案

2021-3-19 0:00:00瀏覽量：2777編輯：管理員來源：天暢

2020年4月9日，中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，要求“加快培養(yǎng)數(shù)據(jù)要素”，將數(shù)據(jù)作為新型生產(chǎn)要素，正式與土地、勞動力、資本、技術(shù)等傳統(tǒng)生產(chǎn)要素并列為國家基礎(chǔ)戰(zhàn)略性資源和社會生產(chǎn)創(chuàng)新要素之一。

目前部分消費者和金融機(jī)構(gòu)數(shù)據(jù)保護(hù)意識相對不足，對數(shù)據(jù)泄露環(huán)節(jié)和危害認(rèn)識不到位，而不法分子竊取數(shù)據(jù)的手段卻不斷翻新，從面對面誘騙到遠(yuǎn)程網(wǎng)絡(luò)攻擊，從木馬病毒到短信嗅探，個人隱私泄露等安全事件頻頻發(fā)生，甚至危及人民群眾生命財產(chǎn)安全，數(shù)據(jù)安全保護(hù)刻不容緩。

01、目標(biāo)與價值

使用《金字塔原理》中的SCAQ方法來說明為什么要做這件事？S（Situation）情景：

這次數(shù)據(jù)泄露是因為這個接口沒有鑒權(quán)并且過度暴露了敏感數(shù)據(jù)。

C（Complication）沖突：

公司涉敏資產(chǎn)安全可控嗎？它們在哪里、有什么風(fēng)險、是否有保護(hù)措施都不是很清楚。

Q（Question）疑問：

有什么辦法能全局收斂這類風(fēng)險呢？

A（Answer）回答：

我們的解決方案是通過建立資產(chǎn)平臺、建設(shè)統(tǒng)一的涉敏資產(chǎn)識別能力，對涉敏資產(chǎn)進(jìn)行風(fēng)險評估，推動方案措施落地持續(xù)收斂風(fēng)險。

02、治理思路

以數(shù)據(jù)為中心的數(shù)據(jù)安全治理理念，如下圖：

從業(yè)務(wù)發(fā)展策略出發(fā)，梳理高價值數(shù)據(jù)以及他們應(yīng)用的現(xiàn)狀
根據(jù)數(shù)據(jù)等級，結(jié)合人、數(shù)、場三個維度制定數(shù)據(jù)安全策略
最后通過各個域的安全產(chǎn)品落地執(zhí)行安全策略

數(shù)據(jù)安全方案總體結(jié)構(gòu)

本文以開放API數(shù)據(jù)安全方案為例，講述如何，通過涉敏資產(chǎn)識別、評估風(fēng)險，及一系列治理措施達(dá)到風(fēng)險收斂目的。

03、開放API數(shù)據(jù)安全治理方案

1）哪些數(shù)據(jù)需要重點治理？治理的整體策略是什么？

涉敏資產(chǎn)識別，從實踐來看，從流量、數(shù)據(jù)存儲兩個端側(cè)分別進(jìn)行識別效果較好，“流量端”主要基于特征規(guī)則識別流量中包含敏感字段的接口，如在請求request、響應(yīng)response中包含個人信息等敏感字段的；“數(shù)據(jù)存儲端”利用數(shù)據(jù)庫敏感字段掃描工具進(jìn)行掃描識別敏感表，然后建立敏感表與上層應(yīng)用的直接調(diào)用關(guān)系，識別出“根”服務(wù)，進(jìn)而通過“根”服務(wù)繼續(xù)梳理出調(diào)用“根”服務(wù)的下游服務(wù)，與“流量側(cè)”打通無縫對接上，進(jìn)而形成涉敏服務(wù)調(diào)用鏈，即：涉敏數(shù)據(jù)庫表→“根”服務(wù)→服務(wù)（省略中間件、緩存服務(wù)等）→邊界接口。

數(shù)據(jù)定義

通用型敏感數(shù)據(jù)：姓名、手機(jī)號、身份證號、地址、護(hù)照、郵箱、銀行卡號、IMEI、IP等

業(yè)務(wù)型敏感數(shù)據(jù)：優(yōu)惠券信息、話單信息等

數(shù)據(jù)開放策略

隱私政策：隱私數(shù)據(jù)共享的范圍和用途

出境合規(guī)：數(shù)據(jù)出境策略

集團(tuán)策略：制定的數(shù)據(jù)開放政策

2）這些數(shù)據(jù)在什么場景下開放使用？數(shù)據(jù)應(yīng)用場景識別

利用機(jī)器學(xué)習(xí)算法對API的敏感數(shù)據(jù)流動事件進(jìn)行標(biāo)記，直接關(guān)聯(lián)定位敏感數(shù)據(jù)應(yīng)用場景，可覆蓋數(shù)據(jù)中心到互聯(lián)網(wǎng)的數(shù)據(jù)流動

數(shù)據(jù)接口標(biāo)識

通用型敏感數(shù)據(jù)：內(nèi)置數(shù)據(jù)識別算法和敏感接口識別策略，自動識別

業(yè)務(wù)型敏感數(shù)據(jù)：基于人工調(diào)研分析構(gòu)建樣本，利用小樣本學(xué)習(xí)算法構(gòu)建識別引擎，通過插件模式嵌入平臺

3）這些數(shù)據(jù)有沒有安全風(fēng)險？

從數(shù)據(jù)安全視角出發(fā)，以滿足業(yè)務(wù)需求的最小夠用原則（數(shù)據(jù)最小化、權(quán)限最小化）、可追溯原則對涉敏資產(chǎn)進(jìn)行風(fēng)險評估。

數(shù)據(jù)暴露面風(fēng)險

利用算法識別文件下載接口、疑似后門接口、違規(guī)數(shù)據(jù)開放接口、失活接口

數(shù)據(jù)接口設(shè)計風(fēng)險

利用算法識別脫敏策略不一致接口、過度數(shù)據(jù)透出接口、疑似越權(quán)風(fēng)險接口等

數(shù)據(jù)流動風(fēng)險

利用算法識別數(shù)據(jù)出境流動風(fēng)險、數(shù)據(jù)濫用風(fēng)險等

4）現(xiàn)有數(shù)據(jù)安全措施是否足夠？數(shù)據(jù)安全加固手段

管理：

數(shù)據(jù)接口設(shè)計規(guī)范：建立數(shù)據(jù)接口設(shè)計安全規(guī)范
數(shù)據(jù)開放管理：規(guī)范數(shù)據(jù)開放流程和制度
數(shù)據(jù)暴露面脆弱性管理：推動開發(fā)部門業(yè)務(wù)系統(tǒng)存在的數(shù)據(jù)接口權(quán)限等漏洞。
數(shù)據(jù)暴露面收縮，采用數(shù)據(jù)脫敏、下線高風(fēng)險接口、收縮接口數(shù)據(jù)透出
數(shù)據(jù)開放合作伙伴管理

技術(shù)：

API網(wǎng)關(guān)動態(tài)數(shù)據(jù)保護(hù)

04、重點功能示例

01開放API接口梳理和敏感數(shù)據(jù)標(biāo)記

全局概覽

接口梳理

endpoint	數(shù)據(jù)類型
/user_info	姓名/手機(jī)號/余額
/merchant_info	公司名/工商id

參數(shù)梳理

方法	參數(shù)組合	VALUE TYPE
GET	uid	Type A
GET	token	Type C
GET	ts	Unix time

02數(shù)據(jù)暴露面和數(shù)據(jù)接口設(shè)計風(fēng)險

03數(shù)據(jù)流動風(fēng)險監(jiān)測

安全審計人員

第三方共享：是否擔(dān)心數(shù)據(jù)違規(guī)共享到第三方
數(shù)據(jù)出境：是否擔(dān)心大量個人隱私數(shù)據(jù)出境，違規(guī)國家數(shù)據(jù)出境管理辦法
數(shù)據(jù)濫用：是否擔(dān)心合作伙伴濫用數(shù)據(jù)接口爬取數(shù)據(jù)

多維度數(shù)據(jù)流動風(fēng)險檢測

細(xì)粒度還原數(shù)據(jù)流動事件：數(shù)據(jù)類型、數(shù)據(jù)去向（IP/賬號）、數(shù)據(jù)內(nèi)容、時間、接口，支持多維度判斷數(shù)據(jù)共享的合規(guī)性和影響面
UEBA監(jiān)控數(shù)據(jù)行為，支持縱向群組對比、橫向歷史行為對比

上一篇：中標(biāo)喜訊 | 天暢信息中標(biāo)某銀行股份有限公司平臺項目構(gòu)建可視..

下一篇：行業(yè)動態(tài) | 強(qiáng)制性國標(biāo)GB40050-2021《網(wǎng)絡(luò)關(guān)鍵設(shè)備..

快分享給好友吧！

久久综合给合久久,色偷偷久久9999kkkk,欧美阿V大胆视频在线观看,99久久精品免费看国产一区二

服務(wù)熱線

020-38921330

數(shù)據(jù)安全治理 | 開放API數(shù)據(jù)安全解決方案