数据安全在交付中的考虑
发布时间:2022-05-20 09:47:44 所属栏目:安全 来源:互联网
导读:这些问题的原因距离我们并不遥远,Equifax将其数据泄露归咎于应用程序的安全问题,可能在于Java应用程序的开源Apache Struts框架中已知的安全漏洞,在这之前的数据泄露则很多来自SQL注入或者其他的业务逻辑漏洞。 狭义的数据安全是指直接围绕数据的防护技术
这些问题的原因距离我们并不遥远,Equifax将其数据泄露归咎于应用程序的安全问题,可能在于Java应用程序的开源Apache Struts框架中已知的安全漏洞,在这之前的数据泄露则很多来自SQL注入或者其他的业务逻辑漏洞。 狭义的数据安全是指直接围绕数据的防护技术,主要是指的是数据的访问控制,审计,加密,脱敏等。下面几个举措可以完善数据安全性在系统或者应用构建中的实践。在业务探索和系统设计的环节,我们需要建立以数据安全性为主的分析过程,下面几点需要重点关注一下。 首先,需要明确在当前场景下法律法规的约束和要求 本文以《网络安全法》中的数据安全要求为例。涉及到技术和管理两个方面,概括起来有如下几点: 对数据访问的日志进行审计,且日志留存时间不低于六个月。 对数据进行分类,将敏感数据和普通数据区别化处理。 对重要的数据进行备份,容灾。(第21,34条) 对重要数据进行加密(第21条,31条) 对个人信息进行脱敏(第42条) 第二,需要结合数据安全目标和构建整个交付项目的数据安全评估体系 思路如下: 了解场景,做影响性评估 数据收集和数据处理的分析 数据安全实现评估 数据安全的验证和补救 第三,安全虽然现在已经逐渐和业务紧密结合,出现像态势感知、自适应安全等新的方式,但是从总体上来说,它还是来源于体系化的控制,其核心是识别风险,做出改变。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐