standard library
文库搜索
切换导航
文件分类
频道
仅15元无限下载
联系我们
问题反馈
文件分类
仅15元无限下载
联系我们
问题反馈
批量下载
业务数据安全实践 廖威 背景 2018年数据泄露事件一隅 1. Aadhaar——10亿条 2. 圆通——10亿 3. 华住——5亿 4. UnderArmour——1.5亿 5. MyHeritage——9200万 6. Facebook——8700万 7. Panera——3700万 8. Ticketfly——2700万 9. Sacramento Bee——1950万 10.AcFun——800万 Equifax数据泄漏 struts2漏洞 2.14 struts2漏洞爆发 3.7 被入侵 5.13 高层辞职 10.2 宣布对外 9.7 讨论对外通知 9.1 发现异常 7.29 确定影响范围 8.3 关闭网站 7.30 事件分析 影响调查 7.31 目录 1.数据安全感悟 2.数据安全组织与管理 3.数据安全人员与技术 数据安全感悟 2011 2015 2017 至今 数据分类 数据加密 分类分级 全面加密 持续整改 数据安全感悟 1.未雨绸缪 提前做好制度技术储备 2.自上而下与自下而上结合 尚方宝剑 3.天时地利 风险上报、合规检查 数据安全 数据安全原则: ü 进不来 ü 拿不走 ü 看不懂 ü 改不了 ü 走不脱 数据安全模型: 目录 1.数据安全感悟 2.数据安全组织与管理 3.数据安全人员与技术 数据安全组织与管理 公司高管重视数据安全 自上而下实施数据策略 数据安全组织与管理 参考 ISO 27001 建立数据安全管理体系 方针总纲 • 一级文件 管理制度办法 操作流程、规范,工作模板 检查记录日志,审计报告 • 二级文件 • 三级文件 • 四级文件 目录 1.数据安全感悟 2.数据安全组织与管理 3.数据安全人员与技术 数据安全技术与人员 数据保护原则:纵深防御 数据的生命周期一般分为: • 采集 • 传输 • 存储 • 处理 • 交换 • 销毁 数据安全:数据采集 数据采集为实现支付交易、金融认证授权、风险控制、信用服务等目的, 对敏感数据进行获取和记录的过程。 1.数据采集规则 采集目的、用途、方式、范围,是否合规授权 2.数据采集防护 安全措施:敏感数据需要加密;防止第三方攻击 3.数据分类分级 根据数据被泄露或修改后对用户或公司造成的影响程度, 分为两类三级 数据安全:数据采集 数据安全:数据传输 数据传输是已获取的数据在已获授权机构或企业的系统内或系统间转移的过程。 安全传输需保障数据:保密性,完整性,抗抵赖。 1.网络层 ipsec VPN、专线 2.传输层 HTTPS/TLS 3.应用层 端到端加密 数据安全:数据存储 数据存储是指已获取的数据在已获授权机构或企业的系统内保存的过程。 安全存储需保障数据:保密性、完整性、可用性。 1.数据存储加密方式 物理所在地、数据标签、分层加密 2.加密密钥管理 三级密钥管理体系 3.加密算法使用 三种加密算法使用 数据安全:数据存储 数据存储分层加密,确保每层数据被攻破,数据还是保密的。 1.操作系统层 使用硬件或软件对OS级别进行透明加密 2.分区层 对某个分区进行加密 3.应用层 对数据库文件进行加密 4.业务层 对业务数据一组一密 数据安全:数据存储之密钥 数据安全加密核心在于:密钥与算法。加密一般建 议使用公开算法,通过密钥的私密性确保数据安全。 我们使用三级密钥管理体系管理密钥以及解决加密 数据搜索问题。 1.密钥加密管理 2.密钥定期更换 3.密钥授权与审计 数据安全:数据存储之算法 加密算法一般分为三种 1.对称算法(AES) 数据加密 2.非对称算法(公开加密算法 RSA) 数据加密、身份认证、数字签名 3.单向散列算法(哈希算法 SHA512RSA,Argon2) 文件校验、鉴权、防篡改 数据安全:数据存储之算法 加密算法的模式有:ECB,CBC,CFB,OFB 加密明文在64位以内,使用ECB,超过64位,使用CBC、CFB、 OFB 若是不清楚,则使用CBC
廖威 OWASP 业务数据安全实践
文档预览
中文文档
31 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共31页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 路人甲 于
2022-08-23 08:50:19
上传分享
举报
下载
原文档
(1.7 MB)
分享
友情链接
民航 MH-T 0026-2005 民用航空重要信息系统灾难备份与恢复管理规范.pdf
T-CIATCM 030.9—2019 中医临床护理信息基本数据集 第9部分:消毒供应中心记录.pdf
GM-T 0107-2021 智能IC卡密钥管理系统基本技术要求.pdf
GB-T 26603-2011 N,N-二甲基苯胺.pdf
GB-T 30276-2020 信息安全技术 网络安全漏洞管理规范.pdf
GB-T 38632-2020-信息安全技术 智能音视频采集设备应用安全要求.pdf
YD-T 3979-2021 数据中心浸没式液冷服务器系统技术要求和测试方法.pdf
GB-T 35394-2017 无损检测 X射线数字成像检测 系统特性.pdf
GB-T 36668.6-2019 游乐设施状态监测与故障诊断 第6部分:运行参数监测方法.pdf
NY-T 1240-2021 草原鼠荒地治理技术规范.pdf
GB-T 35283-2017 信息安全技术 计算机终端核心配置基线结构规范.pdf
GB-T 26778-2023 汽车列车性能要求及试验方法.pdf
GB-T 26006-2010 船用铝合金挤压管、棒、型材.pdf
GB-T 3094-2012 冷拔异型钢管.pdf
DB32-T 3702-2019 江苏省日照分析技术规程 江苏省.pdf
GB-T 20507-2018 球形氢氧化镍.pdf
GB-T 39201-2020 高铝粉煤灰提取氧化铝技术规范.pdf
GB-T 34942-2017 信息安全技术 云计算服务安全能力评估方法.pdf
GA-T 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求.pdf
GB-T 34520.5-2017 连续碳化硅纤维测试方法 第5部分:单纤维拉伸性能.pdf
1
/
3
31
评价文档
赞助2元 点击下载(1.7 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。