数据安全预警及应急响应机制

天融信科技集团-施安平01数字化时代下数据安全趋势02数据安全建设思路03数据安全预警及应急响应机制 03数据安全案例1数字经济数字化转型各行业智慧城市、智慧政务、智慧金融、智能制造、智慧医疗、智慧交通、智慧能源等数字化转型升级进度加快。党的十九大提出，推动互联网、大数字经济数字化转型各行业智慧城市、智慧政务、智慧金融、智能制造、智慧医疗、智慧交通、智慧能源等数字化转型升级进度加快。党的十九大提出，推动互联网、大数据、人工智能和实体经济深度融合，建设数字中国、智慧社会。党的十九届五中全会提出，发展数字经济，推进数字产业化和产业数字化，推动数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群。数字中国数字中国数据已成为新型生产要素土地资本技术数据已成为新型生产要素土地资本技术劳动数据数字经济时代，数据资产已成为核心生产要数据安全事件层出不穷T-Mobile数据泄露T-Mobile官方确认服务器被黑客入侵，根据T-窃取4860万人的记录，包括当前、以前或潜在的T-X公司向境外出售高铁敏感数据每月达500G境外公司委托境内公司采集中国铁路信号数据 ,包括物联网、蜂窝和GMS-R，仅仅一个月采集的信号数据就已经达到了500个G。行车记录全暴露高合汽车一则“高合行车记录仪疑似泄”引发关注。汽车博主爆料称，高合汽车的行车记录仪可通过车主互联功能接收其他高合汽车的信号，并读取这些汽车行东亚银行因违反信息采集等规定被罚超千万以罚款人民币1674万元，新暗网市场Industrial与者推出了一个名为IndustrialSpy的新市场，出售或向其成员免费提供来自被盗公司的数据。公司可以在其中购买竞争对手的数据来获取商业机密、制造图、会计报告和客户数据库。《中华人民共和国《GB∕T37988信息数据安全法律条例及监管不断完善《中华人民共和国《GB∕T37988信息2017.6.12021.8.202021.6.102020.5.282020.11.192017.6.12021.8.202021.6.102020.5.282020.11.192019.8.30法》《数据安全管理办法（征求意见稿）》能力成熟度模型》-《网络安全审查办法》《网络安全审查办法》2022.2.15（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”。《数据出境安全评估办法》2022.9.1一是数据处理者向境外提供重要数据；二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；四是国家网信部门规定的其他需要申报数据出境安全评估的情形。敏感数据分散，使用权责不明确，缺乏分级保护策数据全生命周期各阶段安全隐患暴露，存在泄漏、篡各类数据安全设备策略设置不全，存在各类安全风险、缺乏一整套流程机制应对数据安全事件发出时的处缺少常规的数据安全风险评估，没有数据安全实战敏感数据分散，使用权责不明确，缺乏分级保护策数据全生命周期各阶段安全隐患暴露，存在泄漏、篡各类数据安全设备策略设置不全，存在各类安全风险、缺乏一整套流程机制应对数据安全事件发出时的处缺少常规的数据安全风险评估，没有数据安全实战数据安全面临痛点存储体系从分散到集中访问边界从封闭到开放使用方式从简单到复杂数据权责从合一到分离数据本质变化数据本质变化数据安全运营2数据安全运营概念和作用通过构建标准化技术、流程和组织体系，建设数据资产运营、数据安全策略运营、数据安全风险运营和数据安全事件运营，提供持续、动态、闭环运营，解决各类数据安全风险，实现以数据安全为中心持续优化目标。实现合规协同、组织协同、管理协同、策略协同和处置协同等多维协同。数据安全运营作用对管理上具体要求完善，实现管理要求落地和执行。通过统一工具实现数据资产明确各环节能力指标，包括：资产管通过统一工具实现数据资产管理、数据安全策略管理、数据风险统一管理和运营。管理、数据安全策略管理、数据风险统一管理和运营。数据安全运营与数据安全治理关系数据安全分级管理办法安全治理合规管理需求管理资产管理安全定级风险评估差距分析策略规划安全保护终端泄露监测网络泄露监控终端泄露监测网络泄露监控安全运营监控发现应急响应能力恢复追踪溯源审计分析策略优化持续改进网络安全主机安全应用安全端点安全身份管理鉴别授权访问控制审计记录分析挖掘可视呈现Gartner数据安全治理框架Gartner数据安全治理框架4.选择匹配的安全技术工具数据安全能力成熟度模型1.任何环节的疏忽都可能成为数据信通院数据安全治理框架3.按照规划、建设、运营、评估的实践4.结合组织结构、制度流程、技术工具和人员能力建设数据生命周期安全能力参考国内外数据安全模型框架，得出数据安全运营是一个体系化的工程，需要对组织、流程、技术、人员进行参考国内外数据安全模型框架，得出数据安全运营是一个体系化的工程，需要对组织、流程、技术、人员进行微软DGPC安全治理框架2.跨学科合作实现数据隐私、保密3.重点是以数据安全及隐私保护作降低安全风险降低安全风险数据合法利用符合监管要求数据合法利用&&3数据安全运营能力模型•策略有效性分析••策略有效性分析•策略覆盖度评估•事件影响分析•事件追踪溯源•人员能力管理•培训课件制定•能力培训考核•能力评估考核推送反馈•运营工作规划•运营工作部署•运营小组沟通统筹统筹•事件抑制•事件根除•事件恢复•事件总结监督监督监督监督监督•运营过程监督•工作落实跟踪•结果统一反馈数据安全风险建立“分级、防护、监测”体数据安全管理平台数据安全流转数据安全事件数据安全防护数据安全风险建立“分级、防护、监测”体数据安全管理平台数据安全流转数据安全事件数据安全防护行为分析智能分析生命周期安全分析专题场景建模分析传输存储处理交换销毁采集采集分析数据资产分布数据资产分布数据资产管理数据资产管理数据资产管理·数据库·文件·账号·应用·元数据数据扫描发现资产探测->元数据扫描->数据扫描数据分类分级分类分级策略分类分级管理生命周期管理数据安全审计审计总览行为审计检索分析审计详表告警与响应风险监测告警处置数据安全防护安全设备管理设备状态管理防护策略管理关联分析数据过滤数据过滤数据分类数据解析数据补充数据转换数据清洗·采集接口采集接口SYSYLOGNETFLOWAVRO文件RESTSFTPUDPTCP·数据脱敏网络DLP网络审计终端DLP数据脱敏网络DLP网络审计终端DLP···运营专家团队完善的运营流程运营专家团队分析小组分析小组处置小组数据汇聚风险分析事件预警数据安全管理平台识别规则配置，识别Oracle、MyS数据组件如Hadoop、HDFS等内容识别规则配置，识别Oracle、MyS数据组件如Hadoop、HDFS等内容六维能力-（1）数据安全资产识别-数据流向分析通过可视化流向分析可直观展现数据在业务中的依赖关系并可辅助判断数据应用过程中的风险。利用数据审计技术，得出数据的源所属业务网络、所使用账号、数据库所属业务网络；并通过IP判断与账号的关联关系，得出账号与字段之间的关联关系，最终得出账号、字段、业务网络的关系，从而判六维能力-（2）数据处理活动监测-威胁监测数据提供方导入频率：每两周 数据提供方导入频率：每两周 具备Syslog、具备Syslog、FTP、Kafka等多种数据采集方式，提供数据安全分析模型 ,实现数据资产的全生命周期风险分析和专题化场景分析，提供风险监测功能，对数据全生命周期的风险监测进行清单展示。支持告警与响应能力，在告警处置模块中支持对系统产生的安全告警事件进行详情查看以及跟踪处置；通过派单指派给相关责任人进行处理，同时提供审计记录，方便对派单数据进行跟踪查看。数据安全流转数据安全流转安全风险告警安全风险告警审计总览审计报告审计总览审计报告数据安全监测…安全监测日志…安全设备安全设备对安全设备组件的管理能力，如数据对组件告警进行展示，统计告警趋势、告警排行、以及组件状态，展示CPU负载、和内存负载排行。数据分级保护策略矩阵（示例）数据分级保护策略矩阵（示例）露存储、传输、导出、共享、开放不适用原则上不共享开放，确有需要测及阻断责任人及控制要求实时备份双向双因素鉴别，细粒度授权接入及行控及时审计存储、传共享、开放、导出按要求脱敏后共享、测及告警责任人及控制要求定时备份双因素鉴别细粒度授权接入及行为记录，定期审计不需要不需要，可直接共享；按要求开放只监测责任人及控制要求有备份证接入记录定期抽查不需要不需要，可直接共享；按要求开放不需要只记录标识级别不需要不需要接入记录一级二级三级策略优化策略优化策略下发策略下发数据库防火墙、非结构化审计、数据水印、数事前事前数据安全事件应急管理文档：事中建立数据安全应急响应机制，从事前应急预案建立、开展常态化培训及应急演练开始，到事中数据安全事件持续监事后事后①安全预防：预防和减少数据泄露、数据丢失、数据破坏等安全问题；②①安全预防：预防和减少数据泄露、数据丢失、数据破坏等安全问题；②快速响应：采取紧急措施，恢复业务到正常服务状态；应急预案目标应急预案目标抑制阶段抑制阶段采用针对性安全措施降低事件损失、避免安全事件扩散和安全事件对受害系统的持续性破坏总结阶段总结安全事件的处置流程，改进工作中存在缺陷的点，防止安全事件的再次发生恢复阶段恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到正常工作状态准备阶段保证在发生信息安全事件后能顺利完成应急响应工作而必须在日常完成的准备工作根除阶段进一步分析信息安全事件，找出事件根源并将其彻底清除启动阶段一旦安全事件发生，对组织发出报警同时立即启动应急响应预案六维能力-（5）数据安全事件响应（数据安全应急演练）运营管理小组负责应急演练统筹协调，组织全局定期开展应急演练，检验和完善预案，提高实战能力，快速处置事件发生事件归档分析研判六维能力-（5）数据安全事件响应（数据安全应急处置）快速处置事件发生事件归档分析研判通过多维度数据安全监测发现事件,按照事件分类分级标准进行分类通过多维度数据安全监测发现事件,按照事件分类分级标准进行分类热点事件、影响范围广、造成损失较大的事件，单独作为事件案解决方案快速处置事件事件案例库事件案例库事件处置完成做好相关过程记录，事件处置完成做好相关过程记录，确认事件事件统计事件统计事件处置资产认领数据扫描资源备案风险评估风险处置数据安全能数据安全能力认证数据安全合规治理（DSCG）证书数据安全能力成熟度证书评估、差分、整改建设、协助测评能力成熟度评估能力成熟度评估六维能力-（6）数据安全质效优化-数据安全能力培训在数据安全运营各个阶段，同步开展数据安全教育培训，营造数据安全氛围，助力数据安全保在数据安全运营各个阶段，同步开展数据安全教育培训，营造数据安全氛围，助力数据安全保数据探查风险评估数据探查风险评估组织构建策略制定数据安全运营价值持续优化改进持续优化改进专业的运营平台完善的运营指标度量专业的运营平台理指标，实现对运营效果度量和评价，数据安全案例4一、项目背景 三、建设成果 四、客户收益合规层面：满足《数据安全法》对数据处理者的要求，包括数据分类分级保护一、项目背景 三、建设成果 四、客户收益合规层面：满足《数据安全法》对数据处理者的要求，包括数据分类分级保护收益层面：1.向电网各业务系统提供数据库防火墙服务服务，配置安全防护策略14条，3.向提供数据水印服务，累计172次，实现数据中心息水印，确保“谁使用、谁负责”，并且在中心的数据共享需求，目前数据中心已累计理平台各业务与等10余个系统提供脱敏数据，在数据共享、数据测某电网公司在保护数据安全方面已实践了诸如审计、脱敏、加密等技术流动使用安全，满足国家法律法规的安全要求。主要问题如下：期的数据防护，未能实现数据安全体系化；3、防护设备孤岛化、离散化，无法集中管控发挥协同效应；4、数据资产不清、数据未实施分类分级 二、建设内容项目以电网全量数据资产为保护目标，平台统一纳管数据安全资的数据安全组件（包括大数据安全网关、数据库防火墙、非结构化据水印、数据安全交换、文档加密、结构化审计、数据安全评估、维能力组件），组件的集成管控，满足各业务系统实现组件策略统发、事件日志统一收集等核心能力，建成为各类业务系统提供数据 三、建设成果 四、客户收益 三、建设成果 四、客户收益2、通过各个阶段数据安全建设，形成数据资产清单和稳定运营提供可靠保障，具体体现如下：一、调研阶段形成《海关数据安全际业务变化的实际需求，提供自上而下的监管体系，满足海关总署对于数据一、项目背景一、项目背景随着信息化的不断发展，数据已经日益成为政府机关及企事业单位，，关数据安全技术防护体系及平台建设。同时，为了有效发挥数据安全管理平台优势，推动数据安全更广泛范围的数据安全管理，进一步对平台进行完善 二、建设内容建设内容：数据咨询：设计海关数据安全技术保护体系，在调径。进行数据资产梳理和数据流向梳理，根据确定的海关数据分类分 ,选取1-2个数据库的结构化数据开展分类分级试点，形成数据分类分级清单。根据海关数据安全保护技术体系的指导海关数据安全流控流程架回顾总结①数据安全运营模型的6个维度能力包括哪些？数据安全资产识别、数据处理活动监测、数据安全风险预警、数据安全策略管控、数据安全事件响应、数据安全质效优化②数据安全运营模型的1个运营专家团队包括哪些？运营管理小组、运营分析小组、运营处置小组、运营培训小组、运营监督小组③数据安全运营模型的1个支撑平台包括哪些？资产管理、风险识别、流向分析、预警处置、安全审计感谢聆听！附录-数据安全运营产品清单1集数据资产发现管理、数据分类分级、数据安全防护策略统一管控、数据安全风险分析于一体通过可视化界面进行展示数据的资产情况、风险情况、告警情况及处置情况等2对数据库的访问行为进行控制，对于不当的行为进行阻断、告警与审计。对内部人员访问数据库时，能够通过数据库安全网关的访问控制能力34通过网络抓包技术、数据深度分析、协议内容解析，识防并阻止有意或无意的数据泄漏行为，保障数据生命周5用于终端侧的数据安全使用及外发行的管理，防止受限公开的数据在终端侧被泄露。67对数据资产进行备份，防止特殊情况发生导致的数据资产丢失。附录-数据安全治理服务清单-11数据安全组织优化《数据安全组织架构》2数据