珞安科技：大數據安全政策法規評估與測評技術研究報告（41頁）.pdf

《珞安科技：大數據安全政策法規評估與測評技術研究報告（41頁）.pdf》由會員分享，可在線閱讀，更多相關《珞安科技：大數據安全政策法規評估與測評技術研究報告（41頁）.pdf（41頁珍藏版）》請在三個皮匠報告上搜索。

1、大數據安全評估與測評技術 演講者：劉堯昌 01 政策法規 02 大數據安全評估與測評 目 錄 C O N T E N T SC O N T E N T S 目 錄 C O N T E N T SC O N T E N T S 02 大數據安全 評估與測評 01 政策法規 全球數據安全政策匯總 引用煉石網絡 數據安全法律法規 ISO 27005 信息安全風險評估標準 ISO 31000 風險評估標準 中華人民共和國數據安全法 工業企業數據安全防護要求（草案）工業領域重要數據和核心數據識別規則（草案）工業和信息化領域數據安全管理辦法（試行）工業領域數據安全標準體系建設指南（2023版）（征求意見稿

2、）工業數據安全評估指南（草案）數據出境安全評估辦法 GB/T 27921-2023 風險管理 風險評估技術 GB/T 20984-2022 信息安全技術 信息安全風險評估方法 GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南 GB/T 36466-2018 信息安全技術 工業控制系統風險評估實施指南 GB/T 26333-2010 工業控制網絡安全風險評估規范 中華人民共和國數據安全法 中華人民共和國數據安全法-重要條款總結 中華人民共和國個人信息保護法 網絡數據安全管理條例（征求意見稿）網絡數據分類分級要求（征求意見稿）工業和信息化領域數據安全管理辦法（試行）2022年

3、12月，文件再次公開征求意見：新增無線電數據、個人信息保護相關要求。第一章 總則 第二章 數據分類分級管理 第三章 數據全生命周期安全管理 第六章 監督檢查 第四章 數據安全監測預警與應急管理 第七章 法律責任 第五章 數據安全檢測、認證、評估管理 第八章 附則 目的依據 適用范圍 數據定義 監管機構 產業發展 標準制定 分類分級工作要求 分類分級方法 一般數據 重要數據 核心數據 數據目錄備案 主體責任 數據提供 委托處理 跨主體處理 數據收集 數據存儲 數據傳輸 數據銷毀 數據使用加工 數據轉移 數據公開 數據出境 日志留存 監測預警機制 應急處置 信息上報共享 舉報投訴處理 安全檢測與認

4、證 監督檢查 和協助義務 數據安全審查 保密要求 約談整改 法律責任 個人 信息 保護 其他 規定 參照 政務 數據 排除 國防 科工 煙草 領域 施行 日期 安全評估 工業和信息化領域數據安全管理辦法（試行）安全檢測與認證：鼓勵、引導具有相應資質的機構，依據相關標準開展行業數據安全檢測、認證工作；安全評估：工業和信息化部：制定評估機構管理制度和規范，指導評估機構開展數據安全風險評估、合規評估、能力評估、出境評估等工作；地方工業和信息化主管部門、通信管理局和無線電管理機構：組織開展本地區數據評估工作；工業和信息化領域重要數據和核心數據處理者：自行或委托第三方評估機構，每年至少開展一次安全評估，

5、及時整改風險問題，并報送評估報告。行業（領域）監管部門 工業和信息化部 地方工業 和信息化主管部門 地方通信管理局 地方無線電管理機構 促進產業發展 推動標準規定 督促指導下級單位 監督管理本地 工業數據處理者 監督管理本地區電信數據處理者 監督管理本地區無線電數據處理者 核心數據、重要數據判別 網絡數據安全管理條例（征求意見稿）第七十三條（四）：核心數據是指關系國家安全、國家經濟命脈、重要民生和重大公共利益等的數據；第七十三條（三）：重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。1 未公開的政務數據工作秘密、情報數據和執法司法數據;2 出口管制

6、數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據:3 國 家 法 律、行 政 法 規、部 門 規 章 明確 規 定 需 要保 護 或 者 控制 傳 播 的 國家 經 濟 運 行數 據、重 要行 業 業 務 數據、統 計 數據等:4 工業、電信、能源交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產運行的數據，關鍵系統組件、設備供應鏈數據;5 達 到 國 家 有關 部 門 規 定的 規 模 或 者 精度的基因、地理、礦產、氣 象 等 人 口與 健 康、自然 資 源 與 環境

7、國 家 基 礎數據 6 國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事科研生產單位等重要敏感區域的地理位置、安保情況等數據 7 其 他 可 能 影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核 設 施、海外 利 益、生物、太 空、極 地 深 海 等安全的數據 重要數據識別規則 重要數據描述格式 重要數據處理者的數據安全責任 網絡數據安全管理條例（征求意見稿）第三十二條：自行或委托數據安全服務機構 每年一次 于1月31日前提報上一年度數據安全評估報告 開展數據安全評估 市級網信部門 企業【定期評估】年度數據安全評估報告的內容：1、重要數據處理情況 2、發現風險

8、及處置措施 3、管理制度及實施情況，防護措施及有效性 4、國家法律、行政法規和標準落實情況 5、安全事件及處置情況 6、共享、交易、委托處理、向境外提供重要數據的安全評估情況 7、投訴及處理情況 8、國家網信部門和主管、監管部門明確的其他數據安全情況 【場景評估】重點評估內容：1、提供方與接收方的合法性、正當性、必要性 2、泄露、損毀、篡改、濫用的風險，以及對國家安全、經濟發展、公共利益帶來的風險 3、數據接收方背景情況及有效保障數據安全的能力 4、合同中針對數據安全保護義務的有效約束性 5、管理和技術措施的風險防范能力 評估認為可能危害國家安全、經濟發展和公共利益，數據處理者不得共享、交易、

9、委托處理、向境外提供數據。保留期限：數據處理者應當保留風險評估報告至少三年。報告共享：依據部門職責分工，網信部門與有關部門共享報告信息。目 錄 C O N T E N T SC O N T E N T S 01 政策法規 02 大數據安全評估與測評 基于風險控制的數據安全管理體系 基于風險控制的思想是建立自我持續改進和發展的數據安全管理體系，使用合理成本投入達到可接受的數據安全目標。保護數據資產，將安全事件的損失和影響降到可接受程度。開展數據安全風險評估，識別、分析和評價風險 為處理風險選擇控制目標和控制措施 數據安全風險評估 數據安全風險評估在原有信息安全風險評估理論基礎上，更多關注于數據資

10、產本身的安全性，呈現出圍繞數據資產、強調數據應用場景的特點。其核心是對潛在風險進行發現，包括數據資產類型識別、處理活動合規點識別、已有合規措施識別、數據價值識別、已有技術安全措施識別、脆弱性識別、威脅識別等。數據安全風險評估能夠幫助企業發現自身數據安全問題和短板，明確數據安全保護需求，為建設數據安全管理和技術手段指明方向。保護對象關注系統資產評估過程關注資產所在系統安全，資產所處環境相對靜態穩定 保護對象關注數據資產 評估過程關注數據所在應用場景，數據資產所處環境相對復雜變化 數據安全風險評估-評估手段 數據安全風險評估技術 靜態分析 符號執行 污點分析 模糊測試 通過對程序源代碼或變體（如A

11、ST）執行模式匹配，發現疑似風險片段，或者通過反匯編代碼中的控制流和數據流等信息分析發現威脅。通過符號表達式來模擬程序執行，根據不同的分支條件收集路徑約束信息，求解出可以觸發每個分支的解集合，不斷沿著不同分支進行路徑探索，發現潛在威脅。將外部的輸入數據標記為污點，通過跟蹤和污點數據相關的信息流向，監測他們是否會影響某些關鍵的程序操作，進而挖掘程序漏洞。通過向目標系統構建非常規輸入數據，通過不斷的變異和調整，在執行過程中監控目標程序的異常行為來發現漏洞。機器學習 提取風險特征訓練機器學習分類器，使其能自動化地識別疑似風險。大數據安全評估法 生命周期數據安全評估法 數據采集階段：數據分級分類、數據

12、采集安全處理、數據源鑒別和記錄、數據質量管理；數據傳輸階段：數據傳輸加密、網絡可用性管理；數據存儲階段：存儲媒體安全、邏輯存儲安全、數據備份和恢復；數據處理階段：數據脫敏、數據分析安全、數據正當使用、數據處理環境安全、數據導入導出安全；數據交換階段：數據共享安全、數據發布安全、數據接口安全；數據銷毀階段：數據銷毀處置、存儲媒體銷毀處置；在數據通用過程中，加強數據安全策略、組織和人員管理、數據供應鏈安全、元數據安全、終端數據安全、監控與內部審計、鑒別與訪問控制、需求分析、安全事件應急。場景化數據安全評估法 數據訪問賬號和用戶權限管理：通過賬號專人專用、賬號獨立、賬號授權審批、最小授權、賬號及時回

13、收、行為內部審計、定期賬號稽核等方式控制；數據使用過程的訪問權限管理：建議批量操作審批、高敏感數據訪問審批、批量操作和高敏感數據訪問的指定設備、地點、訪問過程內部審計記錄、開發測試訪問模糊化、訪問行為定期稽核等方式控制；數據共享（提?。嘞薰芾恚和ㄟ^最小共享和泛化、共享（提?。徟?、最小使用范圍、責任傳遞、定期稽核等方式控制；定期權限稽核：主要通過數據安全的合規性檢查、操作監管或稽核、數據訪問賬號和權限的監管與稽核、業務單位和運維的數據訪問過程的合法性監管與稽核、日志風險分析與數據安全性測試等方式控制；數據存儲管理：通過涉密數據存儲的網絡區隔、敏感數據存儲加密、備份訪問管理、存儲設備的移動管理

14、、存儲設備的銷毀管理等方式控制。數據安全風險矩陣 建立風險差距矩陣：明確數據流的業務目的、涉及系統和業務流程的數據安全、保密和合規要求；執行安全威脅建模：識別數據流的機密數據所需跨越的信任邊界，應對數據安全性、策略、流程或實施要求的可能變化；分析數據安全風險：針對現有數據安全的保護控制、技術和行為進行風險/差距分析，識別現有保護措施未能解決的威脅，評估相關風險；確定風險消除措施：列出使各項風險達到可接受水平所需額外控制措施、技術和活動，評估每項風險成本/收益，決定是否以及如何降低、轉移確定風險；評估消除措施有效性：如存在不可接受風險，審查前述結果并重新啟動整個風險評估周期 建立 數據安全風險評

15、估框架 制度流程 組織機構 分類分級 人員管理 合作外包管理 安全威脅和應急管理 開發運維 云數據安全 數據安全管理 數據處理者基本情況 業務和信息系統 數據資產情況 數據處理活動情況 安全防護措施 信息調研 網絡安全防護 身份鑒別與訪問控制 監測預警 數據脫敏 數據防泄漏 接口安全 備份恢復 安全審計 數據安全技術 基本原則 告知同意 保護義務 主體權利 投訴舉報 個人信息處理 敏感個人信息保護 大型網絡平臺 個人信息保護 數據收集 數據存儲 數據傳輸 數據使用 數據加工 數據提供 數據公開 數據刪除 數據處理活動安全 數據安全風險評估內容框架 數據安全風險評估的基礎-數據資產識別 數據資產

16、識別是一個“摸清家底”的過程，從而建立企業數據資產臺賬，掌握數據重要程度，是風險評估的基礎，也是數據分類分級管理的基礎。數據資產評估 數據安全風險評估的主線-數據應用場景 數據應用場景與數據生命周期息息相關，不僅包括數據收集/產生、傳輸、存儲等過程，還包括數據調取、加工分析、外發等處理活動。每個數據類型都對應著多個數據應用場景，隨之而來潛在的安全風險和合規風險。在應用場景中分析 數據 應用場景 安全風險 數據授權管理問題 數據流向追蹤問題 安全審計問題 流轉于 以應用場景為背景，挖掘數據可能面臨的威脅與存在的脆弱性 大 數 據 時 代 數據安全風險評估結果支撐數據安全分類分級管理 根據數據安全

17、風險評估結果，針對每一個數據安全風險，結合被影響的數據資產重要程度，選擇適當的數據安全控制措施，實現數據分類分級管理與保護。風險 評估環節 風險 評估輸出 數據安全風險得到有效控制 數據安全風險評估-評估方式 數據處理者可根據相關法律法規及相應標準自行開展評估工作。自評估 第三方評估 數據處理者委托第三方具有數據安全測評服務資質的機構進行評估工作。數據安全風險評估實施步驟-評估流程 各單位開展數據安全自評估 從提高數據安全治理能力、闊時法規和主管監管部門要求、高風險數據處理活動、安全態勢等方案，確定評估目標 根據評估目標確定評估對象、范圍和邊界，明確涉及的數據資產、數據處理活動、業務等 組建自

18、評估團隊或委托第三方機構，組織業務、安全、法務、合規、運維、研發等相關部門參與 開展前期準備，制定工作計劃、確定評估依據、確定評估內容、建立評估文檔 制定評估方案，并獲得本單位負責人支持與認可 評估準備 數據處理者識別 業務和信息系統識別 數據資產識別 數據處理活動識別 安全防護措施識別 信息調研 從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面識別安全風險 風險識別 評估實施 分析總結 形成風險清單 提出整改建議 綜合分析 編制評估報告 運行風險處置 評估結果 數據安全風險評估-具體工作和主要產出物 數據安全風險評估實施步驟涵蓋評估準備、信息調研、風險識別（數據應用場景識別、數

19、據威脅識別、脆弱性識別、已有安全措施識別）綜合分析和評估總結5大步驟。最終分別輸出數據資產清單、數據應用場景分析報告、數據威脅報告、脆弱性報告和風險分析報告。數據安全風險評估實施步驟-數據應用場景識別 數據應用場景識別包括業務流程或使用流程、相關數據活動、參與主體。數據應用場景包括主業務調用數據的場景、數據被其他業務系統調取的場景、對組織外部提供數據的場景（合作業務）、員工訪問數據的場景、第三方服務人員訪問數據的場景等 數據活動包括但不限于數據提取、數據獲取、數據整合、數據分析、結果存儲、數據下載、數據外發、結果展示等。流程各環節參與主體包括人員、內外部系統、內外部接口等。數據應用場景分析報告

20、 數據應用場景中業務流程或使用流程舉例 數據安全風險評估實施步驟-數據威脅識別 數據威脅分類識別表 主要分析數據在應用場景流轉過程中，可能影響數據機密性、完整性、可用性及可控性的威脅類型，并進一步分析其屬性，包括攻擊動機、攻擊能力、威脅發生概率，并對其屬性進行賦能 數據威脅報告 數據安全風險評估實施步驟-脆弱性識別 通過分析脆弱性對數據機密性、完整性、可用性、可控性影響，判斷對數據影響的嚴重程度。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別內容表 類型類型 識別對象識別對象 識別內容識別內容 技術脆弱性 物理環境 從機房場地、機房防火、機房供配

21、電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區域防護、機房設備管理等方面進行識別 網絡結構 從網絡結構設計、邊界防護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別 系統軟件 從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別 應用中間件 從協議安全、交易完整性、數據完整性等方面進行識別 應用系統 從審計機制、審計存儲、訪問控制策略、數據完整性、通信、鑒別機制、密碼保護等方面進行識別 管理脆弱性 技術管理 從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性等方

22、面進行識別 組織管理 從安全策略、組織安全、資產分類與控制、人員安全、符合性等方面進行識別 脆弱性報告 數據安全風險評估實施步驟-已有安全措施識別 預防性安全措施可以降低數據威脅，利用脆弱性導致安全事件發生的可能性，如威脅情報系統、數據安全審計、數據安全風險評估等。保護性安全措施可以減少因安全事件發生后對數據、業務或組織造成的影響。已有安全措施分析報告 數據安全風險評估實施步驟-數據威脅與脆弱性的關系 數據威脅 脆弱性 惡意代碼注入 采集/處理/存儲組件存在漏洞。數據無效寫入/數據污染 數據入庫時無校驗機制。傳輸信道被監聽/遭到中間人攻擊 數據以明文傳輸;敏感元數據未加密或脫敏。物理環境變化/

23、自然災害/硬件故障 無數據備份/恢復機制;云計算等第二方平臺缺乏安全保障機制，越權訪問與數據資源濫用 內部員工、合作方員工安全管理存在漏洞，內部員工、合作方員工違規操作;人員或其他業務系統訪問權限粒度太粗、訪問授權有誤:系統或組件存在漏洞 數據分類分級、標記錯誤 數據分類分級無標準;系統錯誤。數據算改 采集/處理/存儲組件存在漏洞:數據算改 缺乏操作指導，有權限員工操作錯誤或配置錯誤;內部員工或第三方合作人員越權操作。數據竊取 數據以明文傳輸;在數據庫服務器、文件服務器、員工終端等存儲系統上執行后門、病毒、木馬、蠕蟲、竊聽軟件、謀軟件等惡意工具或代碼數據失效或業務關閉后，遺留了敏感數據仍然可以

24、被訪問或數據銷毀不徹底，可被技術性恢復;內部員工或第三方合作人員越權獲取;關鍵崗位員工被收買竊取數據，安全意識培訓機制、考核機制、數據行為審核手段、審計監控措施存在漏洞,數據不可控 內部員工與第三方合作人員的數據安全管理機制存在漏洞 辦公終端缺乏技術監控手段;對第三方合作機構缺少協議或數據安全相關條款約束:對第二方合作機構與人員部署技術監控措施 數據安全風險評估實施步驟-風險分析 評估后果 輸入：應用場景內已識別的相關事件情景，包括威脅、脆弱點、數據資產、已有和計劃的控制措施?；顒樱簯脠鼍爸写嗳跣耘c具體安全措施關聯分析后，判斷脆弱性可利用程度和脆弱性對數據資產影響的嚴重程度；根據脆弱性對數據

25、影響嚴重程度及數據重要程度計算安全事件后果。評估事件可能性 輸入：應用場景內已識別的相關事件情景，包括威脅、暴露的脆弱點、現有和計劃的控制措施數據?；顒樱焊鶕脠鼍爸袛祿{與脆弱性利用關系，結合數據威脅發生可能性與脆弱性可利用性判斷安全事件發生的可能性。估算風險級別 活動：根據應用場景中安全事件發生的可能性以及安全事件后果，判斷風險值。數據應用場景識別 數據威脅識別 脆弱性識別 已有安全措施識別 數據資產識別 數據威脅發生可能性 脆弱性可利用性 脆弱性對數據影響嚴重程度 數據重要程度 安全事件可能性 安全事件后果 風險值 風險分析報告 數據安全風險評估實施步驟-殘余風險評估 被評估組織按照

26、風險安全整改建議全部或部分實施整改工作后，對仍然存在的安全風險進行識別、控制和管理的活動。降低風險 依據組織的風險評估準則進行殘余風險評估，判斷是否已經將至可接受水平，為風險管理提供輸入。增加管控措施 殘余風險仍處于不可接受的風險范圍內，則應由管理層依據風險接受原則考慮是否接受此類風險或增加更多的風險控制措施。定期開展 應定期開展殘余風險再評估，評估結果應作為風險管理重要輸入。大數據風險評估 識別 分類 分級 報表 數據字典 特征規則 語義分析 自然屬性 數據屬性 分類數據 分級標準 數據分級 級別標識 資產梳理 資產全景 分類分級報告 組織建設 人員能力 合規需求 制度流程 安全監測 邊界管

27、控 安全審計 應急響應 教育培訓 全生命周期建設 需求梳理 符合評估 安全測試 行業實踐 數據分類分級 數據安全合規評估 XX金融數據安全案例 客戶需求：XX集團商業保理系統是一套以融資、賬款、授信管理為綜合的金融保理系統，系統主要托管于運營商機房，考慮到系統托管的安全問題，特別是數據安全問題，需要針對托管區域進行安全整體加固；同時，保理系統作為一套金融相關系統，需要滿足三級等保的要求，方可進行業務開展。解決方案：1.為客戶提供整體等保三級設計方案，相關產品的選型服務，后期實施服務，以及等保測評的技術支持；2.提供自主研發產品，包括：大數據安全總控平臺、大數據安全風險評估工具箱、數據庫審計、堡

28、壘機等，同時協助客戶進行其它產品選型支持及運維服務。項目效果：有效滿足該金融系統的業務安全及數據安全需求，同時滿足三級等保的合規要求。XX監管單位數據安全案例 客戶需求：XX藥監局當前已將多套重要業務系統遷移到“首信云”上，數據上云后，數據的維護工作由第三方公司進行負責，用戶擔心敏感數據會被泄露，同時希望有數據安全風險評估工具，亟需解決數據安全問題 解決方案：采用數據庫加密系統，實現藥品申報審批等業務系統的核心數據密文存儲，同時產品提供的獨立于數據庫權控體系之外的權限管控功能，能夠有效確保敏感數據保密性，防止非授權人員非法查看敏感數據。另通過數據安全風險評估工具常態化進行檢測。項目效果：實現數

29、據存儲加密，防止拖庫，防止高權限人員竊取數據，同時滿足單位定期安全風險評估需求，符合安全合規。北京珞安科技有限責任公司 工業網絡空間安全的創新型高科技企業和國家專精特新“小巨人”企業 珞安科技成立于2016年，秉承“守護工業網絡空間安全，為國家關鍵信息基礎設施安全保駕護航”的企業使命，聚集國內工業網絡空間安全領域頂尖人才，組建工業網絡空間安全研究實驗室及工控安全專家團隊。以零信任理念和體系化思想為指導，自主研發了“實戰化、易部署、易維護”工控網絡安全產品體系，全面覆蓋工控安全、業務安全和工業互聯網安全，構建了資產可見、威脅可感、安全可視、攻擊可溯、主動防御的工業網絡空間安全防護體系。6年 工控安全建設經驗 400+員工人數 1000+項目實施部署經驗 掃碼關注 珞安科技 全國安全應急服務熱線：400-1066-819 地址：北京市海淀區昆明湖南路47號國防教育基地二層