安全实践之数据资产管理

• 据调取，访问的权限管控，根据数据目录，数据负责人，建立管控流程
• 识别重要数据系统，接口，推进安全防护项目，包括数据加密，脱敏，认证，日志等改造
• 数据泄露事件的告警，溯源，审计，提供基础数据和综合分析平台

数据资产收集

数据一般在数据库，文件中静态存储，也通过应用，工具等方式进行流转。

1. 数据类型和数据分布的收集

(1) 全内网网络扫描识别数据库服务器IP、端口、服务类型
 

0条样本，也可以根据需要调整阈值

2. 数据所属应用，应用数据接口

应用一般从CMDB或公司的资产管理平台中获取，注意的是需要有一个唯一标识将应用和数据库进行关联。

应用数据接口可以通过网络流量分析获取流量中所有被访问接口URL。

提取URL和HOST加入资产列表：
 

据分级分类

等级划分一般企业为四级分发，L1-L4级。L1为***息，L2位秘密信息(或内部公开)，L3为保密信息，L4为绝密信息。

针对不同的数据类型设定密级，根据公司情况信息密级可能不同：

• L4：如生物识别信息，密码，公司重大计划或战略数据等
• L3：如电话，住址，画像，个人喜好等
• L2：如姓名，国籍，日常统计数据等
• L1：昵称，公开评论，已发布公告等

（编辑：衡水站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!