孟承篤-數據安全治理.pdf

《孟承篤-數據安全治理.pdf》由會員分享，可在線閱讀，更多相關《孟承篤-數據安全治理.pdf（34頁珍藏版）》請在三個皮匠報告上搜索。

1、數據安全治理 孟承篤從被動合規到業務賦能的體系化實踐安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加目錄數據泄露途徑數據泄露影響四輪驅動治理模型四層縱深防御體系場景化攻防淬煉010203040506持續運營雙引擎安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 數據泄露常見途徑PART 01安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加應用系統暴露面通用漏洞利用注入攻擊（SQL/NoSQL/OS命令）身份驗證缺陷（弱口令、越權）敏感數據暴露（接口未授權、數據未脫敏等）業務邏輯缺陷爬蟲反

2、制失效（驗證碼繞過/速率限制缺失）支付/訂單類接口重放攻擊（可虛構課程購買數據遭篡改）安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加基礎設施暴露面內核漏洞操作系統內核的漏洞，可直接導致低權限提升至高權限基線問題操作系統配置錯誤，如管理員賬戶弱口令、遠程登錄公網開放、文件共享等脆弱的服務如 Tomcat、Redis、MySQL 等未授權、弱口令、低版本、網絡未隔離等供應鏈污染如組件庫、pip、npm 包植入惡意代碼等安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加人為因素暴露面釣魚攻擊（郵件、短信、二維碼、語音等）、魚叉攻

3、擊、鯨釣攻擊、水坑攻擊身份偽造（借助大模型生成數字人、聲音克隆等更深度的偽造，現實中偽造成新員工、設備維修人員等）誘餌攻擊（以免費資源、或者公共場所投放U盤等方式）社會工程攻擊安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加人為因素暴露面員工竊取數據并出售，造成內部數據泄露。惡意行為錯誤配置導致數據公開訪問引發泄露。日常無意識的云同步、備份、賬號共享或丟失引發的泄露誤操作離職員工帶走敏感信息，增加泄露風險。離職風險安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 數據泄露影響PART 02安世加安世加安世加安世加安世加安世

4、加安世加安世加安世加安世加安世加安世加安世加安世加第四十五條開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。中華人民共和國數據安全保護法違法違規，監管處罰安世加安世加安世加安世加安世加安世加安世加安世

5、加安世加安世加安世加安世加安世加安世加用戶信息泄露，實施精準詐騙，危害公司口碑，造成巨大影響。泄露內容電話、身份證號、地址、姓名、購買記錄等后果定點精準詐騙成功率極高。嚴重影響公司口碑和用戶信任度，對公司造成大量客戶流失，且會被監管部門處罰。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加多維度數據泄露，豐富社工庫，埋藏巨大隱患利用多維度的個人或公司信息，豐富社工庫，生成定制化密碼字典，極大的提升密碼破解成功率，埋藏巨大的安全隱患用戶賬號、生日、電話、地址、郵箱、QQ、微信、親友信息、公司信息、公司郵箱、簡稱、別名等等安世加安世加安世加安世加安世加安世加安世

6、加安世加安世加安世加安世加安世加安世加安世加付費資源泄露直接影響經濟收益，可能導致市場份額下降泄露內容付費資料、商業機密、技術文檔等安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 四輪驅動治理模型PART 03安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加四輪驅動模型合規輪業務輪設施輪終端輪安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加合規輪檢測業務系統符合國家等級保護要求，如網絡安全法、數據安全法、個人信息保護法、網絡安全等級保護等。合規檢測與完善醫療行業符合HIPAA，金融行業

7、符合PCI-DSS，教育行業符合FERPA。特殊行業政策安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加業務輪開展滲透測試、代碼審計、模糊測試等。全面安全測試傳輸加密、存儲加密、使用脫敏、銷毀徹底。敏感數據保護加強身份驗證、速率限制、日志記錄等。API安全管理安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加定期進行服務器/云服務器的漏洞掃描和基線檢查。漏洞掃描與基線檢查監控主機和數據庫狀態，防止拖庫事件。實時監控狀態部署WAF、IDS、IPS等安全設備。部署安全設備010203設施輪安世加安世加安世加安世加安世加安世加安世

8、加安世加安世加安世加安世加安世加安世加安世加配備門禁系統，限制物理訪問。01監控敏感數據流動，防止數據泄露。02實現數據傳輸留痕，如U盤拷貝、網盤上傳等。03支持數據泄露后的溯源能力。04門禁系統限制訪問部署DLP系統數據傳輸留痕引入暗水印技術終端輪安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 四層縱深防御體系PART 04安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加使用開源工具和廠商服務，確保資產清單的準確性。定期梳理資產清單及時清理僵尸資產，避免成為攻擊入口。標記僵尸資產資產測繪安世加安世加安世加安世加安世加安

9、世加安世加安世加安世加安世加安世加安世加安世加安世加情報感知實時獲取最新攻擊手段和趨勢，增強防御能力。對接威脅情報平臺發現潛在的數據泄露事件，提前做好應對準備。監控暗網和黑市交易安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加防護處置基于數據生命周期控制矩陣敏感數據分級分類，針對不同敏感等級的數據定制防護策略，涵蓋數據的創建、傳輸、存儲、使用、銷毀。實施脫敏、加密等處理在數據使用階段采取措施，保護用戶隱私。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加運營度量評估安全防護效果，關鍵指標包括漏洞修復率等。建立量化指標體系作

10、為運營度量的一個重要指標，反映安全防護的成效。數據泄露次數安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 場景化攻防淬煉PART 05安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加紅藍對抗演習通過模擬攻擊檢驗防御系統有效性，發現潛在漏洞。模擬真實攻擊場景演習后對發現的漏洞進行及時修復，提升系統安全性。及時修復發現的漏洞安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加反社工演習通過演習增強員工對社交工程攻擊的應對能力。社會工程攻擊應對培訓員工識別釣魚郵件，提高對社交工程攻擊的防范能力。

11、模擬釣魚郵件攻擊安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加漏洞應急演練鍛煉應急響應能力模擬關鍵漏洞爆發模擬漏洞爆發場景，鍛煉應急響應團隊的快速反應能力。通過演練提高團隊對真實數據泄露事件的處理和響應效率。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加真實場景反饋 安全組以身試險安全組以身試險，主動注冊公司各類賬號，遇到泄露事件后收到釣魚、詐騙電話，主動與對方溝通，深入體驗詐騙套路，并生成反詐宣傳案例（風險較高，需謹慎）安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加真實場景反饋安

12、世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 持續運營機制PART 06安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加白帽協同機制SRC漏洞懸賞平臺n鼓勵白帽黑客提交漏洞，提供獎勵和知識沉淀。良性互動n通過SRC平臺，建立漏洞提交與獎勵機制，促進安全社區的良性互動。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加自動化閉環體系集成漏洞掃描腳本定期掃描并生成報告，確保漏洞及時發現和處理。漏洞管理平臺構建集成漏掃工具和 SRC 平臺，實現漏洞自動發現、自動同步、評級、定責、推送、跟進修復、驗證、歸檔全流程自動化。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加 感謝觀看THANK YOU孟承篤安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加關注我們安世加 專注于網絡安全行業，通過互聯網平臺、線上線下沙龍、峰會、人才招聘等多種形式，致力于創建亞太地區最好的甲乙雙方交流學習的平臺，培養安全人才，提升行業的整體素質，助推安全生態圈的健康發展。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加