数据安全预警及应急响应机制.pdf

资源描述

1、数据安全预警及应急响应机制天融信科技集团-施安平可信网络安全世界数字化时代下数据安全趋势数据安全建设思路数据安全预警及应急响应机制 01 02 03 数据安全案例 03 1 数字化时代大背景数字中国党的十九大提出，推动互联网、大数据、人工智能和实体经济深度融合，建设数字中国、智慧社会。党的十九届五中全会提出，发展数字经济，推进数字产业化和产业数字化，推动数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群。数字经济各行业智慧城市、智慧政务、智慧金融、智能制造、智慧医疗、智慧交通、智慧能源等数字化转型升级进度加快。数字化转型关于构建更加完善的要素市场化配置体制机制的

2、意见 2020年3月30日，中共中央、国务院明确将数据作为新型生产要素写入政策文件。培育发展数据要素市场，释放数据红利，已成为推动经济高质量发展的新动能。数据已成为新型生产要素劳动资本技术土地数数据据数字经济时代，数据资产已成为核心生产要素，关乎国家安全、城市安全、关键基础设施安全、公共安全等，网络安全进阶为数据安全。数据安全事件层出不穷行车记录全暴露高合汽车陷隐私泄露风波一则“高合行车记录仪疑似泄”引发关注。汽车博主爆料称，高合汽车的行车记录仪可通过车主互联功能接收其他高合汽车的信号，并读取这些汽车行车记录仪内容。T-Mobile数据泄露 2021年8月，美国电信巨头T-Mo

3、bile官方确认服务器被黑客入侵，根据T-Mobile官方统计，攻击者窃取4860万人的记录，包括当前、以前或潜在的T-Mobile客户。X公司向境外出售高铁敏感数据每月达500G 境外公司委托境内公司采集中国铁路信号数据，包括物联网、蜂窝和GMS-R，仅仅一个月采集的信号数据就已经达到了500个G。东亚银行因违反信息采集等规定被罚超千万 2022年1月10日，中国人民银行上海分行公布一张巨额罚单，东亚银行违反信用信息采集、提供、查询及相关管理规定，被处以罚款人民币1674万元，责令限期改正。新暗网市场Industrial Spy出售各大公司机密数据 2022年4月19日，威胁参与者推出了一个

4、名为Industrial Spy的新市场，出售或向其成员免费提供来自被盗公司的数据。公司可以在其中购买竞争对手的数据来获取商业机密、制造图、会计报告和客户数据库。2022 年 5 月 2022年 4月 2022年 4 月 2022年 1月 2021年 8月数据安全管理办法（征求意见稿）中华人民共和国民法典 2019.5.28 2020.5.28 2021.6.10 2021.8.20 中华人民共和国网络安全法 2017.6.1 中华人民共和国数据安全法中华人民共和国个人信息保护法 2019.8.30 2020.11.19 网络安全审查办法 2022.2.15 数据出境安全评估办法 2022

5、.9.1 伴随数据安全领域法律法规、合规政策的陆续颁布，监管机制逐步完善，数据安全事件的影响已经不局限于经济损失、声誉损害，还可能面临巨额罚款和刑事责任。（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”。一是数据处理者向境外提供重要数据；二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；三是自上年1月1日起累计向境外提供10万人个

6、人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；四是国家网信部门规定的其他需要申报数据出境安全评估的情形。GBT 37988信息安全技术数据安全能力成熟度模型数据安全法律条例及监管不断完善 GBT 39477-2020 信息安全技术政务信息共享数据安全技术要求数据安全建设面临的痛点数据资产流向不清晰敏感数据分散，使用权责不明确，缺乏分级保护策略，很难跟踪数据流向及数据访问行为数据风险状况不明确数据全生命周期各阶段安全隐患暴露，存在泄漏、篡改、非授权使用和被破坏和隐私泄露的风险。数据安全策略不健全各类数据安全设备策略设置不全，存在各类安全风险、设备防护效果差数据事

7、件处置不及时缺乏一整套流程机制应对数据安全事件发出时的处置，缺少应急预案管理和应急演练等数据安全效果难衡量缺少常规的数据安全风险评估，没有数据安全实战评估和验证机制，无法对数据安全效果衡量数据本质变化数据安全面临痛点合规协同合规协同组织协同组织协同管理协同管理协同策略协同策略协同处置协同处置协同数据安全运营 2 数据安全运营概念和作用多维协同能力评价统一运营管理落地数据安全运营作用实现合规协同、组织协同、管理协同、策略协同和处置协同等多维协同。通过统一工具实现数据资产管理、数据安全策略管理、数据风险统一管理和运营。对管理上具体要求完善，实现管理要求落地和执行。

8、明确各环节能力指标，包括：资产管理、风险管理、事件管理等能力指标等，实现常态化评价、优化和运营。数据安全运营概念通过构建标准化技术、流程和组织体系，建设数据资产运营、数据安全策略运营、数据安全风险运营和数据安全事件运营，提供持续、动态、闭环运营，解决各类数据安全风险，实现以数据安全为中心持续优化目标。数据安全运营与数据安全治理关系安全保护网络安全主机安全应用安全端点安全数据所有方数据运营方数据使用方数据安全治理体系框架安全治理合规管理需求管理资产管理安全定级风险评估差距分析策略规划安全运营分析挖掘鉴别授权访问控制审计记录数据资产管理数据安全监测

9、及审计管理身份管理可视呈现监控发现应急响应能力恢复审计分析策略优化追踪溯源持续改进数据安全分级管理办法责任落实评价监督数据安全策略管理数据安全统计分析管理身份鉴别元数据管理传输加密数据库加密数据脱敏数据水印内容销毁隔离交换网络泄露监控备份恢复数据库扫描终端泄露监测应用审计数据加密流转监控介质销毁运维审计归档擦除数据安全决策方数据安全管理方数据安全分级实施指南数据安全技术保护实施指南数据安全风险评估指南采集保护传输保护存储保护处理保护交换保护销毁保护数据安全管控流程框架数据安全运营参考模型参考国内外数

10、据安全模型框架，得出数据安全运营是一个体系化的工程，需要对组织、流程、技术、人员进行综合考虑 Gartner数据安全治理框架 1.业务与安全要达到平衡 2.数据要进行优先级设定 3.制定合理适当的全局安全策略 4.选择匹配的安全技术工具 5.安全策略的同步与执行信通院数据安全治理框架 1.合规保障是组织数据安全治理的底线 2.风险管理是数据安全治理的关键 3.按照规划、建设、运营、评估的实践路线 4.结合组织结构、制度流程、技术工具和人员能力建设数据生命周期安全能力数据安全能力成熟度模型 1.任何环节的疏忽都可能成为数据安全短板 2.不唯技术论，强调组织建设、制度流程和技术工具的综合作用

11、3.是一种良好的评估方法，可用于组织自我评估与监管机构评测微软DGPC安全治理框架 1.企业及组织统一 2.跨学科合作实现数据隐私、保密、合规建设。3.重点是以数据安全及隐私保护作为主要目标。数据安全运营目标保障符合降低安全风险通过构建完善数据安全组织体系、技术体系、流程体系和评价体系，实现数据安全从监测、分析到处置闭环运营，从而降低数据安全风险符合监管要求降低安全风险数据合法利用符合监管要求满足网络安全法、数据安全法、个人信息保护法、网络安全审查办法、数据出境管理办法等法律法规及监管要求数据合法利用确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能

12、力监管数据安全运营模型设计合规合规数据安全事件响应数据安全质效优化数据处理活动监测数据安全风险预警数据安全策略管控数据安全资产识别合规可见合规可见&持续评估持续评估资产扫描资产扫描分类分级分类分级资产展示资产展示策略梳理策略梳理策略下发策略下发策略优化策略优化威胁监测威胁监测威胁梳理威胁梳理场景监测场景监测实施实施预警预警优化优化风险识别风险识别风险预警风险预警风险处置风险处置监测监测应急处置应急处置事件审计事件审计溯源分析溯源分析评估认证评估认证绩效考核绩效考核能力提升能力提升 3 数据安全运营能力模型 1个运营团队管理

13、培训监督 1套支撑平台资产管理流向分析预警处置运营流程六维能力运营流程分析处置风险识别安全审计数据安全资产识别数据处理活动监测数据安全风险预警数据安全策略管控数据安全事件响应数据安全质效优化提供1个运营专家团队运营管理小组运营工作规划运营工作部署运营小组沟通运营分析小组策略有效性分析策略覆盖度评估事件影响分析事件追踪溯源运营处置小组事件抑制事件根除事件恢复事件总结运营监督小组运营过程监督工作落实跟踪结果统一反馈运营培训小组人员能力管理培训课件制定能力培训考核能力评估考核监督监督监督反馈统筹推送构建

14、1套支撑平台数据安全事件数据安全风险数据安全流转数据安全防护数据安全防护安全设备管理设备状态管理防护策略管理告警与响应风险监测告警处置数据安全审计审计总览行为审计检索分析数据清洗采集接口 SYSYLOG REST TCP UDP AVRO NETFLOW SFTP 文件数据分类数据补充数据过滤数据转换数据解析数据分类分级管控应用态势呈现审计详表分类分级策略分类分级管理生命周期管理采集分析数据扫描发现数据资产管理资产探测-元数据扫描-数据扫描数据库文件账号应用元数据建立“分级、防护、监测”一体数据安全管理平台数据脱

15、敏网络DLP 数据库审计数据库安全网关网络审计终端DLP 防护探针数据资产分布采集传输存储处理交换销毁关联分析生命周期安全分析专题场景建模分析行为分析智能分析数据资产管理完善的运营流程数据纂改数据合规数据假冒数据越权数据泄露数据仿制数据窃取数据违规数据安全管理平台数据汇聚风险分析分析小组事件预警处置小组响应处置推送评估反馈推送运营专家团队六维能力-（1）数据安全资产识别-数据资产识别发现能力数据识别敏感数据发现数据资产分布识别规则配置，识别Oracle、MySQL、SQLServer、DB2、文件如SFT

16、P、FTP、大数据组件如Hadoop、HDFS等内容识别通过数据分类分级工具实现数据从字段维度、表维度分类分级，通过平台智能匹配识别出敏感数据，重要数据。对已纳管的数据资产通过数据发现识别后资产分布进行分析展示。展示数据库、文件库敏感数据级别、类别分布情况。六维能力-（1）数据安全资产识别-数据流向分析利用数据审计技术，得出数据的源所属业务网络、所使用账号、数据库所属业务网络；并通过IP判断出数据库与账号的关联关系，得出账号与字段之间的关联关系，最终得出账号、字段、业务网络的关系，从而判断出该系统的数据流向。通过可视化流向分析可直观展现数据在业务中的依赖关系并可辅助判断数据应用过程中的风险

17、。六维能力-（2）数据处理活动监测-威胁监测数据采集数据传输数据共享交换数据存储数据开放数据使用数据加工数据删除恶意代码注入采集手段失效恶意的数据源清洗转换错误.数据违规传输数据窃取数据完整性破坏未校验或校验失效.数据违规共享共享接口滥用数据完整性破坏共享越权.存储数据破坏存储数据丢失存储数据泄露存储数据篡改.数据爬取违规开放敏感数据未脱敏非授权访问.行为抵赖越权使用数据泄露特权帐户滥用.行为抵赖越权加工数据泄露特权帐户滥用.逾期留存数据删除不彻底.六维能力-（2）数据处理活动监测-场景梳理办公电脑运维人员运维专用机数据库共享服务

18、器1办公电脑数据需求方家用电脑提供数据到共享服务器导出数据下载数据运维人员数据运维场景堡垒机防火墙U盘的数据清除没有明确的跟踪措施本地数据会清除但缺少跟踪措施缺少终端防泄漏措施缺少终端防泄漏措施缺少终端防泄漏措施缺少内容级监控审计高风险节点常规节点风险点控制点数据运维场景角色终端操作应用数据 SDL+UEBA+Data 华为基础设施云（联调测试环境）gbase/oracle开发测试人员虚拟机办公电脑虚拟机导入频率：每月一次办公电脑准入处专员数据库文件（真实数据）联调测试场景测试环境数据库数据流量监控系统1、导入终端没有明确管理要求和监督2、数据清除没有明确跟踪措施真实数据没有明确管理

19、要求联调测试过程涉及重要数据终端没有内容级泄漏监测措施数据仅存放于测试环境不会对外提供任何接口真实数据没有进行适当的脱敏研发测试场景数据提供方中间库开发测试环境导入频率：每两周六维能力-（3）数据安全风险预警专题场景分析智能建模安全监测日志数据安全流转安全设备数据安全监测审计总览安全风险告警审计报告设备风险监测事件风险监测事件告警处置对安全设备组件的管理能力，如数据库防火墙、DLP、数据库审计等。对组件告警进行展示，统计告警趋势、告警排行、以及组件状态，展示CPU负载、和内存负载排行。具备Syslog、FTP、Kafka等多种数据采集方式，提供数据安全分析模

20、型，实现数据资产的全生命周期风险分析和专题化场景分析，提供风险监测功能，对数据全生命周期的风险监测进行清单展示。支持告警与响应能力，在告警处置模块中支持对系统产生的安全告警事件进行详情查看以及跟踪处置；通过派单指派给相关责任人进行处理，同时提供审计记录，方便对派单数据进行跟踪查看。根据数据安全等级差异，逐级提升数据安全保护能力。每一级能力均覆盖数据采集、传输、存储、使用、删除及销毁等全生存周期环节。六维能力-（4）数据安全策略管控-策略梳理数据分级保护策略矩阵（示例）级别保护方法加密脱敏防泄露标识标签备份容灾鉴别授权记录审计 4级需要存储、传输、导出、共享、开放不适用

21、原则上不共享开放，确有需要须审批需要内容级检测及阻断需要标识级别、责任人及控制要求需要实时备份异地容灾需要双向双因素鉴别，细粒度授权需要接入及行为实时监控及时审计 3级需要存储、传输、导出、共享、开放、导出需要按要求脱敏后共享、开放需要内容级检测及告警需要标识级别、责任人及控制要求需要定时备份需要双因素鉴别细粒度授权需要接入及行为记录，定期审计 2级不需要不需要，可直接共享；按要求开放需要只监测需要标识级别、责任人及控制要求需要有备份需要单因素认证需要接入记录定期抽查审计 1级不需要不需要，可直接共享；按要求开放

22、不需要只记录需要标识级别不需要不需要需要接入记录一级二级三级四级数据采集安全控制数据传输安全控制数据存储安全控制数据使用安全控制数据删除安全控制数据销毁安全控制六维能力-（4）数据安全策略管控-策略下发优化通过数据安全管理平台统一纳管数据安全网关、数据库防火墙、非结构化审计、数据水印、数据安全交换、结构化审计、数据库运维能力组件，实现对各组件的集中管控及组件策略统一编排下发。通过策略优化显示安全事件与策略关联，以事件为中心，展示匹配的策略信息，从而对策略的信息进行稽核，优化策略，确保策略不被绕行。策略下发策略优化六维能力-（5）数据安全事件响应事前

23、事后事中建立应急管理体系定义数据安全事件级别设立应急预案开展培训和应急演练监测及预警事件评估预案选择应急处置恢复总结数据安全应急管理规范数据安全应急预案数据安全应急演练方案数据安全应急处置记录数据安全事件分析报告数据安全事件应急管理文档：建立数据安全应急响应机制，从事前应急预案建立、开展常态化培训及应急演练开始，到事中数据安全事件持续监测、事件评估、事件响应处置，再到事后业务恢复、总结，完成数据安全事件闭环。六维能力-（5）数据安全事件响应（数据安全应急预案）应急处理流程准备阶段启动阶段抑制阶段根除阶段恢复阶段总结阶段安全预防：预防和减少数

24、据泄露、数据丢失、数据破坏等安全问题；快速响应：采取紧急措施，恢复业务到正常服务状态；降低损失：调查安全事件发生的原因，避免同类安全事件再次发生；提供数字证据。应急预案目标保证在发生信息安全事件后能顺利完成应急响应工作而必须在日常完成的准备工作一旦安全事件发生，对组织发出报警同时立即启动应急响应预案采用针对性安全措施降低事件损失、避免安全事件扩散和安全事件对受害系统的持续性破坏进一步分析信息安全事件，找出事件根源并将其彻底清除恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到正常工作状态总结安全事件的处置流程，改进工作中存在缺陷的点，防止安全事件的再次发生六维能力-（5

25、）数据安全事件响应（数据安全应急演练）运营管理小组负责应急演练统筹协调，组织全局定期开展应急演练，检验和完善预案，提高实战能力，每年至少组织一次预案演练，不断加强人员的应急安全意识和应急响应的熟练程度。模拟真实事件及应急处置过程直观上、感性上真正认识突发事件验证预案在应对各种意外具备的适应性检验应急工作机制是否完善提高领导者应对突发事件的能力确保应对突发事件中良好的心理状态六维能力-（5）数据安全事件响应（数据安全应急处置）事件案例库事件归档快速处置分析研判事件发生通过多维度数据安全监测发现事件，按照事件分类分级标准进行分类归并，形成告警事件运营分析小组对事件进行综合分

26、析研判确认事件运营处置小组根据应急预案及事件解决方案快速处置事件事件处置完成做好相关过程记录，并对事件进行归档，以备审阅。热点事件、影响范围广、造成损失较大的事件，单独作为事件案例记录。六维能力-（6）数据安全质效优化-安全运营能力评价资产管理能力风险管理能力事件管理能力资产认领认领率认领延迟资源登记情况数据扫描资产扫描率数据扫描率资源备案数据库备案率资源备案统计备案不完全统计风险评估数据识别场景识别威胁识别风险处置风险降低率风险保留率风险规避率风险转移率事件统计事件来源统计事件状态统计事件等级统计事件处置事件处理率事件终结率六

27、维能力-（6）数据安全质效优化-安全运营能力评估数据安全合规治理（DSCG）证书评估、差分、整改建设、协助测评数据安全能力成熟度证书能力成熟度评估数据安全能力认证六维能力-（6）数据安全质效优化-数据安全能力培训在数据安全运营各个阶段，同步开展数据安全教育培训，营造数据安全氛围，助力数据安全保障工作落地数据安全运营数据探查风险评估组织构建策略制定数据管控持续改善数据态势安全意识安全技能全员安全意识的宣贯专人安全技能的提升全员数据安全意识的普及规范数据保护理念与行为营造数据安全氛围与生态场景化提高数据安全理论水平实战化验证数据安全技术能力数据安全

28、运营价值标准化运营团队通过标准化运营团队，从运营管理、分析、处置、培训和监督等方面，提供各种运营能力。持续优化改进通过规范化运营流程，对组织结构、技术防护持续改进优化和调整，规范落实组织间职责和协同，完善技术防护体系。完善的完善的运营指标度量运营指标度量通过建立资产管理、风险管理和事件管理指标，实现对运营效果度量和评价，持续性进行优化调整。专业的运营平台通过数据安全管理平台对数据在采集、传输、存储、使用、交换、销毁的整个生命周期阶段进行安全防护，实现数据资产管理、风险管理和事件管理的常态化运营。4 某电网公司在保护数据安全方面已实践了诸如审计、脱敏、加密等技术措施，但这些措施都独立运

29、行，未能实现以数据为中心的安全治理的体系化、标准化。随着公司数据大集中建设完成，数据大集中随之带来的数据安全风险急剧增加，亟需建设与之相适应的安全服务平台，以保障数据的流动使用安全，满足国家法律法规的安全要求。主要问题如下：1、数据安全缺乏全局可视化，无法掌握数据动态流向；2、缺乏全生命周期的数据防护，未能实现数据安全体系化；3、防护设备孤岛化、离散化，无法集中管控发挥协同效应；4、数据资产不清、数据未实施分类分级一、项目背景二、建设内容项目以电网全量数据资产为保护目标，平台统一纳管数据安全资源池中的数据安全组件（包括大数据安全网关、数据库防火墙、非结构化审计、数据水印、数据安全交换、文

30、档加密、结构化审计、数据安全评估、数据库运维能力组件），组件的集成管控，满足各业务系统实现组件策略统一编排下发、事件日志统一收集等核心能力，建成为各类业务系统提供数据安全防护服务的底座式安全平台系统，并完成与4A、IOS系统、统一密码服务平台的接口对接工作。三、建设成果四、客户收益合规层面：满足数据安全法对数据处理者的要求，包括数据分类分级保护、数据安全保护体系、数据安全风险监测、合法正当采集等。收益层面：1.向电网各业务系统提供数据库防火墙服务服务，配置安全防护策略14条，累计审计数据库操作日志685197条，实现数据库访问的有效控制，杜绝数据非法访问、窃取事件发生。2.提供数据库操作

31、细粒度审计，累计已产生204829条安全日志，通过对用户访问数据库行为的记录、分析、汇总，加强内外部数据库网络行为的监控与审计。3.向提供数据水印服务，累计172次，实现数据中心的财务文档添加文档使用者的个人信息水印，确保“谁使用、谁负责”，并且在数据发生泄露时可对泄露文件进行溯源提供泄露源头信息。4.向数据中心提供数据脱敏服务，累计脱敏数据9752条，有效支撑数据中心的数据共享需求，目前数据中心已累计向供应链金融系统、营销管理系统、电网管理平台各业务与等10余个系统提供脱敏数据，在数据共享、数据测试等方面，对源库的敏感信息进行处理，有效保护真实数据防泄露。数据安全运营案例1-某电网随着信息

32、化的不断发展，数据已经日益成为政府机关及企事业单位的重要资产。为落实网络安全法、数据安全法及相关法律法规对个人信息保护及重要数据保护的要求，做好海关重要数据安全保护工作，开展海关数据安全技术防护体系及平台建设。同时，为了有效发挥数据安全管理平台优势，推动数据安全更广泛范围的数据安全管理，进一步对平台进行完善优化，满足实际业务变化的实际需求，提供自上而下的监管体系，满足一段时间内对数据安全的建设需要。一、项目背景二、建设内容建设内容：数据咨询：设计海关数据安全技术保护体系，在调研的基础上，帮助海关制定数据安全技术保护体系，并制定未来三到五年的实现路径。进行数据资产梳理和数据流向梳理，根

33、据确定的海关数据分类分级标准，选取1-2个数据库的结构化数据开展分类分级试点，形成数据分类分级清单。根据海关数据安全保护技术体系的指导海关数据安全流控流程架构建设并建设海关数据安全管理平台；规划并结合数据流向、分类分级试点，形成数据安全管控流程框架，规范数据的使用与管理，进行展示。三、建设成果四、客户收益 1、满足合规要求：通过数据咨询、平台及流程架构设计，满足国标、行标层面的合规性要求。2、通过各个阶段数据安全建设，形成数据资产清单和数据分析报告，为数据安全后续稳定运营提供可靠保障，具体体现如下：一、调研阶段形成海关数据安全管理情况调研分析报告；二、数据安全保护体系形成海关数据安全技术保

34、护体系设计海关数据安全技术保护体系技术实施方案海关数据安全保护差距分析报告；三数据资产梳理形成海关数据资产清单；四、数据流向梳理形成海关数据流向清单；五、数据分类分级试点形成海关数据分类分级清单；六、数据安全管控流程框架形成海关数据管控流程框架，最后进一步对平台进行完善和优化，满足实际业务变化的实际需求，提供自上而下的监管体系，满足海关总署对于数据安全的建设需要。数据安全运营案例2-海关总署回顾总结数据安全运营模型的6个维度能力包括哪些？数据安全资产识别、数据处理活动监测、数据安全风险预警、数据安全策略管控、数据安全事件响应、数据安全质效优化运营管理小组、运营分析小组、运营处置小组、运营培训小组、运营监督小组资产管理、风险识别、流向分析、预警处置、安全审计数据安全运营模型的1个运营专家团队包括哪些？数据安全运营模型的1个支撑平台包括哪些？感谢聆听！

展开阅读全文