數據安全數據治理體系運營建設方案

數據安全數據治理運營體系建設方案一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹wl數據泄露事件頻發(fā)據安全情報供應商RiskBasedSecurity(RBS)《2020年第三季度數據泄露報告》，截至2020年9月30日，全球公開披露的數據泄露事件2953起，相比2019年的6021起減少近50%，但是，數據泄露的數量與事件報告數量形成鮮明對比，2020年泄漏數據量360億條，相比2019年的83億條迅猛增加332％。2020.07圓通內部員工泄密案40萬+個人信息遭泄露，信息預備以每條1元的價格打包販賣至全國2021.01農行被銀保監(jiān)會罰款420萬人民幣因涉及發(fā)生重要信息系統(tǒng)突發(fā)事件未報告、數據安全管理粗放存在數據泄露風險、互聯網門戶網站泄露敏感信息wl法規(guī)要求01《網絡安全法》《銀保監(jiān)會信息科技風險現場檢查指南》01《網絡安全法》《銀保監(jiān)會信息科技風險現場檢查指南》《數據安全法》（草案）《中國銀監(jiān)會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》《數據安全法》（草案）《中國銀監(jiān)會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》《個人信息安全規(guī)范》08《個人信息安全規(guī)范》08《個人金融信息保護技術規(guī)范》《數據出境管理辦法》《證券期貨業(yè)數據分類分級指引》《數據出境管理辦法》《證券期貨業(yè)數據分類分級指引》《關鍵信息基礎設施安全保護條例》《金融數據安全數據安全分級指南》《關鍵信息基礎設施安全保護條例》一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹■l數據安全治理體系框架建設目標：技術建設目標：技術+管理+運營，形成閉環(huán)可持續(xù)管理體系管理體系建設管理體系管理體系建設梳理評估定級定規(guī)檢查運營體系監(jiān)控體系運營體系監(jiān)控體系監(jiān)控體系建設應用分析加工分發(fā)測試運維傳輸采集處理銷毀存儲交換運營體系建設運營體系建設策略監(jiān)測處置滲透加固應急培訓保障一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹■l管理體系建設框架梳理梳理定級評估體系建設組織機構操作規(guī)范策略記錄表單人員整改報告周期人員標準支撐■l管理體系建設成果管理制度建設服務（10個制度管理制度建設服務（10個制度17個規(guī)范4個流程）數據安全自查服務梳理/定級服務（2圖2報告3清單1指南）梳理/定級服務（2圖2報告3清單1指南）數據安全評估服務DSAS數據資產評估工具數據資產的梳理效果梳理前梳理后約300個約500個約200個約300個約500個約200個■l管理體系建設-技術支撐-數據梳理通過基于敏感數據特征的靜態(tài)掃描和動態(tài)流量分■l管理體系建設-技術支撐-賬戶權限梳理最小化授權指南》■l管理體系建設-技術支撐-分類分級建設■l管理體系建設-技術支撐-數據使用梳理■l管理體系建設-案例-某部委客戶痛點?數據資產量級很大、業(yè)務系統(tǒng)繁多、系統(tǒng)運行存續(xù)時間久；因新系統(tǒng)上線和舊客戶痛點?數據資產量級很大、業(yè)務系統(tǒng)繁多、系統(tǒng)運行存續(xù)時間久；因新系統(tǒng)上線和舊系統(tǒng)下線，加之新老員工更迭交替，部分數據資產責任方變得模糊；一些未登記且未使用數據資產陸續(xù)出現；?數據資產梳理依賴人工，時間和精力成本高，且統(tǒng)計結果不準確；是否還存在未登記備案的數據資產不清楚；缺少技術手段和自動化工具驗證。?業(yè)務系統(tǒng)復雜，涉及敏感和重要業(yè)務數據的操作需要進行審計監(jiān)管，能及時發(fā)現違規(guī)訪問和數據泄露風險。?由于業(yè)務需要，需要向第三方提供業(yè)務數據進行數據分析，優(yōu)化數據質量、挖掘數據價值，如何保證提供給第三方的數據不會被大規(guī)模泄漏安華方案?通過自動發(fā)現和“靜態(tài)+動態(tài)”梳理技術，實現數據資產底賬管理與準入準出管控；?可在數據庫很多、數據量很大的情況下，實現梳理產品能夠不影響業(yè)務使用的同時多任務多線程執(zhí)行梳理工作，保證了資產梳理工作質量；?通過數據使用與監(jiān)測分析技術，厘清信息中心各業(yè)務系統(tǒng)敏感數據使用狀況及流向關系，為實施數據使用最小化原則及訪問控制策略提供依據；?實現對中心全部數據資產的可視化分析，為促進資產的安全管理打下堅實基礎。?通過部署5臺數據庫審計系統(tǒng)，滿足信息中心的重要數據資產全范圍業(yè)務操作審計，審計數據保留六個月以上，滿足監(jiān)管要求。信息中心數據資產梳理2**前臺系統(tǒng)**前臺系統(tǒng)監(jiān)管**數據庫查*數據庫查*數據庫**錄入系統(tǒng)■l金融行業(yè)分類分級規(guī)則輔助一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹wl數據管控-面向各種使用場景的數據管控業(yè)務系統(tǒng)訪問安全第三方運維訪問安全業(yè)務系統(tǒng)訪問安全第三方運維訪問安全數據存儲安全數據管控數據管控l及時阻斷外部攻擊和探測l防黑客滲透造成數據泄漏和丟失l防止通過第三方泄漏數據共享安全數據共享安全數據分發(fā)安全數據分發(fā)安全測試開發(fā)安全wl應用側訪問安全防護運維行為安全管控針對對運維行為提供流程化管理機制，數據運維精細化安全管控,避免運維及第三方人員的誤操作或惡意操作行為開發(fā)測試場景敏感數據保護DMS-S靜態(tài)脫敏-測試開發(fā)環(huán)境數據安全最佳工具測試開發(fā)環(huán)境的生產數據模擬數據共享場景敏感數據防護DMS-D動態(tài)脫敏-業(yè)務系統(tǒng)隱私保護的利器降低應用側、運維側實時訪問敏感數據時的數據泄露隱患，使數據使用者可以恰如其分的訪問敏感數據wl數據外發(fā)數據安全DWS數據水印-提供可溯源的數據分發(fā)共享技術通過自動化水印處理通過自動化水印處理，避免內部人員外發(fā)數據泄露無法對事件追溯，提高數據傳遞的安全性和可追溯能力wl數據存儲安全DES數據加密-數據匯聚存儲安全的基石通過數據加密存儲、強化訪問控制通過數據加密存儲、強化訪問控制，從根本上杜絕數據庫由于明文存儲帶來的拖庫、篡改、泄密等安全隱患DAS數據庫審計-數據安全基線實時監(jiān)控數據庫訪問行為實時監(jiān)控數據庫訪問行為，風險事件即時告警，精準快速追蹤溯源，滿足合規(guī)的基礎上全方位監(jiān)控風險產品綜合管理平臺統(tǒng)一部署可跳轉語句集中統(tǒng)計風險集中呈現會話集中匯總可下鉆可跳轉語句集中統(tǒng)計風險集中呈現會話集中匯總可下鉆設備狀況查看集中運維集中l(wèi)icense管理可檢索統(tǒng)計數據集中分析結果匯總設備狀況資源監(jiān)控系統(tǒng)日志系統(tǒng)升級告警管理證書管理wlGB政務云c互c互聯網區(qū)c公共區(qū)公共區(qū)某省人社-數據安全防護主中心從中心主中心xxxxOracle數據庫rac數據庫靜態(tài)脫敏需求背景江蘇省人社計劃于2020年底前完成一體化信息平臺建設，將全省分散獨立的人社系統(tǒng)整合為互聯互通、業(yè)務協同、信息共享的“大系統(tǒng)”。平臺存在大量數據訪問及外發(fā)共享場景，存在較大安全隱患，急需對此部分進行嚴格管控，保障平臺數據安全數據庫防護場景方案部署方式：采用主從雙中心保障業(yè)務穩(wěn)定運行。DPS以主備代理方式部署確保核心數據庫安全。且和核心交換機都以萬兆聚合交叉互聯，保證鏈路穩(wěn)定。防護方案：用戶單位數據庫都是以集群部署，無法用傳統(tǒng)ip+port方式進行防護，故采用劃分13個地級市數據庫用戶名，且每個用戶名登錄IP限定。保證各地市都能以不同的數據庫用戶名登錄數據庫且操作都可以被管控。漏洞防護：數據庫防火墻的虛擬補丁防護功能，解決了核心業(yè)務數據庫因不能及時打補丁帶來的安全隱患問題數據外發(fā)場景方案旁路部署DMS-S，便捷高效地將提供給其他單位的敏感數據脫敏處理，同時保證數據可用性，確保敏感數據不外泄的同時不影響業(yè)務運行一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹■l運營體系建設-概況落實管理體系規(guī)范和流程，發(fā)揮技術體系監(jiān)測和防護能力，需要常態(tài)化、完善的運營能力做支撐通過日常運營管控平臺，支撐集中化、日?；臄祿踩\營業(yè)務流程通過日常運營服務、專家服務、護網保障、重保服務、培訓服務，實現數據安全常態(tài)化能力通過可視化的運營監(jiān)管能力，建設運營監(jiān)測中心，幫助管理者全面掌握數據安全運營狀況■l運營體系建設-日常運營-大屏展示通過數據安全運營管控平臺提供給運營人員便捷通過數據安全運營管控平臺提供給運營人員便捷的、流程化的、智能化的、可視化的運營管理工具。安全策略運營安全策略運營風險事件視圖安全風險分析數據資產運營數據資產運營數據流轉視圖數據流轉視圖安全事件追溯安全事件追溯日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障1.1.建設“數據安全集中監(jiān)管、統(tǒng)一運營”的“數據安全運營管控平臺”2.日常運營流程與運營平臺完美結合，實現數據安全日常運營最佳實踐日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障1.建設“數據安全集中監(jiān)管、統(tǒng)一運營”的“數據安全運營管控平臺”2.日常運營流程與運營平臺完美結合，實現數據安全日常運營最佳實踐wl運營體系建設-運營監(jiān)管wl運營體系建設-運營監(jiān)管日常運營運營監(jiān)管服務保障持續(xù)感知數據資產狀況、同步完善備持續(xù)感知數據資產狀況、同步完善備安全合規(guī)策略的落實情況和執(zhí)行效果數據安全運營價值數據安全運營價值掌握風險分布和風險趨勢，提前應對洞悉數據流向、數據風險和處置情況掌握風險分布和風險趨勢，提前應對洞悉數據流向、數據風險和處置情況日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障數據資產安全運營：數據資產安全運營：洞悉數據資產和業(yè)務應用詳情，洞悉敏感數據流轉情況113456數據資產概要應用/接口/運維概要敏感數據分布敏感數據詳情敏感數據流轉資產安全評估113456業(yè)務應用概要涉敏資產分布涉敏數據分布敏感數據詳情業(yè)務訪問趨勢敏感數據流轉日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障數據地圖：數據地圖：幫助運營者全面了解數據中臺的數據資產、敏感數據分布，了解數據業(yè)務應用111數據資產維度5敏感數據統(tǒng)計43543567672敏感數據分布圖6資產分布統(tǒng)計33數據資產統(tǒng)計44資產掃描/認領/備案統(tǒng)計77應用/接口/運維統(tǒng)計467業(yè)務應用分布圖涉敏業(yè)務統(tǒng)計業(yè)務備案統(tǒng)計業(yè)務應用維度4335115涉敏數據統(tǒng)計66業(yè)務熱度排行77應用/接口/運維分布日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障數據安全事件運營：數據安全事件運營：全面了解安全事件分布和處置情況事件分級統(tǒng)計安全事件排名最新安全事件事件分布統(tǒng)計事件趨勢統(tǒng)計事件類型分布事件處置跟蹤最新處置情況未處置事件處置事件統(tǒng)計處置事件趨勢日常運營運營監(jiān)管日常運營運營監(jiān)管服務保障?感知數據資產、業(yè)務系統(tǒng)、敏感數據的分布情況.?敏感數據在部門間、應用間、設備間的流動情況?敏感數據生命周期流動情況.?異常行為事件分布情況統(tǒng)計?分析事件趨勢，事件處置情況數據安全運營的六種視角?掌握標準和制度合規(guī)情況?了解安全合規(guī)策略落實情況?數據生命周期安全能力?數據安全共享和分發(fā)、發(fā)布、追溯?應用數據安全、運維數據安全能力。.?通過風險看板、風險趨勢分析、風險分布，感知數據安全風險wl運營體系建設-服務保障wl運營體系建設-服務保障日常運營運營監(jiān)管服務保障通過日常運營服務、專家服務、護網保障、重保服務、培訓服通過日常運營服務、專家服務、護網保障、重保服務、培訓服數據安全日常運營服務數據安全日常運營服務數據安全評估服務重大保障服務重大保障服務護網服務某客戶數據安全運營部署示意圖一．安全事件及法規(guī)二．安全系統(tǒng)建設方案簡介三．安全管理體系建設四．安全監(jiān)控體系建設五．安全運營體系建設六．案例介紹wl數據安全體系化建設步驟-三個體系建設的優(yōu)先順序1數據安全管理體系建設2數據安全監(jiān)控體系建設3數據安全運營體系建設■l數據安全體系化建設-實操數據安全體系建設可以分為2個階段建設：1)管理體系和監(jiān)控體系建設；2)運營體系建設，完善策略管理和風險監(jiān)測能力，完成數據安全管控平臺的全面建設。1、數據安全管理體系建設1、數據安全管理體系建設2、數據安全技術體系建設建立全面數據安全建立全面數據安全運營體系1、完善規(guī)范、流程和策略管理、風險監(jiān)測能力。2、建設數據安全“集中管控、統(tǒng)一運營”的運營管控平臺數據安全策略集中管控系統(tǒng)風險事件集中監(jiān)測處置系統(tǒng)數據安全風險分析、態(tài)勢分析系統(tǒng)建立管理能力和建立管理能力和基礎監(jiān)測防護能力日常運營服務、專家服務、護網保障、重保服務、培訓服務，實現數據安全運營常態(tài)化wl某銀行數據庫安全防護用戶現狀數據庫所有訪問行為鏡像給審計系統(tǒng)數據庫所有訪問行為鏡像給審計系統(tǒng)敏感數據脫敏處理數據庫安全審計敏感數據脫敏處理數據脫敏系統(tǒng)現場已對數據庫用戶權限進行管控，且已有堡壘機作為運維行為的管控設備，但仍無法對具體SQL操作做限制，若出現誤操作或惡意操作等情況，無法即時攔截阻斷，可能會造成不可估量的損失。解決方案運維側防護：提供流程化管理機制，避免運維人員的誤操作和惡意操作行為，對接行方OA進行審批。結合動態(tài)脫敏模塊，對無權查看的數據進行脫敏處理。行方后續(xù)預計對接app端便于高效審批。研發(fā)側防護：對于研發(fā)側數據全部脫敏處理，保證敏感數據安全數據庫審計：行內目前數據庫種類很多且數據量龐大，對所有數據庫操作行為做到細粒度實時審計、告警，并且事件可追溯方案價值根據運維人員角色權限，匹配安全策略結合審批流程，提升運維管理能力通過數據庫審計，更加直觀的發(fā)現各個數據庫每天的訪問情況，并對一些數據庫高危操作提供告警審計提升數據脫敏效率，不需要人工去除敏感數據再提供給研發(fā)測試，實現脫敏的高效性、可用性，保證敏感數據不外泄。uu需求痛點存在業(yè)務數據取數的需求，當前措施需通過層層審批，但是取數流程沒有脫離人工操作，難免存在管理措施流于形式和人為失誤問題在領導審批時，由于沒有數據的支持，領導無法評估審批的風險，無法良好實現審批的意義方案及價值通過數據脫敏系統(tǒng)，在審批前，提供取數中包含敏感數據情況，領導以此為依據來決定審批行為，降