2018年DT時代的數據流動風險防治.pdf

1、DT時代的數據流動風險防治ITIT到到DTDT的變革本質的變革本質數字載體知識情報表達信息歸納解讀推理數據大數據AIBI客觀事物呈現發現DTDT時代的核心是數據流動時代的核心是數據流動IT時代：業務數據化系統A數據ADT時代：數據業務化時代系統B數據B系統C數據C系統A數據A系統B數據B系統C數據C合作流入數據匯集、加工、關聯、分析AI建模合作流出數據系統D數據DDT時代的數據安全挑戰數據業務過程風險數據流動保護風險IT系統網絡安全IT系統網絡加密（存儲&傳輸）IT系統的信息外部威脅者更多基礎使用更多外部合作內部威脅者外包威脅合作伙伴生產鏈威脅更多數據來源更多跨域流動數據采集和來源授權、去向用

2、途存儲保護和使用目的數據上下游業務故障和質量數據發布、共享、交換、出境用戶隱私、知情、控制和權益對國家安全影響風險數據主體權利保護風險對他人隱私影響風險IT時代數據安全保護體系效率！效率！效率！數據流動風險鏈接效應業務A采集傳輸加工存儲使用銷毀業務B2 采集傳輸加工存儲使用銷毀業務B1 采集傳輸加工存儲使用銷毀交換&共享交換&共享業務C1 采集傳輸加工存儲使用銷毀業務C2 采集傳輸加工存儲使用銷毀業務C3 采集傳輸加工存儲使用銷毀業務C4 采集傳輸加工存儲使用銷毀IT時代遺留的數據安全認知誤區只把數據安全看作信息的載體安全數據的核心價值在于流動過程中參與分析與運算帶來的增值，而非僅僅已有的信息

3、價值數據流動中帶來的許多風險很難只在載體這個維度看到或解決數據的流動不僅僅是物理層的載體傳輸，更在于數據在不同組織、部門和業務之間的流動帶來的風險ITIT時代遺留的數據安全認知誤區時代遺留的數據安全認知誤區用數據生命周期作為數據安全體系建設規劃數據生命周期是拆解的實施與運維視角，不是設計視角數據生命周期其實只關注數據在一個組織、系統內流動的場景。而數據跨組織和系統流動才是最難解決的問題，需要更加全局的視角。只按照數據生命周期的規劃來建設，往往只見樹林不見森林，無法整體把握組織的數據風險，無法回答企業數據安全建設的重點方向，無法評估數據風險控制的效果。IT時代遺留的數據安全認知誤區只以資產（存儲

4、訪問層）視角看待數據，忽視了數據生產資料（應用層的使用和流動）視角數據的流動大部分產生在應用的過程中數據的風險除了在存儲訪問環節（倉管視角）外，更重要的在于使用環節（監工視角）大部分的數據風險來自于應用層的數據風險：爬蟲/數據截留/私下交換/業務違規等IT時代遺留的數據安全認知誤區事后溯源能力建設被忽視事后溯源是相對更經濟成本的應對不確定性風險的措施，傳統網絡攻防不看重溯源是因為外部風險可溯源可懲戒機制弱。數據風險大部分是內部風險，相對來說事后可溯源可懲戒機制是有效的一次大的數據事件的前面一定有很多小的事件，對小的事件的溯源懲戒是降低大事件概率最有效的手段再思考DT時代的數據安全載體形式：數據

5、庫、文件、數據流信息用于價值呈現和非再增值使用多種數據表達形式數據用于再增值使用和交換流動性場景分析建模載體形式：現金、證券、信用財產用于價值呈現和非再增值使用多種資產表達形式資金用于再增值使用和交換流動性場景投資生產傳統數據安全本質是信息安全在數字載體上的靜態資產屬性安全DT時代的數據安全需要關注流動中的業務過程風險與動態生產資料保護財產安全關注財產主體自身資產屬性安全金融安全關注流動中的業務過程風險與資金投資損失數據流動帶來的基礎性風險數據治理層數據風險大數據中心應用數據庫應用服務器用戶終端應用服務器應用數據庫外部接口服務器內部用戶終端外部接口服務器內部用戶終端系統運維終端DB運維終端研發

6、測試終端BI人員終端內網導出終端數據安全策略不一致風險數據細粒度權限策略數據駐留風險數據變更風險數據來源去向與用途風險數據資產位置敏感數據資產分布數據流動帶來的人為風險網絡系統層數據風險應用層數據風險數據訪問控制層風險應用層數據風險大數據中心應用數據庫應用服務器用戶終端應用服務器應用數據庫外部接口服務器內部用戶終端外部接口服務器內部用戶終端系統運維終端DB運維終端研發測試終端BI人員終端內網導出終端黑客入侵研發人員后門BI人員利用數據視圖繞過限制讀取數據BI人員非工作目的建模系統管理人員違規配置或種木馬數據庫操作人員違規導出或閱讀數據爬蟲爬取接口數據合作伙伴濫用拉取數據內部用戶濫用數據爬蟲爬取

7、接口數據合作伙伴濫用拉取數據內部用戶濫用數據第三方應用截留數據數據流動帶來的合規性風險隱私和重要數據的采集、使用、交換合規隱私數據的主體權利保護合規數據的出入境合規從數據流動的風險視角思考體系數據基礎信息層B數據風險識別層D數據風險控制層C數據治理層GC/合規風險動態識別采集傳輸使用存儲合規風險交換共享發布離境合規風險數據的授權與用途合規風險數據分類分級管理合規風險數據駐留與第三方SDK合規風險C/合規風險控制加密&脫敏細粒度權限控制合規操作&措施&審計&評估用戶權利保護&協議R/人為風險動態識別用戶濫用行為異常拉取、爬取、截留行為異常DB操作、BI操作、數據導出操作行為異常數據流動和流向信息

8、數據泄露事件情報R/人為風險控制加密&脫敏細粒度權限控制流向控制、追蹤&審計、溯源速率控制&攔截&風險控制策略/數據基礎信息采集數據資產存儲分布信息數據應用層使用駐留和流動信息數據庫管理、BI和導出操作信息數據來源與去向的流向與授權信息G/數據資產風險治理：針對風險要素識別處理數據的分類分級與細粒度權限策略數據的血緣關系與策略一致性數據所有者和數據數據變動傳遞風險管理數據來源與去向&授權與用途追蹤、數據標簽管理數據的駐留追蹤建設數據流動的風險防治體系應用數據風險防治應用環節數據的使用和流動的信息獲取應用環節數據使用和流動的風險識別和處置數據合規風險防治隱私和重要數據的數據映射數據保護合規風險控制隱私數據主體權利保護合規風險控制數據出入境合規風險控制數據流動體系風險防治敏感數據發現與分類分級管理數據血緣傳遞風險場景控制數據來源去向用途風險追蹤和控制數據訪問風險防治數據訪問環節的使用和流動的信息獲取數據訪問環節的細粒度權限控制和高危風險場景控制數據訪問環節數據使用和流動的風險識別和處置謝 謝！