大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全之二：數(shù)據(jù)安全-技術(shù)簡(jiǎn)介課件

2023/8/15中安威士（北京）科技有限公司北京理工大學(xué)數(shù)據(jù)安全技術(shù)簡(jiǎn)介大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全12023/8/4中安威士（北京）科技有限公司數(shù)據(jù)安全技術(shù)簡(jiǎn)介大綱數(shù)據(jù)安全技術(shù)和現(xiàn)狀數(shù)據(jù)安全整體方案數(shù)據(jù)安全態(tài)勢(shì)感知和溯源數(shù)據(jù)共享平臺(tái)數(shù)據(jù)安全大綱數(shù)據(jù)安全技術(shù)和現(xiàn)狀2數(shù)據(jù)安全技術(shù)和現(xiàn)狀數(shù)據(jù)安全技術(shù)和現(xiàn)狀3數(shù)據(jù)安全和數(shù)據(jù)安全技術(shù)2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》第十條，要求建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。我們可以把這個(gè)要求看成是當(dāng)前數(shù)據(jù)安全的正式定義。廣義的數(shù)據(jù)安全技術(shù)是指一切能夠直接、間接的保障數(shù)據(jù)的完整性、保密性、可用性的技術(shù)。這包含的范圍非常廣，比如傳統(tǒng)的防火墻、入侵檢測(cè)、病毒查殺、數(shù)據(jù)加密等，都可以納入這個(gè)范疇。正因?yàn)槿绱?，很多傳統(tǒng)的安全廠家都給自己貼上“數(shù)據(jù)安全廠家”的標(biāo)簽。數(shù)據(jù)安全和數(shù)據(jù)安全技術(shù)2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全4數(shù)據(jù)安全和數(shù)據(jù)安全技術(shù)

而狹義的數(shù)據(jù)安全技術(shù)是指直接圍繞數(shù)據(jù)的安全防護(hù)技術(shù)，主要指數(shù)據(jù)的訪問(wèn)審計(jì)、訪問(wèn)控制、加密、脫敏等方面。而這里的數(shù)據(jù)，則可以粗略的分為兩類。一類是非結(jié)構(gòu)化的數(shù)據(jù)，例如圖片、文件、圖紙等；另一類是結(jié)構(gòu)化的數(shù)據(jù)，主要存儲(chǔ)于數(shù)據(jù)庫(kù)中。當(dāng)然非結(jié)構(gòu)化的數(shù)據(jù)很大一部分也存儲(chǔ)于數(shù)據(jù)庫(kù)中，尤其是現(xiàn)在的各種NoSQL數(shù)據(jù)庫(kù)，就是專門針對(duì)非結(jié)構(gòu)化數(shù)據(jù)設(shè)計(jì)的。而相應(yīng)的數(shù)據(jù)安全技術(shù)，也可以粗略的劃分為針對(duì)非結(jié)構(gòu)化數(shù)據(jù)的安全技術(shù)和針對(duì)結(jié)構(gòu)化數(shù)據(jù)的安全技術(shù)。數(shù)據(jù)安全和數(shù)據(jù)安全技術(shù)

而狹義的數(shù)據(jù)安全技術(shù)是指直接圍繞數(shù)據(jù)5數(shù)據(jù)泄露態(tài)勢(shì)隨著大數(shù)據(jù)技術(shù)的發(fā)展以及數(shù)據(jù)價(jià)值的提升，數(shù)據(jù)泄露事件以及被泄露的數(shù)據(jù)總量，近年來(lái)都處于急劇上升的態(tài)勢(shì)。僅在中國(guó)，暗網(wǎng)中銷售的個(gè)人信息就高達(dá)60億條。而且數(shù)據(jù)泄露造成的后果也越來(lái)越嚴(yán)重。徐玉玉事件的重要源頭就是其個(gè)人信息遭受到泄露。發(fā)生于企業(yè)內(nèi)部的比例占60-70%，而且呈現(xiàn)增長(zhǎng)趨勢(shì)。內(nèi)部數(shù)據(jù)泄露增長(zhǎng)的原因，在于云計(jì)算和大數(shù)據(jù)技術(shù)的應(yīng)用，一方面使得數(shù)據(jù)更加集中，數(shù)據(jù)價(jià)值得到提升；另一方面在于針對(duì)這些新技術(shù)的數(shù)據(jù)安全防護(hù)技術(shù)的相對(duì)滯后和意識(shí)的淡薄。數(shù)據(jù)泄露態(tài)勢(shì)隨著大數(shù)據(jù)技術(shù)的發(fā)展以及數(shù)據(jù)價(jià)值的提升，數(shù)據(jù)泄露67數(shù)據(jù)已成為黑客的追逐目標(biāo)！2016年上半年全球發(fā)生的數(shù)據(jù)泄露事件高達(dá)974起，數(shù)據(jù)泄露記錄總數(shù)超過(guò)了5.54億條之多，相比較于2015年，增長(zhǎng)了40%。雅虎2016年是數(shù)據(jù)泄露全球第一的，阿*是全球第二。數(shù)據(jù)安全問(wèn)題愈發(fā)頻發(fā)，影響愈發(fā)嚴(yán)重7數(shù)據(jù)已成為黑客的追逐目標(biāo)！2016年上半年全球發(fā)生的數(shù)據(jù)泄網(wǎng)安法中對(duì)數(shù)據(jù)安全的相關(guān)要求在網(wǎng)絡(luò)安全法中，有大量篇幅的內(nèi)容是與數(shù)據(jù)安全相關(guān)的，涉及到技術(shù)和管理兩個(gè)方面的內(nèi)容。概括起來(lái)說(shuō)，網(wǎng)絡(luò)安全法中有關(guān)網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)性要求有如下幾點(diǎn)：1)對(duì)數(shù)據(jù)訪問(wèn)日志進(jìn)行審計(jì)，且日志留存時(shí)間不低于6個(gè)月（第21條）；2)對(duì)數(shù)據(jù)進(jìn)行分類，將敏感數(shù)據(jù)與普通數(shù)據(jù)區(qū)別化處理（第21條）；3)對(duì)重要數(shù)據(jù)進(jìn)行備份，容災(zāi)（第21、34條）；4)對(duì)重要數(shù)據(jù)進(jìn)行加密（第21、31條）；5)對(duì)個(gè)人信息進(jìn)行脫敏（第42條）。網(wǎng)絡(luò)安全法中涉及到的數(shù)據(jù)包括一般網(wǎng)絡(luò)數(shù)據(jù)（第21條），并且單獨(dú)對(duì)基礎(chǔ)信息基礎(chǔ)設(shè)施數(shù)據(jù)（第34條）、用戶信息和個(gè)人信息（第42條），進(jìn)行重點(diǎn)保護(hù)。網(wǎng)安法中對(duì)數(shù)據(jù)安全的相關(guān)要求在網(wǎng)絡(luò)安全法中，有大量篇幅的內(nèi)容8數(shù)據(jù)安全技術(shù)總體狀況對(duì)于非結(jié)構(gòu)化是數(shù)據(jù)安全，主要采用數(shù)據(jù)泄露防護(hù)（Dataleakageprevention,DLP）技術(shù)。DLP技術(shù)發(fā)展相對(duì)成熟，國(guó)外比較具有代表性的有Symantec的DLP產(chǎn)品，國(guó)內(nèi)也有不少類似產(chǎn)品。而對(duì)于結(jié)構(gòu)化的數(shù)據(jù)安全技術(shù)，國(guó)外發(fā)展比國(guó)內(nèi)早5-10年。個(gè)別產(chǎn)品，如數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻，以及數(shù)據(jù)庫(kù)脫敏，現(xiàn)在國(guó)外進(jìn)入產(chǎn)品和市場(chǎng)的成熟期，代表性廠家有Imperva、IBMGuardium、Infomatica等。而國(guó)內(nèi)的目前勉強(qiáng)有產(chǎn)品能夠進(jìn)行替代，實(shí)際差距還比較大。而在針對(duì)云環(huán)境和大數(shù)據(jù)環(huán)境的安全方面，國(guó)內(nèi)剛剛起步，與國(guó)外的差距較大。數(shù)據(jù)安全技術(shù)總體狀況對(duì)于非結(jié)構(gòu)化是數(shù)據(jù)安全，主要采用數(shù)據(jù)泄露9數(shù)據(jù)泄露防護(hù)DLP核心數(shù)據(jù)大多以文件為載體，零散分布在員工電腦及移動(dòng)介質(zhì)中，且以明文存儲(chǔ)，不受管控。數(shù)據(jù)泄露防護(hù)（DLP）基于文檔加密，進(jìn)而控制其解密權(quán)限，從根源上防止數(shù)據(jù)外泄。目前技術(shù)已基本成熟。數(shù)據(jù)泄露防護(hù)DLP核心數(shù)據(jù)大多以文件為載體，零散分布在員工電10數(shù)據(jù)備份與容災(zāi)需要確保數(shù)據(jù)備份和容災(zāi)系統(tǒng)通過(guò)建立數(shù)據(jù)的備份以及遠(yuǎn)程的容災(zāi)備份，來(lái)確保在發(fā)生災(zāi)難性事件時(shí)，數(shù)據(jù)能夠被正常的恢復(fù)，從而提升數(shù)據(jù)的可用性。目前數(shù)據(jù)于容災(zāi)的市場(chǎng)和技術(shù)都相對(duì)成熟，國(guó)內(nèi)廠家較多，產(chǎn)品的可選擇余地較大，基本可以完全替代國(guó)外產(chǎn)品。數(shù)據(jù)備份與容災(zāi)需要確保數(shù)據(jù)備份和容災(zāi)系統(tǒng)通過(guò)建立數(shù)據(jù)的備份以11云數(shù)據(jù)安全在云端，數(shù)據(jù)所面臨的威脅被進(jìn)一步的放大。除了遭受與傳統(tǒng)環(huán)境相同的安全威脅以外，由于云運(yùn)營(yíng)商的存在，數(shù)據(jù)還遭受“上帝之手”的威脅。云數(shù)據(jù)庫(kù)租戶的在數(shù)據(jù)庫(kù)中的數(shù)據(jù)，對(duì)云運(yùn)營(yíng)商來(lái)說(shuō)，幾乎是完全開放的。技術(shù)之外的一個(gè)要求就是立場(chǎng)中立性。對(duì)于云端的數(shù)據(jù)安全防護(hù)，最好應(yīng)該是來(lái)自第三方的。所謂“第三方”，就是指這種安全措施，不是由云運(yùn)營(yíng)商提供的，而是由其它獨(dú)立廠商提供的，以避免管理上和技術(shù)上的后門。國(guó)外在云端數(shù)據(jù)的安全廠家比較有代表性的如CiperCloud和SkyhighNetworks，國(guó)內(nèi)在云端的數(shù)據(jù)安全方面剛剛起步，有一些審計(jì)類的產(chǎn)品開始部署，但是加密類的產(chǎn)品，還在研發(fā)階段。云數(shù)據(jù)安全在云端，數(shù)據(jù)所面臨的威脅被進(jìn)一步的放大。12大數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全在流行的大數(shù)據(jù)平臺(tái)Hadoop、Cloudera和Splunk中，數(shù)據(jù)存儲(chǔ)和處理的方式發(fā)生了很大的變化。既可以采用傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)，又可以采用新型的NoSQL數(shù)據(jù)庫(kù)，如HBASE，Mongodb，Cassandra，Hive等。當(dāng)采用新型NoSQL數(shù)據(jù)庫(kù)時(shí)，數(shù)據(jù)安全面臨新的問(wèn)題。目前國(guó)外針對(duì)Hadoop和Cloudera環(huán)境中的數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻等產(chǎn)品。但是國(guó)內(nèi)在此領(lǐng)域只有極少數(shù)公司在進(jìn)行試探性的研發(fā)，目前尚未有相對(duì)成熟的產(chǎn)品上市。大數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全在流行的大數(shù)據(jù)平臺(tái)Hadoop、Clou13數(shù)據(jù)安全整體方案--針對(duì)結(jié)構(gòu)化數(shù)據(jù)數(shù)據(jù)安全整體方案--針對(duì)結(jié)構(gòu)化數(shù)據(jù)14可視實(shí)時(shí)顯示企業(yè)敏感數(shù)據(jù)的訪問(wèn)情況，風(fēng)險(xiǎn)情況數(shù)據(jù)安全管理真實(shí)需求？防泄漏防止數(shù)據(jù)庫(kù)系統(tǒng)中的敏感信息泄露防篡改防止數(shù)據(jù)庫(kù)系統(tǒng)中的敏感信息被非法修改或刪除滿足政策要求幫助企業(yè)滿足合規(guī)審計(jì)可控可視+合規(guī)+15可視數(shù)據(jù)安全管理真實(shí)需求？防泄漏防篡改滿足政策要求可控可1）管理依據(jù)：數(shù)據(jù)定級(jí)所有數(shù)據(jù)參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》和《個(gè)人信息安全規(guī)范》進(jìn)行分級(jí)分類，并實(shí)行分級(jí)管理；2）誰(shuí)來(lái)管：管理機(jī)制建立以IT部門牽頭的，與數(shù)據(jù)所有方共同組建的安全管理機(jī)構(gòu)，共同負(fù)責(zé)數(shù)據(jù)安全；3）怎么管：全方位技術(shù)防護(hù)在等級(jí)保護(hù)基本要求基礎(chǔ)上，根據(jù)數(shù)據(jù)敏感級(jí)，采取加密、訪問(wèn)控制、脫敏、監(jiān)視等技術(shù)手段全方位的保護(hù)數(shù)據(jù)。數(shù)據(jù)安全防護(hù)思路1）管理依據(jù)：數(shù)據(jù)定級(jí)數(shù)據(jù)安全防護(hù)思路16解決方案：把數(shù)據(jù)關(guān)進(jìn)籠子，讓數(shù)據(jù)訪問(wèn)在陽(yáng)光下進(jìn)行數(shù)據(jù)庫(kù)APP/Web服務(wù)器用戶開發(fā)測(cè)試運(yùn)維人員外包人員云管理員SQL注入、跨站攻擊、惡意后門......全面審計(jì)細(xì)粒度訪問(wèn)控制脫敏加密解決方案：把數(shù)據(jù)關(guān)進(jìn)籠子，讓數(shù)據(jù)訪問(wèn)在陽(yáng)光下進(jìn)行數(shù)據(jù)庫(kù)APP17業(yè)務(wù)服務(wù)器18辦公區(qū)運(yùn)維區(qū)開發(fā)、測(cè)試區(qū)第三方人員敏感數(shù)據(jù)過(guò)度使用備份數(shù)據(jù)明文數(shù)據(jù)庫(kù)服務(wù)器Internet備份服務(wù)器使用真實(shí)數(shù)據(jù)導(dǎo)致數(shù)據(jù)泄露能夠查看真實(shí)數(shù)據(jù)，敏感數(shù)據(jù)外泄數(shù)據(jù)庫(kù)越權(quán)批量導(dǎo)出誤操作導(dǎo)致數(shù)據(jù)丟失越權(quán)拖庫(kù)、清表數(shù)據(jù)庫(kù)防火墻數(shù)據(jù)庫(kù)動(dòng)態(tài)脫敏數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)靜態(tài)脫敏數(shù)據(jù)庫(kù)加密應(yīng)用與網(wǎng)站后門SQL注入攻擊數(shù)據(jù)庫(kù)平臺(tái)漏洞

數(shù)據(jù)明文存儲(chǔ)DBA好奇心業(yè)務(wù)服務(wù)器18辦公區(qū)運(yùn)維區(qū)開發(fā)、測(cè)試區(qū)第三方人員敏感數(shù)據(jù)過(guò)網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;分類：數(shù)據(jù)屬性，個(gè)人信息、用戶信息、業(yè)務(wù)信息...分級(jí)：屬性+數(shù)據(jù)量由“主管部”或者“公司總部”牽頭制定行業(yè)《敏感數(shù)據(jù)定級(jí)標(biāo)準(zhǔn)》、根據(jù)數(shù)據(jù)的屬性和數(shù)據(jù)總量，以獨(dú)立的數(shù)據(jù)庫(kù)或者文件集合為單位進(jìn)行敏感性單獨(dú)定級(jí)定級(jí)標(biāo)準(zhǔn)參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》、《個(gè)人信息安全規(guī)范》有關(guān)標(biāo)準(zhǔn)，更能量化參考等保分三級(jí)：一般敏感、敏感、非常敏感，對(duì)應(yīng)等保二、三、四級(jí)/2219數(shù)據(jù)分級(jí)分類網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;/網(wǎng)安法21(3)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;數(shù)據(jù)安全事件當(dāng)然也是一種網(wǎng)絡(luò)安全事件，應(yīng)該被記錄直接訪問(wèn)審計(jì)：雙向擴(kuò)展審計(jì)：有選擇性的針對(duì)重要數(shù)據(jù)審計(jì)海量日志的管理/2220數(shù)據(jù)訪問(wèn)記錄20網(wǎng)安法21(3)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技雙向?qū)徲?jì)雙向?qū)徲?jì)21擴(kuò)展審計(jì)（三層）擴(kuò)展審計(jì)（三層）22自動(dòng)學(xué)習(xí)自動(dòng)學(xué)習(xí)23性能指標(biāo)處理性能連續(xù)最高SQL/S處理能力：10萬(wàn)存儲(chǔ)性能最低存儲(chǔ)能力：35億/TB查詢和報(bào)表性能1億記錄，模糊查詢1分鐘以內(nèi)vs30-60分鐘

性能指標(biāo)處理性能24網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;加密層次：硬盤加密、文件加密、數(shù)據(jù)庫(kù)加密（字段）加密、網(wǎng)關(guān)加密、CASB加密可搜索加密：加密不能導(dǎo)致檢索性能的失效或者降低數(shù)據(jù)加密網(wǎng)安法21(4)：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;數(shù)25加密的安全性和透明性存儲(chǔ)加密網(wǎng)關(guān)插件式加密網(wǎng)關(guān)式加密應(yīng)用網(wǎng)關(guān)/CASB應(yīng)用加密可落地性和安全性安全性透明性加密的安全性和透明性存儲(chǔ)加密網(wǎng)關(guān)插件式加密網(wǎng)關(guān)式加密應(yīng)用網(wǎng)關(guān)26第四十二條網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。運(yùn)維、系統(tǒng)廠家人員提供時(shí)：實(shí)時(shí)脫敏對(duì)外提供，或者向開發(fā)、測(cè)試人員提供時(shí)：脫敏數(shù)據(jù)脫敏數(shù)據(jù)庫(kù)中原始數(shù)據(jù)6227-1010-1351-3469授權(quán)用戶模糊化后數(shù)據(jù)6227-XXXX-XXXX-34696227-XXXX-XXXX-1774模糊化后數(shù)據(jù)3451-2238-8975-23214545-2313-4585-2287非授權(quán)用戶A非授權(quán)用戶B動(dòng)態(tài)脫敏數(shù)據(jù)庫(kù)中原始數(shù)據(jù)6227-1010-1351-34696227-1012-2463-1774業(yè)務(wù)數(shù)據(jù)庫(kù)靜態(tài)脫敏數(shù)據(jù)庫(kù)原SQL改寫改寫靜態(tài)脫敏第四十二條網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;27模糊化后數(shù)據(jù)張O全陳O護(hù)李O密授權(quán)使用者源SQL：selectnamefromcustomer處理后：selectCONCAT(SUBSTRING(name,1,1),'O',SUBSTRING(name,3))asnamefromcustomer數(shù)據(jù)動(dòng)態(tài)模糊化層非授權(quán)使用者在線/非在線數(shù)據(jù)庫(kù)（敏感信息）真實(shí)完整數(shù)據(jù)張安全陳保護(hù)李加密selectnamefromcustomer中途攔截SQL指令，根據(jù)用戶權(quán)限對(duì)SQL進(jìn)行改寫動(dòng)態(tài)脫敏實(shí)現(xiàn)難點(diǎn)：數(shù)據(jù)庫(kù)通信協(xié)議的理解SQL改寫和SQL的全面覆蓋規(guī)則的疊加規(guī)則粒度：IP,USER,SQL模糊化后數(shù)據(jù)張O全陳O護(hù)李O密授權(quán)使用者源SQL28靜態(tài)脫敏實(shí)現(xiàn)010001111011001010001001010101000111010000101001010101000100101010100011101000111011001000101000開發(fā)環(huán)境培訓(xùn)環(huán)境單元測(cè)試壓力測(cè)試發(fā)現(xiàn)數(shù)據(jù)抽取數(shù)據(jù)脫敏數(shù)據(jù)裝載數(shù)據(jù)1%5%1%管理員開發(fā)員授權(quán)01000111101100101000100101010100011101000101000111101100010001110100010100011110110010100010010101010001110100010100011110110001000111010001100%010001111011001010001001010101000111010001010001111011000010101難點(diǎn)：關(guān)聯(lián)保持VS安全性高速異構(gòu)輸出靜態(tài)脫敏實(shí)現(xiàn)011001001001100開發(fā)環(huán)境培訓(xùn)環(huán)境單29/2230細(xì)粒度訪問(wèn)控制誤操作蓄意報(bào)復(fù)操作授權(quán)內(nèi)違規(guī)操作...SQL注入部分動(dòng)態(tài)網(wǎng)頁(yè)篡改溢出攻擊暗門程序終端用戶管控...難點(diǎn)高可用高性能自動(dòng)畫像能力...WAF/NGFW/IPS/UTM/2230細(xì)粒度訪問(wèn)控制誤操作SQL注入難點(diǎn)WAF/NGFW數(shù)據(jù)安全態(tài)勢(shì)感知和溯源數(shù)據(jù)安全態(tài)勢(shì)感知和溯源31第五十二條負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。漏洞掃描敏感數(shù)據(jù)防護(hù)狀態(tài)安全設(shè)備狀態(tài)數(shù)據(jù)輸出行為建模終端獲取數(shù)據(jù)行為建模數(shù)據(jù)安全檢測(cè)預(yù)警：數(shù)據(jù)安全態(tài)勢(shì)感知第五十二條負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立32數(shù)據(jù)泄漏原因分析Web應(yīng)用攻擊（Web

App

Attacks）身份盜用/后門/權(quán)限繞過(guò)內(nèi)部特權(quán)濫用（Privilege

Misuse）純內(nèi)部人員（81.6%）內(nèi)外合謀（8.3%）合作方（2.9%）數(shù)據(jù)來(lái)源：2017DataBreachInvestigationsReport數(shù)據(jù)泄漏原因分析Web應(yīng)用攻擊（WebAppAttack33數(shù)據(jù)時(shí)代的安全挑戰(zhàn)-缺乏數(shù)據(jù)的審計(jì)和感知為了創(chuàng)造價(jià)值，數(shù)據(jù)一定會(huì)流出到不可控的邊界數(shù)據(jù)風(fēng)險(xiǎn)取決于接受者掌握的數(shù)據(jù)集和目的數(shù)據(jù)時(shí)代的安全挑戰(zhàn)-缺乏數(shù)據(jù)的審計(jì)和感知為了創(chuàng)造價(jià)值，數(shù)據(jù)一34思路：用可視化推動(dòng)安全技術(shù)和管理數(shù)據(jù)安全的全局視野數(shù)據(jù)安全整體態(tài)勢(shì)風(fēng)險(xiǎn)點(diǎn)可量化風(fēng)險(xiǎn)根據(jù)態(tài)勢(shì)指導(dǎo)數(shù)據(jù)安全建設(shè)和風(fēng)險(xiǎn)響應(yīng)資源最大化利用任務(wù)的緊急優(yōu)先程度效果的可量化比較新風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)與處置系統(tǒng)不斷回饋與改進(jìn)進(jìn)化思路：用可視化推動(dòng)安全技術(shù)和管理數(shù)據(jù)安全的全局視野35模型預(yù)覽模型預(yù)覽36系統(tǒng)組成示意庫(kù)端審計(jì)探針應(yīng)用端審計(jì)數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)組成示意庫(kù)端審計(jì)探針應(yīng)用端審計(jì)數(shù)據(jù)安全態(tài)勢(shì)感知37預(yù)覽：用戶行為監(jiān)控和審計(jì)緩慢少量攻擊內(nèi)外共謀在噪音中隱身持續(xù)滲透嘗試好奇風(fēng)險(xiǎn)離職員工長(zhǎng)期潛伏者預(yù)覽：用戶行為監(jiān)控和審計(jì)緩慢少量攻擊38預(yù)覽：數(shù)據(jù)流動(dòng)概覽數(shù)據(jù)分布分類分級(jí)數(shù)據(jù)流動(dòng)流動(dòng)異常數(shù)據(jù)保護(hù)預(yù)覽：數(shù)據(jù)流動(dòng)概覽數(shù)據(jù)分布39預(yù)覽：敏感數(shù)據(jù)地圖預(yù)覽：敏感數(shù)據(jù)地圖4041預(yù)覽：敏感數(shù)據(jù)訪問(wèn)熱度地域圖41預(yù)覽：敏感數(shù)據(jù)訪問(wèn)熱度地域圖42預(yù)覽：敏感數(shù)據(jù)異常訪問(wèn)地域圖42預(yù)覽：敏感數(shù)據(jù)異常訪問(wèn)地域圖1敏感字段識(shí)別直接從數(shù)據(jù)庫(kù)中讀取敏感字段從通信內(nèi)容中還原敏感字段網(wǎng)頁(yè)內(nèi)容清洗

敏感內(nèi)容識(shí)別1敏感字段識(shí)別直接從數(shù)據(jù)庫(kù)中讀取敏感字段43441敏感字段識(shí)別441敏感字段識(shí)別2敏感字段關(guān)系識(shí)別2敏感字段關(guān)系識(shí)別45463數(shù)據(jù)庫(kù)訪問(wèn)行為463數(shù)據(jù)庫(kù)訪問(wèn)行為47為每一個(gè)應(yīng)用程序建立一個(gè)畫像為每個(gè)應(yīng)用程序建立畫像學(xué)習(xí)到細(xì)粒度語(yǔ)句規(guī)則3數(shù)據(jù)庫(kù)訪問(wèn)行為模型47為每一個(gè)應(yīng)用程序建立一個(gè)畫像為每個(gè)應(yīng)用程序建立畫像學(xué)習(xí)到484終端用戶數(shù)據(jù)訪問(wèn)模型484終端用戶數(shù)據(jù)訪問(wèn)模型494終端用戶行為模型494終端用戶行為模型504終端用戶行為模型不同IP地址對(duì)敏感數(shù)據(jù)訪問(wèn)的熱度圖504終端用戶行為模型不同IP地址對(duì)敏感數(shù)據(jù)訪問(wèn)的熱度圖514終端用戶行為模型敏感字段訪問(wèn)頻次圖514終端用戶行為模型敏感字段訪問(wèn)頻次圖5252數(shù)據(jù)共享平臺(tái)數(shù)據(jù)安全數(shù)據(jù)共享平臺(tái)數(shù)據(jù)安全53業(yè)務(wù)流程中的數(shù)據(jù)安全威脅（1）數(shù)據(jù)采集。共享平臺(tái)需要接收數(shù)據(jù)是夠含有是否含有惡意代碼，類型錯(cuò)誤，校驗(yàn)錯(cuò)誤等問(wèn)題。數(shù)據(jù)提供方擔(dān)心數(shù)據(jù)脫離自己控制、無(wú)法溯源。（2）數(shù)據(jù)使用。數(shù)據(jù)收集之后進(jìn)行整合處理落地到數(shù)據(jù)庫(kù)及上傳到共享平臺(tái)，數(shù)據(jù)都是以明文的形式呈現(xiàn)給運(yùn)維及管理等內(nèi)部人員。這個(gè)階段能接觸到數(shù)據(jù)的人群會(huì)增多，內(nèi)部人員、運(yùn)維人員等權(quán)限濫用，誤操作，缺乏審計(jì)等原因很容易竊取或非法修改明文數(shù)據(jù)。（3）數(shù)據(jù)外發(fā)。當(dāng)?shù)厥屑?jí)單位或者其他委辦局需請(qǐng)求數(shù)據(jù)，但是目的僅用于查詢和驗(yàn)證時(shí)，數(shù)據(jù)請(qǐng)求方并不真正需要原始的數(shù)據(jù)，只需要一種和原始數(shù)據(jù)完全相同的查詢能力。或者必須共享真實(shí)數(shù)據(jù)時(shí)，需要對(duì)數(shù)據(jù)的去向進(jìn)行跟蹤。54/44業(yè)務(wù)流程中的數(shù)據(jù)安全威脅（1）數(shù)據(jù)采集。共享平臺(tái)需要接收數(shù)據(jù)數(shù)據(jù)安全防護(hù)思路1）數(shù)據(jù)定級(jí)所有數(shù)據(jù)參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》和《個(gè)人信息安全規(guī)范》進(jìn)行分級(jí)，并實(shí)行分級(jí)管理；2）管理機(jī)制建立以共享平臺(tái)管理單位牽頭的，由資源提供方、資源需求方共同組建的安全管理機(jī)構(gòu)，共同負(fù)責(zé)數(shù)據(jù)安全；3）外發(fā)安全最小化同級(jí)之間、上級(jí)向下級(jí)的真實(shí)數(shù)據(jù)交換，采取技術(shù)措施實(shí)現(xiàn)相應(yīng)數(shù)據(jù)功能的共享。向同級(jí)或者下級(jí)外發(fā)數(shù)據(jù)，外發(fā)數(shù)據(jù)的安全防護(hù)能力不得低于發(fā)送前的防護(hù)能力，且原所有方仍然參與或監(jiān)督數(shù)據(jù)的安全保護(hù)；4）全方位技術(shù)防護(hù)在等級(jí)保護(hù)基本要求基礎(chǔ)上，采取加密、訪問(wèn)控制、脫敏、監(jiān)視等技術(shù)手段全方位的保護(hù)共享平臺(tái)中的數(shù)據(jù)。55/44數(shù)據(jù)安全防護(hù)思路1）數(shù)據(jù)定級(jí)55/44數(shù)據(jù)分級(jí)分類國(guó)家共享平臺(tái)是數(shù)據(jù)安全的總牽頭單位和總體監(jiān)督單位。應(yīng)負(fù)責(zé)制定《敏感數(shù)據(jù)定級(jí)標(biāo)準(zhǔn)》、《個(gè)人信息安全規(guī)范》根據(jù)數(shù)據(jù)的屬性和數(shù)據(jù)總量，以獨(dú)立的數(shù)據(jù)庫(kù)或者文件集合為單位進(jìn)行敏感性單獨(dú)定級(jí)定級(jí)標(biāo)準(zhǔn)參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》有關(guān)標(biāo)準(zhǔn)執(zhí)行。數(shù)據(jù)等級(jí)分為二、三、四共三級(jí)，分別對(duì)應(yīng)等級(jí)保護(hù)中的二、三、四級(jí)/4456數(shù)據(jù)分級(jí)分類國(guó)家共享平臺(tái)是數(shù)據(jù)安全的總牽頭單位和總體監(jiān)督單位數(shù)據(jù)共享安全管理體制/4457共享平臺(tái)牽頭單位：國(guó)家平臺(tái)標(biāo)準(zhǔn)和要求制定策略執(zhí)行監(jiān)督檢查日志集中存儲(chǔ)管理數(shù)據(jù)安全態(tài)勢(shì)感知數(shù)據(jù)提供方數(shù)據(jù)外放而不是外發(fā)自身數(shù)據(jù)安全外放數(shù)據(jù)安全策略執(zhí)行和監(jiān)控?cái)?shù)據(jù)接收方提供執(zhí)行安全策略的條件在受控情況下訪問(wèn)接收的數(shù)