DMBOK2 重点章节分析（五）：数据安全

目录

0.概述

1.数据安全活动

2.加密方法的类型

3.混淆或脱敏

4.CRUD与RACI

5.​​数据安全的核心能力

6.隐私计算

7.其他

7.1 数据安全需求和过程

7.2 机密数据的密级

7.3 重要的个人数据

7.4 恶意软件

7.5 论述题展望

---

0.概述

DMBOK2第七章主要讲述了数据安全的相关内容。这一章首先介绍了数据安全的业务驱动因素、目标和原则，然后详细阐述了数据安全的各项活动，如制定数据安全制度、定义数据安全细则、评估当前安全风险以及实施控制和规程等。此外，该章还提到了数据安全所需的工具和方法，如杀毒软件、身份管理技术、防火墙以及数据脱敏/加密等，为读者提供了全面的数据安全知识框架和实践指导。

1.数据安全活动

1、识别数据安全需求。

①业务需求。

②监管要求。

2、制定数据安全制度。

①企业安全制度。

②IT安全制度。

③数据安全制度。

④数据安全应急处理机制。

3、制定数据安全细则。

①定义数据保密等级。

②定义数据监管类别。

③定义安全角色。

角色分配矩阵、角色分配层次结构。基于CRUD和RACI矩阵制定。

4、评估当前安全风险。

①存储或传送的数据敏感性。

②保护数据的要求。

③现有的安全保护措施。

5、实施控制和规程。

①分配密级。

②分配监管类别。

③管理和维护数据安全。

④管理安全制度遵从性。

2.加密方法的类型

1、哈希（Hash）

将任意长度的数据转换为固定长度数据表示。常见的哈希算法有MD5和SHA。

2、对称加密

对称加密使用一个秘钥来加解密数据。发送方和接收方都必须具有独处原始数据的秘钥。常见的有数据加密标准（DES）、三重DES（3DES）、高级加密标准（AES）和国际数据加密算法（IDEA）。

3、非对称加密

非对称加密中，发送方和接收方使用不同的秘钥。发送方使用公开提供的公钥进行加密，接收方使用私钥解密显示原始数据。非对称加密算法包括RSA加密算法和Diffie-Hellman秘钥交换协议等。

3.混淆或脱敏

1、静态数据脱敏。永久且不可逆转地更改数据。

2、动态数据脱敏。在不更改基础数据的情况下，在最终用户或系统中改变数据的外观。

3、脱敏方法

①替换。

②混排。

③时空变异。

④数值变异。

⑤取消或删除。

⑥随机选择。

⑦加密技术。

⑧表达式脱敏。

⑨键值脱敏。

在此需要着重强调一下，静态数据脱敏和动态数据脱敏的定义是非常关键的内容，在 CDGA 的众多试题中，它们经常成为考点。对于备考的考生而言，务必深入理解这两种数据脱敏方式的内涵。

此外，脱敏方法中的时空变异这一知识点，同样不容忽视。它在CDGA的试题中出现的概率也相当高，考生们需要对其进行重点掌握。

4.CRUD与RACI

1、CRUD（创建、读取、更新、删除）—权限。

2、RACI（负责、批注、咨询、通知）—责任。

5.​​数据安全的核心能力

1、综合治理的能力。

2、数据资源梳理及分类分级的能力。

3、重要数据识别能力。

4、权限控制。

5、数据加密。

6、静态脱敏。

7、动态脱敏。

8、数据库防护墙。

9、数据库漏洞扫描。

10、数据库审计能力。

11、防勒索。

12、对数据库进行监控。

13、撞库、拖库攻与防。

14、驻场外来人员危险行为监测及防护。

15、利用AI技术对异常行为监控和防护。

16、数据泄露后的确权溯源。

17、电子取证能力。

18、隐私计算的能力。

6.隐私计算

虽然隐私计算的内容在教材中并未直接涉及，但它仍是CDGP考试中可能的一个考察点。不过考生无需过分担忧，考试对隐私计算的考查深度相对有限。为了备考，考生可以自主查阅相关的专业资料，对隐私计算的基本概念、核心原理及实际应用有一个大致的了解。这样，即便在考试中遇到相关题目，也能从容应对。

7.其他

 除了加密和脱敏这两个关键知识点外，教材中还提到了一些基本概念，这些概念在CDGA考试中也经常被考查。考生需要对这些基本概念有清晰的理解，以便在考试中能够准确回答相关问题。

7.1 数据安全需求和过程

数据安全需求和过程分为4个方面，即4A：访问（Access）、审计（Audit）、验证（Authentication）和授权（Authorization）

7.2 机密数据的密级

对普通受众公开（For General Audiences）、仅内部使用（Internal Use Only）、机密（Confidential）、受限机密（Restricted  Confidential）、绝密（Registered Confidential）

其中，仅内部使用、机密、绝密的定义是重点。

7.3 重要的个人数据

1、个人身份信息（PII）。如姓名、地址、电话号码、身份证号码等。

2、财务敏感数据。

3、医疗敏感数据/个人健康

4、教育记录。

7.4 恶意软件

恶意软件是指为损坏、更改或不当访问计算机或网络而创建的软件。计算机病毒、蠕虫、间谍软件、密钥记录器和广告软件都是恶意软件的例子。

其中，间谍软件、木马、病毒、蠕虫的定义是重点。

7.5 论述题展望

在 CDGP 考试中，数据安全这一章节是论述题的常考内容。那么，我们应当着重对教材中的哪些内容进行记忆呢？这是每一位备考考生都需要深入思考的问题。

从我个人研判来看，以下内容可能需要重点记忆：

（1）数据安全的目标和原则

（2）数据安全的活动

（3）数据安全的18个核心能力

这些内容对于理解和应对数据安全相关的论述题至关重要。