數(shù)據(jù)安全治理及保障實踐

目錄11.風險及法規(guī)分析建設方法論分析數(shù)據(jù)安全治理路徑數(shù)據(jù)安全治理實踐01

數(shù)據(jù)安全風險及法規(guī)分析2數(shù)據(jù)安全概述數(shù)據(jù)：是指任何以電子或者其他方式對信息的記錄。-《數(shù)據(jù)安全法》數(shù)據(jù)要素：數(shù)據(jù)已經(jīng)成為與土地、勞動力、資本、技術等傳統(tǒng)要素并列新型生產(chǎn)要素。-《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見（2020年3月30日）》數(shù)據(jù)處理：包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。-《數(shù)據(jù)安全法》數(shù)據(jù)安全：指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。-《數(shù)據(jù)安全法》數(shù)據(jù)數(shù)據(jù)資源數(shù)據(jù)資產(chǎn)數(shù)據(jù)要素市場數(shù)據(jù)要素匯聚權屬明晰生產(chǎn)必需數(shù)據(jù)收集數(shù)據(jù)存儲數(shù)據(jù)加工數(shù)據(jù)傳輸數(shù)據(jù)提供數(shù)據(jù)公開數(shù)據(jù)應用有力調配3市場化配置數(shù)據(jù)安全數(shù)據(jù)安全形勢分析運維人員刪庫造成業(yè)務中斷數(shù)百萬金融客戶數(shù)據(jù)被暗網(wǎng)出售隱私安全問題頻頻受到質疑2020年以來，全球數(shù)據(jù)泄露和隱私事件頻發(fā)，數(shù)據(jù)安全形勢嚴峻。數(shù)據(jù)泄露

?平均成本386萬美金單條數(shù)據(jù)成本150美金識別和遏制用時：280天數(shù)據(jù)泄露事件原因惡意或犯罪攻擊（52%）人為操作失誤（23%）系統(tǒng)設計缺陷（25%）4數(shù)據(jù)安全護航數(shù)字經(jīng)濟健康發(fā)展國家大力推進電子政務建設，提高政務數(shù)據(jù)的科學性、準確性、時效性，提升運用數(shù)據(jù)服務經(jīng)濟社會發(fā)展的能力國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展國家制定政務數(shù)據(jù)開放目錄，構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺，推動政務數(shù)據(jù)開放利用數(shù)據(jù)成為生產(chǎn)要素數(shù)據(jù)資源成為國家基礎戰(zhàn)略性資源和社會生產(chǎn)的創(chuàng)新要素；數(shù)據(jù)輔助決策、數(shù)據(jù)驅動業(yè)務數(shù)據(jù)安全風險增加類型多、數(shù)據(jù)量暴增、處理活動復雜價值的增加，導致成為重點攻擊對象；監(jiān)管力度逐年加大數(shù)據(jù)安全和數(shù)據(jù)隱私問題頻出國家戰(zhàn)略層面催生數(shù)據(jù)安全需求；公民隱私意識增強公民維權意識明顯提升；個人知情權、選擇權等關注度提升；合規(guī)性風險

第三方風險法規(guī)遵從

■ 監(jiān)管要求

■ 共享交換

■ 合作伙伴行業(yè)規(guī)范

■ 個人隱私

■ 外包風險

■ 流轉權責數(shù)據(jù)治理風險運維人員治理人員研發(fā)人員合作伙伴內部使用風險特權賬號運維操作內網(wǎng)導出研發(fā)測試系統(tǒng)漏洞外部攻擊風險黑客攻擊勒索軟件拒絕服務網(wǎng)絡爬蟲云服務商風險平臺宕機操作失誤租戶攻擊平臺安全5國內外加快數(shù)據(jù)安全保護工作我國法律法規(guī)和監(jiān)管機構日趨收緊，切實保障國家重要數(shù)據(jù)和公民個人隱私安全；加強關鍵信息基礎設施安全保護，強化國家關鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預警和溯源能力；國內法規(guī)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《等級保護2.0》標準《個人信息安全規(guī)范》《數(shù)據(jù)安全管理辦法》（征求意見）《個人信息保護法》草案國外法規(guī)歐盟GDPR美國-CCPA新加坡-個人信息保護法日本-PIPA個人信息保護法澳大利亞-隱私權法印度-個人信息保護法6“數(shù)據(jù)安全法”相關要求第二十一條建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數(shù)據(jù)實行分類分級保護。第二十二條建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。第二十三條國家建立數(shù)據(jù)安全應急處置機制。發(fā)生數(shù)據(jù)安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關的警示信息。第二十七條開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務。第二十九條開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。第三十條重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。第三十三條從事數(shù)據(jù)交易中介服務的機構提供服務，應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。第三十八條國家機關為履行法定職責的需要收集、使用數(shù)據(jù)，應當在其履行法定職責的范圍內依照法律、行政法規(guī)規(guī)定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密，不得泄露或者非法向他人提供。第三十九條建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責任，保障政務數(shù)據(jù)安全。第四十條國家機關委托他人建設、維護電子政務系統(tǒng)，存儲、加工政務數(shù)據(jù)，應當經(jīng)過嚴格的批準程序，并應當監(jiān)督受托方履行相應的數(shù)據(jù)安全保護義務。受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數(shù)據(jù)。第四十一條國家機關應當遵循公正、公平、便民的原則，按照規(guī)定及時、準確地公開政務數(shù)據(jù)。第四十二條國家制定政務數(shù)據(jù)開放目錄，構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺，推動政務數(shù)據(jù)開放利用。數(shù)據(jù)安全制度數(shù)據(jù)安全保護義務政務數(shù)據(jù)安全與開放數(shù)據(jù)安全制度數(shù)據(jù)處理活動安全保護政務數(shù)據(jù)安全與開放數(shù)據(jù)收集安全數(shù)據(jù)存儲安全數(shù)據(jù)使用安全數(shù)據(jù)加工安全數(shù)據(jù)傳輸安全數(shù)據(jù)提供安全數(shù)據(jù)公開安全數(shù)據(jù)安全審計數(shù)據(jù)庫加解密數(shù)據(jù)靜/動態(tài)脫敏數(shù)據(jù)安全訪問控制傳輸鏈路加密API數(shù)據(jù)安全治理數(shù)據(jù)安全管理中心數(shù)據(jù)安全分類分級制度數(shù)據(jù)安全風險評估要求數(shù)據(jù)安全檢測預警機制數(shù)據(jù)安全應急處置規(guī)范…數(shù)據(jù)安全咨詢服務數(shù)據(jù)安全分類分級數(shù)據(jù)安全管理制度數(shù)據(jù)安全分類分級數(shù)據(jù)處理安全保護政務公開安全保障政務數(shù)據(jù)開放安全保障數(shù)據(jù)安全咨詢服務數(shù)據(jù)分類分級服務數(shù)據(jù)處理活動安全敏感數(shù)據(jù)發(fā)現(xiàn)/脫敏安全數(shù)據(jù)沙箱政務數(shù)據(jù)安全運營數(shù)據(jù)安全管理中心702

數(shù)據(jù)安全建設方法論分析8數(shù)據(jù)安全建設方法論-Gartner數(shù)據(jù)安全治理，結合以數(shù)據(jù)為中心的安全架構設計數(shù)據(jù)安全治理框架以數(shù)據(jù)為中心的安全實踐數(shù)據(jù)流轉風險管控9數(shù)據(jù)安全建設方法論-DSMM生命周期維度：圍繞數(shù)據(jù)生命周期，針對數(shù)據(jù)生命周期各階段建立的相關數(shù)據(jù)安全過程管控體系。安全能力維度：明確組織機構在各數(shù)據(jù)安全領域需要具備的能力，劃分組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。能力等級維度：基于統(tǒng)一的分級標準，細化組織機構在各數(shù)據(jù)安全過程域的五個級別的能力成熟度分級要求。1003

數(shù)據(jù)安全治理路徑11數(shù)據(jù)安全治理思路業(yè)務戰(zhàn)略監(jiān)管合規(guī)要求風險容忍度數(shù)據(jù)分類分級數(shù)據(jù)安全策略數(shù)據(jù)資產(chǎn)梳理數(shù)據(jù)處理（流轉）過程安全管控數(shù)據(jù)采集數(shù)據(jù)傳輸計算存儲數(shù)據(jù)分析共享交換安全審計訪問控制技術產(chǎn)品數(shù)據(jù)脫敏數(shù)據(jù)安全風險態(tài)勢分類分級數(shù)據(jù)加密行為監(jiān)視用戶權限評估、監(jiān)視行為監(jiān)視、審計安全策略執(zhí)行行為分析、告警、報告阻斷、脫敏、隔離數(shù)據(jù)銷毀管理體系：管理制度、分級分類、策略規(guī)劃技術體系：數(shù)據(jù)生命周期場景化防護運營體系：監(jiān)測預警、風險評估、安全審計持續(xù)改進：運營優(yōu)化、技術升級數(shù)據(jù)開放數(shù)據(jù)安全策略數(shù)據(jù)發(fā)現(xiàn)、分類分級數(shù)據(jù)安全策略管理數(shù)據(jù)安全治理理念已成為一種應對新產(chǎn)業(yè)生態(tài)下-數(shù)據(jù)安全挑戰(zhàn)的重要指導思想。12數(shù)據(jù)安全治理規(guī)劃數(shù)據(jù)業(yè)務應用場景開發(fā)測試數(shù)據(jù)治理運維操作共享接口應用訪問業(yè)務訪問開放共享數(shù)據(jù)安全治理目標數(shù)據(jù)安全合規(guī)數(shù)據(jù)安全風險處置及預警數(shù)據(jù)資產(chǎn)盤點數(shù)據(jù)安全管控能力數(shù)據(jù)安全分類分級數(shù)據(jù)安全生命周期數(shù)據(jù)傳輸數(shù)據(jù)采集數(shù)據(jù)存儲計算數(shù)據(jù)分析數(shù)據(jù)共享交換數(shù)據(jù)開放數(shù)據(jù)銷毀結合監(jiān)管要求+政務領域實踐安全管理體系建設安全技術體系建設數(shù)據(jù)安全運營服務保障數(shù)據(jù)安全防護能力構建數(shù)據(jù)安全組織機構建設數(shù)據(jù)安全管理規(guī)范13敏感數(shù)據(jù)識別

數(shù)據(jù)分類分級 數(shù)據(jù)資產(chǎn)地圖數(shù)據(jù)安全風險分析數(shù)據(jù)安全模塊集中管理

數(shù)據(jù)安全策略下發(fā)數(shù)據(jù)安全保護-原子化能力建設個人敏感數(shù)據(jù)模板

工業(yè)敏感數(shù)據(jù)模板數(shù)據(jù)安全態(tài)勢大屏標準接口（數(shù)據(jù)/日志）標準接口（策略/指令）數(shù)據(jù)脫敏靜態(tài)脫敏動態(tài)脫敏API脫敏分類分級訪問控制訪問控制安全審計安全審計多方計算組件安全數(shù)據(jù)安全服務數(shù)據(jù)安全方案咨詢

數(shù)據(jù)安全管理咨詢 數(shù)據(jù)安全標準規(guī)范咨詢

業(yè)務數(shù)據(jù)梳理服務數(shù)據(jù)安全運營服務工具支撐 標準/規(guī)范/策略梳理及優(yōu)化防護治理服務支撐聯(lián)動分類分級數(shù)據(jù)加密災備服務災備產(chǎn)品終端防泄露網(wǎng)絡防泄漏郵件防泄漏14第三方接入管理…T-SEC-數(shù)據(jù)安全中心安全技術安全管理安全服務數(shù)據(jù)安全治理-能力構建數(shù)據(jù)安全治理-管理體系建設數(shù)據(jù)治理開發(fā)測試運維操作共享接口應用訪問應急響應數(shù)據(jù)安全管理系統(tǒng)上線準入基礎標準和要求數(shù)據(jù)安全基線數(shù)據(jù)安全突發(fā)安全事件應急響應流程數(shù)據(jù)

數(shù)據(jù)

數(shù)據(jù)

敏感

敏感

敏感

加密

口令

傳輸

脫敏

安全

數(shù)據(jù)

核心

數(shù)據(jù)加

加密密

敏感數(shù)

數(shù)據(jù)共

應急

應急

應急安全

保護

分類

數(shù)據(jù)

數(shù)據(jù)

數(shù)據(jù)

算法

標準

加密

標準

審計

隔離

業(yè)務

密標準

鑰管理

據(jù)防泄

享安全

事件

響應

響應組織

基本

分級

生命

權限

權限

標準

標準

標準

要求

登錄

標準

漏標準

要求

分類

職責

處置角色

原則

管理

周期

管理

申請

態(tài)隔

分工

流程與職

管理

流程

離要責

求應急響應數(shù)據(jù)安全應對方案去

數(shù)據(jù)

數(shù)據(jù)

核心

數(shù)據(jù)

核心

第三

加密

加密

鑒權

非鑒

數(shù)據(jù)

數(shù)據(jù)Con

加密

接口

數(shù)據(jù)

庫運

業(yè)務

方組

傳輸

存儲

信息

權信

共享

緩存sole

要求

防批

庫訪

維相

數(shù)據(jù)

件等

標準

標準

安全

息脫

機制

標準運維

量拉

問控

關要

安全

加固

要求

敏展

標準標準

取要

制要

求

審計

要求

示要求

求

要求

求應急

應急

應急處置

演練

保障組織及人員職責管理+數(shù)據(jù)安全相關培訓+技術工具支持數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲數(shù)據(jù)分析共享交換數(shù)據(jù)開放業(yè)務訪問數(shù)據(jù)業(yè)務應用場景15數(shù)據(jù)安全治理-敏感數(shù)據(jù)盤點數(shù)據(jù)庫及大數(shù)據(jù)平臺網(wǎng)絡傳輸終端和郵件URL/API接口人員訪問通過對各類數(shù)據(jù)庫及大數(shù)據(jù)組件進行協(xié)議解析識別訪問、存儲、返回的敏感數(shù)據(jù)，并采取應用身份嚴重、數(shù)據(jù)訪問白名單、終端及IP訪問白名單等方式進行監(jiān)控，對越權訪問、高頻訪問、超限訪問、非信任工具訪問、非信任時間訪問等行為進行告警。16通過解析各種網(wǎng)絡協(xié)議，例如TCP/UDP內容，識別傳輸?shù)拿舾袛?shù)據(jù)，對違規(guī)傳輸敏感數(shù)據(jù)以及疑似違反策略限制的網(wǎng)絡流量進行告警和阻斷。通過關鍵字、正則表達式、文件指紋、機器學習（聚類/分類等）識別終端和郵件中存儲和傳遞的敏感數(shù)據(jù)，可通過終端DLP、郵件DLP，虛擬桌面，文件水印，打印水印，屏幕水印等多種手段，防止重要數(shù)據(jù)泄露。通過對網(wǎng)絡流量進行鏡像，解析HTTP（HTTPS需進行流量卸載）/SOCKET等協(xié)議，對接口進行梳理，識別接口中交互的敏感數(shù)據(jù)，對高頻訪問、超限訪問、無鑒權API、疑似數(shù)據(jù)爬取等行為進行告警。對業(yè)務人員和運維人員訪問關鍵數(shù)據(jù)庫進行權限控制，采取最小化數(shù)據(jù)授權訪問，對訪問行為進行全量審計。根據(jù)權限策略，對非授權數(shù)據(jù)的訪問行為采取動態(tài)脫敏;對高頻訪問、超限訪問、共享、下載等行為進行審計和及時預警。數(shù)據(jù)安全治理-數(shù)據(jù)安全分類分級手動分類庫表字段結構化數(shù)據(jù)分類分級標準數(shù)據(jù)標簽分類分級策略分類分級預置個人信息類別/敏感等級服務與調研預置個人信息標簽自定義各類標簽手動優(yōu)先標簽分

數(shù)據(jù)類型分組合規(guī)則分等級就高自動分詞自動聚類非結構化文件數(shù)據(jù)安全治理人員掃描打標數(shù)據(jù)資產(chǎn)報告分類資產(chǎn)清單分級資產(chǎn)清單敏感數(shù)據(jù)清單標簽數(shù)據(jù)清單17識別規(guī)則屬性規(guī)則數(shù)據(jù)來源表名稱表注釋字段名……內容規(guī)則關鍵字正則指紋AI……命名實體識別（NER）BILSTM+CRF網(wǎng)絡模型BERT中文文本分類模式匹配數(shù)據(jù)識別引擎分級分類規(guī)則匹配打標TF-IDF

+simhash（相似度比較）規(guī)則組裝規(guī)則1 規(guī)則2

……數(shù)據(jù)資產(chǎn)…庫表

字段數(shù)據(jù)發(fā)現(xiàn)掃描梳理數(shù)據(jù)資產(chǎn)地圖敏感數(shù)據(jù)評估分級分類管理實時

增量數(shù)據(jù)抽樣18數(shù)據(jù)安全治理-數(shù)據(jù)安全分類分級數(shù)據(jù)安全治理-敏感數(shù)據(jù)識別通過數(shù)據(jù)資產(chǎn)分類分級，識別全業(yè)務重要數(shù)據(jù)及個人敏感數(shù)據(jù)。數(shù)據(jù)庫表非結構化文件數(shù)據(jù)資產(chǎn)地圖數(shù)據(jù)分級規(guī)則賬號權限清單數(shù)據(jù)資產(chǎn)梳理敏感數(shù)據(jù)發(fā)現(xiàn)數(shù)據(jù)分類分級

自動數(shù)據(jù)掃描數(shù)據(jù)識別規(guī)則數(shù)據(jù)分類規(guī)則數(shù)據(jù)資產(chǎn)臺賬識別規(guī)則T-sec-數(shù)據(jù)安全中心19數(shù)據(jù)安全治理-基于場景化的能力建設數(shù)據(jù)安全運營能力持續(xù)優(yōu)化能力數(shù)據(jù)生命周期安全防護能力基礎安全防護能力數(shù)據(jù)安全管理體系數(shù)據(jù)資產(chǎn)梳理數(shù)據(jù)分類分級數(shù)據(jù)安全咨詢服務基礎安全運營能力數(shù)據(jù)源1數(shù)據(jù)源2數(shù)據(jù)源n數(shù)據(jù)接入貼源層數(shù)據(jù)存儲計算引擎標準層融合層標準化治理融合治理專題庫 主題庫基礎表