數(shù)據(jù)安全體系數(shù)據(jù)綠洲建設(shè)指南

FOREWORD前言黨的二十大報告指出，必須堅定不移貫徹總體國家安全觀，確保國家安全和社會穩(wěn)定，并明確數(shù)據(jù)安全作為國家安全保障體系的重要組成部分?！稊?shù)據(jù)安全法》《個人信息保護(hù)法》施行以來，我國數(shù)據(jù)安全體系化建設(shè)快速發(fā)展，數(shù)據(jù)安全保障作為信息化建設(shè)的重要組成部分尤為重要。啟明星辰信息技術(shù)有限公司作為國內(nèi)信息安全領(lǐng)域的領(lǐng)頭企業(yè)，全面落實總體國家安全觀，統(tǒng)籌發(fā)展與安全，始終把安全發(fā)展貫穿于信息化建設(shè)各領(lǐng)域和全過程。本文以國家法律法規(guī)和政策要求為基礎(chǔ)，全面分析了當(dāng)前數(shù)據(jù)安全領(lǐng)域發(fā)展特點(diǎn)，落實數(shù)據(jù)安全建設(shè)體系，結(jié)合項目實踐經(jīng)驗和能力基礎(chǔ)，提出“安全規(guī)劃、分類分級、風(fēng)險識別、安全建設(shè)、安全運(yùn)營”五步走的數(shù)據(jù)安全實施路徑。目錄方概述/背景 01數(shù)據(jù)安全上升國家戰(zhàn)略 數(shù)據(jù)安全技術(shù)發(fā)展趨勢 數(shù)據(jù)安全風(fēng)險與需求 數(shù)安全體系框架 07設(shè)計原則 設(shè)計目標(biāo) 總體框架 實施路徑 安全管理體系建設(shè)方案 16數(shù)據(jù)安全組織建設(shè) 數(shù)據(jù)安全制度建設(shè) 042104數(shù)據(jù)安全治理管控平臺 21數(shù)據(jù)流通安全管控平臺 59隱私計算平臺 75全生命周期管控 安全運(yùn)營體系建設(shè)方案 116運(yùn)營目標(biāo)運(yùn)營內(nèi)容能力支撐

數(shù)安全典型場景解決方案

125數(shù)據(jù)安全治理場景數(shù)據(jù)開發(fā)運(yùn)維安全場景業(yè)務(wù)訪問安全場景數(shù)據(jù)流轉(zhuǎn)監(jiān)測場景數(shù)據(jù)庫存儲加密場景數(shù)據(jù)共享安全場景數(shù)安全項目案例

117無錫市大數(shù)據(jù)管理局智慧蓉城數(shù)據(jù)安全治理

附8 179附錄1:數(shù)據(jù)綠洲數(shù)據(jù)安全全景圖附錄2:數(shù)據(jù)安全能力清單

01方案概述/背景1.1.數(shù)據(jù)安全上升國家戰(zhàn)略當(dāng)前，數(shù)據(jù)作為新型生產(chǎn)要素，正深刻影響著國家經(jīng)濟(jì)社會的發(fā)展。數(shù)據(jù)安全保障能力是國家競爭力的直接體現(xiàn)，數(shù)據(jù)安全是國家安全的重要方面，也是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展、提升國家治理能力的重要議題。第一、數(shù)據(jù)安全保障能力是國家競爭力的直接體現(xiàn)習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上指出，“信息資源日益成為重要生產(chǎn)要素和社會財富，信息掌握的多寡成為國家軟實力和競爭力的重要標(biāo)志”，強(qiáng)調(diào)了數(shù)據(jù)對于提升國家競爭力的重要價值。數(shù)據(jù)作為新型生產(chǎn)要素，促進(jìn)了數(shù)字基礎(chǔ)設(shè)施的發(fā)展與產(chǎn)業(yè)的迭代升級，使得數(shù)字經(jīng)濟(jì)成了我國經(jīng)濟(jì)高質(zhì)量發(fā)展的新引擎。同時，隨著大數(shù)據(jù)廣泛應(yīng)用于治理領(lǐng)域，國家治理能力與治理水平也得到了有效提升。數(shù)據(jù)對于國家發(fā)展的重要意義早已不言而喻，能否始終確保數(shù)據(jù)作為助力經(jīng)濟(jì)社會發(fā)展的正面因素，規(guī)避因為數(shù)據(jù)安全問題帶來的安全隱患，是國家數(shù)據(jù)安全保障工作的重要關(guān)切。數(shù)據(jù)安全保障能力是確保數(shù)據(jù)發(fā)展優(yōu)勢的重要前提，也是國家競爭力的直接體現(xiàn)。圍繞數(shù)據(jù)安全保障能力建設(shè)，“十三五”規(guī)劃中明確提出了要強(qiáng)化信息安全保障，加快數(shù)據(jù)資源安全保護(hù)布局。如建立大數(shù)據(jù)管理制度、實行數(shù)據(jù)分類分級管理，加強(qiáng)數(shù)據(jù)資源在采集、存儲、應(yīng)用和開放等各環(huán)節(jié)的安全保護(hù)，加強(qiáng)公共數(shù)據(jù)資源和個人數(shù)據(jù)保護(hù)等。近些年，我國更是加快了在數(shù)據(jù)安全領(lǐng)域的立法工作，相繼頒布實施了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》。目前，世界一些主要經(jīng)濟(jì)體和大國均發(fā)布了以發(fā)展數(shù)字經(jīng)濟(jì)、保護(hù)數(shù)據(jù)安全為核心的數(shù)據(jù)戰(zhàn)略，如歐盟的《通用數(shù)據(jù)保護(hù)條例》（2018）、《歐盟數(shù)據(jù)戰(zhàn)略》（2020），美國的《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動計劃》（2019）、《數(shù)據(jù)戰(zhàn)略》（2020）等。數(shù)據(jù)安全保障能力正成為國家發(fā)展數(shù)字經(jīng)濟(jì)、維護(hù)數(shù)據(jù)安全的主要能力，多個國家都在積極進(jìn)行數(shù)據(jù)安全保障領(lǐng)域的立法與戰(zhàn)略規(guī)劃，數(shù)據(jù)安全保障能力也成為評價國家競爭力高低的重要指標(biāo)。第二、數(shù)據(jù)保護(hù)與安全是國家安全的重要方面2015年，國務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，提出了“數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源”的重要判斷。2016年，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上指出，“要依法加強(qiáng)對大數(shù)據(jù)的管理。一些涉及國家利益、國家安全的數(shù)據(jù)，很多掌握在互聯(lián)網(wǎng)企業(yè)手里，企業(yè)要保證這些數(shù)據(jù)安全”。2017年，習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時強(qiáng)調(diào)，“要切實保障國家數(shù)據(jù)安全”。數(shù)據(jù)安全與國家安全聯(lián)系密切，保護(hù)數(shù)據(jù)安全這一任務(wù)隨著數(shù)據(jù)的激增而日漸緊迫。據(jù)相關(guān)數(shù)據(jù)顯示，2018—2025年，預(yù)計中國數(shù)據(jù)總量的年平均增長速度將達(dá)到30%，超過全球平均水平，2025年，中國數(shù)據(jù)圈將增至48.6ZB，占全球數(shù)據(jù)總量的27.8%，成為世界最大數(shù)據(jù)圈。隨著數(shù)據(jù)量激增和數(shù)據(jù)跨境流動日益頻繁，有力的數(shù)據(jù)安全防護(hù)和流動監(jiān)管將成為國家安全的重要保障。數(shù)據(jù)與國家的經(jīng)濟(jì)運(yùn)行、社會治理、公共服務(wù)、國防安全等方面密切相關(guān)，一些個人隱私信息、企業(yè)運(yùn)營數(shù)據(jù)和國家關(guān)鍵數(shù)據(jù)的流出，將可能造成個人信息曝光、企業(yè)核心數(shù)據(jù)甚至是國家重要信息的泄露，給國家安全帶來各種隱患。除此之外，在全球范圍內(nèi)，以數(shù)據(jù)為目標(biāo)的跨境攻擊也越來越頻繁，并成為挑戰(zhàn)主權(quán)國家安全的跨國犯罪新形態(tài)。我國高度重視數(shù)據(jù)安全，《中華人民共和國數(shù)據(jù)安全法》明確了數(shù)據(jù)安全保護(hù)的法律責(zé)任，為保障數(shù)據(jù)安全，更好地促進(jìn)數(shù)據(jù)的開發(fā)與利用，保護(hù)公民、組織的合法權(quán)益，以及維護(hù)國家主權(quán)、安全和發(fā)展利益等方面夯實了法治根基。黨的十九屆五中全會審議通過的《中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》，更明確了未來我國將更加注重“保障國家數(shù)據(jù)安全，加強(qiáng)個人信息保護(hù)”。中國從國家戰(zhàn)略高度審視數(shù)據(jù)安全問題，將之置于當(dāng)下發(fā)展和未來建設(shè)的重要位置，數(shù)據(jù)安全已經(jīng)成為國家安全的重要組成部分。第三、數(shù)據(jù)安全有序是數(shù)字經(jīng)濟(jì)健康發(fā)展的基礎(chǔ)隨著新一輪科技革命和產(chǎn)業(yè)變革的加快推進(jìn)，數(shù)字經(jīng)濟(jì)為各國經(jīng)濟(jì)發(fā)展提供了新動能，并且已經(jīng)成為世界各國競爭的新高地。在新冠肺炎疫情的沖擊下，世界經(jīng)濟(jì)陷入低迷，傳統(tǒng)商貿(mào)及國際貿(mào)易均遭受了巨大打擊，保障數(shù)字經(jīng)濟(jì)的健康發(fā)展對世界經(jīng)濟(jì)復(fù)蘇意義重大。當(dāng)前，我國的數(shù)字經(jīng)濟(jì)獲得了新的發(fā)展空間，并深刻融入到了國民經(jīng)濟(jì)的各個領(lǐng)域。比如，直播帶貨、在線游戲、在線教育和在線辦公等新業(yè)態(tài)迅速成長，數(shù)字經(jīng)濟(jì)顯示了拉動內(nèi)需、擴(kuò)大消費(fèi)的強(qiáng)大帶動效應(yīng)，促進(jìn)了我國經(jīng)濟(jì)的復(fù)蘇與增長。據(jù)國家統(tǒng)計局?jǐn)?shù)據(jù)顯示，2020年我國前三季度GDP同比增長了0.7%，而同期信息消費(fèi)規(guī)模達(dá)到3.6萬億，同比增長6.5%，有效拉動了經(jīng)濟(jì)漲勢。數(shù)字經(jīng)濟(jì)不僅助力經(jīng)濟(jì)復(fù)蘇，還催生了新機(jī)遇，創(chuàng)造了新的就業(yè)崗位和個人發(fā)展機(jī)會，保障了經(jīng)濟(jì)社會在疫情中的正常運(yùn)轉(zhuǎn)。而在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的過程中，數(shù)據(jù)安全是關(guān)鍵所在。除了數(shù)據(jù)本身的安全，對數(shù)據(jù)的合法合規(guī)使用也是數(shù)據(jù)安全的重要組成部分。濫用數(shù)據(jù)或進(jìn)行數(shù)據(jù)壟斷，不合法合規(guī)地使用數(shù)據(jù)，將大大削弱數(shù)字經(jīng)濟(jì)的發(fā)展活力與動力。因此，如何進(jìn)一步保障數(shù)據(jù)安全及其合法有序流動將成為我國數(shù)字治理的施策重點(diǎn)。2021年2月，國務(wù)院反壟斷委員會制定出臺了《國務(wù)院反壟斷委員會關(guān)于平臺經(jīng)濟(jì)領(lǐng)域的反壟斷指南》，其中多處提及了數(shù)據(jù)的安全和合法使用問題，為預(yù)防和制止平臺經(jīng)濟(jì)領(lǐng)域壟斷行為，引導(dǎo)平臺經(jīng)濟(jì)領(lǐng)域經(jīng)營者依法合規(guī)經(jīng)營，促進(jìn)線上經(jīng)濟(jì)持續(xù)健康發(fā)展指明了方向。數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)健康發(fā)展的基礎(chǔ)，我們要確保數(shù)據(jù)安全及其合法有序流動，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)持續(xù)蓬勃發(fā)展。第四、數(shù)據(jù)安全是國家數(shù)字治理的重要議題數(shù)字治理涉及政府部門、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)交易平臺、信息使用者等多個主體。如何統(tǒng)籌協(xié)調(diào)多個主體，在數(shù)據(jù)安全風(fēng)險評估的基礎(chǔ)上，進(jìn)一步規(guī)范數(shù)字確權(quán)、開放、流通、交易各個環(huán)節(jié)，建立相應(yīng)的法治和管理機(jī)制，綜合運(yùn)用政策、監(jiān)管、法律多種手段確保數(shù)據(jù)安全和有序流動，是數(shù)字治理的關(guān)鍵環(huán)節(jié)。作為新的治理領(lǐng)域，數(shù)字治理應(yīng)注重因跨境數(shù)據(jù)流動帶來的安全問題。2020年9月8日，中國發(fā)起《全球數(shù)據(jù)安全倡議》，秉持發(fā)展和安全并的原則，倡導(dǎo)各方在相互尊重基礎(chǔ)上，加強(qiáng)溝通交流，深化對話與合作，平衡處理技術(shù)進(jìn)步、經(jīng)濟(jì)發(fā)展與保護(hù)國家安全和社會公共利益的關(guān)系。數(shù)據(jù)安全越來越成為中國多邊外交的重要議題，也是中國參與全球數(shù)字治理的重要方面。《全球數(shù)據(jù)安全倡議》的提出，充分展現(xiàn)了中國對全球數(shù)字治理的積極態(tài)度和共同構(gòu)建和平、安全、開放、合作、有序的網(wǎng)絡(luò)空間命運(yùn)共同體的理念。中國將為加強(qiáng)數(shù)據(jù)安全有序流動，促進(jìn)全球數(shù)字經(jīng)濟(jì)發(fā)展，制定全球數(shù)字治理規(guī)則，貢獻(xiàn)更多中國智慧和中國方案。1.2.數(shù)據(jù)安全技術(shù)發(fā)展趨勢數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)關(guān)鍵要素，實施數(shù)據(jù)戰(zhàn)略、保障數(shù)據(jù)安全逐步成為全球共同的戰(zhàn)略選擇。由于數(shù)據(jù)具備廣泛性、分散性、多樣性、復(fù)雜性等特性，構(gòu)建系統(tǒng)的數(shù)據(jù)安全體系、增強(qiáng)數(shù)據(jù)保護(hù)能力、提升數(shù)據(jù)治理水平，成為各行各業(yè)的迫切需求，也激發(fā)了人工智能、數(shù)據(jù)共享和數(shù)字生態(tài)等一系列技術(shù)手段在數(shù)據(jù)安全方面的應(yīng)用。（1）場景化防控手段體系化數(shù)據(jù)資產(chǎn)與業(yè)務(wù)存在強(qiáng)相關(guān)性，需要根據(jù)業(yè)務(wù)的流程和特點(diǎn)，面向數(shù)據(jù)資產(chǎn)價值及防護(hù)訴求不同，針對數(shù)據(jù)流轉(zhuǎn)的風(fēng)險暴露面，確定合適的數(shù)據(jù)安全防護(hù)技術(shù)手段。突破傳統(tǒng)的基于網(wǎng)元的一刀切式防護(hù)手段，構(gòu)建動態(tài)、按需的體系化技術(shù)防護(hù)框架。（2）單點(diǎn)技術(shù)向融合化平臺發(fā)展圍繞數(shù)據(jù)全生命周期，在周期各階段節(jié)點(diǎn)的單點(diǎn)防護(hù)技術(shù)手段已日益健全，但基于安全木桶效應(yīng)，數(shù)據(jù)流轉(zhuǎn)需要體系化防護(hù)，建立集中化、聯(lián)動化的安全防護(hù)平臺，實現(xiàn)面向數(shù)據(jù)安全風(fēng)險的動態(tài)、縱深防御已成業(yè)內(nèi)共識，零信任平臺，隱私計算平臺、安全監(jiān)測平臺、安全運(yùn)營平臺等平臺化技術(shù)蓬勃發(fā)展，在數(shù)據(jù)收集、存儲、使用、加工、傳輸?shù)葓鼍皬V泛應(yīng)用。（3）密碼應(yīng)用成為熱點(diǎn)從數(shù)據(jù)安全的角度來看，保護(hù)數(shù)據(jù)完整生命周期的安全，其根本目的是確保數(shù)據(jù)在“使用”時是真實可信的，對數(shù)據(jù)進(jìn)行“加工”所獲得的價值是有效的。隨著“數(shù)據(jù)可用不可見”的理念不斷普及，同態(tài)加密、聯(lián)邦學(xué)習(xí)、安全多方計算、數(shù)據(jù)匿名等基于密碼技術(shù)的快速發(fā)展，為數(shù)據(jù)安全、個人隱私保護(hù)等提供新思路，有效支撐先進(jìn)產(chǎn)品在各個領(lǐng)域的落地實施。（4）AI技術(shù)融合愈加成熟隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程加快，非結(jié)構(gòu)化數(shù)據(jù)快速增長，單純依賴傳統(tǒng)的基于人工設(shè)定規(guī)則/策略的防護(hù)技術(shù)，在處理效率、準(zhǔn)確性、全面性等方面已經(jīng)無法滿足日趨復(fù)雜的數(shù)據(jù)安全防護(hù)需求，通過引入自然語言處理(NLP)、用戶異常行為分析(UEBA)、知識圖譜(KG)等人工智能技術(shù)，與傳統(tǒng)的安全技術(shù)進(jìn)行有效融合并實用化，已較好的推進(jìn)了智能化數(shù)據(jù)分類分級、智能化風(fēng)險分析的進(jìn)展，賦能數(shù)據(jù)安全行業(yè)，提升數(shù)據(jù)安全防護(hù)水平。1.3.數(shù)據(jù)安全風(fēng)險與需求結(jié)合法律法規(guī)、國家政策要求和風(fēng)險應(yīng)對建議，為有效應(yīng)對數(shù)據(jù)安全挑戰(zhàn)，我們梳理形成數(shù)據(jù)安全責(zé)任、制度、人員、技術(shù)、運(yùn)營等方面的需求，如圖2所示。02數(shù)據(jù)安全體系框架2.1.設(shè)計原則在堅持統(tǒng)籌發(fā)展與安全，堅持國家總體安全觀的基礎(chǔ)上，數(shù)據(jù)安全體系框架設(shè)計堅持以下原則：（一）堅持依法合規(guī)遵守《數(shù)據(jù)安全法》《個人信息保護(hù)法》等國家法律法規(guī)和政策要求，依法依規(guī)開展數(shù)據(jù)安全的規(guī)劃、建設(shè)、評估等全流程工作，規(guī)范數(shù)據(jù)安全保障體系建設(shè)，促進(jìn)落實數(shù)據(jù)安全主體責(zé)任及各項技術(shù)和管理舉措。（二）堅持優(yōu)化創(chuàng)新積極借鑒大數(shù)據(jù)、云計算、隱私計算等先進(jìn)理念和技術(shù)，助推數(shù)據(jù)安全管理業(yè)務(wù)創(chuàng)新、技術(shù)創(chuàng)新和服務(wù)模式創(chuàng)新，完善數(shù)據(jù)安全管理體系、技術(shù)防護(hù)體系和運(yùn)營體系。（三）堅持穩(wěn)步推進(jìn)嚴(yán)格遵守“同步規(guī)劃、同步實施、同步運(yùn)營”三同步原則，堅持?jǐn)?shù)據(jù)安全規(guī)劃的可行性，結(jié)合實際的網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)環(huán)境等現(xiàn)狀，對數(shù)據(jù)安全進(jìn)行統(tǒng)一規(guī)劃，分步驟、分階段有序推進(jìn)、平滑落地、持續(xù)運(yùn)營。2.2.設(shè)計目標(biāo)基于GRC（Governance，Risk&Compliance；企業(yè)治理，風(fēng)險管理&合規(guī)遵從風(fēng)險合規(guī)管理理論，構(gòu)建布局合理、管理協(xié)同、風(fēng)險可控、安全可靠、合法合規(guī)的數(shù)據(jù)安全保障體系，推動實現(xiàn)全場景、全流程、全鏈路的數(shù)據(jù)安全保障。（一）健全數(shù)據(jù)安全管理制度以國家總體安全觀為統(tǒng)領(lǐng)，深入貫徹落實國家法律法規(guī)和政策要求，構(gòu)建從管理制度、管理組織、人員管理、建設(shè)管理、運(yùn)維管理、應(yīng)急保障管理等維度和技術(shù)有機(jī)銜接的制度體系，明確責(zé)任劃分和監(jiān)督問責(zé)機(jī)制。（二）提升數(shù)據(jù)安全技術(shù)保障以數(shù)據(jù)為核心，以數(shù)據(jù)分類分級、動態(tài)管理為基礎(chǔ)；圍繞數(shù)據(jù)業(yè)務(wù)場景，以身份認(rèn)證、動態(tài)授權(quán)、脫敏、加密為手段；構(gòu)建數(shù)據(jù)安全治理、數(shù)據(jù)安全監(jiān)測、數(shù)據(jù)安全處置全覆蓋的全生命周期縱深防御體系，通過技術(shù)能力建設(shè)加強(qiáng)數(shù)據(jù)安全風(fēng)險防控。（三）深化數(shù)據(jù)安全持續(xù)運(yùn)營堅持構(gòu)建“人機(jī)結(jié)合、持續(xù)監(jiān)測”的數(shù)據(jù)安全運(yùn)營工作體系，建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，落實數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警、管理邊界、職責(zé)及責(zé)任落實工作，通過控制運(yùn)營過程中的不合規(guī)風(fēng)險點(diǎn)保障安全合規(guī)。2.3.總體框架圍繞“構(gòu)建全方位數(shù)據(jù)安全體系、筑牢安全防線”的總體目標(biāo)，堅持“實戰(zhàn)化、體系化、常態(tài)化”理念，以《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《密碼法》等國家法律為依據(jù)，基于“統(tǒng)籌規(guī)劃、統(tǒng)一策略、分級建設(shè)”的原則，從管理、技術(shù)、運(yùn)營三個方面，構(gòu)建一體化數(shù)據(jù)安全保障體系，將數(shù)據(jù)安全能力貫穿于建設(shè)的各領(lǐng)域和全過程，實現(xiàn)數(shù)據(jù)安全可管可控可溯可視。數(shù)據(jù)安全體系由數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術(shù)能力體系、數(shù)據(jù)運(yùn)營體系三部分組成。總體框架如下：（1）數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理體系主要是通過構(gòu)建符合數(shù)據(jù)安全相關(guān)法律政策和業(yè)務(wù)發(fā)展所需要的管理組織、管理制度和人員能力等。制定切實可行、覆蓋全面的制度規(guī)范，明確角色和職責(zé)，以保障數(shù)據(jù)安全技術(shù)體系和運(yùn)營體系的管理和執(zhí)行。（2）數(shù)據(jù)安全技術(shù)體系數(shù)據(jù)安全技術(shù)體系是數(shù)據(jù)安全體系建設(shè)的核心支撐，由數(shù)據(jù)安全治理管控層和數(shù)據(jù)安全能力層組成。通過數(shù)據(jù)安全治理管控平臺向上為運(yùn)營服務(wù)提供支撐，向下驅(qū)動各類數(shù)據(jù)安全能力實現(xiàn)數(shù)據(jù)安全管控，提升數(shù)據(jù)安全的管控能力和防護(hù)能力。具體建設(shè)可根據(jù)實際數(shù)據(jù)和業(yè)務(wù)場景、安全需求以及現(xiàn)狀選擇相應(yīng)的安全能力。（3）數(shù)據(jù)安全運(yùn)營體系數(shù)據(jù)安全運(yùn)營體系是數(shù)據(jù)安全管控工作常態(tài)化構(gòu)建，運(yùn)用適當(dāng)?shù)陌踩夹g(shù)和管理手段整合人、技術(shù)、流程實現(xiàn)數(shù)據(jù)安全策略持續(xù)動態(tài)調(diào)整和安全積極防御，提供數(shù)據(jù)安全評估、主動風(fēng)險監(jiān)測、數(shù)據(jù)資產(chǎn)運(yùn)營、智能風(fēng)險感知、事件預(yù)警追溯、應(yīng)急響應(yīng)及處置、安全評估教育等服務(wù)。2.4.實施路徑基于數(shù)據(jù)安全體系框架和項目實踐經(jīng)驗，我們總結(jié)形成數(shù)據(jù)安全保障體系建設(shè)的“五步走”實施路徑，即數(shù)據(jù)安全規(guī)劃、數(shù)據(jù)分類分級、數(shù)據(jù)風(fēng)險識別、數(shù)據(jù)安全建設(shè)及數(shù)據(jù)安全運(yùn)營。2.4.1.數(shù)據(jù)安全規(guī)劃數(shù)據(jù)安全體系建設(shè)是一項需要多方聯(lián)動的復(fù)合型工作，合理的組織建設(shè)是推動在數(shù)據(jù)安全體系建設(shè)工作順利推進(jìn)中的關(guān)鍵。在開展組織架構(gòu)建設(shè)時，需要考慮組織層面實體的管理團(tuán)隊及執(zhí)行團(tuán)隊，同時也要考慮虛擬的聯(lián)動小組，所有部門均需要參與安全建設(shè)當(dāng)中。并且，需要根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)需求。前期的數(shù)據(jù)安全組織結(jié)構(gòu)體系建設(shè)為后續(xù)數(shù)據(jù)安全建設(shè)提供了角色支撐，接下來需要從管理制度手段上進(jìn)行梳理。數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險控制需求及法律法規(guī)合規(guī)性要求等幾個方面進(jìn)行梳理，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。2.4.2.數(shù)據(jù)分類分級通過數(shù)據(jù)安全治理專家團(tuán)隊，從業(yè)務(wù)角度出發(fā)，調(diào)研相關(guān)的數(shù)據(jù)安全規(guī)范、現(xiàn)存的服務(wù)范圍內(nèi)的業(yè)務(wù)內(nèi)容及業(yè)務(wù)流程、數(shù)據(jù)存儲和數(shù)據(jù)使用等情況，形成《數(shù)據(jù)資產(chǎn)清單》，根據(jù)資產(chǎn)清單及數(shù)據(jù)安全規(guī)范，明確相關(guān)平臺各系統(tǒng)的輸入輸出，數(shù)據(jù)所在位置及其處理、共享、交換等使用過程中數(shù)據(jù)重要度等內(nèi)容。2.4.3.數(shù)據(jù)風(fēng)險識別數(shù)據(jù)風(fēng)險識別與評估是數(shù)據(jù)安全技術(shù)能力建設(shè)的前提。數(shù)據(jù)安全風(fēng)險評估工作需通過數(shù)據(jù)安全治理專家團(tuán)隊，從業(yè)務(wù)視角出發(fā)，對業(yè)務(wù)應(yīng)用的現(xiàn)狀、使用情況進(jìn)行調(diào)研、分析，確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系、訪問的關(guān)鍵路徑、數(shù)據(jù)的流向及演變過程，結(jié)合對基礎(chǔ)安全管控措施的分析，找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運(yùn)營風(fēng)險。結(jié)合《數(shù)據(jù)資產(chǎn)清單》，基于業(yè)務(wù)場景梳理數(shù)據(jù)操作過程中的主體、客體、過程等屬性；以角色控制為視角，明確被審計用戶的類型、角色；根據(jù)業(yè)務(wù)使用權(quán)限內(nèi)容，建立符合業(yè)務(wù)最小夠用的安全策略模型。2.4.4.數(shù)據(jù)安全建設(shè)不同安全級別的數(shù)據(jù)，按照數(shù)據(jù)全生命周期原則進(jìn)行數(shù)據(jù)安全建設(shè)。具體保護(hù)要求及措施，可參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的業(yè)務(wù)應(yīng)用數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。數(shù)據(jù)安全能力按照基礎(chǔ)安全能力、增強(qiáng)安全能力、擴(kuò)展安全能力三類進(jìn)行劃分，分類建議如表1。分類數(shù)據(jù)安全能力基礎(chǔ)安全能力數(shù)據(jù)資源發(fā)現(xiàn)、數(shù)據(jù)分類分級、數(shù)據(jù)資源識別、數(shù)據(jù)加密數(shù)據(jù)脫敏、身份認(rèn)證、數(shù)據(jù)防泄漏、數(shù)據(jù)溯源增強(qiáng)安全能力數(shù)據(jù)資產(chǎn)處理、數(shù)據(jù)資產(chǎn)標(biāo)記、數(shù)據(jù)銷毀、數(shù)據(jù)容災(zāi)備份數(shù)據(jù)水印、安全審計、數(shù)據(jù)流轉(zhuǎn)監(jiān)測、數(shù)據(jù)安全態(tài)勢感知擴(kuò)展安全能力數(shù)字簽名、用戶實體行為分析、多方安全計算、聯(lián)邦學(xué)習(xí)可信執(zhí)行環(huán)境2.4.5.數(shù)據(jù)安全運(yùn)營數(shù)據(jù)安全運(yùn)營體系因其業(yè)務(wù)的持續(xù)性，需要進(jìn)行長期性、常態(tài)化服務(wù)，包括制度規(guī)范完善、日常巡檢自查、應(yīng)急響應(yīng)、告警管理、資源協(xié)調(diào)、數(shù)據(jù)使用狀況的檢控等，建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊是必然選擇。通過運(yùn)營團(tuán)隊的建設(shè)，有效應(yīng)對數(shù)據(jù)變化和使用狀況變化而產(chǎn)生的風(fēng)險。數(shù)據(jù)安全體系【數(shù)據(jù)綠洲】建設(shè)指南03數(shù)據(jù)安全管理體系建設(shè)方案數(shù)據(jù)安全組織是數(shù)據(jù)安全體系建設(shè)的前提條件。通過建立專門的數(shù)據(jù)安全組織，落實數(shù)據(jù)安全管理責(zé)任，明確數(shù)據(jù)安全治理的政策、監(jiān)督執(zhí)行情況，確保數(shù)據(jù)安全相關(guān)工作能夠持續(xù)穩(wěn)定貫徹與執(zhí)行。按照決策層、管理層、執(zhí)行層、員工/合作伙伴、監(jiān)督層的組織架構(gòu)，設(shè)計數(shù)據(jù)安全的組織架構(gòu)，賦予已有安全團(tuán)隊與其它相關(guān)部門數(shù)據(jù)安全的工作職能。整體組織架構(gòu)分為：決策層管理層（數(shù)據(jù)安全管理團(tuán)隊）監(jiān)督層（審計）執(zhí)行層（數(shù)據(jù)安全運(yùn)營、技術(shù)團(tuán)隊）員工、合作伙伴（1）決策層數(shù)據(jù)安全體系項目決策層是數(shù)據(jù)安全管理工作的決策機(jī)構(gòu)，建議領(lǐng)導(dǎo)擔(dān)任，能參與到組織的業(yè)務(wù)發(fā)展決策，因為業(yè)務(wù)的發(fā)展和數(shù)據(jù)安全是密不可分。（2）管理層管理層是數(shù)據(jù)安全組織機(jī)構(gòu)的第二層，基于組織決策層給出的策略，對數(shù)據(jù)安全實際工作制定詳細(xì)方案，做好業(yè)務(wù)發(fā)展與數(shù)據(jù)安全之間的平衡。在組織中承上啟下，做好數(shù)據(jù)安全全面落地工作，是組織內(nèi)開展數(shù)據(jù)安全工作最核心的部門或崗位，部分工作可能需要組織外部專業(yè)資源共同來履行。（3）監(jiān)督層數(shù)據(jù)安全監(jiān)督層負(fù)責(zé)定期監(jiān)督審核管理小組、執(zhí)行小組，員工和合作伙伴對數(shù)據(jù)安全政策和管理要求的執(zhí)行情況，并且向決策層進(jìn)行匯報，監(jiān)督層人員必須具備獨(dú)立性，不能與其它管理小組、執(zhí)行小組等人員共同兼任，建議由組織內(nèi)部的審計部門擔(dān)任。（4）執(zhí)行層執(zhí)行層與管理層是緊密配合的關(guān)系，其職責(zé)主要聚焦每一個數(shù)據(jù)安全場景，對設(shè)定的流程進(jìn)行逐個實現(xiàn)。執(zhí)行層主要包括數(shù)據(jù)安全專職人員和各業(yè)務(wù)部門的數(shù)據(jù)安全接口人員、風(fēng)險管理人員、數(shù)據(jù)owner等。（5）員工、合作伙伴主要是組織內(nèi)部人員和有合作的第三方的人員，須遵守并執(zhí)行組織內(nèi)對數(shù)據(jù)安全的要求，特別是共享敏感數(shù)據(jù)的第三方，從協(xié)議、辦公環(huán)境、技術(shù)工具方面等做好約束和管理。.數(shù)據(jù)安全制度建設(shè)在進(jìn)行數(shù)據(jù)安全管理制度和規(guī)范的設(shè)計時，范圍應(yīng)覆蓋數(shù)據(jù)的全生命周期,各單位可以參考區(qū)域內(nèi)政務(wù)數(shù)據(jù)安全保障的地方性法規(guī)、頂層設(shè)計以及標(biāo)準(zhǔn)規(guī)范等，從而建立單位內(nèi)部制度規(guī)范去約束和規(guī)范相關(guān)人員開展日常工作，并賦予管理人員監(jiān)督管理職責(zé)。數(shù)據(jù)安全管理組織方針、總則方針、總則管理制度、管理方法操作流程、規(guī)范、作業(yè)指導(dǎo)書、模板等計劃、表格、報告、各種記錄、日志文件等制度流程需要從組織層面整體考慮和設(shè)計，并形成體系框架。制度體系需要分層，層與層之間，同一層不同模塊之間需要有關(guān)聯(lián)邏輯，在內(nèi)容上不能重復(fù)或矛盾。一般按照分為四級：一級文件：包含方針、策略、基本原則和總的管理要求；二級文件：包含安全管理制度和辦法；三級文件：包含操作流程、規(guī)范、作業(yè)指導(dǎo)書或指南及配套模板文件等四級文件：包含表格、報告、各種運(yùn)行/檢查記錄、日志文件等。（1）制度體系一級文件方針和總綱是面向組織層面數(shù)據(jù)安全管理的頂層方針、策略、基本原則和總的管理要求等，主要內(nèi)容包括但不限于：1、數(shù)據(jù)安全管理的目標(biāo)、愿景、方針，如：《XX數(shù)據(jù)安全總體策略》等；2、數(shù)據(jù)及數(shù)據(jù)資產(chǎn)定義：比如定義組織內(nèi)數(shù)據(jù)包含哪些內(nèi)容和類別，信息系統(tǒng)載體如：《XX系統(tǒng)重要數(shù)據(jù)管理摘要》等；3、數(shù)據(jù)安全管理基本原則：比如數(shù)據(jù)分類分級原則、數(shù)據(jù)安全和業(yè)務(wù)發(fā)展匹配原則、數(shù)據(jù)安全管理方針和政策，如《XX單位數(shù)據(jù)分類分級指導(dǎo)意見》等；4、數(shù)據(jù)生命周期階段劃分和整體策略，比如：數(shù)據(jù)產(chǎn)生、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)交換、數(shù)據(jù)使用、數(shù)據(jù)銷毀，如《XX數(shù)據(jù)（流轉(zhuǎn)））管理辦法》等；5、數(shù)據(jù)安全違規(guī)處理：比如違規(guī)事件及其等級定義，相應(yīng)處罰規(guī)定，如《XX數(shù)據(jù)泄漏處罰辦法》等。（2）制度體系二級文件數(shù)據(jù)安全管理制度和辦法，是指數(shù)據(jù)安全通用和各生命周期階段中某個安全域或多個安全域的規(guī)章制度要求，比如：1、通用安全域：數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)安全合規(guī)管理、系統(tǒng)資產(chǎn)管理，如《XX數(shù)據(jù)安全管理制度》等。2、數(shù)據(jù)生命周期各階段：數(shù)據(jù)采集安全管理、數(shù)據(jù)存安全管理、數(shù)據(jù)傳輸安全管理數(shù)據(jù)交換安全管理、數(shù)據(jù)使用安全管理、數(shù)據(jù)銷毀安全管理，以及某個安全域的安全管理要求等。（3）制度體系三級文件數(shù)據(jù)安全各生命周期及具體某個安全域的操作流程、規(guī)范，及相應(yīng)的作業(yè)指導(dǎo)書或指南，配套模板文件，如《數(shù)據(jù)安全處置流程》等。在保證生命周期和安全域覆蓋完整的前下，可以根據(jù)實際情況整合流程和規(guī)范的文檔數(shù)量，不一定每個安全域或者每個生命周期階段都單獨(dú)建立流程和規(guī)范。數(shù)據(jù)安全操作指導(dǎo)書或指南，是對數(shù)據(jù)安全管理流程和規(guī)范的解釋和補(bǔ)充，以及案例說明等文檔，以方便執(zhí)行者深入理解和執(zhí)行；并非強(qiáng)制執(zhí)行的制度規(guī)范僅供參考。數(shù)據(jù)安全模板文件是與管理流程、規(guī)范和指南相配套的固定格式文檔，以確保執(zhí)行一致性，以及數(shù)據(jù)或信息的匯總統(tǒng)計等。（4）制度體系四級文件四級文件主要為執(zhí)行數(shù)據(jù)安全管理制度產(chǎn)生的相應(yīng)計劃、表格、報告、各種運(yùn)行/檢查記錄、日志文件等，如果實現(xiàn)自動化，大部分可通過技術(shù)工具收集到，形成相應(yīng)的量化分析結(jié)果，也是數(shù)據(jù)的一部分。04數(shù)據(jù)安全技術(shù)體系建設(shè)方案4.1.數(shù)據(jù)安全治理管控平臺數(shù)據(jù)安全治理管控平臺通過集中化的數(shù)據(jù)安全標(biāo)準(zhǔn)化、規(guī)范化、常態(tài)化管理，全面掌握全域敏感數(shù)據(jù)資產(chǎn)分類、分級及分布情況，有效監(jiān)控敏感數(shù)據(jù)流轉(zhuǎn)路徑和動態(tài)流向，通過集中化數(shù)據(jù)安全管控策略管理、全生命周期管理，實現(xiàn)數(shù)據(jù)分布、流轉(zhuǎn)、訪問過程中的態(tài)勢呈現(xiàn)和風(fēng)險識別；為數(shù)據(jù)安全的安全管控和數(shù)據(jù)的安全監(jiān)控提供能力保障，為數(shù)據(jù)安全運(yùn)營提供技術(shù)能力支撐平臺。數(shù)據(jù)安全治理展示中心包含數(shù)據(jù)資產(chǎn)梳理視圖、策略中心管理視圖、能力中心組件視圖、風(fēng)險中心監(jiān)測視圖、全生命周期視圖。數(shù)據(jù)安全治理核心功能數(shù)據(jù)資產(chǎn)管理：包含敏感數(shù)據(jù)定義、敏感數(shù)據(jù)識別、敏感數(shù)據(jù)規(guī)則、服務(wù)器掃描、數(shù)據(jù)庫掃描、敏感數(shù)據(jù)分布、敏感數(shù)據(jù)分布視圖、數(shù)據(jù)索引標(biāo)記等功能。安全策略管理：包含敏感數(shù)據(jù)分級分類、訪問控制策略、數(shù)據(jù)DLP策略、敏感數(shù)據(jù)脫敏策略、數(shù)據(jù)加密策略、數(shù)據(jù)審計等策略管理。主要實現(xiàn)對發(fā)現(xiàn)的敏感數(shù)據(jù)分級分類，以及對數(shù)據(jù)安全技術(shù)手段的策略定義、任務(wù)下發(fā)、策略分析等工作。對數(shù)據(jù)安全的策略進(jìn)行能力應(yīng)用，提供數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)水印等多種能力API接口，提供能力集中調(diào)度和能力輸出。對外接口監(jiān)控：包括接口流量分析、對外接口管理、數(shù)據(jù)交互統(tǒng)計功能。實現(xiàn)對接口進(jìn)行檢測和分析。數(shù)據(jù)風(fēng)險監(jiān)測：包括數(shù)據(jù)安全風(fēng)險分析、數(shù)據(jù)流轉(zhuǎn)監(jiān)控管理、數(shù)據(jù)泄露溯源管理、數(shù)據(jù)泄露場景建模分析。是一個敏感數(shù)據(jù)泄露的綜合分析功能，通過采集到的日志進(jìn)行關(guān)聯(lián)分析以及可視化的場景建模，通過數(shù)據(jù)流轉(zhuǎn)和水印實現(xiàn)溯源分析及泄露分析。生命周期管理：通過場景化的防護(hù)管理思路，梳理全生命周期包括：數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)銷毀各個階段的業(yè)務(wù)場景。針對不同場景針對性的進(jìn)行數(shù)據(jù)安全防護(hù)能力組件的部署，有效實現(xiàn)數(shù)據(jù)全生命周期數(shù)據(jù)安全防護(hù)。數(shù)據(jù)安全運(yùn)營：包括安全運(yùn)維流程、數(shù)據(jù)安全合規(guī)、數(shù)據(jù)安全態(tài)勢等功能。通過合理的數(shù)據(jù)安全運(yùn)營，為數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)管控策略等進(jìn)行合理性管理。數(shù)據(jù)安全能力組件數(shù)據(jù)安全安全防護(hù)能力包括：堡壘機(jī)、應(yīng)用安全網(wǎng)關(guān)、運(yùn)維安全網(wǎng)關(guān)、數(shù)據(jù)靜態(tài)脫敏系統(tǒng)、數(shù)據(jù)動態(tài)脫敏系統(tǒng)、頁面水印、文檔水印數(shù)據(jù)水印系統(tǒng)、數(shù)據(jù)庫審計、數(shù)據(jù)庫訪問網(wǎng)關(guān)、數(shù)據(jù)防泄漏等安全能力組件。安全能力組件和數(shù)據(jù)安全運(yùn)營平臺平臺對接，并實現(xiàn)信息采集、引擎控制兩大功能。主要實現(xiàn)對數(shù)據(jù)安全技術(shù)手段的上報信息的采集，以及對數(shù)據(jù)安全技術(shù)手段的接口配置，方便上層進(jìn)行事件存儲、分析、策略管理等。4.1.1.數(shù)據(jù)資產(chǎn)管理建立數(shù)據(jù)資產(chǎn)字典，繪制數(shù)據(jù)資產(chǎn)圖譜，對敏感數(shù)據(jù)進(jìn)行定義，提供全網(wǎng)敏感數(shù)據(jù)進(jìn)行自動掃描發(fā)現(xiàn)能力，對掃描的敏感數(shù)據(jù)進(jìn)行索引標(biāo)記。提供敏感數(shù)據(jù)分級分類能力，對敏感數(shù)據(jù)進(jìn)行分級分類標(biāo)識，建立敏感數(shù)據(jù)資產(chǎn)分布視圖，實現(xiàn)敏感數(shù)據(jù)的可發(fā)現(xiàn)，可展示、可稽核，全面掌控業(yè)務(wù)數(shù)據(jù)核心資產(chǎn)。數(shù)據(jù)發(fā)現(xiàn)識別敏感數(shù)據(jù)發(fā)現(xiàn)與識別是以協(xié)議解析、內(nèi)容識別和語義分詞為核心的深度內(nèi)容識別系統(tǒng)，主要由管理中心、分級分類工具、敏感數(shù)據(jù)引擎等不同組件構(gòu)成，各模塊相互配合，構(gòu)建敏感數(shù)據(jù)發(fā)現(xiàn)與識別體系。資產(chǎn)自動發(fā)現(xiàn):支持通過IP和端口自動掃描出數(shù)據(jù)庫資產(chǎn)，操作功能包含自動掃描的任務(wù)的添加、刪除、修改、詳情查看等;智能識別模塊數(shù)據(jù)識別模塊內(nèi)置姓名、手機(jī)號碼、身份證號碼、中文地址、銀行卡號、公司名稱、固定電話、電子郵箱、組織機(jī)構(gòu)代碼、社會統(tǒng)一信用代碼等敏感內(nèi)容的自動識別算法，識別過程中無需管理員人工指定，即可自動識別敏感數(shù)據(jù)。通過分布式樣本數(shù)據(jù)采集，系統(tǒng)獲取最完整樣本信息，并且通過數(shù)據(jù)深度分析，能夠有效識別各種復(fù)合類型的敏感數(shù)據(jù)，比如：15位和18位身份證、16位和19位銀行卡號、中文姓名+公司名稱、身份證+組織機(jī)構(gòu)代碼、手機(jī)號+座機(jī)號等。敏感數(shù)據(jù)自動發(fā)現(xiàn):支持敏感數(shù)據(jù)類型自動發(fā)現(xiàn),可覆蓋政府、金融、學(xué)校、企業(yè)等多個行業(yè)相關(guān)的敏感數(shù)據(jù)類型。包括但不限于：姓名、地址、身份證號、手機(jī)號、銀行卡號、Email、車牌號、道路運(yùn)輸許可證號、護(hù)照、車架號、駕駛證編號、座機(jī)號、公積金編號、軍官證、軍密認(rèn)證號、醫(yī)師執(zhí)業(yè)證書編號、營業(yè)執(zhí)照、開戶許可證號、稅務(wù)登記證號、組織機(jī)構(gòu)名稱、組織機(jī)構(gòu)代碼、郵政編碼、日期、字符串、社會信用代碼、永久居住證號、臺灣同胞大陸通行證號、港澳通行證號、IP地址等。除此以外，數(shù)據(jù)識別模塊支持自定義敏感信息發(fā)現(xiàn)規(guī)則，發(fā)現(xiàn)規(guī)則支持基于正則表達(dá)式、基于字段名、關(guān)鍵字匹配等方式。安全管理引擎數(shù)據(jù)庫數(shù)據(jù)安全管理引擎內(nèi)置姓名、手機(jī)號碼、身份證號碼、中文地址、銀行卡號、公司名稱、固定電話、電子郵箱、組織機(jī)構(gòu)代碼、社會統(tǒng)一信用代碼等敏感內(nèi)容的自動識別算法，通過遠(yuǎn)程掃描的方式實現(xiàn)敏感數(shù)據(jù)的發(fā)現(xiàn)。通過配置數(shù)據(jù)庫的IP、端口、登錄帳號（具備Select權(quán)限）、掃描時間和掃描數(shù)據(jù)類型范圍，主動完成數(shù)據(jù)庫敏感數(shù)據(jù)的發(fā)現(xiàn)，并將敏感數(shù)據(jù)分布情況上報給管理中心。通過分布式樣本數(shù)據(jù)采集獲取最完整樣本信息，并且通過數(shù)據(jù)深度分析，能夠有效識別各種復(fù)合類型的敏感數(shù)據(jù)，比如：15位和18位身份證、16位和19位銀行卡號、中文姓名+公司名稱、身份證+組織機(jī)構(gòu)代碼、手機(jī)號+座機(jī)號、護(hù)照號碼、中文地址等。支持通過樣本數(shù)據(jù)自定義敏感類型，如基于自然語言處理、統(tǒng)計模型等分類模型進(jìn)行敏感類型的擴(kuò)充和識別。對內(nèi)部核心數(shù)據(jù)庫進(jìn)行掃描，利用數(shù)據(jù)庫數(shù)據(jù)安全管理引擎對敏感信息的定義和識別，掃描數(shù)據(jù)庫中是否存在敏感數(shù)據(jù)。采用無代理方式使用查詢權(quán)限帳號進(jìn)行掃描，將包含敏感數(shù)據(jù)的庫、表、列的位置、樣本反饋至服務(wù)器，形成數(shù)據(jù)庫敏感數(shù)據(jù)資產(chǎn)分布報表及分布圖，便于針對數(shù)據(jù)庫中的敏感數(shù)據(jù)庫進(jìn)行進(jìn)一步管控，如數(shù)據(jù)庫審計、數(shù)據(jù)庫脫敏等。支持常用主流數(shù)據(jù)庫：MySQL、DB2、racle、SqlServer、PostgreSql等。數(shù)據(jù)發(fā)現(xiàn)規(guī)則根據(jù)敏感數(shù)據(jù)的定義，制定敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，對于數(shù)據(jù)掃描的目標(biāo)、時間、周期等元素進(jìn)行定義。為了不影響業(yè)務(wù)的正常運(yùn)行，可通過規(guī)則來對于掃描的時間、周期及目標(biāo)服務(wù)器等進(jìn)行定義。服務(wù)器掃描根據(jù)定義的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，手動或者自動(按照預(yù)定的時間、周期)對于服務(wù)器（文件存儲、郵件服務(wù)器、應(yīng)用服務(wù)器等）進(jìn)行數(shù)據(jù)掃描發(fā)現(xiàn)，并且將掃描的結(jié)果形成日志記錄統(tǒng)一記錄到管理服務(wù)器上，供后續(xù)繪制分布圖使用。數(shù)據(jù)庫掃描根據(jù)定義的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，在不停機(jī)的情況下，自動(按照預(yù)定的時間、周期)對于現(xiàn)有的數(shù)據(jù)庫（SQL、Oracle、MySQL等）進(jìn)行在線數(shù)據(jù)掃描發(fā)現(xiàn)，并且將掃描的結(jié)果形成日志記錄統(tǒng)一記錄到管理服務(wù)器上，供后續(xù)繪制分布圖使用。為了避免對于業(yè)務(wù)造成影響，所以在對于數(shù)據(jù)進(jìn)行掃描發(fā)現(xiàn)時，數(shù)據(jù)庫不能下線、停機(jī)，要求在線進(jìn)行掃描；并且支持增量、完整等多種掃描方式。敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則由文件服務(wù)器掃描規(guī)則、數(shù)據(jù)庫、大數(shù)據(jù)掃描規(guī)則組成，對于數(shù)據(jù)掃描的目標(biāo)、時間、周期等元素進(jìn)行定義。敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則由數(shù)據(jù)庫發(fā)現(xiàn)規(guī)則和服務(wù)器發(fā)現(xiàn)規(guī)則組成，可定義數(shù)據(jù)庫/服務(wù)器掃描任務(wù)并展示規(guī)則所對應(yīng)的數(shù)據(jù)庫/服務(wù)器等詳細(xì)信息。通過定義掃描條件(按照預(yù)定的時間、周期、資產(chǎn)信息)對數(shù)據(jù)庫/服務(wù)器（關(guān)系型、非關(guān)系型數(shù)據(jù)庫，文件目錄）結(jié)合安全策略，形成敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則。數(shù)據(jù)識別技術(shù)根據(jù)敏感數(shù)據(jù)的定義，使用內(nèi)容識別手段（關(guān)鍵字、正則表達(dá)式、字典等），對于數(shù)據(jù)進(jìn)行內(nèi)容識別和檢測。敏感數(shù)據(jù)的識別，是實現(xiàn)數(shù)據(jù)的索引、標(biāo)記及數(shù)據(jù)發(fā)現(xiàn)、審計等工作的前提條件，通過技術(shù)手段區(qū)分普通數(shù)據(jù)和敏感數(shù)據(jù)。文件指紋技術(shù)“文件指紋”可確保準(zhǔn)確檢測以非結(jié)構(gòu)化數(shù)據(jù)存儲的數(shù)據(jù)，例如MicrosoftWord與PowerPoint文件、PDF文檔、財務(wù)、并購文檔，以及其他敏感或?qū)Ｓ行畔?。通過收集樣上傳至服務(wù)器創(chuàng)建文檔指紋特征，以檢測原始文檔、數(shù)據(jù)庫的已檢索部分、草稿或不同版本的受保護(hù)文檔。文檔指紋首先要進(jìn)行敏感文件的學(xué)習(xí)和訓(xùn)練，拿到敏感內(nèi)容的文件時，采用語義分析的技術(shù)進(jìn)行分詞，然后進(jìn)行語義分析，提出來需要學(xué)習(xí)和訓(xùn)練的敏感信息文檔的指紋模型，然后利用同樣的方法對被測的文檔或內(nèi)容進(jìn)行指紋抓取，將得到的指紋與訓(xùn)練的指紋進(jìn)行比對，根據(jù)預(yù)設(shè)的相似度去確認(rèn)被檢測文檔是否為敏感信息文檔。這種識別方法具備極高的準(zhǔn)確率與較大的擴(kuò)展性。自然語言處理與機(jī)器學(xué)習(xí)高效的中文分詞算法，無需詞庫也能解析詞語。分詞時支持去除干擾符號，支持去除詞語中的干擾詞，能將“法#論功”、“工資xx明細(xì)”等模式進(jìn)行正確分詞支持英文詞組詞，可以匹配如“Salarydetail”等英文詞組。通過對樣本文檔進(jìn)行學(xué)習(xí)和訓(xùn)練，采用語義分析的技術(shù)進(jìn)行分詞，然后進(jìn)行語義分析提取來匹配判斷是否包含敏感數(shù)據(jù)。文件屬性檢查與圖像識別支持doc、docx、xls、xlsx、ppt、pptx、rtf、pdf、txt、html、xml、C/C++、perl、shell、rar、zip、tar、gzip、7z、iso等常見的文檔類型解析和內(nèi)容提取。對于不帶擴(kuò)展名或修改擴(kuò)展名的文件，同樣能根據(jù)其文件特征識別其文件類型。支持對壓縮加密文件、office加密文件、pdf加密文件的類型識別。圖像識別（OCR）主要對圖片、打印文件等提取文字并執(zhí)行安全策略檢查，無論是網(wǎng)絡(luò)、郵件、還是存儲通道。進(jìn)行光學(xué)字符識別內(nèi)容分析，特別適用于網(wǎng)絡(luò)傳輸、數(shù)據(jù)發(fā)現(xiàn)以及打印服務(wù)器的信息泄露。提取圖片甚至視頻中的文字敏感信息，打印文件中的文字敏感信息識別截屏（截圖）等行為進(jìn)行監(jiān)控分析，對于紅頭文件掃描件、傳真頁、票據(jù)，表單等也能解析和識別。正則表達(dá)式與模式匹配對于符合某種規(guī)則的內(nèi)容，可以抽象出正則表達(dá)式，然后按正則表達(dá)式對文字內(nèi)容進(jìn)行檢查。產(chǎn)品應(yīng)提供常見的正則表達(dá)式，如手機(jī)號碼、身份證號碼、銀行卡號、信用卡號等預(yù)置模式；支持通過校驗方式檢驗?zāi)Ｊ酱挠行浴ｊP(guān)鍵字與字典權(quán)重支持關(guān)鍵字內(nèi)容檢測，包含中文簡體、繁體、英文，支持繁體自動識別。支持關(guān)鍵詞模糊匹配，關(guān)鍵詞中可以用*號代替不確定的詞，如“工資*明細(xì)”。關(guān)鍵字對之間用英文星號（*）連接，多個關(guān)鍵字或關(guān)鍵字對之間以英文逗號隔開系統(tǒng)根據(jù)不同業(yè)務(wù)屬性需求，內(nèi)置關(guān)鍵字（字典）支持配置權(quán)重模式配置,優(yōu)先檢測權(quán)重值高的內(nèi)容。嵌套及多層壓縮識別能夠識別常見的office嵌套文件（如Word里嵌套excel），并提取嵌套文件內(nèi)容，識別能力支持多層壓縮文件解析和無限層內(nèi)容提取。防逃逸與加密識別對于不帶擴(kuò)展名或修改擴(kuò)展名的文件，同樣能根據(jù)其文件特征識別其文件類型。支持對壓縮加密文件、office加密文件、pdf加密文件類型識別。敏感數(shù)據(jù)識別模型包含：關(guān)鍵字、正則表達(dá)式、文件MDS、文檔指紋、文件大小、文件類型、機(jī)器學(xué)習(xí)與自然語言處理等識別算法，由上至下。越向下，識別的準(zhǔn)確率越高。敏感數(shù)據(jù)識別模塊包含：關(guān)鍵字、正則表達(dá)式、文件MDS、文檔指紋、文件大小、文件類型、機(jī)器學(xué)習(xí)與自然語言處理等識別算法。敏感數(shù)據(jù)識別策略結(jié)合匹配算法對數(shù)據(jù)文件進(jìn)行深層的內(nèi)容分析。服務(wù)器掃描根據(jù)定義的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，自動(按照預(yù)定的時間、周期)對于服務(wù)器（文件存儲、郵件服務(wù)器、應(yīng)用服務(wù)器等）進(jìn)行數(shù)據(jù)掃描發(fā)現(xiàn)，并且將掃描的結(jié)果形成日志記錄統(tǒng)一記錄到管理服務(wù)器上，供后續(xù)繪制分布圖使用；數(shù)據(jù)安全治理平臺配置敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，通過服務(wù)器掃描模塊下發(fā)掃描任務(wù)，采用SSH遠(yuǎn)程登錄方式到用戶配置的文件服務(wù)器面進(jìn)行掃描，基于CDE檢測引擎對掃描數(shù)據(jù)實現(xiàn)規(guī)則匹配和事件上報。服務(wù)器掃描任務(wù)模塊由敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，掃描類型、優(yōu)先級和掃描方式組成。實現(xiàn)對文件服務(wù)器遠(yuǎn)程掃描。數(shù)據(jù)庫掃描根據(jù)定義的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，在不停機(jī)的情況下，自動(按照預(yù)定的時間、周期)對于現(xiàn)有的數(shù)據(jù)庫（SQL、Oracle、MySQL等）進(jìn)行在線數(shù)據(jù)掃描發(fā)現(xiàn)，并且將掃描的結(jié)果形成日志記錄統(tǒng)一記錄到管理服務(wù)器上，供后續(xù)繪制分布圖使用。為了避免對于業(yè)務(wù)造成影響，所以在對于數(shù)據(jù)進(jìn)行掃描發(fā)現(xiàn)時，數(shù)據(jù)庫不能下線、停機(jī)，要求在線進(jìn)行掃描；并且支持增量、完整等多種掃描方式。數(shù)據(jù)安全治理平臺配置敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，通過數(shù)據(jù)庫掃描模塊下發(fā)掃描任務(wù)，數(shù)據(jù)庫/大數(shù)據(jù)組件掃描模塊基于JDBC、ODBC協(xié)議，遠(yuǎn)程連接并遍歷查詢數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)庫掃描任務(wù)模塊由敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，掃描數(shù)據(jù)類型和掃描方式組成。實現(xiàn)對關(guān)系型、非關(guān)系型數(shù)據(jù)庫掃描。資產(chǎn)盤點(diǎn)支持自動和手動的進(jìn)行資產(chǎn)的盤點(diǎn)，并生成盤點(diǎn)報告,盤點(diǎn)內(nèi)容包括自動發(fā)現(xiàn)資產(chǎn)、資產(chǎn)風(fēng)險情況掃描、資產(chǎn)網(wǎng)絡(luò)連通性掃描、資產(chǎn)保護(hù)情況掃描。資產(chǎn)確認(rèn)提供對采集上來的資產(chǎn)的審核和確認(rèn)功能；展示待確認(rèn)，已確認(rèn)、確認(rèn)不通過的資產(chǎn)列表，并提供關(guān)鍵字搜索支持對待確認(rèn)資產(chǎn)的一鍵審核，對已確認(rèn)資產(chǎn)的一鍵添加到資產(chǎn)管0.資產(chǎn)分類分級支持自定義資產(chǎn)分類分支持多層次資產(chǎn)分類支持對資產(chǎn)進(jìn)行自動掃描后匯總分類分級掃描結(jié)果，獨(dú)立頁面展示數(shù)據(jù)分類分級掃描結(jié)果包含資產(chǎn)IP、資產(chǎn)類型、數(shù)據(jù)庫實例、表名、字段名、分類信息、分級信息、敏感類型、狀態(tài)等內(nèi)容；支持對分類分級結(jié)果進(jìn)行確認(rèn)，確認(rèn)的內(nèi)容在后續(xù)掃描作業(yè)不進(jìn)行變更處理，支持一鍵確認(rèn)，單挑數(shù)據(jù)確認(rèn)；支持對分類分級結(jié)果進(jìn)行導(dǎo)出操作。4.1.2.安全策略管理（聯(lián)防聯(lián)控）數(shù)據(jù)安全策略管理中心對數(shù)據(jù)安全策略能夠進(jìn)行集中控制、展示和管理，對數(shù)據(jù)安全的行為、防護(hù)能力進(jìn)行集中控制管理，支持策略增加、刪除、修改等操作。安全人員通過安全策略管理模塊，實現(xiàn)對數(shù)據(jù)安全合規(guī)安全策略基線、業(yè)務(wù)針對數(shù)據(jù)安全要求的策略基線的維護(hù)和管理，同時根據(jù)數(shù)據(jù)安全分級與保護(hù)規(guī)范的防護(hù)要求，生成數(shù)據(jù)保護(hù)策略。數(shù)據(jù)安全策略管理中心包含敏感數(shù)據(jù)分級分類、訪問控制策略、數(shù)據(jù)DLP策略、敏感數(shù)據(jù)脫敏策略、數(shù)據(jù)加密策略、數(shù)據(jù)審計、數(shù)據(jù)訪問控制、數(shù)據(jù)安全運(yùn)維等策略。策略管理支持場景化管理能力，根據(jù)人員、數(shù)據(jù)的分類分級，數(shù)據(jù)的業(yè)務(wù)場景，對數(shù)據(jù)的全生命周期場景策略進(jìn)行管控。支持對下級設(shè)備數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫審計、數(shù)據(jù)庫漏掃、日志審計進(jìn)行數(shù)據(jù)采集和統(tǒng)一管理，支持下發(fā)指令到級聯(lián)設(shè)備，應(yīng)對用戶操作、數(shù)據(jù)庫狀態(tài)的安全威脅行為進(jìn)行預(yù)警，應(yīng)對用戶高危行為操作、數(shù)據(jù)庫攻擊行為進(jìn)行聯(lián)動阻斷。平臺內(nèi)內(nèi)置相應(yīng)的決策模型或者知識庫，以輔助工作人員快速實現(xiàn)數(shù)據(jù)安全防護(hù)決策。安全人員負(fù)責(zé)安全策略的管理工作?？梢赃M(jìn)行安全策略基線配置、業(yè)務(wù)針對性安全新策略定義和維護(hù)，生成新的數(shù)據(jù)保護(hù)策略。平臺內(nèi)根據(jù)國家相關(guān)法律法規(guī)內(nèi)置相應(yīng)決策模型或者知識庫、安全策略，以輔助工作人員快速實現(xiàn)數(shù)據(jù)安全防護(hù)決策。安全策略類型數(shù)據(jù)安全策略管理中心包含敏感數(shù)據(jù)分級分類、訪問控制策略、數(shù)據(jù)DLP策略、敏感據(jù)脫敏策略、數(shù)據(jù)加密策略、數(shù)據(jù)審計、數(shù)據(jù)訪問控制、數(shù)據(jù)安全運(yùn)維等策略。.1.數(shù)據(jù)分類策略通過數(shù)據(jù)安全治理平臺敏感數(shù)據(jù)掃描模塊發(fā)現(xiàn)結(jié)果，依照相關(guān)分級分類管理辦法，標(biāo)識敏感數(shù)據(jù)的數(shù)據(jù)類型、敏感數(shù)據(jù)位置等，并支持敏感數(shù)據(jù)分類分級結(jié)果的導(dǎo)出功能。敏感數(shù)據(jù)分類可根據(jù)行業(yè)要求進(jìn)行指定，比如用戶身份和鑒權(quán)信息、用戶數(shù)據(jù)及服務(wù)內(nèi)容信息、用戶服務(wù)相關(guān)信息企業(yè)運(yùn)營管理數(shù)據(jù)組成。通過采用不同識別手段，識別不同類型數(shù)據(jù)，由此進(jìn)行敏感數(shù)據(jù)的分類。.2.數(shù)據(jù)分級策略根據(jù)敏感數(shù)據(jù)掃描發(fā)現(xiàn)結(jié)果，依照相關(guān)數(shù)據(jù)分級分類管理辦法，標(biāo)識敏感數(shù)據(jù)的敏感級別、敏感數(shù)據(jù)位置等，并支持敏感數(shù)據(jù)分類分級結(jié)果的導(dǎo)出功能。敏感數(shù)據(jù)分級模塊可根據(jù)行業(yè)要求進(jìn)行定義，比如由極敏感級、敏感級、較敏感級、低敏感級組成。敏感數(shù)據(jù)分級模塊展示內(nèi)容包括：級別、編號、包含的數(shù)據(jù)分類范圍等信息根據(jù)不同的數(shù)據(jù)分類關(guān)聯(lián)數(shù)據(jù)分級來實現(xiàn)敏感數(shù)據(jù)分級。.3.訪問控制策略訪問控制策略為全域數(shù)據(jù)提供了統(tǒng)一數(shù)據(jù)訪問策略統(tǒng)計、分析、稽核和展示，包括對所有上層應(yīng)用的訪問進(jìn)行細(xì)粒度授權(quán)，通過限制對數(shù)據(jù)資產(chǎn)的訪問操作，防止非法用戶的侵入、用戶越權(quán)、合法用戶的不慎操作而造成的數(shù)據(jù)泄露、篡改、損毀，保證數(shù)據(jù)資產(chǎn)受控地、合法地使用。訪問控制策略能夠?qū)δ夸?、關(guān)系型、非關(guān)系型數(shù)據(jù)庫中的表進(jìn)行細(xì)粒度的授權(quán)策略定義；能夠?qū)?shù)據(jù)庫或文件系統(tǒng)的不同操作（如查詢、增刪、創(chuàng)建等）進(jìn)行授權(quán)策略定義；能夠?qū)I(yè)務(wù)系統(tǒng)的界面操作權(quán)限進(jìn)行細(xì)粒度授權(quán)策略定義。.4.數(shù)據(jù)防泄漏策略驅(qū)動DLP設(shè)備為全域數(shù)據(jù)提供了統(tǒng)一的數(shù)據(jù)泄露防護(hù)策略的管理。數(shù)據(jù)泄露防護(hù)策略主要包含了檢測文檔類型、解析協(xié)議、數(shù)據(jù)敏感級別、數(shù)據(jù)風(fēng)險監(jiān)測規(guī)則、數(shù)據(jù)處置動作等內(nèi)容。鍵字、正則表達(dá)式、數(shù)據(jù)標(biāo)識符、文件名稱、文件大小、文件名、文件指紋、結(jié)構(gòu)化數(shù)據(jù)指紋等信息采用邏輯與、或、非的方式進(jìn)行敏感數(shù)據(jù)定義；系統(tǒng)還提供了機(jī)器學(xué)習(xí)智能敏感數(shù)據(jù)定義，智能數(shù)據(jù)分類等功能。系統(tǒng)提供了豐富的常用默認(rèn)規(guī)則，包括姓名、身份證、地址、手機(jī)號、銀行卡號、郵箱、工商注冊號、護(hù)照、軍官證、座機(jī)號、納稅人識別號、企業(yè)組織機(jī)構(gòu)代碼、統(tǒng)一社會信用代碼等發(fā)現(xiàn)規(guī)則。以協(xié)議解析、語義分詞為核心的深度內(nèi)容識別能力，不同組件相互配合，實現(xiàn)對采集、使用、流轉(zhuǎn)、存儲、數(shù)據(jù)進(jìn)行實時發(fā)現(xiàn)和監(jiān)控構(gòu)建數(shù)據(jù)安全閉環(huán)。.5.數(shù)據(jù)脫敏策略脫敏策略實現(xiàn)統(tǒng)一的數(shù)據(jù)脫敏策略管理功能。脫敏策略包括動態(tài)脫敏和靜態(tài)脫敏策。動態(tài)脫敏策略主要通過定義數(shù)據(jù)訪問場景、訪問帳號角色、需要脫敏的內(nèi)容、脫敏算法等來完成策略的定義；靜態(tài)脫敏策略主要通過定義資產(chǎn)對象、脫敏內(nèi)容、數(shù)據(jù)脫敏算法來完成批量數(shù)據(jù)脫敏策略。策略集中管理數(shù)據(jù)安全策略管理中心對數(shù)據(jù)安全策略能夠進(jìn)行集中控制、展示和管理，對數(shù)據(jù)安全的行為、防護(hù)能力進(jìn)行集中控制管理，支持策略增加、刪除、修改等操作。1）策略創(chuàng)建安全策略可以通過人工錄入方式創(chuàng)建。2）策略執(zhí)行根據(jù)策略適用范圍說明，選擇策略執(zhí)行的具體資產(chǎn)對象。檢查策略的執(zhí)行狀態(tài)及結(jié)果，可以按照一種或多種維度組合查詢策略執(zhí)行情況。因安全管理對象和內(nèi)容發(fā)生變化，對相關(guān)安全策略進(jìn)行變更。策略變更管理包括策略修訂、策略注銷等功能。安全策略下發(fā)數(shù)據(jù)安全策略管理中心提供數(shù)據(jù)安全防護(hù)能力輸出和數(shù)據(jù)安全防護(hù)策略的任務(wù)下發(fā)?？梢詫崟r將數(shù)據(jù)發(fā)現(xiàn)、動態(tài)脫敏、數(shù)據(jù)庫監(jiān)控、數(shù)據(jù)庫防火墻、數(shù)據(jù)加密、數(shù)據(jù)脫敏等安全策略下發(fā)給數(shù)據(jù)安全運(yùn)營平臺平臺對接的各類數(shù)據(jù)安全能力組件，并執(zhí)行該策略。設(shè)備狀態(tài)的監(jiān)控收集各安全產(chǎn)品的風(fēng)險情況，實現(xiàn)安全威脅實時分析、秒級預(yù)警、防護(hù)策略的下發(fā)、安全事件取證，以及超大規(guī)模數(shù)據(jù)管理和快速查詢，對各設(shè)備的運(yùn)行情況進(jìn)行每日統(tǒng)計。對外接口管控數(shù)據(jù)安全運(yùn)營平臺對外接口管控中心通過HTTP協(xié)議解析，還原HTTP事件請求和返回內(nèi)容，可記錄操作后的頁面返回信息。通過建立API接口清單并識別敏感數(shù)據(jù)暴露面，避免安全管理盲區(qū)，降低數(shù)據(jù)泄露和合規(guī)風(fēng)險。.1.監(jiān)控細(xì)粒度支持對API接口監(jiān)控授權(quán)工作訪問時間設(shè)置、支持訪問閾值（單位時間）設(shè)置、支持敏感數(shù)據(jù)規(guī)則設(shè)置。支持按時間單位設(shè)置訪問頁面/接口的閾值，監(jiān)測一定時間閾值內(nèi)，嘗試登錄次數(shù)的行為。.2.監(jiān)控類型訪問行為監(jiān)控：依據(jù)預(yù)先定義的時間規(guī)則，通過數(shù)據(jù)解析去發(fā)現(xiàn)流量中判定非工作時間的訪問行為。.2.監(jiān)控類型.2.監(jiān)控類型1）訪問行為監(jiān)控：依據(jù)預(yù)先定義的時間規(guī)則，通過數(shù)據(jù)解析去發(fā)現(xiàn)流量中判定非工作時間的訪問行為。頁面訪問頻次監(jiān)控：監(jiān)測一定時間閾值內(nèi)，嘗試登錄次數(shù)的行為。敏感信息訪問監(jiān)控：依據(jù)預(yù)先定義的敏感數(shù)據(jù)規(guī)則，通過數(shù)據(jù)解析去發(fā)現(xiàn)流量中未脫敏的信息，形成監(jiān)控日志。4.1.3.數(shù)據(jù)風(fēng)險監(jiān)測風(fēng)險評估分析模塊是指通過對數(shù)據(jù)相關(guān)事件內(nèi)容進(jìn)行集中分析，包含：日志采集、日志范式化、人物行為畫像分析、數(shù)據(jù)流轉(zhuǎn)地圖、數(shù)據(jù)泄露行為分析建模、數(shù)據(jù)異常行為告警、數(shù)據(jù)風(fēng)險展示、數(shù)據(jù)日志展示、數(shù)據(jù)多維度查詢多個功能。本次在匯集各類數(shù)據(jù)資產(chǎn)和數(shù)據(jù)安全相關(guān)信息的技術(shù)上，建立數(shù)據(jù)安全風(fēng)險評估模型，提供對數(shù)據(jù)的重要性、存在的泄露風(fēng)險及面臨的違規(guī)操作等各種維度安全狀態(tài)進(jìn)行量化評估手段?；谀Ｐ蛻?yīng)用和安全專家人工分析相結(jié)合的方式，對數(shù)據(jù)安全進(jìn)行態(tài)勢分析：識別敏感數(shù)據(jù)安全狀態(tài)及趨勢變化；掌握數(shù)據(jù)違規(guī)操作和泄漏風(fēng)險分布，包括從業(yè)務(wù)系統(tǒng)、數(shù)據(jù)類別、各安全域等多維度統(tǒng)計分析；提供動態(tài)的數(shù)據(jù)安全可視化展現(xiàn)，并定期輸出安全態(tài)勢分析報告；提供數(shù)據(jù)風(fēng)險威脅溯源分析管理。數(shù)據(jù)安全風(fēng)險評估提供行為畫像能力，泄露場景的建模能力、異常告警能力。自動采集數(shù)據(jù)安全能力組件的事件，通過與歷史數(shù)據(jù)和群組畫像進(jìn)行比對，生成畫像信息。按照不同的群組，生成群組畫像并作為群組成員的基線。通過畫像模型對行為進(jìn)行分析，對異常進(jìn)行告警。對共享數(shù)據(jù)接口進(jìn)行畫像分析，對異常頻次、異常事件的內(nèi)容進(jìn)行告警。并提供多種維度的統(tǒng)計分析方式，可為安全專家提供多種數(shù)據(jù)安全態(tài)勢，滿足日常工作需要。支撐運(yùn)營人員對數(shù)據(jù)泄露場景進(jìn)行建模分析，支持各類場景的配置。配置內(nèi)容為檢測時間間隔、上限數(shù)、黑白名單等。包括：高頻訪問場景配置，越權(quán)訪問場景配置，高風(fēng)險指令場景配置，敏感數(shù)據(jù)外發(fā)場景配置，異常訪問場景配置，暴力破解場景配置。識別敏感數(shù)據(jù)安全狀態(tài)及趨勢變化；掌握數(shù)據(jù)違規(guī)操作和泄漏風(fēng)險分布，包括從業(yè)務(wù)系統(tǒng)、數(shù)據(jù)類別、各安全域等多維度統(tǒng)計分析；提供動態(tài)的數(shù)據(jù)安全可視化展現(xiàn)，并定期輸出安全態(tài)勢分析報告。以數(shù)據(jù)為中心建立數(shù)據(jù)流轉(zhuǎn)視圖，以時間維度對數(shù)據(jù)進(jìn)行梳理，以數(shù)據(jù)文件為單元，建立數(shù)據(jù)流轉(zhuǎn)視圖。數(shù)據(jù)泄露行為建模：建立數(shù)據(jù)泄露場景模型，對數(shù)據(jù)泄露行為進(jìn)行建模分析數(shù)據(jù)溯源：以時間維度展現(xiàn)，通過數(shù)據(jù)流轉(zhuǎn)視圖，展現(xiàn)數(shù)據(jù)泄露場景。展示日志展示人物畫像展示異常行為告警動態(tài)流轉(zhuǎn)視圖數(shù)據(jù)風(fēng)險展示建模模型管理數(shù)據(jù)多維度查詢溯源結(jié)果展示數(shù)據(jù)分析人物行為畫像數(shù)據(jù)流轉(zhuǎn)地圖數(shù)據(jù)泄露行為建模數(shù)據(jù)溯源數(shù)據(jù)采集日志采集日志范式化日志采集 日志采集 網(wǎng)絡(luò)DLP 機(jī) 數(shù)據(jù)庫審計 業(yè)務(wù)合規(guī)性審計數(shù)據(jù)采集源日志采集對敏感數(shù)據(jù)操作相關(guān)行為進(jìn)行集中收集和存儲。數(shù)據(jù)安全管控平臺通過接口采集各種不同數(shù)據(jù)安全類設(shè)備產(chǎn)生的日志，采集的方式包括：SyslogODBCFTP定制接口等支持Kafka、等方式接收日志能通過自定義正則規(guī)則規(guī)整日志，支持對現(xiàn)有數(shù)據(jù)庫安全設(shè)備的接入能力，如數(shù)據(jù)庫審計，同時支持本次項目中其它數(shù)據(jù)庫安全設(shè)備接入，對新接口要具備快速開發(fā)響應(yīng)能力。日志范式化對于所有采集上來的日志，系統(tǒng)自動進(jìn)行范式化處理，將各種類型的日志格式轉(zhuǎn)換成統(tǒng)一的格式。系統(tǒng)提供的范式化字段包括日志接收時間、日志產(chǎn)生時間、用戶名稱、源地址、敏感數(shù)據(jù)表或文件、操作、目的地址、目的端口、日志的事件名稱、設(shè)備地址、設(shè)備名稱、設(shè)備類型等。（根據(jù)網(wǎng)絡(luò)DLP、終端DLP、數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、堡壘機(jī)、動態(tài)脫敏、加密的日志考慮）人物畫像通過建立人員行為基線，針對人員基于數(shù)據(jù)訪問建立行為“畫像”。數(shù)據(jù)流轉(zhuǎn)分析以數(shù)據(jù)為中心基于時間軸展現(xiàn)數(shù)據(jù)的相關(guān)行為，包括用戶運(yùn)維操作行為、業(yè)務(wù)訪問行為、終端操作行為?；跁r間節(jié)點(diǎn)，對數(shù)據(jù)的流轉(zhuǎn)行為進(jìn)行刻畫。數(shù)據(jù)流轉(zhuǎn)視圖數(shù)據(jù)訪問異常數(shù)據(jù)訪問異常是根據(jù)人員畫像為支撐，對敏感數(shù)據(jù)的訪問行為進(jìn)行異常訪問分析，對異常行為進(jìn)行告警和展示。行為比對從帳號行為操作的維度，以分、時、天、周、月、年等時間周期分析統(tǒng)計操作類型和次數(shù)。從地理位置維度，對源IP、資產(chǎn)、類型、次數(shù)進(jìn)行分析統(tǒng)計。異常告警異常時間、異常地點(diǎn)、異常操作順序、異常頻次等。數(shù)據(jù)泄露建模敏感數(shù)據(jù)泄露事件分析場景的創(chuàng)建及展示是對數(shù)據(jù)泄露檢測的結(jié)果數(shù)據(jù)進(jìn)行多維度統(tǒng)計分析，數(shù)據(jù)來源異常訪問、暴力破解、越權(quán)訪問、高風(fēng)險指令、高頻訪問、敏感數(shù)據(jù)外發(fā)等分析方法從數(shù)據(jù)行為時間的維度，以分、時、天、周、月、年等時間周期分析統(tǒng)計數(shù)據(jù)泄露風(fēng)險場景。從地理位置維度，對源IP、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)類型、數(shù)據(jù)行為頻次進(jìn)行分析統(tǒng)計從資產(chǎn)維度，對數(shù)據(jù)類型，數(shù)據(jù)數(shù)量及數(shù)據(jù)行為次數(shù)進(jìn)行分析統(tǒng)計。數(shù)據(jù)輸出

表異常行為分析輸出編號名稱說明1日志時間日志生成時間2批量查詢下載批量查詢下載次數(shù)緯度3違規(guī)接入外部設(shè)備通過終端DLP獲取用戶違規(guī)接入外部設(shè)備4數(shù)據(jù)庫操作偏離基線數(shù)據(jù)庫操作偏離基線5應(yīng)用操作偏離基線應(yīng)用操作偏離基線6事件級別敏感數(shù)據(jù)訪問時間級別統(tǒng)計7高風(fēng)險指令多次高風(fēng)險指令命中次數(shù)統(tǒng)計8原始日志日志的原始日志記錄9時間時、日、月、年等緯度進(jìn)行統(tǒng)一展現(xiàn)源IP源IP目的ip/url目的IP/url涉敏數(shù)據(jù)操作中涉及的原始敏感數(shù)據(jù)表異常行為分析輸出編號名稱說明1日志時間日志生成時間2異地訪問批量查詢下載次數(shù)緯度3越權(quán)訪問越權(quán)訪問4高頻次訪問高敏感數(shù)據(jù)庫、數(shù)據(jù)的多次高風(fēng)險操作頻次5事件級別敏感數(shù)據(jù)訪問時間級別統(tǒng)計6操作用戶操作帳號7原始日志日志的原始日志記錄8源IP源IP9目的ip/url目的IP/url涉敏數(shù)據(jù)操作中涉及的原始敏感數(shù)據(jù)表數(shù)據(jù)泄露分析編號名稱說明1日志時間日志生成時間2敏感數(shù)據(jù)批量下載敏感數(shù)據(jù)批量下載3敏感數(shù)據(jù)過量外發(fā)高敏感數(shù)據(jù)批量外發(fā)頻次4敏感數(shù)據(jù)操作時間異常高敏感數(shù)據(jù)操作時間異常頻次等5敏感內(nèi)容未模糊化應(yīng)用系統(tǒng)、服務(wù)器傳輸數(shù)據(jù)文檔未合理進(jìn)行模糊化6事件級別敏感數(shù)據(jù)訪問時間級別統(tǒng)計7非工作時間訪問多次非工作時間訪問統(tǒng)計8原始日志日志的原始日志記錄9源IP源IP目的ip/url目的IP/url涉敏數(shù)據(jù)操作中涉及的原始敏感數(shù)據(jù)批量查詢/下載違規(guī)接入外部設(shè)備數(shù)據(jù)庫操作偏離基應(yīng)用操作偏離基線高風(fēng)險指異地訪問繞行訪問越權(quán)訪問高頻次訪敏感數(shù)據(jù)過量外敏感內(nèi)容未模糊水印管理水印管理包括文檔水印管理、頁面水印管理和數(shù)字水印管理，為數(shù)據(jù)泄露溯源提供支撐。文檔水印管理支持PDF、word、EXCEL文檔的水印標(biāo)識能力，水印包括訪問時間、使用人員等。頁面水印管理對頁面進(jìn)行水印標(biāo)識能力，水印包括訪問時間、訪問人員、人員所在單位等。數(shù)字水印管理數(shù)字水印管理是對數(shù)據(jù)進(jìn)行水印標(biāo)識，支持偽行偽列、不可見字符、數(shù)據(jù)指紋。數(shù)據(jù)溯源數(shù)據(jù)溯源是對數(shù)據(jù)泄露的源頭進(jìn)行定位。數(shù)據(jù)溯源指的是基于數(shù)據(jù)水印和數(shù)據(jù)指紋技術(shù)，對共享出去的數(shù)據(jù)加水印或做指紋留存，一旦發(fā)生數(shù)據(jù)泄露，可以基于泄露的數(shù)據(jù)進(jìn)行數(shù)據(jù)溯源，追溯數(shù)據(jù)泄露的源頭。4.1.4.數(shù)據(jù)安全態(tài)勢分析數(shù)據(jù)資產(chǎn)態(tài)勢分析提供安全風(fēng)險趨勢展示，可按照時間維度進(jìn)行展現(xiàn)，最少包含24小時、48小時、72小時、7天、1個月、1年維度。支持應(yīng)用、賬號維度的總量展示。提供高活躍賬號/應(yīng)用視圖，按照賬號/應(yīng)用使用頻率、重要度等對熱度分析展示Top10的高熱度賬號/應(yīng)用。提供低熱度賬號/應(yīng)用視圖，按照賬號/應(yīng)用使用頻率、重要度等對熱度分析展示Top10的低熱度賬號/應(yīng)用?？烧故靖邿?低熱資產(chǎn)賬號/應(yīng)用，并可按照時間維度進(jìn)行展現(xiàn)，最少包含24小時、48小時、72小時、7天、1個月、1年維度，展示內(nèi)容包含名稱、數(shù)量、時間戳等信息?？舍槍ν活愋蛿?shù)據(jù)進(jìn)行數(shù)據(jù)域管理，并根據(jù)數(shù)據(jù)特征進(jìn)行相應(yīng)的識別規(guī)則制定，識別規(guī)則包含元數(shù)據(jù)識別、關(guān)鍵字識別、指紋識別等。數(shù)據(jù)風(fēng)險態(tài)勢分析提供安全策略展示功能，可根據(jù)數(shù)據(jù)安全策略進(jìn)行相應(yīng)的安全策略設(shè)計，并按照級別、類別進(jìn)行細(xì)化策略功能展現(xiàn)，并可根據(jù)數(shù)據(jù)生命周期制定相應(yīng)的安全策略進(jìn)行統(tǒng)一展現(xiàn)?？舍槍ν活愋蛿?shù)據(jù)進(jìn)行數(shù)據(jù)域管理，并根據(jù)數(shù)據(jù)特征進(jìn)行相應(yīng)的識別規(guī)則制定，識別規(guī)則包含元數(shù)據(jù)識別、關(guān)鍵字識別、指紋識別等，并進(jìn)行分類展現(xiàn)。提供數(shù)據(jù)安全事件的集中展示，收集數(shù)據(jù)庫審計、數(shù)據(jù)庫訪問控制系統(tǒng)、網(wǎng)絡(luò)DLP等統(tǒng)的日志數(shù)據(jù)，提供事件級別的定義，支持重要數(shù)據(jù)安全事件的告警。提供數(shù)據(jù)安全全生命周期管理能力展示，包括每個階段的場景、場景下的數(shù)據(jù)、安全防護(hù)能力、數(shù)據(jù)安全事件、數(shù)據(jù)安全狀態(tài)。提供數(shù)據(jù)安全態(tài)勢集中展示，包括批量下載、批量下詢、越權(quán)訪問、異常訪問等相關(guān)數(shù)據(jù)安全態(tài)勢內(nèi)容。提供數(shù)據(jù)安全組件狀態(tài)展示，可對納入管控的數(shù)據(jù)安全設(shè)備進(jìn)行全局管理，包含狀態(tài)、安全域、設(shè)備類型、IP地址等，并可根據(jù)設(shè)備屬性進(jìn)行虛擬標(biāo)簽管理，通過大屏展示進(jìn)行展現(xiàn)。風(fēng)險概覽支持資產(chǎn)風(fēng)險趨勢分析，展示資產(chǎn)風(fēng)險指標(biāo)，風(fēng)險類型以及試試威脅詳情等內(nèi)容，使用縱坐標(biāo)及橫坐標(biāo)風(fēng)險整體展示，分析及展示響應(yīng)行為分布，整體展示數(shù)據(jù)庫資產(chǎn)整體風(fēng)險趨勢情況及處置情況。.風(fēng)險處置支持管理員對風(fēng)險事件進(jìn)行處理，應(yīng)可選擇處理全部或處理當(dāng)前選擇，標(biāo)記事件行為狀態(tài)為正?；虍惓?，異常行為和陌生人闖入事件類型應(yīng)可以加入模型中，批處理應(yīng)可加入白名單，應(yīng)可填寫處理意見描述。4.1.5.全生命周期管理依托場景化的解決思路，從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理/使用、數(shù)據(jù)交換/共享等階段對數(shù)據(jù)資產(chǎn)進(jìn)行全生命周期管理，對各個階段的數(shù)據(jù)、事件、防護(hù)能力進(jìn)行全方位監(jiān)測和管理，為全生命周期管理能力提供支撐。數(shù)據(jù)生命周期管理包括數(shù)據(jù)采集階段監(jiān)控審計、數(shù)據(jù)傳輸階段監(jiān)控審計、數(shù)據(jù)存儲階段監(jiān)控審計、數(shù)據(jù)使用階段、數(shù)據(jù)交換/共享階段監(jiān)控審計。全生命周期管理是對生命周期各個階段的數(shù)據(jù)使用情況進(jìn)行分析、展現(xiàn)管理。4.1.6.數(shù)據(jù)安全運(yùn)營數(shù)據(jù)安全合規(guī)管理數(shù)據(jù)安全合規(guī)管理支撐相關(guān)部門合規(guī)檢查要求和單位內(nèi)部合規(guī)檢查要求，具備對合規(guī)目錄管理，基礎(chǔ)性評估、生命周期評估和技術(shù)評估相關(guān)的合規(guī)文件新增、修改、刪除和下載等管理功能。安全運(yùn)維流程數(shù)據(jù)安全運(yùn)營的核心定崗定責(zé)，責(zé)任到人，可驗證、可追溯。貫穿安全監(jiān)測、安全分析、安全處置、安全運(yùn)維流程，全面覆蓋安全運(yùn)營工作。不同類型、不同等級安全事件的監(jiān)測、分析、響應(yīng)、處置流程。數(shù)據(jù)安全預(yù)警數(shù)據(jù)安全預(yù)警是對數(shù)據(jù)安全分析結(jié)果異常行為事件進(jìn)行相關(guān)預(yù)警，包括如下方面內(nèi)容：異常訪問暴力破解越權(quán)訪問高風(fēng)險指高頻訪問敏感數(shù)據(jù)外發(fā)數(shù)據(jù)安全態(tài)勢以數(shù)據(jù)為中心動態(tài)展示相關(guān)數(shù)據(jù)態(tài)勢信息。數(shù)據(jù)資產(chǎn)態(tài)勢展示數(shù)據(jù)的存儲和分布情況，內(nèi)容包含：數(shù)據(jù)表總量、按類型統(tǒng)計數(shù)據(jù)庫總數(shù)等。直觀展現(xiàn)出數(shù)據(jù)資產(chǎn)的風(fēng)險情況，包括展示數(shù)據(jù)庫量、事件總數(shù)、訪問數(shù)量、風(fēng)險數(shù)量、風(fēng)險資產(chǎn)Top10、用戶IP風(fēng)險Top10、風(fēng)險類型TopN、響應(yīng)行為分布、告警曲線趨勢、實時威脅分析等模塊，呈現(xiàn)整體系統(tǒng)的安全總體態(tài)勢。數(shù)據(jù)訪問態(tài)勢動態(tài)展示數(shù)據(jù)的業(yè)務(wù)訪問行為和敏感數(shù)據(jù)訪問行為，以時間段，以訪問命令、數(shù)據(jù)的載體動態(tài)展示數(shù)據(jù)訪問行為數(shù)據(jù)流轉(zhuǎn)趨勢以折線圖的方式展示近七天內(nèi)正常數(shù)據(jù)和敏感數(shù)據(jù)的流轉(zhuǎn)趨勢等。數(shù)據(jù)風(fēng)險事件態(tài)勢實時展示數(shù)據(jù)風(fēng)險分析中心最新發(fā)現(xiàn)的敏感數(shù)據(jù)泄露風(fēng)險告警事件，內(nèi)容包含：敏感內(nèi)容、敏感級別、訪問帳號、業(yè)務(wù)系統(tǒng)等。包括：越權(quán)訪問事件、高頻訪問事件、異常操作、異常訪問事件。態(tài)勢預(yù)測支持從整體上對安全事件進(jìn)行風(fēng)險預(yù)測，包括：1、數(shù)據(jù)庫量：連接的數(shù)據(jù)庫總量，直觀展現(xiàn)用戶的數(shù)據(jù)庫資產(chǎn)數(shù)量。2事件總數(shù)：連接的所有設(shè)備的事件數(shù)量總和，包括風(fēng)險事件與非風(fēng)險事件。訪問數(shù)量：連接的所有數(shù)據(jù)庫被訪問的數(shù)量總和。4、風(fēng)險數(shù)量：根據(jù)規(guī)則識別出所連接安全設(shè)備的風(fēng)險事件的數(shù)量總和風(fēng)險資產(chǎn)Top10：發(fā)生風(fēng)險事件數(shù)量最多的十個數(shù)據(jù)庫資產(chǎn)。用戶IP風(fēng)險Top10：發(fā)生風(fēng)險事件數(shù)量最多的十個用戶IP。安全響應(yīng)行為分布。事件流程管理應(yīng)急響應(yīng)分析根據(jù)數(shù)據(jù)安全事件的動態(tài)數(shù)據(jù)，匯總數(shù)據(jù)安全事件相關(guān)信息，分析可能的影響程度、影響范圍，對數(shù)據(jù)安全事件進(jìn)行綜合分析，形成能夠支撐應(yīng)急指揮的基礎(chǔ)數(shù)據(jù)。資源調(diào)度可對特定的負(fù)責(zé)人派發(fā)工單，針對網(wǎng)絡(luò)、系統(tǒng)、安全系統(tǒng)等進(jìn)行資源調(diào)度，協(xié)調(diào)必要的處置措施。4.1.7.數(shù)據(jù)安全視圖數(shù)據(jù)資產(chǎn)視圖通過對數(shù)據(jù)資產(chǎn)視圖，實現(xiàn)資產(chǎn)敏感數(shù)據(jù)總量、資源數(shù)量、數(shù)據(jù)庫、服務(wù)器、大數(shù)據(jù)組件、資產(chǎn)掃描等信息的匯總。并且通過數(shù)據(jù)分類分級管理視圖和敏感數(shù)據(jù)分布視圖實現(xiàn)數(shù)據(jù)資產(chǎn)的整體監(jiān)控。建立級聯(lián)的數(shù)據(jù)資產(chǎn)底賬，并以可視化的方式展示數(shù)據(jù)的存儲位置。提供多維度的數(shù)據(jù)資產(chǎn)統(tǒng)計分析和圖形、圖像化呈現(xiàn)，實現(xiàn)對數(shù)據(jù)資產(chǎn)按照類別級別、安全域、系統(tǒng)等維度方式的可視化。對形成的靜態(tài)數(shù)據(jù)資產(chǎn)信息，可提供多維度的數(shù)據(jù)資產(chǎn)統(tǒng)計分析和圖形化圖像化展示，展示數(shù)據(jù)的存儲位置。實現(xiàn)對數(shù)據(jù)資產(chǎn)按照類別級別、安全域、系統(tǒng)等維度方式的可視化展現(xiàn)，以餅圖、熱圖、趨勢、柱圖等多種展示形式。策略中心管理視圖通過策略中心管理視圖，結(jié)合策略分類視圖、策略與各能力組件關(guān)系視圖，實現(xiàn)策略總條數(shù)、數(shù)據(jù)分級策略數(shù)、數(shù)據(jù)類型策略數(shù)、敏感數(shù)據(jù)發(fā)現(xiàn)策略數(shù)、敏感數(shù)據(jù)管控策略數(shù)、敏感數(shù)據(jù)監(jiān)控策略數(shù)等策略的統(tǒng)一管理。能力中心組件視圖通過能力中心組件視圖，不僅可以直觀了解平臺依賴的各能力組件情況，包括能力組件總數(shù)、已建設(shè)能力組件、待建設(shè)能錄組件、異常能力組件、正常能力組件，而且可以看見數(shù)據(jù)生命周期各階段數(shù)據(jù)在各能錄組件的監(jiān)控狀態(tài)和整體情況，以及各能力組件的能力和作用。數(shù)據(jù)安全態(tài)勢視圖通過數(shù)據(jù)風(fēng)險監(jiān)測視圖，實現(xiàn)數(shù)據(jù)風(fēng)險可視化，包含數(shù)據(jù)資產(chǎn)當(dāng)前的風(fēng)險等級、風(fēng)險事件總量、已處理事件、未處理事件等。并且直觀統(tǒng)計出數(shù)據(jù)資產(chǎn)的異常訪問、暴力破解、越權(quán)訪問、高頻訪問、敏感數(shù)據(jù)外發(fā)等風(fēng)險行為。全生命周期視圖通過生命周期視圖，實現(xiàn)采集、傳輸、存儲、使用、共享、銷毀數(shù)據(jù)應(yīng)用場景，通過場景化方式解決全生命周期管理問題。數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分級分類、數(shù)據(jù)安全管控、統(tǒng)一指揮調(diào)度、數(shù)據(jù)審計溯源、態(tài)勢預(yù)測展示等。包括每個階段的場景、場景下的數(shù)據(jù)、安全防護(hù)能力、數(shù)據(jù)安全事件、數(shù)據(jù)安全狀態(tài)。提供數(shù)據(jù)安全態(tài)勢集中展示，包括批量下載、批量下詢、越權(quán)訪問、異常訪問等相關(guān)數(shù)據(jù)安全態(tài)勢內(nèi)容。4.1.8.數(shù)據(jù)安全審計管理實現(xiàn)數(shù)據(jù)的全生命周期的審計，并可根據(jù)業(yè)務(wù)要求，自定義審計目標(biāo)及審計內(nèi)容。平臺應(yīng)內(nèi)置合規(guī)的審計模板。審計數(shù)據(jù)存儲期限應(yīng)可管理。通過數(shù)據(jù)庫審計、API監(jiān)測、網(wǎng)絡(luò)DLP、終端管理等安全組件，實現(xiàn)數(shù)據(jù)從產(chǎn)生、存儲使用、流轉(zhuǎn)、銷毀等全生命周期的審計。并且可自定義審計目標(biāo)的審計內(nèi)容，如網(wǎng)絡(luò)出口的數(shù)據(jù)泄漏審計、數(shù)據(jù)庫的數(shù)據(jù)操作行為審計、數(shù)據(jù)的使用流轉(zhuǎn)審計等。平臺內(nèi)內(nèi)置不同種類數(shù)據(jù)的審計模板，可下發(fā)給相應(yīng)的審計探針進(jìn)行審計。審計數(shù)據(jù)，可滿足存儲期限要求，并且可以靈活配置存儲期限要求。在磁盤空間或者期限滿足時，可進(jìn)行自動化清除歷史數(shù)據(jù)的能力。4.1.9.統(tǒng)計分析和報告輸出支持源分析報表，應(yīng)統(tǒng)計數(shù)據(jù)庫最活躍賬戶、使用工具最多的賬戶和IP排行、操作敏感數(shù)據(jù)最多的用戶和IP、風(fēng)險行為最多的賬戶和IP。支持服務(wù)器分析報表，應(yīng)統(tǒng)計賬戶最多的數(shù)據(jù)庫、操作最多的數(shù)據(jù)庫和表格、風(fēng)險行為最多的數(shù)據(jù)庫和表格。支持?jǐn)?shù)據(jù)庫賬號的新增、刪除、權(quán)限變化情況統(tǒng)計分析。支持?jǐn)?shù)據(jù)庫的資產(chǎn)流量、數(shù)據(jù)庫訪問量時間段分布、數(shù)據(jù)庫資產(chǎn)流量高峰統(tǒng)計分析支持?jǐn)?shù)據(jù)庫D、DC、D、DQ操作次數(shù)統(tǒng)計分析。多維度的統(tǒng)計管理多維度的統(tǒng)計分析：具備用戶自定義功能，滿足用戶自定義關(guān)鍵字段，從多角度多維度統(tǒng)計分析數(shù)據(jù)安全管理的具體情況。利用形狀、顏色等表示方法提供可視化實現(xiàn)，且需體現(xiàn)出數(shù)據(jù)全生命周期的產(chǎn)生、傳輸、存儲、使用等過程。報告內(nèi)容應(yīng)需全面反應(yīng)用戶數(shù)據(jù)資產(chǎn)數(shù)量及分布現(xiàn)狀，盡量采用先總后細(xì)、圖形表格結(jié)合的模式進(jìn)行展示。包括但不限于敏感數(shù)據(jù)資產(chǎn)累計總量、本周期新采集總量、敏感各類類別數(shù)量、各類級別數(shù)量、各生產(chǎn)中心數(shù)量及類別數(shù)量和級別數(shù)量、重要業(yè)務(wù)系統(tǒng)新發(fā)現(xiàn)資產(chǎn)數(shù)量、數(shù)據(jù)資產(chǎn)分布圖等。自定義報表輸出能根據(jù)用戶需求，豐富、靈活的展示安全風(fēng)險、安全態(tài)勢報表，設(shè)置報表模板，定期自動進(jìn)行報表的制定，至少每月提供《數(shù)據(jù)資產(chǎn)分析報告》和《數(shù)據(jù)風(fēng)險態(tài)勢報告》。4.2.數(shù)據(jù)流通安全管控平臺數(shù)據(jù)流通安全管控平臺以數(shù)據(jù)共享交換過程中數(shù)據(jù)的防竊取、防濫用、防誤用作為主線，面向數(shù)據(jù)流通安全、數(shù)據(jù)共享安全、數(shù)據(jù)交換安全、數(shù)據(jù)采集安全、數(shù)據(jù)交易安全的場景，通過大數(shù)據(jù)威脅建模、模型監(jiān)測、威脅分析等技術(shù)手段，提供模型監(jiān)測、數(shù)據(jù)分析、威脅感知、威脅預(yù)警、威脅處置、威脅事件溯源、業(yè)務(wù)合規(guī)審計等能力，解決數(shù)據(jù)的竊取、濫用、誤用等問題，最終實現(xiàn)數(shù)據(jù)安全可視化、風(fēng)險可控化、監(jiān)管持續(xù)化、溯源智能化、預(yù)警自動化。4.2.1.邏輯架構(gòu)4.2.2.業(yè)務(wù)邏輯流程數(shù)據(jù)流通業(yè)務(wù)場景流程示例4.2.3.鏈路設(shè)計說明（交易門戶）（交易門戶） 日志 日志數(shù)據(jù)錄同日志數(shù)據(jù)流通安控制系統(tǒng)日志日志隱私計算平臺掌控節(jié)點(diǎn)數(shù)據(jù)交流交易平臺用戶（數(shù)據(jù)使用方）共享交換平臺模型審定流通連業(yè)務(wù)系統(tǒng)區(qū)塊鏈中臺4.2.4.系統(tǒng)功能說明數(shù)據(jù)流通安全管控平臺依靠數(shù)據(jù)全生命周期監(jiān)管和數(shù)據(jù)安全傳輸過程監(jiān)管兩個子系統(tǒng)提供數(shù)據(jù)支撐，通過數(shù)據(jù)綜合監(jiān)管中心提供多維度的數(shù)據(jù)視角分析、展示等功能，滿足數(shù)據(jù)“可自查、可管控、可監(jiān)督、可處置”的目標(biāo)。數(shù)據(jù)全生命周期系統(tǒng)是對數(shù)據(jù)進(jìn)行引接入和處理，構(gòu)建有關(guān)數(shù)據(jù)模型，提供不同類型的建模分析能力、決策輔助能力，進(jìn)而進(jìn)行全方位分析數(shù)據(jù)態(tài)勢威脅為決策提供依據(jù)、為監(jiān)管提供支撐。統(tǒng)一數(shù)據(jù)綜合監(jiān)管中心數(shù)據(jù)綜合監(jiān)管中心提供數(shù)據(jù)生產(chǎn)者、數(shù)據(jù)運(yùn)營者、數(shù)據(jù)監(jiān)管者、數(shù)據(jù)消費(fèi)者、數(shù)據(jù)簽發(fā)者、數(shù)據(jù)管理者、數(shù)據(jù)審核者及技術(shù)人員八大類參與方數(shù)據(jù)分析、展示，滿足不同參與方在管理管控、審視勘察、威脅處置、數(shù)據(jù)監(jiān)督、技術(shù)對接以及其他方面的多元需求，保證數(shù)據(jù)活動安全傳輸使用，為業(yè)務(wù)系統(tǒng)使用數(shù)據(jù)提供一站式全流程數(shù)據(jù)安全監(jiān)督管控的能力。一、數(shù)據(jù)生產(chǎn)者模塊（1）數(shù)據(jù)生產(chǎn)者視角綜合展示主要圍繞數(shù)據(jù)生產(chǎn)者提供的共享數(shù)據(jù)，對數(shù)據(jù)活動的過程進(jìn)行分析、處理、審計、展示等監(jiān)管。（2）數(shù)據(jù)生產(chǎn)者視角專題分析建設(shè)生產(chǎn)者視角專題，融合匯聚生產(chǎn)者相關(guān)數(shù)據(jù)，使用生產(chǎn)者用戶模型對共享數(shù)據(jù)行為進(jìn)行跟蹤分析。二、數(shù)據(jù)運(yùn)營者模塊（1）數(shù)據(jù)運(yùn)營者視角綜合展示主要圍繞數(shù)據(jù)運(yùn)營者處理對數(shù)據(jù)風(fēng)險、違規(guī)、預(yù)警、溯源等應(yīng)急處置的展示模塊。（2）數(shù)據(jù)運(yùn)營者視角專題分析建設(shè)運(yùn)營者視角專題，融合匯聚運(yùn)營視角相關(guān)數(shù)據(jù)，使用運(yùn)營者用戶模型對數(shù)據(jù)風(fēng)險、違規(guī)、預(yù)警等信息進(jìn)行分析。三、數(shù)據(jù)監(jiān)管者模塊（1）數(shù)據(jù)監(jiān)管者視角綜合展示主要提供對數(shù)據(jù)使用處理等的所有活動，為監(jiān)管者提供數(shù)據(jù)全息展示模塊。（2）數(shù)據(jù)監(jiān)管者視角專題分析建設(shè)監(jiān)管者視角專題，融合匯聚監(jiān)管者視角相關(guān)數(shù)據(jù)，使用監(jiān)管者模型對數(shù)據(jù)全生命周期內(nèi)各主要環(huán)節(jié)安全情況進(jìn)行分析。四、數(shù)據(jù)消費(fèi)者模塊（1）數(shù)據(jù)消費(fèi)者視角綜合展示主要為消費(fèi)者提供對數(shù)據(jù)查閱、請求、傳輸、消費(fèi)、交易等行為的審計展示模塊。（2）數(shù)據(jù)消費(fèi)者視角專題分析建設(shè)消費(fèi)者視角專題，融合匯聚數(shù)據(jù)消費(fèi)者相關(guān)數(shù)據(jù)，對數(shù)據(jù)消費(fèi)各環(huán)節(jié)進(jìn)行跟蹤分析。五、數(shù)據(jù)簽發(fā)者模塊（1）數(shù)據(jù)簽發(fā)者視角綜合展示主要圍繞數(shù)據(jù)的簽注、簽發(fā)、上線發(fā)布、數(shù)據(jù)說明等的展示模塊。（2）數(shù)據(jù)簽發(fā)者視角專題分析建設(shè)簽發(fā)者視角專題，融合匯聚數(shù)據(jù)簽發(fā)者相關(guān)數(shù)據(jù)，使用簽發(fā)者模型對數(shù)據(jù)簽發(fā)過程數(shù)據(jù)進(jìn)行分析。六、數(shù)據(jù)管理者模塊主要為管理者提供對數(shù)據(jù)管控、平臺策略、用戶控制等進(jìn)行的可視化展示模塊。七、數(shù)據(jù)審核者模塊（1）數(shù)據(jù)審核者視角綜合展示主要圍繞數(shù)據(jù)申請、數(shù)據(jù)發(fā)行、數(shù)據(jù)模型、資源算力等系列管理管控展示模塊。（2）數(shù)據(jù)審核者視角專題分析建設(shè)審核者視角專題，融合匯聚審核者視角相關(guān)數(shù)據(jù)，對數(shù)據(jù)發(fā)行、模型運(yùn)算環(huán)節(jié)數(shù)據(jù)進(jìn)行分析。八、技術(shù)人員模塊主要提供對數(shù)據(jù)開發(fā)、利用、再生成、再創(chuàng)造等數(shù)據(jù)活動的接口及應(yīng)用管控模塊。.數(shù)據(jù)全生命周期監(jiān)管系統(tǒng)數(shù)據(jù)全生命周期監(jiān)管系統(tǒng)是數(shù)據(jù)流通安全管控平臺的重要組成部分，核心是對數(shù)據(jù)進(jìn)行引接入和處理，構(gòu)建有關(guān)數(shù)據(jù)模型，提供不同類型的建模分析能力、決策輔助能力，進(jìn)而進(jìn)行全方位分析數(shù)據(jù)態(tài)勢威脅為決策提供依據(jù)，為支撐滿足數(shù)據(jù)生產(chǎn)者對數(shù)據(jù)共享交換的知情權(quán)、滿足數(shù)據(jù)運(yùn)營者對數(shù)據(jù)流通的安全保障權(quán)、滿足數(shù)據(jù)消費(fèi)者和技術(shù)人員依法合規(guī)開展數(shù)據(jù)活動的利用權(quán)、滿足數(shù)據(jù)簽發(fā)者和數(shù)據(jù)審核者對數(shù)據(jù)申請使用的簽發(fā)審核權(quán)、滿足數(shù)據(jù)監(jiān)管者和數(shù)據(jù)管理者對數(shù)據(jù)全生命過程的數(shù)據(jù)明確責(zé)任歸屬權(quán)，解決數(shù)據(jù)使用過程、流通過程、開發(fā)利用過程的風(fēng)險責(zé)任權(quán)屬，從而保障數(shù)據(jù)合規(guī)合法、安全的進(jìn)行數(shù)據(jù)價值活動有效促進(jìn)經(jīng)濟(jì)社會發(fā)展。一、安全監(jiān)管數(shù)據(jù)引接安全監(jiān)管數(shù)據(jù)引接從大數(shù)據(jù)中心主節(jié)點(diǎn)的各應(yīng)用系統(tǒng)間獲取安全數(shù)據(jù)，包含多源異構(gòu)采集能力、支持分布式大數(shù)據(jù)架構(gòu)彈性擴(kuò)容，為治理、分析、呈現(xiàn)、決策、協(xié)同提供基礎(chǔ)支撐。（1）數(shù)據(jù)引擎管理主要功能設(shè)計是保障對各個分布節(jié)點(diǎn)引擎的管理和監(jiān)控兩個主要工作。通過引擎管理可以對數(shù)據(jù)引擎節(jié)點(diǎn)的加入、調(diào)度、策略下發(fā)等管理管控工作。通過引擎管理實時查看、監(jiān)控各個數(shù)據(jù)引擎節(jié)點(diǎn)的存活狀態(tài)、傳輸狀態(tài)及內(nèi)容的監(jiān)控工作。（2）數(shù)據(jù)匯聚管理主要功能設(shè)計是保障對各個分布節(jié)點(diǎn)引擎的數(shù)據(jù)傳入、數(shù)據(jù)接收標(biāo)記的管理工作。通過數(shù)據(jù)匯聚管理可以對數(shù)據(jù)引擎節(jié)點(diǎn)的傳入的數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容進(jìn)行預(yù)處理工作。通過數(shù)據(jù)匯聚管理可以對數(shù)據(jù)引擎節(jié)點(diǎn)傳入的數(shù)據(jù)，進(jìn)行傳入標(biāo)記，防止節(jié)點(diǎn)傳入的數(shù)據(jù)發(fā)生錯亂等系列問題。二、安全監(jiān)管數(shù)據(jù)治理安全監(jiān)管數(shù)據(jù)治理實現(xiàn)數(shù)據(jù)的整理、清洗和格式化功能，針對傳輸數(shù)據(jù)內(nèi)容對信息進(jìn)行識別、特征提取和信息過濾等功能，構(gòu)建有關(guān)數(shù)據(jù)模型，為上層的數(shù)據(jù)安全建模分析應(yīng)用提供支撐。（1）數(shù)據(jù)標(biāo)準(zhǔn)化主要功能設(shè)計是針對接入的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，并存入數(shù)據(jù)庫。處理動作包含：合并、識別、特征提取和過濾等工作。數(shù)據(jù)處理動作主要依附于數(shù)據(jù)的傳輸特征如：用戶名、手機(jī)號、身份證號、數(shù)據(jù)目錄字段等維度，進(jìn)行數(shù)據(jù)正則的識別、提取、過濾。（2）數(shù)據(jù)脫敏管理主要功能設(shè)計是針對接入的數(shù)據(jù)，在系統(tǒng)界面展示時進(jìn)行數(shù)據(jù)脫敏、增加水印的管理工作。系統(tǒng)界面脫敏設(shè)置，如：對系統(tǒng)界面的手機(jī)號、用戶名、身份證號等數(shù)據(jù)內(nèi)容，進(jìn)行脫敏展示處理。系統(tǒng)界面水印設(shè)置，如：對系統(tǒng)界面增加手機(jī)號、用戶名等數(shù)據(jù)水印，防止界面內(nèi)容流竄泄漏風(fēng)險。三、安全監(jiān)管數(shù)據(jù)建模分析通過利用威脅建模方法和模型（比如STRIDE方法、攻擊樹、威脅庫、違規(guī)場景等）來識別和發(fā)現(xiàn)威脅。采用批量數(shù)據(jù)處理系統(tǒng)，借助于深度學(xué)習(xí)、知識計算和可視化等大數(shù)據(jù)分析技術(shù)，通過對數(shù)據(jù)的批量處理挖掘其中的價值來支持決策和發(fā)現(xiàn)新的洞察。具備用戶與實體行為畫像能力，參考用戶及實體行為分析模型，以數(shù)據(jù)驅(qū)動用戶行為與實體行為關(guān)聯(lián)，再以數(shù)據(jù)分析導(dǎo)向、聚焦數(shù)據(jù)與用戶、全時空分析、機(jī)器學(xué)習(xí)驅(qū)動、及異常關(guān)聯(lián)檢測，實現(xiàn)用戶行為關(guān)聯(lián)畫像檢測能力：第一個是客觀采集數(shù)據(jù)、人員行為，從審計的角度進(jìn)行統(tǒng)計；第二是結(jié)合數(shù)據(jù)行為特征、用戶行為特征，進(jìn)行內(nèi)部用戶與實體行為畫像；第三是結(jié)合具體場景，通過算法集合、規(guī)則、特征等進(jìn)行多維度的數(shù)據(jù)異常行為監(jiān)控與風(fēng)險預(yù)警。四、安全監(jiān)管數(shù)據(jù)可視化管理安全監(jiān)管數(shù)據(jù)可視化管理，主要面向不同類型數(shù)據(jù)安全運(yùn)營人員、處置人員、運(yùn)維人員、應(yīng)急人員等，提供數(shù)據(jù)安全、威脅、違規(guī)呈現(xiàn)能力和應(yīng)急決策處置能力，以準(zhǔn)確、快速、全面、可理解的方式分析結(jié)論和關(guān)聯(lián)重點(diǎn)信息，結(jié)合安全監(jiān)管數(shù)據(jù)輔助決策組件，協(xié)助分析人員提高分析、處置效率，保證下發(fā)至數(shù)據(jù)安全傳輸過程監(jiān)管系統(tǒng)的策略一致、監(jiān)管一致、認(rèn)證一致，實現(xiàn)全天候、全方位的后臺數(shù)據(jù)可視化管理管控能力。（1）系統(tǒng)賬號管理主要功能設(shè)計是針對賬號權(quán)限管理，包括進(jìn)行角色劃分、賬號實名制、登入端綁定等維度進(jìn)行控制管理的手段，在保證賬號在系統(tǒng)中作為唯一標(biāo)識前提下，防止賬號身份冒用使用的賬號風(fēng)險。（2）系統(tǒng)統(tǒng)一認(rèn)證主要功能設(shè)計是系統(tǒng)統(tǒng)一認(rèn)證，支持外部認(rèn)證源、自建用戶體系兩種形態(tài)，保障整個項目賬戶的唯一標(biāo)識，從而進(jìn)行集中認(rèn)證、集中授權(quán)、集中管控工作。系統(tǒng)支持外部認(rèn)證源，對用戶進(jìn)行認(rèn)證授權(quán)使用b.系統(tǒng)支持自建用戶體系，對外輸出賬號相關(guān)信息（3）系統(tǒng)資源管理主要功能設(shè)計是系統(tǒng)資源的管理工作，系統(tǒng)資源包括系統(tǒng)自身的資源（如：CPU、內(nèi)存、硬盤、端口）、用戶使用情況、接入的數(shù)據(jù)引擎資源(如：服務(wù)名、服務(wù)類型、端口、編碼等)等。（4）系統(tǒng)行為審計主要功能設(shè)計是針對系統(tǒng)、用戶兩個維度的行為審計。系統(tǒng)行為審計，是根據(jù)系統(tǒng)運(yùn)行的使用資源情況，如：系統(tǒng)運(yùn)行行為(開關(guān)機(jī))、內(nèi)存行為、CPU行為、硬盤、網(wǎng)絡(luò)等行為審計記和回放、審計報表。系統(tǒng)用戶審計，是記錄系統(tǒng)用戶登入、系統(tǒng)用戶退出、系統(tǒng)用戶請求動作、系統(tǒng)用戶提交申請、系統(tǒng)用戶審批等過程的完整記錄，根據(jù)操作記錄定位可回放或完整重現(xiàn)系統(tǒng)用戶的操作過程。（5）系統(tǒng)審計報表主要功能設(shè)計是滿足審計需求的安全審計報表，可以自動或手工方式生成審計報告，便于管理員全面分析數(shù)據(jù)流通的合規(guī)性。系統(tǒng)內(nèi)置多種運(yùn)行維護(hù)報表模板。支持以HTML、CSV、PDF等格式生成并導(dǎo)出報表支持管理員自定義審計報表。d.支持以日報、周報、月