第七章数据安全8分

7.1 引言

网络安全不等于数据安全
数据安全要求来自以下几个方面
（1）利益相关方
（2）政府法规
（3）特定业务关注点
（4）合法访问需求
（5）合同义务
例如：PCI标准信用卡公司和某个商业企业之间的协议，需要以规定方式保护某些类型的数据（如强制加密客户密码）

7.1.1业务驱动因素

降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。安全本身就是宝贵的资产。

元数据是管理敏感数据的方法之一

度量指标：
安全实施指标
安全意识指标
数据保护指标
安全事件指标
机密数据扩散指标

7.1.2目标和原则

1.目标

1）支持适合访问并防止对企业数据资产的不当访问
2）支持对隐私，保护和保密制度、法规的遵从
3）确保满足利益相关方对隐私和保密的要求

Q:支持适当访问并防止对企业数据资产的不当访问？
防止对企业数据资产的不当访问，并支持对企业数据资产的不当访问？
A：支持适当访问并防止对企业数据资产的不当访问。【首先共享开发，而后不共享】

2、原则

1）协同合作
2）企业统筹
3）主动管理
4）明确责任
5）元数据驱动
6）减少接触以降低风险

7.1.3基本概念

6.安全过程

数据安全需求和过程分为4个方面和一个E，即4A：访问（Access）、审计（Audit）、验证（Authentication）和授权（Authorization），还有一个E，即权限（Entitlement)

Q:4A1E有敏捷吗？
A：没有

8.加密

加密（Encryption）是将纯文本转换为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份过程。加密数据不能在没有解密密钥或算法的情况下读取。解密密钥或算法通常单独存储，不能基于同一数据集中的其他数据元素来进行计算。加密方法主要有3种类型，即哈希、对称加密、非对称加密，其复杂程度和密钥结构各不相同。

9.混淆或脱敏【必考】