大數(shù)據(jù)時代的數(shù)據(jù)安全之二：數(shù)據(jù)安全-技術簡介課件

2023/8/15中安威士（北京）科技有限公司北京理工大學數(shù)據(jù)安全技術簡介大數(shù)據(jù)時代的數(shù)據(jù)安全12023/8/4中安威士（北京）科技有限公司數(shù)據(jù)安全技術簡介大綱數(shù)據(jù)安全技術和現(xiàn)狀數(shù)據(jù)安全整體方案數(shù)據(jù)安全態(tài)勢感知和溯源數(shù)據(jù)共享平臺數(shù)據(jù)安全大綱數(shù)據(jù)安全技術和現(xiàn)狀2數(shù)據(jù)安全技術和現(xiàn)狀數(shù)據(jù)安全技術和現(xiàn)狀3數(shù)據(jù)安全和數(shù)據(jù)安全技術2017年6月1日正式實施的《網(wǎng)絡安全法》第十條，要求建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務，應當采取技術措施和其他必要措施，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。我們可以把這個要求看成是當前數(shù)據(jù)安全的正式定義。廣義的數(shù)據(jù)安全技術是指一切能夠直接、間接的保障數(shù)據(jù)的完整性、保密性、可用性的技術。這包含的范圍非常廣，比如傳統(tǒng)的防火墻、入侵檢測、病毒查殺、數(shù)據(jù)加密等，都可以納入這個范疇。正因為如此，很多傳統(tǒng)的安全廠家都給自己貼上“數(shù)據(jù)安全廠家”的標簽。數(shù)據(jù)安全和數(shù)據(jù)安全技術2017年6月1日正式實施的《網(wǎng)絡安全4數(shù)據(jù)安全和數(shù)據(jù)安全技術

而狹義的數(shù)據(jù)安全技術是指直接圍繞數(shù)據(jù)的安全防護技術，主要指數(shù)據(jù)的訪問審計、訪問控制、加密、脫敏等方面。而這里的數(shù)據(jù)，則可以粗略的分為兩類。一類是非結構化的數(shù)據(jù)，例如圖片、文件、圖紙等；另一類是結構化的數(shù)據(jù)，主要存儲于數(shù)據(jù)庫中。當然非結構化的數(shù)據(jù)很大一部分也存儲于數(shù)據(jù)庫中，尤其是現(xiàn)在的各種NoSQL數(shù)據(jù)庫，就是專門針對非結構化數(shù)據(jù)設計的。而相應的數(shù)據(jù)安全技術，也可以粗略的劃分為針對非結構化數(shù)據(jù)的安全技術和針對結構化數(shù)據(jù)的安全技術。數(shù)據(jù)安全和數(shù)據(jù)安全技術

而狹義的數(shù)據(jù)安全技術是指直接圍繞數(shù)據(jù)5數(shù)據(jù)泄露態(tài)勢隨著大數(shù)據(jù)技術的發(fā)展以及數(shù)據(jù)價值的提升，數(shù)據(jù)泄露事件以及被泄露的數(shù)據(jù)總量，近年來都處于急劇上升的態(tài)勢。僅在中國，暗網(wǎng)中銷售的個人信息就高達60億條。而且數(shù)據(jù)泄露造成的后果也越來越嚴重。徐玉玉事件的重要源頭就是其個人信息遭受到泄露。發(fā)生于企業(yè)內部的比例占60-70%，而且呈現(xiàn)增長趨勢。內部數(shù)據(jù)泄露增長的原因，在于云計算和大數(shù)據(jù)技術的應用，一方面使得數(shù)據(jù)更加集中，數(shù)據(jù)價值得到提升；另一方面在于針對這些新技術的數(shù)據(jù)安全防護技術的相對滯后和意識的淡薄。數(shù)據(jù)泄露態(tài)勢隨著大數(shù)據(jù)技術的發(fā)展以及數(shù)據(jù)價值的提升，數(shù)據(jù)泄露67數(shù)據(jù)已成為黑客的追逐目標！2016年上半年全球發(fā)生的數(shù)據(jù)泄露事件高達974起，數(shù)據(jù)泄露記錄總數(shù)超過了5.54億條之多，相比較于2015年，增長了40%。雅虎2016年是數(shù)據(jù)泄露全球第一的，阿*是全球第二。數(shù)據(jù)安全問題愈發(fā)頻發(fā)，影響愈發(fā)嚴重7數(shù)據(jù)已成為黑客的追逐目標！2016年上半年全球發(fā)生的數(shù)據(jù)泄網(wǎng)安法中對數(shù)據(jù)安全的相關要求在網(wǎng)絡安全法中，有大量篇幅的內容是與數(shù)據(jù)安全相關的，涉及到技術和管理兩個方面的內容。概括起來說，網(wǎng)絡安全法中有關網(wǎng)絡數(shù)據(jù)安全的技術性要求有如下幾點：1)對數(shù)據(jù)訪問日志進行審計，且日志留存時間不低于6個月（第21條）；2)對數(shù)據(jù)進行分類，將敏感數(shù)據(jù)與普通數(shù)據(jù)區(qū)別化處理（第21條）；3)對重要數(shù)據(jù)進行備份，容災（第21、34條）；4)對重要數(shù)據(jù)進行加密（第21、31條）；5)對個人信息進行脫敏（第42條）。網(wǎng)絡安全法中涉及到的數(shù)據(jù)包括一般網(wǎng)絡數(shù)據(jù)（第21條），并且單獨對基礎信息基礎設施數(shù)據(jù)（第34條）、用戶信息和個人信息（第42條），進行重點保護。網(wǎng)安法中對數(shù)據(jù)安全的相關要求在網(wǎng)絡安全法中，有大量篇幅的內容8數(shù)據(jù)安全技術總體狀況對于非結構化是數(shù)據(jù)安全，主要采用數(shù)據(jù)泄露防護（Dataleakageprevention,DLP）技術。DLP技術發(fā)展相對成熟，國外比較具有代表性的有Symantec的DLP產(chǎn)品，國內也有不少類似產(chǎn)品。而對于結構化的數(shù)據(jù)安全技術，國外發(fā)展比國內早5-10年。個別產(chǎn)品，如數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻，以及數(shù)據(jù)庫脫敏，現(xiàn)在國外進入產(chǎn)品和市場的成熟期，代表性廠家有Imperva、IBMGuardium、Infomatica等。而國內的目前勉強有產(chǎn)品能夠進行替代，實際差距還比較大。而在針對云環(huán)境和大數(shù)據(jù)環(huán)境的安全方面，國內剛剛起步，與國外的差距較大。數(shù)據(jù)安全技術總體狀況對于非結構化是數(shù)據(jù)安全，主要采用數(shù)據(jù)泄露9數(shù)據(jù)泄露防護DLP核心數(shù)據(jù)大多以文件為載體，零散分布在員工電腦及移動介質中，且以明文存儲，不受管控。數(shù)據(jù)泄露防護（DLP）基于文檔加密，進而控制其解密權限，從根源上防止數(shù)據(jù)外泄。目前技術已基本成熟。數(shù)據(jù)泄露防護DLP核心數(shù)據(jù)大多以文件為載體，零散分布在員工電10數(shù)據(jù)備份與容災需要確保數(shù)據(jù)備份和容災系統(tǒng)通過建立數(shù)據(jù)的備份以及遠程的容災備份，來確保在發(fā)生災難性事件時，數(shù)據(jù)能夠被正常的恢復，從而提升數(shù)據(jù)的可用性。目前數(shù)據(jù)于容災的市場和技術都相對成熟，國內廠家較多，產(chǎn)品的可選擇余地較大，基本可以完全替代國外產(chǎn)品。數(shù)據(jù)備份與容災需要確保數(shù)據(jù)備份和容災系統(tǒng)通過建立數(shù)據(jù)的備份以11云數(shù)據(jù)安全在云端，數(shù)據(jù)所面臨的威脅被進一步的放大。除了遭受與傳統(tǒng)環(huán)境相同的安全威脅以外，由于云運營商的存在，數(shù)據(jù)還遭受“上帝之手”的威脅。云數(shù)據(jù)庫租戶的在數(shù)據(jù)庫中的數(shù)據(jù)，對云運營商來說，幾乎是完全開放的。技術之外的一個要求就是立場中立性。對于云端的數(shù)據(jù)安全防護，最好應該是來自第三方的。所謂“第三方”，就是指這種安全措施，不是由云運營商提供的，而是由其它獨立廠商提供的，以避免管理上和技術上的后門。國外在云端數(shù)據(jù)的安全廠家比較有代表性的如CiperCloud和SkyhighNetworks，國內在云端的數(shù)據(jù)安全方面剛剛起步，有一些審計類的產(chǎn)品開始部署，但是加密類的產(chǎn)品，還在研發(fā)階段。云數(shù)據(jù)安全在云端，數(shù)據(jù)所面臨的威脅被進一步的放大。12大數(shù)據(jù)平臺的數(shù)據(jù)安全在流行的大數(shù)據(jù)平臺Hadoop、Cloudera和Splunk中，數(shù)據(jù)存儲和處理的方式發(fā)生了很大的變化。既可以采用傳統(tǒng)關系型數(shù)據(jù)庫系統(tǒng)，又可以采用新型的NoSQL數(shù)據(jù)庫，如HBASE，Mongodb，Cassandra，Hive等。當采用新型NoSQL數(shù)據(jù)庫時，數(shù)據(jù)安全面臨新的問題。目前國外針對Hadoop和Cloudera環(huán)境中的數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻等產(chǎn)品。但是國內在此領域只有極少數(shù)公司在進行試探性的研發(fā)，目前尚未有相對成熟的產(chǎn)品上市。大數(shù)據(jù)平臺的數(shù)據(jù)安全在流行的大數(shù)據(jù)平臺Hadoop、Clou13數(shù)據(jù)安全整體方案--針對結構化數(shù)據(jù)數(shù)據(jù)安全整體方案--針對結構化數(shù)據(jù)14可視實時顯示企業(yè)敏感數(shù)據(jù)的訪問情況，風險情況數(shù)據(jù)安全管理真實需求？防泄漏防止數(shù)據(jù)庫系統(tǒng)中的敏感信息泄露防篡改防止數(shù)據(jù)庫系統(tǒng)中的敏感信息被非法修改或刪除滿足政策要求幫助企業(yè)滿足合規(guī)審計可控可視+合規(guī)+15可視數(shù)據(jù)安全管理真實需求？防泄漏防篡改滿足政策要求可控可1）管理依據(jù)：數(shù)據(jù)定級所有數(shù)據(jù)參考《網(wǎng)絡安全等級保護制度》和《個人信息安全規(guī)范》進行分級分類，并實行分級管理；2）誰來管：管理機制建立以IT部門牽頭的，與數(shù)據(jù)所有方共同組建的安全管理機構，共同負責數(shù)據(jù)安全；3）怎么管：全方位技術防護在等級保護基本要求基礎上，根據(jù)數(shù)據(jù)敏感級，采取加密、訪問控制、脫敏、監(jiān)視等技術手段全方位的保護數(shù)據(jù)。數(shù)據(jù)安全防護思路1）管理依據(jù)：數(shù)據(jù)定級數(shù)據(jù)安全防護思路16解決方案：把數(shù)據(jù)關進籠子，讓數(shù)據(jù)訪問在陽光下進行數(shù)據(jù)庫APP/Web服務器用戶開發(fā)測試運維人員外包人員云管理員SQL注入、跨站攻擊、惡意后門......全面審計細粒度訪問控制脫敏加密解決方案：把數(shù)據(jù)關進籠子，讓數(shù)據(jù)訪問在陽光下進行數(shù)據(jù)庫APP17業(yè)務服務器18辦公區(qū)運維區(qū)開發(fā)、測試區(qū)第三方人員敏感數(shù)據(jù)過度使用備份數(shù)據(jù)明文數(shù)據(jù)庫服務器Internet備份服務器使用真實數(shù)據(jù)導致數(shù)據(jù)泄露能夠查看真實數(shù)據(jù)，敏感數(shù)據(jù)外泄數(shù)據(jù)庫越權批量導出誤操作導致數(shù)據(jù)丟失越權拖庫、清表數(shù)據(jù)庫防火墻數(shù)據(jù)庫動態(tài)脫敏數(shù)據(jù)庫審計數(shù)據(jù)庫靜態(tài)脫敏數(shù)據(jù)庫加密應用與網(wǎng)站后門SQL注入攻擊數(shù)據(jù)庫平臺漏洞

數(shù)據(jù)明文存儲DBA好奇心業(yè)務服務器18辦公區(qū)運維區(qū)開發(fā)、測試區(qū)第三方人員敏感數(shù)據(jù)過網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;分類：數(shù)據(jù)屬性，個人信息、用戶信息、業(yè)務信息...分級：屬性+數(shù)據(jù)量由“主管部”或者“公司總部”牽頭制定行業(yè)《敏感數(shù)據(jù)定級標準》、根據(jù)數(shù)據(jù)的屬性和數(shù)據(jù)總量，以獨立的數(shù)據(jù)庫或者文件集合為單位進行敏感性單獨定級定級標準參考《網(wǎng)絡安全等級保護制度》、《個人信息安全規(guī)范》有關標準，更能量化參考等保分三級：一般敏感、敏感、非常敏感，對應等保二、三、四級/2219數(shù)據(jù)分級分類網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;/網(wǎng)安法21(3)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;數(shù)據(jù)安全事件當然也是一種網(wǎng)絡安全事件，應該被記錄直接訪問審計：雙向擴展審計：有選擇性的針對重要數(shù)據(jù)審計海量日志的管理/2220數(shù)據(jù)訪問記錄20網(wǎng)安法21(3)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技雙向審計雙向審計21擴展審計（三層）擴展審計（三層）22自動學習自動學習23性能指標處理性能連續(xù)最高SQL/S處理能力：10萬存儲性能最低存儲能力：35億/TB查詢和報表性能1億記錄，模糊查詢1分鐘以內vs30-60分鐘

性能指標處理性能24網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;加密層次：硬盤加密、文件加密、數(shù)據(jù)庫加密（字段）加密、網(wǎng)關加密、CASB加密可搜索加密：加密不能導致檢索性能的失效或者降低數(shù)據(jù)加密網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;數(shù)25加密的安全性和透明性存儲加密網(wǎng)關插件式加密網(wǎng)關式加密應用網(wǎng)關/CASB應用加密可落地性和安全性安全性透明性加密的安全性和透明性存儲加密網(wǎng)關插件式加密網(wǎng)關式加密應用網(wǎng)關26第四十二條網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。運維、系統(tǒng)廠家人員提供時：實時脫敏對外提供，或者向開發(fā)、測試人員提供時：脫敏數(shù)據(jù)脫敏數(shù)據(jù)庫中原始數(shù)據(jù)6227-1010-1351-3469授權用戶模糊化后數(shù)據(jù)6227-XXXX-XXXX-34696227-XXXX-XXXX-1774模糊化后數(shù)據(jù)3451-2238-8975-23214545-2313-4585-2287非授權用戶A非授權用戶B動態(tài)脫敏數(shù)據(jù)庫中原始數(shù)據(jù)6227-1010-1351-34696227-1012-2463-1774業(yè)務數(shù)據(jù)庫靜態(tài)脫敏數(shù)據(jù)庫原SQL改寫改寫靜態(tài)脫敏第四十二條網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;27模糊化后數(shù)據(jù)張O全陳O護李O密授權使用者源SQL：selectnamefromcustomer處理后：selectCONCAT(SUBSTRING(name,1,1),'O',SUBSTRING(name,3))asnamefromcustomer數(shù)據(jù)動態(tài)模糊化層非授權使用者在線/非在線數(shù)據(jù)庫（敏感信息）真實完整數(shù)據(jù)張安全陳保護李加密selectnamefromcustomer中途攔截SQL指令，根據(jù)用戶權限對SQL進行改寫動態(tài)脫敏實現(xiàn)難點：數(shù)據(jù)庫通信協(xié)議的理解SQL改寫和SQL的全面覆蓋規(guī)則的疊加規(guī)則粒度：IP,USER,SQL模糊化后數(shù)據(jù)張O全陳O護李O密授權使用者源SQL28靜態(tài)脫敏實現(xiàn)010001111011001010001001010101000111010000101001010101000100101010100011101000111011001000101000開發(fā)環(huán)境培訓環(huán)境單元測試壓力測試發(fā)現(xiàn)數(shù)據(jù)抽取數(shù)據(jù)脫敏數(shù)據(jù)裝載數(shù)據(jù)1%5%1%管理員開發(fā)員授權01000111101100101000100101010100011101000101000111101100010001110100010100011110110010100010010101010001110100010100011110110001000111010001100%010001111011001010001001010101000111010001010001111011000010101難點：關聯(lián)保持VS安全性高速異構輸出靜態(tài)脫敏實現(xiàn)011001001001100開發(fā)環(huán)境培訓環(huán)境單29/2230細粒度訪問控制誤操作蓄意報復操作授權內違規(guī)操作...SQL注入部分動態(tài)網(wǎng)頁篡改溢出攻擊暗門程序終端用戶管控...難點高可用高性能自動畫像能力...WAF/NGFW/IPS/UTM/2230細粒度訪問控制誤操作SQL注入難點WAF/NGFW數(shù)據(jù)安全態(tài)勢感知和溯源數(shù)據(jù)安全態(tài)勢感知和溯源31第五十二條負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網(wǎng)絡安全監(jiān)測預警信息。漏洞掃描敏感數(shù)據(jù)防護狀態(tài)安全設備狀態(tài)數(shù)據(jù)輸出行為建模終端獲取數(shù)據(jù)行為建模數(shù)據(jù)安全檢測預警：數(shù)據(jù)安全態(tài)勢感知第五十二條負責關鍵信息基礎設施安全保護工作的部門，應當建立32數(shù)據(jù)泄漏原因分析Web應用攻擊（Web

App

Attacks）身份盜用/后門/權限繞過內部特權濫用（Privilege

Misuse）純內部人員（81.6%）內外合謀（8.3%）合作方（2.9%）數(shù)據(jù)來源：2017DataBreachInvestigationsReport數(shù)據(jù)泄漏原因分析Web應用攻擊（WebAppAttack33數(shù)據(jù)時代的安全挑戰(zhàn)-缺乏數(shù)據(jù)的審計和感知為了創(chuàng)造價值，數(shù)據(jù)一定會流出到不可控的邊界數(shù)據(jù)風險取決于接受者掌握的數(shù)據(jù)集和目的數(shù)據(jù)時代的安全挑戰(zhàn)-缺乏數(shù)據(jù)的審計和感知為了創(chuàng)造價值，數(shù)據(jù)一34思路：用可視化推動安全技術和管理數(shù)據(jù)安全的全局視野數(shù)據(jù)安全整體態(tài)勢風險點可量化風險根據(jù)態(tài)勢指導數(shù)據(jù)安全建設和風險響應資源最大化利用任務的緊急優(yōu)先程度效果的可量化比較新風險的及時發(fā)現(xiàn)與處置系統(tǒng)不斷回饋與改進進化思路：用可視化推動安全技術和管理數(shù)據(jù)安全的全局視野35模型預覽模型預覽36系統(tǒng)組成示意庫端審計探針應用端審計數(shù)據(jù)安全態(tài)勢感知系統(tǒng)組成示意庫端審計探針應用端審計數(shù)據(jù)安全態(tài)勢感知37預覽：用戶行為監(jiān)控和審計緩慢少量攻擊內外共謀在噪音中隱身持續(xù)滲透嘗試好奇風險離職員工長期潛伏者預覽：用戶行為監(jiān)控和審計緩慢少量攻擊38預覽：數(shù)據(jù)流動概覽數(shù)據(jù)分布分類分級數(shù)據(jù)流動流動異常數(shù)據(jù)保護預覽：數(shù)據(jù)流動概覽數(shù)據(jù)分布39預覽：敏感數(shù)據(jù)地圖預覽：敏感數(shù)據(jù)地圖4041預覽：敏感數(shù)據(jù)訪問熱度地域圖41預覽：敏感數(shù)據(jù)訪問熱度地域圖42預覽：敏感數(shù)據(jù)異常訪問地域圖42預覽：敏感數(shù)據(jù)異常訪問地域圖1敏感字段識別直接從數(shù)據(jù)庫中讀取敏感字段從通信內容中還原敏感字段網(wǎng)頁內容清洗

敏感內容識別1敏感字段識別直接從數(shù)據(jù)庫中讀取敏感字段43441敏感字段識別441敏感字段識別2敏感字段關系識別2敏感字段關系識別45463數(shù)據(jù)庫訪問行為463數(shù)據(jù)庫訪問行為47為每一個應用程序建立一個畫像為每個應用程序建立畫像學習到細粒度語句規(guī)則3數(shù)據(jù)庫訪問行為模型47為每一個應用程序建立一個畫像為每個應用程序建立畫像學習到484終端用戶數(shù)據(jù)訪問模型484終端用戶數(shù)據(jù)訪問模型494終端用戶行為模型494終端用戶行為模型504終端用戶行為模型不同IP地址對敏感數(shù)據(jù)訪問的熱度圖504終端用戶行為模型不同IP地址對敏感數(shù)據(jù)訪問的熱度圖514終端用戶行為模型敏感字段訪問頻次圖514終端用戶行為模型敏感字段訪問頻次圖5252數(shù)據(jù)共享平臺數(shù)據(jù)安全數(shù)據(jù)共享平臺數(shù)據(jù)安全53業(yè)務流程中的數(shù)據(jù)安全威脅（1）數(shù)據(jù)采集。共享平臺需要接收數(shù)據(jù)是夠含有是否含有惡意代碼，類型錯誤，校驗錯誤等問題。數(shù)據(jù)提供方擔心數(shù)據(jù)脫離自己控制、無法溯源。（2）數(shù)據(jù)使用。數(shù)據(jù)收集之后進行整合處理落地到數(shù)據(jù)庫及上傳到共享平臺，數(shù)據(jù)都是以明文的形式呈現(xiàn)給運維及管理等內部人員。這個階段能接觸到數(shù)據(jù)的人群會增多，內部人員、運維人員等權限濫用，誤操作，缺乏審計等原因很容易竊取或非法修改明文數(shù)據(jù)。（3）數(shù)據(jù)外發(fā)。當?shù)厥屑墕挝换蛘咂渌k局需請求數(shù)據(jù)，但是目的僅用于查詢和驗證時，數(shù)據(jù)請求方并不真正需要原始的數(shù)據(jù)，只需要一種和原始數(shù)據(jù)完全相同的查詢能力?；蛘弑仨毠蚕碚鎸崝?shù)據(jù)時，需要對數(shù)據(jù)的去向進行跟蹤。54/44業(yè)務流程中的數(shù)據(jù)安全威脅（1）數(shù)據(jù)采集。共享平臺需要接收數(shù)據(jù)數(shù)據(jù)安全防護思路1）數(shù)據(jù)定級所有數(shù)據(jù)參考《網(wǎng)絡安全等級保護制度》和《個人信息安全規(guī)范》進行分級，并實行分級管理；2）管理機制建立以共享平臺管理單位牽頭的，由資源提供方、資源需求方共同組建的安全管理機構，共同負責數(shù)據(jù)安全；3）外發(fā)安全最小化同級之間、上級向下級的真實數(shù)據(jù)交換，采取技術措施實現(xiàn)相應數(shù)據(jù)功能的共享。向同級或者下級外發(fā)數(shù)據(jù)，外發(fā)數(shù)據(jù)的安全防護能力不得低于發(fā)送前的防護能力，且原所有方仍然參與或監(jiān)督數(shù)據(jù)的安全保護；4）全方位技術防護在等級保護基本要求基礎上，采取加密、訪問控制、脫敏、監(jiān)視等技術手段全方位的保護共享平臺中的數(shù)據(jù)。55/44數(shù)據(jù)安全防護思路1）數(shù)據(jù)定級55/44數(shù)據(jù)分級分類國家共享平臺是數(shù)據(jù)安全的總牽頭單位和總體監(jiān)督單位。應負責制定《敏感數(shù)據(jù)定級標準》、《個人信息安全規(guī)范》根據(jù)數(shù)據(jù)的屬性和數(shù)據(jù)總量，以獨立的數(shù)據(jù)庫或者文件集合為單位進行敏感性單獨定級定級標準參考《網(wǎng)絡安全等級保護制度》有關標準執(zhí)行。數(shù)據(jù)等級分為二、三、四共三級，分別對應等級保護中的二、三、四級/4456數(shù)據(jù)分級分類國家共享平臺是數(shù)據(jù)安全的總牽頭單位和總體監(jiān)督單位數(shù)據(jù)共享安全管理體制/4457共享平臺牽頭單位：國家平臺標準和要求制定策略執(zhí)行監(jiān)督檢查日志集中存儲管理數(shù)據(jù)安全態(tài)勢感知數(shù)據(jù)提供方數(shù)據(jù)外放而不是外發(fā)自身數(shù)據(jù)安全外放數(shù)據(jù)安全策略執(zhí)行和監(jiān)控數(shù)據(jù)接收方提供執(zhí)行安全策略的條件在受控情況下訪問接收的數(shù)