《数据治理与数据安全-刘霖》由会员分享,可在线阅读,更多相关《数据治理与数据安全-刘霖(37页珍藏版)》请在金锄头文库上搜索。
1、Page 1 数据治理与数据安全 数据治理与数据安全 Page 2 演讲主题演讲主题 数据安全与数据防泄漏的关系数据安全与数据防泄漏的关系 企业数据治理为何需要数据防泄漏企业数据治理为何需要数据防泄漏 数据防泄漏项目需要涵盖的三个方面数据防泄漏项目需要涵盖的三个方面 DLPDLP数据防泄漏项目成功案例数据防泄漏项目成功案例 数据防泄漏项目成功要素数据防泄漏项目成功要素 下一代技术下一代技术 Page 3 过去二十年间,经济形态发生了很大变化,无形资产(往往呈现为数据资产形态)逐渐超越了物理资产成为了资产的主体。2015年标准普尔500企业无形资产占到总资产的84%,而15年前仅为32%。 资产
2、向网络空间迁移,犯罪也跟随着这些资产迁移。但他们迁移的动作似乎更敏捷、更迅速,并采取了更有创意的技术手段,业界普遍认为,网络恶意分子在技术走在了信息安全人员的前面。 过去二十年间,经济形态发生了很大变化,无形资产(往往呈现为数据资产形态)逐渐超越了物理资产成为了资产的主体。2015年标准普尔500企业无形资产占到总资产的84%,而15年前仅为32%。 资产向网络空间迁移,犯罪也跟随着这些资产迁移。但他们迁移的动作似乎更敏捷、更迅速,并采取了更有创意的技术手段,业界普遍认为,网络恶意分子在技术走在了信息安全人员的前面。 Verizon发布的2013年数据泄露调查报告分析了全球47000多起数据安
3、全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。报告指出有高达92%的数据泄露行为来自外部,利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%,而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击列为信息泄露的主要手段。2015 年报告过去一年的事件调查,影响的组织覆盖95个国家,其中有61个报告了问题,涉及79790个安全事件(Security Incident),超过2千(2122个)确认的数据泄露(Data Breach)。2015新增了一个统计模型,用以帮助企业评估到底每笔数据泄露,要损失多少钱。如果泄露1000条记录时,有95%的可
4、能会损失5.2万-8.7万美金。泄露1千万数据记录的花费介于210万到520万美金之间,但最多可能到7390万美金。发布的全球2016年数据泄露调查报告中提到“数据泄露事故比去年同期增长48%,安全事件超过10万次。在93%的个案中,攻击者平均仅需225秒或更短时间把系统攻陷”;报告显示仅25%的企业能在一天内发现被入侵或数据外泄,大部分企业可能要数周甚至数月后才发现。 Verizon发布的2013年数据泄露调查报告分析了全球47000多起数据安全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。报告指出有高达92%的数据泄露行为来自外部,利用脆弱的或者窃取到的用户身份访问凭据
5、进行入侵的行为占到了76%,而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击列为信息泄露的主要手段。2015 年报告过去一年的事件调查,影响的组织覆盖95个国家,其中有61个报告了问题,涉及79790个安全事件(Security Incident),超过2千(2122个)确认的数据泄露(Data Breach)。2015新增了一个统计模型,用以帮助企业评估到底每笔数据泄露,要损失多少钱。如果泄露1000条记录时,有95%的可能会损失5.2万-8.7万美金。泄露1千万数据记录的花费介于210万到520万美金之间,但最多可能到7390万美金。发布的全球2016年数据泄露调查报
6、告中提到“数据泄露事故比去年同期增长48%,安全事件超过10万次。在93%的个案中,攻击者平均仅需225秒或更短时间把系统攻陷”;报告显示仅25%的企业能在一天内发现被入侵或数据外泄,大部分企业可能要数周甚至数月后才发现。 一著名安全专家认为:“世界1000强企业仅分为两类,一类是知道自己数据被窃取,另一类是数据已被窃取但自己尚不知道。 一著名安全专家认为:“世界1000强企业仅分为两类,一类是知道自己数据被窃取,另一类是数据已被窃取但自己尚不知道。 Page 4 Mobile 移动安全 对移动数据特有的有效防 护,针对窃取、遗失, 恶意 app 及web威胁 SWG Web安全网关 针对高级
7、威胁和数据窃 取的最有效防护 SEG 邮件安全网关 针对混合攻击和定向攻 击的最先进邮件防护 Cloud 接入安全云 对任意地点的 web及 邮件提供最佳防护,并 且拥有最低的总体拥有 成本和最轻松的部署 统一内容安全中心 Unified Content Security SkyGuard Cloud SecGator Security Engine SecGator DLP IAS Engine DLP 数据防泄漏 采用深层内容分析,对静 态、 传输中及使用中的数据进行 识别、监控、保护,拥有 用户及目的地感知的 特色功能 Page 5 1 DLPDLP是APT 攻击最后一道防线 2 内部信
8、息泄漏的最后一道防线 Page 6 概述概述 对于企业信息安全,若想得到结构性的保障就需要有一个 系统性信息安全支撑体系。无论这个体系采用什么样的参考 框架,都需要考虑四个关键的构成要素,即人员People过程 Process 、技术Technology和数据Data (PPTD),其中: 人员是过程执行的资源; 过程是组织的系统性能力; 技术是过程有效性的支撑; 数据是过程执行的驱动。 过程 方法 自动化 Page 7 技术:技术:企业企业信息安全技术控制框架信息安全技术控制框架 法规依从需求 信息安全 技术基础设施 业务安全需求 威胁控制需求 监测/解析机制 控制/响应机制 运行管理机制
9、企业信息安全需求 技术安全措施/(数据化技术安全措施) 行政安全措施 物理安全措施 技术安全措施是满足企业信息 安全需求的三类安全措施之一, 也是其中最重要、最复杂的,因 此需要通过架构的设计来保证技 术控制之间的协同以及与其它安 全控制的协同。 Page 8 技术:有效性评估策略技术:有效性评估策略 风险的核心是围绕着业务支撑或业务产生的资产,并取决于资产 自身的脆弱性和已采取的安全措施,因此安全技术有效性评估策略包括: 面向业务/业务资产的有效性评估 面向威胁方的有效性评估 面向脆弱性的有效性评估 综合加权的有效性评估 Page 9 技术:面向有效性的规划与设计技术:面向有效性的规划与设计
10、 基于价值链的范围确定基于价值链的范围确定 基于基于EA的安全需求分析的安全需求分析 面向攻击语境的威胁评估面向攻击语境的威胁评估 Page 10 企业为何需要数据防泄漏企业为何需要数据防泄漏 Page 11 企业面临数据安全风险的压力企业面临数据安全风险的压力 企业内部监管企业内部监管: 目前多数企业缺乏针对数据泄漏的有效管理/技术手段,增加了数据泄漏的风险; 内部人员及第三方人员有意/无意的操作可能导致企业敏感数据的泄漏。 外部法律及合规要求外部法律及合规要求: 银监会、保监会等监管机构日益提高对数据安全的重视程度,不断强调增强数据安 全性且安全要求渐趋细化; 其他法律法规,如PCI DS
11、S、HIPAA法案等,均对敏感客户信息的保护提出要求。 数据泄漏风险数据泄漏风险: 随着IT技术的发展,数据传输渠道不断增加,造成数据泄漏的途径日益增多; 大量数据泄漏给企业造成严重的负面影响,不能安全的提供客户服务,进而使企业 声誉受损。 Page 12 以以集中策略集中策略为基础为基础,采用采用深层内容分析深层内容分析,对对静态数据静态数据,传输中的数据传输中的数据及及使用中的数据使用中的数据进行进行识别识别,监控监控,保护保护的的相关机制相关机制。 Rich Mogull 数据泄露防护数据泄露防护准确准确定义定义 Page 13 数据泄露防护覆盖重要的三个数据生命周期数据泄露防护覆盖重
12、要的三个数据生命周期 数据定义数据定义/ /生成生成 数据存储数据存储 数据应用数据应用 数据传输数据传输 数据备份和归档数据备份和归档 数据销毁数据销毁 数据发现数据发现 数据分类数据分类 数据存储加密数据存储加密 数据数据脱敏脱敏 数据维护安全数据维护安全 数据防泄漏数据防泄漏 数据归档数据归档 数据备份数据备份 数据传输加密数据传输加密 数据销毁数据销毁 Page 14 全球数据防泄露防护的合规要求全球数据防泄露防护的合规要求 随着全球化的数据集中,合规问题将成为管理层重点关注领域 韩国 美国 隐私权法 Protection of Personal Information Act The
13、 Act on Promotion of Information and Communications Network Utilisationand Information Protection Protection of Communication Secret Act Use and Protection of Credit Information Act Privacy Act 1988 Privacy Amendment (Private Sector) Act澳大利亚 Model Data Protection Code for the Private Sector E-commer
14、ce Code for the Protection of Personal Information and Communications of Consumers of Internet Commerce 欧盟数据保护法 The Act on Promotion of Information and Communications Network Utilisationand Information Protection Public Financial Institutions Act 欧盟 印度 个人资料(私 隐)条例及其 监管指引 银行营运守则 香港 中国 信息安全等级 保护管理办法 (
15、试行) 中华人民共和 国保密法 商业银行信息 科技风险管理指 引 信息安全技术 个人信息保护指 南 注:以上仅为部分国家或地区的部分主要信息保 护及防泄露相关的法律法规示例 Page 15 法律法法律法 规名称规名称 数据类数据类 型型 覆盖领域覆盖领域 对于全球化数据传对于全球化数据传 输是否有管理合规输是否有管理合规 要求要求 针对银行全球化的影响针对银行全球化的影响 数据防泄露解决方案可数据防泄露解决方案可 以提供何种帮助以提供何种帮助 个人资个人资 料(私隐)料(私隐) 条例条例 所有直接所有直接 或者间接或者间接 涉及用户涉及用户 个人信息个人信息 数据收集数据收集 数据保存数据保存 数据使用数据使用 数据准确数据准确 数据披露数据披露 数据传输数据传输 是是 除特例以外,禁止个除特例以外,禁止个 人数据从香港境内向人数据从香港境内向 任何缺乏足够数据保任何缺乏足够数据保 护体系的传输护体系的传输 如果需要按照全球化部署将香如果需要按照全球化部署将香 港客户个人数据做收集、保存、港客户个人数据做收集、保存、 使用和传输,就需要金融企业使用和传输,就需要金融企业 建设完善数据防泄露保护体系,建设完善数据防泄露保护体系, 否则就会面临个人数据无法从否则就会面临个人数据无法从 香港传输至大陆,并且做集中香港传输至大陆,并
