DT時(shí)代的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)防治課件_第1頁(yè)
DT時(shí)代的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)防治課件_第2頁(yè)
DT時(shí)代的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)防治課件_第3頁(yè)
DT時(shí)代的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)防治課件_第4頁(yè)
DT時(shí)代的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)防治課件_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、DT 時(shí)代的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)防治IT 到 DT 的變革本質(zhì)數(shù)字載體知識(shí)情報(bào)表達(dá)信息歸納解讀推理大數(shù)據(jù)數(shù)據(jù)AIBI客觀事物呈現(xiàn)發(fā)現(xiàn)系統(tǒng) A系統(tǒng) B數(shù)據(jù) A數(shù)據(jù) B系統(tǒng) C數(shù)據(jù) CIT 時(shí)代:業(yè)務(wù)數(shù)據(jù)化系統(tǒng) A系統(tǒng) B數(shù)據(jù) A數(shù)據(jù) B系統(tǒng) C數(shù)據(jù) CDT 時(shí)代:數(shù)據(jù)業(yè)務(wù)化時(shí)代DT 時(shí)代的核心是數(shù)據(jù)流動(dòng)合作流入數(shù)據(jù)匯 集、加工、關(guān)聯(lián)、分析AI 建模合作流出數(shù)據(jù)系統(tǒng) D數(shù)據(jù) DIT 系統(tǒng)的信息外部威脅者內(nèi)部威脅者外包威脅合作伙伴生產(chǎn)鏈威脅DT 時(shí)代的數(shù)據(jù)安全挑戰(zhàn)數(shù)據(jù)流動(dòng)保護(hù)風(fēng)險(xiǎn)更多數(shù)據(jù)來(lái)源更多基礎(chǔ)使用更多外部合作更多跨域流動(dòng)數(shù)據(jù)采集和來(lái)源授權(quán)、去向用途存儲(chǔ)保護(hù)和使用目的數(shù)據(jù)發(fā)布、共享、交換、出境用戶隱私、

2、知情、控制和權(quán)益數(shù)據(jù)上下游業(yè)務(wù)故障和質(zhì)量數(shù)據(jù)業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)加密(存儲(chǔ) & 傳輸)IT 系統(tǒng)網(wǎng)絡(luò)IT 系統(tǒng)網(wǎng)絡(luò)安全I(xiàn)T 時(shí)代數(shù)據(jù)安全保護(hù)體系效率!效率!效率!對(duì)他人隱私影響風(fēng)險(xiǎn)對(duì)國(guó)家安全影響風(fēng)險(xiǎn)數(shù)據(jù)主體權(quán)利保護(hù)風(fēng)險(xiǎn)數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)鏈接效應(yīng)業(yè)務(wù) A采集傳輸加工存儲(chǔ)使用銷毀業(yè)務(wù) B2 采集傳輸加工存儲(chǔ)使用銷毀業(yè)務(wù) B1 采集傳輸加工存儲(chǔ)使用銷毀交換 & 共享交換 & 共享業(yè)務(wù) C1 采集傳輸加工存儲(chǔ)使用銷毀業(yè)務(wù) C2 采集傳輸加工存儲(chǔ)使用銷毀業(yè)務(wù) C3 采集傳輸加工存儲(chǔ)使用銷毀業(yè)務(wù) C4 采集傳輸加工存儲(chǔ)使用銷毀IT 時(shí)代遺留的數(shù)據(jù)安全認(rèn)知誤區(qū)只把數(shù)據(jù)安全看作信息的載體安全數(shù)據(jù)的核心價(jià)值在于流動(dòng)過(guò)程中參與

3、分析與運(yùn)算帶來(lái)的增值,而非僅僅已有的信息價(jià)值數(shù)據(jù)流動(dòng)中帶來(lái)的許多風(fēng)險(xiǎn)很難只在載體這個(gè)維度看到或解決數(shù)據(jù)的流動(dòng)不僅僅是物理層的載體傳輸,更在于數(shù)據(jù)在不同組織、部門(mén)和業(yè)務(wù)之間的流動(dòng)帶來(lái)的風(fēng)險(xiǎn)IT 時(shí)代遺留的數(shù)據(jù)安全認(rèn)知誤區(qū)用數(shù)據(jù)生命周期作為數(shù)據(jù)安全體系建設(shè)規(guī)劃數(shù)據(jù)生命周期是拆解的實(shí)施與運(yùn)維視角,不是設(shè)計(jì)視角數(shù)據(jù)生命周期其實(shí)只關(guān)注數(shù)據(jù)在一個(gè)組織、系統(tǒng)內(nèi)流動(dòng)的場(chǎng)景。而數(shù)據(jù)跨組織和系統(tǒng)流動(dòng)才是最難解決的問(wèn)題,需要更加全局的視角。只按照數(shù)據(jù)生命周期的規(guī)劃來(lái)建設(shè),往往只見(jiàn)樹(shù)林不見(jiàn)森林,無(wú)法整體把握組織的數(shù)據(jù)風(fēng)險(xiǎn),無(wú)法回答企業(yè)數(shù)據(jù)安全建設(shè)的重點(diǎn)方向,無(wú)法評(píng)估數(shù)據(jù)風(fēng)險(xiǎn)控制的效果。IT 時(shí)代遺留的數(shù)據(jù)安全認(rèn)知誤區(qū)

4、只以資產(chǎn)(存儲(chǔ)訪問(wèn)層)視角看待數(shù)據(jù),忽視了數(shù)據(jù)生產(chǎn)資料(應(yīng)用層的使用和流動(dòng))視角數(shù)據(jù)的流動(dòng)大部分產(chǎn)生在應(yīng)用的過(guò)程中數(shù)據(jù)的風(fēng)險(xiǎn)除了在存儲(chǔ)訪問(wèn)環(huán)節(jié)(倉(cāng)管視角)外,更重要的在于使用環(huán)節(jié)(監(jiān)工視角)大部分的數(shù)據(jù)風(fēng)險(xiǎn)來(lái)自于應(yīng)用層的數(shù)據(jù)風(fēng)險(xiǎn):爬蟲(chóng) / 數(shù)據(jù)截留 / 私下交換 / 業(yè)務(wù)違規(guī)等IT 時(shí)代遺留的數(shù)據(jù)安全認(rèn)知誤區(qū)事后溯源能力建設(shè)被忽視事后溯源是相對(duì)更經(jīng)濟(jì)成本的應(yīng)對(duì)不確定性風(fēng)險(xiǎn)的措施,傳統(tǒng)網(wǎng)絡(luò)攻防不看重溯源是因?yàn)橥獠匡L(fēng)險(xiǎn)可溯源可懲戒機(jī)制弱。數(shù)據(jù)風(fēng)險(xiǎn)大部分是內(nèi)部風(fēng)險(xiǎn),相對(duì)來(lái)說(shuō)事后可溯源可懲戒機(jī)制是有效的一次大的數(shù)據(jù)事件的前面一定有很多小的事件,對(duì)小的事件的溯源懲戒是降低大事件概率最有效的手段再思考 D

5、T 時(shí)代的數(shù)據(jù)安全信息用于價(jià)值呈現(xiàn)和非再增值使用多種數(shù)據(jù)表達(dá)形式數(shù)據(jù)用于再增值使用和交換流動(dòng)性場(chǎng)景分析建模載體形式:數(shù)據(jù)庫(kù)、文件、數(shù)據(jù)流財(cái)產(chǎn)用于價(jià)值呈現(xiàn)和非再增值使用多種資產(chǎn)表達(dá)形式資金用于再增值使用和交換流動(dòng)性場(chǎng)景投資生產(chǎn)載體形式:現(xiàn)金、證券、信用傳統(tǒng)數(shù)據(jù)安全本質(zhì)是信息安全在數(shù)字載體上的靜態(tài)資產(chǎn)屬性安全DT 時(shí)代的數(shù)據(jù)安全需要關(guān)注流動(dòng)中的業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)與動(dòng)態(tài)生產(chǎn)資料保護(hù)財(cái)產(chǎn)安全關(guān)注財(cái)產(chǎn)主體自身資產(chǎn)屬性安全金融安全關(guān)注流動(dòng)中的業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)與資金投資損失大數(shù)據(jù)中心應(yīng)用數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器用戶終端應(yīng)用服務(wù)器應(yīng)用數(shù)據(jù)庫(kù)外部接口服務(wù)器內(nèi)部用戶終端外部接口服務(wù)器內(nèi)部用戶終端系統(tǒng)運(yùn)維終端DB 運(yùn)維終端研發(fā)測(cè)試終

6、端BI 人員 內(nèi)網(wǎng)導(dǎo)終端 出終端數(shù)據(jù)流動(dòng)帶來(lái)的基礎(chǔ)性風(fēng)險(xiǎn)數(shù)據(jù)治理層數(shù)據(jù)風(fēng)險(xiǎn)數(shù)據(jù)資產(chǎn)位置數(shù)據(jù)變更風(fēng)險(xiǎn) 敏感數(shù)據(jù)資產(chǎn)分布數(shù)據(jù)來(lái)源去向與用途風(fēng)險(xiǎn)數(shù)據(jù)安全策略不一致風(fēng)險(xiǎn)數(shù)據(jù)細(xì)粒度權(quán)限策略數(shù)據(jù)駐留風(fēng)險(xiǎn)第三方應(yīng)用戶終端用截留數(shù)據(jù)爬蟲(chóng)爬取接口數(shù)據(jù)合作伙伴濫內(nèi)部用戶濫用拉取數(shù)據(jù)用數(shù)據(jù)外部接口服務(wù)器內(nèi)部用戶終端應(yīng)用層數(shù)據(jù)風(fēng)險(xiǎn)數(shù)據(jù)流動(dòng)帶來(lái)的人為風(fēng)險(xiǎn)網(wǎng)絡(luò)系統(tǒng)層數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)用服務(wù)器應(yīng)用數(shù)據(jù)庫(kù)內(nèi)部用戶終端應(yīng)用層數(shù)據(jù)風(fēng)險(xiǎn)系統(tǒng)運(yùn)維終端DB 運(yùn) 研發(fā)測(cè) BI 人員 內(nèi)網(wǎng)導(dǎo)維終端 試終端 終端 出終端數(shù)據(jù)訪問(wèn)控制層風(fēng)險(xiǎn)黑客入侵大數(shù)據(jù)中心BI 人員利用數(shù)據(jù)視圖繞過(guò)限制讀取數(shù)據(jù)BI 人員非工作目的建模系統(tǒng)管理人員 研發(fā)人員后門(mén)違規(guī)配

7、置或種木馬應(yīng)用數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)操作人員違規(guī)導(dǎo)出或閱讀數(shù)據(jù)應(yīng)用服務(wù)器爬蟲(chóng)爬取接口數(shù)據(jù)合作伙伴濫用拉取數(shù)據(jù)內(nèi)部用戶濫用數(shù)據(jù) 外部接口服務(wù)器數(shù)據(jù)流動(dòng)帶來(lái)的合規(guī)性風(fēng)險(xiǎn)隱私和重要數(shù)據(jù)的采集、使用、交換 合規(guī)隱私數(shù)據(jù)的主體權(quán)利保護(hù)合規(guī)數(shù)據(jù)的出入境合規(guī)從數(shù)據(jù)流動(dòng)的風(fēng)險(xiǎn)視角思考體系數(shù)據(jù)基礎(chǔ)信息層B數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別層D數(shù)據(jù)風(fēng)險(xiǎn)控制層C數(shù)據(jù)治理層GC/ 合規(guī)風(fēng)險(xiǎn)動(dòng)態(tài)識(shí)別采集傳輸使用存儲(chǔ)合規(guī)風(fēng)險(xiǎn)交換共享發(fā)布離境合規(guī)風(fēng)險(xiǎn)數(shù)據(jù)的授權(quán)與用途合規(guī)風(fēng)險(xiǎn)數(shù)據(jù)分類分級(jí)管理合規(guī)風(fēng)險(xiǎn)數(shù)據(jù)駐留與第三方 SDK 合規(guī)風(fēng)險(xiǎn)C/ 合規(guī)風(fēng)險(xiǎn)控制加密 & 脫敏細(xì)粒度權(quán)限控制合規(guī)操作 & 措施 & 審計(jì) & 評(píng)估用戶權(quán)利保護(hù) & 協(xié)議R/ 人為風(fēng)險(xiǎn)動(dòng)態(tài)識(shí)

8、別用戶濫用行為異常拉取、爬取、截留行為異常 DB 操作、 BI 操作、數(shù)據(jù)導(dǎo)出操作行為異常數(shù)據(jù)流動(dòng)和流向信息數(shù)據(jù)泄露事件情報(bào)R/ 人為風(fēng)險(xiǎn)控制加密 & 脫敏細(xì)粒度權(quán)限控制流向控制、追蹤 & 審計(jì)、溯源速率控制 & 攔截 & 風(fēng)險(xiǎn)控制策略 / 數(shù)據(jù)基礎(chǔ)信息采集數(shù)據(jù)資產(chǎn)存儲(chǔ)分布信息數(shù)據(jù)應(yīng)用層使用駐留和流動(dòng)信息數(shù)據(jù)庫(kù)管理、 BI 和導(dǎo)出操作信息數(shù)據(jù)來(lái)源與去向的流向與授權(quán)信息G/ 數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)治理:針對(duì)風(fēng)險(xiǎn)要素識(shí)別處理數(shù)據(jù)的分類分級(jí)與細(xì)粒度權(quán)限策略數(shù)據(jù)的血緣關(guān)系與策略一致性數(shù)據(jù)所有者和數(shù)據(jù)數(shù)據(jù)變動(dòng)傳遞風(fēng)險(xiǎn)管理數(shù)據(jù)來(lái)源與去向 & 授權(quán)與用途追蹤、數(shù)據(jù)標(biāo)簽管理數(shù)據(jù)的駐留追蹤建設(shè)數(shù)據(jù)流動(dòng)的風(fēng)險(xiǎn)防治體系應(yīng)用數(shù)據(jù)風(fēng)險(xiǎn)防治應(yīng)用環(huán)節(jié)數(shù)據(jù)的使用和流動(dòng)的信息獲取應(yīng)用環(huán)節(jié)數(shù)據(jù)使用和流動(dòng)的風(fēng)險(xiǎn)識(shí)別和處置數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)防治隱私和重要數(shù)據(jù)的數(shù)據(jù)映射數(shù)據(jù)保護(hù)合規(guī)風(fēng)險(xiǎn)控制隱私數(shù)據(jù)主體權(quán)利保護(hù)合規(guī)風(fēng)險(xiǎn)控制

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論