数据安全数据治理体系运营建设方案

数据安全数据治理运营体系建设方案一．安全事件及法规二．安全系统建设方案简介三．安全管理体系建设四．安全监控体系建设五．安全运营体系建设六．案例介绍wl数据泄露事件频发据安全情报供应商RiskBasedSecurity(RBS)《2020年第三季度数据泄露报告》，截至2020年9月30日，全球公开披露的数据泄露事件2953起，相比2019年的6021起减少近50%，但是，数据泄露的数量与事件报告数量形成鲜明对比，2020年泄漏数据量360亿条，相比2019年的83亿条迅猛增加332％。2020.07圆通内部员工泄密案40万+个人信息遭泄露，信息预备以每条1元的价格打包贩卖至全国2021.01农行被银保监会罚款420万人民币因涉及发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息wl法规要求01《网络安全法》《银保监会信息科技风险现场检查指南》01《网络安全法》《银保监会信息科技风险现场检查指南》《数据安全法》（草案）《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》《数据安全法》（草案）《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》《个人信息安全规范》08《个人信息安全规范》08《个人金融信息保护技术规范》《数据出境管理办法》《证券期货业数据分类分级指引》《数据出境管理办法》《证券期货业数据分类分级指引》《关键信息基础设施安全保护条例》《金融数据安全数据安全分级指南》《关键信息基础设施安全保护条例》一．安全事件及法规二．安全系统建设方案简介三．安全管理体系建设四．安全监控体系建设五．安全运营体系建设六．案例介绍■l数据安全治理体系框架建设目标：技术建设目标：技术+管理+运营，形成闭环可持续管理体系管理体系建设管理体系管理体系建设梳理评估定级定规检查运营体系监控体系运营体系监控体系监控体系建设应用分析加工分发测试运维传输采集处理销毁存储交换运营体系建设运营体系建设策略监测处置渗透加固应急培训保障一．安全事件及法规二．安全系统建设方案简介三．安全管理体系建设四．安全监控体系建设五．安全运营体系建设六．案例介绍■l管理体系建设框架梳理梳理定级评估体系建设组织机构操作规范策略记录表单人员整改报告周期人员标准支撑■l管理体系建设成果管理制度建设服务（10个制度管理制度建设服务（10个制度17个规范4个流程）数据安全自查服务梳理/定级服务（2图2报告3清单1指南）梳理/定级服务（2图2报告3清单1指南）数据安全评估服务DSAS数据资产评估工具数据资产的梳理效果梳理前梳理后约300个约500个约200个约300个约500个约200个■l管理体系建设-技术支撑-数据梳理通过基于敏感数据特征的静态扫描和动态流量分■l管理体系建设-技术支撑-账户权限梳理最小化授权指南》■l管理体系建设-技术支撑-分类分级建设■l管理体系建设-技术支撑-数据使用梳理■l管理体系建设-案例-某部委客户痛点•数据资产量级很大、业务系统繁多、系统运行存续时间久；因新系统上线和旧客户痛点•数据资产量级很大、业务系统繁多、系统运行存续时间久；因新系统上线和旧系统下线，加之新老员工更迭交替，部分数据资产责任方变得模糊；一些未登记且未使用数据资产陆续出现；•数据资产梳理依赖人工，时间和精力成本高，且统计结果不准确；是否还存在未登记备案的数据资产不清楚；缺少技术手段和自动化工具验证。•业务系统复杂，涉及敏感和重要业务数据的操作需要进行审计监管，能及时发现违规访问和数据泄露风险。•由于业务需要，需要向第三方提供业务数据进行数据分析，优化数据质量、挖掘数据价值，如何保证提供给第三方的数据不会被大规模泄漏安华方案•通过自动发现和“静态+动态”梳理技术，实现数据资产底账管理与准入准出管控；•可在数据库很多、数据量很大的情况下，实现梳理产品能够不影响业务使用的同时多任务多线程执行梳理工作，保证了资产梳理工作质量；•通过数据使用与监测分析技术，厘清信息中心各业务系统敏感数据使用状况及流向关系，为实施数据使用最小化原则及访问控制策略提供依据；•实现对中心全部数据资产的可视化分析，为促进资产的安全管理打下坚实基础。•通过部署5台数据库审计系统，满足信息中心的重要数据资产全范围业务操作审计，审计数据保留六个月以上，满足监管要求。信息中心数据资产梳理2**前台系统**前台系统监管**数据库查*数据库查*数据库**录入系统■l金融行业分类分级规则辅助一．安全事件及法规二．安全系统建设方案简介三．安全管理体系建设四．安全监控体系建设五．安全运营体系建设六．案例介绍wl数据管控-面向各种使用场景的数据管控业务系统访问安全第三方运维访问安全业务系统访问安全第三方运维访问安全数据存储安全数据管控数据管控l及时阻断外部攻击和探测l防黑客渗透造成数据泄漏和丢失l防止通过第三方泄漏数据共享安全数据共享安全数据分发安全数据分发安全测试开发安全wl应用侧访问安全防护运维行为安全管控针对对运维行为提供流程化管理机制，数据运维精细化安全管控,避免运维及第三方人员的误操作或恶意操作行为开发测试场景敏感数据保护DMS-S静态脱敏-测试开发环境数据安全最佳工具测试开发环境的生产数据模拟数据共享场景敏感数据防护DMS-D动态脱敏-业务系统隐私保护的利器降低应用侧、运维侧实时访问敏感数据时的数据泄露隐患，使数据使用者可以恰如其分的访问敏感数据wl数据外发数据安全DWS数据水印-提供可溯源的数据分发共享技术通过自动化水印处理通过自动化水印处理，避免内部人员外发数据泄露无法对事件追溯，提高数据传递的安全性和可追溯能力wl数据存储安全DES数据加密-数据汇聚存储安全的基石通过数据加密存储、强化访问控制通过数据加密存储、强化访问控制，从根本上杜绝数据库由于明文存储带来的拖库、篡改、泄密等安全隐患DAS数据库审计-数据安全基线实时监控数据库访问行为实时监控数据库访问行为，风险事件即时告警，精准快速追踪溯源，满足合规的基础上全方位监控风险产品综合管理平台统一部署可跳转语句集中统计风险集中呈现会话集中汇总可下钻可跳转语句集中统计风险集中呈现会话集中汇总可下钻设备状况查看集中运维集中license管理可检索统计数据集中分析结果汇总设备状况资源监控系统日志系统升级告警管理证书管理wlGB政务云c互c互联网区c公共区公共区某省人社-数据安全防护主中心从中心主中心xxxxOracle数据库rac数据库静态脱敏需求背景江苏省人社计划于2020年底前完成一体化信息平台建设，将全省分散独立的人社系统整合为互联互通、业务协同、信息共享的“大系统”。平台存在大量数据访问及外发共享场景，存在较大安全隐患，急需对此部分进行严格管控，保障平台数据安全数据库防护场景方案部署方式：采用主从双中心保障业务稳定运行。DPS以主备代理方式部署确保核心数据库安全。且和核心交换机都以万兆聚合交叉互联，保证链路稳定。防护方案：用户单位数据库都是以集群部署，无法用传统ip+port方式进行防护，故采用划分13个地级市数据库用户名，且每个用户名登录IP限定。保证各地市都能以不同的数据库用户名登录数据库且操作都可以被管控。漏洞防护：数据库防火墙的虚拟补丁防护功能，解决了核心业务数据库因不能及时打补丁带来的安全隐患问题数据外发场景方案旁路部署DMS-S，便捷高效地将提供给其他单位的敏感数据脱敏处理，同时保证数据可用性，确保敏感数据不外泄的同时不影响业务运行一．安全事件及法规二．安全系统建设方案简介三．安全管理体系建设四．安全监控体系建设五．安全运营体系建设六．案例介绍■l运营体系建设-概况落实管理体系规范和流程，发挥技术体系监测和防护能力，需要常态化、完善的运营能力做支撑通过日常运营管控平台，支撑集中化、日常化的数据安全运营业务流程通过日常运营服务、专家服务、护网保障、重保服务、培训服务，实现数据安全常态化能力通过可视化的运营监管能力，建设运营监测中心，帮助管理者全面掌握数据安全运营状况■l运营体系建设-日常运营-大屏展示通过数据安全运营管控平台提供给运营人员便捷通过数据安全运营管控平台提供给运营人员便捷的、流程化的、智能化的、可视化的运营管理工具。安全策略运营安全策略运营风险事件视图安全风险分析数据资产运营数据资产运营数据流转视图数据流转视图安全事件追溯安全事件追溯日常运营运营监管日常运营运营监管服务保障1.1.建设“数据安全集中监管、统一运营”的“数据安全运营管控平台”2.日常运营流程与运营平台完美结合，实现数据安全日常运营最佳实践日常运营运营监管日常运营运营监管服务保障1.建设“数据安全集中监管、统一运营”的“数据安全运营管控平台”2.日常运营流程与运营平台完美结合，实现数据安全日常运营最佳实践wl运营体系建设-运营监管wl运营体系建设-运营监管日常运营运营监管服务保障持续感知数据资产状况、同步完善备持续感知数据资产状况、同步完善备安全合规策略的落实情况和执行效果数据安全运营价值数据安全运营价值掌握风险分布和风险趋势，提前应对洞悉数据流向、数据风险和处置情况掌握风险分布和风险趋势，提前应对洞悉数据流向、数据风险和处置情况日常运营运营监管日常运营运营监管服务保障数据资产安全运营：数据资产安全运营：洞悉数据资产和业务应用详情，洞悉敏感数据流转情况113456数据资产概要应用/接口/运维概要敏感数据分布敏感数据详情敏感数据流转资产安全评估113456业务应用概要涉敏资产分布涉敏数据分布敏感数据详情业务访问趋势敏感数据流转日常运营运营监管日常运营运营监管服务保障数据地图：数据地图：帮助运营者全面了解数据中台的数据资产、敏感数据分布，了解数据业务应用111数据资产维度5敏感数据统计43543567672敏感数据分布图6资产分布统计33数据资产统计44资产扫描/认领/备案统计77应用/接口/运维统计467业务应用分布图涉敏业务统计业务备案统计业务应用维度4335115涉敏数据统计66业务热度排行77应用/接口/运维分布日常运营运营监管日常运营运营监管服务保障数据安全事件运营：数据安全事件运营：全面了解安全事件分布和处置情况事件分级统计安全事件排名最新安全事件事件分布统计事件趋势统计事件类型分布事件处置跟踪最新处置情况未处置事件处置事件统计处置事件趋势日常运营运营监管日常运营运营监管服务保障•感知数据资产、业务系统、敏感数据的分布情况.•敏感数据在部门间、应用间、设备间的流动情况•敏感数据生命周期流动情况.•异常行为事件分布情况统计•分析事件趋势，事件处置情况数据安全运营的六种视角•掌握标准和制度合规情况•了解安全合规策略落实情况•数据生命周期安全能力•数据安全共享和分发、发布、追溯•应用数据安全、运维数据安全能力。.•通过风险看板、风险趋势分析、风险分布，感知数据安全风险wl运营体系建设-服务保障wl运营体系建设-服务保障日常运营运营监管服务保障通过日常运营服务、专家服务、护网保障、重保服务、培训服通过日常运营服务、专家服务、护网保障、重保服务、培训服数据安全日常运营服务数据安全日常运营服务数据安全评估服务重大保障服务重大保障服务护网服务某客户数据安全运营部署示意图一．安全事件及法规二．安全系统建设方案简介三．安全管理体系建设四．安全监控体系建设五．安全运营体系建设六．案例介绍wl数据安全体系化建设步骤-三个体系建设的优先顺序1数据安全管理体系建设2数据安全监控体系建设3数据安全运营体系建设■l数据安全体系化建设-实操数据安全体系建设可以分为2个阶段建设：1)管理体系和监控体系建设；2)运营体系建设，完善策略管理和风险监测能力，完成数据安全管控平台的全面建设。1、数据安全管理体系建设1、数据安全管理体系建设2、数据安全技术体系建设建立全面数据安全建立全面数据安全运营体系1、完善规范、流程和策略管理、风险监测能力。2、建设数据安全“集中管控、统一运营”的运营管控平台数据安全策略集中管控系统风险事件集中监测处置系统数据安全风险分析、态势分析系统建立管理能力和建立管理能力和基础监测防护能力日常运营服务、专家服务、护网保障、重保服务、培训服务，实现数据安全运营常态化wl某银行数据库安全防护用户现状数据库所有访问行为镜像给审计系统数据库所有访问行为镜像给审计系统敏感数据脱敏处理数据库安全审计敏感数据脱敏处理数据脱敏系统现场已对数据库用户权限进行管控，且已有堡垒机作为运维行为的管控设备，但仍无法对具体SQL操作做限制，若出现误操作或恶意操作等情况，无法即时拦截阻断，可能会造成不可估量的损失。解决方案运维侧防护：提供流程化管理机制，避免运维人员的误操作和恶意操作行为，对接行方OA进行审批。结合动态脱敏模块，对无权查看的数据进行脱敏处理。行方后续预计对接app端便于高效审批。研发侧防护：对于研发侧数据全部脱敏处理，保证敏感数据安全数据库审计：行内目前数据库种类很多且数据量庞大，对所有数据库操作行为做到细粒度实时审计、告警，并且事件可追溯方案价值根据运维人员角色权限，匹配安全策略结合审批流程，提升运维管理能力通过数据库审计，更加直观的发现各个数据库每天的访问情况，并对一些数据库高危操作提供告警审计提升数据脱敏效率，不需要人工去除敏感数据再提供给研发测试，实现脱敏的高效性、可用性，保证敏感数据不外泄。uu需求痛点存在业务数据取数的需求，当前措施需通过层层审批，但是取数流程没有脱离人工操作，难免存在管理措施流于形式和人为失误问题在领导审批时，由于没有数据的支持，领导无法评估审批的风险，无法良好实现审批的意义方案及价值通过数据脱敏系统，在审批前，提供取数中包含敏感数据情况，领导以此为依据来决定审批行为，降