大数据业务与技术典型风险场景与应对措施

admin 2023年6月5日14:32:59评论58 views字数 1545阅读5分9秒阅读模式

数据安全风险场景与应对措施系列包含大数据业务安全大数据技术安全数据生命周期安全内部人员安全第三方合作安全第三方人员安全六大部分本文是其中大数据业务与技术安全两部分

数据安全风险场景与应对措施全部内容视频分享可扫下方二维码观看

大数据业务风险与应对措施

▼▼风险场景分析
  • 个人隐私信息泄露

包括个人隐私数据身份数据行为数据被非法查询泄露与买卖等风险

  • 用户权益损失投诉

包括个人隐私泄露投诉垃圾短信用户投诉营销电话骚扰投诉等风险

  • 内部原始数据泄露

包括由于业务模式业务合作导致的数据泄露以及内部人员盗取数据等风险

  • 违规获取外部数据

包括违规购买外部数据恶意爬去外部数据违规采集用户数据等风险

  • 缺乏业务风险管控机制

包括缺乏个人隐私保护法律法规合规安全合规风险等评估机制与措施

  • 业务运营管理过程不规范

包括敏感数据缺乏监测人员操作缺乏审计运营过程缺乏规范等风险

▼▼风险控制措施

管理层面措施包括制定业务安全规范和数据安全规范,建立业务安全评估机制、数据安全评审机制、产品上线评审机制以及投诉机制等

技术层面措施包括建设业务运营管理系统、投诉热线处理系统以提高效率。

▼▼关键控制要点

建业务安全管理制度及风险控制机制,部分措施与数据生命周期管控会有重合:

  • 建立业务安全风险审核机制,安全团队进行风险评估,法律团队进行合规评估。
  • 以个人隐私保护、用户权益保障为主要考量,定义禁止开展以及可以开展的业务类型、业务开展所需用户授权,业务运营过程的注意事项。
  • 对于外部获取数据需要重点关注,是否违规购买、恶意爬取以及恶意采集等。
  • 建立用户投诉机制,根据投诉内容分析业务安全风险,及时调整相关安全措施。
  • 业务需求、上线、运营全过程安全都需要掌控。

大数据技术风险与应对措施

▼▼风险场景分析
  • 开源组件源代码安全漏洞

包括开源组建使用数量多存在安全漏洞多漏洞修复时间长所带来的风险

  • 身份认证弱造成非法访问

包括用户认证依赖操作系统客户端与Web接入认证默认不启用所带来的风险

  • 缺乏有效的访问控制机制

包括用户访问权限应用程序权限缺乏细颗粒度访问控制所带来的风险

  • 安全防护措施难适配问题

包括大数据技术环境造成数据加密水印数据审计等安全技术措施难以适配所带来的风险

  • 大数据组件版本兼容问题

包括应用组件版本过低补丁不能及时更新版本兼容性问题所带来的风险

  • 大数据集群管理不规范

包括大数据集群运行管理不规范资源状态监控不规范告警处置不规范所带来的风险

▼▼风险控制措施

管理层面措施包括建立开发安全管理规范安全基线配置规范以及系统上线安全评审机制等

技术层面措施包括建立主机安全防护、开源成分分析、安全漏洞扫描、认证授权、日志审计等措施

▼▼关键控制要点

建立开发安全管理体系,针对大数据组件建立安全配置基线:
  • 开发安全并无特殊需求,重点关注安全需求规范、开源组件风险以及上线前安全评审。
  • 建立大数据组件安全配置基线,并融入开发过程。

技术措施方面围绕着开源组件安全、漏洞及安全配置基线以及授权认证与审计展开:
  • 部署开源软件成分分析,综合评估开源组件的版本兼容、安全漏洞、补丁更新等因素。
  • 大数据组件的漏洞与配置安全已经很多针对性产品,主机安全防护(HIDS)也能起到部分作用。
  • 认证授权可以部署开源组件,但推荐使用第三方商用认证授权产品。
  • 大数据审计产品需要考虑流量采集、组件适配问题。

作者:李鹏飞(转载请获本人授权,并注明作者与出处)

 扩展  •  本文相关链接  

 《典型数据安全风险场景及应对措施》分享内容PPT以及视频回放

 这些年我对安全成熟度模型的一点点思考

 透过等保2.0,解读网络安全建设新趋势

 基于主动防御能力,建设安全运营体系的一点思考

欢迎加入知识星球

获取更多资源与话题讨论

大数据业务与技术典型风险场景与应对措施

阅读更多文章▼▼
 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日14:32:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大数据业务与技术典型风险场景与应对措施https://cn-sec.com/archives/1783355.html

发表评论

匿名网友 填写信息