智慧城市解决方法——3-数据安全治理之思考.pdf

数据安全治理之思考 敏捷科技生态中国光大银行CONTENTS 目录数据安全形势分析数据安全治理思路金融数据安全典型场景123数据价值提升，个人隐私数据泄露事件频发据IBM Security基于对全球500多个组织数据泄露事件深入分析发布的2020年数据泄露成本报告中显示，2020年数据泄露事件给企业造成的平均成本为386万美元国际事件国内事件2020年4月，世界卫生组织疫情期间遭受网络攻击数量急剧增加，约有450个世卫组织及数千名相关工作人员信息遭到泄露2021年4月，美国社交媒体脸书(Facebook)超5亿用户的个人数据遭到泄露，包括号码、电子邮件等信息2021年4月，据Cyber News报道，LinkedIn信息大规模泄露，影响5亿用户，目前信息已经被攻击者拿到网上出售2020年12月，富士康遭遇黑客攻击，索要 2.3 亿元赎金；1200台服务器被加密，100GB数据遭窃2021年315晚会，支付 7 元即获简历，智联招聘、猎聘、前程无忧上“黑榜”2020年初，多地武汉返乡人员配合调查后个人信息被泄露，包括姓名、家庭住址、、身份证号等，表格在各个老乡群和小区群里传播，不少人反映被陌生人通过、骚扰。

2020年8月，圆通出现多名“内鬼”，40万人信息被泄露，一条黑色产业链浮出水面2021年315晚会曝光科勒卫浴、宝马安装人脸识别摄像头，收集海量人脸信息国内外加快数据安全保护工作个人数据保护法案-1973美国隐私保护法案-1974个人信息保护和电子文件法-1983澳大利亚联邦隐私法-1988澳大利亚以色列隐私保护法-1981智利Privacy Law-1999韩国个人信息保护法案-1994中国网络安全法-2016数据安全法（草案）-2020个人信息保护法（草案）-2021俄罗斯Federal Law RegardingPersonal Data-2006日本个人信息保护法案-20032010年至今至少30部法律欧盟一般数据保护条例-2018印度个人数据保护法（草案）-2018加利福尼亚消费者隐私法（CCPA）-2020加拿大瑞典我国法律法规和监管机构日趋收紧2017年2019年2018年2020年网络安全法大数据安全服务能力要求互联网个人信息安全保护指引个人信息安全规范个人信息影响评估指南网络安全等级保护要求2.0大数据安全管理指南数据安全能力成熟度模型个人信息出境安全评估办法个人信息去标识化指南数据安全法（草案）网络安全审查办法金融数据安全 数据安全分级指南个人金融信息保护技术规范2021年个人信息保护法（草案）我国法律法规和监管机构日趋收紧，切实保障国家数据安全加强法律法规、标准规范的统筹规划，重视国家标准、相关领域行业标准的衔接工作；加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。

新业务生态下的数据安全威胁数据安全威胁和暴露面随着业务变化而增加 主要外部威胁主要内部风险互联网金融风险 利用应用系统的漏洞、网络漏洞进行注入攻击；利用银行移动设备、智能设备、监控设备、无线网络进行渗透；通过病毒、木马、0Day漏洞进行渗透攻击大数据、生物识别、公有云等新技术带来新的数据安全风险；开源社区软件、第三方SDK、开发运维工具带有恶意代码；银行生态中，和第三方合作企业进行的数据交互带来的风险内部员工有意、无意操作不当造成数据泄露；业务人员使用对内部数据分析，使用数据不当；高权限人员使用特权访问不当；业务人员权控不当，超权限访问业务数据，过度访问业务数据；通过邮件、移动存储设备等，泄露数据新业务生态下的数据安全威胁业务生态中不平衡数据安全能力带来新威胁l 生活融入金融生态l 获客能力提升l 提升用户DAU MAU l 降低获客成本收益收益风险风险l 生态企业数据安全能力参差不齐l 生态企业接入后数据泄露面增大l 黑产通过生态企业撞库l 数据泄露后不可逆数据安全发展驱动力数据成为新型生产要素数据安全风险增加个人信息意识崛起监管力度加大数据成为新型生产要素数据类型多、数据量暴增、各类数据的拥有主体多样，处理活动复杂；新技术的兴起，网络趋势变得复杂，传统安全防护已经不能应对新的网络安全形势；数据价值的增加，导致了数据成为重点攻击对象；网民规模及互联网使用率逐年上升，网民遭遇各类网络安全事件增多；用户维权意识明显提升；知情权、选择权等隐私权益的关注度提升；个人信息意识崛起数据隐私和数据安全问题频出；数据泄露事件和数据安全罚单增多；国家战略层面催生饿了数据安全需求，国内外数据保护工作；监管力度加大数据安全发展驱动力数据安全风险增加数据辅助决策、数据驱动业务、数据对外变现；数据资源已成为国家基础战略性资源和社会生产的创新要素；CONTENTS 目录数据安全形势分析数据安全治理思路金融数据安全典型场景123数据安全治理思路 国家法律、监管条例梳理；银行业务梳理，使用场景梳理，数据资产梳理，数据分类分级制定；针对具体条款的遵从性建议及落地应对措施建议，遵从性建议可分为“必须遵守项、可选项、不适用项”，应对措施建议可分为技术手段和管理手段，并制定数据安全能力演进路线；制定数据安全能力建设计划和演进路线图。

数据安全治理规划数据安全技术体系数据安全运营体系 各业务开发、测试、生产、运维场景中的数据安全能力建设；数据生命周期中，各个阶段的数据安全能力建设；保护个人敏感数据的数据安全能力建设；办公区域等物理场所数据安全能力建设；敏感数据全网流向监测能力建设构建符合监管合规要求、贴合业务场景的数据安全管控策略；管控策略匹配管理制度、组织架构、流程机制和技术基础设施；信息安全新技术的探索和应用；数据安全KPI考核制度建设；数据安全人才的培养数据安全治理规划11数据销毁数据交换数据处理数据存储数据资产安全防控数据分类分级防控数据生命周期防控合规性基线管控数据安全审计监测行业监管标准金融最佳实践安全管理体系操作流程配置标准作业计划应急措施稽查考核数据安全操作规范应用访问对外接口业务访问数据资产安全管理数据分类分级管理数据生命周期管理数据安全权限管理数据安全审计管理数据安全管理规范业务应用场景开发测试生产运维数据资产日常监测数据安全评估数据安全专家咨询数据安全应急响应数据安全重保数据全生命周期数据采集数据传输数据安全运营服务保障安全技术体系基础数据安全防控数据安全防控总体战略方针数据安全审计能力数据安全合规能力敏感数据识别能力数据安全管控能力数据安全治理实现12数据安全管控和运营基础监测和防护终端安全移动存储管理邮件DLP敏感数据监控终端网络管理身份/权限/准入终端DLP数据库审计数据脱敏传输加密数据库加密数据运维管控数据库防火墙文件保险箱文件系统加密数据库水印文件水印屏幕水印网页水印数据安全基础能力层z防火墙入侵检测WAF防病毒主机WAF网络隔离网络审计防DDOS日志分析网络安全基础安全能力业务引擎流量解析引擎日志解析引擎风险监控引擎生命周期核查引擎规则解析引擎资产备案核查引擎任务调度引擎能力调度引擎数据可视化引擎风险可视化引擎安全流程引擎能力测试引擎分析模型数据流转分析模型接口访问数据风险分析模型敏感数据风险分析模型数据生命周期风险分析模型网络安全风险分析模型监控分析引擎z内部应用接口对外服务接口URL文件上传、下载接口消息队列接口接口层URL风险分析模型安全运营安全管理能力数据资源稽核数据地图标准规范库安全策略稽核安全事件监测安全事件处置安全事件响应风险可视化风险分析风险感知数据资源安全运营数据安全策略运营数据安全事件运营数据安全风险运营z数据特征管理数据资源管理数据资源清单数据资源备案分类分级管理数据资源统计分类分级策略数据资源发现策略敏感数据识别策略风险监测策略数据脱敏策略数据加密策略数据水印策略数据防护策略任务管理标准规范管理安全策略管理风险事件监测访问数据内容敏感数据访问接口备案访问频率异常访问行为越权访问高频访问超量访问数据采集过程监测数据传输过程监测数据存储过程监测数据处理过程监测数据交换过程监测 接口访问 业务区域数据生命周期风险分析接口访问分析URL访问分析业务用数分析开发测试分析运行监控组件运行状态监测安全能力监测平台日志检索安全能力测试数据安全管控能力数据销毁监测数据流转视图数据安全技术的探索和实践13数据生命周期中，主要安全技术的应用数据采集指纹识别深度模型脸部识别深度模型身份识别数据销毁文件粉碎硬盘扇区清零磁盘消磁数据存储数据处理数据交换数据水印溯源多方安全计算数据脱敏文件指纹数据传输VPN隧道数据加密传输消息队列文件系统加密文件加密数据库加密存储加密备份/恢复身份认证数据审计机密计算数据脱敏联邦学习差分隐私K匿名深度特征学习专项个人敏感数据识别14通过数据资产分类分级，识别全业务个人敏感数据非结构化数据结构化数据数据资产梳理敏感数据识别数据资产清单数据分类分级清单个人敏感数据和业务对应关系个人敏感数据使用各项流程个人敏感数据使用告警策略 业务人员使用数据权限专项个人敏感数据保护15解析协议TCP/UDP内容，发现疑似违反策略的网络流量，产生告警信息，并进行阻断；网络监控解析HTTP/SOCKET等协议，对全行URL，API中交互的个人敏感数据监控，对高频访问、超限访问、非信任客户端访问、非信任时间访问等行为进行告警；URL、API接口监控解析各类数据库协议，采用应用准入+数据访问行为白名单方式进行监控，对越权访问、高频访问、超限访问、非信任工具访问、非信任时间访问等行为进行告警；数据库监控采用业务需要匹配人员权限的方式，对用数人员做最小化数据授权访问；按照需求，对不同的人员使用不同的数据及脱敏操作；对高频访问、超限访问、共享、下载等行为进行监控；业务人员访问监控采用身份认证、终端DLP，邮件DLP，文件保险箱，虚拟桌面，文件水印，打印水印，屏幕水印等多种手段，防止重要数据泄露。

终端和邮件防护CONTENTS 目录数据安全形势分析数据安全治理思路金融数据安全典型场景123数据安全治理使用场景17数据库开发、测试、运维、生产场景数据安全防护底账梳理数据区域数据使用操作申请操作审批密码代填登录准入数据库运维脱敏数据发送数据脱敏数据抽取数据发现数据库安全审计数据脱敏动态脱敏访问控制拦截防护运维审计集成OA语法解析行为检索报表统计会话统计分析应用审计高危风险策略漏洞攻击策略风险告警策略告警方式配置语法解析协议解析银行核心信贷系统网上银行理财系统交易银行数据资产价值评估账户权限梳理数据资产分类分级数据库脆弱性评估数据库威胁评估业务人员应用访问系统运维人员运维审批人员开发测试数据安全治理使用场景18数据分析和业务使用场景YARNPIGSQL大数据分析平台邮件各类日志查询报表加密数仓访问行为机器学习权限最小化设置高频超限访问规则数据脱敏行为审计其他相关数据数据安全治理使用场景19银行生态使用场景银行生态服务行内业务餐饮交通商城快递银行生态互联DMZ多方安全计算平台APIAPIURLURL敏感信息访问监测数据异常行为监测风险行为实时告警风险趋势分析风险分析统计外卖API原始数据1存证数据1原始数据2存证数据2运营商银行计算结果1结果存证1计算输出1计算结果2结果存证2计算输出2THANKS安全服务创新扫一扫，关注号了解最新安全资讯地址：北京市西城区太平桥大街25号中国光大中心：95595网址：中国光大银行。