媒體報道

解讀:ISO/IEC 27002:2022之數據脫敏

2022-05-19 10:48:24 fast 52

2022年2月15日,國際標準化組織ISO發布了ISO/IEC 27002:2022。這是信息安全管理體系的主題由“信息技術 安全技術”轉為“信息安全,網絡安全及隱私保護”后發布的第一個最佳實踐類的標準。作為當前信息安全管理領域熱點中的熱點,數據安全自然也成為此次標準更新的一項重要內容。



近年來,美國及歐盟先后發布了關于數據安全的研究報告,為適應數據治權向數據主權轉變的國際新形勢,我國也于2021年9月1日施行《中華人民共和國數據安全法》。


圖片關鍵詞


關于數據安全的保障涉及眾多技術手段,此次新發布的ISO/IEC 27002:2022中給出了安全威脅情報、數據防泄密、數據脫敏等數據安全領域的多個最佳實踐。



其中,數據脫敏的不同方法用于不同的需求、不同的組織角色和不同的場景。除了安全人員熟知的靜態脫敏,動態脫敏,一個新的概念on-the-fly數據脫敏,也進入了我們的視野。




靜態脫敏



用于穩定不變的環境,即將生產數據庫的副本導出后進行匿名化操作,這種副本通常稱為“黃金副本”。主要用于保護非生產環境。





動態脫敏



根據員工在組織中的角色,某些類別的員工只能訪問記錄的一部分或應用程序中的非敏感內容。例如,除了最后四位數字外,客戶服務代表無權查看信用卡的其它信息。主要用于保護生產環境。





on-the-fly數據脫敏



當開發中的特定條件要求在不使用暫存環境的情況下進行數據脫敏時,會使用on-the-fly數據脫敏。這可能是因為沒有額外的空間,或者需要實時移動數據。


On-the-fly數據脫敏使用一個稱為提取轉換加載(ETL)的過程,該過程從數據所在的環境中獲取數據,然后將脫敏數據加載到目標環境。這種方法主要用于敏捷組織,因為它不干擾持續開發,并提供額外的靈活性和速度。


On-the-fly數據脫敏的好處是實行連續部署的敏捷組織無需花費時間創建備份并將其加載到數據庫的黃金拷貝中。出于這個原因,可以將生產數據的較小子集脫敏用于測試。建議在開發項目一開始就使用On-the-fly數據脫敏,以防止產生安全問題甚至違反法規要求。


动漫精品欧美一区二区三区-无码一级毛片一区二区色欲-无码日韩精品无码国产-欧美视频一二三区