预览加载中,请您耐心等待几秒...

基于研发流程的数据安全建设实践-陈继安.pdf

预览
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共24页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

下载提示 文本预览

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

基于研发流程的数据安全建设实践陈继安关于我•2009年开始从事研发工作;•2012年开始关注安全;•2015年7月开始负责安全体系建设;•2019年底开始负责安全和DevOps相关工作;•目前就职于猪八戒网主要负责项目全生命周期管理、CI/CD、全链路监控、应用和数据安全、ServiceMesh落地等;支撑公司500+研发人员高效、自助、安全的完成研发工作。数据安全落地难点•数据在哪里?谁在收集、存储、使用;•系统运行很久、改造成本极高新业务层出不穷;•数据安全专业人员招聘难;•数据安全事故仅仅是安全部门的责任;•....明确目标和责任如何定义数据安全目标?1、符合各类合规要求;2、不出现重大数据泄露事件;明确目标和责任如何划分数据安全责任?1、数据收集方是数据安全第一责任方;2、安全部门承担数据安全监管责任;3、合理设置主次责任;数据安全组织结构决策方公司副总数据安全管理方安全管理1人(含运营)数据安全治理方安全技术1人(+运维、DBA、大数据)数据安全执行方业务团队300+人依托研发流程将数据安全左移1、数据归属管理2、数据分类分级3、数据使用管理数据归属管理通过研发平台实现业务、工程、数据的关联;数据归属管理通过研发流程+数据库规范推动数据和工程关联落地1、一个表只能被一个工程关联;2、所有数据查询、数据订正、数据结构变更均需要表对应的工程负责人审核;3、表对应工程的负责人有权回收其他工程的读写权限;(需提供相应的业务接口)4、工程的数据库账号权限由库级权限改为表级权限;5、新工程原则上只能连接和工程关联的表;(推荐一个工程一个库)6、没有关联的表无法进行操作并会根据情况进行备份下线处理;数据分类分级定义敏感信息数据特征;(字段名称特征、字段内容特征)数据分类分级在数据库DDL的时候对字段名称进行检查;数据分类分级根据字段内容特征实时扫描数据库内容实现数据自动打标数据使用管理1、数据分析或人工提取数据使用管理2、监控与审计数据使用管理3、基于零信任的数据访问数据使用管理4、应用间调用权限控制数据使用管理5、基于nginx+lua的web接口敏感数据识别数据使用管理5、基于nginx+lua的web接口敏感数据识别数据使用管理6、业务场景提供公共服务阶段性成果83.2%59.7%38.6%<5数据库表和业务的敏感web接⼝识别敏感数据加密覆盖个⼈敏感数据的⽉关联度;覆盖率;率;提取次数和查询次未关联的陆续下线并对完成不合规的个⼈敏感数据的识数降⾄个位数接⼝进⾏整改;别和标记100%总结安全是为业务服务的安全可以间接提高业务的竞争力1、制定让老板放心的目标;2、通过运营持续推动落地;3、依托研发流程进行管控和赋能;4、建立完善的安全体系;(SDL、红蓝对抗、安全文化...)知可以战与不可以战者胜识众寡之用者胜上下同欲者胜以虞待不虞者胜将能而君不御者胜。---《孙子兵法》