数据安全技术工具
技术工具架构设计
数据生命周期中所有安全域涉及到的技术工具,可以是独立的系统平台、工具、功能或算法技术等, 在规划设计时不用单独针对某个安全域,需要整体考虑。尤其涉及到通用的技术工具,需要整合,且和组织的业务系统和信息系统等进行衔接。
围绕组织业务系统和数据流,技术工具整体设计框架参考如下图:
图5:技术工具架构图
数据安全技术工具和各个安全域对应关系如下表:
表3:技术工具和PA对照表
| 阶段 | 技术工具 | 涉及 PA | 安全域 | |
|---|---|---|---|---|
| 账号管理平台 | PA1-PA27 | 编号 安全域 | ||
| 权限管理平台 | PA1-PA27 | PA01 数据分类分级 | ||
| 流程审批平台 | PA1-PA27 | PA02 数据采集安全管理 | ||
| 数据资产管理平 台 | PA1-PA27 | PA03 数据源鉴别及记录 PA04 数据质量管理 | ||
| 监控/审计平台 | PA1-PA27 | PA05 数据传输加密 | ||
| 日志管理平台 | PA1-PA27 | PA06 网络可用性管理 | ||
| 通用 | 数据供应链管理 平台 | PA1-PA05, PA14-PA19 | PA07 存储介质安全 PA08 逻辑存储安全 | |
| 数据安全门户 | PA1-PA27 | PA09 数据备份和恢复 | ||
| 元数据管理平台 | PA1-PA27 | PA10 数据脱敏 | ||
| 数据血缘管理 | PA1-PA27 | PA11 数据分析安全 | ||
| 数据质量监控 | PA1-PA17, PA23-PA25 | PA12 数据正当使用 | ||
| PA13 数据处理环境安全 | ||||
| 安全合规管理 | PA02、 PA16、 PA22 | PA14 数据导入导出安全 | ||
| 数据采集 | 数据分类分级 | PA01 | PA15 数据共享安全 PA16 数据发布安全 | |
| 数据源认证 | PA02、 PA03 | |||
| 数据传输 | 加密技术 | PA05 | PA17 数据接口安全 PA18 数据销毁处置 | |
| 脱敏技术 | ||||
| 数据存 储 | 加密技术 | PA07、 PA08、 P09 | PA19 介质销毁处置 PA20 数据安全策略 PA21 人力资源安全 | |
| 密钥管理 | PA07、 PA08 | |||
| 备份/恢复 | PA09 | |||
| PA22 合规管理 PA23 数据资产管理 | ||||
| 数据处理 | 加密技术 | PA10-PA14 | PA22 合规管理 PA23 数据资产管理 | |
| 脱敏技术 | ||||
| PA24 数据供应链安全 PA25 元数据安全 | ||||
| 数据交换 | 数据接口管理 | PA17 | ||
| 数据交换监控 | PA14-PA16 | |||
| PA26 终端数据安全 PA27 监控与审计 | ||||
| 数据销毁 | 数据清理/销毁 | PA18 | ||
| 介质清理/销毁 | PA19 |
技术工具架构说明
业务系统
业务系统是组织业务运行的信息系统,包括前台应用、后台数据库和管理平台等等,支撑数据从采集、 存储、传输、处理、交换到销毁整个生命周期过程,几乎所有数据安全的技术工具都要对接并运用在这些 信息系统上。
通用技术工具
通用技术工具是指所有或绝大部分生命周期阶段(或安全域)都要用到的技术工具,或者是数据安全 管理的基础平台,或者是整合数据安全管理信息和入口的门户网站等。比如身份和权限控制平台,所有业 务系统和管理平台要接入进行统一控制;日志管理平台,需要从所有业务系统和管理平台采集系统和访问 者操作日志,并统一日志规范以方便后续监控和审计。
各阶段技术工具
各阶段技术工具,仅部分生命周期阶段(或安全域)适用的技术工具,或者是一些单独的算法技术和 功能模块,只对接或应用到部分信息系统和管理平台。比如数据分分级打标工具,对数据资产进行打标; 比如数据安全接口管理,对数据库接口调用安全进行管理;比如加密技术,脱敏技术,应用在数据存储和 传输等过程。