皇帽讲绿帽带法技巧

摘要： 鉴别与访问控制 随着企业业务的不断发展，满足组织内部的数据安全合规性需求正变得越来越迫切和重要。建立合适的身份鉴别与访问控制机制，可以有效消除组织机构内部的核心敏感数据被未授权访问的风险。 建立负责鉴别与访问控制的职能部门 为了避免组织内部出现敏感数据被未授权访问的安全事件，同时也为了进一步满足数据 阅读全文

摘要： 监控与审计 监控与审计是对访问控制的必要补充，是访问控制的一个重要内容。该阶段会记录与监控用户使用的数据信息资源、使用的时间，以及使用的过程（即执行了何种操作）。审计和监控是实现数据安全的最后一道防线，处于数据安全治理的最高层。审计与监控能够再现原有的数据操作问题，这一点对于责任追查和数据恢复非常重 阅读全文

摘要： 终端数据安全 随着网络规模的不断扩大，企业的不断发展，对于现代企业来说，终端已然成为每个公司不可缺少的重要设备之一，其本身具备两个特性：高价值性和低安全性，因此终端极易成为被攻击者攻破的对象。进行终端数据安全管理，可以有效预防IT资产管理失控、勒索/挖矿病毒入侵、数据资源对外泄露等问题。 建立负责终 阅读全文

摘要： 6.1 认证概述 认证机制是网络安全的基础性保护措施，是实施访问控制的前提，主要阐述认证的基本概念，认证依据，认证原理和认证的发展。 6.1.1 认证概念 认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。 通常情况下，双 阅读全文

摘要： 元数据管理 元数据是组织机构最重要的数据类型之一，也是价值最高的数据之一。对元数据进行管理不仅可以提升组织内部数据的使用效率，还可以帮助企业建立数据上下游关系。 建立负责元数据管理的职能部门 为了提高企业内部对元数据的使用和管理效率，在条件允许的情况下，组织机构应该设立元数据管理部门并招募相关的管理 阅读全文

摘要： 数据供应链安全 放眼全球各产业界，分工越来越细化，各企业在专注于核心竞争力的同时，也将工作重点聚焦于全球供应链之上。在质量、成本、速度、效率等业绩指标的压力下，安全方面的投入只能被一再挤压，天平开始失衡。 一个组织，不管规模有多大，业务有多综合繁杂，都将不可避免地与第三方进行直接或间接的业务合作，以 阅读全文

摘要： 5.1 物理安全概念与要求 物理安全是网络安全的基础，分析物理安全的威胁类型，并给出物理安全保护及安全相关内容。 5.1.1 物理安全概念 传统上的物理安全也称为实体安全，是指包括环境，设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全，是网络信息系统安全，可靠，不间断运行的基本保证，并确 阅读全文

摘要： 4.1 网络安全体系概述 网络安全保障是一项复杂的系统工程，是安全策略，多种技术，管理方法和人员安全素质的综合。 4.1.1 网络安全体系概念 现代的网络安全问题变化莫测，要保障网络系统的安全，应当把相应的安全策略，各种安全技术和安全管理融合在一起，建立网络安全防御体系，使之成为一个有机的整体安全屏 阅读全文

摘要： 数据资产管理 有效的数据资产管理是组织实现数据运营与数据资产变现的基础，数据资产管理强调的是组织内生的力量，需要依赖于组织高效的人员管理架构、明确清晰的制度流程，以及可靠且可用的管理技术能力与工具。 建立负责数据资产管理的职能部门 数据资产管理对组织建设的要求是设立数据资产管理的专项岗位或团队，明确 阅读全文

摘要： 合规管理 组织机构需要建立数据安全合规文化和有效的合规风险预防、预警及监督机制，从而避免组织因违反相关的国内外法律、行业监管指引、制度、规范等而导致的风险，是组织机构能够长久稳定运营的基础。 建立负责合规管理的职能部门 在数据安全合规管理的建设上，组织层面首先应设立专职岗位，分别负责个人信息保护、重 阅读全文