5 月 22 日,在第二屆中國資料安全治理高峰論壇上,由資料安全治理委員會編寫、資料安全公司安華金和出品的乙份《資料安全治理***》正式發布。雷鋒網在梳理該***時,發現乙個某運營商如何使用使用者資料的例項,幾天前,一則新聞稱,「美國四大電信運營商均中招,**漏洞會洩露手機使用者位置」,在敏感的資料時代,使用者資料究竟如何被相關機構使用?雷鋒網從中摘出若干資訊,以饗讀者。
1.某運營商的資料安全治理的相關組織和角色結構圖
2.某運營商對資料分級分類的結果
只有對資料進行有效分類,才能避免一刀切的控制方式,在資料的安全管理上採用更加精細的措施,使資料在共享使用和安全使用之間獲得平衡。
資料分級分類方式:
根據梳理出的備案資料資產,進行敏感資料的自動探測,通過特徵探測定位敏感資料分布在哪些資料資產中;針對敏感的資料資產進行分級分類標記,分類出敏感資料所有者(部門、系統、管理人員等);根據已分類的資料資產由業務部門進行敏感分級,將分類的資料資產劃分公開、內部、敏感等不同的敏感級別。
以下分別為資料分類表和資料分級表:
3.某運營商對敏感系統分布的梳理結果資料使用部門和角色梳理
對於資料治理的角色與分工,需要明確關鍵部門內不同角色的職責,一般包括:安全管理部門:政策制定者、檢查與審計管理、技術匯入者業務部門:根據單位的業務職能劃分運維部門:執行維護、開發測試、生產支撐。
資料的儲存與分布梳理
敏感資料分布在**,是實現管控的關鍵。只有清楚敏感資料分布在**,才能知道需要實現怎樣的管控策略;比如,針對資料庫這個層面,掌握資料分布在哪個庫、什麼樣的庫,才能知道對該庫的運維人員實現怎樣樣的管控措施;對該庫的資料匯出實現怎樣的模糊化策略;對該庫資料的儲存實現怎樣的加密要求。
資料的使用狀況梳理
在清楚了資料的儲存分布的基礎上,還需要掌握資料被什麼業務系統訪問。只有明確了資料被什麼業務系統訪問,才能更準確地制訂這些業務系統的工作人員對敏感資料訪問的許可權策略和管控措施。
在資料資產的梳理中,需要明確這些資料如何被儲存,需要明確資料被哪些部門、系統、 人員使用,資料被這些部門、系統和人員如何使用。對於資料的儲存和系統的使用,往往需 要通過自動化的工具進行;而對於部門和人員的角色梳理,更多是要在管理規範檔案中體現。
對於資料資產使用角色的梳理,關鍵是要明確在資料安全治理中不同受眾的分工、權利和職責。
安全管理部門:制度制定、安全檢查、技術匯入、事件監控與處理;
業務部門:業務人員安全管理、業務人員行為審計、業務合作方管理;
運維部門:運維人員行為規範與管理、運維行為審計、運維第三方管理:
其它:第三方外包、人事、採購、審計等部門管理。
以運營商行業上述梳理結果為例,這僅僅是乙個資料梳理的基礎,更重要的是要梳理出不同的業務系統對這些敏感資訊訪問的基本特徵,如訪問的時間、ip、訪問的次數、操作行 為型別、資料操作批量行為等,在這些基本特徵的基礎上,完成資料管控策略的制訂。
原文發布時間為:2018-05-24
運營商的前途
自從3g和重組的訊息放出以來,很多運營商的前輩紛紛退居二線。事情當然不是偶然。以前,我都曾經說過,在中國gsm至少還有5 10年的主流作用道路要走。然而,這也不過是 保守估計。那時事2006年,後來,厥大炮也曾經預言運營商要轉型。而我覺得,運營商只是需要轉變業務側重而已,原因很簡單 通訊技術的成熟和...
CoreTelephony運營商資訊
coretelephony是蘋果提供的用來訪問使用者的移動服務提供商的資訊,比如它的唯一識別符號,以及是否允許voip通話。獲取當前通過的id以及狀態。coretelephony在ios7之前是私有api,在ios7之後蘋果公開了coretelephony。1.可以用coretelephony獲取手...
Cache對運營商的意義,對小運營商的意思更大
cache對運營商的意義 摘要 各網際網路運營商與chinanet等互聯,每月付大量的頻寬租用費,在互聯互通出口 省分節點 都會網路出口或pop點 地市節點,部署使用cache,把大量的內容快取在本地服務域,即把使用者所要訪問的資料 推送 或 分發 到靠近使用者端,最大限度減少上聯出口的流量,對於節...