版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
CDSP证书资料目录239441简介 8256731.1编写目的 8175251.2背景 8197342数据安全导论 8257192.1数据安全法 8175242.2数据安全领域定义 8174882.3数据安全框架&模型 9283382.4中国数据安全法律法规体系 954692.4.1法律 1012432.4.2行政法规&部门规章&规范性文件 10197332.4.3国家标准 10114492.5安全法解读 1012164数据处理 118686数据 11313612.6全球数据保护要求 11165812.7数据安全基础体系 1281132.7.1数据生命周期 1218608数据安全法数据生命周期 12111642.7.2数据分类&数据分类框架 1270512.8数据定级流程&数据分级框架 13108392.8.1数据定级流程 13102652.8.2数据分级框架 1378252.9密码学与密钥管理 14249262.10硬件与信任基础 1415472.11数据安全治理DSG框架 14291132.12数据安全能力成熟度模型 14324452.13小结 1540853数据安全风险挑战与应对 15312883.1基础设施的典型攻击 15198713.2影响数据安全的六个内容 1564063.3多部数据法律的交集--数据安全 15126533.4个保法(个人安全保护法)对应GDPR多部分内容 16220363.5风险管理的基本步骤 16177853.6安全属性 16108623.7通用风险评估方法 17165293.7.1个人信息安全影响评估 17214583.7.2DPIA 17273893.7.3控制方式评估 18319753.8常用数据分类分级 1887943.8.1商业敏感性分级 18153863.8.2隐私敏感性分级 18157513.8.3金融行业影响程度分级 18180263.9数据的分类分级(杜克大学) 19227063.10数据安全指南举例(快递物流数据安全) 20239903.10.1快递物流举例风险提示 2048673.11风险缓解措施 20323233.11.1加密方式实现安全控制 20211173.11.2最佳实践数据库加密 20116623.11.3关键缓解措施身份认证 2120613.11.4DLP 2173434数据安全架构与设计 22319624.1数据安全领域基础定义 2289184.2数据安全治理 23151914.2.1安全治理前提 23308884.2.2数据安全架构需求 24311424.2.3国内数据安全相关标准 2590944.2.4优秀数据治理框架-DGI 26226034.2.5DGI数据治理过程 28143364.2.6推荐数据治理角色 2880034.2.7数据安全治理的主要的挑战 2853864.2.8数据安全治理(DSG)级别与核心 29135544.2.9数据安全治理的建议 3014534.2.10数据安全治理分析 3196234.2.11分类和识别受业务风险影响的数据集 31259154.2.12使用CARTA模型选择安全策略规则和功能以降低风险 3218134.2.13国内《数据安全治理白皮书》 346124.3数据安全管理 3493034.3.1安全设计原则 3480794.3.2COBIT数据治理管理 37298584.3.3DGI 3790654.3.4数据安全的主要要素 38180534.3.5数据安全规划与策略 38252284.3.6数据安全管理职能的15个指导原则建议 398484.3.7数据安全管理管理活动 40296054.4数据安全架构与案例 41223274.4.1数据安全治理思考维度 41188194.4.2金融数据安全架构举例 42111424.4.3软件系统架构和安全架构的定义 42273854.5安全架构设计 4229714.5.1安全架构设计步骤: 4378024.5.2设计 4347304.5.3系统架构展现形式:4+1 43204344.5.4安全架构模型 44118324.5.5DevOps和DevSec 45267304.5.6风险评估 45121824.5.7审计认证 45222694.5.8安全架构维度 4639584.5.9安全架构视图 46106674.6样例 47248634.6.1数据安全治理样例一网络支付服务数据活动 47301414.6.2数据安全设计样例一网络支付数据分类 47244174.6.3数据安全设计样例一网络支付服务数据定级示例 47252604.6.4数据安全设计样例一网络支付服务数据活动 48133364.6.5数据安全设计样例一网络支付服务数据活动 4866834.6.6数据安全管理样例一网络支付服务数据活动 48216744.6.7微软工具样例一数据治理 49114955密码学与加密基础 49254445.1基本属性 49157425.1.1基本属性应对的威胁及相关技术 50176465.1.2现代数据依赖密码学的场景 505325.1.3对称加密 51210365.1.4OTP(OneTimePadding) 5114035.1.5流加密 5246675.1.6块加密 529255.2密钥管理基础 5514085.2.1密钥管理与监管要求 56263505.2.2密钥管理 5645615.2.3数据加密范围 57220995.2.4密钥管理监管 57248975.3密码学国际国内标准 58325865.3.1密码学国际标准 58205176隐私保护和数据安全合规 61262076.1隐私概念 61113266.2隐私和个人数据 6161896.2.1隐私监管 62220606.3法律法规及监管要求 62101076.3.1中国隐私保护法律法规 6280936.4个人信息保护法 6323606.4.1发展史 63214616.4.2结构 6395706.4.3主要术语 6314056.5隐私保护原则 65276776.5.1隐私预设原则 65214647新兴技术的数据安全挑战 67308527.1大数据与数据安全 67109697.1.1大数据安全挑战 67222657.1.2Csa大数据安全框架 68237267.1.3大数据安全应对 68294397.2AI数据安全 69104157.2.1人工智能、机器学习、深度学习的关系 6943257.2.2机器学习 6989287.3区块链与数据安全 7166037.3.1区块链算法&结构 71185307.4IoT与数据安全 73298957.4.1物联网定义 73124217.4.2IoT数据安全 73159247.4.3IoT数据的生命周期风险 7418867.4.4IoT架构及相关法规 74303197.4.5汽车安全若干规定 7597347.5隐私保护技术 76193427.5.1安全计算技术 76322507.5.2工程化数据隔离技术 77322237.5.3安全聚合 77
简介编写目的本文档的编写目的是为了整理CDSP证书考前资料,以此作为做为考前的复习资料。背景由于数据安全与公司的产品息息相关,公司需要相关资质。数据安全导论数据安全法模块内容出口管理国家对与维护国家安全和利益履行国际义务相关的属于管制物项的数据依法实施出口管制。分级分类各地区、各部门应按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。应急响应国家建立数据安全应急处置机制。发生数据安全事件时,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息安全审查国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。贸易措施任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止,限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。风险管理国家建立集中统一、高校权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。数据安全领域定义定义介绍数据任何数字形式信息任何组织都需要存储知识和数据数据生命周期数据的生命周期:生成、存储、使用、传输、备份、销毁6个阶段数据安全针对数据的生命周期提供安全保护数据安全框架&模型框架属性详情数据安全模型--NISTFIPS199机密性机密数据仅正确的用户才可以访问数据尽量不受内部或者外部的系统漏洞的影响能报告谁访问了哪些数据,干了什么(WHO/WHAT/WHEN)绝密数据和法律敏感数据需特别关注完整性确保外部来源的数据格式正确确保输入数据的精确性和可验证数据传输符合工作流的规则能报告数据的修改和授权方,以符合组织规则和隐私法律法规可用性数据在需要时必须可用数据只能给合适的用户必须能跟踪谁访问了和访问过哪些数据数据分类原则法律要求价值关键性泄露或被篡改的敏感性商业机密数据客户数据雇员HR数据合作伙伴数据财务数据中国数据安全法律法规体系法律《网络安全法》《数据安全法》《个人信息保护法》行政法规&部门规章&规范性文件《儿童个人信息网络保护规定》《网络安全审查办法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《常见类型移动互联网应用程序必要个人信息范围》《个人信息出境安全评估办法(征求意见稿)》《互联网个人信息安全保护指南》《App违法违规收集使用个人信息自评估指南》......国家标准《GB/T31500-2015信息安全技术存储介质数据恢复服务要求》《GB/T15843.6-2018信息技术安全技术实体鉴别第6部分:采用人工数据传递的机制》《GB/T
37025-2018信息安全技术物联网数据传输安全技术要求》《GB/T37973-2019信息安全技术大数据安全管理指南》《GB/T35273-2020信息安全技术个人信息安全规范》《GB/T
39335-2020信息安全技术个人信息安全影响评估指南》《GB/T39276-2020信息安全技术网络产品和服务安全通用要求》《GB/T
39725-2020信息安全技术健康医疗数据安全指南》《信息安全技术数据出境安全评估指南(征求意见稿)》安全法解读表一:定义详情目的规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。范围中华人民共和国境内开展数据处理活动及其安全监管在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益。定义数据数据是指任何以电子或者其他方式对信息的记录。数据处理包括数据的收集、存储,使用、加工、传输、提供、公开等数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。原则维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。数据处理数据处理过程:收集、存储、使用、加工、传输、提供、公开数据处理的六个方面:制定数据安全管理制度建立数据安全教育培训实施安全技术重要数据处理者确定数据安全负责人和管理机构,落实数据安全保护责任,定期开展风险评估,并向有关主管部门报送风险评估报告关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定数据交易机构数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可通用保护义务加强风险检测,发现数据安全缺陷、漏洞等风险时,应当即刻采取补救措施;发生数据安全事件时,应当即刻采取处置措施,按照规定及时告知用户并向有关主管部门报告其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定任何组织、个人收集数据,应当采取合法、正当的方式,不应窃取或者以其他非法方式获取数据公安机关,国家安全机关网依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合未经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据全球数据保护要求财务数据SOX法案(美国):关注金融行业敏感数据保护.PCIDSS(支付卡行业数据安全标准/美国):支付数据的安全.GLBA法案(美国):金融服务中的个人数据健康数据HIPAA(健康保险可移植性与责任法案/美国)个人数据GDPR(通用数据保护法案,欧盟)CCPA(加利福尼亚州消费者隐私保护法案,美国)BDSG(德国联邦个人资料保护法,德国)数据安全基础体系基础体系详情数据生命周期采集、传输、存储、使用、共享、销毁数据分类框架欧盟数据、个人数据、财务数据、健康数据访问控制体系资源授权、访问鉴权、数据隔离密钥管理体系密钥生成、密钥分发、密钥管理、加密引擎信任根硬件ID、证书、可信环境数据生命周期数据安全法数据生命周期收集>>>存储>>>使用>>>加工>>>传输>>>提供>>>公开数据安全法数据安全能力成熟度模型采集>>>传输>>>存储>>>处理>>>交换>>>销毁数据分类&数据分类框架中国按行业进行分类例:《政府数据数据分类分级指南》《JRT0197-2020-金融数据安全分级指南》《证券期货业务数据分类分级指引》数据分类框架:数据识别+持久化标签=数据分类数据识别:结构化/非结构化系统自动识别/人工识别持久化标签:嵌入到数据中/到外部的引用(DB或文件系统)数据分类实施步骤明确要分类的对象>>>决定涉及的生命周期状态>>>选择分类方式(人工/自动)>>>定义和应用标签数据分类案例数据类型描述示例A类全面保护财务数据、健康数据B类未打开文件的保护锁屏状态下可写的敏感数据(运动健康类例如步数、移动办公类如邮件附件)C类首次用户认证前保护默认的文件类型D类无保护开机输入锁屏密码之前必须可用的数据。比如闹钟卓面壁纸数据定级流程&数据分级框架数据定级流程严重损害>>>一般损害>>>轻微损害>>>无损害数据资产梳理:对电子数据进行盘点、梳理与分类,形成统一的数据资产清单梳理数据资产,统一数据格式;数据安全分级合规性准备.数据安全定级准备:明确数据定级颗粒度;识别数据安全定级关键要素.数据安全级别判定:数据安全级别初步评定数据安全级别复核根据定级形成不同安全级别的数据清单数据安全级别审核:审核数据安全级別评定过程及结果。数据安全级别批准:对最终数据安全级别评定结果进行审议和批准数据分级框架影响对象+影响程度=数据分级影响对象:国家安全、公众权益、个人隐私、企业合法权益影响程度:保密性、完整性、可用性数据访问控制访问控制:保证正确的人(或者物)(使用正确的设备)(在正确的位置)(在正确的时间)(有正当的理由)能访问到正确的资源。密码学与密钥管理密码学:使用数学技术提供安全服务,例如机密性,数据完整性,实体身份验证和数据源身份验证。密钥管理:加密钱包和密钥的生成/分发密钥和密钥存储文件的保管密钥的可用性,保留和恢复共享密钥的授权监管要求:密钥与加密数据的物理分离定期密钥轮换监控和审核密钥长期保留密钥和加密数据硬件与信任基础云:基于硬件安全模块(HSM)的密钥管理端:现代的设备中很多嵌入TPM,TEE,可以实现密码算法加速、密钥管理等功能。数据安全治理DSG框架平衡业务需求与风险识别优先级与管理数据集生命周期定义数据安全政策实践安全产品编排所有产品的策略数据安全能力成熟度模型能力成熟度等级维度1级:非正式执行2级:计划跟踪3级:充分定义4级:量化控制5级:持续优化数据安全过程维度组织建设制度流程技术工具人员能力安全能力维度数据生命周期安全数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全通用安全小结数据安全:针对数据的生命周期提供安全保护数据分类:是数据安全的前提加密和访问控制是数据安全的两种实施机制ISO27001/27002对安全架构提供标准定义数据安全风险挑战与应对基础设施的典型攻击排在前列的攻击方式是:钓鱼未打补丁的漏洞DDOSSQL注入跨站脚本攻击(XSS)兴趣驱动的黑客攻击APT(高级持续性攻击)影响数据安全的六个内容黑客:脱库、盗号、黑站内贼:倒卖、泄露、瞎编伪白帽子:报漏洞、舆论打击竞争对手:DDOS、间谍国内团伙:假冒、勒索、诈骗国际大盗:劫持、暴库、勒索、APT多部数据法律的交集--数据安全个保法(个人安全保护法)对应GDPR多部分内容知情权可访问权有权改正和补充删除的权利反对和限制个人数据处理的权利资料可携权有权拒绝自动决策有权收回同意向监管机构提出投诉的权利风险管理的基本步骤风险识别>>>风险影响评估>>>风险优先级分析>>>风险的应对(计划、实施、监控,追踪)业务影响程度分析(BIA)识别关键业务活动确定关键人员,技术和设施计算对组织运营的价值估算中断时对组织的(负面)价值数据流分析记录业务流程的数据流开发IT系统图和网络图确定需保护的内容,以保护组织的目标安全属性说到安全属性首先想到的就是CIA,这里的CIA不是美国中央情报局的缩写,而是Confidentiality(机密性),Integrity(完整性),和Availability(可用性)三个英文单词的首字母。机密性:保证机密信息不被窃取,窃听者不能了解信息的真实含义。完整性:保证数据的一致性,防止数据被非法用户窜改。可用性:保证合法用户对信息资源的使用不会被不正当的拒绝,如DOS攻击。除了CIA三个最常见的安全属性外,这里再补充三个:鉴权:身份验证,建立用户身份。授权:明确允许或拒绝用户是否能访问资源,访问哪些资源。认可(不可抵赖):用户无法在执行某操作后否认执行了此操作。举例:仿冒>>>鉴权篡改>>>通过完整性来进行保护防>>>保密性信息的泄露>>>机密性DDOS>>>可用性特权提升>>>授权通用风险评估方法风险等级应该基于发生的可能性以及业务影响程度评估。(ISO/EC27005:2008)个人信息安全影响评估评估步骤:开展评估前,需对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(dataflowcharts),并梳理出待评估的具体的个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级,并提出相应的改进建议,形成评估报告。(GB/T39335-2020)评估流程:DPIA(欧盟数据保护影响评估)控制方式评估开发:>业务流程工作流>数据流>IT系统图和网络图确定保护机制(例如加密、a控制)常用数据分类分级商业敏感性分级分类举例说明机密商业秘密,非公开财报,研究成果保密项目细节信息,财务预测,工资收入信息只供内部使用项目信息,组织架构,原材料信息公开组织公开介绍,产品介绍信息隐私敏感性分级分类举例说明高度限制私隐个人健康和财务信息,个人可识别信息受限制私隐个人邮箱地址,家庭地址,年龄等只供内部使用的隐私公司手机号,员工卡号,部门公开的私隐个人在社交媒体上公开的信息,个人作为公众人物公开信息金融行业影响程度分级影响程度:非常严重、严重、中等、轻微数据的分类分级(杜克大学)明确数据分类的目标和数据合规要求在杜克大学完成作业时,所有用户都可能接触到许多类型的信息或数据,其中一些可能被认为是敏感的或受限制的,这取决于杜克大学的数据分类和监管要求。杜克大学有责任实施程序和标准来帮助用户保护他们的数据。本标准的目的是定义杜克的数据分类和每个分类的数据类型。数据及风险分类为了帮助处理任何格式的信息,杜克定义了三类信息:敏感信息、受限信息和公共信息。由于信息处理不当的风险影响,每个分类层都需要特定级别的技术和过程安全控制.有关分类或处理资料的问题,应直接向数据专员、主管、部门安全联络员或大学数据科技保安处提出。部门安全联络员可与资讯科技安处协调。协助部门用户制订适当的控制程序,以保障敏感或受限制的资料。3、角色和职责为了正确处理数据,杜克大学的教职员工需要了解信息的分类以及相关的风险,以便理解如何正确、安全地处理这些信息团队定义数据管家DataSteward对一组特定数据负有责任和行政权力的个人。数据管家的角色是负责的人:使用信息的功能,确定保护信息的水平,决定适当的使用信息,分类信息,为业务结果的系统或业务使用信息。数据管理者DataManager负责实现数据管家识别的安全控制的人员。数据管理者负责确保对包含敏感和受限数据的系统进行适当的安全控制(参见技术标准)数据的用户DataUsers真正“触摸"信息的人(输入、删除、甚至阅读),用户有责任采取合理的预防措施,防止他们可查阅的资料外泄。未经数据管家的适当授权,用户不应授予对数据的访问权。校园单位CampusUnits杜克大学信息安全办公室的建议是,所有收集和存储信息的校园单位都要记录与收集和存储有关的政策程序和体系结构,而不管信息格式(电子、纸张、图像、声音等)如何。本文件应详细说明帐户的创建和删除、记录的保留和销毁、备份的保留和销毁以及任何其他相关程序数据安全指南举例(快递物流数据安全)快递物流举例风险提示个人信息过度收集;自动化决策侵害个人利益与第三方共享或委托处理时,数据未得到同等保护,存在数据泄露数据处理各环节数据泄漏数据存储介质丢失,引起数据泄露设备丢失或保护措施不力,引起数据泄露个人数据或敏感数据未经授权出境风险缓解措施加密方式实现安全控制网络流量的加密保护(TLS)数据存储/系统数据的加密数据使用中的加密保护数据库中敏感内容的加密保护加密密钥和证书的防护授权和鉴权机制的加密最佳实践数据库加密以数据为中心的加密:加密和数据越接近,保护强度越高应用层加密格式保留加密(FPE)关键缓解措施身份认证概念:Whatyouknow?Whatyouare?Whatyouhave?身份认证的历史:时间认证类别60年代中心化认证服务器密码认证主要认证雇员90年代中心化认证服务器/sso双因子认证认证雇员与合作伙伴千禧年代中心化/sso/联邦认证生物认证初步普及认证雇员与合作伙伴、用户2010年代迈向去中心化多因子认证认证人、物、连接和服务DLP相关数据流程传入数据:使用中的数据、传输中的数据、静态数据处理方式:拒绝、告警、提醒、加密、替换/删除数据特征:身份证号、银行账户、电话号码等数据/文件指纹:框架格式、关键字、内容特点部署情况独立部署:独立的硬件设备或以软件形式安装在独立的服务器上,通过主动扫描目 标(主机、文件服务器等)或被动监听网络流量,发现敏感数据的不当使用时进行阻断或告警等处理集成部署:与其他产品/设备(如WEB安全网关、邮件服务器、IPS/IDSUTM等)集成, 通过被集成的产品/设备获取数据,发现敏感数据的不当使用时进行阻 断或告警等处理数据安全架构与设计数据安全治理与架构整体层次图数据安全领域基础定义数据:任何数字形式信息任何组织都需要存储知识和数器数据生命周期:常见数据的生命周期:生成、存储,使用、传输、备份、销毁6个阶段采集传输存储使用共享销毁 数据安全:针对数据的生命周期提供安全保护数据治理的一般定义:数据治理是定义组织中谁有权控制数据资产以及如何使用这些数据资产的系统,它包括管理和保护数据资产所需的人员、流程和技术。数据治理研究所定义:数据治理研究所将其定义为相关过程的决策权和责任系统,根据商定的模型执行,该模型描述了谁可以用什么信息采取什么行动,何时、在什么情况下、使用什么方法.数据治理定义:数据治理是决策权的规范和问责框架,以确保在评估、创建、消除和控制数据和分析方面的适当行为.数据安全治理安全治理前提数据治理目标与职能数据治理是由企业高级管理层的数据治理委员会发起并推行的,是关于如何进行整个企业内部数据的商业应用和技术管理的一系列。数据治理应实现如下管理目标,即:满足数据利益相关方的需求,创建标准化、可重复的治理过程确保治理过程透明化,减少运营冲突更好的决策制定,通过协同工作减少成本、提高效率就数据相关问题的一般处理方式对管理层与员工作培训数据治理是由企业高级管理层的数据治理委员会发起并推行的,是关于如何进行整个企业内部数据的商业应用和技术管理的一系列政策和程序。数据治理是一套持续改善管理机制,通常包括了组织架构、政策制度、技术工具、数据标准、作业流程、监督及考核等方方面面。数据治理委员的职责就是促进并支持这些治理活动。数据治理业务需求数据治理能够帮助我们实现遵守安全及隐私监管与法律要求更好地数据安全政策,数据共享,识别私人或敏感数据的位置以确保我们的数据是可用的更好地数据备份、数据配置、数据监控、容量和性能管理、应用数据安全等策略和流程的管理确保我们可以很容易地整合数据更好地开发灵活的数据体系结构,允许快速集成新的数据源确保我们可以很容易地整合数据更好地进行数据整合,并可以应用数据的业务规则,提升数据质量
使我们的展现、报告标准化更好地公共数据定义和业务规则的协议提高数据质量更好地创建数据质量记分卡,定义“适合使用”
,将数据质量推到“一线”更好地了解我们的客户或供应商更好地提高客户/供应商记录的完整性和准确性确保数据问题得到优先处理和解决更好地建立数据所有权和向组织提供数据的责任成为一个数据驱动的组织更好地确定数据项目的优先次序并为其提供资金IT治理框架COBIT数据治理目标与职能数据治理是由企业高级管理层的数据治理委员会发起并推行的,是关于如何进行整个企业内部数据的商业应用和技术管理的一系列。数据治理应实现如下管理目标,即:满足数据利益相关方的需求,创建标准化、可重复的治理过程确保治理过程透明化,减少运营冲突更好的决策制定,通过协同工作减少成本、提高效率就数据相关问题的一般处理方式对管理层与员工做培训数据治理是由企业高级管理层的数据治理委员会发起并推行的,是关于如何进行整个企业内部数据的商业应用和技术管理的一系列政策和程序。数据治理是一套持续改善管理机制,通常包括了组织架构、政策制度、技术工具、数据标准、作业流程、监督及考核等方方面面。数据治理委员的职责就是促进并支持这些治理活动。数据安全架构需求法规:法律(网安法、数安法.)法规、行业要求标准:ISO27001ISO20000ISO22301ISO31000客户需求:自动化人工智能定制需求持续改进网络安全法网络安全法不是网络安全立法的终点,相反,是网络安全立法的起点。与《网络安全法》相关的法律有《国家安全法》,《保密法》,《反恐怖主义法》,《反间谍法》,《刑法修正案》(九),《治安管理处罚法》,《电子签名法》、《数据安全法》、《个人信息保护法》等。这些法律与网络安全法不是上位法和下位法的关系,同属同一法律位阶。网络安全法是我国网络安全管理的基础法律,与其它相关法律在相关条款和规定上互相衔接,互为呼应,共同构成了我国网络安全管理的综合法律体系。网络安全法也是在现行的一些制度的基础上,例如《关于加强网络信息保护的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等,上升和完善的成果,为更好的开展网络安全工作提供了法律保障。网络安全等级保护2019年12月1日开始实施《信息安全技术网络安全等级保护基本要求》,信息安全等级保护制度是国家信息安全保障工作的基础,也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作,发现企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足,通过安全整改,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。管理要求"从元素到活动”提出安全要求,"安全管理制度"、"安全管理机构"和"安全管理人员"主要提出了管理不可缺少的制度、机构和人员三要素,"安全建设管理"及"安全运维管理"主要提出了建设过程和运维过程的安全活动管理要求。2. 技术要求“从面到点"提出安全要求,"安全物理环境"主要对机房设施提出要求,"安全通信网络”和"安全区域边界"主要对网络整体提出要求,“安全计算环境"主要对构成节点(包括业务应用和数据)提出要求,"安全管理中心”主要对系统管理、集中管控等提出要求。《网络安全等级保护》:定级系统互联的设计目标是:对相同或不同等级的定级业务应用系统之间的互联、互通、互操作进行安全保护,确保用户身份的真实性、操作的安全性以及抗抵赖性,并按安全策略对信息流向进行严格控制,确保进出安全计算环境、安全区域边界以及安全通信网络的数据安全。定级系统互联既包括同一云计算平台上的不同定级业务系统之间的互联互通,也包括不同云计算平台定级系统之间的互联互通。同一云计算平台上可以承载不同等级的云租户信息系统,云计算平台的安全保护等级不应低于云租户信息系统的最高安全等级。(2019年12月正式实施)ISO27001标准ISO/IEC27001是一个信息安全标准,是ISO/IEC27000系列标准的一部分,其最新版本于2013年发布,自那时起进行了一些小的更新。它由国际标准化组织(ISO)和国际电工委员会(IEC)在ISO和IEC联合小组委员会ISO/IECJTC1/SC27下发布。ISO/IEC27001规定了一种管理系统,.旨在将信息安全置于管理控制之下并提供特定要求。符合要求的组织可在成功完成审核后由认可的认证机构进行认证。ISO/IEC27001要求管理:(1)系统地检查组织的信息安全风险,同时考虑到威胁,漏洞和影响;(2)设计并实施一套连贯而全面的信息安全控制和/或其他形式的风险处理(如风险规避或风险转移),以应对那些被认为不可接受的风险;(3)采用总体管理流程,确保信息安全控制能够持续满足组织的信息安全需求。国内数据安全相关标准N机构数据安全相关标准数据安金相关标准简述2021信安标委《人脸识别数据安全要求(征求意见稿)规定了人脸识别数据的基本安全要求,安全处理要求和安全管理要求,剑指人脸数据多采,泄露或丢失,以及过度存储、使用等问题2021信安标委《基因识别数据安全要求(征求意见稿)》定义了基因识别数据,对基因识别数据在各场景各活动中的安全处理及支全管理要求进行了规定,旨在指导基因识别数据控制者安全开展基因识别数据业务,保证数据主体权利。2021信安标委《声纹识别数据安全要求(征求意见稿)》给出了声纹识别数据活动的四大场景,明确了声纹数据的基本安全要求、安全处理要求,安全管理要求。2021信安标委《步态识别数据安全要求(征求意见稿)》围绕个人信息安全,从全生命周期角度针对步态识别数据的特点提出相应的安全要求.2021信安标委《网络支付服务数据安全指南(征求意见稿)
》规定了网络支付服务可以收集、使用、存储、共享、转让、公开披露的数据种类、范围、方式、条件等,在指导网络支付服务运营者和相关监管部门规范网络支付服务的数据处理活动2021信安标委《快递物流服务数据安全指南(征求意见稿)给出了快递物流服务的数据收集、存储、传输、使用、委托处理、删除、出境等数据处理活动的安全保护要求,旨在指导快递物流服务运营者和相关监管部门规范快递物流服务数据处理活动2021信安标委《网上购物服务数据安全摘南(征求意见稿)
》规定了网上购物服务可以收集、存储、使用、交换、删除、出境的数据种类、范围、方式、条件等,旨在指导网上购物服务巡营者和相关监管部门规范数据处理活动2021信安标委《移动互联网应用程序(APP)个人信息安全测评规范》明确了开展App个人信息安全开展测评的实施过程以及对各项具体安全要求进行测评的方法,为第三方测评机构测评以及App提供者开展白测评提供指导2021信安标委《移动互联网应用程序(APP)
SDK安全指南》规定了SDK提供者在SDK的开发、运营、个人信息处理、数据安全管理等活动中应遵循的安全要求,旨在指导SDK提供者和相关监管部门规范SDK使用2021信安标委《网联汽车采集数据的安全要求(草案)
》规定了网联汽车采集的数据在传输,存储和跨境等环节的安全要求2021信安标委《个人信息去标识化效果分级评估规范(征求意见稿)》给出了个人信息标识度的四种级别,以及个人信息去标识化效果评定流程和重标识风险计算方法优秀数据治理框架-DGIDGI数据治理目标目标1:能够做出更好的决策目标2:建立标准的、可重复的过程目标3:确保过程的透明度目标4:减少运营摩擦目标5:保护数据利益相关者的需求目标6:培训管理人员和员工采用共同的方法处理数据问题目标7:通过协调努力降低成本并提高效率DGI框架价值的识别一个组织所做的每一件事都应该与三个价值驱动因素之一联系在一起增加收入和价值管理成本和复杂性支持风险管理和合规数据治理工作必须与这些驱动因素中的一个或多个相关联。你必须传达它是如何运作的。增加收入和价值提高公司对收购方的价值创造"可销售"的信息产品利用信息资产进行新的销售利用数据实现新的业务功能更好的了解客户更好地理解产品(和其他)层次结构降低成本管理成本和复杂性减少重复的数据管理过程(例如数据建模、数据管理、数据质量的成本)减少错误的可能性和相关成本(在软件开发,报告开发,信息解释),因为缺乏对数据的理解或低质量的数据在降低成本的同时支持遵从性支持风险管理和合规实现遵从性目标避免因不遵守规定而产生的罚金避免声誉冲击(品牌冲击)避免因对"权威数据"缺乏信心而增加审计费用降低管理认证/认证成本降低审核前测试的成本支持影响分析DGI数据治理过程所有程序都有生命周期。数据治理生命周期有七个阶段:1:制定一份价值声明2:准备一个路线图3:计划和基金4:设计5:部署6:管理7:监视、测量报告。推荐数据治理角色角色角色简要描数据治理委员会数据治理委员会是一个监督委员会,它批准和指导治理团队和经理的行动。该委员会通常由数据所有者和业务主管组成。首席数据官首席数据官通常是负责监督治理项目的高级主管。该角色负责作为项目的倡导者,确保项目的人员配备、资金和批准,并监督项目的进展。数据治理经理和团队数据治理经理可能由首席数据官角色负责,也可能由单独的人员负责。该角色负责管理数据治理团队,并在任务的分配和管理中扮演更直接的角色。这个人帮助协调治理过程,领导培训课程和会议,评估绩效指标,并管理内部沟通。数据管理员数据管理员是负责监督数据并执行政策和流程的单个团队成员。这些角色通常由具有数据领域和资产专业知识的IT或数据专业人员担任。数据管理员还可以扮演工程师、质量分析师、数据建模师和数据架构师的角色。数据安全治理的主要的挑战主要挑战随着国外欧盟《通用数据保护条例》(GeneraldataprotectionRegulation)、我国《数安法》数据监管的要求,增加了合规和数据管理的问题,数字企业面临的风险越来越大。由于黑客攻击、恶意内部人士和意外披露而造成的数据泄露的数量正在增加,同时造成的财务成本正在破坏声誉和客户信任。随着本地IT基础设施和新的公共云服务的采用,数据普及度正在增长然而,企业未能制定普及的数据安全政策。需要越来越多的数据安全和身份管理产品,它们通常有独立的管理控制台,不集成甚至不共享公共策略。这些产品在数据存储和安全功能方面通常也是孤立的。负责数据安全和隐私的首席信息安全官(CISO)和安全和风险管理(SRM)领导人必须致力于实现适合数据增长和扩散的数据安全治理(DSG)框架。此框架必须在最大化竞争优势的业务需求和应用适当的安全策略规则(减轻优先级业务风险)的需求之间提供平衡。这些策略的普及特性允许选择和实现适当的安全产品。一个合适的DSG框架需要CISO、首席数据官(CDO)和数据保护官(DPO)团队之间进行新的合作。CISO和DPO团队之间的合作已经形成,因为在数据保护和数据隐私方面的要求有很强的重叠。
CISO和CDO之间的合作将执行以下几个关键功能:协调信息治理和信息安全治理(参见“协调信息安全治理与更广泛的信息治理计划")对齐数据分类和数据生命周期管理的方法(参见"使用Gartner的信息治理三环对记录进行优先级和分类")。使用信息经济学为共享预算责任和数据作为资产和负债的财务分析创造基础(参见"使用信息经济学重置数据安全预算"DSG框架提供了一种平衡的方法来定义如何通过数据保护和隐私断言实现实际的安全。每个数据集都是不同的,由于之前的独立治理过程,业务风险要求CDO和CISO团队提供更高级别的跨沟通和协作数据安全治理(DSG)级别与核心Gartner将数据安全治理(DSG)定义为:信息治理的子集,专门通过定义的数据策略和流程保护公司数据(包括结构化数据库和非结构化基于文件的表单)"数据安全治理是以"让数据使用更安全"为目的的安全体系构建的方法论,核心内容包括:满足数据安全保护、合规性、敏感数据管理三个需求目标;核心理念包括:分级分类、角色授权、场景化安全;数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为 稽核和持续改善;核心实现框架为数据安全人员组织、数据安全使用的策略和流程、数据安全技术支 撑三大部分。其核心理念的内容包括:数据的分级分类:对数据进行不同类别和密级的划分;根据类别和密级制定不同管 理和使用原则,对数据做到有差别和针对性的防护;角色授权:在数据分级和分类后,了解数据在被谁访问,这些人如何使用和访问数 据,针对不同角色制定不同安全政策。常见角色:业务人员(需进一步细分)、数 据运维人员、开发测试人员、分析人员、外包人员、数据共享第三方等;场景化安全:针对不同角色在不同场景下,研究数据使用需求;满足数据被正常使用 的目标下,完成相应安全要求和安全工具选择。比如对于运维人员,在备份和调优场 景下,并不需要对真实数据的直接访问能力,提供行为审计、敏感数据掩码能力即 可。数据安全治理的建议建议,负责数据安全的CISO和安全和风险管理领导人应:使用数据安全治理框架,优先考虑需要通过适当的安全措施缓解的业务风险。与首席数据官和数据隐私官合作,分类和识别受优先业务风险影响的数据集,并确定这将如何影响数据管理生命周期。使用持续的自适应风险和信任评估来选择适当的安全策略规则和功能,以减轻关键的业务风险。每季度回顾安全政策规则,或者如果业务风险发生变化,当他们需要识别政策差距或建议产品变更时。数据安全治理分析平衡业务需求与风险识别优先级与管理数据集生命周期定义数据安全政策实践安全产品编排所有产品的策略分类和识别受业务风险影响的数据集在评估数据集的细节和其管理对企业的要求时,有几个步骤是有用的:在所有存储位置应用数据发现技术,以实现对每个数据集的容量、多样性和准确性问 题的范围界定。应用星序和分析不仅需要获取数据,还需要创建数据来支持业务流 程。识别并优先考虑每个数据集带来的业务风险和财务影响。"审查由于地理来源而影响每个数据集的数据驻留问题,这将限制数据存储和处理选 择。确定来自每个司法管辖区的数据保护和隐私法律的安全要求,以及国家访问法 律是否影响地理存储位置的选择。然后考虑员工如何需要从不同的工作地点访问 (参见"全球转移个人数据")应用数据分类和主数据策略,以优先考虑哪些数据集需要安全性和应用哪些政策, 以及长期资产管理(参见"主数据治理从主数据生命周期开始")为每个数据集创建访问和使用策略,使其与所有可用的数字业务环境、应用程序和 端点的数据流一致。生命周期还提供了对这些功能需要应用多长时间的关键见解,这些功能可以从分钟、几个月甚至几十年不等使用CARTA模型选择安全策略规则和功能以降低风险预防在所有存储位置发现数据是至关重要的。必须一致地将通过模式匹配和其他技术识别和分类数据的能力应用于结构化或非结构化格式的数据。这很少是由单一产品提供的,这些产品还可以跨本地和跨公共云服务进行操作。并非所有数据都需要或应该存储;因此,积极计划尽量减少存储。数据保护和匿名化选项包括加密、标记化、屏蔽或编辑。然而,这些仅仅是用于执行职责隔离(SOD)的访问控制。它们可能具有保护静止、使用或传输中的数据的几个功能,并可能有助于数据驻留和特定的遵从要求。检测审查对关键数据集的访问,并为应用程序用户、开发人员、管理员和安全人员执行SOD,这需要仔细监视和限制权限,比如读取、修改和删除。因此,请仔细规划员工如何使用应用程序和分析产品来访问各种数据存储库。业务流程、IAM(identityandaccessmanagement)和数据安全产品独立控制数据访问。因此,映射用户和管理员是如何被授予对数据集的访问、特权和权限的。监控、识别和报告对访问、特权或权利的任何更改。响应监控和分析用户行为的能力是理解和创建适当的安全响应的重要第一步。监控和分析异常或潜在恶意数据的更改权限和活动,并向相关安全官员或数据所有者发出警报。或者,应用自动阻塞响应来阻止某些数据移动或活动,甚至是恶意软件的机器速度活动。了解数据如何跨地域流动,对于理解需要改变政策规则或功能的数据驻留或合规问题至关重要。预测为了完成该周期,必须根据安全映射练习确定的差距重新评估风险缓解的选择。检查行为分析输出可以帮助确定策略的粒度是否足够,例如,通过查看误报率,以及检测恶意或不适当活动的准确性。审计日志是识别策略规则差距和跨数据存储访问权限映射的重要分析来源。法规遵从性要求经常需要对用户和管理员的活动提供审计报告。在发生安全事件或审计过程后,需要进行法医分析以检查日志。一些产品如安全信息和事件管理(SIEM);安全操作、分析和报告(SOAR),和安全操作中心(SOC--可以提供日志的解释和创建。然而,他们缺乏数据活动的知识或洞察力。这需要以数据为中心的产品,如数据丢失预防(DLP)和以数据为中心的审计和保护(DCAP)。每季度检查一次安全策略规则,或者如果业务风险发生变化DSG必须定义一组独立于可用产品的策略规则。在选择和管理一套产品时,实现会产生大量的选择和问题,因为这需要大量独立的管理控制台.
Gartner的客户表示,这个数字可能超过50台独立主机。应考虑下列问题:iam产品不提供基于数据内容的洞察或访问控制。大多数数据安全产品不与IAM产品集成,也不验证谁已登录到特定设备或应用程序。应用和分析产品通常由业务部门负责人或数据所有者独立于IAM、数据安全管理员和产品进行管理。多个控制台的部署已经发展了很多年,以满足特定的战术安全需求。这通常是由影响网络通信或支付卡行业标准的特定法规造成的。然而,业务风险来自于对内部数据存储更普遍的威胁,以及云服务采用的巨大转变。不可能在所有这些控制台中自动提取、共享、同步或编排策略。CISO和SRM领导人必须使用政策规则审查来解决由于有限的数据安全资源造成的不足。他们应该建立一个过程来提供培训,并使安全管理员能够作为一个团队进行协作。评审必须按优先级和开发流程,通过以下几个步骤手动协调和同步产品之间的策略规则:识别并绘制所有本地和云服务中的数据存储和处理竖井。识别和映射所有安全产品和相关管理控制台的实施,授权和管理数据访问或安全。识别已部署的数据发现和分类产品,以及它们覆盖非结构化和结构化数据的能力。确定每个简仓中存储了哪些数据集和卷。确定每个安全控制台包含哪些数据集。映射每个控制台授予的用户和权限。创建分析,以确定每个用户访问数据集的不一致或差距。确定潜在的路线图,以同步和协调更一致的政策。识别现有产品组合中无法通过编制来解决的差距和风险,并建议进行变更。记录策略规则更改,并识别由于不同管理员的操作而出现的策略不一致和差距。
DSG的实施应该持续评估政策变化,并启动季度审查。管理人员通过地方执法改变无法解决的问题应报告DSG利益攸关方进行审查国内《数据安全治理白皮书》白皮书建议步骤:1.组织构建:组建专门的数据安全组织团队,是作为数据安全治理建设的首要任务,是保 证数据安全治理工作能够持续执行的基础。2.资产梳理:资产梳理是数据资产安全管理的第一步,通过资产梳理能够掌握数据资产 分布、数据责任确权、数据使用流向等,使数据资产安全管理更全面。3.策略制定:掌握了数据资产概况后,需要制定安全策略来作为数据资产管控的安全规 则。通过数据分类分级与重要数据识别,区分人员角色权限及场景,制定针对性的安 全策略,能够实现对敏感数据进行分级管控,使数据在生命周期中安全流动。4.过程控制:策略制定后需要将安全规则落地,通过数据安全管理体系、技术体系、运营 体系的有效配合,能够帮助企业进行数据资产安全管理的过程控制。5.行为稽核:要对数据的访问过程进行审计,要判断这些数据访问行为过程是否符合所 制定的安全策略;要对数据的安全访问状况进行深度评估,看在当前的安全策略有 效执行的情况下,是否还有潜在的安全风险。6持续改善:数据安全需要动态跟踪,持续改善。可通过资产梳理,持续掌握数据资产动 态; 通过预警演练,提升应急响应能力;通过数据安全评估,了解数据安全管控现状, 持续优化安全策略等数据安全管理安全设计原则经济适用原则保持系统的设计尽可能的简单和精巧软件设计越复杂,出现问题的概率越高。删除不需要的代码和功能,避免增加攻击面。设计重用组件,减少冗余代码。失败默认安全原则设计案例:重复输入错密码阀值保护机制。基于允许而非排除的基本访问决策。默认应该不允许访问。保护机制是用来识别可以访问的情况。复杂系统在处理功能失效后,应该有应急机制。完全仲裁原则对于受保护对象,必须在每次访问时,检查对象的访问权限。基于允许而非排除的基本访问决策。默认应该不允许访问。保护机制是用来识别可以访问的情况。复杂系统在处理功能失效后,应该有应急机制。缓存机制、初始化、关机操作等要特别注意!开放设计原则安全性不应该依赖于潜在攻击者的无知,而是取决于拥有特定的,受到保护的密钥或 密码。允许审阅者检查机制,而不用担心审查本身可能损害保护措施。可以使任何持怀疑态度的用户相信。保持任何广泛分发的系统的保密性是不现实的。权限分离原则重要的资产/操作采用需要两个密钥解锁的机制一旦被锁定,这两个密钥可以在物理上分开,不同的程序,组织或个人对它们负 责。任何单一的事故,欺骗或违反信任都不足以危害受保护的信息。这一原则通常 用于银行保管箱。在计算机系统中,分离的密钥适用于在允许访问之前必须满足两个或更多条件 的任何情况。最小权限原则系统的每个程序和每个用户都应该使用完成工作所需的最少权限集来运行。这个原则限制了事故或错误可能造成的损害。将特权程序之间潜在的交互次数减少到正确操作的最小值,从而不太可能发生 无意的,不需要的或不正当的特权使用。"需要知道(最小知情权)"的军事安全规则就是这一原则的一个例子。最小公共化原则用于访问资源的机制不应该被共享最大限度地减少多个用户共同使用的机制数量。每个共享机制(尤其是涉及共享变量的机制)都代表了用户之间潜在的信息路径, 必须非常谨慎地设计,以确保它不会无意中危及安全性。为所有用户提供服务的任何机制必须经过认证,以使每个用户满意。心理可承受原则人机界面的设计必须易于使用。减少用户犯错。1、安全机制设计时,人的因素也需要纳入考虑范围。2、如果用户的预期和实际相匹配,那么很少会出错。3、如果让用户基于他完全不理解的内容做判断,他就会犯错误。COBIT数据治理管理COBIT数据治理管理建议原则数据可用性确保需要数据的业务功能可以轻松使用数据。数据可用性确保数据结构清晰,文档化和标签化,易于搜索和检索,并与业务用户使用的工具兼容。数据完整性:确保数据在不同平台上存储、转换、传输和查看时仍能保持其基本质量。数据质量:确保数据是正确的,一致的,没有可能阻碍使用和分析的“噪音"。数据安全:确保数据根据其敏感性进行分类,并定义保护信息和防止数据丢失和泄漏的过程。DGI数据治理建议原则1、完整性原则2、透明性原则3、可审核性原则4、问责性原则5、管理性原则6、制衡性原则7、标准化原则8、管理变更性原则DGI原则数据安全的主要要素所有组织都应该遵守数据安全的三个核心要素机密性、完整性和可用性。这些概念也被称为CIATriad,作为顶级数据安全的安全模型和框架。以下是每个核心元素在保护敏感数据不受未经授权访问和数据泄露方面的含义。机密性:确保数据仅由具有适当凭据的授权用户访问。完整性:确保所有存储的数据是可靠的,准确的,不受不必要的更改。可用性:确保数据可随时、安全地获取并可用于持续的业务需求。数据安全规划与策略安全规划是为使控制、预防危险及减少损失的系统起作用并保证其有效性,所制订的管理和措施方面的计划。·安全规划有秩序地安排互相依存的活动与有关的措施,以提高工作与工艺过程的安全性能及控制其中潜在的危险安全规划的组成部分包括如下内容:确定安全目标措施;提供为完成安全管理工作所需要的手段;制定、采用安全设计与性能标准、规程、条例等;建立鉴别故障、事故而收集和分析数据的程序;"
确定和执行具体的防范措施;执行具体的安全规章和标准,训练使用与维护所有安全保障系统;根据规定的安全目标,衡量、评价安全规划与防范措施的效果;促使管理部门发挥作用并保持其作用等。让数据安全成为公司文化的一部分真正、全面的商业安全取决于两个因素:作为公司的领导,你把它作为首要任务,你得到了所有员工的支持。当然,你可以制定安全政策和程序,但除非你向员工宣传数据安全的重要性,否则他们只是在走过场。将数据安全与业务的健康和安全联系起来。明确为什么数据安全对组织中的每个成员都至关重要。建立基于角色的访问即使你的公司很小,你也需要考虑哪些员工需要并且应该获得哪些信息。(例如,你的个人档案不应该,对每个人都开放,银行账户的权限也必须受到限制。)不要忘记管理员工在家或在路上访问信息时使用的设备的安全。谁可以访问IT数据? 谁可以访问客户端信息?每个员工的密码可
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二五年度网络安全风险评估与解决方案合同范本3篇
- 二零二五版股权激励合同:某上市公司对高级管理人员股权激励计划3篇
- 2025年度时尚服饰店开业活动承包合同3篇
- 2025年度高端不锈钢医疗器械制造委托合同3篇
- 二零二五版智能穿戴设备代加工合同范本2篇
- 二零二五年度环保型车间生产承包服务合同范本3篇
- 二零二五年高管子女教育援助与扶持合同3篇
- 2025年草场租赁与牧区基础设施建设合同3篇
- 二零二五版涵洞工程劳务分包单价及工期延误赔偿合同3篇
- 二零二五版财务报表编制会计劳动合同范本3篇
- GB/T 34241-2017卷式聚酰胺复合反渗透膜元件
- GB/T 12494-1990食品机械专用白油
- 运输供应商年度评价表
- 成熙高级英语听力脚本
- 北京语言大学保卫处管理岗位工作人员招考聘用【共500题附答案解析】模拟试卷
- 肺癌的诊治指南课件
- 人教版七年级下册数学全册完整版课件
- 商场装修改造施工组织设计
- 统编版一年级语文上册 第5单元教材解读 PPT
- 加减乘除混合运算600题直接打印
- ASCO7000系列GROUP5控制盘使用手册
评论
0/150
提交评论