域名預訂/競價，好“米”不錯過

2016年通過的《歐盟通用數(shù)據(jù)保護規(guī)范(GDPR)》即將于2018年5月25日開始實施。該規(guī)范要求在歐盟內經營的所有企業(yè)以及收集或處理源自歐盟的個人數(shù)據(jù)的企業(yè)都遵守該規(guī)范。對于在歐盟境內未設立實體辦公地點或并未處理源自歐盟國家的個人數(shù)據(jù)的企業(yè)也并非不受GDPR約束。一旦違反該規(guī)范，則企業(yè)將面臨極其嚴格的罰款，即：企業(yè)前一財年全球總收入4%或2230萬美元的罰款，以較高者為準。

在整個88頁的GDPR文件中，我們將與數(shù)據(jù)安全有關的主要條款歸納如下(圖1)

第25條：數(shù)據(jù)保護設計與默認設置

第32條：數(shù)據(jù)處理安全性

第33條：數(shù)據(jù)違規(guī)情況通報給相關監(jiān)管機構

第35條：數(shù)據(jù)保護影響評估

第44條：數(shù)據(jù)傳輸?shù)囊话阍瓌t

之前曾提過，為協(xié)助企業(yè)滿足GDPR合規(guī)規(guī)定，Imperva可提供的專業(yè)服務項目。本文中將進一步說明產品的具體特性以及其滿足上述GDPR數(shù)據(jù)安全規(guī)定的方法。Imperva數(shù)據(jù)安全解決方案有五種方法幫助企業(yè)滿足GDPR合規(guī)要求。

圖1：關鍵GDPR數(shù)據(jù)保護要求及Imperva數(shù)據(jù)安全解決方案

數(shù)據(jù)發(fā)現(xiàn)與分類

GDPR要求企業(yè)建立與保留詳細的個人數(shù)據(jù)庫清單，然后按風險預測與優(yōu)先性分類數(shù)據(jù)。為滿足這一要求，首先需要了解數(shù)據(jù)庫的位置，以及其內存儲的數(shù)據(jù)類型。Imperva SecureSphere可自動掃描企業(yè)網絡找到已知與未知的數(shù)據(jù)庫，幫助企業(yè)輕松創(chuàng)建定制自己的數(shù)據(jù)發(fā)現(xiàn)策略，并應用于企業(yè)網絡任意部分的掃描。為確保數(shù)據(jù)發(fā)現(xiàn)的持續(xù)性，并將新數(shù)據(jù)納入安全與防護范圍，SecureSphere還支持自動定時掃描。擁有自動與定時掃描功能可便于企業(yè)隨時獲取自己的網絡內的最新的全部數(shù)據(jù)清單。

個人數(shù)據(jù)遮蔽與假名化

GDPR要求企業(yè)實行數(shù)據(jù)最小化與用途限制措施。這意味著企業(yè)只能因特定用途去收集與使用數(shù)據(jù)，且數(shù)據(jù)保留時限不得超出需知的范圍 。例如，有一家保險公司因制作保單需要收集個人信息，則其再不能將該數(shù)據(jù)用于定價分析等用途，因為該個人數(shù)據(jù)僅為制作保單所收集，再不得將該數(shù)據(jù)用于其它用途(如：開發(fā)定價分析數(shù)據(jù)庫)。但如通過數(shù)據(jù)屏蔽法將數(shù)據(jù)假名化，則仍然可以將被屏蔽的數(shù)據(jù)用于定價分析，使得該個人數(shù)據(jù)會被用于其它用途。

數(shù)據(jù)假名化：根據(jù)GDPR規(guī)定，數(shù)據(jù)假名化是指將數(shù)據(jù)去識別化，使數(shù)據(jù)無法直接識別主體。ImpervaCamouflage通過數(shù)據(jù)遮蔽方法隱藏個人數(shù)據(jù)，即：利用現(xiàn)實虛構數(shù)據(jù)來代替真實數(shù)據(jù)，使得數(shù)據(jù)在功能性與統(tǒng)計性上更精準。這種方法可以降低數(shù)據(jù)違規(guī)風險，便于用于商業(yè)用途。

數(shù)據(jù)處理安全性

GDPR的核心就是要確保個人數(shù)據(jù)的安全。因此非常注重數(shù)據(jù)處理安全，如：數(shù)據(jù)控制方與數(shù)據(jù)處理方都需要采取適當?shù)募夹g措施確保數(shù)據(jù)安全。SecureSphere正是這樣一款產品，可幫助企業(yè)保護數(shù)據(jù)，識別出數(shù)據(jù)庫漏洞并監(jiān)控數(shù)據(jù)庫活動。

數(shù)據(jù)庫漏洞評估

GDPR要求企業(yè)對數(shù)據(jù)采取連續(xù)保護，并定期測試與驗證所采用的技術保護措施有效性，確保數(shù)據(jù)處理的安全性。同時還需連續(xù)進行數(shù)據(jù)庫漏洞評估，識別出個人數(shù)據(jù)風險。Imperva SecureSphere可識別出數(shù)據(jù)庫的安全漏洞，并可對數(shù)據(jù)庫服務器及操作系統(tǒng)平臺進行1500種以上預設漏洞與不當配置(如：未安裝補丁包、默認密碼或權限配置不當)的測試與掃描。同時還可生成評估報告，并針對識別出的漏洞提供具體的建議方案，增強被掃描數(shù)據(jù)庫服務器的安全性能。

監(jiān)控數(shù)據(jù)訪問活動

數(shù)據(jù)活動監(jiān)控是GDPR規(guī)范中最重要的內容之一，要求企業(yè)為數(shù)據(jù)處理提供安全環(huán)境。為滿足GDPR規(guī)定，企業(yè)需回答下列問題：數(shù)據(jù)訪問者是誰?數(shù)據(jù)用途是什么?

應對這一合規(guī)要求，SecureSphere利用其對所有數(shù)據(jù)庫活動的持續(xù)監(jiān)控與分析功能，幫助用戶實現(xiàn)對數(shù)據(jù)活動的實時完全可見，包括本地特權用戶訪問與服務帳號。數(shù)據(jù)庫活動的監(jiān)控與審計功能可確保個人數(shù)據(jù)的適當使用，以及授權用戶對個人數(shù)據(jù)的訪問。此外，數(shù)據(jù)監(jiān)控功能還可防止外部攻擊盜竊數(shù)據(jù)，如SQL注入，并防止內部威脅，如：惡意、疏忽、或受到侵犯的用戶。隨時警惕數(shù)據(jù)安全，才能使企業(yè)在發(fā)生數(shù)據(jù)違規(guī)前識別與阻止可疑或非法數(shù)據(jù)訪問。

違規(guī)檢查與事件響應

一旦發(fā)生個人數(shù)據(jù)違規(guī)，GDPR要求數(shù)據(jù)控制方必需“不得無故拖延，如可能，應在獲取該消息后72小時內上報給監(jiān)管機關”。如未能在72小時內發(fā)出通知，則數(shù)據(jù)控制方必需為其延遲提交合理說明。

目前面臨的最大挑戰(zhàn)是，由于安全團隊要處理大量的事件預警情報，導致真實報警事件容易被忽略。針對這種情況，ImpervaCounterBreach利用其先進的機器學習與peer group分析，優(yōu)先處理數(shù)據(jù)訪問事件，無需對數(shù)據(jù)環(huán)境進行深入了解就能使安全團隊及時發(fā)現(xiàn)預警。CounterBreach可分析用戶行為與數(shù)據(jù)訪問活動，識別出真正需要關注(或危險)的事件，并降低數(shù)據(jù)暴露的風險。

實施跨境數(shù)據(jù)傳輸策略

GDPR為向歐洲經濟區(qū)(EEA)以外的個人數(shù)據(jù)傳輸做出了嚴格的限制規(guī)定，確保在這一過程中不會影響數(shù)據(jù)保護與隱私保護。GDPR第44條中規(guī)定，禁止向EEA以外的地區(qū)傳輸個人數(shù)據(jù)，除非接收國可證明其可提供充足的數(shù)據(jù)保護。

SecureSphere可幫助企業(yè)滿足制式合同以及關于歐盟“公司約束令”(BCR)的要求。該產品支持對數(shù)據(jù)庫進行連續(xù)的發(fā)現(xiàn)與分類掃描，確保數(shù)據(jù)庫與個人數(shù)據(jù)適當分類與保護。還可幫助企業(yè)用戶創(chuàng)建數(shù)據(jù)庫流量檢查策略。一旦發(fā)現(xiàn)政策違規(guī)，如：非法訪問、阻止用戶接入或終止會話等，都可確保適當?shù)目缇硵?shù)據(jù)訪問與使用。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！