文库搜索
切换导航
首页
频道
首页
批量下载
业务数据安全实践 廖威 背景 2018年数据泄露事件一隅 1. Aadhaar——10亿条 2. 圆通——10亿 3. 华住——5亿 4. UnderArmour——1.5亿 5. MyHeritage——9200万 6. Facebook——8700万 7. Panera——3700万 8. Ticketfly——2700万 9. Sacramento Bee——1950万 10.AcFun——800万 Equifax数据泄漏 struts2漏洞 2.14 struts2漏洞爆发 3.7 被入侵 5.13 高层辞职 10.2 宣布对外 9.7 讨论对外通知 9.1 发现异常 7.29 确定影响范围 8.3 关闭网站 7.30 事件分析 影响调查 7.31 目录 1.数据安全感悟 2.数据安全组织与管理 3.数据安全人员与技术 数据安全感悟 2011 2015 2017 至今 数据分类 数据加密 分类分级 全面加密 持续整改 数据安全感悟 1.未雨绸缪 提前做好制度技术储备 2.自上而下与自下而上结合 尚方宝剑 3.天时地利 风险上报、合规检查 数据安全 数据安全原则: ü 进不来 ü 拿不走 ü 看不懂 ü 改不了 ü 走不脱 数据安全模型: 目录 1.数据安全感悟 2.数据安全组织与管理 3.数据安全人员与技术 数据安全组织与管理 公司高管重视数据安全 自上而下实施数据策略 数据安全组织与管理 参考 ISO 27001 建立数据安全管理体系 方针总纲 • 一级文件 管理制度办法 操作流程、规范,工作模板 检查记录日志,审计报告 • 二级文件 • 三级文件 • 四级文件 目录 1.数据安全感悟 2.数据安全组织与管理 3.数据安全人员与技术 数据安全技术与人员 数据保护原则:纵深防御 数据的生命周期一般分为: • 采集 • 传输 • 存储 • 处理 • 交换 • 销毁 数据安全:数据采集 数据采集为实现支付交易、金融认证授权、风险控制、信用服务等目的, 对敏感数据进行获取和记录的过程。 1.数据采集规则 采集目的、用途、方式、范围,是否合规授权 2.数据采集防护 安全措施:敏感数据需要加密;防止第三方攻击 3.数据分类分级 根据数据被泄露或修改后对用户或公司造成的影响程度, 分为两类三级 数据安全:数据采集 数据安全:数据传输 数据传输是已获取的数据在已获授权机构或企业的系统内或系统间转移的过程。 安全传输需保障数据:保密性,完整性,抗抵赖。 1.网络层 ipsec VPN、专线 2.传输层 HTTPS/TLS 3.应用层 端到端加密 数据安全:数据存储 数据存储是指已获取的数据在已获授权机构或企业的系统内保存的过程。 安全存储需保障数据:保密性、完整性、可用性。 1.数据存储加密方式 物理所在地、数据标签、分层加密 2.加密密钥管理 三级密钥管理体系 3.加密算法使用 三种加密算法使用 数据安全:数据存储 数据存储分层加密,确保每层数据被攻破,数据还是保密的。 1.操作系统层 使用硬件或软件对OS级别进行透明加密 2.分区层 对某个分区进行加密 3.应用层 对数据库文件进行加密 4.业务层 对业务数据一组一密 数据安全:数据存储之密钥 数据安全加密核心在于:密钥与算法。加密一般建 议使用公开算法,通过密钥的私密性确保数据安全。 我们使用三级密钥管理体系管理密钥以及解决加密 数据搜索问题。 1.密钥加密管理 2.密钥定期更换 3.密钥授权与审计 数据安全:数据存储之算法 加密算法一般分为三种 1.对称算法(AES) 数据加密 2.非对称算法(公开加密算法 RSA) 数据加密、身份认证、数字签名 3.单向散列算法(哈希算法 SHA512RSA,Argon2) 文件校验、鉴权、防篡改 数据安全:数据存储之算法 加密算法的模式有:ECB,CBC,CFB,OFB 加密明文在64位以内,使用ECB,超过64位,使用CBC、CFB、 OFB 若是不清楚,则使用CBC
廖威 OWASP 业务数据安全实践
文档预览
中文文档
31 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共31页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由
路人甲
于
2022-08-23 08:50:19
上传分享
举报
下载
原文档
(1.7 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
GB-T 9651-2008 单相异步电动机试验方法.pdf
GB-T 18238.1-2000 信息技术 安全技术 散列函数 第1部分 概述.pdf
LY-T 3159-2019 细木工板生产节能技术规范.pdf
GB-T 22264.3-2022 安装式数字显示电测量仪表 第3部分:功率表和无功功率表的特殊要求.pdf
GB-T 42433-2023 珠宝玉石鉴定 红外光谱法.pdf
DB22-T 2581-2016 生物质成型燃料锅炉大气污染物排放标准 吉林省.pdf
2021-交通银行-隐私计算金融应用蓝皮书.pdf
GM-T 0023-2014 IPSec VPN网关产品规范.pdf
腾讯安全 物联网汽车安全.pdf
UNE EN ISO IEC 19790 2020.pdf
DB15-T 835-2015 磷石膏改良碱化土壤技术规程 内蒙古自治区.pdf
DB50-T 1275.1-2022 生猪智慧养殖数字化应用与管理 第1部分:总则 重庆市.pdf
GB-T 6653-2017 焊接气瓶用钢板和钢带.pdf
GB-T 36989-2018 用超声流量计测量液态烃流量.pdf
GB-T 37735-2019信息技术云计算云服务计量指标标准文件.pdf
LD-T 09-2022 人力资源社会保障信息系统运行维护平台建设规范.pdf
东吴计算机 信创产业发展研究.pdf
GB-T 39552.2-2020 太阳镜和太阳镜片 第2部分:试验方法.pdf
T-INFOCA 8—2022 移动直播视频用户体验质量 QoE 观众端评测方法.pdf
GB/T 40143-2021 志愿服务组织基本规范.pdf
1
/
3
31
评价文档
赞助2元 点击下载(1.7 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里 下载
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。