[TOC]
数据安全方法论与实践
只讲思路,不能开箱即用
- DSMM数据安全能力成熟度模型:国标GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型,比较有业界影响力,而且提供的方案相对具备可操作性,尽管落地效果以及规则明确性上存在争议
- DSM数据安全认证:依据国标《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》实施认证
- 数据安全治理应参考的国家标准:包含国标:信息安全技术 网络数据处理安全要求和上面的数据安全能力成熟度模型
- 一图读懂国家标准《数据安全技术 数据分类分级规则》:国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》发布,进一步明确数据分类分级落地细节
- 数据安全治理实践指南2.0:信通院发布
- 数据安全治理白皮书4.0:中关村网络安全与信息化产业联盟发布
- 数据安全复合治理与实践白皮书:中国评测联合国信中心、蚂蚁集团共同发布
- 数据安全治理能力评估方法:中国互联网协会发布
- awesome-zero-trust-cn:聚焦国内零信任方法论与实践
- awesome-cryptography: A curated list of cryptography resources and links.
- 基于数据安全的沙盘推演体系:框架上与传统安全沙盘推演流程相似,重点是在战技、战术与战略三个层面围绕数据安全CIA特性展开
- 基于数据安全网关的数据安全防护体系研究:本质上是API网关,但融合了数据安全全场景,覆盖数据采集与共享等数据全生命周期,并集成常用的安全管控手段
- 腾讯安全发布的数据安全治理与实践白皮书:提供的三个案例来自腾讯云、腾讯游戏、微信三大核心业务,在框架性和实践性上有一定参考价值
- data-risk-management:提供了相对宽泛但覆盖面较广的数据风险管理的最佳实践
- 数据安全治理:构建与实施的关键要素及总体架构:相对体系化的介绍了数据安全治理的思路和技术路径,深度有限
- 企业数据安全风险管理指南:CSA组织编写
- 数据安全的第一道坎:平安银行分享
- data-security-google-cloud:GCP数据安全白皮书
- Google数据安全自动化建设之路(白皮书):GCP数据安全国内解读
- 跟着大公司学数据安全架构之AWS&Google:介绍aws、gcp的数据安全架构
- 互联网企业数据安全体系建设:美团安全负责人分享
- 将军令:数据安全平台建设实践:美团数据安全平台分享
- 大型互联网公司数据安全实践:美团数据安全负责人分享
- 京东数据安全的审计与治理:基于DCAP(Data-Centric Audit and Protection),关注京东内部全面推进的11个改造项
- 离职期员工的信息安全管控实践:权限回收、异常行为监控预警、继续教育与工作申请审批
- 好大夫数据安全分类分级实践探索:一种低成本、高效落地数据分级分类的思路
- 大规模数据安全分类系统架构实践:美团分类分级系统建设,结合了机器学习和传统指纹技术对所有数据进行分类
- GCP DLP
- 企业云原生数据防泄漏(DLP)架构与运营实践指南:万字长文,主要是思路和解决方案的列举
- 奇安信:数据泄露典型判例分析报告:根据司法案例判断内部人员泄露占数据泄露角色分布的80%
- 南方都市报:超半数个人信息由行业“内鬼”泄露:根据司法案例判断“内鬼”贩卖个人信息最多
- awesome-data-privacy: A curated list of data privacy and security resources
- awesome-privacy-chinese:国内隐私技术交流,梳理非常详细,值得学习
- 从异常行为分析的视角重新审视数据安全场景:虽片言只语,但可窥见其中奥妙
- UEBA架构设计之路:连载10篇,美团数据安全负责人出品
- UEBA案例分析系列之数据泄露检测:结合实际案件分析UEBA如何检测,非常难得,可惜没有继续连载
- UEBA资料汇总:内容比较散乱,亮点在于资料比较丰富
- 数据库审计产品进化史:对数据库审计这一传统领域的不错梳理
- 国标:信息安全技术 数据安全风险评估方法:国家市场监督总局和国家标准化委员会发布
- 信安标:网络数据安全风险评估实施指引:数据安全风险识别流程与典型数据安全风险列表可以参考,与上述国标在具体操作上一脉相承
- 数据安全风险评估实施方法:数据威胁分类识别表可以参考
- 基于数据生命周期进行安全风险评估:与常规的风险评估大同小异
- 基于场景进行安全风险评估:类似checklist,实际上铺开的工作量很大,只能围绕关键场景、关键风险开展评估
- 数据安全风险枚举DSRE:具体规则见risks列表
- 数据安全风险监测指标思考:比较前沿的思考,已经深入到指标建设的维度
- 深圳市公共数据安全评估方法:深圳果然是改革开发前沿阵地,已率先推出了非常详细的评估方法
- Cyberhaven DDR及其工作原理介绍
- Dig Security DDR及其工作原理介绍
- 青骓DDR:国内为数不多的商业产品
- 零零信安提供的数据泄露日报:扫描全网数据泄露情报,无法定制
- 数据泄漏应急响应思路:这篇文章最后也被写入奇安信的书里
- 数据安全事件应急及溯源分析实践案例
- 数据泄露典型判例分析报告:奇安信出品,数据相当具有参考价值
- 没有BAT3级的应急响应中心,互联网公司该如何应对数据泄露事件?
- 关于数据泄密事件排查的注意事项:梳理的很清晰
- 基于数据安全的应急响应体系建设:参照PDCERF应急响应模型,结合数据安全特点,形成准备、检测、抑制、根除、恢复与总结六个阶段,并提出量化的数据安全事件分级方案
- 数据安全架构设计与实战:作者在鹅厂做过多年数据安全工作,目前在菊厂
- 数据安全领域指南:很详细的介绍了数据安全整体体系
- 微信读书书单:Awesome-Data-Security:作者维护的一份书单
- 信息安全知识库vipread:国内各种公开分享基本都收纳进来了
- sec-wiki:每周一推送
- awesome-security-weixin-official-accounts:数据安全类微信公众号
- 数据安全人员能力思考
- CSDP数据安全认证专家
- 数据安全工程技术人员国家职业标准
- 数据安全评估师(CCRC-DSA):首先声明没有推荐去参与这个认证的含义,而是提供一个渠道了解将数据安全评估作为一个职业,可能要具备的能力
- 组织机构的数据安全人员能力要求
- 数据安全人才强基计划
只讲实际落地,以开源项目等形式提供
- godlp: 字节开源的敏感数据识别与脱敏工具
- d18n: 链家开源的敏感数据识别与脱敏工具
- openDLP: 哈工大开源的敏感数据识别与脱敏工具
- DataDefender: Data Discovery and Anonymization toolkit
- 大数据安全--敏感数据识别和分级打标:提供数据识别通用规则
- Bearer:Code security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.
- maskdata: a Node.js module to mask various kinds of data.
- 文字水印TextWatermark
- 图片明水印
- 网页明水印
- 网页盲水印
- OpenUBA: an open source user behavior analytics platform powered by the scientific computing ecosystem
- sqlaudit:mysql数据库审计
如果你希望为这个项目做贡献,只需fork,加入自己的修改并给这个项目发送一个PR,我很乐意采纳您的建议:)
欢迎数据安全研究者、从业者添加微信交流,暗号:helloworld+作者github账号名