数据安全发展趋势与防护实践(2023)
AI智能总结
CAICT中国信通院 第二届数据安全治理峰会 丰安全眼基促进故据刷用 《数据安全发展超势与防护实践》 许国昊 绿盟科技集团股份有限公司高级数据安全专家 数据安全法规及变化 第二届散据安全治理峰会 锁丰安星服基促进歌题制用 2021.11.1已实施,最高处罚5000万元或 中华人民共和国中华人民共和国者上一年度营业额5%罚款。 网络安全法个人信息保护法责令暂停相关业务或者停业整频、通报有 关主管部门吊销相关业务许可或者吊销营 业执照。 2017.6.1已实施,个人信息侵权或数据安全相 关,最高处罚100万元:或违法所得十倍的罚 款。 责令暂停相关业务、停业整顿、关闭网站、吊 中华人民共和国中华人民共和国 网数据安全法网络安全法 销相关业务许可证或者吊销营业执照。修订稿 2021.9.1已实施,最高处罚1000万元;或2022.9.14发布修订稿,意在加强与新实施的法 违法所得十倍的罚款。律之间的衔接协调,完善法律责任制度,进一步 责令暂停相关业务、停业整频、吊销相关业增强法律的严肃性和威慢力。 务许可证或者吊销营业执照。相关人员依法 给予处分。刑事责任。 数据安全新时代的变化 第二届数据安全治理峰会 锁丰安星服基促进歌题制用 维度1:保护对象维度2:应用场景(环境) 非敏感数据 不同环境下的数据安全 个人隐私 数据 数据库文档大数据云终端 各种数据业务场景与环境VS数据库&文档 维度3:数据安全生命周期环节 敏感数据 国家敏感企业敏感数据全生命周期的数据安全 数据 (重要数据) 数据采集传输存储处理交换销数 各类敏感数据VS企业敏感数据全生命周期VS传输&存储 数据安全防护目标变化 第二届散据安全治理峰会 读车安星眼促进款题制用 数据安全1.0:数据安全2.0: 弱监管、企业自发性、单点保护强监管驱动为主、数据全生命周期防护 产款能量1 身份认证 T 与授权 DLP 故据库防火墙 数据全生命周期安全 数据安全战略 数据安全规划机构人员管理 数据采集安全数据传输安全数据存储安全数据使用安全数据共享安全数据销毁安全 基础安全 级访问间控制析 数据分类分合规管理合作方管理监控审计身份认证与安全风险分 自标:企业保护对象是企业敏感数据和重要资产。防目标:安全与合规,数据安全全生命周期能力建设 安全事件应急 止内部人员的非法拷贝和黑客的窃取特点:被动合规驱动为主、主动数据安全建设为辅、投入成特点:主动的、数据资产驱动的、投入成本相对小的本相对高昂的数据安全建设。数据安全保护对象是各种类型数据安全防护。的敏感数据。 如何做企业数据安全2.0建设? 第二届散据安全治理峰会 锁丰安星服基促进歌题制用 建立数据分类分级保护制度 合规要求:《数据安全法》21条 口应对技术:数据资产发现、敏感数据识别/重要数据识别、数据分类分级。保护:加密、脱敏、访问控制、防火墙等 二、履行数据共享监督享露潮源义务 合规要求:《数据安全法》45条;《个人信息保护法》21条 口应对技术:潮源水印、区块链等 三、匿名化处理、去标识化处理 合规性1:《网络安全法》42条 合规性2:《个人信息保护法》4条、 应对技术:K-名、去标识化、安全多方计算、联邦学习等 绿盟数据安全解决方案总体架构 第二届数据安全治理峰会 锁丰安星服基促进歌题制用 数据梳理 数据安全责任制 定义敏感数拒 散感数揭据机理 数据识别 数感数据发现与测绘 感数据分类分级 数据安全风险评估 访间控制 数据安全防护数据防肪泄润 身份认证 数据脱敏 数据审批 数据加密 脱敏风险防护内容速蔽数据水印 风险分析与事件监测 数据审计预警研判数据追踪 数据潮源行为分析/UEBA态势感知 数据安全运营 策路优化监控处置一键封场 治理层展示局 防护实践一建立跨部门团队 第二届散据安全治理峰会 锁丰安星眼基促进歌题制用 数据安全的合规并非安全或法务部门一两个部门协助即可完成的事项,还需要应用和管理部门、产品和服务开发部门、招采部门和财税部门组成的跨部门的合规团队共同协作才能完成。因此数据安全的合规工作需要得到公司战略层的重视及高层管理人员的牵头,才能有效的推动进行 管理层重视1)重视数据保护!2)了解数据安全防护的成本与合规成本 组建团队1)创建跨团队的工作组2)任命数据安全保护负责人3)设立专门机构或者指定代表 资金配备 D 组织培训加强员工安全意识培训,提高数据安全保护意识 防护实践一企业数据识别梳理 第二届散据安全治理峰会 锁丰安星服基促进歌题制用 基于数据使用需求、自身业务特性和数据梳理成果,定义数据分类分级并进行核查。 数据识别数据分类数据分级 100203 业务流程 定义数据的自然属性 制定数据分级标准 信息系统 决定数据的属性 对识别的数据进行分级 → 数据信息 + 分类的数据 级别表示 敏感数据流分类分级核查 防护实践一技术赋能数据流转合规监测 第二届数据安全治理峰会 锁丰安星服基促进歌题制用 数据源 合规分析主动防御 TEE运行证明 数据隐私条例 数 重标识攻击 数据无岐视证明用户侧分析程序 行业监管务例适名数指重构 可信计算服务 计算结果证明 数据运营方大数据平台 敏感数据发现 据脱敏照名 AI安全大脑 数据关联推断 数据泄露风险评估 数据出域审计 医踪直询 安全多方计算 用户A 隐私计算软件 用户B 威胁情报、第三方数据协助 隐私计算服务 联邦学习 隐私计算软件 防护实践一实体行为分析挖掘隐藏风险 第二届数据安全治理峰会 锁丰安星服基促进歌题制用 接入数据 用户画像基线检测 基线模型对比模式基线模型示例 网络流量日志数据访问场景 文伴行为常用访问路径离型基线 带用业务 业房系统日志应用操作频次 场现 CRM经分计费用户信息增强Eg:异常字 安全系统日志 内部运维场送基检测场源 运维范围场景示例 用操作接口高锁访间Eg:异带访同 a权涉敏场量 日金库场景非工作时间动间沙敏数据 账号文师e P认 关联分析机器学习 时序关联黑白 Follow-by名单3.如发现异常,抽 取检测特征进行训 实时练,后续进行自动 有监督机器学习可提获分析(离群,小 ),如果发现异常 则握取检测特征,后续进 Repeat-until 检利 高效 规则规财类型 统计化检测, 分析31 行自动化检测, Flink 检测模式 匹配 关联 时序 2、可疑分调查分聚类结果分析 1、对于没有异常检测经验积累的系统, 真.流式真.实时真.时序先使用聚类对业务数 据做分类 无监暂机器学习 本报告来源于三个皮匠报告站(www.sgpjbg.com),由用户Id:247865下载,文档Id:115137,下载日期:2024-12-07 防护实践一持续提升运营成熟度 第二届散据安全治理峰会 锁丰安星服基促进歌题制用 数据安全运营平台安全事件应急处置决策提升 安全运营专家 合规性指标 安全规划调整 研判、处置、固化 安全态势指标组织、人员提升 键封堵 自动化研判、处置 运行能力指标防护能力提升 数据安全防护需要建立在纵深防御体系内 第二届散据安全治理峰会 锁丰安星服基促进歌题制用 体系化安全建设常态化安全运营 边界安全,传统访问控制,入侵防护覆盖网络,终端,身份,业务,数据,收集 身份安全,最小权限,零信任安全告警,流量,日志 数据安全治理,脱敏,数据泄漏防护,审计安全大脑和探针联动,本地和云端联动 安全运营中心 ·普通用户 ·DBA ·开发测试NF认证网关 数据识别 行为分院 数据脱敏。 身份认证WAF 流量检测Q沙箱 IPS 数据中心云平台
