數(shù)據(jù)安全治理方案

COMPANYPROFILE839530數(shù)據(jù)安全治理方案

政策2016年2017年6月2018年5月2019年2月數(shù)據(jù)安全相關(guān)法律法規(guī)適用范圍：不論數(shù)據(jù)的收集或存儲位置，所有獲取歐盟居民數(shù)據(jù)或者提供商品、服務(wù)（無論免費與否）的公司均需遵守該條例。保護范圍：1、基本的身份信息，如姓名、地址和身份證號碼等；2、網(wǎng)絡(luò)數(shù)據(jù)，如位置，IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽等；3、醫(yī)療保健和遺傳數(shù)據(jù)；4、生物識別數(shù)據(jù)，如指紋、虹膜等；5、種族或民族數(shù)據(jù)；6、政治觀點；7、性取向影響：1、企業(yè)無法開展相關(guān)歐盟國家業(yè)務(wù)；2、面臨罰款范圍是1000萬到2000萬歐元，或企業(yè)全球年營業(yè)額的2%到4%。依據(jù):歐盟《通用數(shù)據(jù)保護條例》GDPR合規(guī)指南依據(jù)：網(wǎng)絡(luò)安全法第二十一條

國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一條

國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。第四十條

網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護制度。第四十二條

網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。第四十五條

依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供。第五十條

國家網(wǎng)信部門和有關(guān)部門依法履行網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)要求網(wǎng)絡(luò)運營者停止傳輸，采取消除等處置措施，保存有關(guān)記錄。等級保護對象安全要求項安全要求項具說明應(yīng)用和數(shù)據(jù)安全訪問控制a）應(yīng)由授權(quán)主體配置訪問控制策略；b）訪問控制的粒度應(yīng)達到主體為用戶；c）應(yīng)對敏感信息資源設(shè)置安全級或進程級，客體為文件、數(shù)據(jù)庫表級。安全審計a)應(yīng)提供安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c)應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)應(yīng)對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；e)審計記錄產(chǎn)生時的時間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性。剩余信息保護a）應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；b）應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。個人信息保護a）應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息；b）應(yīng)禁止未授權(quán)訪問、使用用戶個人信息。網(wǎng)絡(luò)和通信安全訪問控制a）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對內(nèi)容的訪問控制。等級保護制度2.0征求意見稿，數(shù)據(jù)安全相關(guān)解讀方法論與解決方案以數(shù)據(jù)為中心的安全建設(shè)理念以關(guān)鍵數(shù)據(jù)為核心做好分類分級構(gòu)建可信的環(huán)境實現(xiàn)全生命周期保護產(chǎn)生存儲處理應(yīng)用流動銷毀物理網(wǎng)絡(luò)

主機虛擬化操作系統(tǒng)應(yīng)用可信的環(huán)境分類分級關(guān)鍵數(shù)據(jù)1234512345數(shù)據(jù)識別：發(fā)現(xiàn)敏感數(shù)據(jù)，進行分級分類；風(fēng)險評估：對數(shù)據(jù)、數(shù)據(jù)環(huán)境進行風(fēng)險評估；制定安全策略：針對不同級別、類別的數(shù)據(jù)制定策略；實施控制：通過技術(shù)、管理措施進行控制；監(jiān)控審計：通過監(jiān)控、報警事件管理確保策略的執(zhí)行數(shù)據(jù)安全治理基本過程目的：明確并識別要保護的敏感數(shù)據(jù)，以便針對不同敏感類別分別制定控制策略。范圍：結(jié)構(gòu)化數(shù)據(jù)（如數(shù)據(jù)庫）、非結(jié)構(gòu)化數(shù)據(jù)（如文檔、電子郵件、聲音、影像）過程：確定數(shù)據(jù)管理責(zé)任創(chuàng)建數(shù)據(jù)分類清單定義數(shù)據(jù)分級標(biāo)準(zhǔn)評估數(shù)據(jù)安全風(fēng)險制定分級控制策略建立數(shù)據(jù)分級目錄數(shù)據(jù)分類及分級一、對公司數(shù)據(jù)分級分類分級分類標(biāo)準(zhǔn)發(fā)布業(yè)務(wù)與數(shù)據(jù)梳理上報確認(rèn)

數(shù)據(jù)分級分類

參考《證券期貨業(yè)數(shù)據(jù)分類分級指引》《政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級指南》由公司統(tǒng)一下發(fā)《數(shù)據(jù)分級分類標(biāo)準(zhǔn)規(guī)范》協(xié)助制定相關(guān)數(shù)據(jù)安全分級分類管理制度《數(shù)據(jù)分類分級管理流程》《數(shù)據(jù)采集安全管理制度流程》《數(shù)據(jù)源管理制度流程》等由各業(yè)務(wù)部門統(tǒng)一根據(jù)分級分類標(biāo)準(zhǔn)進行梳理。協(xié)助梳理相關(guān)信息上報信息化主管部門

由信息化主管部門確認(rèn)協(xié)助確認(rèn)相關(guān)上報數(shù)據(jù)二、數(shù)據(jù)全生命周期安全管控產(chǎn)生/采集識別、審計存儲掃描、加密、隔離、審計、脫敏、備份應(yīng)用識別、訪問控制、阻斷、告警、審計、脫敏流動、傳輸、共享阻斷、告警、審計、脫敏銷毀安全擦除、審計采集

01存儲

02處理

03

應(yīng)用

04

流動

05銷毀

06數(shù)據(jù)生命周期管控處理加密、隔離、審計、脫敏、備份數(shù)據(jù)安全分級分類數(shù)據(jù)安全交換云產(chǎn)生存儲流轉(zhuǎn)

（內(nèi)部）應(yīng)用流轉(zhuǎn)

（外部）銷毀數(shù)據(jù)導(dǎo)出共享審核數(shù)據(jù)導(dǎo)入安全存儲備份冗災(zāi)存儲DLP數(shù)據(jù)庫掃描自動分級分類網(wǎng)絡(luò)監(jiān)控泄漏阻斷泄漏審計網(wǎng)絡(luò)DLP訪問控制操作審計數(shù)據(jù)識別數(shù)據(jù)變換數(shù)據(jù)脫敏應(yīng)用DLPWeb下載監(jiān)控文件泄漏阻斷頁面泄漏脫敏泄漏審計文件掃描安全擦除終端DLP終端監(jiān)控泄露阻斷泄露審計存儲DLP文件掃描安全擦除備份容災(zāi)數(shù)據(jù)備份數(shù)據(jù)恢復(fù)數(shù)據(jù)庫安全網(wǎng)關(guān)數(shù)據(jù)全生命周期管控（文檔）數(shù)據(jù)安全交換云文件掃描安全擦除外發(fā)審核域外權(quán)限控制線上權(quán)限控制下載賦權(quán)使用權(quán)限設(shè)定共享審核安全檢查安全存儲備份冗災(zāi)終端DLP文件監(jiān)控自動分級分類智能加密終端DLP文檔安全管理網(wǎng)絡(luò)監(jiān)控泄漏阻斷泄漏審計網(wǎng)絡(luò)DLP線下權(quán)限控制存儲DLP文件掃描自動分級分類智能加密文件掃描自動分級分類智能加密限次銷毀存儲DLP文件掃描安全擦除終端監(jiān)控泄露阻斷泄露審計產(chǎn)生存儲流轉(zhuǎn)

（內(nèi)部）應(yīng)用流轉(zhuǎn)

（外部）銷毀數(shù)據(jù)安全分級分類采集存儲處理應(yīng)用流動銷毀大數(shù)據(jù)安全網(wǎng)關(guān)訪問控制安全審計屬地限制數(shù)據(jù)加密授權(quán)許可訪問控制安全審計溯源審計屬地限制數(shù)據(jù)脫敏授權(quán)許可訪問控制安全審計溯源審計數(shù)據(jù)脫敏授權(quán)許可屬地限制接口監(jiān)控合規(guī)審計泄漏審計服務(wù)DLP授權(quán)許可安全審計安全擦除授權(quán)許可訪問控制安全審計溯源審計屬地限制數(shù)據(jù)脫敏終端監(jiān)控泄漏阻斷泄漏審計終端DLP備份系統(tǒng)數(shù)據(jù)備份數(shù)據(jù)恢復(fù)備份系統(tǒng)數(shù)據(jù)歸檔傳輸加密VPN網(wǎng)絡(luò)監(jiān)控泄漏阻斷泄漏審計網(wǎng)絡(luò)DLP終端監(jiān)控泄漏阻斷泄漏審計終端DLP服務(wù)器區(qū)數(shù)據(jù)安全解決方案數(shù)據(jù)安全風(fēng)險數(shù)據(jù)庫操作缺乏必要管控，數(shù)據(jù)庫中關(guān)鍵數(shù)據(jù)易被非法人員導(dǎo)出泄漏。應(yīng)用服務(wù)器存漏洞易被利用盜取關(guān)鍵數(shù)據(jù)服務(wù)器違規(guī)存儲關(guān)鍵數(shù)據(jù)，增加泄漏風(fēng)險業(yè)務(wù)服務(wù)器及數(shù)據(jù)庫數(shù)據(jù)丟失或損壞造成業(yè)務(wù)中斷解決之道數(shù)據(jù)庫操作訪問控制及日志審計（數(shù)據(jù)庫安全網(wǎng)關(guān)）業(yè)務(wù)服務(wù)器數(shù)據(jù)泄漏阻斷、脫敏、頁面權(quán)限控制；泄漏審計（應(yīng)用防泄漏）服務(wù)器存放違規(guī)重要文件掃描隔離或擦除（存儲防泄漏）業(yè)務(wù)服務(wù)器及數(shù)據(jù)庫備份（備份存儲系統(tǒng)）數(shù)據(jù)安全解決方案數(shù)據(jù)安全風(fēng)險分析運維人員權(quán)限較大，管控屬于薄弱環(huán)節(jié)運維人員上傳文件可能攜帶病毒或木馬到服務(wù)器運維人員可從服務(wù)器下載敏感信息敏感數(shù)據(jù)通過U盤等終端通道泄漏解決之道對運維人員的服務(wù)器上傳和下載用統(tǒng)一平臺管理，傳輸文件內(nèi)容和病毒檢查、過程可審核，可審計（數(shù)據(jù)安全交換云）終端泄漏監(jiān)控或阻斷，泄漏行為審計（終端防泄漏）終端重要數(shù)據(jù)加密，訪問權(quán)限控制（文檔安全管理）開發(fā)測試區(qū)數(shù)據(jù)安全解決方案數(shù)據(jù)安全風(fēng)險分析直接利用真實業(yè)務(wù)數(shù)據(jù)開發(fā)或測試存在數(shù)據(jù)泄漏風(fēng)險重要文件通過U盤、打印等終端通道泄漏重要文件使用缺乏權(quán)限管控，增加泄漏概率解決之道業(yè)務(wù)敏感數(shù)據(jù)脫敏處理（數(shù)據(jù)脫敏）終端泄漏監(jiān)控或阻斷，泄漏行為審計（終端防泄漏）重要文檔加密，訪問權(quán)限控制（文檔安全管理）內(nèi)網(wǎng)辦公區(qū)解決方案數(shù)據(jù)安全風(fēng)險分析重要文件通過郵件、文件傳輸?shù)染W(wǎng)絡(luò)通道泄漏到其它網(wǎng)重要文件通過U盤、打印等終端通道泄漏重要文件流轉(zhuǎn)和使用缺乏權(quán)限管控，增加泄漏幾率桌面重要文件損壞或丟失桌面資產(chǎn)轉(zhuǎn)移造成數(shù)據(jù)泄漏介質(zhì)丟失造成數(shù)據(jù)泄漏解決之道網(wǎng)絡(luò)泄漏監(jiān)控或阻斷，泄漏行為審計（網(wǎng)絡(luò)防泄漏）終端泄漏監(jiān)控或阻斷，泄漏行為審計；重要文件掃描及擦除（終端防泄漏）核心文檔加密，訪問權(quán)限控制（文檔安全管理）統(tǒng)一內(nèi)部流轉(zhuǎn)通道，重要文件備份，流轉(zhuǎn)過程審計和審核（數(shù)據(jù)安全交換云）互聯(lián)網(wǎng)去數(shù)據(jù)安全解決方案數(shù)據(jù)安全風(fēng)險分析關(guān)鍵數(shù)據(jù)通過郵件、Web、FTP等互聯(lián)網(wǎng)通道泄漏關(guān)鍵數(shù)據(jù)通過U盤、打印、藍牙等終端通道泄漏服務(wù)器、終端違規(guī)存儲關(guān)鍵數(shù)據(jù)，增加泄漏風(fēng)險?；ヂ?lián)網(wǎng)Web業(yè)務(wù)服務(wù)器自身漏洞被利用造成數(shù)據(jù)泄漏數(shù)據(jù)庫缺乏細粒度訪問控制和操作審計業(yè)務(wù)服務(wù)器及數(shù)據(jù)庫數(shù)據(jù)丟失或損壞造成業(yè)務(wù)中斷解決之道網(wǎng)絡(luò)泄漏監(jiān)控或阻斷，泄漏行為審計（網(wǎng)絡(luò)防泄漏）終端泄漏監(jiān)控或阻斷，泄漏行為審計；違規(guī)文件掃描隔離或擦除（終端防泄漏）服務(wù)器存放違規(guī)重要文件掃描隔離或擦除（存儲防泄漏）業(yè)務(wù)服務(wù)器數(shù)據(jù)泄漏阻斷、脫敏、頁面權(quán)限控制；泄漏審計（應(yīng)用防泄漏）數(shù)據(jù)庫操作訪問控制及日志審計（數(shù)據(jù)庫安全網(wǎng)關(guān)）業(yè)務(wù)服務(wù)器及數(shù)據(jù)庫備份（備份存儲系