,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第,三级,第,四级,第,五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,以数据安全为核心的安全立体防御体系解决方案,目录,CONTENTS,1,背景概述,2,防御思路,3,防御方案,4,参考借鉴,Verizon2018,年数据泄漏调查报告,外部威胁占,70%,，内部威胁占,30%,，外部威胁中,62%,来自有组织的犯罪团伙,各国加大数据安全监管和处罚力度,中华人民共和国网络安全法,关键信息基础设施保护条例,网络数据安全管理办法,个人信息和重要数据出境安全评估办法,信息安全技术 数据安全能力成熟度模型,信息安全技术,个人信息安全规范,电信和互联网用户个人信息保护规定,信息安全技术 大数据服务安全能力要求,信息安全技术 大数据安全管理指南,GDPR,通用数据保护条例,（欧盟）,2018,年,5,月出台,个人敏感数据：,1.,种族或民族出身，,2.,政治观点，,3.,宗教,/,哲学信仰，,4.,工会成员身份，,5.,涉及健康、性生活或性取向的数据，,6.,基因数据（新），,7.,经处理可识别特定个人的生物识别数据（新）,对违法企业的罚金最高可达,2000,万欧元（约合,1.5,亿元人民币）或者其全球营业额的,4%,，以高者为准,数据安全新挑战,传统概念下的数据安全,现实中数据安全面临的问题,数据,加密存储,加 密 传 输,IT,系 统 网 络,IT,系 统 网 络 安 全,外部威胁,数据权限风险,数据存储风险,用户权益风险,业务质量风险,数据业务过程风险,更多基础应用,更多数据来源,更多外部合作,更多跨域流动,数据流动保护风险,内部人员,外包人员,合作伙伴,新挑战,个人隐私,商业机密,国家机密,监管要求,我国涉及数据安全的法律法规,-1,网络安全法,中华人民共和国网络安全法(以下简称：网络安全法)，由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于 2016 年 11 月 7 日通过并公布，自 2017 年6 月 1 日起施行。,在该报告明确地对个人隐私数据和国家重要数据提出了保护要求，其中包含一些具体化的措施要求，比如：,（1）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；,（2）,采取数据分类、重要数据备份和加密等措施；,该法案，对中国所有政府单位和企业的IT系统建设、数据采集和应用产业造成深远影响；并随之配套产生的,数据出境管理办法,、,个人隐私数据管理办法,、,大数据安全标准,等，将对数据安全行业的发展产生重要影响。,等级保护政策,全称为信息安全等级保护管理办法规定，由公安部牵头推动，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。,所有的政府单位、央企、金融单位、互联网企业等都将接受该管理办法的约束；等级保护在过去的 10 年中，是我国信息安全建设中最重要的需要遵循的法规。,GB/T 35273-2017信息安全技术 个人信息安全规范,个人信息安全管理规范,国家编制的 GB/T 35273-2017信息安全技术 个人信息安全规范于 2018 年 5 月 1 日实施。该规范主要针对个人信息面临的安全问题，,规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。例如：,规范第六章“个人信息的保存”中指出：,“收集个人信息后，个人信息控制者宜立即进行,去标识化处理,，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。”,该规范第七章“个人信息访问控制措施”也提出了对个人信息控制者的要求：,a）对被授权访问个人信息的内部数据操作人员，应按照,最小授权,的原则，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；,b）宜对个人信息的重要操作设置,内部审批,流程，如批量修改、拷贝、下载等；,c）应对安全管理人员、数据操作人员、审计人员的,角色进行分离,设置；,d）如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人或个人信息保护工作机构进行,审批,，并记录在册；,上述两条规定，明确提出了针对个人信息的,“数据脱敏”要求,、,“数据管控”要求,和数据获取过程中的,“内部审批”要求,。,电信和互联网行业提升网络数据安全保护能力专项行动方案,一 总体要求,二 工作目标,四 工作安排,五 工作要求,（一）,集中开展数据安全合规性评估、专项治理和监督检查，,及时整改消除重大数据,泄漏,、滥用等安全隐患,，,圆满完成新中国成立,70,周年等重大活动网络数据安全保障工作。,（二）,基本建立行业网络数据安全保障体系。,三 重点任务,（一）加快完善网络数据安全制度标准,（二）开展合规性评估和专项治理,（三）强化行业网络数据安全管理,（四）创新推动网络数据安全技术防护能力建设,（五）强化社会监督和宣传交流,1.,强化网络数据安全管理制度设计。,2.,完善网络数据安全标准体系。,3.,开展网络数据安全风险评估。,4.,深化,App,违法违规专项治理。,5.,强化网络数据安全监督执法。,6.,稳步实施网络数据资源“清单式”管理。,7.,明确企业网络数据安全职能部门。,8.,强化网络数据对外合作安全管理。,9.,加强行业网络数据安全应急管理。,10.,加强网络数据安全技术手段建设。,11.,推动网络数据安全技术创新发展。,12.,加强专业支撑队伍建设。,13.,强化社会监督和行业自律。,14.,加强宣传展示和国际交流。,（一）工作部署阶段,（,2019,年,7,月）,（二）重点保障阶段,（,2019,年,8-10,月）,（三）长效建设阶段,（,2019,年,11,月,-2020,年,5,月）,（四）总结提升阶段,（,2020,年,6-7,月）,2019,年,2020,年,以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中全会精神,严格落实网络安全法全国人民代表大会常务委员会关于加强网络信息保护的决定互联网信息服务管理办法等法律法规,坚持维护数据安全与促进数据开发利用并重，坚持数据分类分级保护,坚持充分发挥政府引导作用、企业主体作用和社会监督作用,立足我部行业网络数据安全监管职责，开展为期一年的行业提升网络数据安全保护能力专项行动,（一）加强组织领导,（二）明确任务分工,（三）强化监督检查,（四）加强宣传通报,影响：,（,1,）增加迎检、监督、整改工作内容；,（,2,）给现有数据安全管理提出要求；,“行动方案”解读,重点,1,：数据安全政策要求的再一次升级,2019,年,7,月,1,日发布,电信和互联网行业提升网络数据安全保护能力专项行动方案,2013,年,7,月,16,日,，,工信和信息化部,24,号令,电信和互联网用户个人信息保护规定,重点,2,：标准工作已经启动,中国通信标准化协会,7,月份的标准制定会议,将,对,电信网数据,泄漏,防护系统（,DLP,）,、,电信运营商大数据安全管控分类分级技术要求,、,电信大数据平台敏感数据识别指南,等多项标准和要求进行审查完善。,行动方案亮点,加快完善网络数据安全制度标准,将开展合规性评估和专项治理工作,，包括,App,违法违规专项,强,化行业网络数据安全管理,1,、,数据资产“清单式”管理,2,、,职能部门的设置,3,、,数据对外合作安全管理要求,4,、,数据安全应急管理,提出了手段建设、技术创新、专业化支撑队伍的要求,强调了社会监督和宣传交流,应对：,（,1,）加快建设数据安全类技术手段；,（,2,）在三同步等环节强化业务系统数据安全；,目录,CONTENTS,1,背景概述,2,防御思路,3,防御方案,4,参考借鉴,数据安全为核心的安全立体防御体系,以数据安全为核心的安全立体防御体系形态是一套整合了各类安全手段的安全管理平台。可作为数据安全各项工作开展的基础平台。,能力：,实现数据安全法规的对标,数据安全策略统一管理,数据安全指标化评估,数据安全资产管理,各项数据安全能力整合与驱动,各通用能力中的数据安全整合,数据安全应急响应工作支撑,数据安全为核心的安全立体防御,安全技术领域,数据安全,应用安全,系统安全,大数据,云安全,物联网安全,移动互联网安全,数据生命周期,创建,采集,处理,传输,存储,使用,销毁,业务系统周期,规划：,数据安全需求,相关数据分类级别,建设,评估、验收,运行,访问控制与监测,“,三同步”,数据安全事件,事前：防御,事中：监控,事后：回溯,跟踪数据分析安全控制点,中间环节相关系统,数据,系统安全,网络,终端,(,维护、生产、营业）,数据,应用,系统安全,云、大、物、移,网络,物理,数据拥有者系统,数据,应用,系统安全,云、大、物、移,网络,物理,第三方合作业务,数据,应用,系统安全,云、大、物、移,网络,物理,内部其它系统,网络通道,管控手段,数据来源,创建,采集,存储,处理,使用,销毁,开发测试环节,黑客入侵,维护环节,数据泄漏案例,案例,主因,解决,涉嫌侵犯数百亿条公民个人信息，上市公司数据堂被公安一锅端,业务违规、合作中窃取,法规、管理,新三板挂牌公司涉窃取,30,亿条个人信息，非法操控公众账号加粉或关注,业务违规、合作中窃取,法规、管理,圆通,10,亿快递信息泄漏,中间环节残留泄漏,业务合理与安全能力,万豪酒店,5,亿用户开房信息,自身安全问题、相关系统问题,管理与安全能力,华住酒店,5,亿条用户数据疑泄漏,Github,源代码、数据库暴露,管理、意识与安全能力,疑似官方火车票购买平台,3000,万条数据在暗网兜售,第三方泄漏,使用环节的数据防范,国泰航空数据泄漏，,940,万乘客受影响,黑客攻击,安全防御能力,小米有品平台泄漏个人隐私 约,2000,万用户数据遭泄漏,供应商系统安全问题,责任制约、数据脱敏,AcFun,受黑客攻击，近千万条用户数据外泄,自身安全问题,管理与安全能力,前程无忧用户信息在暗网上被公开销售,因用户问题被撞库,管理与安全能力,央视曝光偷密码的“万能钥匙”，,9,亿人个人信息存风险,业务违规,法规,Facebook,与剑桥咨询数据泄漏,合作中窃取,法规、管理,易发生数据泄漏问题的环节,主要原因,法规遵从的不够,业务系统问题,安全手段问题,人员问题,业务合作问题,对法规红线、合规要求、国家标准理解和落实不足,业务逻辑设计存在数据安全问题；,历史遗留问题（缺陷遗留、敏感数据遗忘）,业务系统构成存在供应链安全隐患；,存储、处理、传输方面存在不安全方式；,对新技术数据安全问题理解不够（云、大、物、移、智能）,合作中涉及的数据范围、数量、后果不清楚；,合作关系的建立缺少数据安全风险评估和审批；,合作方的违规行为未被查觉；,通用安全技术手段本身不足；,通用安全技术手段在数据安全层面不足；,缺少数据安全领域的安全评估能力；,数据安全意识；,人员行为的访问控制审计不足；,人员终端的数据安全能力不足；,内外部人员管控；,管理问题,缺少数据安全管理的组织岗位,缺少数据资产管理（分类分级、控制要求）,数据的分布、动态增长、流动导致数据安全相关话题多,安全管理问题,合作伙伴管理,合同约定,终端安全,移动安全,BYOD,员工的安全意识问题,恶意内部人员的行为审计,第三方,IT,服务及链路可靠性,新技术新业务,（物联网安全）,业务系统安全,无线安全,办公环境安全,无线安全,办公环境安全,物理设施安全,网站安全,互联网暴露面,供应链安全,安全合规,代码安全,云安全,大数据安全,4A,、审计、访问控制,安全域与边界防护,三同步,文档加密、水印、权限,