版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
銀行數(shù)據(jù)安全管理實(shí)踐2021.07目1數(shù)據(jù)安全管理的背景及需求錄23科學(xué)構(gòu)建數(shù)據(jù)安全體系數(shù)據(jù)安全管理實(shí)踐金融行業(yè)常見(jiàn)安全隱患及風(fēng)險(xiǎn)…偽造支付軟件身份盜用隱私泄露非授權(quán)訪問(wèn)攻擊系統(tǒng)漏洞病毒入侵惡意攻擊違規(guī)操作惡意軟件攻擊篡改釣魚(yú)/木馬驗(yàn)證短信竊取4外部法律合規(guī)、監(jiān)管和企業(yè)內(nèi)部管理需求促進(jìn)數(shù)據(jù)安全不斷完善在全球信息化的今天,無(wú)論是外部法律、法規(guī)及監(jiān)管制度的要求,還是內(nèi)部企業(yè)發(fā)展內(nèi)在需求,保護(hù)數(shù)據(jù)的私密性、完整性、真實(shí)性和可靠性成為重中之中。企業(yè)數(shù)據(jù)安全管理需要符合國(guó)家標(biāo)準(zhǔn)、國(guó)內(nèi)標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn),接受監(jiān)管機(jī)構(gòu)的檢查和審計(jì)。企業(yè)內(nèi)部安全管理、風(fēng)險(xiǎn)管控、數(shù)據(jù)共享等要求,使得可靠的數(shù)據(jù)存儲(chǔ)、安全的挖掘分析、嚴(yán)格的運(yùn)營(yíng)監(jiān)控成為大數(shù)據(jù)時(shí)代企業(yè)安全的剛需。????《國(guó)家安全法》《網(wǎng)絡(luò)安全法》???????保護(hù)客戶及員工隱私數(shù)據(jù)安全保護(hù)關(guān)鍵商務(wù)交互安全保障企業(yè)統(tǒng)一身份管理保障企業(yè)數(shù)據(jù)安全存儲(chǔ)與歸檔完善監(jiān)管審計(jì)制度《數(shù)據(jù)安全法》《GB/T35273-2020-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》《JR/T0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范》??提升抗風(fēng)險(xiǎn)能力…………5大數(shù)據(jù)時(shí)代對(duì)數(shù)據(jù)安全提出了更高要求管理內(nèi)容更豐富管理能力更出色管理技術(shù)更先進(jìn)數(shù)據(jù)安全要求更高,數(shù)據(jù)泄露影響也更大;面對(duì)海量的數(shù)據(jù)進(jìn)行全面的安全分級(jí)管理;一些新的大數(shù)據(jù)產(chǎn)品對(duì)于數(shù)據(jù)安全設(shè)計(jì)存在存在缺陷,更多依賴于企業(yè)自身的數(shù)據(jù)安全管理能力;?利用大數(shù)據(jù)技術(shù)獲取企業(yè)不同類型的安全數(shù)據(jù),識(shí)別潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)和威脅;?
非結(jié)構(gòu)化數(shù)據(jù)納入管理范疇;????
客戶隱私數(shù)據(jù)保護(hù)成為重點(diǎn);???非結(jié)構(gòu)化數(shù)據(jù)的安全保護(hù)策略和技術(shù)實(shí)現(xiàn)方案;分布式的數(shù)據(jù)加密技術(shù)、數(shù)據(jù)脫敏技術(shù);?
數(shù)據(jù)安全分級(jí)管理成為必要;?
海量數(shù)據(jù)脫敏比較關(guān)注;?
分布式的基礎(chǔ)設(shè)施災(zāi)備;?
更多相關(guān)的法律法規(guī)保證。更全面、靈活的數(shù)據(jù)文件訪問(wèn)技術(shù),基礎(chǔ)設(shè)施災(zāi)備和恢復(fù)技術(shù)。?
分布式的災(zāi)備和恢復(fù)要求越來(lái)越多。6什么是數(shù)據(jù)安全廣義上說(shuō),數(shù)據(jù)安全就是通過(guò)各種方法和工具保護(hù)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。靜態(tài)數(shù)據(jù)就是在電腦上存儲(chǔ)的數(shù)據(jù);動(dòng)態(tài)數(shù)據(jù)就是在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。換言之,安全是一個(gè)保密的過(guò)程,讓該看到數(shù)據(jù)的人讀取到正確的信息,讓不該看到數(shù)據(jù)的人不能讀取信息。數(shù)據(jù)安全是一種主動(dòng)防護(hù)措施,必須依靠可靠、完整的安全體系與安全技術(shù)來(lái)實(shí)現(xiàn)。保密性完整性可用性?確保數(shù)據(jù)在存儲(chǔ)、使用、傳輸?shù)?確保數(shù)據(jù)在存儲(chǔ)、使用、傳輸?shù)?確保授權(quán)用戶或?qū)嶓w對(duì)數(shù)據(jù)過(guò)程中不被泄露給非授權(quán)用戶或?qū)嶓w過(guò)程中不被非授權(quán)用戶篡改,同時(shí)防止授權(quán)用戶對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行不恰當(dāng)?shù)拇鄹?,保持?jǐn)?shù)據(jù)內(nèi)外部一致性正常使用不會(huì)被異常拒絕,允許其可靠及時(shí)的訪問(wèn)數(shù)據(jù)抗抵賴性可追溯性?指一個(gè)實(shí)體不能夠否認(rèn)其行為的特征,可以支持責(zé)任追究,威懾作用和法律行動(dòng)等?指從一個(gè)實(shí)體的行為能夠唯一追溯到該實(shí)體的特性,可以支持故障隔離、攻擊阻斷、事后恢復(fù)等7數(shù)據(jù)安全為企業(yè)發(fā)展保家護(hù)航?
保護(hù)企業(yè)客戶數(shù)據(jù)和內(nèi)部經(jīng)營(yíng)數(shù)據(jù)?
保障業(yè)務(wù)持續(xù)運(yùn)轉(zhuǎn)?
商業(yè)機(jī)密信息的安全交換?
是企業(yè)持續(xù)發(fā)展的需要?
降低風(fēng)險(xiǎn),符合監(jiān)管要求01020304防御能力發(fā)現(xiàn)能力對(duì)抗能力應(yīng)急能力8同業(yè)數(shù)據(jù)安全管理現(xiàn)狀-工商銀行1.建立了數(shù)據(jù)安全分級(jí),同時(shí)對(duì)系統(tǒng)防御等級(jí)進(jìn)行了定義2.建設(shè)了數(shù)據(jù)庫(kù)安全審計(jì)監(jiān)控項(xiàng)目??全行范圍內(nèi)部署基于Agent
監(jiān)控的Guardium安全審計(jì)方案,對(duì)授權(quán)用戶與敏感數(shù)據(jù)制定專門的安全審計(jì)策略。滿足金融行業(yè)安全審計(jì)合規(guī)、報(bào)表需求與敏感信息的集中化實(shí)時(shí)監(jiān)控能力。9同業(yè)數(shù)據(jù)安全管理現(xiàn)狀-建設(shè)銀行建立數(shù)據(jù)安全分級(jí)?指不被公眾使
用
的數(shù)
據(jù)
。
該
類
數(shù)
據(jù)對(duì)行內(nèi)開(kāi)放而
非
向公
眾
發(fā)
布
。
內(nèi)
部使用級(jí)數(shù)據(jù)在
非
授權(quán)
情
況
下
的
泄
露將會(huì)對(duì)銀行聲
譽(yù)
以及
客
戶
帶
來(lái)
一
定程度的影響。
內(nèi)
部使
用
級(jí)
數(shù)
據(jù)
為
中度敏感。例如
:
機(jī)構(gòu)
編
碼
,
機(jī)
構(gòu)
數(shù)量,員工人數(shù)
,
業(yè)務(wù)
種
類
等
。?指可以向公眾
披
露的
數(shù)
據(jù)
。
其
泄
露不會(huì)對(duì)銀行聲譽(yù)
以
及客
戶
帶
來(lái)
影
響
。普通級(jí)數(shù)據(jù)被認(rèn)
為
不敏
感
。
例
如
從
公開(kāi)渠道或政府部
門
獲得
的
信
息
、
或
者在銀行網(wǎng)站上公
布
的信
息
。
如
:
匯
率,內(nèi)部使用級(jí)普通級(jí)監(jiān)管級(jí)基準(zhǔn)利率,交
易
渠道
,
機(jī)
構(gòu)
名
稱
,機(jī)構(gòu)辦公電話,
機(jī)
構(gòu)經(jīng)
營(yíng)
地
址
,
機(jī)
構(gòu)網(wǎng)址
,機(jī)
構(gòu)
經(jīng)
營(yíng)
范
圍,
機(jī)
構(gòu)
營(yíng)業(yè)
時(shí)
間
等
。?該級(jí)別所涉及
的
數(shù)據(jù)
對(duì)
銀
行
正
常
運(yùn)營(yíng)至關(guān)重要或者
具
有戰(zhàn)
略
意
義
,
或
可以為銀行提供重
要
的競(jìng)
爭(zhēng)
優(yōu)
勢(shì)
,
且
該數(shù)據(jù)在非授權(quán)情
況
下的
泄
露
將
會(huì)
對(duì)
銀行聲譽(yù)以及客戶
帶
來(lái)非
常
大
的
影
響
。例如:評(píng)級(jí)信息
,
個(gè)人
客
戶
貢
獻(xiàn)
度
,產(chǎn)品定價(jià),合約
信
息等
。高級(jí)敏感度?監(jiān)管級(jí)數(shù)據(jù)為
法
律或
監(jiān)
管
對(duì)
其
披
露進(jìn)行了限制,
或
涉及
到
個(gè)
人
信
息
保密要求。這些
數(shù)
據(jù)在
非
授
權(quán)
情
況
下的泄露將導(dǎo)致
銀
行違
反
法
律
法
規(guī)
。監(jiān)管級(jí)數(shù)據(jù)極
為
敏感
。
例
如
:
個(gè)
人資產(chǎn)負(fù)債和違
約
記錄
,
客
戶
證
件
信息,客戶聯(lián)絡(luò)
信
息,
員
工
個(gè)
人
信
息等。10同業(yè)數(shù)據(jù)安全管理現(xiàn)狀-華夏銀行?
對(duì)組織根本利益有著決定性影響,如果泄露會(huì)造成災(zāi)難性的影響高級(jí)敏感度(保密)?
僅在組織內(nèi)部或在組織某一部門內(nèi)部公開(kāi),向外擴(kuò)散有可能對(duì)組織的利益造成損害中度敏感度(內(nèi)部使用)低敏感程度(公開(kāi))?
可以對(duì)社會(huì)公開(kāi),或者公開(kāi)后不對(duì)組織利益造成損害建立了數(shù)據(jù)安全分級(jí)建立數(shù)據(jù)安全管理制度11目1數(shù)據(jù)安全管理的背景及需求錄23科學(xué)構(gòu)建數(shù)據(jù)安全體系數(shù)據(jù)安全管理實(shí)踐信息安全與數(shù)據(jù)安全,你中有我目標(biāo)安安全治理、風(fēng)險(xiǎn)管理合規(guī)風(fēng)險(xiǎn)管理框架全策戰(zhàn)略和治理框架合規(guī)和策略遵從略安全運(yùn)維安安全事件監(jiān)控安全策略管理安全事件響應(yīng)安全事件審計(jì)安全外包管理全運(yùn)維安全績(jī)效管理技術(shù)安全基礎(chǔ)架構(gòu)安身份/訪問(wèn)安物理安全環(huán)境安全應(yīng)用安全應(yīng)用開(kāi)發(fā)數(shù)據(jù)安全全全數(shù)據(jù)安全數(shù)據(jù)泄露保護(hù)技應(yīng)用開(kāi)發(fā)生命周期安全身份驗(yàn)證網(wǎng)絡(luò)安全環(huán)境安全分級(jí)術(shù)安業(yè)務(wù)流程安全WEB應(yīng)用全設(shè)備安全介質(zhì)安全訪問(wèn)安全數(shù)據(jù)加密數(shù)據(jù)歸檔數(shù)據(jù)災(zāi)備主機(jī)安全終端安全安全身份安全周期管理APP應(yīng)用安全安全監(jiān)控?cái)?shù)據(jù)安全體系1.
數(shù)據(jù)安全管理組織,內(nèi)容遵循信息化安全整體策略和要求;目標(biāo)2.
遵循數(shù)據(jù)管理組織架構(gòu),設(shè)立決策層、管理層和執(zhí)行層;3.
數(shù)據(jù)安全的管理流程遵循計(jì)劃、評(píng)估、執(zhí)行和總結(jié)等四個(gè)階段滾動(dòng)執(zhí)行;數(shù)據(jù)安全管理制度規(guī)范組織架構(gòu)管理流程4.
數(shù)據(jù)安全的管理流程需要審批自動(dòng)流轉(zhuǎn);5.
數(shù)據(jù)安全的制度規(guī)范遵循信息安全的整體規(guī)范,并參考相關(guān)規(guī)矩標(biāo)準(zhǔn)。數(shù)據(jù)安全服務(wù)數(shù)據(jù)泄密保護(hù)數(shù)據(jù)安全分級(jí)數(shù)據(jù)安全監(jiān)控?cái)?shù)據(jù)加密數(shù)據(jù)災(zāi)備數(shù)據(jù)歸檔1.
確定數(shù)據(jù)安全分級(jí)規(guī)則,進(jìn)行相應(yīng)數(shù)據(jù)安全等級(jí)劃分;2.
需要建立評(píng)估體系支撐數(shù)據(jù)安全分級(jí)管理,并制定不同分級(jí)對(duì)應(yīng)的加密策略、歸檔策略、監(jiān)控策略和備份策略等;3.
確定數(shù)據(jù)安全監(jiān)控內(nèi)容,制定安全監(jiān)控重點(diǎn),并指導(dǎo)閉環(huán)管理流程;技術(shù)安全數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)歷史數(shù)據(jù)歸檔系統(tǒng)災(zāi)備系統(tǒng)4.
確定數(shù)據(jù)泄密保護(hù)內(nèi)容,制定保護(hù)措施和方法;5.
結(jié)合數(shù)據(jù)生命周期策略,從數(shù)據(jù)安全角度確定歸檔的作用1.
確定數(shù)據(jù)安全監(jiān)控系統(tǒng)重要功能模塊既相關(guān)實(shí)現(xiàn)內(nèi)容;2.
明確歷史歸檔系統(tǒng)和災(zāi)備系統(tǒng)對(duì)數(shù)據(jù)安全工作的整體支撐方法。14數(shù)據(jù)安全分級(jí)?
數(shù)據(jù)安全定級(jí)旨在對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理并確立適當(dāng)?shù)臄?shù)據(jù)安全分級(jí),是金融業(yè)機(jī)構(gòu)實(shí)施有效數(shù)據(jù)分級(jí)管理的必要前提和基礎(chǔ)。數(shù)據(jù)分級(jí)管理是建立統(tǒng)一、完善的數(shù)據(jù)生命周期安全保護(hù)框架的基礎(chǔ)工作,能夠?yàn)榻鹑跇I(yè)機(jī)構(gòu)制定有針對(duì)性的數(shù)據(jù)安全管控措施提供支撐。目標(biāo)5級(jí)數(shù)據(jù)特征如下:?重要數(shù)據(jù),通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過(guò)程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)使用,一般針對(duì)特定人員公開(kāi),且僅為必須知悉的對(duì)象訪問(wèn)或使用。?數(shù)據(jù)安全性遭到破壞后,對(duì)國(guó)家安全造成影響,或?qū)姍?quán)益造成嚴(yán)重影響。4級(jí)數(shù)據(jù)特征如下:??據(jù)通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過(guò)程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的重要業(yè)務(wù)使用,一般針對(duì)特定人員公開(kāi),且僅為必須知悉的對(duì)象訪問(wèn)或使用。??個(gè)人金融信息中的C3類信息。數(shù)據(jù)安全性遭到破壞后,對(duì)公眾權(quán)益造成一般影響,或?qū)€(gè)人隱私或企業(yè)合法權(quán)益造成嚴(yán)重影響,但不影響國(guó)家安全。3級(jí)數(shù)據(jù)特征如下:級(jí)別概述???數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)關(guān)鍵或重要業(yè)務(wù)使用,一般針對(duì)特定人員公開(kāi),且僅為必須知悉的對(duì)象訪問(wèn)或使用。個(gè)人金融信息中的C2類信息。數(shù)據(jù)的安全性遭到破壞后,對(duì)公眾權(quán)益造成輕微影響,或?qū)€(gè)人隱私或企業(yè)合法權(quán)益造成一般影響,但不影響國(guó)家安全。2級(jí)數(shù)據(jù)特征如下:???數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)一般業(yè)務(wù)使用,一般針對(duì)受限對(duì)象公開(kāi),通常為內(nèi)部管理且不宜廣泛公開(kāi)的數(shù)據(jù)。個(gè)人金融信息中的C1類信息。數(shù)據(jù)的安全性遭到破壞后,對(duì)個(gè)人隱私或企業(yè)合法權(quán)益造成輕微影響,但不影響國(guó)家安全、公眾權(quán)益。1級(jí)數(shù)據(jù)特征如下:???數(shù)據(jù)一般可被公開(kāi)或可被公眾獲知、使用。個(gè)人金融信息主體主動(dòng)公開(kāi)的信息。數(shù)據(jù)的安全性遭到破壞后,可能對(duì)個(gè)人隱私或企業(yè)合法權(quán)益不造成影響,或僅造成微弱影響但不影響國(guó)家安全、公眾權(quán)益。參考文獻(xiàn):[1]中國(guó)人民銀行,JRT
0197—2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》,2020-09-23;15數(shù)據(jù)安全分級(jí)-定級(jí)過(guò)程金融數(shù)據(jù)安全定級(jí)過(guò)程包括數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全定級(jí)準(zhǔn)備、數(shù)據(jù)安全級(jí)別判定、數(shù)據(jù)安全級(jí)別審核及數(shù)據(jù)安全級(jí)別批準(zhǔn),具體工作流程如圖所示。?
數(shù)據(jù)資產(chǎn)梳理?對(duì)數(shù)據(jù)進(jìn)行盤(pán)點(diǎn)、梳理與分類,形成統(tǒng)一的數(shù)據(jù)資產(chǎn)清單,并進(jìn)行數(shù)據(jù)安全定級(jí)合規(guī)性相關(guān)準(zhǔn)備工作。?
數(shù)據(jù)安全定級(jí)準(zhǔn)備??明確數(shù)據(jù)定級(jí)的顆粒度(如庫(kù)文件、表、字段等)。識(shí)別數(shù)據(jù)安全定級(jí)關(guān)鍵要素。?
數(shù)據(jù)安全級(jí)別判定?按照數(shù)據(jù)定級(jí)規(guī)則,結(jié)合國(guó)家及行業(yè)有關(guān)法律法規(guī)、部門規(guī)章,對(duì)數(shù)據(jù)安全等級(jí)進(jìn)行初步判定。?綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時(shí)效性、數(shù)據(jù)形態(tài)(如是否經(jīng)匯總、加工、統(tǒng)計(jì)、脫敏或匿名化處理等)等因素,對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行復(fù)核,調(diào)整形成數(shù)據(jù)安全級(jí)別評(píng)定結(jié)果及定級(jí)清單。?
數(shù)據(jù)安全級(jí)別審核?審核數(shù)據(jù)安全級(jí)別評(píng)定過(guò)程和結(jié)果,必要時(shí)重復(fù)第三步及其后工作,直至安全級(jí)別的劃定與本機(jī)構(gòu)數(shù)據(jù)安全保護(hù)目標(biāo)一致。?
數(shù)據(jù)安全級(jí)別批準(zhǔn)?最終由數(shù)據(jù)安全管理最高決策組織對(duì)數(shù)據(jù)安全分級(jí)結(jié)果進(jìn)行審議批準(zhǔn)。16數(shù)據(jù)安全監(jiān)控?cái)?shù)據(jù)安全監(jiān)控要實(shí)現(xiàn)從數(shù)據(jù)識(shí)別分類-數(shù)據(jù)安全評(píng)估-監(jiān)測(cè)預(yù)警-審計(jì)報(bào)告的閉環(huán)式管理。識(shí)別分類安全評(píng)估?
了解數(shù)據(jù)庫(kù)網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)訪問(wèn)技術(shù)?
漏洞評(píng)估管理?
設(shè)置審計(jì)?
敏感數(shù)據(jù)識(shí)別和分類?
安全策略更新?
測(cè)試數(shù)據(jù)庫(kù)安全性能監(jiān)控審計(jì)管理審計(jì)報(bào)告監(jiān)測(cè)預(yù)警?
審計(jì)數(shù)據(jù)合規(guī)性?監(jiān)控限制特權(quán)用戶?監(jiān)控應(yīng)用系統(tǒng)訪問(wèn)用戶?偵測(cè)應(yīng)用程序?qū)悠墼p?異常操作阻斷?
事件分析和挖掘?
數(shù)據(jù)保存和簽發(fā)?
事件報(bào)表管理?報(bào)警和跟蹤17數(shù)據(jù)泄露保護(hù)數(shù)據(jù)防泄漏安全的目的是建立數(shù)據(jù)的安全邊界,通過(guò)采取相應(yīng)的技術(shù)措施,為企業(yè)中各種數(shù)據(jù)建立一個(gè)安全邊界。???接口管理--控制數(shù)據(jù)通過(guò)各種接口泄露數(shù)據(jù):對(duì)終端設(shè)備接口控制、對(duì)終端各種網(wǎng)絡(luò)接口管理、識(shí)別普通USB和USB存儲(chǔ)設(shè)備、識(shí)別本地存儲(chǔ)和遠(yuǎn)程存儲(chǔ)、支持位置類型接口管理。移動(dòng)介質(zhì)控制--控制數(shù)據(jù)通過(guò)各種移動(dòng)介質(zhì)泄露,如U盤(pán)、光驅(qū)、軟驅(qū)等:實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的讀寫(xiě)控制、是否允許接入終端是否允許讀寫(xiě)、控制文件是否可以被讀取與寫(xiě)入、審計(jì)移動(dòng)介質(zhì)的訪問(wèn)情況。終端外聯(lián)控制--控制數(shù)據(jù)通過(guò)各種網(wǎng)絡(luò)連接方式泄露:實(shí)現(xiàn)對(duì)外聯(lián)方式的審計(jì)和控制,外聯(lián)方式包括Modem撥號(hào)、GPRS無(wú)線上網(wǎng)卡、CDMA無(wú)線上網(wǎng)卡、藍(lán)牙、紅外燈;管理員可以為外聯(lián)設(shè)置適用場(chǎng)景,配置使用?;谥鳈C(jī)的數(shù)據(jù)泄露(結(jié)合終端設(shè)備接口及終端應(yīng)用協(xié)議控制、信息過(guò)濾、信息加密等技術(shù)實(shí)現(xiàn)全面防泄漏目標(biāo))????終端網(wǎng)絡(luò)行為控制--控制數(shù)據(jù)通過(guò)各種網(wǎng)絡(luò)應(yīng)用泄露:審計(jì)控制上網(wǎng)行為、通過(guò)WEB應(yīng)用上傳下載、網(wǎng)絡(luò)文件共享、IM軟件等。電子郵件發(fā)送控制--控制數(shù)據(jù)通過(guò)電子郵件泄露:審計(jì)控制郵件接收者、郵件附件、郵件服務(wù)器、密送抄送等。文件共享--控制數(shù)據(jù)通過(guò)文件共享泄露:審計(jì)控制文件共享方式、文件類型、共享方向等。數(shù)據(jù)加密--防止文件被竊取而造成的數(shù)據(jù)泄露:對(duì)數(shù)據(jù)加密、對(duì)有限加密等。??數(shù)據(jù)發(fā)現(xiàn)--通過(guò)無(wú)代理網(wǎng)絡(luò)和數(shù)據(jù)發(fā)現(xiàn),找到保密信息所在位置并加以分類?;诰W(wǎng)絡(luò)的數(shù)據(jù)泄露(主要依靠協(xié)議分析機(jī)制,通過(guò)部署在網(wǎng)絡(luò)邊界間的硬件設(shè)備,以流量過(guò)濾或者代理方式實(shí)現(xiàn)進(jìn)入網(wǎng)絡(luò)數(shù)據(jù)的發(fā)現(xiàn)、檢查和過(guò)濾)數(shù)據(jù)監(jiān)控--監(jiān)控電子郵件、網(wǎng)絡(luò)打印、FTP、HTTP、IM等,識(shí)別哪些人從哪里發(fā)送哪些數(shù)據(jù)。?數(shù)據(jù)保護(hù)--根據(jù)文件內(nèi)容控制網(wǎng)絡(luò)傳輸中重要數(shù)據(jù)泄露、禁止非授權(quán)網(wǎng)絡(luò)應(yīng)用的使用、監(jiān)控網(wǎng)絡(luò)應(yīng)用對(duì)數(shù)據(jù)的傳輸、解碼壓縮數(shù)據(jù)。18數(shù)據(jù)歸檔數(shù)據(jù)歸檔按照數(shù)據(jù)安全分級(jí)選擇不同的歸檔策略,一般會(huì)和分級(jí)存儲(chǔ)相結(jié)合、分級(jí)存儲(chǔ)即按照數(shù)據(jù)所處不同階段的重要性和使用頻率,將它們存儲(chǔ)在最適宜的設(shè)備中,從而實(shí)現(xiàn)有效的管理和最低的成本。1、在線存儲(chǔ)在線存儲(chǔ)是指存儲(chǔ)設(shè)備和所存儲(chǔ)的數(shù)據(jù)時(shí)刻保持“在線”狀態(tài),針對(duì)訪問(wèn)頻度很高的、數(shù)據(jù)及時(shí)性要求很高的,可供用戶隨意讀取,滿足業(yè)務(wù)對(duì)數(shù)據(jù)訪問(wèn)的速度要求。一般選擇價(jià)格較高、可靠性較強(qiáng)的SCSI盤(pán)陣或光纖盤(pán)陣中。2、近線存儲(chǔ)近線村粗主要定位于客戶在線存儲(chǔ)和離線存儲(chǔ)之間的應(yīng)用。就是指那些要求訪問(wèn)及時(shí)性一般、頻度一般、成本要求相對(duì)較低的數(shù)據(jù)。一般選擇價(jià)格相對(duì)便宜的SATA盤(pán)陣中。3、離線存儲(chǔ)離線存儲(chǔ)采樣在存儲(chǔ)設(shè)備成本較低的介質(zhì)上存儲(chǔ)。離線用于那些基本不會(huì)被訪問(wèn)的數(shù)據(jù)、即使被訪問(wèn)也不要求及時(shí)性、村粗成本和運(yùn)維成本要求很低的數(shù)據(jù),離線存儲(chǔ)的典型產(chǎn)品是磁帶庫(kù)、光盤(pán)塔等設(shè)備,價(jià)格低廉。19數(shù)據(jù)加密數(shù)據(jù)加密根據(jù)不同的數(shù)據(jù)安全分級(jí)選擇不同的加密策略。從對(duì)外電子郵件,到文件服務(wù)器,到USB和PDA等可移動(dòng)存儲(chǔ)設(shè),幫助企業(yè)執(zhí)行安全管理策略。數(shù)據(jù)加密實(shí)現(xiàn)如下目的:??????保護(hù)已存儲(chǔ)數(shù)據(jù),即使存儲(chǔ)設(shè)備丟失或被盜;自動(dòng)執(zhí)行設(shè)備使用策略并保護(hù)數(shù)據(jù);監(jiān)視控制用于保存和傳輸數(shù)據(jù)的外部存儲(chǔ)設(shè)備使用情況;在發(fā)送、傳輸和接手期間保護(hù)電子郵件的安全;在服務(wù)器操作系統(tǒng)平臺(tái)上提供文件加密(包括主機(jī));利用基于標(biāo)準(zhǔn)的加密密鑰管理以及可以繼承的數(shù)字證書(shū)在應(yīng)用層保護(hù)商業(yè)交易安全。服務(wù)器/網(wǎng)關(guān)加密客戶端/桌面級(jí)加密移動(dòng)終端加密??密鑰管理:創(chuàng)建分類存放加密密鑰,保證有權(quán)限的人訪問(wèn)加密數(shù)據(jù);??自動(dòng)消息保護(hù):自動(dòng)加密、解密、數(shù)據(jù)簽名;???虛擬磁盤(pán):自動(dòng)加密解密存儲(chǔ)在磁盤(pán)卷內(nèi)數(shù)據(jù),與加密客戶端兼容;多重方式保護(hù)數(shù)據(jù):壓縮包、自解密、虛擬磁盤(pán)保存;策略執(zhí)行:傳送集中操控的策略配置且移除不一致的或不正確的策略配置風(fēng)險(xiǎn);加密壓縮包:使用密碼或證書(shū)保護(hù)正在傳輸中的數(shù)據(jù);??單點(diǎn)登陸;??報(bào)告記錄:自動(dòng)發(fā)送報(bào)告數(shù)據(jù)給管理員;自解密文檔:允許快速加密存儲(chǔ)為Windows下可執(zhí)行文件包,用于沒(méi)有運(yùn)行加密軟件的數(shù)據(jù)交換環(huán)境;同步文件:確保文件在網(wǎng)絡(luò)、服務(wù)器、備份中保持加密狀態(tài);強(qiáng)制安全策略:根據(jù)集中操控策略自動(dòng)強(qiáng)制執(zhí)行數(shù)據(jù)保護(hù);?角色分隔:不同權(quán)限,不同訪問(wèn)粒度;20數(shù)據(jù)災(zāi)備數(shù)據(jù)災(zāi)備主要從數(shù)據(jù)安全性角度為全行災(zāi)備管理提出災(zāi)備需求,以滿足數(shù)據(jù)的完整性、可用性、可追溯性。根據(jù)系統(tǒng)的重要性級(jí)別,對(duì)災(zāi)備系統(tǒng)提出災(zāi)備級(jí)別要求、以保障重要數(shù)據(jù)在可容忍的時(shí)間內(nèi)恢復(fù)到期望的時(shí)間點(diǎn)數(shù)據(jù),減少數(shù)據(jù)損失帶來(lái)的影響。?
高重要性:一類系統(tǒng)災(zāi)難恢復(fù)最低要求為RTO<4小時(shí),RPO<30分鐘,如核心業(yè)務(wù)系統(tǒng)、信貸系統(tǒng)、清算系統(tǒng)等。?
中重要性:二類系統(tǒng)災(zāi)難恢復(fù)最低要求為RTO<24小時(shí),RPO<120分鐘,如OA系統(tǒng)等。?
低重要性:三類系統(tǒng)災(zāi)難恢復(fù)最低要求為RTO<7天,如工資保險(xiǎn)管理系統(tǒng),管理會(huì)計(jì)系統(tǒng)等。RTO:信息系統(tǒng)恢復(fù)時(shí)間目標(biāo)RPO:信息系統(tǒng)恢復(fù)點(diǎn)目標(biāo)21目1數(shù)據(jù)安全管理的背景及需求錄23科學(xué)構(gòu)建數(shù)據(jù)安全體系數(shù)據(jù)安全管理實(shí)踐數(shù)據(jù)安全管理與數(shù)據(jù)管理數(shù)據(jù)應(yīng)用與服務(wù)基礎(chǔ)數(shù)據(jù)平臺(tái)建設(shè)數(shù)數(shù)據(jù)服務(wù)數(shù)據(jù)需求管理應(yīng)用與服務(wù)規(guī)劃數(shù)據(jù)倉(cāng)庫(kù)數(shù)據(jù)集市報(bào)表應(yīng)用數(shù)據(jù)查詢儀表盤(pán)專項(xiàng)數(shù)據(jù)分析需求管理指標(biāo)管理?yè)?jù)應(yīng)用大數(shù)據(jù)平臺(tái)報(bào)表管理主數(shù)據(jù)管理數(shù)據(jù)模型管理數(shù)據(jù)標(biāo)準(zhǔn)管理數(shù)據(jù)標(biāo)準(zhǔn)體系基礎(chǔ)類數(shù)據(jù)標(biāo)準(zhǔn)分析類數(shù)據(jù)標(biāo)準(zhǔn)數(shù)據(jù)標(biāo)準(zhǔn)維護(hù)數(shù)據(jù)質(zhì)量管理數(shù)據(jù)質(zhì)量度量規(guī)則管理數(shù)據(jù)質(zhì)量問(wèn)題發(fā)現(xiàn)數(shù)據(jù)質(zhì)量整改元數(shù)據(jù)管理數(shù)據(jù)架構(gòu)管理元數(shù)據(jù)體系技術(shù)元數(shù)據(jù)企業(yè)數(shù)據(jù)模型體系主數(shù)據(jù)架構(gòu)企業(yè)數(shù)據(jù)架構(gòu)規(guī)范企業(yè)數(shù)據(jù)模型規(guī)范企業(yè)數(shù)據(jù)模型制定企業(yè)數(shù)據(jù)模型維護(hù)主數(shù)據(jù)規(guī)范與規(guī)則主數(shù)據(jù)系統(tǒng)建設(shè)主數(shù)據(jù)生命周期數(shù)據(jù)生命周期管理企業(yè)數(shù)據(jù)分布企業(yè)數(shù)據(jù)流轉(zhuǎn)業(yè)務(wù)元數(shù)據(jù)數(shù)據(jù)質(zhì)量監(jiān)測(cè)管理元數(shù)據(jù)數(shù)據(jù)企業(yè)數(shù)據(jù)架構(gòu)整合數(shù)據(jù)標(biāo)準(zhǔn)落地實(shí)施數(shù)據(jù)質(zhì)量評(píng)估元數(shù)據(jù)的應(yīng)用服務(wù)管理數(shù)據(jù)安全管理數(shù)據(jù)安全管理標(biāo)準(zhǔn)數(shù)據(jù)安全分級(jí)數(shù)據(jù)安全事故處理數(shù)據(jù)安全審計(jì)數(shù)據(jù)生命周期策略數(shù)據(jù)保留與存儲(chǔ)數(shù)據(jù)銷毀歸檔數(shù)據(jù)的檢索與使用數(shù)據(jù)安全監(jiān)控?cái)?shù)據(jù)備份與恢復(fù)數(shù)據(jù)組織與職責(zé)數(shù)據(jù)政策與制度數(shù)據(jù)管理流程數(shù)據(jù)管理技術(shù)支撐數(shù)據(jù)標(biāo)準(zhǔn)管理工具數(shù)據(jù)管理組織數(shù)據(jù)管理職責(zé)數(shù)據(jù)管理制度框架數(shù)據(jù)管理制度文檔制定數(shù)據(jù)管理績(jī)效與考核數(shù)據(jù)管理流程制定數(shù)據(jù)質(zhì)量管理數(shù)據(jù)歸檔工具保障數(shù)據(jù)管理流程執(zhí)行元數(shù)據(jù)管理工具機(jī)制數(shù)據(jù)治理價(jià)值推廣數(shù)據(jù)管理流程優(yōu)化重檢數(shù)據(jù)安全工具23數(shù)據(jù)安全管理與數(shù)據(jù)管理數(shù)據(jù)安全分級(jí)的分析、審批、發(fā)布流程管理,并提供查詢修改功能數(shù)據(jù)分類數(shù)據(jù)安全分級(jí)運(yùn)營(yíng)管理渠道管理企業(yè)理財(cái)貸款機(jī)構(gòu)基本信息渠道基本信息數(shù)據(jù)分類是數(shù)據(jù)安全分級(jí)的基礎(chǔ)和依據(jù)1級(jí)2級(jí)3級(jí)4級(jí)元數(shù)據(jù)平臺(tái)為數(shù)據(jù)安全分級(jí)提供技術(shù)支撐理財(cái)基本信息貸款申請(qǐng)審批信息貸款貸款規(guī)劃管理信息貸款合約信息5級(jí)人力資源管理員工績(jī)效考核信息風(fēng)險(xiǎn)管理客戶信用評(píng)級(jí)信息24數(shù)據(jù)安全管理組織數(shù)據(jù)治理組織是各類數(shù)據(jù)治理工作的決策和執(zhí)行組織,根據(jù)數(shù)據(jù)治理的指導(dǎo)思想從上至下劃分成不同的工作層級(jí),落實(shí)數(shù)據(jù)治理的具體工作,嚴(yán)謹(jǐn)、科學(xué)的組織設(shè)置可以增強(qiáng)數(shù)據(jù)治理與應(yīng)用工作的推動(dòng)力和執(zhí)行力。1數(shù)據(jù)治理委員會(huì)決策機(jī)構(gòu)數(shù)據(jù)治理是一項(xiàng)全行性的工作,重要決策由數(shù)據(jù)治理委員會(huì)審閱和批準(zhǔn),數(shù)據(jù)治理委員會(huì)是數(shù)據(jù)治理的最高決策機(jī)構(gòu)。23數(shù)據(jù)治理辦公室業(yè)務(wù)部門分支行數(shù)據(jù)標(biāo)準(zhǔn)管理崗公司業(yè)務(wù)部北京分行管理協(xié)調(diào)組織數(shù)據(jù)治理由全行業(yè)務(wù)部門和科技部門共同參與,數(shù)據(jù)治理辦公室組織、協(xié)調(diào)全局工作的開(kāi)展。數(shù)據(jù)質(zhì)量管理崗數(shù)據(jù)安全管理崗……個(gè)人金融部金融市場(chǎng)部天津分行上海分行數(shù)據(jù)安全執(zhí)行人業(yè)務(wù)組織各業(yè)務(wù)部門、分支行在數(shù)據(jù)治理辦公室統(tǒng)一協(xié)調(diào)下,組織本單位相關(guān)人員共同參與數(shù)據(jù)治理工作。IT項(xiàng)目組IT運(yùn)維組系統(tǒng)工程師1系統(tǒng)工程師2數(shù)據(jù)安全執(zhí)行人數(shù)據(jù)工程師1數(shù)據(jù)工程師24技術(shù)組織負(fù)責(zé)在信息化系統(tǒng)的開(kāi)發(fā)過(guò)程中嚴(yán)格遵循全行數(shù)據(jù)治理要求,接受數(shù)據(jù)治理辦公室對(duì)遵循情況的檢查;負(fù)責(zé)在信息化系統(tǒng)的日常運(yùn)維活動(dòng)中遵循全行數(shù)據(jù)治理各項(xiàng)要求,及時(shí)反饋真實(shí)的數(shù)據(jù)情況給數(shù)據(jù)治理辦公室。25數(shù)據(jù)安全管理流程活動(dòng)任務(wù)輸出制定計(jì)劃制定計(jì)劃理解年度安全管理目標(biāo),確定重點(diǎn)關(guān)注的指標(biāo);?
總結(jié)上一年度的問(wèn)題處理經(jīng)驗(yàn),補(bǔ)充需要重點(diǎn)關(guān)注內(nèi)容并列入年度的數(shù)據(jù)安全審核計(jì)劃;《年度安全管理計(jì)劃》?總結(jié)經(jīng)驗(yàn)評(píng)估安全?
整理新的安全管理需求,納入年度計(jì)劃執(zhí)行解決方案評(píng)估安全根據(jù)制定的安全標(biāo)準(zhǔn),進(jìn)行數(shù)據(jù)安全檢查評(píng)估,發(fā)現(xiàn)數(shù)據(jù)安全問(wèn)題《數(shù)據(jù)安全問(wèn)題案例集錦》?數(shù)據(jù)安全管理流程數(shù)據(jù)安全執(zhí)行解決方案?根據(jù)問(wèn)題清單,調(diào)整或解決相應(yīng)的安全問(wèn)題;《數(shù)據(jù)安全問(wèn)題案例集錦》決策層年度計(jì)劃?
清理有問(wèn)題數(shù)據(jù),修正或重新生成P1.安全工作計(jì)劃正確數(shù)據(jù);管理層執(zhí)行層P2.檢查評(píng)估總結(jié)經(jīng)驗(yàn)《數(shù)據(jù)安全問(wèn)題案例集錦》?整理問(wèn)題處理中的經(jīng)驗(yàn),并總結(jié)問(wèn)題原因,形成安全管理案例,指導(dǎo)后續(xù)安全工作;總結(jié)經(jīng)驗(yàn)P3.執(zhí)行解決方案數(shù)據(jù)安全管理系統(tǒng)業(yè)務(wù)部門數(shù)據(jù)管理部門技術(shù)部門數(shù)據(jù)資產(chǎn)展示數(shù)據(jù)資產(chǎn)管理系統(tǒng)管理資產(chǎn)查詢資產(chǎn)導(dǎo)航分類導(dǎo)航通用功能門戶管理點(diǎn)評(píng)管理通用查詢常用詞推薦結(jié)果集排序待辦事項(xiàng)收藏夾資產(chǎn)點(diǎn)評(píng)公告板用戶管理結(jié)果集導(dǎo)出業(yè)務(wù)導(dǎo)航公告管理結(jié)果集查詢變更訂閱角色管理權(quán)限管理數(shù)據(jù)質(zhì)量管理數(shù)據(jù)安全管理資產(chǎn)價(jià)值評(píng)估價(jià)值評(píng)估模型數(shù)據(jù)同步監(jiān)控?cái)?shù)據(jù)探查單表查詢數(shù)據(jù)安系統(tǒng)安全分級(jí)管理數(shù)據(jù)質(zhì)量規(guī)則調(diào)度執(zhí)行數(shù)據(jù)質(zhì)量問(wèn)題管理數(shù)據(jù)同步日志采集數(shù)據(jù)同步任務(wù)看板數(shù)據(jù)同步問(wèn)題臺(tái)賬全分級(jí)管理數(shù)據(jù)質(zhì)量規(guī)則管理價(jià)值評(píng)估管理價(jià)值評(píng)估看板多表關(guān)聯(lián)查詢數(shù)據(jù)安全分級(jí)報(bào)表系統(tǒng)安全分級(jí)報(bào)表數(shù)據(jù)質(zhì)量問(wèn)題報(bào)告數(shù)據(jù)質(zhì)量知識(shí)庫(kù)管理審批流管理日志管理幫助管理SQL查詢數(shù)據(jù)資產(chǎn)目錄管理數(shù)據(jù)資產(chǎn)目錄采集目錄分類管理資產(chǎn)目錄維護(hù)數(shù)據(jù)地圖維護(hù)數(shù)據(jù)分布維護(hù)目錄版本管理歷史版本維護(hù)采集作業(yè)維護(hù)調(diào)度作業(yè)維護(hù)作業(yè)運(yùn)行作業(yè)監(jiān)控批量導(dǎo)入批量導(dǎo)出分類大類維護(hù)數(shù)據(jù)資產(chǎn)分類管理屬性維護(hù)分類子類維護(hù)業(yè)務(wù)屬性維護(hù)代碼信息維護(hù)關(guān)聯(lián)關(guān)系維護(hù)版本差異分析27
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《資產(chǎn)評(píng)估》第章長(zhǎng)期投資評(píng)估
- 改性滌綸纖維和塑料制品項(xiàng)目可行性研究報(bào)告模板-備案拿地
- (統(tǒng)考版)2023版高考化學(xué)一輪復(fù)習(xí)課時(shí)作業(yè)36晶體結(jié)構(gòu)與性質(zhì)
- 體育館建設(shè)自卸車運(yùn)輸合同
- 兒童樂(lè)園卡通扶梯裝修合同
- 實(shí)驗(yàn)室裝修合同范本
- 國(guó)際學(xué)校裝修服務(wù)合同
- 交通運(yùn)輸項(xiàng)目融資居間合同
- 醫(yī)療園區(qū)擴(kuò)建材料運(yùn)輸合同
- 城市基建自卸車運(yùn)輸協(xié)議
- 漫畫(huà)說(shuō)病人手術(shù)流程
- 金礦開(kāi)采項(xiàng)目可行性研究報(bào)告
- 塑膠模具管理流程
- 高一【物理(人教版)】重力與彈力(第一課時(shí))-課件
- 中國(guó)近現(xiàn)代史綱要(首都師范大學(xué))超星爾雅學(xué)習(xí)通章節(jié)測(cè)試答案
- 寶寶不挑食課件PPT
- 拯救生命的小分子活性肽
- 某公司績(jī)效考核管理辦法
- 風(fēng)電前期審批手續(xù)流程圖
- (附答案)教練員脫崗培訓(xùn)考核試卷
- 《鄉(xiāng)土中國(guó)》之《文字下鄉(xiāng)》《再論文字下鄉(xiāng)》-統(tǒng)編版高中語(yǔ)文必修上冊(cè)
評(píng)論
0/150
提交評(píng)論