数据安全风险场景与应对措施系列包含大数据业务安全、大数据技术安全、数据生命周期安全、内部人员安全、第三方合作安全、第三方人员安全六大部分,本文是其中大数据业务与技术安全两部分。
数据安全风险场景与应对措施全部内容视频分享可扫下方二维码观看:
大数据业务风险与应对措施
-
个人隐私信息泄露
包括个人隐私数据、身份数据、行为数据被非法查询、泄露与买卖等风险。
-
用户权益损失投诉
包括个人隐私泄露投诉、垃圾短信用户投诉、营销电话骚扰投诉等风险。
-
内部原始数据泄露
包括由于业务模式、业务合作导致的数据泄露,以及内部人员盗取数据等风险。
-
违规获取外部数据
包括违规购买外部数据、恶意爬去外部数据、违规采集用户数据等风险。
-
缺乏业务风险管控机制
包括缺乏个人隐私保护、法律法规合规、安全合规风险等评估机制与措施。
-
业务运营管理过程不规范
包括敏感数据缺乏监测、人员操作缺乏审计、运营过程缺乏规范等风险。
▼▼风险控制措施
管理层面措施包括制定业务安全规范和数据安全规范,建立业务安全评估机制、数据安全评审机制、产品上线评审机制以及投诉机制等。
技术层面措施包括建设业务运营管理系统、投诉热线处理系统以提高效率。
▼▼关键控制要点
建业务安全管理制度及风险控制机制,部分措施与数据生命周期管控会有重合:
-
建立业务安全风险审核机制,安全团队进行风险评估,法律团队进行合规评估。 -
以个人隐私保护、用户权益保障为主要考量,定义禁止开展以及可以开展的业务类型、业务开展所需用户授权,业务运营过程的注意事项。 -
对于外部获取数据需要重点关注,是否违规购买、恶意爬取以及恶意采集等。 -
建立用户投诉机制,根据投诉内容分析业务安全风险,及时调整相关安全措施。 -
业务需求、上线、运营全过程安全都需要掌控。
大数据技术风险与应对措施
-
开源组件源代码安全漏洞
包括开源组建使用数量多、存在安全漏洞多、漏洞修复时间长所带来的风险。
-
身份认证弱造成非法访问
包括用户认证依赖操作系统,客户端与Web接入认证默认不启用所带来的风险。
-
缺乏有效的访问控制机制
包括用户访问权限、应用程序权限缺乏细颗粒度访问控制所带来的风险。
-
安全防护措施难适配问题
包括大数据技术环境造成数据加密、水印、数据审计等安全技术措施难以适配所带来的风险。
-
大数据组件版本兼容问题
包括应用组件版本过低、补丁不能及时更新、版本兼容性问题所带来的风险。
-
大数据集群管理不规范
包括大数据集群运行管理不规范、资源状态监控不规范、告警处置不规范所带来的风险。
▼▼风险控制措施
管理层面措施包括建立开发安全管理规范、安全基线配置规范以及系统上线安全评审机制等。
技术层面措施包括建立主机安全防护、开源成分分析、安全漏洞扫描、认证授权、日志审计等措施。
▼▼关键控制要点
-
开发安全并无特殊需求,重点关注安全需求规范、开源组件风险以及上线前安全评审。 -
建立大数据组件安全配置基线,并融入开发过程。
-
部署开源软件成分分析,综合评估开源组件的版本兼容、安全漏洞、补丁更新等因素。 -
大数据组件的漏洞与配置安全已经很多针对性产品,主机安全防护(HIDS)也能起到部分作用。 -
认证授权可以部署开源组件,但推荐使用第三方商用认证授权产品。 -
大数据审计产品需要考虑流量采集、组件适配问题。
欢迎加入知识星球
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论