阿里云優(yōu)惠券 先領券再下單

2016年通過的《歐盟通用數據保護規(guī)范(GDPR)》即將于2018年5月25日開始實施。該規(guī)范要求在歐盟內經營的所有企業(yè)以及收集或處理源自歐盟的個人數據的企業(yè)都遵守該規(guī)范。對于在歐盟境內未設立實體辦公地點或并未處理源自歐盟國家的個人數據的企業(yè)也并非不受GDPR約束。一旦違反該規(guī)范，則企業(yè)將面臨極其嚴格的罰款，即：企業(yè)前一財年全球總收入4%或2230萬美元的罰款，以較高者為準。

在整個88頁的GDPR文件中，我們將與數據安全有關的主要條款歸納如下(圖1)

第25條：數據保護設計與默認設置

第32條：數據處理安全性

第33條：數據違規(guī)情況通報給相關監(jiān)管機構

第35條：數據保護影響評估

第44條：數據傳輸的一般原則

之前曾提過，為協助企業(yè)滿足GDPR合規(guī)規(guī)定，Imperva可提供的專業(yè)服務項目。本文中將進一步說明產品的具體特性以及其滿足上述GDPR數據安全規(guī)定的方法。Imperva數據安全解決方案有五種方法幫助企業(yè)滿足GDPR合規(guī)要求。

圖1：關鍵GDPR數據保護要求及Imperva數據安全解決方案

數據發(fā)現與分類

GDPR要求企業(yè)建立與保留詳細的個人數據庫清單，然后按風險預測與優(yōu)先性分類數據。為滿足這一要求，首先需要了解數據庫的位置，以及其內存儲的數據類型。Imperva SecureSphere可自動掃描企業(yè)網絡找到已知與未知的數據庫，幫助企業(yè)輕松創(chuàng)建定制自己的數據發(fā)現策略，并應用于企業(yè)網絡任意部分的掃描。為確保數據發(fā)現的持續(xù)性，并將新數據納入安全與防護范圍，SecureSphere還支持自動定時掃描。擁有自動與定時掃描功能可便于企業(yè)隨時獲取自己的網絡內的最新的全部數據清單。

個人數據遮蔽與假名化

GDPR要求企業(yè)實行數據最小化與用途限制措施。這意味著企業(yè)只能因特定用途去收集與使用數據，且數據保留時限不得超出需知的范圍 。例如，有一家保險公司因制作保單需要收集個人信息，則其再不能將該數據用于定價分析等用途，因為該個人數據僅為制作保單所收集，再不得將該數據用于其它用途(如：開發(fā)定價分析數據庫)。但如通過數據屏蔽法將數據假名化，則仍然可以將被屏蔽的數據用于定價分析，使得該個人數據會被用于其它用途。

數據假名化：根據GDPR規(guī)定，數據假名化是指將數據去識別化，使數據無法直接識別主體。ImpervaCamouflage通過數據遮蔽方法隱藏個人數據，即：利用現實虛構數據來代替真實數據，使得數據在功能性與統計性上更精準。這種方法可以降低數據違規(guī)風險，便于用于商業(yè)用途。

數據處理安全性

GDPR的核心就是要確保個人數據的安全。因此非常注重數據處理安全，如：數據控制方與數據處理方都需要采取適當的技術措施確保數據安全。SecureSphere正是這樣一款產品，可幫助企業(yè)保護數據，識別出數據庫漏洞并監(jiān)控數據庫活動。

數據庫漏洞評估

GDPR要求企業(yè)對數據采取連續(xù)保護，并定期測試與驗證所采用的技術保護措施有效性，確保數據處理的安全性。同時還需連續(xù)進行數據庫漏洞評估，識別出個人數據風險。Imperva SecureSphere可識別出數據庫的安全漏洞，并可對數據庫服務器及操作系統平臺進行1500種以上預設漏洞與不當配置(如：未安裝補丁包、默認密碼或權限配置不當)的測試與掃描。同時還可生成評估報告，并針對識別出的漏洞提供具體的建議方案，增強被掃描數據庫服務器的安全性能。

監(jiān)控數據訪問活動

數據活動監(jiān)控是GDPR規(guī)范中最重要的內容之一，要求企業(yè)為數據處理提供安全環(huán)境。為滿足GDPR規(guī)定，企業(yè)需回答下列問題：數據訪問者是誰?數據用途是什么?

應對這一合規(guī)要求，SecureSphere利用其對所有數據庫活動的持續(xù)監(jiān)控與分析功能，幫助用戶實現對數據活動的實時完全可見，包括本地特權用戶訪問與服務帳號。數據庫活動的監(jiān)控與審計功能可確保個人數據的適當使用，以及授權用戶對個人數據的訪問。此外，數據監(jiān)控功能還可防止外部攻擊盜竊數據，如SQL注入，并防止內部威脅，如：惡意、疏忽、或受到侵犯的用戶。隨時警惕數據安全，才能使企業(yè)在發(fā)生數據違規(guī)前識別與阻止可疑或非法數據訪問。

違規(guī)檢查與事件響應

一旦發(fā)生個人數據違規(guī)，GDPR要求數據控制方必需“不得無故拖延，如可能，應在獲取該消息后72小時內上報給監(jiān)管機關”。如未能在72小時內發(fā)出通知，則數據控制方必需為其延遲提交合理說明。

目前面臨的最大挑戰(zhàn)是，由于安全團隊要處理大量的事件預警情報，導致真實報警事件容易被忽略。針對這種情況，ImpervaCounterBreach利用其先進的機器學習與peer group分析，優(yōu)先處理數據訪問事件，無需對數據環(huán)境進行深入了解就能使安全團隊及時發(fā)現預警。CounterBreach可分析用戶行為與數據訪問活動，識別出真正需要關注(或危險)的事件，并降低數據暴露的風險。

實施跨境數據傳輸策略

GDPR為向歐洲經濟區(qū)(EEA)以外的個人數據傳輸做出了嚴格的限制規(guī)定，確保在這一過程中不會影響數據保護與隱私保護。GDPR第44條中規(guī)定，禁止向EEA以外的地區(qū)傳輸個人數據，除非接收國可證明其可提供充足的數據保護。

SecureSphere可幫助企業(yè)滿足制式合同以及關于歐盟“公司約束令”(BCR)的要求。該產品支持對數據庫進行連續(xù)的發(fā)現與分類掃描，確保數據庫與個人數據適當分類與保護。還可幫助企業(yè)用戶創(chuàng)建數據庫流量檢查策略。一旦發(fā)現政策違規(guī)，如：非法訪問、阻止用戶接入或終止會話等，都可確保適當的跨境數據訪問與使用。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！