2019年數據安全保障工程.pdf

《2019年數據安全保障工程.pdf》由會員分享，可在線閱讀，更多相關《2019年數據安全保障工程.pdf（31頁珍藏版）》請在三個皮匠報告上搜索。

1、P A R T 0 1 數 據 安 全 保 護 面 臨 的 挑 戰數 據 安 全 保 障 工 程 建 設 框 架數 據 安 全 治 理 體 系 架 構 設 計數 據 數 據 安 全 工 程 建 設 解 決 方 案數 據 安 全 保 障 工 程 建 設 藍 圖2018年12月17日，2萬名FBI特工信息在網上泄露，英、美、法多國情報機構均受影響。美國去年大概發生了1800起重大數據泄露事件，醫療行業成為重災區，每條記錄成本在408美元，其次是金融行業每條成本是206美元。截止2019年1月統計的全球各行業數據泄露增長占比。由高到低依次是醫療、金融、藥物、服務、技術。隨著國家大數據戰略的不斷推動深

2、化，大數據驅動的產業創新層出不窮，針對日趨嚴重的數據安全問題，我國已經將數據安全納入國家戰略，保護國家數據主權。習近平總書記明確指出：“要依法加強對大數據的管理”。2019年第十三屆全國人大二次會議提出要盡快制定中華人民共和國數據安全法，明確數據安全法律責任，完善監管體系，保障國家安全、公民個人隱私權益和社會安全穩定。印度2018個人數據保護法（草案）巴西通用數據保護法法國法國數據保護法俄羅斯個人數據保護法日本個人信息保護法案美國加利福尼亞州頒布了2018年加州消費者隱私法案歐盟通用數據保護條例（GDPR）創建傳輸存儲處理銷毀暴露面暴露面外部威脅技術缺失管理不足內部威脅交換數據全生命周期數字空

3、間國家級攻擊有組織攻擊經濟利益組織商業間諜內部濫用間諜活動人為有意操作人為無意操作數據問題是數字時代的問題，數據安全是網絡空間的安全！1.數據視角2.業務視角3.風險視角84.合規視角 2014年4月15日習近平總書記在中央國家安全委員會第一次會議上正式提出“總體國家安全觀”；2016年11月7日全國人民代表大會常務委員會發布中華人民共和國網絡安全法，2017年6月1日正式施行，落實國家總體安全觀；2017年8月，全國信息安全標準化技術委員會發布了信息安全技術 個人信息去標識化指南（征求意見稿）；2018年5月1日，國家標準信息安全技術 個人信息安全規范實施；2018年6月27日，公安部發布網

4、絡安全等級保護條例（征求意見稿）；2018年11月30日，公安部網絡安全保衛局發布互聯網個人信息安全保護指引（征求意見稿）等。數 據 安 全 保 護 面 臨 的 挑 戰P A R T 0 2 數 據 安 全 保 障 工 程 建 設 框 架數 據 安 全 治 理 體 系 架 構 設 計數 據 數 據 安 全 工 程 建 設 解 決 方 案數 據 安 全 保 障 工 程 建 設 藍 圖采集處理交換傳輸存 儲銷毀分類分級秘密事項秘密范圍密級標識存儲位置存儲/備份保密期限密源單位知悉范圍授權/審批網絡/應用介質/加密知悉范圍身份/權限操作打印知悉范圍授權/審批銷毀方式介質處置數據安全保障工程建設數據安

5、全保障工程建設知悉范圍授權/審批密級修訂審核/備案組織（P）過程（P）技術（T）數據（D）智能（I）數據治理組織落實數據安全保護責任制過程管理規范管理過程制度和規范安全技術措施全面有效的保護措施數據資產全貌數據全生命周期智能化處理實現自動化處理數據安全官數據安全保護組織過程管理體系過程安全管理制度集技術支持平臺3個”保障環”平臺/系統/工具業務數據管理業務和數據風險并舉AI植入人工智能基因數據安全工程能力成熟度模型Data Security Engineering capability maturity model（DSE-CMM）備注：參考信息安全技術 數據安全能力成熟度模型對級別的定義。數

6、 據 安 全 保 護 面 臨 的 挑 戰數 據 安 全 保 障 工 程 建 設 框 架P A R T 0 3數 據 安 全 治 理 體 系 架 構 設 計數 據 數 據 安 全 工 程 建 設 解 決 方 案數 據 安 全 保 障 工 程 建 設 藍 圖16數據空間：戰略風險網絡空間：運營風險物理空間：戰術風險境外攻擊戰略對抗數據治理重點行業網絡邊界業務數據安全運營安全能力保障工程數據離境智慧城市在風險語境下，“以業務安全為驅動，以數據安全為核心”，構建先進、科學、可行、合規的數據安全保障工程（Data Security Assurance Engineering，DSE）主要包括數據安全治理

7、和數據安全管理。數據安全治理：明確數據安全治理組織、職責并落實責任制，明確目標、內容、范圍和策略。具體包括如下：安全治理組織、安全戰略管理、安全風險管理、安全合規管理、安全策略管理、安全標準管理和安全能力管理。數據安全治理安全戰略管理安全治理組織安全風險管理安全合規管理安全策略管理安全標準管理安全能力管理部門及責任制（組織）數據保護戰略定位（戰略）能力建設藍圖（規劃）安全配套標準規范數據分類分級保護策略（制度）安全管理制度編制（制度）風險識別、分析、處置管理機制數據安全管理：核心是有效落實并實現組織（P）、過程（P）、技術（T）、數據（D）、智能（I）五大能力建設。具體包括如下：安全戰略對抗、

8、業務數據安全、網絡邊界安全、安全基礎設施、基礎安全防護、數據安全標準及安全運行維護?！鞍踩悄堋薄皡f同防護”“全局態勢”“主動防御”“去灰色地帶”“管理能力提升”“業務快速融合”數 據 安 全 保 護 面 臨 的 挑 戰P A R T 0 2 數 據 安 全 保 障 工 程 建 設 框 架數 據 安 全 治 理 體 系 架 構 設 計P A R T 0 4數 據 數 據 安 全 工 程 建 設 解 決 方 案數 據 安 全 保 障 工 程 建 設 藍 圖21數字空間保障環數據安全保障環基礎安全保障環數據安全治理：數據安全標準：安全戰略對抗：安全治理組織、安全戰略管理、安全風險管理、安全合規管理

9、、安全策略管理、安全標準管理、安全能力管理。元數據管理、數據質量管理、數據安全管理、數據分類分級、數據共享、數據使用規范等?！爸鲃臃烙蛥f同防御”技術，增強“擾亂、降解、欺騙”安全保障能力。蜜罐誘捕、信息迷霧、引流降解、風險探知。22數字空間保障環數據安全保障環基礎安全保障環網絡邊界安全：業務數據安全：安全基礎設施：高級威脅監測、數據安全監測、網站安全監測、郵件安全監測。數據分類分級基礎之上，應用合理的數據安全措施，打造數據安全環境，才能保證獲得數據安全可用的治理效果。數據資產發現、數據安全網關、數據安全審計、敏感數據脫敏、業務大數據安全分析、網絡安全大數據分析、數字空間態勢感知。23數字空間

10、保障環數據安全保障環基礎安全保障環基礎安全防護：安全運行維護：依據國家網絡安全等級保護和關鍵信息基礎設施安全保護，以及個人信息安全規范、個人隱私保護、數據出境、數據交易服務等安全要求，明確政企在數據安全的建設需求,結合政企信息安全現狀，形成體系化的規劃方案，從而構建基礎安全保障技術框架。由于數據安全保障工程（DSE）的復雜性、可行性和可維護性，DSE由規劃建設，轉為后期的安全運行維護均需要有較為專業的安全服務支持。重點從日常運行維護、突發應急響應、信息資產管理、安全配置管理、安全基線管理五個方面形成著力點。數 據 安 全 保 護 面 臨 的 挑 戰P A R T 0 2 數 據 安 全 保 障

11、 工 程 建 設 框 架數 據 安 全 治 理 體 系 架 構 設 計P A R T 0 4數 據 數 據 安 全 工 程 建 設 解 決 方 案P A R T 0 5 數 據 安 全 保 障 工 程 建 設 藍 圖數據安全治理體系保障工程目標落地國家安全重點行業國家數字空間大數據安全保障中心智慧城市智慧城市大數據安全保障中心政企大數據安全保障中心大數據安全治理聯盟行業應用安全和數據安全領導者；數據安全治理工程（DSE）提出者；根據12年的應用和數據安全經驗和案例保障DSE有效落地，保證政企數據安全。你 值 得 信 賴 的 合 作 伙 伴！全智能數據資產發現和分類，有效簡化政企跨部門數據責權協

12、調和管理復雜度；復雜業務數據場景安全智能分析，快速發現業務異常行為和數據違規操作；基于“零信任”的訪問控制網關，保證數據“可用不可見、可控可追溯”；全新打造“網絡空間、數字空間、物理空間”三位一體的新一代安全保障體系。我們的使命：AI賦能安全，讓安全無憂能力覆蓋數據資產可視數據隱私保護數據交換管控數據風險追溯核心步驟數據分級分類數據動態鑒權數據安全保護數據應急處置關鍵價值資產梳理策略制定過程控制追溯溯源持續優化數據庫安全數據庫審計數據庫安全網關數據庫加密數據保護數據動態鑒權數據脫敏數據水印數據治理數據資產梳理數據分級分類大數據監管平臺數據治理風險平臺有道可循，有依可循UEBA落地數據安全場景零

13、信任構建數據安全數據資產風險可溯性數據身份鑒權聯動性數據資產態勢可見性數據流動威脅風可控性方法論 基于數據生命周期做數據治理 基于零信任做數據安全保護數據資產數據庫大數據集群可見：數據資產可知：敏感數據外部數據交換場景數據操作審計數據操作審計識別流動的敏感數據內容識別敏感數據透出的應用和URL識別獲取&查看和操作數據的行為關聯使用的賬號和IP數據安全全局態勢地圖數據風險數據風險誰獲取了那些敏感數據誰操作了那些關鍵標識的數據高風險涉敏應用和URL敏感數據流動量級和來源去向可能高危的數據行為資產梳理資產梳理數據服務&數據資源賬號&權限數據操作權限風險感知風險感知可能高危的數據行為誰操作和導出那些敏

14、感數據訪問鑒權訪問鑒權統一服務&賬號管理基于資源細粒度權限分發管理數據保護數據保護動態行為控制策略動態脫敏行為和敏感內容溯源行為監控行為監控行為和敏感內容溯源數據管理數據管理涉敏應用和透出面管理內部業務操作場景數據安全態勢應用服務接口功能模塊數據域SaaSPaaSDaaS可信接入網關主體/客體/環境屬性庫智能授權分析引擎訪問控制策略響應模塊授權管理中心權限庫策略庫數據動態安全網關基于屬性的訪問控制策略響應模塊關聯控制策略形成響應結果IP位置時間脆弱性終端狀態基于環境因素的動態平衡客體屬性：分級標簽分類標簽行列 動作屬性：允許(增刪改查)禁止(增刪改查)主體屬性：身份角色職位部門 ABAC（Attribution Based Access Control，基于屬性的訪問控制）：基于用戶、資源、操作和動態上下文環境屬性進行靈活授權。策略執行點策略決策點策略管理點策略信息點策略檢索點策略執行策略決策策略支撐策略管理屬性管理環境屬性：是否本人在終端前使用；是否有人圍觀；THANK YOU謝謝觀看