数据安全解决方案白皮书

1、数据安全解决方案白皮书大数据已被视为国家基础性战略资源，各行各业的大数据应用正迅猛 发展，但随之而来的数据安全问题也日益加剧，有时甚至限制了大数据应用 的发展。基于此，无论是国家机关还是企事业单位，都在加紧数据安全体系 的建设，甚至项目立项时就需要完成数据安全的设计。第1章导读1.1背景近年来数据安全事件频出，尤其个人隐私信息保护是行业关注的热点话 题，GDPR法案的推出进一步推动了全球数据安全相关的法规和标准的建立和 完善，企业的数据安全合规压力陡增，多数企业把数据安全摆在了整个信息安 全体系提升的最重要的位置。然而，数据安全牵扯信息化各个层面的问题，在 企业探究构建完善的数据安全体系时发现

2、：数据安全体系建设是一项体系化工 程，而非简单的技术工具运用，它是个复杂的大工程，从信息安全部门无法推 动，尤其是一些IT建设有诸多历史问题的企业，达到法规和标准的合规要求， 甚至要考虑信息系统的重构。当前，摆在企业信息安全管理者面前的问题是： 如何平衡合规压力和无法改造的复杂业务和信息系统。企业应该构建哪些必备 的模块化的数据安全能力，数据安全体系如何分阶段建设。本白皮书基于数据安全能力图谱，通过客观、全面的对数据安全问题进行 剖析，结合安全实践经验，提出数据安全建设思路和方法，旨在帮助企事业单 位了解数据安全领域现状，理清数据安全体系建设思路。1.2国内法律法规现状数据保护越来越成为各国关

3、注的焦点，目前我国法律法规的核心是监管和 规范企业或个人对于数据的相关行为，以防止滥用数据，以及监管跨境数据转 移等内容，重点保障国家、企业、个人的利益。1）个人信息保护相关的法律法规民法典：第四篇第六章针对隐私权和个人信息保护做出了规定。今后 除了严重侵犯公民人身权利、财产权利的重大违法犯罪行为应当依照刑法 承担刑事责任（可以附带提起民事诉讼）外，对于一般的侵害个人信息权的侵权行为，任何自然人或组织均可以从侵权法的角度进行维权，以个人信息权被 侵犯为由提起民事诉讼。刑法：2009年的刑法修正案七、2015年的 刑法修正案九明确了任何单位、组织、个人违反有关规定，出售或向他人 提供公民个人信息

4、，情节严重的，都将构成犯罪。在2017年的刑法修正案 九司法解释中，明确了公民个人信息的范围包括身份识别信息和活动情况信 息，细化了非法获取、提供公民个人信息的认定标准，对侵犯公民个人信息犯 罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，为司法实践中 开展公民个人信息保护提供了强有力的支撑。网络安全法第四十条至第四 十五条，对个人信息保护做出有关规定，明确了我国个人信息保护的基本原则 和框架，网络运营者保护用户信息的义务，要求网络运营者对其收集的用户信 息严格保密，建立健全的用户信息保护制度。此外，各行业主管单位也开始高度重视个人信息的保护工作，出台专门的个人信息保护法律法规。工业和

5、信息 化部于2013年出台了电信和互联网用户个人信息保护规定（电信规 定），对违反规定的行为应当承担的法律责任进行说明。2014年开始实施的 消费权益保护法也在第二十九条中对个人信息保护做了明确规定。由国家 互联网信息办公室发布，于2019年10月起实施的儿童个人信息网络保护规 定明确了儿童信息保护的原则和框架。2）数据安全法律法规目前针对数据安全法律法规主要是网络安全法，其中第十、十八、二卜一、二十七、三十一、三十四、三十七、六十六条分别对网络服务中的数据 安全保护做了规定，涉及数据安全原则、目标、措施、义务和责任。依据网 络安全法，各部委也做出了一些相关的法规进行细化完善。目前有2020年

6、 的网络安全审查办法、2019年的数据安全管理办法（征求意见稿）、2018年的网络安全等级保护条例（征求意见稿）。此外，已列入本届人大立法计划的个人信息保护法、数据安全法等法律将与网络安全法 形成我国数据安全的法律体系。1.3持续发力数据安全领域1）参与制定国家级行业级规范国内数据安全标准主要由全国信息安全标准化技术委员会（TC260）负责， 围绕数据安全和个人信息保护两个方向，TC260已发布6项国家标准，在研标 准10项。序标准名称标准化对条标;隹内容1个人宕息安全规范涉及个人信身处 理活动的蛆织机 构个人信息安全原则、个人信息处理活 动的安主要求2大数据服务安全能力要求大敬据服务提供荷大

7、敬据服务生命周期的安全要求、登 理要未3大数据安全管理卓南涉及大数见的纽 织机构敬弟活动、角色、职责、安全冈险营 理4数据安全能力成孰度模型涉及敏括的组织数据生帝周期的主全控割措施、通用 竺制措施、能力成熟度评侑模型5数据交易服务安全要求利用大数据交易服务机构进行数 据交易的服务敏矣交易灼象安主、数帝交易活动安 全、数据交易平台安全等6个人信息去标识化有室个人信信去标识 活动个人信息去标识的菅理流、技术模型和方法7个人信息影啊汗估指向涉及个人信皂的 组织结构个人信息安竺影响讦估框、方f去和麻 程6个大信息宕全工程指南涉及个人信息的网第产晶和服务汗F发、设计.测试等系统工程附段 的个人信息工程趣

8、口个人信息吉知同卷指南涉及个人信息的 组织机构个人信息告知、征得个人信息zt钵同息10移动互联网应用（APP）牧 隼个人信息皇本规范移动互联网应用（APP）APP收集个人信JB要求、W1舞服务 类空的最小个人信身范国11个人可识别侑息（PII）此理 者正公有云中保护PII的实践 指南公有云ISO/IEC27016转标，云报芳保护PII的土制措施12数据出埴安全评估指南涉及敬据出境的组况机构数据三境安令七估流程计管内容等13健茶医疗旨息安全指南健康医中信舟控制者，杲护健康区疗言目的安全管塞和技米措施14政务仁息共早拐据安全技术政君信皂共享立换平台政务信息胃的数据安全h?犬要求15圭信领域大数据安

9、全防护卖 现措南垣信领域大教据平台由信朝域大数据平台建设、运营宕全 括南Id数据宦全管珪认证规范散布管理蛆言只、第三方机构数据宫全息体框桀.教育理要 求和控制措庵在个人信息保护方向，参照GB/T35273个人信息安全规范、个 人信息影响评估指南（报批稿）、个人信息安全工程指南（报批稿）、移动互联网应用（APP）收集个人信息基本规范（征求意见稿）。同时，按照个人信息告知同意指南国家标准研究项目，目前该研究项目 已转成国标，由电子四院负责。在数据安全方向，参照GB/T35274大数据服务安全能力要求、 GB/T37973大数据安全管理指南、电信领域大数据安全防护实现指南（草 案）。此外，按照行业标

10、准移动应用软件开发工具包（SDK）安全使用规范，布局移动应用底层数据安全和个人信息保护。2)据安全生态建设安全秉承让数据遵规守序”的理念，以协作共赢”的态度，联合生态伙 伴，共同让数据管理遵循法规，让数据流动遵守秩序”。积极与各行业保持紧 密的交流，不断提升生态的协作能力。第2章亟需解决的数据安全问题收集和汇总了企业数据安全建设过程中遇到的问题，归纳下来，比较突出的有以下六个方面。2.1据资产清册问题数据资产清册问题主要体现在如下三个方面:1）资产状况不清到底拥有多少数据资产？数据资产的变化情况是怎么样？是否有不明资产 和违规资产？实际资产与在册资产是否存在差异？差异情况如何？敏感数据有 哪些

11、？都存储在哪里？2）访问状况不清访问热度如何？有哪些静默资产？哪些是高频资产？敏感数据都在被谁访 问？是否存在僵尸库？3）权限状况不清数据资产的权限变化情况是怎么样的？在某时段内是否发生了提权操作？ 都有哪些数据账号？账号都在被谁使用？账号的权限是否与登记的有差异？是 否有弱口令账号？是否存在账号权限过大、违规的情况？以上三个方面的问题都 是资产不清的具体问题。数据资产梳理是一个持续的过程，数据和业务是不断发生变化的，因此，需要借助自动化工具来开展数据资产管理工作。准确掌握数据 资产状况，是开展数据安全体系建设的基础条件。2.2管理责任不清目前国家施行的法律法规通常都会要求明确数据责任，通过加

12、大惩罚力度， 来提升数据安全防范意识，规避数据资产无人管、数据资产随意用”的现象， 数据资产责任不清主要体现在如下两个方面:1）数据资产未认责数据资产体量大，且使用复杂，贯穿整合业务流程，涉及多个部门和岗位的 人员，数据的所有权，使用权，安全责任等无法清晰划分；同一资产涉及多个部 门或团队使用，且使用频率和重要性无法量化，导致资产认责工作无法开展;2）管9角色的职责边界数据安全管理角色包括数据资产管理员、数据库管理员、安全审计员、安全 检测工程师、数据运维工程师、权限管理员等，一般情况下这些角色可能会由研 发、运维、安全、运营人员来兼任，没有独立的团队或虚拟团队，导致权责不清， 不利于整体提升

13、数据安全防护能力。另外，一旦发生数据安全事件，很难开展追 踪溯源工作。2.3制度不完善1）制度规范未落实或难落实制度规范是数据安全管理和安全技术落地的依据。在开展制度规范编写工作 时，由于没有对现状进行充分的调研，管理制度规范与实际技术措施无法对应， 导致数据安全体系无法落实。2）缺少稽核手段建立了一套切实可行的制度规范，进行了相关的贯彻与执行，但由于缺少稽 核手段，安全管理部门无法及时掌握执行情况。数据安全管控措施无法按照管理 制度体系要求严格执行。2.4据交换管理混乱随着数据应用的快速发展，企事业单位内部向外提供的功能越来越多（小程 序、公众号、APP、Web等），数据会向外卜部、内部和合

14、作伙伴进行交换共享， 随着开放的接口越来越多，交换关系越来越复杂，若未将交换共享的方式和接口 标准化，则会出现功能重复、调用复杂、多点登录等现象，运维人员和应用系统 负责人的压力也会倍增，影响数据应用的发展。2.5安全技术措施零散1)据安全产品功能分散现有的数据安全产品，大多都是单一数据安全功能，如：脱敏，加密，防泄 密，企业部署了很多数据安全类产品，再加之企业数据分布也相对分散，导致各 各网络区域各数据安全产品间无法形成有效联动和和整合机制，导致数据安全管 控能力分散，无法形成统一数据安全管控体系。2）安全能力孤岛由于组织内部的应用会按照部门划分，数据安全能力的建设也会以部门为单 位开展，没

15、有形成整体的防御体系，造成安全短板，容易被不法人员利用。另外 一个维度是角色和职责不明确，IT各部门没有将安全责任进行清晰的划分，当发 生数据安全事件时才考虑防护。即便是有主动建设的意愿，也是各自申请各自建 设。2.6审计能力不足通过对全栈日志的收集与分析，能够有效的制定安全规则，在大量的访问中 自动发现违规和高危行为，降低了数据安全管理员的工作量和风险识别的难度， 同时也提升了准确率。但是，当遇到心脏滴血”、APT这类攻击时，由于这种 攻击是用真实的身份、合规的操作，做非法的事情，所以攻击的操作轨迹和规律 很难被发现，加之这类攻击并没有触碰到现有的规则，导致安全攻击一直在发生， 管理人员却一

16、直不知道。据安全工作思路3.1工作目标 1）让数据流动遵守秩序进入大数据时代后，各类数据将陆续开放，数据应用会越来越多，数据交叉 共享会越来越复杂，在这种情况下一旦发生数据安全事件，影响范围是无法估量 的。在复杂的数据流动情况下，更容易出现疏忽的地方，这给数据安全防护带来 了具大的挑战。传统的方式是针对风险点采取管理手段或技术手段进行管控，相 当于“头痛医头、脚痛医脚”的方式，但在复杂的数据流动场景下，单一的数据 安全技术或产品是无法整体提升数据安全管控能力的，也无法适应数据应用场景 的快速变化。因此，数据安全防护是一项体系化工程，需要联合生态的力量，在 数据流动过程中建立秩序。只有数据在流动

17、时遵守秩序，才能保证数据能够安全 的使用，促进数据应用的发展。2）防泄露、防篡改、防滥用防泄露：数据被违规违法窃取，可能用于商业分析、诈骗、骚扰营销、倒 卖等，造成数据主体和运营方的名誉损失或财产损失，甚至造成刑事案件的 发生，因此，防止数据泄露是数据安全防护的重点。防篡改：数据篡改一般发生在内部，由于利益的驱使，数据管理人员、运 维人员、开发人员等具有较高权限且了解数据逻辑的人员对数据进行非正 常修改，达到为他人或自己获利的目的，例如违章信息删除、摇号信息换人 等等。如果没有很好的控制数据防篡改，则将会导致业务运转混乱，大大降 低公信力。防滥用：数据是企事业单位的核心资产，合理使用数据可以带

18、来新的机 遇。反之，如果没有严格的控制数据使用，使数据泛滥，将会降低数据价值， 丧失竞争力，甚至会在生态中被淘汰。数据被滥用场景举例：3.项目的建设 方或运营方在业主方不知情的情况下利用身份的便利条件分析数据；b.产品 侧没有很好的做数据规划，导致数据使用场景过多、可接触到数据的节点过 多。3.2总体思路数据安全体系应具备数据资产管控能力、数据安全运营能力、数据业务安全 管控能力、数据支撑环境安全管控能力、数据运维安全管控能力和数据安全感知 能力六大能力，覆盖数据全生命周期及重要的数据场景。能力细分如下图所示:昔控能/ 勘据逾产融据贺产管理访问关品管理融据成眼若理皴部醍耘辿！鼓夏电囹君斐按核带

19、产醐赛控高领帝严熊就旅瀚疣皿碰域球破拌成信莒能尤 数厚安全宣宝合型甘律担度 秘甲计代时市讦 配黄宙S 觥窟啊古 痣W.评估拒3J和人星密明管球塘粒,限芭理管控能力彰据业务安全采曜奎51岫薛什数挹再细由母畔SfiZSFii弃健安全*ISiR4t加建觎歌g&*片成岐与所拷府安全电廿认汕如侄惜都共享签垒拓二共4瞌口认证接口中计确1磋T出共亨姓IB与新祛全匡芝比血够泰噩用行为识别安圭峰初段序佬敝据库安全裁抠片时.原备迎攻击语1赋号蒲补j修里大敝据平台安全刖住别访问柱制安泰法豺代漏珏制全在坤馨力即住恒冬日志采生曰志分析故摩使用日春梅弭查更日志安全监控与期计甘向肝-悌S3阪皇慑半关忠分折安全卷警可柳化展观

20、贫EUj=IAUEBA教荫豚赫位折第4章数据安全能力建设4.1据资产管理能力数据资产梳理是提升数据资产管理能力的基础。如果在资产统计不完整、资产信息不准确的情况下开展数据安全防护，则会出现盲点，防护手段的价值不能充分发挥，甚至会影响安全方面人力、财力的决策。因此，在开展数据安全体系建设前，应先开展数据资产梳理工作。传统的梳理方式以访谈为主，存在准确率低、人工投入大的弊端。借助静态扫描和协议解析技术，结合人工的方式，可有效提升效率和准确率。另外，在开展数据资产梳理过程中，还可以发现高频资产、静默资产、僵尸库等，使得数据资产的管理水平也得到提升。4.2疽 L J据安全运营岫数据安全运营是近几年逐渐

21、被重视起来的。传统的数据安全防护主要靠技术手段和管理制度进行约束，相对被动，很多制度也执行不起来，从业人员安 全能力有限，一旦出现安全事件，响应速度和处理能力相对较弱。通过建立完善的数据安全运营体系，让专业的人做专业的事，让数据安全工作伴随业务持续进行，提供实时的安全保障，可有效提升安全管理能力和安全防护能力，应对随时可能发布和执行的法律法规。4.3据业务安全管控能力目前可用于数据安全管控的技术即成熟又全面，典型的有数据脱敏、数据 加密、数据行为管控等等。由于数据安全需要与业务进行关联，甚至需要渗透 到业务的流程中，数据安全类产品又相对独立，这种情况下的集成往往会对业 务造成性能大幅下降、改造

22、工作量大，还有重复建设、高运维成本、安全能力 孤岛等现实问题，不利于数据安全体系的建设。因此，需要将数据安全技术进 行融合，统一管理、统一调用，形成公共资源池，以服务的形式应用到数据生命周期的各个环节中去。4.4据支撑环境安全管控能力主要是对数据库本身和大数据组件进行安全加固，配合数据安全技术对数 据资产进行访问控制，定期开展安全扫描和配置核查，确保数据资产的安全性和可用性。4.5据运维安全管控能力数据运维角色一般是指数据库管理员、数据运维工程师、开发人员等权限 范围较为广泛的人员。目前曝出的众多数据泄露事件大多是由这类人员造成。另外，数据运维过程中不排除会出现误操作造成的数据损毁现象。因此，

23、高权 限人员应被重点关注。对于高权限人员可以从授权审批、违规识别与阻断、高 危操作提示与阻断、数据遮蔽四个方面进行管控，并建立权限回收机制，支持静态授权和动态授权，管控粒度达到语句级。4.6据安全感知能力数据安全感知能力主要依靠监控与审计，核心价值是辅助决策、发现违规 并调查取证、稽核制度规范和安全策略的执行情况。监控和审计工作由数据安 全管理员和工具平台组成，工具平台可以帮助数据安全管理员对大量的日志进 行运算和汇总，并从中自动发现触碰规则的行为，数据安全管理员可以从日志 信息中发现潜在的安全风险，不断完善和增加安全规则，使得本组织的数据安 全防护能力不断提升。监控和审计工具平台应具备日志信

24、息采集、日志汇总与 分析、规则识别、告警和可视化展现五个能力。第5章关键数据安全技术5.1敏感数据识别和脱敏技术敏感数据识别技术可以从海量的数据中发现敏感数据，帮助组织建立系统 的敏感数据分布视图，同时提供替换、位移、哈希处理、标记化以及保留格式 加密等脱敏算法，有选择性地对敏感数据进行脱敏处理，以防止敏感数据在内 部使用、夕卜部共享等环节的泄露。传统的敏感数据识别主要采取关键字、字典 和正则表达式匹配等方式，自动化程度和准确率较低。随着人工智能和机器学 习技术的引入，针对不同类别的敏感数据，机器学习技术可以实现大量数据的 聚类分析，自动生成分类规则库，敏感数据自动化识别效率和准确率均大幅提

25、升数据脱敏技术主要有三种。第一种是加密方法，通过加密算法对数据进行 加密处理，起到保护的作用，但加密后数据会失去业务属性，不利于使用，这 种方法适用于机密性要求高、不需要保持业务属性的场景；第二种是基于数据 失真技术，例如随机干扰、舌L序等不可逆算法。适用于群体信息统计或需要保 持业务属性的场景；第三种是可逆的置换算法，通过位置变换、表映射、算法 映射等方式，兼具可逆和保证业务属性的特征。5.2据泄露防护技术数据防泄漏技术是保障重要数据不会以违反安全策略规定的形式流出企业 的一类数据安全防护手段。针对终端数据泄露和存储数据泄露风险，通常采用 身份认证、进程监控、日志分析和安全审计等技术手段，监

26、测和记录操作人员 对重要数据的访问和操作情况，主动识别监控终端和存储中的敏感数据的使用 和流动状况，对违规使用进行警告、阻断。针对网络数据泄露风险，通常采用 网络流量分析、文档指纹、人工智能等技术，监控服务器、终端以及网络中动 态传输的敏感数据，发现和阻止敏感数据通过网络泄露。随着人工智能技术的 大量应用，智能化识别、监控和阻断将会成为数据防泄漏技术发展的趋势。数 据防泄露技术将实现用户行为分析与数据内容的智能识别相结合，实现数据的 智能化分层、分级保护，并提供终端、网络、云端协同一体的敏感数据动态集 中管控体系。5.3结构化数据库安全技术结构化的数据安全技术主要是指数据库安全防护技术，可以分

27、为事前风险 评估、事中安全管控和事后分析追溯三类，其中事前风险评估主要采用数据库 漏洞扫描技术，事中安全管控主要采用数据库防火墙、数据库加密、数据库脱 敏技术，事后分析追溯主要是数据库审计和数据水印技术。数据库防火墙：通 过实时分析用户对数据库的访问行为，自动建立合法访问数据库的特征模型。同时，通过访问控制和虚拟补丁等防护手段，及时发现并阻断SQL注入攻击和 违反安全策略的数据库访问请求。数据库安全审计：通过监控数据库的多重状 态和通信内容，评估数据库所面临的风险，并可通过日志进行事后追查取证。通过AI威胁智能识别，超越传统安全规则库的局限性，可实现对数据库未知风 险的识别。数据库加密：基于加

28、密算法和合理的密钥管理，有选择性地加密敏 感字段内容，保护数据库内敏感数据的安全。敏感数据以密文的形式存储，能 保证即使在存储介质被窃取或数据文件被非法复制的情况下，敏感数据仍是安 全的。并通过密码技术实现三权分立，避免数据库管理员密码泄漏带来的批量 数据泄漏风险。数据水印：数据库水印技术可为系统中的数据添加水印标记， 这些水印标记与原数据格式相同，不会被察觉；在外泄过程中即便有部分数据 丢失，也不会影响信息还原效果；当泄露数据被发现后，可根据数据中的水印 查找泄露点，实现事后追责。数据安全态势感知：通过与业务系统、数据资源 系统、数据安全系统（数据库审计、数据库防火墙、数据加密、数据脱敏）进

29、 行日志对接，应用大数据分析技术对访问日志和管理日志进行集中分析，将多 种日志信息归一化，从多个维度感知数据安全风险，集中展示数据资产安全态 势。5.4大数据平台安全技术目前开源大数据平台套件的安全机制不足表现为以下几个方面，一是在身 份认证方面，开源大数据平台多采用简单机制和Kerberos机制。简单机制只 能避免内部人员误操作。基于Kerberos的认证方式对于系统外部可以实现强 安全认证，但其基于操作系统用户的认证机制无法支持各组件之间的身份认 证。二是在访问控制方面，开源大数据平台各组件多采用不同的访问控制，包 括基于权限、基于角色、基于标签和基于操作系统的访问控制。大数据场景下 用户角色众多，用户需求复杂，在针对每个用户实现精细化、细粒度访问控制 方面存在不足。三是安全审计方面，开源大数据平台组件众多，并且各自独立 提供日志和审计记录，实现统一安全审计存在困难，需要借助日志审计平台从 集群中各节点采集审计日志，