以數(shù)據(jù)安全為核心的安全立體防御方案設(shè)計(jì)

背景概述防御思路防御方案參考借鑒目錄CONTENTS1234Top

internalactorvarieties

inbreachesSystemadmin72End-user62Other62Doctor

or

nurse32Developer15Manager9Executive8Cashier6Finance6Humanresources50%20%

40%

60%80%

100%Topexternalactorvarieties

inbreachesOrganizedcrime681Unaffiliated215State-affiliated138Nation-state21Formeremployee15Other|

9Acquaintance|

7Activist|6Competitor|4Customer1

Verizon《數(shù)據(jù)泄漏調(diào)查報(bào)告》外部威脅占70%,內(nèi)部威脅占30%,外部威脅中62%來(lái)自有組織的犯罪團(tuán)伙Figure

6.Top

external

actorvarietieswithin

confirmed

data

breaches(n=1,097)Figure

7.Top

internal

actorvarietieswithin

confirmed

data

breaches

(n=277)Breaches0%20%

40%60%80%100%Breaches

各國(guó)加大數(shù)據(jù)安全監(jiān)管和處罰力度口《中華人民共和國(guó)網(wǎng)絡(luò)安全法》口《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》口《網(wǎng)絡(luò)數(shù)據(jù)安全管理辦法》口《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》口《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

口《信息安全技術(shù)個(gè)人信息安全規(guī)范》口《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》口《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》

口《信息安全技術(shù)大數(shù)據(jù)安全管理指南》口

GDPR《

通用數(shù)據(jù)保護(hù)條例》(歐盟)

√

2018年5月出臺(tái)√個(gè)人敏感數(shù)據(jù)：1.種族或民族出身，2.政治

觀點(diǎn)，3.宗教/哲學(xué)信仰，4.工會(huì)成員身份，

5.涉及健康、性生活或性取向的數(shù)據(jù)，6.基

因數(shù)據(jù)(新),7.經(jīng)處理可識(shí)別特定個(gè)人的

生物識(shí)別數(shù)據(jù)(新)√對(duì)違法企業(yè)的罰金最高可達(dá)2000萬(wàn)歐元(約合1.5億元人民幣)或者其全球營(yíng)業(yè)額

的4%,以高者為準(zhǔn)GDPRGeneralDataProtectionRegulation口……內(nèi)部人員外包人員合作伙伴更多數(shù)據(jù)來(lái)源

更多基礎(chǔ)應(yīng)用更多外部合作

更多跨域流動(dòng)數(shù)據(jù)流動(dòng)保護(hù)風(fēng)險(xiǎn)數(shù)據(jù)業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)數(shù)據(jù)權(quán)限風(fēng)險(xiǎn)

用戶權(quán)益風(fēng)險(xiǎn)數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)

業(yè)務(wù)質(zhì)量風(fēng)險(xiǎn)個(gè)人隱私

商業(yè)機(jī)密

國(guó)家機(jī)密現(xiàn)實(shí)中數(shù)據(jù)安全面臨的問(wèn)題統(tǒng)

網(wǎng)

絡(luò)系

統(tǒng)

網(wǎng)

挪密傳竊密存修

數(shù)據(jù)安全新挑戰(zhàn)傳統(tǒng)概念下的數(shù)據(jù)安全數(shù)據(jù)二新挑戰(zhàn)外部威脅監(jiān)管要求A

我國(guó)涉及數(shù)據(jù)安全的法律法規(guī)-1網(wǎng)絡(luò)安全法《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱：網(wǎng)絡(luò)安全法),由中華人民共和國(guó)第十二屆全國(guó)人民代表大會(huì)常

務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過(guò)并公布，自2017年6月1日起施行。在該報(bào)告明確地對(duì)個(gè)人隱私數(shù)據(jù)和國(guó)家重要數(shù)據(jù)提出了保護(hù)要求，其中包含一些具體化的措施要求，比如：(1)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；(2)

采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；該法案，對(duì)中國(guó)所有政府單位和企業(yè)的IT系統(tǒng)建設(shè)、數(shù)據(jù)采集和應(yīng)用產(chǎn)業(yè)造成深遠(yuǎn)影響；并隨之配套產(chǎn)生的

《數(shù)據(jù)出境管理辦法》、《個(gè)人隱私數(shù)據(jù)管理辦法》、

《大數(shù)據(jù)安全標(biāo)準(zhǔn)》等，將對(duì)數(shù)據(jù)安全行業(yè)的發(fā)展產(chǎn)生重

要影響。等級(jí)保護(hù)政策全稱為《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，由公安部牽頭推動(dòng)，國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自

主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信

息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確

定。所有的政府單位、央企、金融單位、互聯(lián)網(wǎng)企業(yè)等都將接受該管理辦法的約束；等級(jí)保護(hù)在過(guò)去的10年中，

是我國(guó)信息安全建設(shè)中最重要的需要遵循的法規(guī)。

GB/T35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》個(gè)人信息安全管理規(guī)范國(guó)家編制的GB/T35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》于2018年5月1日實(shí)施。該規(guī)范主要針對(duì)個(gè)人信息面臨的安全問(wèn)題，規(guī)范了個(gè)人信息控制者在收集、保存、使用、

共享、轉(zhuǎn)讓、公開(kāi)披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個(gè)人信息非法收集、濫用、泄漏等亂象，最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益。例如：規(guī)范第六章“個(gè)人信息的保存”中指出："收集個(gè)人信息后，個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識(shí)化處理，并采取技術(shù)和管理方面的措施，將去標(biāo)識(shí)化后的數(shù)據(jù)與可

用于恢復(fù)識(shí)別個(gè)人的信息分開(kāi)存儲(chǔ)，并確保在后續(xù)的個(gè)人信息處理中不重新識(shí)別個(gè)人。"該規(guī)范第七章“個(gè)人信息訪問(wèn)控制措施”也提出了對(duì)個(gè)人信息控制者的要求：a)對(duì)被授權(quán)訪問(wèn)個(gè)人信息的內(nèi)部數(shù)據(jù)操作人員，應(yīng)按照最小授權(quán)的原則，使其只能訪問(wèn)職責(zé)所需的最少夠用的個(gè)人信息，

且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限；b)

宜對(duì)個(gè)人信息的重要操作設(shè)置內(nèi)部審批流程，如批量修改、拷貝、下載等；C)應(yīng)對(duì)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員的角色進(jìn)行分離設(shè)置；d)

如確因工作需要，需授權(quán)特定人員超權(quán)限處理個(gè)人信息的，應(yīng)由個(gè)人信息保護(hù)責(zé)任人或個(gè)人信息保護(hù)工作機(jī)構(gòu)進(jìn)行審批，

并記錄在冊(cè)；上述兩條規(guī)定，明確提出了針對(duì)個(gè)人信息的“數(shù)據(jù)脫敏”要求、“數(shù)據(jù)管控”要求和數(shù)據(jù)獲取過(guò)程中的“內(nèi)部審批”要求。

電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案一

總

體

要

求■以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo)，全面貫徹黨的十九大和十九屆二中、三中全會(huì)精神■嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)■堅(jiān)持維護(hù)數(shù)據(jù)安全與促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用并重，堅(jiān)持?jǐn)?shù)據(jù)分類分級(jí)保護(hù)■堅(jiān)持充分發(fā)揮政府引導(dǎo)作用、企業(yè)主體作用和社會(huì)監(jiān)督作用■立足我部行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管職責(zé)，開(kāi)展為期一年的行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)二工作目標(biāo)

三重點(diǎn)任務(wù)(

一)集中開(kāi)展數(shù)據(jù)安全合規(guī)性評(píng)

(一)加快完善網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn)

(三)強(qiáng)化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理估、專項(xiàng)治理和監(jiān)督檢查，及時(shí)整

1.強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全管理制度設(shè)計(jì)。

..

職“

?！惫芾?。隱患，圓滿完成新中國(guó)成立70周年

(二)開(kāi)展合規(guī)性評(píng)估和專項(xiàng)治理

9.加強(qiáng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)急管理。等重大活動(dòng)網(wǎng)絡(luò)數(shù)據(jù)安全保障工作。3.開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。

(四)創(chuàng)新推動(dòng)網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)(

二

)基本建立行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安

4.深化App

違法違規(guī)專項(xiàng)治理。全保障體系。5.強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督執(zhí)法。

10.加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)手段建設(shè)。11.推動(dòng)網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)創(chuàng)新發(fā)展。(五)強(qiáng)化社會(huì)監(jiān)督和宣傳交流

12.加強(qiáng)專業(yè)支撐隊(duì)伍建設(shè)。13.

強(qiáng)化社會(huì)監(jiān)督和行業(yè)自律。14.加強(qiáng)宣傳展示和國(guó)際交流。四工作安排

(一)工作部署階段

(三)長(zhǎng)效建設(shè)階段(2019

年7月)

(2019年11月-2020年5月)(二)重點(diǎn)保障階段

(四)總結(jié)提升階段五工作要求

(一)加強(qiáng)組織領(lǐng)導(dǎo)

(二)明確任務(wù)分工

(三)強(qiáng)化監(jiān)督檢查

(四)加強(qiáng)宣傳通報(bào)能部門清單式絡(luò)數(shù)據(jù)安全絡(luò)數(shù)據(jù)資源網(wǎng)網(wǎng)業(yè)施企實(shí)確步明穩(wěn)76改消除重大數(shù)據(jù)泄漏、濫用等安全2.完善網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系。

8.強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)對(duì)外合作安全管理。(2019年8-10月)

(2020年6-7月)2019年2

0

2

0

年重點(diǎn)2:標(biāo)準(zhǔn)工作已經(jīng)啟動(dòng)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)7月份的標(biāo)準(zhǔn)制定會(huì)議將對(duì)

《電信網(wǎng)數(shù)據(jù)泄漏防護(hù)系統(tǒng)

(DLP)》、《

電信

運(yùn)營(yíng)商大數(shù)據(jù)安全管控分類分級(jí)技術(shù)要求》、《電信大數(shù)據(jù)平臺(tái)敏感數(shù)據(jù)識(shí)別指南》等多項(xiàng)標(biāo)準(zhǔn)和要求進(jìn)行審查完善。2013年7月16日，工信和信息化部24號(hào)令《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》2019年7月1日發(fā)布《電信和互聯(lián)網(wǎng)

行業(yè)提升網(wǎng)絡(luò)數(shù)

據(jù)安全保護(hù)能力

專項(xiàng)行動(dòng)方案》影

響

：

應(yīng)

對(duì)

：(1)增加迎檢、監(jiān)督、整改工作內(nèi)容；(1)加快建設(shè)數(shù)據(jù)安全類技術(shù)手段；(2)給現(xiàn)有數(shù)據(jù)安全管理提出要求；(2)在三同步等環(huán)節(jié)強(qiáng)化業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全；

“行動(dòng)方案”解讀重點(diǎn)1:數(shù)據(jù)安全政策要求的再一次升級(jí)強(qiáng)化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理1、數(shù)據(jù)資產(chǎn)“清單式”管理2、職能部門的設(shè)置3、數(shù)據(jù)對(duì)外合作安全管理

要求4、數(shù)據(jù)安全應(yīng)急管理行動(dòng)方案亮點(diǎn)加快完善網(wǎng)絡(luò)數(shù)據(jù)

安全制度標(biāo)準(zhǔn)提出了手段建設(shè)、技

術(shù)創(chuàng)新、專業(yè)化支撐

隊(duì)伍的要求將開(kāi)展合規(guī)性評(píng)估和

專項(xiàng)治理工作，包括

App違法違規(guī)專項(xiàng)強(qiáng)調(diào)了社會(huì)監(jiān)督和

宣傳交流1

背景概述2

防御思路3

防御方案4參考借鑒目錄CONTENTS

數(shù)據(jù)安全為核心的安全立體防御體系以數(shù)據(jù)安全為核心的安全立體防御體系形態(tài)是

一

套整合了各類安全手段的安全管理平臺(tái)?？勺鳛閿?shù)據(jù)安全各項(xiàng)工作開(kāi)展的基礎(chǔ)平臺(tái)。數(shù)據(jù)安全為核心的安全立體防御能力：■實(shí)現(xiàn)數(shù)據(jù)安全法規(guī)的對(duì)標(biāo)■數(shù)據(jù)安全策略統(tǒng)一管理■數(shù)據(jù)安全指標(biāo)化評(píng)估■數(shù)據(jù)安全資產(chǎn)管理■各項(xiàng)數(shù)據(jù)安全能力整合與驅(qū)動(dòng)■各通用能力中的數(shù)據(jù)安全整合■數(shù)據(jù)安全應(yīng)急響應(yīng)工作支撐業(yè)務(wù)系統(tǒng)周期■

規(guī)

劃

：·

數(shù)據(jù)安全需求·

相關(guān)數(shù)據(jù)分類級(jí)

別■

建

設(shè)·

評(píng)估、驗(yàn)收

■

運(yùn)

行·

訪問(wèn)控制與監(jiān)測(cè)安全技術(shù)領(lǐng)域■數(shù)據(jù)安全■應(yīng)用安全■系統(tǒng)安全■大數(shù)據(jù)■云安全■物聯(lián)網(wǎng)安全■移動(dòng)互聯(lián)網(wǎng)安全數(shù)據(jù)生命周期■

創(chuàng)

建采集處理傳輸存儲(chǔ)使

用■

銷

毀數(shù)據(jù)安全事件■事前：防御■事中：監(jiān)控■事后：回溯“

三

同

步

”終端(維護(hù)、生產(chǎn)、營(yíng)業(yè))數(shù)據(jù)系統(tǒng)安全網(wǎng)絡(luò)開(kāi)發(fā)測(cè)試環(huán)節(jié)維護(hù)環(huán)節(jié)管控手段網(wǎng)絡(luò)通道銷毀數(shù)據(jù)應(yīng)用系統(tǒng)安全網(wǎng)絡(luò)物理I1

跟蹤數(shù)據(jù)分析安全控制點(diǎn)使用處

理存

備采集創(chuàng)建應(yīng)用系統(tǒng)安全網(wǎng)絡(luò)物理應(yīng)用系統(tǒng)安全網(wǎng)絡(luò)物理內(nèi)部其它系統(tǒng)數(shù)據(jù)第三方合作業(yè)務(wù)

數(shù)據(jù)云

、

大

、

物

、

移云

、

大

、

物

、

移數(shù)據(jù)擁有者系統(tǒng)云

、

大、

物、

移中間環(huán)節(jié)相關(guān)系統(tǒng)數(shù)據(jù)來(lái)源案例主因

解決涉嫌侵犯數(shù)百億條公民個(gè)人信息，上市公司數(shù)據(jù)堂被公安一鍋端業(yè)務(wù)違規(guī)、合作中竊取法規(guī)、管理新三板掛牌公司涉竊取30億條個(gè)人信息，非法操控公眾賬號(hào)加粉或關(guān)注業(yè)務(wù)違規(guī)、合作中竊取法規(guī)、管理圓通10億快遞信息泄漏中間環(huán)節(jié)殘留泄漏業(yè)務(wù)合理與安全能力萬(wàn)豪酒店5億用戶開(kāi)房信息自身安全問(wèn)題、相關(guān)系統(tǒng)問(wèn)題管理與安全能力華住酒店5億條用戶數(shù)據(jù)疑泄漏Github源代碼、數(shù)據(jù)庫(kù)暴露管理、意識(shí)與安全能力疑似官方火車票購(gòu)買平臺(tái)3000萬(wàn)條數(shù)據(jù)在暗網(wǎng)兜售第三方泄漏使用環(huán)節(jié)的數(shù)據(jù)防范國(guó)泰航空數(shù)據(jù)泄漏，940萬(wàn)乘客受影響黑客攻擊安全防御能力小米有品平臺(tái)泄漏個(gè)人隱私約2000萬(wàn)用戶數(shù)據(jù)遭泄漏供應(yīng)商系統(tǒng)安全問(wèn)題責(zé)任制約、數(shù)據(jù)脫敏AcFun受黑客攻擊，近千萬(wàn)條用戶數(shù)據(jù)外泄自身安全問(wèn)題管理與安全能力前程無(wú)憂用戶信息在暗網(wǎng)上被公開(kāi)銷售因用戶問(wèn)題被撞庫(kù)管理與安全能力央視曝光偷密碼的“萬(wàn)能鑰匙”,9億人個(gè)人信息存風(fēng)險(xiǎn)業(yè)務(wù)違規(guī)法規(guī)Facebook與劍橋咨詢數(shù)據(jù)泄漏合作中竊取法規(guī)、管理

數(shù)據(jù)泄漏案例終端(維護(hù)、生產(chǎn)、營(yíng)業(yè))數(shù)據(jù)系統(tǒng)安全網(wǎng)絡(luò)開(kāi)發(fā)測(cè)試環(huán)節(jié)維護(hù)環(huán)節(jié)

易發(fā)生數(shù)據(jù)泄漏問(wèn)題的環(huán)節(jié)中間環(huán)節(jié)相關(guān)系統(tǒng)黑客入侵使用處理存儲(chǔ)采集創(chuàng)建數(shù)據(jù)應(yīng)用系統(tǒng)安全網(wǎng)絡(luò)物理數(shù)

據(jù)擁有者系統(tǒng)數(shù)據(jù)應(yīng)用系統(tǒng)安全網(wǎng)絡(luò)物理應(yīng)用系統(tǒng)安全網(wǎng)絡(luò)物理內(nèi)部其它系統(tǒng)數(shù)據(jù)第三方合作雷毀云、

大

、

物

、

移云

、

大

、

物

、

移管控手段網(wǎng)絡(luò)通道云、大、物、移數(shù)據(jù)來(lái)源■業(yè)務(wù)邏輯設(shè)計(jì)存在數(shù)據(jù)安全問(wèn)題；■歷史遺留問(wèn)題(缺陷遺留、敏感數(shù)據(jù)遺忘)■業(yè)務(wù)系統(tǒng)構(gòu)成存在供應(yīng)鏈安全隱患；■存儲(chǔ)、處理、傳輸方面存在不安全方式；■對(duì)新技術(shù)數(shù)據(jù)安全問(wèn)題理解不夠(云、大、物、移、智能)■合作中涉及的數(shù)據(jù)范圍、數(shù)量、后果不清楚；■合作關(guān)系的建立缺少數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和審批；■合作方的違規(guī)行為未被查覺(jué)；■通用安全技術(shù)手段本身不足；■通用安全技術(shù)手段在數(shù)據(jù)安全層面不足；■缺少數(shù)據(jù)安全領(lǐng)域的安全評(píng)估能力；■數(shù)據(jù)安全意識(shí)；■人員行為的訪問(wèn)控制審計(jì)不足；■人員終端的數(shù)據(jù)安全能力不足；■內(nèi)外部人員管控；■缺少數(shù)據(jù)安全管理的組織崗位■缺少數(shù)據(jù)資產(chǎn)管理(分類分級(jí)、控制要求)業(yè)務(wù)系統(tǒng)問(wèn)題業(yè)務(wù)合作問(wèn)題安全手段問(wèn)題管理問(wèn)題人員問(wèn)題主要原因法規(guī)遵從的不夠■對(duì)法規(guī)紅線、合規(guī)要求、國(guó)家標(biāo)準(zhǔn)理解和落實(shí)不足辦公環(huán)境安

全PheWireless

(Outsourced

Mar(

三同步Accesss云安全I(xiàn)aa>大數(shù)據(jù)安全文檔加密、水印、權(quán)限業(yè)務(wù)系統(tǒng)安全員工的安全意識(shí)問(wèn)題惡意內(nèi)部人員

的行為審計(jì)第三方IT服務(wù)

及鏈路可靠性新技術(shù)新業(yè)務(wù)(物聯(lián)網(wǎng)安全)安全管理問(wèn)題安全合規(guī)合作伙伴管理合同約定4A、審計(jì)、訪

問(wèn)控制Corporateps安全域與邊界防護(hù)代碼安全終端安全移動(dòng)安全辦公環(huán)境安全無(wú)線安全數(shù)據(jù)的分布、動(dòng)態(tài)增長(zhǎng)、流動(dòng)導(dǎo)致數(shù)據(jù)安全相關(guān)話題多物理設(shè)施安全供應(yīng)鏈安全無(wú)線安全PartnerDirectZonnection網(wǎng)站安全互聯(lián)網(wǎng)暴露面BYODe2019ViredFktops1背景概述防御思路防御方案參考借鑒目錄CONTENTS1234

數(shù)據(jù)安全的需求是在夾縫中發(fā)展法規(guī)遵從數(shù)據(jù)安全的運(yùn)營(yíng)和管理分類分級(jí)管控措施三同步合作關(guān)系評(píng)估審批數(shù)據(jù)識(shí)別發(fā)現(xiàn)泄漏防護(hù)脫敏/模糊化新技術(shù)安全手段加密敏感行為日志審計(jì)數(shù)據(jù)應(yīng)用網(wǎng)關(guān)傳統(tǒng)安全手段加強(qiáng)企業(yè)商業(yè)利

益正常使用最大化新業(yè)務(wù)快速交付安全風(fēng)險(xiǎn)規(guī)避和抑制數(shù)據(jù)安全的策略管控措施

技術(shù)要求

組織要求安全威脅內(nèi)部人員外部攻擊合作方組織的形成

數(shù)據(jù)安全的組織

全體數(shù)據(jù)安全意識(shí)方便性

安全性用戶滿意度分類分級(jí)

業(yè)務(wù)梳理數(shù)據(jù)安全的技術(shù)◆Step1:

業(yè)務(wù)需求與風(fēng)險(xiǎn)/威脅

/合規(guī)性之間的平衡◆Step2:數(shù)據(jù)分類分級(jí)◆Step3:

制定數(shù)據(jù)安全策略◆Step4:部署安全控制點(diǎn)√Crypto

(加密)√

DCAP

(以數(shù)據(jù)為中心的審計(jì)和保護(hù))√DLP

(數(shù)據(jù)防泄漏)√CASB

(云訪問(wèn)安全代理)√

IAM

(身份識(shí)別與訪問(wèn)管理)

√

UEBA

(用戶和實(shí)體行為分析)◆Step5:統(tǒng)一數(shù)據(jù)安全策略Prioritize

DatasetsData

PeopleAnalyticsCrypto

DCAP

DLP

CASB

IAM

UEBA1.Balance

BusinessNeeds

vs.Risks2.Identify,Prioritize&Manage

DatasetLife

Cycles3.Define

DataSecurity

Policies4.Implement

Security

Products5.Orchestrate

PoliciesGartnerDBMSBig

DataFiles

CloudEndpoint020Gnme,m

noamAgiseseve

Gartner:

數(shù)據(jù)安全治理框架DataSecurityGovernance—A

New

FrameworkDOSTART

HERE!DON'T

START

HERE!Governance

Compliance

IT

StrategyforALL

ProductsRiskToleranceBusiness

StrategyBusinessStakeholders Gartner:管理數(shù)據(jù)安全生命周期Managethe

DataSecurity

LifeCycleDiscover/Classify·Risk

AssessmentAcquire

or

CreateDevice

Destruction

End

of

Life

CDOAsset

Management

Archive

CISOEvolution·Behavior

AnalyticsMaster

Data打

0

2

0

1

0amt,m

adr

amabs.gitnvetData

ResidencyProtectionAccess

Controls·Segregation

of

DutiesMonitor

PrivilegesMonitor

DataAccessGartnerStorageAnalysis·

Crypto

Shredding·Encrypt/Delete數(shù)據(jù)生存周期安全過(guò)程域數(shù)據(jù)采集安全·PA01數(shù)據(jù)分類分級(jí)·PA02

數(shù)據(jù)采集安全管理·PA03數(shù)據(jù)源鑒別及記錄·PA04

數(shù)據(jù)質(zhì)量管理通用安全過(guò)程域·PA20數(shù)據(jù)安全策略規(guī)劃·PA26終端數(shù)據(jù)安全

國(guó)內(nèi)參考(國(guó)標(biāo)、行標(biāo))口《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

口《信息安全技術(shù)個(gè)人信息安全規(guī)范》口《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》

口《信息安全技術(shù)大數(shù)據(jù)安全管理指南》口《等級(jí)保護(hù)2.0》GB/T37988-2019

信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型(2020-03-01實(shí)施),適用于對(duì)組織數(shù)據(jù)安全

能力進(jìn)行評(píng)估，也可作為組織開(kāi)展數(shù)據(jù)安全能力建設(shè)時(shí)

的依據(jù)數(shù)據(jù)交換安全·PA?5

數(shù)據(jù)共享安全·PA16數(shù)據(jù)發(fā)布安全·PA17數(shù)據(jù)接口安全·PA24數(shù)據(jù)供應(yīng)鏈安全·PA30安全事件應(yīng)急·PA22

合規(guī)管理

·PA23數(shù)據(jù)資產(chǎn)管理·PA28鑒別與訪問(wèn)控制·PA29

需求分析數(shù)

據(jù)

交

換

安

全數(shù)

據(jù)

處

理

安

全數(shù)

據(jù)

存

儲(chǔ)

安

全數(shù)

據(jù)

傳

輸

安

全數(shù)

據(jù)

菜

集

安

全5級(jí)：持續(xù)優(yōu)化4級(jí)：量化控制3級(jí)：充分定義2級(jí)：計(jì)劃跟蹤1級(jí)：非正式執(zhí)行數(shù)據(jù)銷毀安全·PA18數(shù)據(jù)銷毀處置·PA19存儲(chǔ)媒體銷毀處置·PA10

數(shù)據(jù)脫敏·PA11數(shù)據(jù)分析安全·PA12數(shù)據(jù)正當(dāng)使用·PA13數(shù)據(jù)處理環(huán)境安全·PA14

數(shù)據(jù)導(dǎo)入導(dǎo)出安全數(shù)據(jù)傳輸安全·PA05

數(shù)據(jù)傳輸加密·PA06

網(wǎng)絡(luò)可用性管理·PA21

組織和人員管理·PA27

監(jiān)控與審計(jì)·PA07

存儲(chǔ)媒體安全·PA08

邏輯存儲(chǔ)安全·PA09

數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)處理安全口

。。。

。。?！A25

元數(shù)據(jù)管理能力成熟度等級(jí)維度安全能力維度數(shù)

藥

銷

毀

安

全業(yè)務(wù)戰(zhàn)略

合規(guī)

責(zé)權(quán)劃分

數(shù)據(jù)控制權(quán)轉(zhuǎn)移數(shù)據(jù)資產(chǎn)梳理數(shù)據(jù)分級(jí)分類確定數(shù)據(jù)安全策略數(shù)據(jù)生命周期安全管控?cái)?shù)據(jù)傳輸

數(shù)據(jù)存儲(chǔ)

數(shù)據(jù)使用/共享

數(shù)據(jù)銷毀支撐工具數(shù)據(jù)防泄漏

數(shù)據(jù)加密

數(shù)據(jù)脫敏

數(shù)據(jù)安全分析運(yùn)營(yíng)設(shè)計(jì)思路：Gartner

數(shù)據(jù)安全治理框架檢測(cè)響應(yīng)環(huán)境感知、行為分析阻斷、脫敏、隔離、令牌保護(hù)認(rèn)證、授權(quán)、特權(quán)賬戶加密、脫敏.…識(shí)別發(fā)現(xiàn)數(shù)據(jù)發(fā)現(xiàn)、分類分級(jí)數(shù)據(jù)安全策略管理身份與權(quán)限管理

數(shù)據(jù)保護(hù)與審計(jì)管

理銜接技

術(shù)數(shù)據(jù)采集re.

rg

erve統(tǒng)一的數(shù)據(jù)安全管理與風(fēng)險(xiǎn)分析平臺(tái)統(tǒng)一管理數(shù)據(jù)安全產(chǎn)品和安全策略；全面、準(zhǔn)確地掌握數(shù)據(jù)安全態(tài)勢(shì)，并以可視化的方式，向管理者和決策者提供直觀展示；基于機(jī)器學(xué)習(xí)等新技

術(shù)快速發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)；基于大數(shù)據(jù)和多維過(guò)濾實(shí)現(xiàn)事件溯源取證。

立體防御的構(gòu)成：統(tǒng)一的數(shù)據(jù)安全管控平臺(tái)+多種安全技術(shù)手段數(shù)據(jù)安全產(chǎn)品的集中安全策略管理敏感數(shù)據(jù)分布和流轉(zhuǎn)可

視月

奧月 日志集中存儲(chǔ)和搜索溯

源取證崗

風(fēng)險(xiǎn)分析感知數(shù)據(jù)安全敏感數(shù)據(jù)地圖

數(shù)據(jù)風(fēng)險(xiǎn)分析

搜索與溯源公共配置和功能基線分析引擎機(jī)器學(xué)習(xí)引擎Hive、ES

等組件Storm

實(shí)時(shí)處理框架統(tǒng)一DLP管理

應(yīng)用數(shù)據(jù)安全管理敏感數(shù)據(jù)知識(shí)庫(kù)檢測(cè)分析引擎

規(guī)則分析引擎數(shù)據(jù)處理存儲(chǔ)

Spark

集群計(jì)算框架

1-集中化管理統(tǒng)一管理數(shù)據(jù)安全管理與分析系統(tǒng)可視

分析

溯源應(yīng)用層數(shù)據(jù)處理

與分析應(yīng)用數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)用/API接口日志匯總

統(tǒng)

一

策略數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)存儲(chǔ)DLP存儲(chǔ)終端DLP文檔加密

終端網(wǎng)絡(luò)DLP郵件DLP網(wǎng)絡(luò)數(shù)據(jù)安全

技術(shù)工具開(kāi)放接口廣城網(wǎng)傳輸中

數(shù)據(jù)服務(wù)器區(qū)郵件系統(tǒng)數(shù)據(jù)庫(kù)或存儲(chǔ)服務(wù)器

實(shí)際部署示意圖數(shù)據(jù)安全管理與分析存儲(chǔ)DLP存儲(chǔ)發(fā)現(xiàn)存儲(chǔ)保護(hù)終端DLP使用中數(shù)據(jù)監(jiān)控、審計(jì)

阻斷、防護(hù)存儲(chǔ)中數(shù)據(jù)網(wǎng)絡(luò)DLP網(wǎng)

絡(luò)DLPWeb

系統(tǒng)辦公區(qū)A數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)大數(shù)據(jù)數(shù)據(jù)庫(kù)防火墻

數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)運(yùn)維風(fēng)險(xiǎn)

D

DBI使用風(fēng)險(xiǎn)存儲(chǔ)DLP

存儲(chǔ)DLPA數(shù)據(jù)駐留風(fēng)險(xiǎn)運(yùn)維B

人慶合作服務(wù)器D終端DLPDS-MAS集中化管理與有序分布的防護(hù)措施相結(jié)合日志匯總?cè)罩緟R總?cè)罩緟R總數(shù)據(jù)安全管理與分析系統(tǒng)回網(wǎng)絡(luò)DLP傳輸交換風(fēng)險(xiǎn)回

管控策略網(wǎng)絡(luò)DLP應(yīng)用訪問(wèn)風(fēng)險(xiǎn)應(yīng)用數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)用數(shù)據(jù)

安全網(wǎng)關(guān)用戶域應(yīng)用前端敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)·

數(shù)據(jù)安全風(fēng)險(xiǎn)分析·

數(shù)據(jù)安全策略管理郵件外發(fā)風(fēng)險(xiǎn)自件服窮D郵件DLP及時(shí)發(fā)現(xiàn)異常事件

數(shù)據(jù)流轉(zhuǎn)違規(guī)告警數(shù)據(jù)流轉(zhuǎn)風(fēng)險(xiǎn)阻斷應(yīng)用域應(yīng)用后端數(shù)據(jù)域數(shù)據(jù)庫(kù)

大數(shù)據(jù)日志匯總功能·價(jià)值

·

·后服務(wù)接口服務(wù)應(yīng)用數(shù)據(jù)

安全網(wǎng)關(guān)en終端泄漏風(fēng)險(xiǎn)管控

策略前服務(wù)管控策略日志匯總數(shù)據(jù)安全立體防御的技術(shù)實(shí)現(xiàn)方案

圖

例：發(fā)現(xiàn)

保護(hù)

檢測(cè)

響

應(yīng)數(shù)據(jù)安全管理與分析數(shù)據(jù)風(fēng)險(xiǎn)分析數(shù)據(jù)泄漏感知數(shù)據(jù)分類分級(jí)知識(shí)庫(kù)數(shù)據(jù)共享API網(wǎng)關(guān)數(shù)據(jù)動(dòng)態(tài)脫敏應(yīng)用數(shù)據(jù)審計(jì)數(shù)據(jù)靜態(tài)脫敏網(wǎng)絡(luò)數(shù)據(jù)防泄漏認(rèn)證授權(quán)管理數(shù)據(jù)庫(kù)審計(jì)大數(shù)據(jù)操作審計(jì)終端數(shù)據(jù)防泄漏可信接入網(wǎng)關(guān)API網(wǎng)關(guān)運(yùn)營(yíng)服務(wù)風(fēng)險(xiǎn)評(píng)估及分析

運(yùn)營(yíng)監(jiān)控

響應(yīng)處置數(shù)據(jù)動(dòng)態(tài)脫敏應(yīng)用數(shù)據(jù)審計(jì)數(shù)據(jù)庫(kù)訪問(wèn)控制運(yùn)維操作監(jiān)控虛擬桌面數(shù)據(jù)安全產(chǎn)品技術(shù)數(shù)

據(jù)

使

用數(shù)據(jù)存儲(chǔ)數(shù)據(jù)庫(kù)加密數(shù)據(jù)發(fā)現(xiàn)分類分級(jí)數(shù)據(jù)標(biāo)記數(shù)據(jù)安全日志

數(shù)據(jù)安全協(xié)同處置咨詢服務(wù)數(shù)據(jù)分類分級(jí)

策略制定數(shù)據(jù)采集身份認(rèn)證準(zhǔn)入控制分類分級(jí)數(shù)據(jù)傳輸隔離交換傳輸加密完整性校驗(yàn)數(shù)據(jù)銷毀介質(zhì)銷毀內(nèi)容銷毀數(shù)據(jù)梳理工具數(shù)據(jù)安全策略敏感數(shù)據(jù)地圖數(shù)據(jù)流轉(zhuǎn)可視協(xié)同處置追蹤溯源安全

服務(wù)職責(zé)梳理類別子類范圍對(duì)應(yīng)數(shù)據(jù)A

.

用戶身份和鑒權(quán)信息A1.用戶身份和標(biāo)識(shí)信息A1-1:自然人身份標(biāo)識(shí)客戶姓名、證件類型及號(hào)碼、駕照編號(hào)、銀行賬戶、客戶實(shí)體編號(hào)、集團(tuán)客戶編號(hào)、集團(tuán)客戶名稱、集團(tuán)客戶負(fù)責(zé)人\聯(lián)系人信息等可以精確標(biāo)識(shí)定位具體實(shí)體客戶的信息A1-2:網(wǎng)絡(luò)身份標(biāo)識(shí)聯(lián)系電話、郵箱地址(如139郵箱地址)、網(wǎng)絡(luò)客戶編號(hào)、即時(shí)通信賬號(hào)(如飛信號(hào))、網(wǎng)絡(luò)社交用戶賬號(hào)等可以精確標(biāo)識(shí)網(wǎng)絡(luò)用戶或通信用戶的信息類別子類范圍對(duì)應(yīng)數(shù)據(jù)B

.

用戶數(shù)據(jù)及

服務(wù)內(nèi)容信息B1:服務(wù)內(nèi)容和

資料數(shù)據(jù)B1-1:服務(wù)內(nèi)容數(shù)據(jù)電信網(wǎng)服務(wù)內(nèi)容數(shù)據(jù)：短信、彩信、話音等通信內(nèi)容；移動(dòng)互聯(lián)網(wǎng)服務(wù)內(nèi)容信息：包括：飛信、融合通信、139郵箱等移動(dòng)互聯(lián)網(wǎng)服務(wù)所涉及通話內(nèi)容、及時(shí)

涵信中空由出在中空粉坭立l件郵件中空田宀網(wǎng)注問(wèn)由空坐

·

田門二左起inc坐左類別子類范圍對(duì)應(yīng)數(shù)據(jù)C

.

用

戶

服

務(wù)

相關(guān)信息C1:用戶服務(wù)使用數(shù)據(jù)C1-1:業(yè)務(wù)訂購(gòu)關(guān)系基本業(yè)務(wù)訂購(gòu)關(guān)系：品牌、套餐定制等情況增值業(yè)務(wù)訂購(gòu)關(guān)系：139郵箱、飛信、和通訊錄、來(lái)顯、彩鈴、和包等增值業(yè)務(wù)的注冊(cè)、修改、注銷C1-2:服務(wù)記錄和日志服務(wù)詳單及信令：包括語(yǔ)音、短信、彩信和上網(wǎng)日志詳單、2G/3G/LTE用戶面XDR及信令面XDR等，內(nèi)含

主叫號(hào)碼、主叫歸屬地、被叫號(hào)碼、開(kāi)始通信時(shí)間、時(shí)長(zhǎng)、流量等信息移動(dòng)互聯(lián)網(wǎng)服務(wù)記錄：包括Cookie內(nèi)容、上網(wǎng)日志、連接APP等，內(nèi)含主叫號(hào)碼、網(wǎng)址、網(wǎng)購(gòu)記錄等C1-3:消費(fèi)信息和賬單消費(fèi)信息：停開(kāi)機(jī)、入網(wǎng)時(shí)間、在網(wǎng)時(shí)間、積分、預(yù)存款、信用等級(jí)、信用額度、繳費(fèi)情況、付費(fèi)方式、

和包余額、交易歷史記錄賬單：每月出賬的固定費(fèi)用、通信費(fèi)用、欠費(fèi)信息、數(shù)據(jù)費(fèi)用、代收費(fèi)用C1-4:位置數(shù)據(jù)精確位置信息(如小區(qū)代碼、基站號(hào)、基站經(jīng)緯度坐標(biāo)等)大致位置信息(如地區(qū)代碼等)C1-5:違規(guī)記錄數(shù)據(jù)用戶違規(guī)記錄，包括垃圾短信、騷擾電話等記錄、黑名單、灰名單等業(yè)務(wù)違規(guī)記錄，包括端口濫用、違規(guī)渠道、不良網(wǎng)站域名等記錄、黑名單、灰名單等C2:設(shè)備信息C2-1:終端設(shè)備標(biāo)識(shí)唯一設(shè)備識(shí)別碼IMEI、設(shè)備MAC地址、SIM卡IMSI信息等等可以精確標(biāo)識(shí)定位具體設(shè)備的信息C2-2:終端設(shè)備資料終端型號(hào)、品牌、廠商、OS類型、預(yù)置\安裝軟件應(yīng)用、使用時(shí)長(zhǎng)等

數(shù)據(jù)分類分級(jí)-客戶信息(ABC)子類范圍對(duì)應(yīng)數(shù)據(jù)D1:企業(yè)管理數(shù)據(jù)D1-1:企業(yè)內(nèi)部核心管理數(shù)據(jù)公司發(fā)展戰(zhàn)略及規(guī)劃數(shù)據(jù)、公司年度投資計(jì)劃數(shù)據(jù)、公司年度預(yù)算數(shù)據(jù)、公司經(jīng)營(yíng)財(cái)務(wù)

報(bào)表、中高層人員考核信息、財(cái)務(wù)審計(jì)信息、人力具體薪酬數(shù)據(jù)D1-2:企業(yè)內(nèi)部重要管理數(shù)據(jù)會(huì)計(jì)憑證及賬本數(shù)據(jù)、招投標(biāo)及采購(gòu)類數(shù)據(jù)、供應(yīng)商考核數(shù)據(jù)、人工成本及薪酬福利統(tǒng)

計(jì)數(shù)據(jù)、納稅申報(bào)數(shù)據(jù)、人事檔案數(shù)據(jù)、法律案卷數(shù)據(jù)、專項(xiàng)及經(jīng)濟(jì)責(zé)任審計(jì)數(shù)據(jù)D1-3:企業(yè)內(nèi)部一般管理數(shù)據(jù)內(nèi)部公開(kāi)后企業(yè)核心管理數(shù)據(jù)、內(nèi)部公開(kāi)后企業(yè)重要管理數(shù)據(jù)、內(nèi)部通信網(wǎng)絡(luò)及IT系統(tǒng)

結(jié)算決算類數(shù)據(jù)、其他內(nèi)部管理類數(shù)據(jù)、合作伙伴費(fèi)用計(jì)提及結(jié)算數(shù)據(jù)D1-4:市場(chǎng)核心經(jīng)營(yíng)類數(shù)據(jù)公司經(jīng)營(yíng)分析數(shù)據(jù)、營(yíng)銷方案及資費(fèi)信息D1-5:市場(chǎng)重要經(jīng)營(yíng)類數(shù)據(jù)市場(chǎng)經(jīng)營(yíng)考核數(shù)據(jù)、號(hào)碼等資源分配數(shù)據(jù)D1-6:市場(chǎng)一般經(jīng)營(yíng)類數(shù)據(jù)其他內(nèi)部公開(kāi)的市場(chǎng)經(jīng)營(yíng)類數(shù)據(jù)D1-7:企業(yè)公開(kāi)披露信息資本市場(chǎng)要求披露的數(shù)據(jù)D1-8:企業(yè)上報(bào)信息工信部、國(guó)資委要求上報(bào)的數(shù)據(jù)D2:業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)D2-1:重要業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)高端客戶名單、白名單、套餐資費(fèi)管理信息等D2-2:一般業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)渠道(傭金、業(yè)務(wù)受理等)數(shù)據(jù)，

CP/SP(結(jié)算、業(yè)務(wù)訂購(gòu)等)數(shù)據(jù)，客服數(shù)據(jù)，充值數(shù)據(jù)，各類精準(zhǔn)營(yíng)銷用戶號(hào)碼，各類預(yù)繳、促銷、捆綁和營(yíng)銷獎(jiǎng)勵(lì)用戶號(hào)碼，終端業(yè)務(wù)各

類指標(biāo)完成數(shù)據(jù)、終端經(jīng)營(yíng)日常生產(chǎn)數(shù)據(jù)D2-3:公開(kāi)業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)產(chǎn)品資費(fèi)信息、公開(kāi)的業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)D2-4:數(shù)字內(nèi)容業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)業(yè)務(wù)平臺(tái)文本、視頻、閱讀、音樂(lè)、知識(shí)庫(kù)等數(shù)字內(nèi)容運(yùn)營(yíng)數(shù)據(jù)等D3:網(wǎng)絡(luò)及IT系統(tǒng)運(yùn)維數(shù)

據(jù)D3-1:網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)密碼及關(guān)聯(lián)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)登錄訪問(wèn)賬號(hào)密碼及IP信息D3-2:核心網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)核心網(wǎng)絡(luò)設(shè)備和IT系統(tǒng)內(nèi)部IP及端口信息、核心網(wǎng)絡(luò)設(shè)備互連接口信息、核心網(wǎng)絡(luò)設(shè)備機(jī)

房及基站位置信息、重要網(wǎng)絡(luò)設(shè)備通信能力數(shù)據(jù)D3-3:重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)重要網(wǎng)絡(luò)設(shè)備和IT系統(tǒng)內(nèi)部IP及端口信息、重要網(wǎng)絡(luò)設(shè)備互連接口信息、重要網(wǎng)絡(luò)設(shè)備機(jī)

房信息、重要網(wǎng)絡(luò)設(shè)備通信能力數(shù)據(jù)D3-4:一般網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)一般網(wǎng)絡(luò)設(shè)備和IT系統(tǒng)IP及端口信息、

一般網(wǎng)絡(luò)設(shè)備互連接口信息D3-5:公開(kāi)網(wǎng)系統(tǒng)資源類數(shù)據(jù)公開(kāi)網(wǎng)絡(luò)設(shè)備和IT系統(tǒng)IP及端口信息、公開(kāi)網(wǎng)絡(luò)設(shè)備互連接口信息

數(shù)據(jù)分類分級(jí)-企業(yè)運(yùn)營(yíng)管理數(shù)據(jù)(D)參考：運(yùn)營(yíng)商客戶信息的分布大類系統(tǒng)名稱包含的客戶信息支撐系統(tǒng)BOSS集團(tuán)客戶資料、個(gè)人客戶資料、各類特殊名單、用戶密碼、詳單、賬單、客戶消費(fèi)信息、基本業(yè)務(wù)訂購(gòu)關(guān)系、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購(gòu)關(guān)系、增值業(yè)務(wù)信息、統(tǒng)計(jì)報(bào)表、渠道及合作伙伴資料、資源數(shù)據(jù)等經(jīng)分集團(tuán)客戶資料、個(gè)人客戶資料、各類特殊名單、用戶密碼、詳單、賬單、客戶消費(fèi)信息、基本業(yè)務(wù)訂購(gòu)關(guān)系、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購(gòu)關(guān)系、增值業(yè)務(wù)信息、統(tǒng)計(jì)報(bào)表、渠道及合作伙伴資料、資源數(shù)據(jù)等網(wǎng)管系統(tǒng)(性能管理系統(tǒng)等)位置信息、用戶上網(wǎng)記錄、短彩信發(fā)送記錄、通話記錄等。CRM集團(tuán)客戶資料、個(gè)人客戶資料等不良信息治理系統(tǒng)短彩信記錄及內(nèi)容、通話記錄、用戶上網(wǎng)記錄、黑名單、白名單等上網(wǎng)日志留存系統(tǒng)用戶上網(wǎng)記錄等統(tǒng)一DPI系統(tǒng)Mc口、2/3G/LTE信令面及用戶面、省網(wǎng)/IDC/省網(wǎng)網(wǎng)間/骨干網(wǎng)網(wǎng)間出口等XDR、位置信息等通信系統(tǒng)MSC客戶位置信息、原始話單等HSS/HLR客戶位置信息、用戶狀態(tài)等WAP網(wǎng)關(guān)用戶上網(wǎng)記錄、彩信記錄等端局原始話單文件、位置信息等關(guān)口局原始話單文件等業(yè)務(wù)平臺(tái)短信中心短信記錄等彩信中心(MMSC)彩信記錄等行業(yè)網(wǎng)關(guān)短信內(nèi)容、短信記錄等短信網(wǎng)關(guān)短信記錄等彩信互通網(wǎng)關(guān)彩信記錄等企信通短、彩信內(nèi)容等LBS客戶當(dāng)前位置信息等彩鈴平臺(tái)訂購(gòu)關(guān)系等和包客戶消費(fèi)記錄、和包余額等MISC(DSMP)訂購(gòu)關(guān)系、用戶狀態(tài)、用戶品牌等ADC位置類系統(tǒng)從LBS上獲取定位信息等ADC業(yè)務(wù)平臺(tái)訂購(gòu)關(guān)系、消費(fèi)記錄、集團(tuán)客戶資料等和飛信用戶好友列表、通話內(nèi)容、即時(shí)通信內(nèi)容、群內(nèi)發(fā)布內(nèi)容、通信記錄等139郵箱郵件內(nèi)容等和通訊錄客戶通信錄等大數(shù)據(jù)平臺(tái)各類客戶信息等公有云平臺(tái)客戶上傳的私有文字、多媒體等資料、所承載的業(yè)務(wù)系統(tǒng)中的敏感信息等范圍對(duì)應(yīng)數(shù)據(jù)模糊化參考規(guī)則A1-1:自然人身份標(biāo)識(shí)客戶姓名、證件類型及號(hào)碼、駕照編號(hào)、銀行賬戶、客戶實(shí)體編號(hào)、集團(tuán)各字段均需要進(jìn)行模糊化處理客戶編號(hào)、集團(tuán)客戶名稱、集團(tuán)客戶負(fù)責(zé)人\聯(lián)系人信息等可以精確標(biāo)識(shí)定名稱類信息需要驗(yàn)證時(shí)，兩個(gè)字或三個(gè)字的至少1個(gè)字用*代替，大干三個(gè)字的至少范圍對(duì)應(yīng)數(shù)據(jù)模糊化參考規(guī)則BB范圍對(duì)應(yīng)數(shù)據(jù)模糊化參考規(guī)則C1-1:業(yè)務(wù)訂購(gòu)關(guān)系基本業(yè)務(wù)訂購(gòu)關(guān)系：品牌、套餐定制等情況增值業(yè)務(wù)訂購(gòu)關(guān)系：139郵箱、飛信、和通訊錄、來(lái)顯、彩鈴、和包等增

值業(yè)務(wù)的注冊(cè)、修改、注銷根據(jù)具體業(yè)務(wù)需求通過(guò)標(biāo)簽化實(shí)現(xiàn)AC1-2:服務(wù)記錄和日志服務(wù)詳單及信令：包括語(yǔ)音、短信、彩信和GPRS詳單、2G/3G/LTE用戶面XDR及信令面XDR等，內(nèi)含主叫號(hào)碼、主叫歸屬地、被叫號(hào)碼、開(kāi)始通

信時(shí)間、時(shí)長(zhǎng)、流量等信息移動(dòng)互聯(lián)網(wǎng)服務(wù)記錄：包括Cookie內(nèi)容、上網(wǎng)日志、連接APP等，內(nèi)含主叫號(hào)碼、網(wǎng)址、網(wǎng)購(gòu)記錄等使用6個(gè)月以前的數(shù)據(jù)，并且被叫號(hào)碼、位置信息等應(yīng)模糊化處理主被叫號(hào)碼除公共、特服號(hào)外，其他號(hào)碼全部用8個(gè)*代替用戶歸屬地模糊化到市一級(jí)開(kāi)始通話時(shí)間模糊化到某一天A1-A1-C1-3:消費(fèi)信息和賬單消費(fèi)信息：停開(kāi)機(jī)、入網(wǎng)時(shí)間、在網(wǎng)時(shí)間、積分、預(yù)存款、信用等級(jí)、信

用額度、繳費(fèi)情況、付費(fèi)方式、和包余額、交易歷史記錄賬單：每月出賬的固定費(fèi)用、通信費(fèi)用、欠費(fèi)信息、數(shù)據(jù)費(fèi)用、代收費(fèi)用使用6個(gè)月以前的數(shù)據(jù)或根據(jù)具體業(yè)務(wù)需求通過(guò)標(biāo)簽化實(shí)現(xiàn)A1-C1-4:位置數(shù)據(jù)精確位置信息(如小區(qū)代碼、基站號(hào)、基站經(jīng)緯度坐標(biāo)等)大致位置信息(如地區(qū)代碼等)禁止導(dǎo)出A2-信息C1-5:違規(guī)記錄數(shù)據(jù)用戶違規(guī)記錄，包括垃圾短信、騷擾電話等記錄、黑名單、灰名單等業(yè)務(wù)違規(guī)記錄，包括端口濫用、違規(guī)渠道、不良網(wǎng)站域名等記錄、黑名單、

灰名單等各類特殊名單采用測(cè)試號(hào)碼替代C2-1:終端設(shè)備標(biāo)識(shí)唯一設(shè)備識(shí)別碼IMEI、設(shè)備MAC地址、SIM卡IMSI信息等等可以精確標(biāo)識(shí)定位具體設(shè)備的信息IMEI第八位以后用*代替，或全部用*代替MAC48比特中后24位用*代替，或全部用*代替IMSI第11位以后用*代替，或全部用*代替SIM卡第13位以后用*代替，或全部用*代替C2-2:終端設(shè)備資料終端型號(hào)、品牌、廠商、OS類型、預(yù)置\安裝軟件應(yīng)用、使用時(shí)長(zhǎng)等根據(jù)具體業(yè)務(wù)需求通過(guò)標(biāo)簽化實(shí)現(xiàn)

參考：運(yùn)營(yíng)商客戶信息的模糊化安全要求數(shù)據(jù)特性描述示例保持?jǐn)?shù)據(jù)類型脫敏后的數(shù)據(jù)與原始數(shù)據(jù)類型一致，

數(shù)據(jù)類型包括但不限于字符串、數(shù)字、日期、時(shí)間。日期數(shù)據(jù)脫敏后仍為有效合法的日期類型保持?jǐn)?shù)據(jù)格式脫敏后的數(shù)據(jù)需要符合原始數(shù)據(jù)的

編碼規(guī)則和類型。原手機(jī)號(hào)若脫敏后滿足手機(jī)號(hào)碼格式要求，若脫敏后為99988887777則不滿足手機(jī)號(hào)碼格式

要求保持?jǐn)?shù)據(jù)間依存關(guān)系常見(jiàn)數(shù)據(jù)間依存關(guān)系包括但不限于：數(shù)據(jù)引用完整性，不同的數(shù)據(jù)間通

過(guò)敏感數(shù)據(jù)的相互引用產(chǎn)生關(guān)聯(lián)關(guān)

系

；數(shù)據(jù)之間沒(méi)有引用關(guān)系，但存在業(yè)

務(wù)邏輯上的依存關(guān)系。■數(shù)據(jù)引用完整性示例：比如詳單表與月賬單表都存在客戶標(biāo)識(shí)，且這兩張表中的客戶標(biāo)識(shí)

存在引用關(guān)系，那么這兩張表的客戶標(biāo)識(shí)數(shù)據(jù)在脫敏后仍要存在引

用

關(guān)

系

；業(yè)務(wù)邏輯依存關(guān)系示例：客戶信息表中存儲(chǔ)居民身份證號(hào)、出生日期兩類業(yè)務(wù)數(shù)據(jù)，脫敏后

的身份證號(hào)碼與出生日期數(shù)據(jù)要保持業(yè)務(wù)一致。那么這兩類數(shù)據(jù)間

存在關(guān)聯(lián)關(guān)系。保持?jǐn)?shù)據(jù)統(tǒng)計(jì)特征脫敏后數(shù)據(jù)，在業(yè)務(wù)所需的維度上

保持統(tǒng)計(jì)總體特征不變。員工工資表中包含工資收入信息，數(shù)據(jù)脫敏后仍要保持工資總和不

變保持?jǐn)?shù)據(jù)頻率分布脫敏后的數(shù)據(jù)，在按業(yè)務(wù)所需劃分

的各組內(nèi)保持?jǐn)?shù)量不變。按年齡區(qū)間分組統(tǒng)計(jì)用戶數(shù)：20歲以下150人，20歲到30歲300人，30歲到40歲180人，40歲以上120人；數(shù)據(jù)脫敏后，仍舊保持各年齡段分組內(nèi)人數(shù)不變保持?jǐn)?shù)據(jù)唯一性不相同的數(shù)據(jù)脫敏后不會(huì)有同樣的

數(shù)據(jù)，相同的數(shù)據(jù)脫敏后一定相同。不同的身份證號(hào)碼脫敏后，不能生成相同的數(shù)據(jù)(身份證號(hào)碼),

相同的身份證脫敏后一定生成相同的數(shù)據(jù)(身份證號(hào))

參考：模糊化數(shù)據(jù)的可分析要求算法描述適用數(shù)據(jù)類型重排跨行隨機(jī)互換原始敏感數(shù)據(jù)，打破原始敏感數(shù)據(jù)與本行其他數(shù)據(jù)關(guān)聯(lián)關(guān)系。通用關(guān)系映射原始敏感數(shù)據(jù)間存在業(yè)務(wù)關(guān)聯(lián)關(guān)系，需要在數(shù)據(jù)脫敏后仍舊保持這種關(guān)系。因此

在脫敏處理過(guò)程中，利用算法表達(dá)式對(duì)脫敏后的數(shù)據(jù)進(jìn)行函數(shù)映射，使其脫敏后

仍舊保持業(yè)務(wù)關(guān)聯(lián)關(guān)系。通用偏移取整按照一定粒度進(jìn)行偏移取整。日期、時(shí)間、數(shù)字散列對(duì)原始數(shù)據(jù)通過(guò)散列算法計(jì)算，使用計(jì)算后的散列值來(lái)代替原始數(shù)據(jù)。目前應(yīng)用較多的散列算法是SHA-256等。通用加密通過(guò)加密密鑰和算法對(duì)原始數(shù)據(jù)進(jìn)行加密，從而使敏感數(shù)據(jù)變成不可讀的密文。常見(jiàn)加密算法：3DES,RC2、RC4、IDEA、DSA、AES、PKCS等。通用格式保留算法(FPE)一種特殊的加密脫敏算法，對(duì)敏感數(shù)據(jù)進(jìn)行加密脫敏，密文與原始數(shù)據(jù)保持格式

一致。通用常量替換使用常量偽裝數(shù)據(jù)對(duì)原始數(shù)據(jù)進(jìn)行替換(偽裝數(shù)據(jù)生成與原始數(shù)據(jù)值無(wú)關(guān))。通用隨機(jī)替換保持?jǐn)?shù)據(jù)格式，按照特定原始數(shù)據(jù)的編碼規(guī)則重新生成一份新的數(shù)據(jù)。通用截?cái)嘟財(cái)鄡?nèi)容。通用掩碼對(duì)原始數(shù)據(jù)的部分內(nèi)容用通用字符進(jìn)行統(tǒng)一替換，從而使敏感數(shù)據(jù)僅保持部分內(nèi)容公開(kāi)。字符串標(biāo)簽化按預(yù)定義類別進(jìn)行分類，將使用類別標(biāo)簽替換原始敏感數(shù)據(jù)。通用泛化用更一般的值取代原始數(shù)據(jù)，降低敏感數(shù)據(jù)精確度，達(dá)到無(wú)法識(shí)別個(gè)體的目的。通用參考：可用模糊化算法(平衡業(yè)務(wù)需求與安全性)其它數(shù)據(jù)安全類產(chǎn)品Alsosee:■Hype

Cycle

for

Privacy,2017·HypeCycle

for

Identityand

Access

ManagementTechnologies,2017·HypeCycle

for

Information

Governance

and

Master

Data

Management,2017·Hype

Cyclefor

Data

Management,2017Hype

Cycle

for

Enterprise

InformationManagement,2017GartnerInfonomies●DLPforEmail9

t

Dispersal

LInte-

r

l

r

l

i

urityDatabaseAuditand

ProtectionDmamic

Data

Masking

aaSFData

Loss

PreventionEnterprise

Key

ManagementCloudAooessSecunty

Brokers-FEnterprise

Digital

Rights

Managemen-CloudstorageGatewaysnooeEnenypttorage

SeSgeoattSoePerabstedpuroTsnAlgorithInformatimeYearsto

mainstream

adoption:Olessthan2years0

2to5years●

5to10years▲morethan10yearsFomat-Preserving

Encryption-Userand

Entity

BehaviorAnalytiosCloud

Data

Protection

GatewaysHypeCycleforData

Security,2017InnovationTriggerPeak

ofInflated

ExpectationsTrough

ofDisillusionmentSlopeofEnlightenmentexpectationsKMaas

0Ela

AnshsiData

ClassificationDevicesMutipartyComputingAsofJuly2017Plateau

ofProductivityobsolete?

before

plateauBlockchain

for

Data

Seountye

OData

Sanizaion

Database

Eneryptionm"HypeCycleforDataSecurity.2017*27July2017(G00314204)02015Gaer,reanrame6.AgntsresevedTokenization—Mobile

Data

Protection

for

Workstations—

Fraud

DetectionDataAocessGovemance1

背景概述2

防御思路3

防御方案4

參考借鑒目錄CONTENTS某部委數(shù)據(jù)安全建設(shè)方案用戶區(qū)

終端應(yīng)用數(shù)據(jù)審計(jì)數(shù)

據(jù)分類

外部委數(shù)據(jù)

某部位內(nèi)部數(shù)據(jù)

社會(huì)及互聯(lián)網(wǎng)數(shù)據(jù)數(shù)據(jù)泄漏檢測(cè)API網(wǎng)關(guān)數(shù)據(jù)泄漏檢測(cè)API網(wǎng)關(guān)數(shù)據(jù)脫敏數(shù)據(jù)服務(wù)…公開(kāi)數(shù)據(jù)區(qū)磁盤加密電子政務(wù)外網(wǎng)VPC

指揮信息網(wǎng)VPC

接入前置數(shù)據(jù)目錄服務(wù)

數(shù)據(jù)檢索服務(wù)大數(shù)據(jù)安全審計(jì)內(nèi)部數(shù)據(jù)區(qū)文件加密數(shù)據(jù)接入處理元數(shù)據(jù)服務(wù)敏感數(shù)據(jù)區(qū)

數(shù)據(jù)庫(kù)加密應(yīng)用…應(yīng)用數(shù)據(jù)審計(jì)云桌面

終端數(shù)據(jù)防泄漏數(shù)據(jù)

服務(wù)數(shù)據(jù)

存儲(chǔ)區(qū)互聯(lián)網(wǎng)

電子政務(wù)外網(wǎng)應(yīng)用BAPI

網(wǎng)關(guān)業(yè)務(wù)區(qū)

數(shù)據(jù)區(qū)開(kāi)發(fā)

測(cè)試區(qū)數(shù)據(jù)安全交換存儲(chǔ)隔

離測(cè)試

應(yīng)用互聯(lián)網(wǎng)VPC數(shù)據(jù)

來(lái)源數(shù)據(jù)脫敏存儲(chǔ)-應(yīng)用A隔

離

(中國(guó)移動(dòng))數(shù)據(jù)安全管控平臺(tái)規(guī)劃目標(biāo)及演進(jìn)思路口目前三地均未具有數(shù)據(jù)安全管控平臺(tái)，深圳中心(原)部署辦公終端DLP,

南方基地(原)部署生產(chǎn)終端DLP,北京未部署DLP手段，缺乏未

對(duì)數(shù)據(jù)全生命周期建立集中的管控手段。依照“統(tǒng)一策略和要

求，分布部署數(shù)據(jù)安全管控手段，保障全網(wǎng)IT領(lǐng)域數(shù)據(jù)安全”的思路，為了迎接兩部委關(guān)于數(shù)據(jù)安全的檢查，需對(duì)全網(wǎng)數(shù)據(jù)安全管控能力進(jìn)行規(guī)劃和指導(dǎo)。按照短期、中期和長(zhǎng)期目的三個(gè)階段穩(wěn)步演進(jìn)，最終構(gòu)建IT領(lǐng)域數(shù)

據(jù)安全運(yùn)營(yíng)防護(hù)體系，保障數(shù)據(jù)安全可管、可控。階段工作內(nèi)容做好數(shù)據(jù)安全的基礎(chǔ)防護(hù)，對(duì)數(shù)據(jù)安

全管控手段進(jìn)行管理對(duì)目前已部署的數(shù)據(jù)脫敏和數(shù)據(jù)加密手段進(jìn)行完善

和管理，建立敏感數(shù)據(jù)識(shí)別發(fā)現(xiàn)、定級(jí)機(jī)制。覆蓋數(shù)據(jù)周期關(guān)鍵節(jié)點(diǎn)的“實(shí)效化”管

控

能

力實(shí)現(xiàn)管控能力、運(yùn)營(yíng)組織、管理策略

“同步建設(shè)、閉環(huán)整合”建設(shè)架構(gòu)

能力體系敏感數(shù)據(jù)分析引擎IT公

司

敏感數(shù)據(jù)采集管控組件數(shù)據(jù)管控策略敏感數(shù)據(jù)上傳

下發(fā)數(shù)據(jù)安全管控前置組件增強(qiáng)敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)控建立敏感數(shù)據(jù)存儲(chǔ)和流轉(zhuǎn)地圖，通過(guò)可視化技術(shù)展示平臺(tái)中的數(shù)據(jù)分布及數(shù)據(jù)訪問(wèn)情況，及時(shí)感

知異常訪問(wèn)行為并告警，確保異常行為可追蹤。統(tǒng)一數(shù)據(jù)安全策略制定加強(qiáng)與數(shù)據(jù)安全管控技術(shù)手段的聯(lián)動(dòng)機(jī)制，

實(shí)現(xiàn)數(shù)據(jù)安全統(tǒng)一策略制定和下發(fā)。數(shù)據(jù)安全防護(hù)體系框架敏感數(shù)據(jù)琮義和分類數(shù)據(jù)加工安全規(guī)則

數(shù)據(jù)合規(guī)審核眼則

救據(jù)泄露應(yīng)身流程IT公司數(shù)據(jù)安全管控平臺(tái)敏感數(shù)據(jù)全景視圖建設(shè)目標(biāo)數(shù)據(jù)安全基礎(chǔ)防護(hù)能力合規(guī)化、標(biāo)準(zhǔn)化標(biāo)準(zhǔn)數(shù)據(jù)安全組件

基礎(chǔ)安全技術(shù)手段教能教據(jù)流

轉(zhuǎn)視脂數(shù)據(jù)源

敏球數(shù)據(jù)規(guī)則敏感數(shù)據(jù)標(biāo)記語(yǔ)義分析引摩敏康數(shù)指淵源數(shù)腔庫(kù)5

網(wǎng)結(jié)準(zhǔn)入控制

網(wǎng)結(jié)防泄密金庫(kù)手段

數(shù)居核二終端數(shù)據(jù)控制終演文件掃貓白然語(yǔ)義分析文檔加密

下數(shù)教據(jù)加密文檔訪問(wèn)權(quán)限數(shù)據(jù)脫敏政據(jù)眥散規(guī)則

主機(jī)文件脫敏

數(shù)回庫(kù)脫敏

應(yīng)用系統(tǒng)稅敏數(shù)

據(jù)

外

聯(lián)酸據(jù)訪問(wèn)報(bào)備

網(wǎng)結(jié)流量采集

非法外聯(lián)比對(duì)

非法外聯(lián)整改輸出審核

數(shù)國(guó)市核標(biāo)準(zhǔn)

數(shù)據(jù)內(nèi)容事核

數(shù)握大小審核

數(shù)據(jù)類型市核數(shù)據(jù)發(fā)現(xiàn)

敏感數(shù)據(jù)規(guī)則

服務(wù)備掃描

數(shù)據(jù)庫(kù)掃描

數(shù)據(jù)家引標(biāo)記敏感數(shù)貓

數(shù)

據(jù)

安

全

視

圖

全銀視面數(shù)據(jù)安全

監(jiān)控?cái)?shù)據(jù)安全

管理數(shù)據(jù)安全

策略各基地、中心合作伙伴教據(jù)安

全運(yùn)營(yíng)23安

全

策

略

體

系安

全

運(yùn)

營(yíng)

體

系據(jù)

用

程

控?cái)?shù)

使

流

管(中國(guó)移動(dòng))數(shù)據(jù)安全防護(hù)體系框架數(shù)據(jù)安全防護(hù)體系框架敏感數(shù)據(jù)流

轉(zhuǎn)視圖