《数据安全治理方案》由会员分享,可在线阅读,更多相关《数据安全治理方案(24页珍藏版)》请在金锄头文库上搜索。
1、Together Make It HappenTogether Make It Happen政策2016年2017年6月2018年5月2019年2月数据安全相关法律法规适用范围:不论数据的收集或存储位置,所有获取欧盟居民数据或者提供商品、服务(无论免费与否)的公司均需遵守该条例。保护范围:1、基本的身份信息,如姓名、地址和身份证号码等;2、网络数据,如位置,IP地址、Cookie数据和RFID标签等;3、医疗保健和遗传数据;4、生物识别数据,如指纹、虹膜等;5、种族或民族数据;6、政治观点;7、性取向影响:1、企业无法开展相关欧盟国家业务;2、面临罚款范围是1000万到2000万欧元,或企业全
2、球年营业额的2%到4%。依据:欧盟通用数据保护条例GDPR合规指南依据:网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第四十条网络运营者应当对其收集的用
3、户信息严格保密,并建立健全用户信息保护制度。第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录。等级保护对象安全要求项安全要求项具说明应用和数据安全访问控制a)应由授权主体配置访问控制
4、策略;b)访问控制的粒度应达到主体为用户;c)应对敏感信息资源设置安全级或进程级,客体为文件、数据库表级。安全审计a)应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断;e)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。剩余信息保护a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;b)应保证存有敏感数据的存储空间被释放
5、或重新分配前得到完全清除。个人信息保护a)应仅采集和保存业务必需的用户个人信息;b)应禁止未授权访问、使用用户个人信息。网络和通信安全访问控制a)应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。等级保护制度2.0征求意见稿,数据安全相关解读方法论与解决方案以数据为中心的安全建设理念以以以以关键数据关键数据为核心为核心为核心为核心做好做好做好做好分类分级分类分级构建构建构建构建可信的环境可信的环境实现实现实现实现全生命周期全生命周期保护保护保护保护产生产生产生产生存存存存储储储储处理处理处理处理应用应用应用应用流流流流动动动动销毁销毁销毁销毁关键数据1234512345数据
6、识别:发现敏感数据,进行分级分类;风险评估:对数据、数据环境进行风险评估;制定安全策略:针对不同级别、类别的数据制定策略;实施控制:通过技术、管理措施进行控制;监控审计:通过监控、报警事件管理确保策略的执行数据安全治理基本过程 目的:明确并识别要保护的目的:明确并识别要保护的敏感数据敏感数据敏感数据敏感数据,以便针对不同敏感类别分别制定控制策略。,以便针对不同敏感类别分别制定控制策略。范围:结构化数据(如数据库)、非结构化数据(如文档、电子邮件、声音、影像)范围:结构化数据(如数据库)、非结构化数据(如文档、电子邮件、声音、影像)过程:过程:确定数据管理责任创建数据分类清单定义数据分级标准评估
7、数据安全风险制定分级控制策略建立数据分级目录数据分类及分级一、对公司数据分级分类分级分类分级分类标准发布标准发布业务与数据梳理业务与数据梳理上报确认上报确认 数据分级分类 参考证券期货业数据分类分级指引政府数据 数据分类分级指南由公司统一下发数据分级分类标准规范协助制定相关数据安全分级分类管理制度数据分类分级管理流程数据采集安全管理制度流程数据源管理制度流程等 由各业务部门统一根据分级分类标准进行梳理。协助梳理相关信息 上报信息化主管部门 由信息化主管部门确认协助确认相关上报数据二、数据全生命周期安全管控识别、审计扫描、加密、隔离、审计、脱敏、备份识别、访问控制、阻断、告警、审计、脱敏阻断、告
8、警、审计、脱敏安全擦除、审计数据生命周期管控加密、隔离、审计、脱敏、备份数据安全分级分类数据安全交换云产生存储流转(内部)应用流转(外部)销毁数据导出共享审核数据导入安全存储备份冗灾存储DLP数据库扫描自动分级分类网络监控泄漏阻断泄漏审计网络DLP访问控制操作审计数据识别数据变换数据脱敏应用DLPWeb下载监控文件泄漏阻断页面泄漏脱敏泄漏审计文件扫描安全擦除终端DLP终端监控泄露阻断泄露审计存储DLP文件扫描安全擦除备份容灾数据备份数据恢复数据库安全网关数据全生命周期管控(文档)数据安全交换云文件扫描安全擦除外发审核域外权限控制线上权限控制下载赋权使用权限设定共享审核安全检查安全存储备份冗灾终
9、端DLP文件监控自动分级分类智能加密终端DLP文档安全管理网络监控泄漏阻断泄漏审计网络DLP线下权限控制存储DLP文件扫描自动分级分类智能加密文件扫描自动分级分类智能加密限次销毁存储DLP文件扫描安全擦除终端监控泄露阻断泄露审计产生存储流转(内部)应用流转(外部)销毁数据安全分级分类采集存储处理应用流动销毁大数据安全网关访问控制安全审计属地限制数据加密授权许可访问控制安全审计溯源审计属地限制数据脱敏授权许可访问控制安全审计溯源审计数据脱敏授权许可属地限制接口监控合规审计泄漏审计服务DLP授权许可安全审计安全擦除授权许可访问控制安全审计溯源审计属地限制数据脱敏终端监控泄漏阻断泄漏审计终端DLP备
10、份系统数据备份数据恢复备份系统数据归档传输加密VPN网络监控泄漏阻断泄漏审计网络DLP终端监控泄漏阻断泄漏审计终端DLP服务器区数据安全解决方案p数据安全风险数据库操作缺乏必要管控,数据库中关键数据易被非法人员导出泄漏。应用服务器存漏洞易被利用盗取关键数据服务器违规存储关键数据,增加泄漏风险业务服务器及数据库数据丢失或损坏造成业务中断p解决之道数据库操作访问控制及日志审计(数据库安全网关)业务服务器数据泄漏阻断、脱敏、页面权限控制;泄漏审计(应用防泄漏)服务器存放违规重要文件扫描隔离或擦除(存储防泄漏)业务服务器及数据库备份(备份存储系统)数据安全解决方案p数据安全风险分析运维人员权限较大,管
11、控属于薄弱环节运维人员上传文件可能携带病毒或木马到服务器运维人员可从服务器下载敏感信息敏感数据通过U盘等终端通道泄漏p解决之道对运维人员的服务器上传和下载用统一平台管理,传输文件内容和病毒检查、过程可审核,可审计(数据安全交换云)终端泄漏监控或阻断,泄漏行为审计(终端防泄漏)终端重要数据加密,访问权限控制(文档安全管理)开发测试区数据安全解决方案p数据安全风险分析直接利用真实业务数据开发或测试存在数据泄漏风险重要文件通过U盘、打印等终端通道泄漏重要文件使用缺乏权限管控,增加泄漏概率p解决之道业务敏感数据脱敏处理(数据脱敏)终端泄漏监控或阻断,泄漏行为审计(终端防泄漏)重要文档加密,访问权限控制
12、(文档安全管理)内网办公区解决方案p数据安全风险分析重要文件通过邮件、文件传输等网络通道泄漏到其它网重要文件通过U盘、打印等终端通道泄漏重要文件流转和使用缺乏权限管控,增加泄漏几率桌面重要文件损坏或丢失桌面资产转移造成数据泄漏介质丢失造成数据泄漏p解决之道网络泄漏监控或阻断,泄漏行为审计(网络防泄漏)终端泄漏监控或阻断,泄漏行为审计;重要文件扫描及擦除(终端防泄漏)核心文档加密,访问权限控制(文档安全管理)统一内部流转通道,重要文件备份,流转过程审计和审核(数据安全交换云)互联网去数据安全解决方案p数据安全风险分析关键数据通过邮件、Web、FTP等互联网通道泄漏关键数据通过U盘、打印、蓝牙等终
13、端通道泄漏服务器、终端违规存储关键数据,增加泄漏风险。互联网Web业务服务器自身漏洞被利用造成数据泄漏数据库缺乏细粒度访问控制和操作审计业务服务器及数据库数据丢失或损坏造成业务中断p解决之道网络泄漏监控或阻断,泄漏行为审计(网络防泄漏)终端泄漏监控或阻断,泄漏行为审计;违规文件扫描隔离或擦除(终端防泄漏)服务器存放违规重要文件扫描隔离或擦除(存储防泄漏)业务服务器数据泄漏阻断、脱敏、页面权限控制;泄漏审计(应用防泄漏)数据库操作访问控制及日志审计(数据库安全网关)业务服务器及数据库备份(备份存储系统)智能化数据管理平台数据智能管理平台数据分类分级标准数据安全智能管控平台数据资产视图数据状态视图安全趋势视图外部接口威胁情报安全风险视图数据报表服务监测引擎策略管理数据安全基线安全告警管理网络监控DLP数据库审计存储DLP(发现)数据库漏扫终端DLP(监控)终端DLP(扫描)堡垒机4A管理日志审计网管平台审计平台数据交换平台样例图感谢聆听!THANKYOU!
