免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

前言

    隨著數(shù)據(jù)時(shí)代的發(fā)展和人們對(duì)數(shù)據(jù)認(rèn)識(shí)的深化，很多企業(yè)已經(jīng)將數(shù)據(jù)作為重要資產(chǎn)來(lái)看待。尤其大型集團(tuán)企業(yè)，經(jīng)過多年的信息化建設(shè),已積累了大量的業(yè)務(wù)數(shù)據(jù)。特別是客戶、供應(yīng)商等包含的隱私數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、企業(yè)考核信息與審計(jì)報(bào)告等大量重要數(shù)據(jù)。企業(yè)在利用大數(shù)據(jù)分析和挖掘時(shí)，既帶來(lái)巨大的商業(yè)價(jià)值,但也不可避免地泄露相關(guān)信息。因此，數(shù)據(jù)和信息安全對(duì)企業(yè)發(fā)展與核心競(jìng)爭(zhēng)力打造將具有重要影響。《工業(yè)企業(yè)數(shù)據(jù)分類分級(jí)指南》要求加強(qiáng)信息資源管理與控制,強(qiáng)調(diào)要進(jìn)行分級(jí)分類管理。《貴州省政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級(jí)指南》將政府?dāng)?shù)據(jù)依照主題、行業(yè)等進(jìn)行分類,同時(shí)將數(shù)據(jù)安全進(jìn)行了等級(jí)劃分,但是缺少級(jí)別的界定,存在分類與分級(jí)合并上的不足。

    目前，投資管控型企業(yè)面對(duì)海量的數(shù)據(jù),其安全防護(hù)體系面對(duì)極大挑戰(zhàn)，主要問題表現(xiàn)在：

    ①企業(yè)在建立業(yè)務(wù)系統(tǒng)過程中,為保證系統(tǒng)的安全,針對(duì)各系統(tǒng)均增加了安全防護(hù)設(shè)施,從而形成多個(gè)安全防護(hù)屏障,形成孤島效應(yīng),這些既給公司增加了安全管理難度,同時(shí)也缺乏以數(shù)據(jù)為視角的安全保護(hù)體系；

    ②企業(yè)沒有明確數(shù)據(jù)價(jià)值高低的方法，對(duì)于種類繁多的數(shù)據(jù)安全防護(hù)的粒度較粗,從而造成高價(jià)值數(shù)據(jù)保護(hù)力度不夠；

所以,在大數(shù)據(jù)的環(huán)境下的安全防護(hù)和在一定安全范圍內(nèi)應(yīng)用數(shù)據(jù)是企業(yè)亟需解決的難題。

    數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全的基石,做好分類分級(jí)才能確保數(shù)據(jù)以適當(dāng)?shù)耐度氡３趾线m的控制水平。數(shù)據(jù)分類分級(jí)管理有助于在國(guó)家規(guī)定下加強(qiáng)對(duì)企業(yè)數(shù)據(jù)的統(tǒng)籌管理,實(shí)現(xiàn)數(shù)據(jù)在一定安全防范下的開放和價(jià)值共享。

    數(shù)據(jù)分級(jí)的目標(biāo)是確保信息按照其對(duì)組織的重要程度受到適當(dāng)?shù)谋Ｗo(hù)。數(shù)據(jù)應(yīng)按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)。

    一、數(shù)據(jù)分類

    投資管控型企業(yè)的數(shù)據(jù)資產(chǎn)分類橫向覆蓋到業(yè)務(wù)信息系統(tǒng),縱向由業(yè)務(wù)職能延至具體的活動(dòng)。投資業(yè)務(wù)范圍涵蓋客戶信息、項(xiàng)目數(shù)據(jù)、銷售數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、人力數(shù)據(jù)、考核數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)等;業(yè)務(wù)類別包含設(shè)計(jì)數(shù)據(jù)、施工數(shù)據(jù)、養(yǎng)護(hù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、考核數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)等;可以基于數(shù)據(jù)資產(chǎn)的業(yè)務(wù)過程,從數(shù)據(jù)域、業(yè)務(wù)職能、業(yè)務(wù)過程域到業(yè)務(wù)活動(dòng)進(jìn)行數(shù)據(jù)分類。

    按照數(shù)據(jù)域進(jìn)行分類是從企業(yè)整體考慮,以信息系統(tǒng)管理部門作為保障,根據(jù)不同部門設(shè)置數(shù)據(jù)域。按照職能域進(jìn)行分類主要考慮業(yè)務(wù)活動(dòng)的抽象。根據(jù)不同部門涉及的職能領(lǐng)域劃分?jǐn)?shù)據(jù)子類。按照業(yè)務(wù)的過程域進(jìn)行分類,主要是為了業(yè)務(wù)目標(biāo)需要進(jìn)行的業(yè)務(wù)過程,同時(shí)在業(yè)務(wù)的職能域下設(shè)置過程域?yàn)樾☆悺Ｆ髽I(yè)的業(yè)務(wù)活動(dòng)是產(chǎn)生業(yè)務(wù)數(shù)據(jù)的最直接過程。數(shù)據(jù)將會(huì)誕生于數(shù)據(jù)域或職能域。

    二、數(shù)據(jù)分級(jí)

    根據(jù)ISO27001體系的核心思想:安全三要素保密性、完整性、可用性(Confidentiality、Integrity、 Availability,CIA),數(shù)據(jù)資產(chǎn)評(píng)價(jià)可由三要素的賦值情況來(lái)判定。根據(jù)CIA的賦值和權(quán)重能夠計(jì)算出反映數(shù)據(jù)的業(yè)務(wù)價(jià)值,并結(jié)合數(shù)據(jù)的涉密性完成等級(jí)分類。依據(jù)投資管控型集團(tuán)的特征,設(shè)計(jì)信息的價(jià)值公式:V＝Round１{log２[(A×２^Conf＋B×２^Int＋C×２^Ava)/３]}

    其中:A代表保密性的權(quán)值;B代表完整性的權(quán)值;C代表可用性的權(quán)值;根據(jù)管理保密性、完整性和可用性可分為低、中、高和非常高4個(gè)等級(jí)；Round１代表保留一位小數(shù)。從投資管控型集團(tuán)的業(yè)務(wù)性質(zhì)和數(shù)據(jù)資產(chǎn)價(jià)值的全盤分布等方面綜合考慮,類比電信行業(yè)的評(píng)分規(guī)律,給出CIA三屬性權(quán)重的主要參考:A＝1.6８,B＝0.71,C＝0.69。

    經(jīng)過資產(chǎn)價(jià)值計(jì)算后可依據(jù)下表進(jìn)行分級(jí)。

    因此,數(shù)據(jù)資產(chǎn)分級(jí)操作的具體方法如下:

    ① 基于以上算法的分類結(jié)果,進(jìn)行業(yè)務(wù)數(shù)據(jù)識(shí)別,從而確定該數(shù)據(jù)相對(duì)應(yīng)的業(yè)務(wù)過程;

    ②依照分類與CIA 的權(quán)重與賦值,從而使數(shù)據(jù)資產(chǎn)得到合理估值;

    ③依照數(shù)據(jù)信息的對(duì)應(yīng)的價(jià)值與保密性,形成最后的級(jí)別。

    三、數(shù)據(jù)安全防護(hù)

    從數(shù)據(jù)防護(hù)過程角度特分為事前防護(hù)、事中防護(hù)、事后處置。

    1、事前防護(hù)———數(shù)據(jù)加密

    投資管控型企業(yè)的數(shù)據(jù)可根據(jù)上述分級(jí)模型,從價(jià)值差異化的角度,劃分為高敏感、敏感、內(nèi)部和公共４個(gè)等級(jí)。此等級(jí)的安全性由高到低,可考慮不同的加密技術(shù)。綜合安全性考慮采用如下的加密算法。

    高敏感數(shù)據(jù)屬于企業(yè)高級(jí)機(jī)密信息,安全需要的保護(hù)級(jí)別最高,必須采用最高強(qiáng)度加密算法。在國(guó)內(nèi)尚無(wú)自主研發(fā)的AES加密設(shè)備情況下,可采用美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布的高級(jí)加密標(biāo)準(zhǔn)。

    敏感數(shù)據(jù)則是企業(yè)機(jī)密信息,需較高強(qiáng)度加密算法。敏感數(shù)據(jù)也可采用國(guó)密SM４進(jìn)行加密,國(guó)密SM４普遍得到認(rèn)可。

    內(nèi)部數(shù)據(jù)主要是在企業(yè)內(nèi)部流轉(zhuǎn),利用輕量級(jí)的密碼硬軟件較為有優(yōu)勢(shì)。Speck算法為輕量級(jí)密碼算法的典型代表,可以用該算法對(duì)內(nèi)部數(shù)據(jù)進(jìn)行防護(hù)加密。

    公共數(shù)據(jù)也是企業(yè)數(shù)據(jù)資產(chǎn)的一個(gè)組成部分, 對(duì)公眾開放。因此,無(wú)需加密處理。在數(shù)據(jù)被訪問之前作為加密的手段確保數(shù)據(jù)泄露,在數(shù)據(jù)導(dǎo)出顯示之前,通過加密方式防止數(shù)據(jù)被隨意使用。

    2、事中防護(hù)———數(shù)據(jù)防泄漏

    事中防護(hù)的主要是針對(duì)數(shù)據(jù)在使用的過程中, 判斷是否有違規(guī)訪問,同時(shí)可以通過有敏感信息的監(jiān)測(cè)是否有違規(guī)訪問。當(dāng)用戶借應(yīng)用Server或PC 向數(shù)據(jù)庫(kù)發(fā)出訪問請(qǐng)求時(shí),相關(guān)的查詢語(yǔ)句要通過數(shù)據(jù)庫(kù)防護(hù)服務(wù)器的監(jiān)聽;網(wǎng)絡(luò)防護(hù)服務(wù)器監(jiān)測(cè)數(shù)據(jù)庫(kù)防護(hù)器解析的查詢語(yǔ)句中是否包含違規(guī)訪問, 并采取一定的監(jiān)聽及阻斷行動(dòng),進(jìn)而生成審計(jì)日志, 審計(jì)日志將上傳至數(shù)據(jù)安全管理平臺(tái),用于取證,將原有計(jì)劃的模塊在數(shù)據(jù)庫(kù)中的保密級(jí)別表對(duì)應(yīng)檢查出預(yù)警點(diǎn),從而實(shí)現(xiàn)分級(jí)防泄漏,。

    3、事后處置———追蹤取證

    安全管控平臺(tái)捕獲到告警事件,將迅速匹配數(shù)據(jù)實(shí)體,捕捉到相關(guān)信息鏈,從而精確找到用戶,告警事件的警戒的效率與日志處理的方式息息相關(guān)。

    日志收集 →日志處理 →日志存儲(chǔ) →追蹤取證

    日志收集:可利用xml方式去收集系統(tǒng)中的產(chǎn)生的數(shù)據(jù)行為日志;

    日志處理:規(guī)范化處理日志;

    日志存儲(chǔ):利用當(dāng)前大數(shù)據(jù)技術(shù)開發(fā)專門的存儲(chǔ)平臺(tái),并作時(shí)間標(biāo)記;

    追蹤取證:發(fā)生警告后,快速根據(jù)事件檢索與事件相關(guān)的所有數(shù)據(jù)日志的信息,定位問題,從而追究原因。

    四、結(jié)束語(yǔ)

    數(shù)據(jù)的分級(jí)分類的管理逐漸到企業(yè)數(shù)據(jù)資產(chǎn)管理部門的高度重視,并且得到高層領(lǐng)導(dǎo)的關(guān)注,最新出臺(tái)的網(wǎng)絡(luò)安全法、個(gè)人隱私保護(hù)法草案對(duì)企業(yè)數(shù)據(jù)管理要求越來(lái)越高。無(wú)論是高估還是低估數(shù)據(jù)的價(jià)值,都會(huì)引起企業(yè)數(shù)據(jù)的不準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估。只有科學(xué)的對(duì)數(shù)據(jù)分類分級(jí)，在數(shù)據(jù)安全的范圍內(nèi)得以有效利用，規(guī)避監(jiān)管風(fēng)險(xiǎn)和數(shù)據(jù)泄露風(fēng)險(xiǎn)等，才能最大限度發(fā)揮數(shù)據(jù)應(yīng)用的價(jià)值。