域名預(yù)訂/競價，好“米”不錯過

2016年通過的《歐盟通用數(shù)據(jù)保護(hù)規(guī)范(GDPR)》即將于2018年5月25日開始實(shí)施。該規(guī)范要求在歐盟內(nèi)經(jīng)營的所有企業(yè)以及收集或處理源自歐盟的個人數(shù)據(jù)的企業(yè)都遵守該規(guī)范。對于在歐盟境內(nèi)未設(shè)立實(shí)體辦公地點(diǎn)或并未處理源自歐盟國家的個人數(shù)據(jù)的企業(yè)也并非不受GDPR約束。一旦違反該規(guī)范，則企業(yè)將面臨極其嚴(yán)格的罰款，即：企業(yè)前一財年全球總收入4%或2230萬美元的罰款，以較高者為準(zhǔn)。

在整個88頁的GDPR文件中，我們將與數(shù)據(jù)安全有關(guān)的主要條款歸納如下(圖1)

第25條：數(shù)據(jù)保護(hù)設(shè)計與默認(rèn)設(shè)置

第32條：數(shù)據(jù)處理安全性

第33條：數(shù)據(jù)違規(guī)情況通報給相關(guān)監(jiān)管機(jī)構(gòu)

第35條：數(shù)據(jù)保護(hù)影響評估

第44條：數(shù)據(jù)傳輸?shù)囊话阍瓌t

之前曾提過，為協(xié)助企業(yè)滿足GDPR合規(guī)規(guī)定，Imperva可提供的專業(yè)服務(wù)項(xiàng)目。本文中將進(jìn)一步說明產(chǎn)品的具體特性以及其滿足上述GDPR數(shù)據(jù)安全規(guī)定的方法。Imperva數(shù)據(jù)安全解決方案有五種方法幫助企業(yè)滿足GDPR合規(guī)要求。

圖1：關(guān)鍵GDPR數(shù)據(jù)保護(hù)要求及Imperva數(shù)據(jù)安全解決方案

數(shù)據(jù)發(fā)現(xiàn)與分類

GDPR要求企業(yè)建立與保留詳細(xì)的個人數(shù)據(jù)庫清單，然后按風(fēng)險預(yù)測與優(yōu)先性分類數(shù)據(jù)。為滿足這一要求，首先需要了解數(shù)據(jù)庫的位置，以及其內(nèi)存儲的數(shù)據(jù)類型。Imperva SecureSphere可自動掃描企業(yè)網(wǎng)絡(luò)找到已知與未知的數(shù)據(jù)庫，幫助企業(yè)輕松創(chuàng)建定制自己的數(shù)據(jù)發(fā)現(xiàn)策略，并應(yīng)用于企業(yè)網(wǎng)絡(luò)任意部分的掃描。為確保數(shù)據(jù)發(fā)現(xiàn)的持續(xù)性，并將新數(shù)據(jù)納入安全與防護(hù)范圍，SecureSphere還支持自動定時掃描。擁有自動與定時掃描功能可便于企業(yè)隨時獲取自己的網(wǎng)絡(luò)內(nèi)的最新的全部數(shù)據(jù)清單。

個人數(shù)據(jù)遮蔽與假名化

GDPR要求企業(yè)實(shí)行數(shù)據(jù)最小化與用途限制措施。這意味著企業(yè)只能因特定用途去收集與使用數(shù)據(jù)，且數(shù)據(jù)保留時限不得超出需知的范圍 。例如，有一家保險公司因制作保單需要收集個人信息，則其再不能將該數(shù)據(jù)用于定價分析等用途，因?yàn)樵搨€人數(shù)據(jù)僅為制作保單所收集，再不得將該數(shù)據(jù)用于其它用途(如：開發(fā)定價分析數(shù)據(jù)庫)。但如通過數(shù)據(jù)屏蔽法將數(shù)據(jù)假名化，則仍然可以將被屏蔽的數(shù)據(jù)用于定價分析，使得該個人數(shù)據(jù)會被用于其它用途。

數(shù)據(jù)假名化：根據(jù)GDPR規(guī)定，數(shù)據(jù)假名化是指將數(shù)據(jù)去識別化，使數(shù)據(jù)無法直接識別主體。ImpervaCamouflage通過數(shù)據(jù)遮蔽方法隱藏個人數(shù)據(jù)，即：利用現(xiàn)實(shí)虛構(gòu)數(shù)據(jù)來代替真實(shí)數(shù)據(jù)，使得數(shù)據(jù)在功能性與統(tǒng)計性上更精準(zhǔn)。這種方法可以降低數(shù)據(jù)違規(guī)風(fēng)險，便于用于商業(yè)用途。

數(shù)據(jù)處理安全性

GDPR的核心就是要確保個人數(shù)據(jù)的安全。因此非常注重數(shù)據(jù)處理安全，如：數(shù)據(jù)控制方與數(shù)據(jù)處理方都需要采取適當(dāng)?shù)募夹g(shù)措施確保數(shù)據(jù)安全。SecureSphere正是這樣一款產(chǎn)品，可幫助企業(yè)保護(hù)數(shù)據(jù)，識別出數(shù)據(jù)庫漏洞并監(jiān)控數(shù)據(jù)庫活動。

數(shù)據(jù)庫漏洞評估

GDPR要求企業(yè)對數(shù)據(jù)采取連續(xù)保護(hù)，并定期測試與驗(yàn)證所采用的技術(shù)保護(hù)措施有效性，確保數(shù)據(jù)處理的安全性。同時還需連續(xù)進(jìn)行數(shù)據(jù)庫漏洞評估，識別出個人數(shù)據(jù)風(fēng)險。Imperva SecureSphere可識別出數(shù)據(jù)庫的安全漏洞，并可對數(shù)據(jù)庫服務(wù)器及操作系統(tǒng)平臺進(jìn)行1500種以上預(yù)設(shè)漏洞與不當(dāng)配置(如：未安裝補(bǔ)丁包、默認(rèn)密碼或權(quán)限配置不當(dāng))的測試與掃描。同時還可生成評估報告，并針對識別出的漏洞提供具體的建議方案，增強(qiáng)被掃描數(shù)據(jù)庫服務(wù)器的安全性能。

監(jiān)控數(shù)據(jù)訪問活動

數(shù)據(jù)活動監(jiān)控是GDPR規(guī)范中最重要的內(nèi)容之一，要求企業(yè)為數(shù)據(jù)處理提供安全環(huán)境。為滿足GDPR規(guī)定，企業(yè)需回答下列問題：數(shù)據(jù)訪問者是誰?數(shù)據(jù)用途是什么?

應(yīng)對這一合規(guī)要求，SecureSphere利用其對所有數(shù)據(jù)庫活動的持續(xù)監(jiān)控與分析功能，幫助用戶實(shí)現(xiàn)對數(shù)據(jù)活動的實(shí)時完全可見，包括本地特權(quán)用戶訪問與服務(wù)帳號。數(shù)據(jù)庫活動的監(jiān)控與審計功能可確保個人數(shù)據(jù)的適當(dāng)使用，以及授權(quán)用戶對個人數(shù)據(jù)的訪問。此外，數(shù)據(jù)監(jiān)控功能還可防止外部攻擊盜竊數(shù)據(jù)，如SQL注入，并防止內(nèi)部威脅，如：惡意、疏忽、或受到侵犯的用戶。隨時警惕數(shù)據(jù)安全，才能使企業(yè)在發(fā)生數(shù)據(jù)違規(guī)前識別與阻止可疑或非法數(shù)據(jù)訪問。

違規(guī)檢查與事件響應(yīng)

一旦發(fā)生個人數(shù)據(jù)違規(guī)，GDPR要求數(shù)據(jù)控制方必需“不得無故拖延，如可能，應(yīng)在獲取該消息后72小時內(nèi)上報給監(jiān)管機(jī)關(guān)”。如未能在72小時內(nèi)發(fā)出通知，則數(shù)據(jù)控制方必需為其延遲提交合理說明。

目前面臨的最大挑戰(zhàn)是，由于安全團(tuán)隊(duì)要處理大量的事件預(yù)警情報，導(dǎo)致真實(shí)報警事件容易被忽略。針對這種情況，ImpervaCounterBreach利用其先進(jìn)的機(jī)器學(xué)習(xí)與peer group分析，優(yōu)先處理數(shù)據(jù)訪問事件，無需對數(shù)據(jù)環(huán)境進(jìn)行深入了解就能使安全團(tuán)隊(duì)及時發(fā)現(xiàn)預(yù)警。CounterBreach可分析用戶行為與數(shù)據(jù)訪問活動，識別出真正需要關(guān)注(或危險)的事件，并降低數(shù)據(jù)暴露的風(fēng)險。

實(shí)施跨境數(shù)據(jù)傳輸策略

GDPR為向歐洲經(jīng)濟(jì)區(qū)(EEA)以外的個人數(shù)據(jù)傳輸做出了嚴(yán)格的限制規(guī)定，確保在這一過程中不會影響數(shù)據(jù)保護(hù)與隱私保護(hù)。GDPR第44條中規(guī)定，禁止向EEA以外的地區(qū)傳輸個人數(shù)據(jù)，除非接收國可證明其可提供充足的數(shù)據(jù)保護(hù)。

SecureSphere可幫助企業(yè)滿足制式合同以及關(guān)于歐盟“公司約束令”(BCR)的要求。該產(chǎn)品支持對數(shù)據(jù)庫進(jìn)行連續(xù)的發(fā)現(xiàn)與分類掃描，確保數(shù)據(jù)庫與個人數(shù)據(jù)適當(dāng)分類與保護(hù)。還可幫助企業(yè)用戶創(chuàng)建數(shù)據(jù)庫流量檢查策略。一旦發(fā)現(xiàn)政策違規(guī)，如：非法訪問、阻止用戶接入或終止會話等，都可確保適當(dāng)?shù)目缇硵?shù)據(jù)訪問與使用。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！