域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

2016年通過(guò)的《歐盟通用數(shù)據(jù)保護(hù)規(guī)范(GDPR)》即將于2018年5月25日開(kāi)始實(shí)施。該規(guī)范要求在歐盟內(nèi)經(jīng)營(yíng)的所有企業(yè)以及收集或處理源自歐盟的個(gè)人數(shù)據(jù)的企業(yè)都遵守該規(guī)范。對(duì)于在歐盟境內(nèi)未設(shè)立實(shí)體辦公地點(diǎn)或并未處理源自歐盟國(guó)家的個(gè)人數(shù)據(jù)的企業(yè)也并非不受GDPR約束。一旦違反該規(guī)范，則企業(yè)將面臨極其嚴(yán)格的罰款，即：企業(yè)前一財(cái)年全球總收入4%或2230萬(wàn)美元的罰款，以較高者為準(zhǔn)。

在整個(gè)88頁(yè)的GDPR文件中，我們將與數(shù)據(jù)安全有關(guān)的主要條款歸納如下(圖1)

第25條：數(shù)據(jù)保護(hù)設(shè)計(jì)與默認(rèn)設(shè)置

第32條：數(shù)據(jù)處理安全性

第33條：數(shù)據(jù)違規(guī)情況通報(bào)給相關(guān)監(jiān)管機(jī)構(gòu)

第35條：數(shù)據(jù)保護(hù)影響評(píng)估

第44條：數(shù)據(jù)傳輸?shù)囊话阍瓌t

之前曾提過(guò)，為協(xié)助企業(yè)滿足GDPR合規(guī)規(guī)定，Imperva可提供的專業(yè)服務(wù)項(xiàng)目。本文中將進(jìn)一步說(shuō)明產(chǎn)品的具體特性以及其滿足上述GDPR數(shù)據(jù)安全規(guī)定的方法。Imperva數(shù)據(jù)安全解決方案有五種方法幫助企業(yè)滿足GDPR合規(guī)要求。

圖1：關(guān)鍵GDPR數(shù)據(jù)保護(hù)要求及Imperva數(shù)據(jù)安全解決方案

數(shù)據(jù)發(fā)現(xiàn)與分類

GDPR要求企業(yè)建立與保留詳細(xì)的個(gè)人數(shù)據(jù)庫(kù)清單，然后按風(fēng)險(xiǎn)預(yù)測(cè)與優(yōu)先性分類數(shù)據(jù)。為滿足這一要求，首先需要了解數(shù)據(jù)庫(kù)的位置，以及其內(nèi)存儲(chǔ)的數(shù)據(jù)類型。Imperva SecureSphere可自動(dòng)掃描企業(yè)網(wǎng)絡(luò)找到已知與未知的數(shù)據(jù)庫(kù)，幫助企業(yè)輕松創(chuàng)建定制自己的數(shù)據(jù)發(fā)現(xiàn)策略，并應(yīng)用于企業(yè)網(wǎng)絡(luò)任意部分的掃描。為確保數(shù)據(jù)發(fā)現(xiàn)的持續(xù)性，并將新數(shù)據(jù)納入安全與防護(hù)范圍，SecureSphere還支持自動(dòng)定時(shí)掃描。擁有自動(dòng)與定時(shí)掃描功能可便于企業(yè)隨時(shí)獲取自己的網(wǎng)絡(luò)內(nèi)的最新的全部數(shù)據(jù)清單。

個(gè)人數(shù)據(jù)遮蔽與假名化

GDPR要求企業(yè)實(shí)行數(shù)據(jù)最小化與用途限制措施。這意味著企業(yè)只能因特定用途去收集與使用數(shù)據(jù)，且數(shù)據(jù)保留時(shí)限不得超出需知的范圍 。例如，有一家保險(xiǎn)公司因制作保單需要收集個(gè)人信息，則其再不能將該數(shù)據(jù)用于定價(jià)分析等用途，因?yàn)樵搨€(gè)人數(shù)據(jù)僅為制作保單所收集，再不得將該數(shù)據(jù)用于其它用途(如：開(kāi)發(fā)定價(jià)分析數(shù)據(jù)庫(kù))。但如通過(guò)數(shù)據(jù)屏蔽法將數(shù)據(jù)假名化，則仍然可以將被屏蔽的數(shù)據(jù)用于定價(jià)分析，使得該個(gè)人數(shù)據(jù)會(huì)被用于其它用途。

數(shù)據(jù)假名化：根據(jù)GDPR規(guī)定，數(shù)據(jù)假名化是指將數(shù)據(jù)去識(shí)別化，使數(shù)據(jù)無(wú)法直接識(shí)別主體。ImpervaCamouflage通過(guò)數(shù)據(jù)遮蔽方法隱藏個(gè)人數(shù)據(jù)，即：利用現(xiàn)實(shí)虛構(gòu)數(shù)據(jù)來(lái)代替真實(shí)數(shù)據(jù)，使得數(shù)據(jù)在功能性與統(tǒng)計(jì)性上更精準(zhǔn)。這種方法可以降低數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)，便于用于商業(yè)用途。

數(shù)據(jù)處理安全性

GDPR的核心就是要確保個(gè)人數(shù)據(jù)的安全。因此非常注重?cái)?shù)據(jù)處理安全，如：數(shù)據(jù)控制方與數(shù)據(jù)處理方都需要采取適當(dāng)?shù)募夹g(shù)措施確保數(shù)據(jù)安全。SecureSphere正是這樣一款產(chǎn)品，可幫助企業(yè)保護(hù)數(shù)據(jù)，識(shí)別出數(shù)據(jù)庫(kù)漏洞并監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)。

數(shù)據(jù)庫(kù)漏洞評(píng)估

GDPR要求企業(yè)對(duì)數(shù)據(jù)采取連續(xù)保護(hù)，并定期測(cè)試與驗(yàn)證所采用的技術(shù)保護(hù)措施有效性，確保數(shù)據(jù)處理的安全性。同時(shí)還需連續(xù)進(jìn)行數(shù)據(jù)庫(kù)漏洞評(píng)估，識(shí)別出個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)。Imperva SecureSphere可識(shí)別出數(shù)據(jù)庫(kù)的安全漏洞，并可對(duì)數(shù)據(jù)庫(kù)服務(wù)器及操作系統(tǒng)平臺(tái)進(jìn)行1500種以上預(yù)設(shè)漏洞與不當(dāng)配置(如：未安裝補(bǔ)丁包、默認(rèn)密碼或權(quán)限配置不當(dāng))的測(cè)試與掃描。同時(shí)還可生成評(píng)估報(bào)告，并針對(duì)識(shí)別出的漏洞提供具體的建議方案，增強(qiáng)被掃描數(shù)據(jù)庫(kù)服務(wù)器的安全性能。

監(jiān)控?cái)?shù)據(jù)訪問(wèn)活動(dòng)

數(shù)據(jù)活動(dòng)監(jiān)控是GDPR規(guī)范中最重要的內(nèi)容之一，要求企業(yè)為數(shù)據(jù)處理提供安全環(huán)境。為滿足GDPR規(guī)定，企業(yè)需回答下列問(wèn)題：數(shù)據(jù)訪問(wèn)者是誰(shuí)?數(shù)據(jù)用途是什么?

應(yīng)對(duì)這一合規(guī)要求，SecureSphere利用其對(duì)所有數(shù)據(jù)庫(kù)活動(dòng)的持續(xù)監(jiān)控與分析功能，幫助用戶實(shí)現(xiàn)對(duì)數(shù)據(jù)活動(dòng)的實(shí)時(shí)完全可見(jiàn)，包括本地特權(quán)用戶訪問(wèn)與服務(wù)帳號(hào)。數(shù)據(jù)庫(kù)活動(dòng)的監(jiān)控與審計(jì)功能可確保個(gè)人數(shù)據(jù)的適當(dāng)使用，以及授權(quán)用戶對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)。此外，數(shù)據(jù)監(jiān)控功能還可防止外部攻擊盜竊數(shù)據(jù)，如SQL注入，并防止內(nèi)部威脅，如：惡意、疏忽、或受到侵犯的用戶。隨時(shí)警惕數(shù)據(jù)安全，才能使企業(yè)在發(fā)生數(shù)據(jù)違規(guī)前識(shí)別與阻止可疑或非法數(shù)據(jù)訪問(wèn)。

違規(guī)檢查與事件響應(yīng)

一旦發(fā)生個(gè)人數(shù)據(jù)違規(guī)，GDPR要求數(shù)據(jù)控制方必需“不得無(wú)故拖延，如可能，應(yīng)在獲取該消息后72小時(shí)內(nèi)上報(bào)給監(jiān)管機(jī)關(guān)”。如未能在72小時(shí)內(nèi)發(fā)出通知，則數(shù)據(jù)控制方必需為其延遲提交合理說(shuō)明。

目前面臨的最大挑戰(zhàn)是，由于安全團(tuán)隊(duì)要處理大量的事件預(yù)警情報(bào)，導(dǎo)致真實(shí)報(bào)警事件容易被忽略。針對(duì)這種情況，ImpervaCounterBreach利用其先進(jìn)的機(jī)器學(xué)習(xí)與peer group分析，優(yōu)先處理數(shù)據(jù)訪問(wèn)事件，無(wú)需對(duì)數(shù)據(jù)環(huán)境進(jìn)行深入了解就能使安全團(tuán)隊(duì)及時(shí)發(fā)現(xiàn)預(yù)警。CounterBreach可分析用戶行為與數(shù)據(jù)訪問(wèn)活動(dòng)，識(shí)別出真正需要關(guān)注(或危險(xiǎn))的事件，并降低數(shù)據(jù)暴露的風(fēng)險(xiǎn)。

實(shí)施跨境數(shù)據(jù)傳輸策略

GDPR為向歐洲經(jīng)濟(jì)區(qū)(EEA)以外的個(gè)人數(shù)據(jù)傳輸做出了嚴(yán)格的限制規(guī)定，確保在這一過(guò)程中不會(huì)影響數(shù)據(jù)保護(hù)與隱私保護(hù)。GDPR第44條中規(guī)定，禁止向EEA以外的地區(qū)傳輸個(gè)人數(shù)據(jù)，除非接收國(guó)可證明其可提供充足的數(shù)據(jù)保護(hù)。

SecureSphere可幫助企業(yè)滿足制式合同以及關(guān)于歐盟“公司約束令”(BCR)的要求。該產(chǎn)品支持對(duì)數(shù)據(jù)庫(kù)進(jìn)行連續(xù)的發(fā)現(xiàn)與分類掃描，確保數(shù)據(jù)庫(kù)與個(gè)人數(shù)據(jù)適當(dāng)分類與保護(hù)。還可幫助企業(yè)用戶創(chuàng)建數(shù)據(jù)庫(kù)流量檢查策略。一旦發(fā)現(xiàn)政策違規(guī)，如：非法訪問(wèn)、阻止用戶接入或終止會(huì)話等，都可確保適當(dāng)?shù)目缇硵?shù)據(jù)訪問(wèn)與使用。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！