數(shù)據(jù)安全數(shù)據(jù)治理體系運營建設方案

數(shù)據(jù)安全數(shù)據(jù)治理運營體系建設方案一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹wl數(shù)據(jù)泄露事件頻發(fā)據(jù)安全情報供應商RiskBasedSecurity(RBS)《2020年第三季度數(shù)據(jù)泄露報告》，截至2020年9月30日，全球公開披露的數(shù)據(jù)泄露事件2953起，相比2019年的6021起減少近50%，但是，數(shù)據(jù)泄露的數(shù)量與事件報告數(shù)量形成鮮明對比，2020年泄漏數(shù)據(jù)量360億條，相比2019年的83億條迅猛增加332％。2020.07圓通內部員工泄密案40萬+個人信息遭泄露，信息預備以每條1元的價格打包販賣至全國2021.01農行被銀保監(jiān)會罰款420萬人民幣因涉及發(fā)生重要信息系統(tǒng)突發(fā)事件未報告、數(shù)據(jù)安全管理粗放存在數(shù)據(jù)泄露風險、互聯(lián)網門戶網站泄露敏感信息wl法規(guī)要求01《網絡安全法》《銀保監(jiān)會信息科技風險現(xiàn)場檢查指南》01《網絡安全法》《銀保監(jiān)會信息科技風險現(xiàn)場檢查指南》《數(shù)據(jù)安全法》（草案）《中國銀監(jiān)會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》《數(shù)據(jù)安全法》（草案）《中國銀監(jiān)會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》《個人信息安全規(guī)范》08《個人信息安全規(guī)范》08《個人金融信息保護技術規(guī)范》《數(shù)據(jù)出境管理辦法》《證券期貨業(yè)數(shù)據(jù)分類分級指引》《數(shù)據(jù)出境管理辦法》《證券期貨業(yè)數(shù)據(jù)分類分級指引》《關鍵信息基礎設施安全保護條例》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《關鍵信息基礎設施安全保護條例》一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹■l數(shù)據(jù)安全治理體系框架建設目標：技術建設目標：技術+管理+運營，形成閉環(huán)可持續(xù)管理體系管理體系建設管理體系管理體系建設梳理評估定級定規(guī)檢查運營體系監(jiān)控體系運營體系監(jiān)控體系監(jiān)控體系建設應用分析加工分發(fā)測試運維傳輸采集處理銷毀存儲交換運營體系建設運營體系建設策略監(jiān)測處置滲透加固應急培訓保障一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹■l管理體系建設框架梳理梳理定級評估體系建設組織機構操作規(guī)范策略記錄表單人員整改報告周期人員標準支撐■l管理體系建設成果管理制度建設服務（10個制度管理制度建設服務（10個制度17個規(guī)范4個流程）數(shù)據(jù)安全自查服務梳理/定級服務（2圖2報告3清單1指南）梳理/定級服務（2圖2報告3清單1指南）數(shù)據(jù)安全評估服務DSAS數(shù)據(jù)資產評估工具數(shù)據(jù)資產的梳理效果梳理前梳理后約300個約500個約200個約300個約500個約200個■l管理體系建設-技術支撐-數(shù)據(jù)梳理通過基于敏感數(shù)據(jù)特征的靜態(tài)掃描和動態(tài)流量分■l管理體系建設-技術支撐-賬戶權限梳理最小化授權指南》■l管理體系建設-技術支撐-分類分級建設■l管理體系建設-技術支撐-數(shù)據(jù)使用梳理■l管理體系建設-案例-某部委客戶痛點?數(shù)據(jù)資產量級很大、業(yè)務系統(tǒng)繁多、系統(tǒng)運行存續(xù)時間久；因新系統(tǒng)上線和舊客戶痛點?數(shù)據(jù)資產量級很大、業(yè)務系統(tǒng)繁多、系統(tǒng)運行存續(xù)時間久；因新系統(tǒng)上線和舊系統(tǒng)下線，加之新老員工更迭交替，部分數(shù)據(jù)資產責任方變得模糊；一些未登記且未使用數(shù)據(jù)資產陸續(xù)出現(xiàn)；?數(shù)據(jù)資產梳理依賴人工，時間和精力成本高，且統(tǒng)計結果不準確；是否還存在未登記備案的數(shù)據(jù)資產不清楚；缺少技術手段和自動化工具驗證。?業(yè)務系統(tǒng)復雜，涉及敏感和重要業(yè)務數(shù)據(jù)的操作需要進行審計監(jiān)管，能及時發(fā)現(xiàn)違規(guī)訪問和數(shù)據(jù)泄露風險。?由于業(yè)務需要，需要向第三方提供業(yè)務數(shù)據(jù)進行數(shù)據(jù)分析，優(yōu)化數(shù)據(jù)質量、挖掘數(shù)據(jù)價值，如何保證提供給第三方的數(shù)據(jù)不會被大規(guī)模泄漏安華方案?通過自動發(fā)現(xiàn)和“靜態(tài)+動態(tài)”梳理技術，實現(xiàn)數(shù)據(jù)資產底賬管理與準入準出管控；?可在數(shù)據(jù)庫很多、數(shù)據(jù)量很大的情況下，實現(xiàn)梳理產品能夠不影響業(yè)務使用的同時多任務多線程執(zhí)行梳理工作，保證了資產梳理工作質量；?通過數(shù)據(jù)使用與監(jiān)測分析技術，厘清信息中心各業(yè)務系統(tǒng)敏感數(shù)據(jù)使用狀況及流向關系，為實施數(shù)據(jù)使用最小化原則及訪問控制策略提供依據(jù)；?實現(xiàn)對中心全部數(shù)據(jù)資產的可視化分析，為促進資產的安全管理打下堅實基礎。?通過部署5臺數(shù)據(jù)庫審計系統(tǒng)，滿足信息中心的重要數(shù)據(jù)資產全范圍業(yè)務操作審計，審計數(shù)據(jù)保留六個月以上，滿足監(jiān)管要求。信息中心數(shù)據(jù)資產梳理2**前臺系統(tǒng)**前臺系統(tǒng)監(jiān)管**數(shù)據(jù)庫查*數(shù)據(jù)庫查*數(shù)據(jù)庫**錄入系統(tǒng)■l金融行業(yè)分類分級規(guī)則輔助一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹wl數(shù)據(jù)管控-面向各種使用場景的數(shù)據(jù)管控業(yè)務系統(tǒng)訪問安全第三方運維訪問安全業(yè)務系統(tǒng)訪問安全第三方運維訪問安全數(shù)據(jù)存儲安全數(shù)據(jù)管控數(shù)據(jù)管控l及時阻斷外部攻擊和探測l防黑客滲透造成數(shù)據(jù)泄漏和丟失l防止通過第三方泄漏數(shù)據(jù)共享安全數(shù)據(jù)共享安全數(shù)據(jù)分發(fā)安全數(shù)據(jù)分發(fā)安全測試開發(fā)安全wl應用側訪問安全防護運維行為安全管控針對對運維行為提供流程化管理機制，數(shù)據(jù)運維精細化安全管控,避免運維及第三方人員的誤操作或惡意操作行為開發(fā)測試場景敏感數(shù)據(jù)保護DMS-S靜態(tài)脫敏-測試開發(fā)環(huán)境數(shù)據(jù)安全最佳工具測試開發(fā)環(huán)境的生產數(shù)據(jù)模擬數(shù)據(jù)共享場景敏感數(shù)據(jù)防護DMS-D動態(tài)脫敏-業(yè)務系統(tǒng)隱私保護的利器降低應用側、運維側實時訪問敏感數(shù)據(jù)時的數(shù)據(jù)泄露隱患，使數(shù)據(jù)使用者可以恰如其分的訪問敏感數(shù)據(jù)wl數(shù)據(jù)外發(fā)數(shù)據(jù)安全DWS數(shù)據(jù)水印-提供可溯源的數(shù)據(jù)分發(fā)共享技術通過自動化水印處理通過自動化水印處理，避免內部人員外發(fā)數(shù)據(jù)泄露無法對事件追溯，提高數(shù)據(jù)傳遞的安全性和可追溯能力wl數(shù)據(jù)存儲安全DES數(shù)據(jù)加密-數(shù)據(jù)匯聚存儲安全的基石通過數(shù)據(jù)加密存儲、強化訪問控制通過數(shù)據(jù)加密存儲、強化訪問控制，從根本上杜絕數(shù)據(jù)庫由于明文存儲帶來的拖庫、篡改、泄密等安全隱患DAS數(shù)據(jù)庫審計-數(shù)據(jù)安全基線實時監(jiān)控數(shù)據(jù)庫訪問行為實時監(jiān)控數(shù)據(jù)庫訪問行為，風險事件即時告警，精準快速追蹤溯源，滿足合規(guī)的基礎上全方位監(jiān)控風險產品綜合管理平臺統(tǒng)一部署可跳轉語句集中統(tǒng)計風險集中呈現(xiàn)會話集中匯總可下鉆可跳轉語句集中統(tǒng)計風險集中呈現(xiàn)會話集中匯總可下鉆設備狀況查看集中運維集中l(wèi)icense管理可檢索統(tǒng)計數(shù)據(jù)集中分析結果匯總設備狀況資源監(jiān)控系統(tǒng)日志系統(tǒng)升級告警管理證書管理wlGB政務云c互c互聯(lián)網區(qū)c公共區(qū)公共區(qū)某省人社-數(shù)據(jù)安全防護主中心從中心主中心xxxxOracle數(shù)據(jù)庫rac數(shù)據(jù)庫靜態(tài)脫敏需求背景江蘇省人社計劃于2020年底前完成一體化信息平臺建設，將全省分散獨立的人社系統(tǒng)整合為互聯(lián)互通、業(yè)務協(xié)同、信息共享的“大系統(tǒng)”。平臺存在大量數(shù)據(jù)訪問及外發(fā)共享場景，存在較大安全隱患，急需對此部分進行嚴格管控，保障平臺數(shù)據(jù)安全數(shù)據(jù)庫防護場景方案部署方式：采用主從雙中心保障業(yè)務穩(wěn)定運行。DPS以主備代理方式部署確保核心數(shù)據(jù)庫安全。且和核心交換機都以萬兆聚合交叉互聯(lián)，保證鏈路穩(wěn)定。防護方案：用戶單位數(shù)據(jù)庫都是以集群部署，無法用傳統(tǒng)ip+port方式進行防護，故采用劃分13個地級市數(shù)據(jù)庫用戶名，且每個用戶名登錄IP限定。保證各地市都能以不同的數(shù)據(jù)庫用戶名登錄數(shù)據(jù)庫且操作都可以被管控。漏洞防護：數(shù)據(jù)庫防火墻的虛擬補丁防護功能，解決了核心業(yè)務數(shù)據(jù)庫因不能及時打補丁帶來的安全隱患問題數(shù)據(jù)外發(fā)場景方案旁路部署DMS-S，便捷高效地將提供給其他單位的敏感數(shù)據(jù)脫敏處理，同時保證數(shù)據(jù)可用性，確保敏感數(shù)據(jù)不外泄的同時不影響業(yè)務運行一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹■l運營體系建設-概況落實管理體系規(guī)范和流程，發(fā)揮技術體系監(jiān)測和防護能力，需要常態(tài)化、完善的運營能力做支撐通過日常運營管控平臺，支撐集中化、日?；臄?shù)據(jù)安全運營業(yè)務流程通過日常運營服務、專家服務、護網保障、重保服務、培訓服務，實現(xiàn)數(shù)據(jù)安全常態(tài)化能力通過可視化的運營監(jiān)管能力，建設運營監(jiān)測中心，幫助管理者全面掌握數(shù)據(jù)安全運營狀況■l運營體系建設-日常運營-大屏展示通過數(shù)據(jù)安全運營管控平臺提供給運營人員便捷通過數(shù)據(jù)安全運營管控平臺提供給運營人員便捷的、流程化的、智能化的、可視化的運營管理工具。安全策略運營安全策略運營風險事件視圖安全風險分析數(shù)據(jù)資產運營數(shù)據(jù)資產運營數(shù)據(jù)流轉視圖數(shù)據(jù)流轉視圖安全事件追溯安全事件追溯日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障1.1.建設“數(shù)據(jù)安全集中監(jiān)管、統(tǒng)一運營”的“數(shù)據(jù)安全運營管控平臺”2.日常運營流程與運營平臺完美結合，實現(xiàn)數(shù)據(jù)安全日常運營最佳實踐日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障1.建設“數(shù)據(jù)安全集中監(jiān)管、統(tǒng)一運營”的“數(shù)據(jù)安全運營管控平臺”2.日常運營流程與運營平臺完美結合，實現(xiàn)數(shù)據(jù)安全日常運營最佳實踐wl運營體系建設-運營監(jiān)管wl運營體系建設-運營監(jiān)管日常運營運營監(jiān)管服務保障持續(xù)感知數(shù)據(jù)資產狀況、同步完善備持續(xù)感知數(shù)據(jù)資產狀況、同步完善備安全合規(guī)策略的落實情況和執(zhí)行效果數(shù)據(jù)安全運營價值數(shù)據(jù)安全運營價值掌握風險分布和風險趨勢，提前應對洞悉數(shù)據(jù)流向、數(shù)據(jù)風險和處置情況掌握風險分布和風險趨勢，提前應對洞悉數(shù)據(jù)流向、數(shù)據(jù)風險和處置情況日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障數(shù)據(jù)資產安全運營：數(shù)據(jù)資產安全運營：洞悉數(shù)據(jù)資產和業(yè)務應用詳情，洞悉敏感數(shù)據(jù)流轉情況113456數(shù)據(jù)資產概要應用/接口/運維概要敏感數(shù)據(jù)分布敏感數(shù)據(jù)詳情敏感數(shù)據(jù)流轉資產安全評估113456業(yè)務應用概要涉敏資產分布涉敏數(shù)據(jù)分布敏感數(shù)據(jù)詳情業(yè)務訪問趨勢敏感數(shù)據(jù)流轉日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障數(shù)據(jù)地圖：數(shù)據(jù)地圖：幫助運營者全面了解數(shù)據(jù)中臺的數(shù)據(jù)資產、敏感數(shù)據(jù)分布，了解數(shù)據(jù)業(yè)務應用111數(shù)據(jù)資產維度5敏感數(shù)據(jù)統(tǒng)計43543567672敏感數(shù)據(jù)分布圖6資產分布統(tǒng)計33數(shù)據(jù)資產統(tǒng)計44資產掃描/認領/備案統(tǒng)計77應用/接口/運維統(tǒng)計467業(yè)務應用分布圖涉敏業(yè)務統(tǒng)計業(yè)務備案統(tǒng)計業(yè)務應用維度4335115涉敏數(shù)據(jù)統(tǒng)計66業(yè)務熱度排行77應用/接口/運維分布日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障數(shù)據(jù)安全事件運營：數(shù)據(jù)安全事件運營：全面了解安全事件分布和處置情況事件分級統(tǒng)計安全事件排名最新安全事件事件分布統(tǒng)計事件趨勢統(tǒng)計事件類型分布事件處置跟蹤最新處置情況未處置事件處置事件統(tǒng)計處置事件趨勢日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障?感知數(shù)據(jù)資產、業(yè)務系統(tǒng)、敏感數(shù)據(jù)的分布情況.?敏感數(shù)據(jù)在部門間、應用間、設備間的流動情況?敏感數(shù)據(jù)生命周期流動情況.?異常行為事件分布情況統(tǒng)計?分析事件趨勢，事件處置情況數(shù)據(jù)安全運營的六種視角?掌握標準和制度合規(guī)情況?了解安全合規(guī)策略落實情況?數(shù)據(jù)生命周期安全能力?數(shù)據(jù)安全共享和分發(fā)、發(fā)布、追溯?應用數(shù)據(jù)安全、運維數(shù)據(jù)安全能力。.?通過風險看板、風險趨勢分析、風險分布，感知數(shù)據(jù)安全風險wl運營體系建設-服務保障wl運營體系建設-服務保障日常運營運營監(jiān)管服務保障通過日常運營服務、專家服務、護網保障、重保服務、培訓服通過日常運營服務、專家服務、護網保障、重保服務、培訓服數(shù)據(jù)安全日常運營服務數(shù)據(jù)安全日常運營服務數(shù)據(jù)安全評估服務重大保障服務重大保障服務護網服務某客戶數(shù)據(jù)安全運營部署示意圖一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹wl數(shù)據(jù)安全體系化建設步驟-三個體系建設的優(yōu)先順序1數(shù)據(jù)安全管理體系建設2數(shù)據(jù)安全監(jiān)控體系建設3數(shù)據(jù)安全運營體系建設■l數(shù)據(jù)安全體系化建設-實操數(shù)據(jù)安全體系建設可以分為2個階段建設：1)管理體系和監(jiān)控體系建設；2)運營體系建設，完善策略管理和風險監(jiān)測能力，完成數(shù)據(jù)安全管控平臺的全面建設。1、數(shù)據(jù)安全管理體系建設1、數(shù)據(jù)安全管理體系建設2、數(shù)據(jù)安全技術體系建設建立全面數(shù)據(jù)安全建立全面數(shù)據(jù)安全運營體系1、完善規(guī)范、流程和策略管理、風險監(jiān)測能力。2、建設數(shù)據(jù)安全“集中管控、統(tǒng)一運營”的運營管控平臺數(shù)據(jù)安全策略集中管控系統(tǒng)風險事件集中監(jiān)測處置系統(tǒng)數(shù)據(jù)安全風險分析、態(tài)勢分析系統(tǒng)建立管理能力和建立管理能力和基礎監(jiān)測防護能力日常運營服務、專家服務、護網保障、重保服務、培訓服務，實現(xiàn)數(shù)據(jù)安全運營常態(tài)化wl某銀行數(shù)據(jù)庫安全防護用戶現(xiàn)狀數(shù)據(jù)庫所有訪問行為鏡像給審計系統(tǒng)數(shù)據(jù)庫所有訪問行為鏡像給審計系統(tǒng)敏感數(shù)據(jù)脫敏處理數(shù)據(jù)庫安全審計敏感數(shù)據(jù)脫敏處理數(shù)據(jù)脫敏系統(tǒng)現(xiàn)場已對數(shù)據(jù)庫用戶權限進行管控，且已有堡壘機作為運維行為的管控設備，但仍無法對具體SQL操作做限制，若出現(xiàn)誤操作或惡意操作等情況，無法即時攔截阻斷，可能會造成不可估量的損失。解決方案運維側防護：提供流程化管理機制，避免運維人員的誤操作和惡意操作行為，對接行方OA進行審批。結合動態(tài)脫敏模塊，對無權查看的數(shù)據(jù)進行脫敏處理。行方后續(xù)預計對接app端便于高效審批。研發(fā)側防護：對于研發(fā)側數(shù)據(jù)全部脫敏處理，保證敏感數(shù)據(jù)安全數(shù)據(jù)庫審計：行內目前數(shù)據(jù)庫種類很多且數(shù)據(jù)量龐大，對所有數(shù)據(jù)庫操作行為做到細粒度實時審計、告警，并且事件可追溯方案價值根據(jù)運維人員角色權限，匹配安全策略結合審批流程，提升運維管理能力通過數(shù)據(jù)庫審計，更加直觀的發(fā)現(xiàn)各個數(shù)據(jù)庫每天的訪問情況，并對一些數(shù)據(jù)庫高危操作提供告警審計提升數(shù)據(jù)脫敏效率，不需要人工去除敏感數(shù)據(jù)再提供給研發(fā)測試，實現(xiàn)脫敏的高效性、可用性，保證敏感數(shù)據(jù)不外泄。uu需求痛點存在業(yè)務數(shù)據(jù)取數(shù)的需求，當前措施需通過層層審批，但是取數(shù)流程沒有脫離人工操作，難免存在管理措施流于形式和人為失誤問題在領導審批時，由于沒有數(shù)據(jù)的支持，領導無法評估審批的風險，無法良好實現(xiàn)審批的意義方案及價值通過數(shù)據(jù)脫敏系統(tǒng)，在審批前，提供取數(shù)中包含敏感數(shù)據(jù)情況，領導以此為依據(jù)來決定審批行為，降