读DAMA数据管理知识体系指南20数据安全风险

1. 数据安全制约因素

1.1. 保密等级

• 1.1.1. 保密意味着机密或私密

• 1.1.2. 机密信息仅在“需要知道”的基础上共享

• 1.1.3. 保密等级取决于谁需要知道某些类型的信息

1.2. 监管要求

• 1.2.1. 根据外部规则（如法律、条约、海关协定和行业法规）分配监管类别

• 1.2.2. 监管信息在“允许知道”的基础上共享

• 1.2.3. 数据共享方式受该法规明细条款的约束

1.3. 保密和监管的主要区别是要求来源不同

• 1.3.1. 保密要求源自内部

• 1.3.2. 监管要求则由外部定义

1.4. 另外的区别是任何数据集（如文档或数据库视图）只能有一个密级，其密级是基于该数据集中最敏感（最高密级）的数据项设立的

• 1.4.1. 监管分类是附加的

1.5. 当安全限制应用于用户授权（用户授权提供对特定数据元素的访问权限）时，必须遵循全部保护策略，无论这些策略是内部的还是外部的

1.6. 机密数据

• 1.6.1. 保密范围要求从高（如只有极少人能够访问员工薪酬数据）到低（每个人都可以访问产品目录）​

• 1.6.2. 对普通受众公开(For General Audiences)

  • 1.6.2.1. 可向任何人（包括公众）提供的信息

• 1.6.3. 仅内部使用(Internal Use Only)

  • 1.6.3.1. 仅限员工或成员使用的信息，但信息分享的风险很小

  • 1.6.3.2. 信息仅供内部使用、可在组织外部显示或讨论，但不得复制

• 1.6.4. 机密(Confidential)

  • 1.6.4.1. 若无恰当的保密协议或类似内容，不得在组织以外共享

  • 1.6.4.2. 不得与其他客户共享客户机密信息

• 1.6.5. 受限机密(Restricted Confidential)

  • 1.6.5.1. 受限机密要求个人通过许可才能获得资格，仅限于特定“需要知道”的个人

• 1.6.6. 绝密(Registered Confidential)

  • 1.6.6.1. 信息机密程度非常高，任何信息访问者都必须签署一份法律协议才能访问数据，并承担保密责任

• 1.6.7. 保密级别并不意味着由于监管要求而受到任何限制的细节

  • 1.6.7.1. 不会通知数据管理者

  • 1.6.7.2. 不得在数据来源国之外公开数据

  • 1.6.7.3. 某些员工不得查看某些基于某某法规的信息

1.7. 监管限制的数据

• 1.7.1. 每个企业都必须建立满足自身合规需求的法规类别

  • 1.7.1.1. 此过程和分类必须尽可能简单，以便具有可操作性

• 1.7.2. 法规类别的最佳数量建议不超过9个

  • 1.7.2.1. 法规系列举例

    1.7.2.1.1. 个人身份信息(PII)

    1.7.2.1.1.1. 个人身份信息也称为个人隐私信息(PPI)

    1.7.2.1.2. 财务敏感数据

    1.7.2.1.2.1. 所有财务信息，包括可能称为“股东”或“内部人士”的数据以及尚未公开披露的所有当前财务信息

    1.7.2.1.3. 医疗敏感数据/个人健康信息(PHI)

    1.7.2.1.3.1. 有关个人健康或医疗的所有信息

    1.7.2.1.4. 教育记录

    1.7.2.1.4.1. 有关个人教育的所有信息

  • 1.7.2.2. 行业法规或基于合同的法规

    1.7.2.2.1. 支付卡行业数据安全标准(PCI-DSS)

    1.7.2.2.1.1. PCI-DSS是最广为人知的行业数据安全标准，解决了可以识别具有金融机构账户的个人信息

    1.7.2.2.2. 竞争优势或商业秘密

    1.7.2.2.2.1. 使用专有方法、组合、方案、来源、设计、工具、配方或操作技术以实现竞争优势的公司，可受到行业法规和/或知识产权法的保护

    1.7.2.2.3. 合同限制

    1.7.2.2.3.1. 在与供应商和合作伙伴签订的合同中，组织可规定某些信息如何被使用、不得使用以及哪些信息可以共享、哪些不能共享

2. 系统安全风险

2.1. 识别风险的第一步是确定敏感数据的存储位置以及这些数据需要哪些保护

• 2.1.1. 需要确定系统的固有风险

2.2. 滥用特权

• 2.2.1. 在授予数据访问权限时，应采用最小特权原则

• 2.2.2. 仅允许用户、进程或程序访问其合法目的所允许的信息

• 2.2.3. 风险是指当具有超出工作职责需要的权限时，用户可能会出于恶意目的或意外地滥用这些权限

• 2.2.4. 用户可能被过多地授予超出应该拥有的访问权限（权限过大）​

• 2.2.5. 仅仅管理用户授权工作，本身就具有很大的挑战性

• 2.2.6. 许多用户被赋予通用默认访问权限，该权限远远超过具体工作需要

• 2.2.7. 缺乏对用户权利的监督，这是许多数据法规指定数据管理安全性的原因之一

• 2.2.8. 解决权限过大的方案是查询级访问控制，这种控制机制可将数据库权限限制为最低要求的SQL操作和数据范围

2.3. 滥用合法特权

• 2.3.1. 出于未经授权的目的，用户可能滥用合法赋予他的数据库权限

• 2.3.2. 故意和无意滥用

  • 2.3.2.1. 当医护人员故意不当地使用组织数据时，就会发生故意滥用

  • 2.3.2.2. 恶意的医护人员想要用患者病历来换取金钱或进行蓄意伤害

  • 2.3.2.3. 无意滥用的风险更常见：勤奋的医护人员为满足其所认为的合法工作目的，将大量患者信息检索并存储到工作计算机中

  • 2.3.2.4. 部分解决滥用合法特权的方案是数据库访问控制

2.4. 未经授权的特权升级

• 2.4.1. 存储过程、内置函数、协议实现甚至SQL语句中都可能存在漏洞

• 2.4.2. 将传统入侵防护系统(IPS)和查询级访问控制入侵防护相结合，以防止特权升级漏洞

• 2.4.3. 将IPS与其他攻击指标（如查询访问控制）相结合，可提高识别攻击的准确性

• 2.4.4. IPS可检测出数据库请求所访问的是否为漏洞功能，而查询访问控制可以检测请求是否符合正常的用户行为

• 2.4.5. 如果一个请求同时指示对脆弱功能的访问且行为异常，那么几乎肯定会发生攻击

2.5. 服务账户或共享账户滥用

• 2.5.1. 使用服务账户（批处理ID）和共享账户（通用ID）会增加数据泄露风险，并使跟踪漏洞来源的能力更加复杂

• 2.5.2. 服务账户

  • 2.5.2.1. 服务账户的便利性在于可自定义对进程的增强访问

• 2.5.3. 共享账户

  • 2.5.3.1. 当所需用户账户数多到应用程序无法处理时，或添加特定用户需要大量工作或产生额外许可成本时，可创建共享账户

2.6. 平台入侵攻击

• 2.6.1. 数据库资产的软件更新和入侵防护需要结合定期软件升级（补丁）和部署专用入侵防御系统(Intrusion Prevention Systems, IPS)

• 2.6.2. IPS通常（但并非总是）与入侵检测系统(IntrusionDetection System, IDS)一起部署

• 2.6.3. 目标是杜绝大多数网络入侵企图，并对任何成功通过防御系统的入侵行为快速响应

• 2.6.4. 入侵保护的最原始形式是防火墙

  • 2.6.4.1. 随着移动用户、Web访问和移动计算设备成为大多数企业环境的一部分时，一个简单的防火墙虽然仍是必要的，但已无法满足安全需求

• 2.6.5. 软件更新通常由企业定期按维护周期实施，而不是在补丁可用后尽快实施

  • 2.6.5.1. 在补丁更新之前，数据库不受保护

• 2.6.6. 兼容性问题有时会完全阻止软件更新

  • 2.6.6.1. 要解决这些问题，需实施部署入侵防御系统(IPS)

2.7. 注入漏洞

• 2.7.1. 在SQL注入攻击中，攻击者将未经授权的数据库语句插入（或注入）到易受攻击的SQL数据通道中，如存储过程和Web应用程序的输入空间

• 2.7.2. 通过将SQL命令作为函数或存储过程的参数，SQL注入也用于攻击数据库管理系统(DBMS)

2.8. 默认密码

• 2.8.1. 在软件包安装期间创建默认账户是软件业长期以来的一种惯例

• 2.8.2. 有一些是用于安装本身的需要，另一些是为用户提供开箱即用的测试软件的方法

• 2.8.3. 攻击者不断寻找一种窃取敏感数据的捷径

2.9. 备份数据滥用

• 2.9.1. 备份是为了降低数据丢失而产生的相关风险，但备份也代表一种安全风险

3. 黑客行为/黑客

3.1. “黑客行为”一词产生于以寻找执行某些计算机任务的聪明方法为目标的时代

3.2. 黑客是在复杂的计算机系统中发现未知操作和路径的人

• 3.2.1. 黑客有好有坏

3.3. 恶意黑客是故意破坏或“黑入”计算机系统以窃取机密信息或造成损害的人

• 3.3.1. 恶意黑客通常寻找财务或个人信息，以窃取金钱或身份信息

• 3.3.2. 试图猜测简单的密码，并试图找到现有系统中尚未记录的弱点和后门

4. 网络钓鱼/社工威胁

4.1. 安全的社工威胁通常涉及直接通信（无论是当面、通过电话，还是通过互联网）​，旨在诱使有权访问受保护数据的人提供该信息（或信息访问途径）给拟用于犯罪或恶意目的人

4.2. 社会工程(Social Engineering)是指恶意黑客试图诱骗人们提供信息或访问信息的方法

4.3. 黑客利用所获得的各种信息来说服有关员工他们有合法的请求

4.4. 网络钓鱼(Phishing)是指通过电话、即时消息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私

5. 恶意软件

5.1. 恶意软件是指为损坏、更改或不当访问计算机或网络而创建的软件

5.2. 计算机病毒、蠕虫、间谍软件、密钥记录器和广告软件都是恶意软件的例子

5.3. 广告软件

• 5.3.1. 广告软件(Adware)是一种从互联网下载至计算机的间谍软件

• 5.3.2. 广告软件监控计算机的使用，如访问了哪些网站

• 5.3.3. 广告软件也可能在用户的浏览器中插入对象和工具栏

• 5.3.4. 广告软件并不违法，但它用于收集完整的用户浏览和购买习惯的个人资料并出售给其他营销公司

  • 5.3.4.1. 恶意软件也很容易利用它来窃取身份信息

5.4. 间谍软件

• 5.4.1. 间谍软件(Spyware)是指未经同意而潜入计算机以跟踪在线活动的任何软件程序

• 5.4.2. 程序倾向于搭载在其他软件程序上

  • 5.4.2.1. 当用户从互联网站点下载并安装免费软件时，通常用户不知情时就安装了间谍软件

  • 5.4.2.2. 不同形式的间谍软件跟踪不同的活动类型。有的程序监视网站访问，有的程序则记录用户按键以窃取个人信息

• 5.4.3. 包括搜索引擎在内的许多合法网站都会安装跟踪间谍软件，这也是一种广告软件

5.5. 特洛伊木马

• 5.5.1. 特洛伊木马(Trojan Horse)是希腊人送给特洛伊人的一座大型木制“雕像礼物”​，特洛伊人迅速将其作为战利品带入城中

  • 5.5.1.1. 木马中隐藏了希腊士兵，这些士兵在进入特洛伊城后就溜出来并袭击了这座城市

• 5.5.2. 在计算机安全术语中，特洛伊木马是指通过伪装或嵌入合法软件而进入计算机系统的恶意程序

• 5.5.3. 安装后的特洛伊木马将删除文件、访问个人信息、安装恶意软件、重新配置计算机、安装键盘记录器，甚至允许黑客将计算机用作攻击网络中其他计算机的武器

5.6. 病毒

• 5.6.1. 病毒(Virus)是一种计算机程序，它将自身附加到可执行文件或易受攻击的应用程序上，能造成从让人讨厌到极具破坏性的后果

5.7. 蠕虫

• 5.7.1. 计算机蠕虫(Worm)是一种自己可以在网络中进行复制和传播的程序

• 5.7.2. 受蠕虫感染的计算机将源源不断地发送感染信息

• 5.7.3. 主要功能是通过消耗大量带宽来危害网络，从而导致网络中断

5.8. 恶意软件来源

• 5.8.1. 恶意软件来源

  • 5.8.1.1. 即时消息(IM)允许用户实时地相互传递消息。IM也正在成为网络安全的新威胁

• 5.8.2. 社交网

  • 5.8.2.1. 要告知用户：无论他们发布什么，都将永久存留在互联网上的现实情况及其危险

• 5.8.3. 垃圾邮件

  • 5.8.3.1. 垃圾邮件(Spam)是指批量发送那些未经请求的商业电子邮

  • 5.8.3.2. 已知的垃圾邮件传送域

  • 5.8.3.3. 抄送或密送的地址超出限量

  • 5.8.3.4. 电子邮件正文只有一个超链接的图

  • 5.8.3.5. 特定文本字符串或单