綠盟科技：數據安全發(fā)展趨勢與防護實踐2023

《數據安全發(fā)展趨勢與防護實踐》許國昊一領牢身里薪基促進數配副用中華人民共和國2021.11.1已實施，最高處罰5000萬元中華人民共和國2021.11.1已實施，最高處罰5000萬元或者上一年度營業(yè)額5%罰款。責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照。2017.6.1已實施，個人信息侵權或數據安全相關，最高處罰100萬元；或違法所得十倍的罰修訂稿2021.9.1已實施，最高處罰1000萬元；或違法所得十倍的罰款。責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)2022.9.14發(fā)布修訂稿，意在加強與新實施的法律之間的銜接協調，完善法律責任制度，進一步維度1:保護對象敏感數據敏感數據國家敏感數據(重要數據)企業(yè)敏感數據各類敏感數據VS企業(yè)敏感數據維度2:應用場景(環(huán)境)不同環(huán)境下的數據安全維度3:數據安全生命周期環(huán)節(jié)采集傳輸存儲處理交換銷毀數據安全1.0:弱監(jiān)管、企業(yè)自發(fā)性、單點保護用戶目標：企業(yè)保護對象是企業(yè)敏感數據和重要資產。防止內部人員的非法拷貝和黑客的竊取。特點：主動的、數據資產驅動的、投入成本相對小的數據安全防護。第二屆數據安全治理峰會數據安全2.0:強監(jiān)管驅動為主、數據全生命周期防護數據安全戰(zhàn)略數據安全規(guī)劃機構人員管理數據全生命周期安全數據采集安全數據傳輸安全數據存儲安全數據使用安全數據共享安全數據銷毀安全數據分類分級合規(guī)管理數據分類分級合規(guī)管理合作方管理監(jiān)控審計目標：安全與合規(guī)，數據安全全生命周期能力建設。特點：被動合規(guī)驅動為主、主動數據安全建設為輔、投入成本相對高昂的數據安全建設。數據安全保護對象是各種類型第二屆數據安全治理峰會第二屆數據安全治理峰會一領牢身里薪基促進數配副用一.建立數據分類分級保護制度二、履行數據共享監(jiān)督與泄露溯源義務三、匿名化處理、去標識化處理一領牢身里薪基促進數配副用知識知識控數據識別數據安全風險評估敏感數據分類分級數據安全風險評估數據水印數據水印數據審批策略優(yōu)化治理層展示層防護實踐一建立跨部門團隊第二屆數據安全治理峰會防護實踐一建立跨部門團隊一領牢身里薪基促進數配副用數據安全的合規(guī)并非安全或法務部門一兩個部門協助即可完成的事項，還需要應用和管理部門、產品和服務開發(fā)部門、招采部門和財稅部門組成的跨部門的合規(guī)團隊共同協作才能完成。因此數據安全的合規(guī)工作需要得到公司戰(zhàn)略層的重視及高層管理人員的牽頭，才能有效的推動進行。管理層重視1)重視數據保護2)了解數據安全防護的成本與合規(guī)成本組建團隊1)創(chuàng)建跨團隊的工作組2)任命數據安全保護負責人3)設立專門機構或者指定代表一領牢身里薪基促進數配副用基于數據使用需求、自身業(yè)務特性和數據梳理成果，定義數據分類分級并進行核查。數據識別數據分類數據分級業(yè)務流程信息系統(tǒng)數據信息可信計算服務隱私計算服務TEE可信計算服務隱私計算服務數據泄露風險評估數據泄露風險評估數據脫敏匿名數據脫敏匿名重標識攻擊匿名數據重構數據隱私條例重標識攻擊匿名數據重構數據隱私條例用戶側分析程序大數據平臺數據運營方大數據平臺數據運營方據出域審計計算結果證明據出域審計匿蹤查詢聯邦學習隱私計算軟件聯邦學習一領牢身里眼基促進散影副用3、如發(fā)現異常，抽取檢測特征進行訓練，后續(xù)進行自動化檢測。2,可疑分簇調查分析1、對于沒有異常檢測經驗積累的系統(tǒng)，先使用聚類對業(yè)務數據做分類用戶畫像數據訪問場景ntp會話文件CRM經分計費內部運維場景進程賬號文件關聯分析終端賬號資產責任人應用日志(那件金庫場景操作頻次場景職位部門p《接入日古時序關聯時序關聯檢測引擎=y則類上型模式時序關聯基線模型示例基線模型示例批mEg:異常序基線檢測場景場景示例機器學習有監(jiān)督機器學習有監(jiān)督機器學習聚類結果分析類!77無監(jiān)督機器學習聚類結果分析類!77無監(jiān)督機器學習8一領牢身里薪基促進數配副用應急處置數據安全運營平臺應急處置數據安全運營平臺安全事件合規(guī)性指標安全態(tài)勢指標安全運營專家安全規(guī)劃調整合規(guī)性指標安全態(tài)勢指標安全運營專家運行能力指標運行能力指標一鍵封