书签 分享 收藏 举报 版权申诉 / 122

类型《数据安全治理白皮书》2.0.pdf

  • 上传人:max1024
  • 文档编号:100757778
  • 上传时间:2023-07-18
  • 格式:PDF
  • 页数:122
  • 大小:6.84MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    数据安全治理白皮书 数据 安全 治理 白皮书 2.0
    资源描述:
    数据安全治理委员会 编著数据安全治理白皮书前言Preface该白皮书由中国网络安全与信息化产业联盟数据安全治理委员会(简称数据安全治理委员会)起草编著,通过对国内外当下的数据安全情势与市场趋势进行解读与前瞻,结合国际相关标准与框架,提出符合中国信息化建设阶段和需求的数据安全治理理念与框架,旨在帮助政府与企业进行数据安全建设的整体思考与规划,为数据安全建设的设计与实施者提供具有参考价值的数据安全治理整体方案及案例实践。白皮书中阐述的数据安全治理体系是以数据资产的正常使用为前提,保障数据在各使用场景下的安全,促进数据价值的释放与共享。白皮书主要撰写单位:北京安华金和科技有限公司、北京数字认证股份有限公司、北京炼石网络技术有限公司、中金金融认证中心有限公司、北京亿赛通科技发展有限责任公司。主要撰写人:刘晓韬、杨海峰、闻璐、宣淦淼、付蓉洁、沈雪峰、李伟明、刘思成、李敏、岳小杰、柴思跃、李贺等。 委员会介绍中国网络安全与信息化产业联盟数据安全治理委员会(以下简称数据安全治理委员会)是在中国网信联盟的指导与支持下,由北京市“数据库安全保障小组组长单位”安华金和牵头,联合业内知名企业发起的专业技术创新工作组织,这也是迄今为止,全国首家数据安全领域的专项委员会。委员会将在中国网信联盟的指导下,在行业专家及学术专家的支持下,以行业数据安全应用为目标、以产业协作为主线、以技术创新为核心,形成在数据安全领域的技术研究、思维碰撞、学术探讨、行业实践分享的交流平台,探索和推动政府、行业、企业在数据安全治理工作上的思路、规范和技术实践,以期达成在数据即资产时代,既保障数据安全又促进数据的分享和使用。2018 中国数据安全治理峰会,数据安全治理委员会正式成立并对外发布数据安全治理白皮书1.0 版本。2019 年,延续 1.0 版本,数据安全治理委员会编写团队共同编著修订了 2.0 版本。未来,委员会各成员单位将发挥各自所长,持续开展产业研究与方案整合,共同推动数据安全治理理念与框架在各行业中的应用落地与经验分享,以期为各级政府与企业单位提供具有行业针对性的数据安全治理方案与技术支撑,帮助共同实现数据资产的价值释放。 主任单位介绍北京安华金和科技有限公司(以下简称安华金和),公司 2009 年 3 月 2 日成立至今,一直专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商,由长期致力于数据处理和信息安全领域的专业人士共同创造。安华金和能够提供数据库安全全线产品及方案, 并以此为支撑, 全国首家提出 “数据安全治理”框架,提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体安全思路与方案。围绕公司使命与愿景,安华金和主营业务方向分为三大部分:1. 围绕数据库安全,安华金和推出全线数据库安全产品及解决方案。2. 推进数据安全治理理念在各行业的方案落地和实践。 3. 面向公有云和私有云环境特性,提供云数据安全全线产品,为公有云和私有云用户提供数据安全整体解决方案。目录Catalog数据安全治理白皮书2.0 版本修订说明 1一数据安全建设需要系统化建设思路 21.1 数据安全成为安全的核心问题 21.2 数据泄露路径多元化 41.3 数据安全相关法规和标准大爆发 71.4 数据安全建设需要有系统化思维和建设框架 9二数据安全治理基本理念 102.1 Gartner 数据安全治理理念 102.2 Microsoft 的 DGPC 理念 112.3 数据安全治理概论 142.3.1 数据安全治理的愿景 152.3.2 数据安全治理的需求目标 152.3.3 数据安全治理的核心理念 152.3.4 数据安全治理建设与演进模型 162.3.5 数据安全治理框架 172.3.6 数据安全治理与传统安全概念的差异 172.4 数据安全治理与数据安全成熟度模型 182.5 数据安全治理与数据治理 19三数据安全治理的组织建设20四数据安全治理规范制定 214.1 外部所要遵循的策略 224.2 数据的分级分类 244.3 数据资产及使用状况的梳理 264.3.1 数据使用部门和角色梳理 264.3.2 数据的存储与分布梳理 264.3.3 数据的使用状况梳理 264.4 数据的访问控制 274.5 定期的稽核策略 28五数据安全治理技术支撑框架295.1 数据安全治理的技术挑战 295.1.1 数据安全状况梳理技术挑战 295.1.2 数据访问管控技术挑战 305.1.3 数据安全的稽核和风险发现挑战 305.2 数据安全治理的技术支撑 315.2.1 数据资产梳理的技术支撑 315.2.2 数据使用安全控制 325.2.3 数据安全审计与稽核 38六 . 数据安全治理的发展展望 40附件 A 词汇列表43附件 B 国际数据安全治理理论44Gartner 关于数据安全治理(DSG)的框架与观点 44Microsoft 提出的 DGPC 框架 45数据治理的商业案例 46DGPC 框架组件 46附件 C 数据安全治理实践 53电信数据安全治理实践 53C.1.1 运营商数据安全现状与挑战 53C.1.2 运营商数据安全对策 53C.1.3 电信数据安全治理具体实践 54C.1.3.1 建立组织 54C.1.3.2 建立总则 55C.1.3.3 梳理职责 55C.1.3.4 数据分类分级 56C.1.3.5 定义岗位角色与权限 56C.1.3.6 建立账号与授权管理机制 57C.1.3.7 建立客户敏感信息操作规范 57C.1.3.8 落实客户信息安全日常审查 58C.1.3.9 落实客户信息系统的技术管控 59C.1.4 实践总结 59教育部数据安全治理实践 59教育部数据安全治理现状与挑战 59教育部数据安全治理具体实践 60梳理敏感数据的资产 60实践总结 61市政务云数据治理实践 61市政务云数据治理具体实践 62基于敏感特征发现数据库敏感数据 62实践总结 62国家电网数据安全治理实践 63国家电网数据安全治理面临挑战 63国家电网数据安全治理具体实践 64建立数据安全治理技术保障体系 65实践总结 66附件 D 数据安全生态环境 67全球数据安全现状 67国内外重要数据安全事件列举 68万豪集团 5 亿用户数据或外泄 68台积电遭勒索病毒 3 天损失 17.6 亿元 69华住旗下酒店 5 亿条信息泄露 69Exactis 或泄露 2.3 亿人隐私数据 69Aadhaar 中 11 亿公民信息遭泄露 70国泰航空 940 万乘客信息遭泄露 70驱动人生木马 2 小时感染十万电脑 71AI 安防企业泄露 680 万条个人数据 71Mongodb、CouchDB、Hadoop 等非关系数据库勒索事件 71云上 mysql 数据库勒索事件 72Oracle Rushql 勒索病毒 72Facebook 数据泄露事件 72Wannacry 蠕虫勒索软件事件 73美国 2 亿选民个人资料泄露事件 74瑞士最大电信运营商信息泄露事件 80 万用户数据被盗 75美国征信巨头 Equifax 数据泄露事件 75优酷上亿条用户账户信息在暗网 2000 元售卖 7658 同城简历信息泄露事件 76医疗卫生系统被入侵 7 亿公民信息泄露 77香港宽带公司数据库被黑:38 万名客户信息泄露 77网络安全法第一案国内高校数据泄密被处罚 77数据泄露成本分析 78国内相关法律的判罚标准 78全球性的数据保护法规化 79权威机构对数据泄露成本的研究结果 80附件 E 数据安全成熟度模型82附件 F 数据安全治理重要相关技术86F.1 DCAP 技术 86F.1.1 核心功能 86F.1.2 相关技术 88F.2 脱敏技术 88F.2.1 核心功能: 89F.2.1.1 数据和关系发现 89F.2.1.2 数据脱敏规则定义 89F.2.1.3 数据脱敏操作与管理 90F.2.2 主要技术 90F2.2.1 静态数据脱敏(SDM) 91F2.2.2 动态数据脱敏(DDM) 91F.2.2.3 非结构化和半结构化数据改写 92F.3 DLP 技术 92F.3.1 关键技术 93F.3.2 产品组成 94F.4 CASB 技术 94F.4.1 核心功能: 95F.4.2 工作模式 96F.5 IAM 技术 96F.5.1 基于两方认证的 IAM 97F.5.2 基于第三方独立 CA 的 IAM 98F.6 UEBA 100F.6.1 核心技术 100F.6.2 主要场景和功能 101F.7 数据透明加密保护技术 102F.7.1 核心功能 102F.7.1.1 透明数据加密 102F.7.1.2 加密算法合规 102F.7.1.3 密文访问控制 102F.7.1.4 性能影响小 103F.7.2 主要技术 103F.7.2.1 数据库透明加密技术(列加密) 103F.7.2.2 数据库透明加密技术(TDE 表空间加密) 104F.7.2.3 文件系统透明加密技术(TDE 表空间加密) 105F.7.2.4 透明数据加密技术比较 106F.8 数据库防勒索技术 108F.8.1 数据库勒索手段分析 108F.8.1.1 防勒索技术 109附件 G 白皮书参与单位介绍 110发布单位介绍 110委员会成员名单 110数据安全治理白皮书 2.01数据安全治理白皮书2.0 版本修订说明数据安全治理白皮书2.0 版本中,针对以下内容进行修订完善:1、增加数据库防勒索技术,针对数据库勒索手段进行分析,同时提出防勒索技术;2、增加个人信息收集与隐私政策测评报告相关解读;3、国内外数据安全事件概要更新至 2019 年;4、增加数据安全相关法规和标准列表说明;5、数据安全治理外部所要遵循的策略中增加个人信息安全管理规范、银行业金融机构数据治理指引;6、附录 C 数据安全治理实践增加教育部数据安全治理实践、市政务云数据治理实践、国家电网数据安全治理实践三个新的行业实践;7、附录 D 国内外重要数据安全事件例举增加万豪集团 5 亿用户数据或外泄和 Oracle Rushql 勒索病毒事件;8、增加数据透明加密保护技术;9、增加数据库防勒索技术;10、全文内容文字和段落结构的优化。数据安全治理白皮书 2.02一数据安全建设需要系统化建设思路数据治理或者数据安全概念,对于大多数 IT 和安全从业者来说,认知度比较高,但数据安全治理,似乎是个新名词。实际上,对于拥有重要数据资产的政府部门或企业,对于数据资产的保护,涉及到数据安全治理方面,或多或少都有实践,只是尚未体系化、标准化。比如,运营商行业的客户数据安全管理规范及落地的配套管控措施,一些政府部门的数据分级分类管理规范。在国外由 Microsoft 推出的 DGPC 方案(Data Governance for Privacy Confidentiality and Compliance 缩写),就是专门强调隐私、保护与合规的数据治理技术框架;Gartner 研究中在 2015 年提出了数据安全治理这一概念和相应的原则与框架,2017 年 Gartner全球安全大会中多位分析师在数据安全、信息安全治理、安全治理的相关研究报告中,多次提及并加以强调,并且认为数据安全治理已成为了数据安全中的 “风暴之眼”(The Eye Of Storm),2018 年,Gartner 首次在数据安全治理方向上专门推出研究报告如何使用数据安全治理,以此为组织中的 CDO、CSO、CISO 提供数据安全价值。本次白皮书编著过程中,我们希望能够系统化针对数据安全治理的概念、规范、技术和相关实践进行介绍,将数据安全治理视作为一种系统化解决数据安全问题的合理方法论和实践工具进行推广和应用。1.1 数据安全成为安全的核心问题回看过去二十余年,政府与企业的信息化程度不断加深,IT 系统的复杂度与开放度随之提升;伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。随着数据成为资产,成为基础设施
    展开阅读全文
    提示  文档分享网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《数据安全治理白皮书》2.0.pdf
    链接地址:https://www.wdfxw.net/doc100757778.htm
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    版权所有:www.WDFXW.net 

    鲁ICP备09066343号-25 




    收起
    展开