绿盟科技：数据安全发展趋势与防护实践2023

《数据安全发展趋势与防护实践》许国昊一领牢身里薪基促进数配副用中华人民共和国2021.11.1已实施，最高处罚5000万元中华人民共和国2021.11.1已实施，最高处罚5000万元或者上一年度营业额5%罚款。责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。2017.6.1已实施，个人信息侵权或数据安全相关，最高处罚100万元；或违法所得十倍的罚修订稿2021.9.1已实施，最高处罚1000万元；或违法所得十倍的罚款。责令暂停相关业务、停业整顿、吊销相关业2022.9.14发布修订稿，意在加强与新实施的法律之间的衔接协调，完善法律责任制度，进一步维度1:保护对象敏感数据敏感数据国家敏感数据(重要数据)企业敏感数据各类敏感数据VS企业敏感数据维度2:应用场景(环境)不同环境下的数据安全维度3:数据安全生命周期环节采集传输存储处理交换销毁数据安全1.0:弱监管、企业自发性、单点保护用户目标：企业保护对象是企业敏感数据和重要资产。防止内部人员的非法拷贝和黑客的窃取。特点：主动的、数据资产驱动的、投入成本相对小的数据安全防护。第二届数据安全治理峰会数据安全2.0:强监管驱动为主、数据全生命周期防护数据安全战略数据安全规划机构人员管理数据全生命周期安全数据采集安全数据传输安全数据存储安全数据使用安全数据共享安全数据销毁安全数据分类分级合规管理数据分类分级合规管理合作方管理监控审计目标：安全与合规，数据安全全生命周期能力建设。特点：被动合规驱动为主、主动数据安全建设为辅、投入成本相对高昂的数据安全建设。数据安全保护对象是各种类型第二届数据安全治理峰会第二届数据安全治理峰会一领牢身里薪基促进数配副用一.建立数据分类分级保护制度二、履行数据共享监督与泄露溯源义务三、匿名化处理、去标识化处理一领牢身里薪基促进数配副用知识知识控数据识别数据安全风险评估敏感数据分类分级数据安全风险评估数据水印数据水印数据审批策略优化治理层展示层防护实践一建立跨部门团队第二届数据安全治理峰会防护实践一建立跨部门团队一领牢身里薪基促进数配副用数据安全的合规并非安全或法务部门一两个部门协助即可完成的事项，还需要应用和管理部门、产品和服务开发部门、招采部门和财税部门组成的跨部门的合规团队共同协作才能完成。因此数据安全的合规工作需要得到公司战略层的重视及高层管理人员的牵头，才能有效的推动进行。管理层重视1)重视数据保护2)了解数据安全防护的成本与合规成本组建团队1)创建跨团队的工作组2)任命数据安全保护负责人3)设立专门机构或者指定代表一领牢身里薪基促进数配副用基于数据使用需求、自身业务特性和数据梳理成果，定义数据分类分级并进行核查。数据识别数据分类数据分级业务流程信息系统数据信息可信计算服务隐私计算服务TEE可信计算服务隐私计算服务数据泄露风险评估数据泄露风险评估数据脱敏匿名数据脱敏匿名重标识攻击匿名数据重构数据隐私条例重标识攻击匿名数据重构数据隐私条例用户侧分析程序大数据平台数据运营方大数据平台数据运营方据出域审计计算结果证明据出域审计匿踪查询联邦学习隐私计算软件联邦学习一领牢身里眼基促进散影副用3、如发现异常，抽取检测特征进行训练，后续进行自动化检测。2,可疑分簇调查分析1、对于没有异常检测经验积累的系统，先使用聚类对业务数据做分类用户画像数据访问场景ntp会话文件CRM经分计费内部运维场景进程账号文件关联分析终端账号资产责任人应用日志(那件金库场景操作频次场景职位部门p《接入日古时序关联时序关联检测引擎=y则类上型模式时序关联基线模型示例基线模型示例批mEg:异常序基线检测场景场景示例机器学习有监督机器学习有监督机器学习聚类结果分析类!77无监督机器学习聚类结果分析类!77无监督机器学习8一领牢身里薪基促进数配副用应急处置数据安全运营平台应急处置数据安全运营平台安全事件合规性指标安全态势指标安全运营专家安全规划调整合规性指标安全态势指标安全运营专家运行能力指标运行能力指标一键封