A3--李杰--數字化時代的數據安全工程實踐.pdf

《A3--李杰--數字化時代的數據安全工程實踐.pdf》由會員分享，可在線閱讀，更多相關《A3--李杰--數字化時代的數據安全工程實踐.pdf（36頁珍藏版）》請在三個皮匠報告上搜索。

1、數字化時代的數據安全工程實踐李杰華為云計算技術有限公司自我介紹李杰華為高級測試工程師、安全工程師?，F負責華為云云運營、大數據安全架構設計、安全滲透和安全運維響應工作。牽頭設計和開發“華為云數據安全治理系統”、構建華為云云運營運維、大數據領域的安全SOC工程能力。在安全測試工具架構設計、自動化測試實施與管理方面有豐富經驗。目錄CONTENTS背景介紹01 數據安全治理流水線解決方案02 數據安全治理工程實踐03 數據安全治理落地效果04 展望未來05 01背景介紹數據安全現狀2019年4月Facebook 5.33億用戶信息泄露數據安全2019年11月阿里巴巴 11億條用戶數據泄露2021年6月

2、LinkedIn領英 77億用戶信息泄露2020年3月新浪微博 5.38億賬戶泄露華為云數據安全方面同樣面臨著外部數以億計的安全攻擊和內部數據安全管理風險數據安全合規要求2017年4月中國網絡安全法生效數據安全2018年5月歐盟通用數據保護條例頒布，簡稱GDPR2021年11月中國個人信息保護法生效2021年9月中國數據安全法正式生效華為云數據安全管理規定正式發布數據安全服務化能力右傾嚴重DevOpsDev階段數據安全活動少，資產盤點等通過Ops階段來進行，耗費的工作量巨大。業界/友商基于Ops階段的數據安全服務化能力較完整，Dev的服務化能力較弱02數據安全治理流水線解決方案數據安全的成熟度

3、模型中國信通院零信任能力成熟度模型數據采集數據保護數據備份恢復監測與審計數據安全生命周期數據安全治理能力規劃與架構能力規劃地圖數據治理流水架構數據安全治理IT化作業流規劃定義數據資產識別數據資產分析數據資產管理需求數據安全需求識別數據安全需求分析數據安全需求管理設計數據安全設計管理數據庫設計接口設計開發數據安全開發框架數據安全插件SDK測試測試資產管理接口測試服務Web測試服務測試工具平臺運維線上數據安全風險感知線上數據安全監控線上數據安全運維度量03數據安全治理工程實踐數據定義分類分級數據分類主題域主題業務對象實體屬性影響機密性（C1）完整性（I）可用性（A）合規性（C2）數據級別L1L2L

4、3L4數據標準引用量數據類型數據管家數據定義生命周期要求匿名化展示數據展示加密通道傳輸加密數據傳輸數據傳輸增、刪、改1+1審核訪問控制批量查看和導出，風控和雙人授權數據使用數據加密防篡改，日志審計，打印匿名化備份和演練，機密性、完整性要求數據存儲留存期銷毀數據銷毀數據設計多維持續設計框架數據安全資產管理生產數據資產持續識別API 數據安全設計DB 數據安全設計其他 數據安全設計定義數據類別數據安全建模數據安全設計數據安全資產數據安全生產安全設計數據資產(設計)數據資產(生產)數據安全方案數據設計安全設計示意威脅建模API設計數據庫設計加解密表資產列資產文件資產其他數據源安全設計防篡改匿名化水印

5、表資產列資產文件資產數據安全服務DB安全服務API安全服務S3安全服務數據掃描、識別數據類別、級別一致性比對數據分類分級資產管理平臺數據設計結構化數據安全設計DB設計平臺概念模型設計數據庫邏輯模型設計物理模型設計1nnn1n微服務數據庫表字段關系型/非關系型1n1n主題域主題業務對象實體屬性數據級別API設計平臺yamlAPI參數1n微服務1n1n資產管理平臺數據設計非結構化數據安全設計主題域主題業務對象實體屬性數據級別OBSOBS目錄/文件參數1n微服務1n1n配置文件目錄/文件參數1n1n1n數據安全編碼數據安全編碼加解密水印多方計算差分安全框架SDK數據安全編碼數據安全通用編碼看護接口數

6、據安全 基于yaml生成接口 增加數據分類分級的注解 自動關聯SDK和框架組件方法存儲介質數據安全 基于數據設計生成DSL 增加數據分類分級的注釋 自動關聯SDK和框架組件日志打印安全 基于污點分析傳遞注解標簽 自動關聯匿名化打印組件數據安全測試數據類別日志業務數據存儲介質數據庫文件S3測試方法密文特征匹配模糊匹配機器學習精準性差，依賴場景觸發導流，引流結合功能自動化執行測試效率低，涉及多種數據源通過IAST技術插樁污點分析模糊匹配誤報高掃描平臺結合數據資產平臺分類分級，密文匹配數據安全測試引流數據安全測試生成流量 接口自動化 頁面自動化引流 身份標簽 路由轉發數據安全保護 接口響應看護 日志

7、打印看護 存儲介質看護看護方法 密文比對 正則模糊匹配流水線掃描插件掃描平臺istio自動化平臺數據安全運維SOC威脅模型系統架構數據安全運維SOC資產管理風險預防安全編排威脅運營安全態勢認證Authentication授權Authorization賬號Account審計Audit數據安全風險評估數據資產現狀態勢感知水平數據處理活動數據安全技術個人信息保護評估1、告警和事件分布2、資產風險預測1、合規滿足度2、數據生命周期風險率1、資產流向地圖2、高敏數據的分布1、個人信息分布2、跨境合規滿足度1、安全框架的應用率2、安全服務覆蓋率04數據安全治理落地效果數據安全治理平臺數據資產管理 數據資產類別百級數據安全設計 數據庫表萬級 API接口萬級數據安全SOC 數據安全場景威脅模型百級05展望未來展望未來DevOps數據監控數據保護數據識別數據標準展望未來數據安全作業流 Devops流程下，數據安全的作業流服務化數據安全能力建設 持續構建多方計算、同態加密等數據安全能力 數據安全AI智能化能力；數據安全SOC 數據安全場景威脅模型持續構建 等保合規可觀測無傳統階段初級階段優化階段1、自動化資產掃描2、資產管理系統，精細化安全管控3、通用的安全技術和方案4、細粒度數據資產訪問控制權限5、DevOps的數據安全作業流融合6、數據安全威脅模型持續構建持續安全感謝聆聽關注QECon公眾號