数据安全成熟度模型2.0（DSMM 2.0）

2023年4月23日

写在前面：本文主要介绍数据安全成熟度模型2.0的内容，但此DSMM和国内的DSMM不是一码事。本DSMM由Comprehensive Cyber Capabilities Working Group (C3WG）开发，主要参考美国国家标准与技术研究院
（NIST）的网络安全框架（CSF）和网络安全防御矩阵（CDM），相比国内的DSMM，内容精简了不少，可以作为很多场景的补充。实际的客户环境，数据的全生命周期会涉及很多部门，项目中协调起来非常困难，而且如果是由信息安全部门发起的项目，也很难对数据的全生命周期进行管理，这个时候，可以使用这个模型，从传统的网络安全角度，解决数据安全问题。

本DSMM的由来、未来可能的变化、和国内DSMM的关系、是否可以融合等内容，将在下一篇文章中详细讨论。

范围和目标

        数据安全成熟度模型(DSMM)，通过开发以数据为中心的安全方法，帮助组织保护其敏感信息。整体看来，DSMM与业内一些最知名的安全框架，特别是NIST网络安全框架（CSF），有着类似的结构。这将使组织能够更容易地将其集成到当前的安全和隐私工作中，并增加对其他框架的投入。

为什么要使用DSMM

        许多安全模型涵盖了数据安全和隐私的关键内容，但DSMM带来了一种独特的以“数据为中心”的方法，在其他模型中尚没有提及。传统的数据保护战略通常侧重于狭义的用户场景或特定威胁，而DSMM希望帮助组织采用更广泛、更一致的方法来保护其部分或所有数据。随着企业数据在使用方式和存储位置方面表现得令人难以置信的多变，这种方法越来越成为安全主管的优先事项。今天的数据不再躺在数据库中，而是不断地被用户在几十个应用程序中使用、修改和共享。同样，数据几乎可以存在于任何地方，包括终端用户设备、传统应用程序和SaaS以及各种其他云服务。

        以数据为中心的安全防护方法确保可以将风险情形和策略实施应用于任何数据。无论数据移动到哪里或如何修改，能够一直跟踪数据本身，而不依赖于基于网络的边界，也就是说，不会失去可见性和控制。这种方法对于组织充分利用其数据的力量，同时保护其免受外部威胁、内部威胁或可能危及数据可用性、机密性或完整性的简单错误等的影响至关重要。

        组织还可以使用新型的数据安全和隐私工具，让这种以数据为中心的方法比以往任何时候都更加实用和可靠。在过去，传统工具的局限性通常使数据安全工作非常费力，并且仅用于非常有限的场景。最近的一波创新使组织能够将数据安全原则扩展到企业中任何地方的几乎任何类型的数据。DSMM提供一个蓝图，帮助组织将可用的工具和实践与他们环境的特殊需求和风险结合起来。

模型详述

        DSMM表示成数据安全计划中的五个关键功能。这些功能是：

• 识别和分类（Identify and Classify）

• 保护 （Protect）

• 检测 （Detect）

• 响应 （Respond）

• 恢复和提高 （Recover and Improve）

        每个功能涵盖多个基础目标。目标侧重于支持上一级功能的特定安全项。例如，数据发现是_识别和分类_功能中的一个目标。每个目标分三个成熟度水平进行处理。每个水平都包括为满足给定成熟度水平所需的实践/活动，并包括可用于实施和实现这些实践的示例方法和工具。这些示例方法和工具并不打算详尽无遗，而是为模型的用户提供一些基本的参考和指导。鼓励组织调查并确定对其本身特有需求最有意义的方法、工具和过程。

        大多数目标包含三个成熟度水平。每升高一个级别，就会改进目标实现的程度，扩大目标的范围。例如，1级_发现可能包括在选取的位置或数据库中手动识别和标记数据，而3级发现_将包括在所有位置自动发现所有敏感信息。第3级目标具有最大的范围和完备/复杂程度。在这些级别中使用“所有”一词并不意味着组织只有做到无可挑剔才能达到这个成熟度级别。显然，在真正的安全实践中，几乎不可能做到尽善尽美。相反，我们使用“所有”这个词来表示目标的范围没有明确的限制，例如将策略限制为特定类型的数据或特定位置。

        组织是独一无二的，同样，适合于它们的成熟度水平将根据各自独特的需求和风险而变化。读者可以参考附录中的示例场景部分，获得关于如何为其组织选择适当的成熟度水平的进一步指导。

        此外，目标和实践经常是相互关联的，因此，它们相互补充。例如，识别敏感数据将在保护数据方面发挥关键作用。同样，更好的检测功能通常将支持增强的响应工作。该模型还支持后期目标和实践到反馈回早期目标和实践。例如，从事件审查或检测中吸取的经验教训可能被纳入到保护阶段的策略中。

        由于数据安全正处于快速发展的时期，我们也鼓励在DSMM上积极合作。关于更新模型或包含特定控制或方法的建议可以在suggestions@datasecurity.org上共享。

关键术语

        DSMM的命名法类似于其他主流安全框架和标准，特别是NIST网络安全框架和网络安全能力成熟度模型(C2M2，Cybersecurity Capability Maturity Model)。

功能（Functions）

        提供组织网络安全管理的高层次、面向生命周期的视图，在本文中，重点关注数据安全和隐私。

目标 （Objectives）

        是与程序性需求密切相关的网络安全结果。它们是中间层的成果，通过组成它们的实践来完成。也称之为能力。

实践 （Practices）

        DSMM最基本的组成部分。每个实践都是一个简短的声明，描述了组织要执行的数据安全/隐私活动。这些活动的目的是实现和维持适当的安全/隐私水平，与组织对风险的容忍度及其总体业务目标相称。在每个目标中，实践被组织起来以沿着成熟度阶梯递进。

引用DSMM

        DSMM可以使用标准化的引用系统与外部工具和报告系统无缝集成。模型中的每个目标都有一个唯一的标识符，以促进这个集成过程。标识符遵循特定的格式，成熟度级别可以通过简单的点符号表示。

        标识符的标准格式如下:

        D.<Maturity Level>

        下表提供了一些例子来说明这些标识符的应用:

标识符

功能

目标

成熟度水平

DID002.L3

Identify and Classify

Data Flows and Context

Level 3

DDE002.L2

Detect

Analysis Methods

Level 2

DRC002.L1

Recover and Improve

Incident Review /Lessons Learned

Level 1

定义数据安全计划目标

        任何数据安全计划的第一步都是为组织指定业务战略和目标。

• 确定业务优先级，以及数据安全和隐私促进业务产出的方式。

• 定义要保护的数据范围：这可能是一个手动过程，以确定哪些数据对业务很重要。包括任何数据，如果丢失、暴露、或被恶意更改/损坏，将对组织造成风险：

• 受地理和行业法规合规要求约束的数据

• 受出口管制条例保护和监管的技术数据

• 个人身份信息(PII)和类似数据，如果处理不当，可能会对品牌声誉、客户获取或客户留存产生不利影响

• 可能不在法规要求范围内的客户或合作伙伴数据

• 生产商品和服务所需的运维数据

• 公司知识产权(IP)和商业秘密

DID：识别和分类（Identify and Classify）

        本功能包含一套核心流程，持续发现范围内的数据(即数据安全计划所涵盖的数据)；分类；了解与数据存储、处理或传输相关的风险。更具体地说，风险包括：

• 数据可用性：信息丢失或不可用

• 数据完整性：恶意、有意或意外地修改数据

• 数据机密性：将数据暴露给未经授权的实体

        风险发生的可能性及其相关的业务影响取决于数据的类型、位置以及安全团队是否知道它。

        这个功能可以涉及各种技术工具以及更多由员工驱动的流程，例如与内部员工和领导会面，以确定每个业务单元的重要数据。

        更高水平的成熟度将迫使组织扩展他们的_识别和分类_工作，不仅限于狭义的项目或法规需求。这通常要求领导层采取更加开放的方法来评估数据安全，并考虑应该包含在数据安全计划中的其他类型的数据或用例。而且，开放式方法通过找到并消除组织风险的根本原因，提供了有意义的安全和业务产出。在许多情况下，这会减少安全事件，减少安全团队的工作，然后他们可以从被动的工作转向更主动的方法。

        以下问题可以帮助领导者采取更全面的方法来保护他们的数据安全，并发现最初可能不明显的风险领域。

• 哪些数据包含组织的知识产权或商业秘密？这可能包括直接形式的知识产权，如源代码或设计文件，以及更多的间接来源，如电子邮件、文档和产品计划的演示文稿等。

• 如果丢失或暴露给公众，哪些数据会对组织(财务、竞争、声誉等)造成损害？

• 哪些数据对攻击者比对组织更有价值？

• 组织如何量化泄露或数据安全事件所造成的损害？

• 在数据被访问后，组织如何跟踪数据的传播？如何识别数据的衍生品或副本？

• 是否有持续的方法来发现/跟踪在数据存储、用户设备、应用程序和云之间流动的敏感数据？组织能否确认用户设备上的敏感数据是否已被删除或被放入回收站？

• 组织如何识别数据所有者？确定之后，数据所有者是否了解他们在分类、业务影响分析和风险管理方面的责任？

• 组织将如何自动对可能不符合规则和特征的敏感数据进行分类(例如，非定义模式、非文本或其他复杂类型的数据)？

• 正在进行的分类工作在多大程度上应该是手动的还是自动的？是否要求工作人员或最终用户执行分类功能？

  ‍

DID001：数据发现 （ Data Discovery）

        此目标的目的是找到数据安全计划涵盖的所有数据。要达到更高的成熟度水平，需要逐步扩大覆盖范围，从狭隘地关注部分工作或仅仅从项目出发的数据安全工作转向更全面的方法，能够识别对组织至关重要的其他类型的数据。数据_识别和分类功能的其他目标将侧重于数据流和分类，而数据发现_则检验公司查找结构化和非结构化格式数据的能力。

        成熟度第1级的目标是识别大多数时候已经存在的数据，而第3级的重点是使用自动化手段，确保数据在创建时被正确识别和标记。例如，零售组织可能包括熟知的敏感数据源，如受监管的客户个人信息（PII）作为第1级的标准元素。更高水平的成熟度可以扩展数据计划的范围，包括发现所有内部资产(如用户笔记本电脑)和其他数据类型(如并购计划)的静态数据，这些数据最初可能没有被考虑，但如果受到损害，可能会产生巨大的业务影响。相关的方法/工具也从自己常用的方法、主要是手工操作发展到连续的、越来越自动化的方法。

级别

实践

方法/工具

L1

实施重心在于发现：通常基于项目，过程中识别已知的、定义良好的、高风险的数据集(例如，具有个人信息的数据库)

选择性、反应性流程—可以包括手动流程或自动化工具，如自动化标记或其他能够根据来源自动跟踪数据的数据检测和响应（DDR）工具。

L2

采用基于业务/组织层面目标的扩展发现。包括在其他位置发现对公司重要的其他类型的数据。包含非结构化数据，如知识产权。充分了解哪些数据在哪些机器或应用程序上，它的使用年限和风险。在所有项目中实施数据存储审查流程，以确定新计划的数据使用情况。

与业务或职能小组面谈，以确定对组织重要的数据。

L3

实现通用发现，即缺省发现。这种持续的自动化方法可以发现以前未定义或未被认为是敏感的数据。它为推动新的前瞻性政策和决策提供了可见性。

使用工具识别新创建的数据库和数据存储库，并自动将它们集成到企业数据清单中。

使用工具，如所有数据的自动数据跟踪，而不依赖于员工或用户标记。自动化创建并适当标记新的数据。

DID002：数据流和来源去向 （Data Flows and Context）

        如果_数据发现解决有什么数据这个问题，那么数据流和来源去向_就确立了数据所管理的数据位置。数据移动和使用，包括数据库、文件共享应用、端点和个人云应用。并非孤立地处理数据位置；本目标考虑了敏感信息的流动和使用，并回答了两个关键问题—所有敏感数据位于何处，以及它们是如何到达那里的?

        数据通常可以通过各种实体，例如由多个用户共享、存储在云应用程序中、修改和再次共享。跟踪这一复杂过程的能力对于查看和控制组织的真实数据风险越来越重要。这可能需要组织开发方法来跟踪访问数据后的共享方式，包括任何副本或衍生品。

级别

实践

方法/工具

L1

在已知位置发现和项目有关的数据

手动过程（调查、讨论）

L2

在未预料的位置，合并通过扩展发现找到的数据（例如，数据爬取）

自动化发现工具（例如，数据防泄漏，影子IT发现）

L3

发现所有位置的所有范围内数据。

实现数据跟踪以保证存储在第三方系统中的数据的可见性。

DID003：数据分类 （Data Classification）

        本目标的目的是对范围内的数据进行打标/分类，能够反映数据对组织和关联方(例如，客户、利益相关者或作为数据实际“所有者”的其他组织)的相对重要性和/或敏感性。

级别

实践

方法/工具

L1

对项目中已知位置的数据进行自上向下、按照组织架构分类(例如，公共、内部、已分类)，时间点分类。

手动(打标，关键字，AIP/MIP标签)

【AIP(Azure Information Protection)

MIP(Microsoft Information Protection)】

L2

定期对组织范围内所有地点的数据进行分类。

对静态或传输中的数据内容扫描后的自动分类工具。

L3

默认情况下，自动对所有位置的所有范围内数据进行分类。

未分类的数据被视为安全事件/警报，并进行根本原因分析。

能够根据来源和企业背景情况的自动分类工具。

DID004：数据风险评估 （Data Risk Assessment）

        此目标的目的是识别风险区域，并评估特定数据元素/集的丢失、暴露或恶意更改将对业务造成多大损害。评估考虑了诸如数据分类、数据位置/暴露、威胁的普遍性以及可能受到影响的业务流程和人员/客户/利益相关者等因素。

级别

实践

方法/工具

L1

评估由于数据爬取、已知漏洞和组织自身的威胁而导致的数据暴露/更改的可能影响和可能性。验证云和SaaS供应商的合规性。

手动审查关键数据源和保护策略。可能包括与内部团队和利益相关者的访谈，以确定之前发生的任何事件。

L2

基于对外部威胁形势的了解，定期进行风险评估。

根据新闻、行业公告和安全警报，定期回顾最近的行业数据事件和热门的攻击者策略、技术和过程(TTPs)。在这些风险的背景下评估现有策略和保护机制。

L3

持续评估，以全面了解所有范围内数据的所有维度的数据风险。

消除SaaS供应商、合作伙伴和扩展数据供应链的其他元素中可信内部人员带来的数据风险。审计合作伙伴的数据安全策略和控制，以验证敏感数据是否得到了适当的保护，免受内部和外部风险的影响。

风险和威胁建模和分析工具。

数据保护协定、审计控制、日志、报告和与组织数据相关的策略。

DPR：保护 （Protect）

        该功能包括实施策略和实践，以主动减少重要/敏感数据的暴露，特别是通过控制数据访问、使用和保留的方式。这是DSMM模型的一个关键功能，因为它包括了策略和过程，能够阻止与数据相关的安全事件。

        本部分的四个目标建立在_识别和分类中完成工作的基础上。识别和分类的目的是帮助发现组织的数据风险，而保护_的重点是减轻风险。大多数组织将拥有多种类型的敏感数据，在数据风险评估目标的指导下，根据数据类型或业务用例的变化，自然地赋以适当的保护级别。事实上，单个内容可能包含多种类型或分类的敏感数据(例如个人信息和个人健康信息)，组织可能需要考虑在保护数据时应优先考虑哪些保护规则。最终，保护功能将要求组织直接考虑他们对风险的容忍度，以及安全控制如何潜在地影响生产力。

        一些关键的考虑可能包括：

• 组织将如何定义每种类型敏感数据的使用，是适当使用还是允许使用？通过用户、组、位置、上下文、意图还是其他？哪些数据将由哪些用户访问?

• 初次访问后，如何保护数据？数据可以复制和共享吗？员工在分享敏感数据时应使用哪些方式、应用程序或功能？

• 组织将如何监控和控制常见的企业数据流(例如，用户到可移动存储、用户到个人云、社交媒体、后端SaaS集成和其他云到云)？

• 如何跟踪和保护数据的衍生品(例如，敏感文档的加密版本，嵌入敏感电子表格的演示文稿，包含从内部敏感应用程序复制/粘贴内容的电子邮件等)？

• 组织将如何消除用户设备或凭证被泄露的风险?

• 组织将如何处理用户疏忽或恶意内部人员的风险？例如，阻止为数据访问提供的工具复制大量数据到本地工作站?

• 策略是否允许用户取消阻止的决策以限制对生产力的影响？如果是这样，将如何管理和跟踪？

• 在数据本身不可见的情况下(例如由于加密或存档)，如何保护数据？

• 将提供哪些功能来检测和阻止绕过保护策略的企图(例如，更改文件类型/扩展名、压缩文件等)？

DPR001: 控制访问 （Controlling Access）

        此目标的目的是防止对范围内数据进行不必要的访问。在这方面奉行最小特权原则是减少暴露/事故的有效手段。

级别

实践

方法/工具

L1

使用应用程序自带的控制手段强制执行自有策略。

基于用户身份的静态访问控制列表；应用程序本身的访问和授权。

L2

集中访问控制，围绕可以访问的数据建立一致的规则。确保细粒度授权的能力(例如，所有高管都被允许只读访问公司电子表格，但只有CFO可以编辑表格并查看某些选项卡)。

基于用户或角色的集中访问。IAM和用户提供工具。

L3

动态访问控制，根据上下文或风险进行调整。确保能够根据访问上下文关系在用户级别执行基于风险的授权(例如，当用户从未知设备访问最高价值数据时，需要令牌和图像识别)。

通过应用程序提供对数据的访问，以防止数据大量复制。

基于属性提供动态的、上下文关联访问控制，属性包括：端点配置、补丁状态和主动发起连接端。

细粒度授权工具。

升级身份认证工具。

数据所有者批准工作流

DPR002：识别和防止滥用 （Identifying and Preventing Misuse）

        这个目标的目的是超越最小特权原则，进一步确保范围内的数据不会被不当使用，即以违反政策或法规的方式使用，或者以其他方式将数据置于不必要的暴露风险中。应采取措施，不仅防止那些有合法需要访问/使用数据的用户意外或故意滥用或不希望移动数据，而且还应确保即使数据被盗，也不能被攻击者使用。

级别

实践

方法/工具

L1

定义明确的数据处理策略。确保对已知位置的已知敏感数据的策略违规行为进行监控，并由安全团队手动修复检测到的滥用行为。

注意：数据处理策略可能会限制存储敏感数据的位置或传输敏感数据的通道，对在组织内部或外部共享数据加以限制，或强加数据保留要求。

企业DLP，平台DLP, CASB，内部威胁保护/检测-仅监控模式。

L2

确保在已知和未知位置对所有已知敏感数据强制执行数据处理策略(例如，阻止用户上传到文件到个人文件共享应用)。为了进一步减少滥用的可能性，请确保对数据进行替换、屏蔽或加密。

上述L1级工具以强制模式运行，加上替换、屏蔽和加密。

L3

对所有数据及其衍生品(例如，转换为其他格式或剪切/粘贴或嵌入到其他文档中的数据)执行数据处理策略，或阻止生成衍生品。即使数据离开许可的位置或离开组织，也要对其实施控制。

L2级工具加上 DRM和数据检测和响应（DDR）工具，持续跟踪所有数据和衍生品。

DPR003：用户教育和反馈 （User Education and Feedback）

        本目标侧重于最终用户培训、指导和互动，以减少风险并增加对当前政策的合规。组织将需要取得策略执行和用户生产力之间的平衡，这可能需要为用户提供能力，取消阻止决策或在不阻止的情况下承认违规。高成熟度水平表现为根据业务需求支持更多选项的用户输入(取消、策略/配置更改请求)，并相应地调整策略/设置。

级别

实践

方法/工具

L1

培训用户了解已有的数据保护策略，包括哪些类型的数据特别敏感，哪些应用程序和功能被批准用于处理敏感数据。

确保用户承认已建立的政策，并经过测试，以验证他们已充分理解培训。

保证用户能够自我批准一次性的取消数据阻止策略/控制，以促进必要的业务功能/实践并与之保持一致。

定期的教育和培训。可以在课堂环境或自定进度远程培训来实现。

L2

实施基于事件的培训和基于策略违规强化。记录违规行为并确定纠正措施以避免未来的违规行为。保证用户根据工作流管理取消数据阻止策略/控制，以促进必要的业务功能/实践并使其保持一致。

检测策略违规。由最终用户的主管进行手动跟踪。

数据防泄漏

L3

结合自动化实时指导和用户培训。这包括在不需要经理干预的情况下，在最终用户的常规工作流程中进行情境指导。

在可能需要调整策略/设置以更好地符合业务目标/实践和/或微调组织保护敏感数据的方式时，使用户能够提供反馈和理由。

实时培训平台或数据安全平台，最好具有自适应响应能力。

用户教育

        传统的用户教育基础广泛，通常只定期进行。在入职期间，或者一年几次，涵盖公司安全策略、防网络钓鱼、防恶意软件和其他不同的类别。但是，通过意外用户事件导致数据暴露是安全事件的常见原因。研究已经证明，改变用户行为的最有效方法之一是通过即时的、情景培训，当用户从事潜在的危险行为时，实时提醒用户。这种“自适应响应”允许用户进行交互、提供反馈并了解正确的数据处理要求。因此，可以将不必要的数据暴露的风险降低20倍。

DPR004：数据保留 （Data Retention）

        本目标的目的是通过主动消除范围内不再需要或过时的数据，或数据所有者要求从组织的记录中擦除/删除的数据，来减少不必要的暴露风险。另一方面，许多法规要求记录在规定的时间内保留(例如，PCI-DSS, HIPAA，公平劳动法等)。数据保留必须在确保不留存不必要的数据和防止无意中删除其他类型的数据之间取得平衡。

级别

实践

方法/工具

L1

注：由核心法规要求和基本最佳实践驱动。

删除：确保已明了数据保留和删除的法律要求。执行政策以确保只收集最少量的个人数据并将其存储在组织可控的位置。

保留：构建策略以正确归档和保护任何受监管的敏感数据，以避免丢失或无意中删除。

数据最小化和擦除，内容管理工具。

数据保护策略和手动数据治理过程。

L2

整个企业范围内，自动化管理生命周期。管理数据的所有副本，而不仅限于中心数据库。

自动执行与_保留_相关的策略。

使用企业文档管理解决方案来存储和识别可能过时的数据及所有副本。

L3

实现完全自动化的数据保留编排。

自动执行所有位置和范围内数据的保留策略。

L2级别再加上保留编排和符合标准的自动擦除。

创建数据时附加了一个生命周期策略，以确保它不会违反保留策略。

DDE：检测（Detect）

        _检测功能包括数据的收集和分析，以识别与数据相关的安全事件或策略违规。前部分保护功能侧重于预防性的强制措施，而检测功能着眼于发现保护措施无法阻止的风险或违规行为。然而，检测_工作不应被视为纯粹的回顾意义。对于组织来说，尽早发现风险和威胁至关重要，以便将任何影响降到最低。

        _检测_工作可以包括发现风险或异常行为(例如，不寻常的数据下载，有风险的应用程序使用)，以及与范围内数据的使用和移动相关的直接的、一级事件(例如，数据泄漏，敏感数据的未经授权的副本)。

        组织需要考虑与_检测_成熟度水平相关的各种因素，包括：

• 检测时间的粒度(接近实时？小时？天)，它们如何根据已定义的数据集变化？

• 除了由_保护功能_捕获的日志和事件之外，还有哪些数据或信号可用于分析？用户访问日志？安全事件？捕获包/流？端点和主机日志？

• 组织将如何识别和跟踪网络或端点级别的行为或异常？用什么系统或方法来支持这项工作？

• 为了可靠地识别风险，需要哪些额外的数据或信号？如何弥补这些差距？

• 组织将使用什么方法进行数据分析(例如，关联、数据分析、数据流分析、机器学习、图形分析等)？哪些系统或工具将用于这些工作(例如，SIEM、分析平台、自己研发的分析工具)？

• 为了进行更深入的分析和分类，工作人员需要多少时间和精力？团队对误报和漏报的容忍度是多少？检测误报需要付出多少努力?

DDE001：信号收集 （Signal Collection）

        此功能的目的是收集可用于揭示数据安全事件、策略违规或异常的数据/遥测。遥测源应该关注范围内数据的访问、移动或修改。它们应该提供额外的背景信息，和/或使工作人员能够验证事件或查找额外的风险或违规行为。

级别

实践

方法/工具

L1

收集日志和警报，包括：

-内容属性匹配(Content)

-用户访问日志(User)

-违规事件

手动分类日志和事件调用

(如适用)

L2

记录高优先级企业应用程序(应用程序和用户操作)的数据移动事件和行为。这可能包括记录用户在云应用程序或主机设备上使用数据时的操作，例如编辑或重命名文件、复制/粘贴数据、上传/下载等。记录跨用户操作和行为的数据流动，以维护来源去向。

整合来自外部的风险和威胁数据，以识别威胁家族和针对数据攻击的技术。

收集对分析和异常检测有价值的其他数据。这可能包括但不限于安全事件的数据(例如网络日志、网络流、数据访问和应用程序日志等)。

数字版权管理（DRM），数据流动工具，数据检测响应（DDR）工具。

数据防泄露（DLP）

外部威胁信息，风险来源。

其他日志工具。

L3

收集所有应用程序(包括非托管/个人和托管/公司应用程序)的所有用户操作。

记录跨多个应用程序和位置的数据流动(例如，将从数据库复制/粘贴的数据关联到演示文稿)。

数据检测响应（DDR）工具。

DDE002：分析方法 （Analysis Methods）

        这一目标是基于一系列日益复杂和自动化的技术和工具来处理/分析收集的信号，以发现对数据安全或隐私构成威胁的数据移动或修改。

级别

实践

方法/工具

L1

基于模式匹配(正则表达式)或定义的元数据或标记实现基于签名和规则的检测模型。

使用这些技术来检测敏感数据的移动，并在未经批准的地点查找以前未发现的数据。

IDS, DLP，文件系统审计，CASB, SIEM/自动日志审查。

L2

实施多个数据源的数据分析和日志关联，包括来自应用程序、用户和系统的数据。

基线作用于多个数据源，识别基于事件的异常行为(例如，不寻常的下载量)。

请注意，这些实践包括了有限的规避技术(加密、文件格式转换等)。

使用“蜜罐”数据，即永远不会使用的假数据条目，以检测恶意或意外违反策略的数据移动。

NDR, UBA, SIEM, SOAR，数据跟踪，蜜罐数据。

L3

基于完整的企业数据流进行高级分析，包括数据来源、所有应用程序和用户行为。

基于用户行为的多个维度，应用AI模型识别潜在的恶意行为

AI/ML/深度学习，图形分析

DRS：响应 （Respond）

        该功能侧重于在发现潜在事件后立即采取的短期行动。主要目标包括确认和确定事件的范围，采取措施尽量减少/停止影响，并与业务利益相关者和其他受影响方保持沟通。

        对于已经拥有可靠的流程、步骤和工具集来响应网络安全事件的组织来说，这些能力仍然适用，并且在理想情况下应该被广泛重用。当然，肯定需要进行调整和扩大，以增加对范围内数据的关注，有效地将其置于许多响应活动和决策中心。更高水平的成熟度主要来自于功能所有方面的自动化水平的提高(即效率、准确性和速度)，包括事件验证、范围和影响评估、以及缓解。

        以下问题可以帮助您开始转向以数据为中心的事件响应方法。

• 是否有明确的定义/计划，确定在范围内响应数据事件时应涉及的所有利益相关者(内部和外部)和其他各方(如法律顾问)？是否包括那些应该被告知相关细节的人(以及何时)？

• 对适用的数据保护法律法规的要求(和可能的限制)是否有清晰的理解，需要在响应计划和活动中加以考虑？

• 支持事件响应的工具是否提供了足够的数据可见性和对数据本身的控制？

• 通常采取的缓解事件的步骤是否有效？能够达到数据级别？

• 是否充分考虑到需要在维护基本业务操作/功能和减轻事件的潜在选项(例如，阻止用户或锁定数据存储库)之间找到平衡？

• 当涉及到响应过程的潜在参与者，以及那些将被告知相关问题和结果的人时，是否考虑到受影响的数据类型？

DRS001：分类和缓解 （Triage and Mitigation）

        本目标的目的是确定数据安全事件的严重程度，并采取适当的步骤将影响降到最低。相关措施不仅适用于涉及内部/内部人士滥用数据的事件，也适用于涉及外部/恶意泄露数据的事件。

级别

实践

方法/工具

L1

事件由客户、员工、服务提供商或其他人手动提供报告。

事件响应计划包括确定受影响数据和调整响应和报告要求的具体步骤。

事件响应人员可以访问数据到数据所有者的映射，并且在事件期间接受过职责培训。

通过阻止访问或停止不需要的活动来达到缓解目的；主要是手动启动。

日志管理工具，SIEM。

手动验证范围和评估影响。

能够手动挂起/撤销对网络和单个系统的访问。

L2

事件是手动报告的，但也可以由基于规则、签名或行为的工具自动检测。

自动化关联工具丰富了数据，帮助分析人员快速识别受影响的系统、用户和数据。

自动实现以用户/设备为中心的缓解和遏制，例如:

-阻断数据访问

-阻断外部访问

-完全隔离/禁用违规用户/设备

确保收集和保存取证数据。

UEBA, XDR, 事件关联 

有效隔离系统

L3

执行完全自动化的事件响应展示(即，一键查看与范围和影响相关的所有细节，以及已经采取和建议的响应)。

实现编排/自动化的缓解响应，包括用户挂起、系统隔离和清理泄漏数据。

SOAR, Open-XDR，自动事件响应工具，数据检测和响应（DDR）

DRS002：沟通 （Communications）

        此目标要求与利益相关者协调响应活动，通知相关的外部方(例如，合作伙伴、客户)相关细节，并采取符合法规/法律要求的任何其他行动。

级别

实践

方法/工具

L1

在事件响应期间激活单个响应性沟通计划，并详细说明参与者/成员、角色、法律/合规需求、沟通机制和时间框架。

适用于内部利益相关者(包括法律团队)、受影响的外部各方、执法机构和监管机构。

在主要利益相关者和受影响/重要业务伙伴之间协调和沟通响应及恢复活动。

针对适用的司法管辖区(即监管驱动)和合同协议(即业务驱动)，在规定的时间框架内执行事件/违规通知和更新。

与有关当局就调查、取证保存和披露程序进行接触和合作。

管理相关的公关活动。

主要是手动

L2

根据事件类型/类别实施多个沟通计划(或模块)。

包括与关键业务合作伙伴、扩展的供应链、未受影响的客户/组成部分(当认为适当时)以及整个信息安全社区进行主动的、自愿的信息共享，以实现更大的、集体的态势感知。

事件发生后主动修复声誉。

通知计划和流程的大范围自动化。

情报共享门户/平台(即反向导入)

L3

预留给未来开发。

DRC：恢复和提高 （Recover and Improve）

        这个功能不仅包括恢复正常操作(因为它们特别与数据有关)，而且还包括恢复更复杂的操作。任何组织的首要目标都应该是定期和稳定地发展其整体数据安全计划。核心目标包括数据备份和恢复，识别和整合经验教训，以及自适应用户教育。

        有助于从头开始、及进一步构建的关键问题如下：

• 组织是否有数据备份和恢复的策略？策略是否涵盖范围内的所有数据?

• 组织在“最坏情况”下恢复数据的速度有多快?

• 组织是否有一种方法(过程性的或技术性的)来控制备份所在的位置以及如何使用和/或传输备份?

• 组织是否知道其安全/DLP解决方案捕获的备份和日志的保留期限？

• 组织在多大程度上检查内部数据事件的原因，并随后采取措施防止它们再次发生？组织是只寻找近因，还是进行根本原因分析？它是只实现大致的补救措施，还是扩大范围以防止所有可能受影响的系统中的所有事件的系统修复？

• 组织是否有从上到下定期重新评估其数据安全计划的政策/流程？

• 组织是否购买网络保险，是否有定期重新评估的政策或流程？

• 如何让用户了解数据安全和隐私政策？他们是如何接受这些政策的培训？为了与必要的业务活动/功能保持一致，他们能够在多大程度上取消这些策略，或者请求/建议对它们进行更改?

• 采用什么机制能充分利用组织或整个安全行业/社区的数据安全实践/知识？

DRC001：数据备份和恢复 （Data Backup and Recovery）

        此目标的目的是确保定期备份范围内的数据，并能够在需要时进行恢复。在这种情况下，受到保护的、或者更准确地说是保存的不是数据本身，而是依赖于数据的业务流程。

级别

实践

方法/工具

L1

确定获得批准的备份工具和位置。

确保范围内数据的备份得到执行、维护和测试。

确保留存多个版本的数据。

根据需要从备份恢复(即，发生影响数据完整性或可用性的事件)。

确保隔离非现场离线存储的地点。

备份和恢复工具

L2

防止备份到未经批准的位置或应用程序(例如，员工的个人备份)。

控制每个文件和每个帐户的备份(例如，防止用户将数据备份到个人网盘而不是公司)。

确保备份是加密的，加密密钥以冗余、不可删除的方式存储，并具有严格的访问控制。

确保并验证云/SaaS应用程序中的数据。

确保合规性，并能够根据用户请求或监管要求删除云和SaaS备份中的数据。

根据具体用例设定备份策略(例如，与法律案件有关的数据可能需要将原始数据保存较长时间)。

IaaS环境的备份是针对单独的IaaS帐户进行的，使用具有只写权限的系统帐户，以防止即使管理员帐户被入侵也无法删除数据和备份。

备份和恢复工具

L3

预留给未来开发。

DRC002：事件回顾/经验教训 （Incident Review / Lessons Learned）

        这一目标的目的是评估数据安全事件的原因和处理方法，以确定其他功能中需要改进的领域。调查结果和纠正措施随后纳入相关功能中，以避免类似事件再次发生，并整体加强数据安全/隐私状况。

级别

实践

方法/工具

L1

对高危/中危等严重性事件进行专门审查和调整。

调整/修复策略、实践和技术措施配置，以防止类似事件的发生。

主要是手动练习

SIEM

L2

扩展针对事件的审查和调整，以涵盖所有严重等级。

对高危/中危严重性事件进行根本原因分析，发现并修复导致相关数据处于风险中的问题原因(例如，衍生角色；缺乏细粒度的角色或策略;

推进基于技术的适当调整/修复(例如，系统提出更改，但操作员审查并手动实施)。可能包括SIEM、SOAR、DDR和NDR工具，或其他安全或网络管理工具。

L3

扩展根本原因分析的范围，以涵盖所有严重等级。

确保在企业范围内适当调整/修复，包括所有类似类型/类别的事件、其他根本原因、以及其他应用程序/系统。例如：在分析了用户通过个人邮箱发送数据的数据违规行为后，该公司可能会强制执行区分个人邮箱和公司邮箱的政策，并将这些经验教训应用于其他应用程序，如网盘。

重新评估安全模型的实施，并根据需要调整控制和目标水平。

SIEM，SOAR。适当调整/修复的编排/自动化。

DRC003：合作与研究 （Collaboration and Research）

        这一目标涉及在组织内外采取进一步的步骤，以持续改进其数据安全实践。其目的是考虑宏观层面的变化，不仅是对组织及其运作方式的变化，还包括那些影响更广泛的威胁、安全技术和业务环境的变化。

级别

实践

方法/工具

L1

与组织的所有关键职能部门保持持续的沟通，并根据不断变化的业务目标调整数据安全目标。

监控和解释威胁形势的持续变化，例如，通过利用先进的威胁情报来源，提供对威胁、威胁攻击者及其战术、技术和程序(TTPs)演变的见解。

获得/维护内部安全团队/从业人员的相关认证，例如ISC2 CISSP, ISACA CISM/CISA, CompTIA CySA+， EC-council Certified Ethical Hacker（CEH)。

每季度与业务线领导进行安全/隐私审查

定制威胁情报feed

L2

监控和解释新安全技术及创新的出现。

与业内同行和协会共享(/获取)有关威胁、实践和经验教训的信息。

主要是手动

威胁情报平台；自动化指标共享。

L3

调查、采用来自其他市场的概念和技术(例如，图形分析)

主要是手动

附录

DSMM 入门

        数据安全成熟度模型（DSMM）通过开发以数据为中心的安全方法来帮助组织保护其数据和关键资产，确保无论数据如何移动或修改，风险情形和策略实施都跟随数据。如果组织要利用现代协作和数字化转型的力量，而不将其数据暴露于外部威胁、内部威胁或简单的错误，那么这种跨设备、应用程序和云资产保护任何类型数据的能力必不可少。

        DSMM分为五个关键功能，识别和分类，保护，检测，响应，恢复和提高。每个功能涵盖多个基础目标，这些目标侧重于支持更高级别功能特定的安全项。

        虽然DSMM提供了每个功能的详细信息，但本附录提供了一个总体流程指南，以便组织可以轻松入门并快速改善其数据安全状况。

评估组织数据需求

        每个组织在数据实际情况和风险容忍度方面都是独一无二的。数据安全成熟度模型希望适应每个组织的需求。每个目标的成熟度水平将根据各个组织特有的风险概况而有所不同。

        然而，许多数据安全程序长期以来一直受到老派安全工具的限制，通常将数据安全限制在狭义的DLP和监管用例中。数据安全技术的最新进展使组织能够比以往更普遍地应用数据安全控制，包括在任何地点和任何时间保护任何数据的能力。因此，从安全和业务的角度来看，通过数据的视角重新审视组织很重要。这意味着根据数据丢失、暴露或以其他方式被滥用或不可用等条件来评        估组织的所有数据资产。因此，组织可能需要采取以下步骤：

• 与所有业务部门协作，确定对每个小组或运营职能至关重要的数据。

• 识别所有知识产权和商业秘密，无论是什么类型的数据或文件。

• 对于每种类型的数据，如果数据暴露或不可用，请评估其对竞争、财务和声誉的影响。

定义目标数据安全级别并确定差距

        在第1步中完成的评估是使用此模型的基础，因为它准确地回答了在模型范围内存在什么数据的问题。基于此评估，组织接下来将处理成熟度模型的每个关键功能。对于每个功能，提出了几个目标，包含(通常)三个成熟度水平。每提升一个水平，就意味着目标的准确性和可靠性的提高和/或目标范围的扩大。例如，1级_发现涵盖手动识别和标记选定位置或数据库中的数据，而3级发现_要求自动发现所有位置的所有敏感信息。

        需要注意的是，对于不同类型的数据和用例，组织可能有不同的目标成熟度水平。例如，源代码或产品设计需要保证“防止滥用“的3级目标，而内部人力资源数据可能只需要2级。有关如何使数据安全成熟度的水平与组织的需求和风险保持一致的更详细示例，请参阅下面的示例场景部分。

        一旦定义了适当的目标，团队将需要评估他们现有的安全流程和工具，以确定将在接下来的步骤中消除潜在差距。

制定和实施数据安全计划

        基于前面的分析，组织可以制定一个有序的计划，以定义好每种数据类型或用例所需的成熟度水平。对于每种目标和成熟度水平，参考DSMM确定可用于实现目标的方法和工具。然而，这些只是作为示例提供，不应该被认为是一个详尽的列表，或者是一个组织能够达到适当的成熟度水平的唯一方法。

        团队应该评估任何新实施的控制，以确保它们正常运行并交付期望的效果。

        部署之后，组织应该继续监控计划的有效性，并定期重新评估其数据安全计划，以适应不断变化的工作流程、数据使用和业务需求。

示例场景

        当然，并不是每个组织都需要达到3级甚至2级才能实现所有目标。应该根据每个组织的业务需求和风险容忍度来定义适当的目标。一个组织可以在一个领域满足于第3级，在其他领域满足于第1级。以下场景提供了一些示例，说明组织的需求如何与不同的目标成熟度水平保持一致。

场景1

        在线健康服务提供商通过邮寄方式提供健康和基因检测，并为客户提供一个检查结果和建议的集中门户。由于患者和监管要求(例如，HIPAA、PCI、GDPR)的敏感性，保护客户是公司的首要任务。

        在这种情况下，公司将关注的主要数据集是非常明确的。由于数据相对已知，数据_发现和分类可能不是最优先考虑的问题。组织可以从识别和分类_的1级目标开始，或者可能需要以2级为目标来解决任何云到云共享或识别公司内部管理员可能滥用敏感数据的问题。然而，保护数据和有能力响应事件将是一个明确的优先事项，组织将这些功能的目标定为3级。

• 识别和分类- 1级或2级

• 保护- 3级

• 检测- 2级

• 响应-3级

• 恢复和提高-1级或2级

场景2

        技术集成商和服务公司为其客户开发和实施各种专用软件解决方案。每个项目都是高度定制和保密的，并与特定的团队联系在一起。项目也可以是相对动态的，因为当需求变化时，团队成员会定期地进出一个项目。该公司处理广泛的敏感数据，包括源代码、产品设计和开发计划，以及敏感的客户通信。

        在这种情况下，公司必须保护范围广泛的数据类型，其中许多用户将需要与数据进行交互。这将要求组织以_识别和分类的第3级为目标，以识别自然分布在许多端点、应用程序和云服务上的众多类型的数据。保护和检测工作也将在3级，以防止由于外部威胁、恶意内部人员或内部错误而丢失敏感数据。然而，根据组织的风险承受能力，响应和恢复提高_的第2级是可以接受的。

• 识别和分类-3级

• 保护- 3级

• 检测- 3级

• 响应-2级

• 恢复和提高-2级

安全模式

        DSMM将数据视为一种资产，而不仅仅是驻留在基础设施上的数据。

        为了能够充分保护数据并满足此模型中的各种建议，某些安全模式可以通过利用D.I.E三元组来提供帮助。

        【括号内对D.I.E 做了一个说明，摘自同一网站。

        D.I.E 三元组指Distributed（分布式），Immutable（不可变），Ephemeral（暂时性）

1.  从降低风险发展到降低影响

        传统上，我们将安全视为降低风险的功能，安全团队关注于监控风险和减轻威胁。安全团队执行威胁模型，考虑可能破坏业务的因素，并评估备选方案，通过迫使业务合作伙伴以不同的方式思考他们正在进行的业务计划，从而实现某种意义上的创新。这种看待安全性的方式可以通过众所周知的CIA三元组来描述，CIA三元组是一种信息安全模型，旨在指导组织的安全策略，该策略基于三个核心组件：机密性(实现数据保密性)、完整性(确保数据准确可靠)和可用性(使用户在需要时可以使用数据)。

        看待安全性的另一种方式是将其视为降低****影响的功能。在某种程度上，专注于减少漏洞和威胁是徒劳的；你可以修复所有的漏洞，但明天又会有新的漏洞出现，而且总会有攻击者寻求伤害。但是，在我们的控制范围内，正在减少这些威胁的影响。然后，我们可以承担更多的商业风险，而不必担心我们没有保护自己抵御存在的所有威胁。

        这种安全模型可以通过DIE三元组体现出来，这是CIA三元组的另一种选择，强调将系统设计为：

        分布式：防止对单一系统的依赖

        不可变：使资产不可能改变

        暂时性：将资产设计成具有短暂且明确的生命周期

        最终，构建DIE模型更自然地与业务利益保持一致，并允许我们通过减少确保系统的机密性、完整性和可用性的需要来更快地进行创新。

2.  接受DIE模式可能需要克服不适

        每个组织都有通过CIA三元组和DIE三元组管理的资产。这就是“宠物”和“牛”的类比。宠物是那些不可替代的资产，它们必须得到保护、监控，如果它们损坏了，还必须仔细修复，它们是为了实现CIA三元组功能。另一方面，“牛”是可消耗的资产，当有损坏时可以处理掉。对于这些资产，问题应该是你如何通过将它们设计成DIE来使它们的价值尽可能低，这样即使它们是脆弱的，其影响也不值得你付出努力去完全保护它们。这种态度的转变会让许多安全从业人员感到非常不舒服，但通过使您的系统更具弹性和快速恢复来获得回报。

3.增加安全保障的倾向阻碍了创新

        在安全性方面，我们经常被这样的想法所困扰，即我们必须不断地向安全工具添加新的功能，这可能会阻碍创新。DIE模型是一个框架，它使我们摆脱了加法的倾向，转而关注我们如何通过减法、除法和乘法的过程来实现创新。

        例如无服务器计算是暂时性基础设施的一个例子，其最终目的是减少维护服务器的需要，然后增加计算节点，以便您可以构建创新的应用程序。安全负责人应该真正接受并支持这种思维方式，因为它减轻了我们保护越来越多“宠物”的负担。

总结一下

        真正使安全成为创新的推动者需要重新考虑我们通常对安全的看法。通过采用DIE模型并将安全视为减少影响的功能，我们可以承担更多风险，将安全性与业务驱动因素结合起来，并实现更快的创新。】

托管数据存储

        支持托管数据存储，它们通过API更容易管理。

        共享责任模型允许客户专注于保护数据本身，而不必担心基础设施。

        根据定义，托管数据存储也易于清理和备份。

        这可以帮助您在多个领域完成实践，从数据位置发现和上下文关系到控制访问、恢复和提高等等。

        DSMM的这一部分并不是可以帮助您提高数据安全性成熟度的安全模式的详尽列表，而是现代环境中可能的实践示例，在现代环境中，无需大量手动操作和流程即可实现高级别安全性。

        这是基于D.I.E.三元组。

        托管数据存储具有多种优势：

1. 共享责任模型允许客户专注于保护数据本身，而不是基础设施。

2. 云IAM可以用来控制对它们的访问，利用围绕云身份的安全流程和技术。

3. 备份是可管理的，恢复通常相对容易和快速。

4. 大多数类型的托管数据存储提供有趣的本地和全局冗余选项。

        这允许您拥有分布式的数据存储，通过冗余选项，具有不可变的配置，或者至少非常容易跟踪，如果数据本身经常备份并且易于恢复，则可以考虑数据库本身是暂时的，甚至可以自动销毁和恢复，以确保它总是像需要的那样简单和快速。

密码学

        在宠物与牛的对比中，数据本身处于危险之中。由于我们通常不希望所有数据都是暂时的，至少在其有用时，因此必须使用额外保护层。对于在任何时间内都没有什么价值的数据或机密性不重要的数据，这些步骤都是多余的，您应该专注于确保快速删除数据。

        在大多数云服务提供商中，加密技术有多种形式。

1. 加密托管的静态数据存储。虽然这不会大大提高运行数据库的安全性，但它通常意味着备份和快照将被加密，并且肯定会使一些审计问题更容易回答。

2. 选择特定数据，值得在列级别加密、匿名化或散列，然后使用云服务提供商提供的托管工具来执行这些操作。

3. 利用托管密钥管理服务，在适当的地方使用客户密钥。对于关键数据，考虑使用云硬件安全模块。

4. 确保只有适当的服务才能访问密钥。

        例如，想象一个场景，您必须存储社会安全号码(SSN，social security number)，以便每年向政府报告一次，或者识别重复的客户帐户。你可以：

1. 使用对称和非对称加密的组合来加密SSN，确保捕获SSN的Web服务只有写权限和使用公钥的能力。

2. 创建一个能够读取SSN的服务，该服务不能访问Internet，并且只有在提供SSN进行比较时才能够返回匹配或不匹配的结果。

3. 创建第三方服务，该服务能够读取SSN，并且除了需要将SSN发送到政府处理的目的地之外不能访问Internet，并且应该以加密的方式发送到政府处理的目的地。

        通过利用加密技术来处理最重要的事情，您可以将宠物(有价值的明文数据)变成更接近牛的东西(已加密数据，没有密钥就没有价值)。

自动化

        自动化是数据安全的关键实现者。通过切断人类访问，我们减少了错误、使用被盗凭证的恶意活动、恶意内部人员的机会，并增加了系统的暂时性和不可变性。

        位于源代码控制中的基础设施即代码可以由多个团队成员轻松地进行审查，从而为您提供所有更改的审计跟踪，以及请求和批准更改的人员。

        您可以通过以下方式在较高的成熟度水平上实现DSMM的许多功能：

1. 使用CI/CD管道来配置托管数据存储，自动化系统中包含人类不知道或无法访问的帐户。

2. 使用CI/CD管道处理数据结构迁移和升级。

3. 需要使用CI/CD管道对数据执行手动操作，例如使用gitops流去运行查询并在紧急情况下手动修复问题。

        想象这样一个环境：所有的数据存储都是通过Terraform、CloudFormation或类似的工具配置的，没有人可以访问它们的配置。数据存储可以使用标准化配置，这样就不会因为手动的、未跟踪的故障排除而发生偏差。

        对数据本身的访问也应该通过类似的流程进行管理，例如，当需要更新数据结构时。

        这将导致云管理员无法直接访问数据。通过确保不可能直接访问数据，除非通过自动化，减少大量攻击类别，您还可以减少对DLP等技术的需求，并且还可以减少保护端点的需求。

备份

        任何被视为宠物的数据都需要易于获取和恢复。不应该备份那些不重要且可以轻松重新创建的数据，或者价值较低的数据，因为这样做会产生成本，并且在某些情况下会增加攻击面而没有任何好处。

        对于必须随时间保存的数据：

1. 经常使用托管数据存储的自带工具进行备份。

2. 确保备份存储在无法删除的目标中，即使使用管理员帐户也是如此。

3. 监视备份作业完成，并发出警报。

4. 自动恢复和测试单独存储中的数据备份。

        想象一下下面的备份环境。

        您有一个数据存储，其中包含关于仓库中库存状态的关键数据。失去它将使业务完全中断数周，因为在人工重建之前，不可能挑选和发送订单。这些数据并不是特别敏感，尽管竞争对手可以利用它来了解哪些产品卖得好，以及每种产品的库存情况，所以你宁愿对这些数据保密。

        这些数据将被视为宠物，而不是牛。

        它托管在云提供商的托管关系数据库实例中。运行在一个可用区域的多个实例上，复制到同一区域的其他2个可用区域。每天备份到另一个云帐户的存储桶（storage bucket）中，使用一个只有写访问权限的IAM帐户。在每日备份的基础上，某个时间点的事务日志存储在另一个存储桶中，这个存储桶更靠近数据存储。

        在远程存储桶中进行的备份每周都要进行恢复测试，使用自动恢复，在活动数据库和备份数据库上运行查询，并确认在完成备份之前创建的条目是否存在。它还测量恢复数据库所需的时间。

        当您跟踪该指标时，您会意识到由于数据库的规模，恢复时间变得非常长。借助这种自动化，您决定将数据库复制到其他地理区域，这增加了成本，但减少了需要完全恢复数据库的几率。您在远程区域定期拍摄快照，以便在软件错误损坏数据时能够轻松地恢复到快照。

        勒索软件威胁团伙控制您的云环境，窃取您的root帐户并删除数据库。不幸的是，他们不能做任何事情来破坏备份，因此在一个干净的环境中恢复数据库后，您很快就可以重新联机。

基础设施

        通过使用微服务，对数据存储的访问控制可以细化到每个服务。

1. 在技术上最容易管理的环境中使用微服务。云功能优先于容器，容器优先于临时虚拟机，临时虚拟机优先于长期服务器虚拟机。

2. 利用托管环境的服务网格特性来实施保护传输中的数据的策略，例如在所有服务和数据存储之间实施相互的TLS身份验证和加密。

3. 而不是使用传统的DLP工具拦截被泄露的数据，监控云日志的泄露，并使用服务网格来控制到互联网的出口。通过只允许数据在云环境中被泄露，这样的活动将更容易被检测到。

临时及有限访问

        支持人员经常需要读取数据，包括客户数据。

1. 确保数据只能通过应用程序访问，使用访问控制和加密的组合。

2. 使用数据所有者同意将其用于支持目的的模型。

3. 在没有完全Internet访问的系统上,仅允许通过完全监控的会话直接访问数据以进行故障排除。

        当你打电话给银行时，他们通常能立即调出你的记录。为什么?

        在一个数据安全优先的世界里，这种类型的访问应该是暂时的，需要您的批准。银行工作人员可以请求访问权限，您可以通过向他们的应用程序推送通知来批准。员工将收到一个令牌，允许他们在60分钟内查看你的数据。这样的措施将大大有助于防止恶意内部人员大规模窃取数据或窃取员工账户，同时还提供了一个可证明的审计痕迹，可以知道谁读了哪些客户信息。

（完）

https://docs.datasecurity.org