當(dāng)前位置:首頁 >  IDC >  安全 >  正文

適用于GDPR合規(guī)之?dāng)?shù)據(jù)安全解決方案

 2018-04-04 11:33  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

2016年通過的《歐盟通用數(shù)據(jù)保護規(guī)范(GDPR)》即將于2018年5月25日開始實施。該規(guī)范要求在歐盟內(nèi)經(jīng)營的所有企業(yè)以及收集或處理源自歐盟的個人數(shù)據(jù)的企業(yè)都遵守該規(guī)范。對于在歐盟境內(nèi)未設(shè)立實體辦公地點或并未處理源自歐盟國家的個人數(shù)據(jù)的企業(yè)也并非不受GDPR約束。一旦違反該規(guī)范,則企業(yè)將面臨極其嚴(yán)格的罰款,即:企業(yè)前一財年全球總收入4%或2230萬美元的罰款,以較高者為準(zhǔn)。

在整個88頁的GDPR文件中,我們將與數(shù)據(jù)安全有關(guān)的主要條款歸納如下(圖1)

第25條:數(shù)據(jù)保護設(shè)計與默認(rèn)設(shè)置

第32條:數(shù)據(jù)處理安全性

第33條:數(shù)據(jù)違規(guī)情況通報給相關(guān)監(jiān)管機構(gòu)

第35條:數(shù)據(jù)保護影響評估

第44條:數(shù)據(jù)傳輸?shù)囊话阍瓌t

之前曾提過,為協(xié)助企業(yè)滿足GDPR合規(guī)規(guī)定,Imperva可提供的專業(yè)服務(wù)項目。本文中將進(jìn)一步說明產(chǎn)品的具體特性以及其滿足上述GDPR數(shù)據(jù)安全規(guī)定的方法。Imperva數(shù)據(jù)安全解決方案有五種方法幫助企業(yè)滿足GDPR合規(guī)要求。

 

圖1:關(guān)鍵GDPR數(shù)據(jù)保護要求及Imperva數(shù)據(jù)安全解決方案

數(shù)據(jù)發(fā)現(xiàn)與分類

GDPR要求企業(yè)建立與保留詳細(xì)的個人數(shù)據(jù)庫清單,然后按風(fēng)險預(yù)測與優(yōu)先性分類數(shù)據(jù)。為滿足這一要求,首先需要了解數(shù)據(jù)庫的位置,以及其內(nèi)存儲的數(shù)據(jù)類型。Imperva SecureSphere可自動掃描企業(yè)網(wǎng)絡(luò)找到已知與未知的數(shù)據(jù)庫,幫助企業(yè)輕松創(chuàng)建定制自己的數(shù)據(jù)發(fā)現(xiàn)策略,并應(yīng)用于企業(yè)網(wǎng)絡(luò)任意部分的掃描。為確保數(shù)據(jù)發(fā)現(xiàn)的持續(xù)性,并將新數(shù)據(jù)納入安全與防護范圍,SecureSphere還支持自動定時掃描。擁有自動與定時掃描功能可便于企業(yè)隨時獲取自己的網(wǎng)絡(luò)內(nèi)的最新的全部數(shù)據(jù)清單。

個人數(shù)據(jù)遮蔽與假名化

GDPR要求企業(yè)實行數(shù)據(jù)最小化與用途限制措施。這意味著企業(yè)只能因特定用途去收集與使用數(shù)據(jù),且數(shù)據(jù)保留時限不得超出需知的范圍 。例如,有一家保險公司因制作保單需要收集個人信息,則其再不能將該數(shù)據(jù)用于定價分析等用途,因為該個人數(shù)據(jù)僅為制作保單所收集,再不得將該數(shù)據(jù)用于其它用途(如:開發(fā)定價分析數(shù)據(jù)庫)。但如通過數(shù)據(jù)屏蔽法將數(shù)據(jù)假名化,則仍然可以將被屏蔽的數(shù)據(jù)用于定價分析,使得該個人數(shù)據(jù)會被用于其它用途。

數(shù)據(jù)假名化:根據(jù)GDPR規(guī)定,數(shù)據(jù)假名化是指將數(shù)據(jù)去識別化,使數(shù)據(jù)無法直接識別主體。ImpervaCamouflage通過數(shù)據(jù)遮蔽方法隱藏個人數(shù)據(jù),即:利用現(xiàn)實虛構(gòu)數(shù)據(jù)來代替真實數(shù)據(jù),使得數(shù)據(jù)在功能性與統(tǒng)計性上更精準(zhǔn)。這種方法可以降低數(shù)據(jù)違規(guī)風(fēng)險,便于用于商業(yè)用途。

數(shù)據(jù)處理安全性

GDPR的核心就是要確保個人數(shù)據(jù)的安全。因此非常注重數(shù)據(jù)處理安全,如:數(shù)據(jù)控制方與數(shù)據(jù)處理方都需要采取適當(dāng)?shù)募夹g(shù)措施確保數(shù)據(jù)安全。SecureSphere正是這樣一款產(chǎn)品,可幫助企業(yè)保護數(shù)據(jù),識別出數(shù)據(jù)庫漏洞并監(jiān)控數(shù)據(jù)庫活動。

數(shù)據(jù)庫漏洞評估

GDPR要求企業(yè)對數(shù)據(jù)采取連續(xù)保護,并定期測試與驗證所采用的技術(shù)保護措施有效性,確保數(shù)據(jù)處理的安全性。同時還需連續(xù)進(jìn)行數(shù)據(jù)庫漏洞評估,識別出個人數(shù)據(jù)風(fēng)險。Imperva SecureSphere可識別出數(shù)據(jù)庫的安全漏洞,并可對數(shù)據(jù)庫服務(wù)器及操作系統(tǒng)平臺進(jìn)行1500種以上預(yù)設(shè)漏洞與不當(dāng)配置(如:未安裝補丁包、默認(rèn)密碼或權(quán)限配置不當(dāng))的測試與掃描。同時還可生成評估報告,并針對識別出的漏洞提供具體的建議方案,增強被掃描數(shù)據(jù)庫服務(wù)器的安全性能。

監(jiān)控數(shù)據(jù)訪問活動

數(shù)據(jù)活動監(jiān)控是GDPR規(guī)范中最重要的內(nèi)容之一,要求企業(yè)為數(shù)據(jù)處理提供安全環(huán)境。為滿足GDPR規(guī)定,企業(yè)需回答下列問題:數(shù)據(jù)訪問者是誰?數(shù)據(jù)用途是什么?

應(yīng)對這一合規(guī)要求,SecureSphere利用其對所有數(shù)據(jù)庫活動的持續(xù)監(jiān)控與分析功能,幫助用戶實現(xiàn)對數(shù)據(jù)活動的實時完全可見,包括本地特權(quán)用戶訪問與服務(wù)帳號。數(shù)據(jù)庫活動的監(jiān)控與審計功能可確保個人數(shù)據(jù)的適當(dāng)使用,以及授權(quán)用戶對個人數(shù)據(jù)的訪問。此外,數(shù)據(jù)監(jiān)控功能還可防止外部攻擊盜竊數(shù)據(jù),如SQL注入,并防止內(nèi)部威脅,如:惡意、疏忽、或受到侵犯的用戶。隨時警惕數(shù)據(jù)安全,才能使企業(yè)在發(fā)生數(shù)據(jù)違規(guī)前識別與阻止可疑或非法數(shù)據(jù)訪問。

違規(guī)檢查與事件響應(yīng)

一旦發(fā)生個人數(shù)據(jù)違規(guī),GDPR要求數(shù)據(jù)控制方必需“不得無故拖延,如可能,應(yīng)在獲取該消息后72小時內(nèi)上報給監(jiān)管機關(guān)”。如未能在72小時內(nèi)發(fā)出通知,則數(shù)據(jù)控制方必需為其延遲提交合理說明。

目前面臨的最大挑戰(zhàn)是,由于安全團隊要處理大量的事件預(yù)警情報,導(dǎo)致真實報警事件容易被忽略。針對這種情況,ImpervaCounterBreach利用其先進(jìn)的機器學(xué)習(xí)與peer group分析,優(yōu)先處理數(shù)據(jù)訪問事件,無需對數(shù)據(jù)環(huán)境進(jìn)行深入了解就能使安全團隊及時發(fā)現(xiàn)預(yù)警。CounterBreach可分析用戶行為與數(shù)據(jù)訪問活動,識別出真正需要關(guān)注(或危險)的事件,并降低數(shù)據(jù)暴露的風(fēng)險。

實施跨境數(shù)據(jù)傳輸策略

GDPR為向歐洲經(jīng)濟區(qū)(EEA)以外的個人數(shù)據(jù)傳輸做出了嚴(yán)格的限制規(guī)定,確保在這一過程中不會影響數(shù)據(jù)保護與隱私保護。GDPR第44條中規(guī)定,禁止向EEA以外的地區(qū)傳輸個人數(shù)據(jù),除非接收國可證明其可提供充足的數(shù)據(jù)保護。

SecureSphere可幫助企業(yè)滿足制式合同以及關(guān)于歐盟“公司約束令”(BCR)的要求。該產(chǎn)品支持對數(shù)據(jù)庫進(jìn)行連續(xù)的發(fā)現(xiàn)與分類掃描,確保數(shù)據(jù)庫與個人數(shù)據(jù)適當(dāng)分類與保護。還可幫助企業(yè)用戶創(chuàng)建數(shù)據(jù)庫流量檢查策略。一旦發(fā)現(xiàn)政策違規(guī),如:非法訪問、阻止用戶接入或終止會話等,都可確保適當(dāng)?shù)目缇硵?shù)據(jù)訪問與使用。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
數(shù)據(jù)安全
安全漏洞

相關(guān)文章

熱門排行

信息推薦