数据安全解决方案交控0725.docx

《数据安全解决方案交控0725.docx》由会员分享，可在线阅读，更多相关《数据安全解决方案交控0725.docx（47页珍藏版）》请在第一文库网上搜索。

1、1. 数据安全解决方案1.1 设计原则数据安全保护体系的设计遵循“依法规范、积极防范、分级负责、重点防护、 便利工作”的原则。“依法规范”，是指数据安全保护工作应当在国家、行业相关规范的指导下开 展，并适当参考国际上先进的数据安全保护最佳实践，建成规范化、体系化、覆盖 全面并契合实际、可落地的数据安全能力体系。“积极防范”，开展数据安全保护工作应坚持预防为主，把工作重点放在预防 上，做到防患于未然，最大限度的减少泄密事件的发生。企业要结合实际情况，综 合采取人防、物防和技防三者结合的数据安全保护工作综合防范体系，积极建设底 层基础防御技术措施，不断完善和改进防范策略和手段。“分级负责”，是指开

2、展数据安全保护工作时，应当建立健全数据安全保护组 织体系，完善决策、管理、执行、监督各级管理组织，明确职责和义务，“业务工 作谁主管，数据安全谁负责”，各级数据安全保护组织、各部门以及集团与省市公 司各层级应当严格执行各自职责范围内的工作。“重点防护”，是指开展数据安全保护工作，要从关系企业权益、保障企业根 本利益和最容易发生问题的关键节点及薄弱环节入手，全方位加强企业数据安全保 护管理。应当根据数据安全保护管理对象涉及数据敏感度、重要度的不同，采取相 应的保护措施，合理分配人、财、物资源，对核心数据重点保护。“便利工作”，开展数据安全保护的同时，要充分遵循信息化条件下信息资源 利用和管理的客

3、观规律，建立科学有效的数据安全保护管理制度，尽量少地影响业 务和降低工作效率，促进信息资源的合理利用。在确保数据安全的同时，在企业内 部要做到数据资源的合理利用，方便数据的合理交流。1.2 设计依据在法律层面，主要遵循已发布实施的中华人民共和国网络安全法和在2021 年9月1日将要实施的数据安全法，并参照中华人民共和国民法典、个 人信息保护法（草案）。在国家标准层面，主要遵循信息安全技术个人信息安 全规范、信息安全技术大数据服务安全能力要求、信息安全技术数据安 全能力成熟度模型、信息安全技术大数据安全管理指南。中华人民共和国网络安全法，关于数据安全的要求主要强调对个人信息安 全的保护，其中包括

4、：一是对收集的用户信息应严格保密；二是网络运营者收集、 使用个人信息应遵循一定的原则和要求；三是网络运营者不得泄露、篡改、毁损其 收集的个人信息；未经被收集者同意，不得向他人提供个人信息；四是网络运营者 应采取必要措施确保收集的个人信息安全。数据安全法，确立数据分类分级以及风险评估、监测预警和应急处置等数 据安全管理各项基本制度；明确开展数据处理活动的组织、个人的数据安全保护义 务，落实数据安全保护责任；坚持安全与发展并重，规定支持促进数据安全与发展 的措施；建立保障政务数据安全和推动政务数据开放的制度措施。中华人民共和国民法典，第一千零三十二条自然人享有隐私权，任何组织 或者个人不得以刺探、

5、侵扰、泄露、公开等方式分割他人的隐私权，隐私是自然人 的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。进一步强化 对隐私权、个人信息和数据的保护。个人信息保护法(草案)，规定了个人信息处理规则、敏感个人信息范围、 数据出境管控规则等进行了规范，明确了个人信息处理权利，并对个人信息处理活 动中处理方的责任义务提出了要求。信息安全技术个人信息安全规范中对个人信息的收集、存储、使用，个人 信息主体的权利，个人信息的发布披露等进行了规定，并提供了个人信息的示例。信息安全技术大数据服务安全能力要求对大数据服务提供者应具备的安全 能力提出基础要求和增强要求。信息安全技术数据安全能力成熟度模型

6、(GB/T 37988-2019),该标准将 数据安全能力分为“非正式执行”、“计划跟踪”、“充分定义”、“量化控制” 和“持续优化” 5个等级，等级越高代表组织机构数据安全能力越强。信息安全技术 大数据安全管理指南给出了管理原则、大数据活动及安全要 求，可作为数据安全管理工作开展的依据。1.3 设计思路基于等保2.0、DSMM、网络安全法、数据安全法、个人信息保护法等相关国家 法律和相关标准的技术要求，加强组织建设、制度流程、技术工具和人员能力等方 面的大数据安全保障，构建以人和数据为中心，贯穿大数据采集、传输、存储、处 理、共享、销毁全生命周期安全管理全过程，保护数据的可用性、完整性和机密

7、性。数据安全治理，以技术保障为基础、以管理运营为抓手、以监测预警为核心、 以协同响应为目标，在数据、人、工具、运营管理安全等方面进行积极防御，逐步 落地建成以数据为中心的数据安全技术体系，提升数据安全运营能力、数据安全管 控能力和数据安全监控能力。1、建立数据分类分级能力、数据脱敏能力、数据防泄漏能力、访问控制能力， 启动数据安全管控系统（可视、可管）建设，解决数据泄露问题。2、通过实现数据发现、策略管控、事件监测、风险分析等能力的建设，形成数 据安全闭环管理，提升数据安全管控能力建设。3、建设数据安全风险分析能力、数据溯源能力，完善数据安全防护体系能力支 撑组件建设。4、加强数据资源安全运营

8、、数据安全策略运营、数据安全事件运营、数据安全 风险运营等能力的建设，为数据安全提供信息化支撑手段。1.4 数据安全治理体系框架数据安全治理做作为数据治理的不可或缺的一部分，是以“让数据使用更安全” 为目的的安全体系构建的方法论，数据安全治理并非单一产品或平台的构建，而是 覆盖数据全部使用场景的数据安全治理体系建设。数据安全治理从决策层到技术层， 从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链，组织内的各个层级 之间需要相互协作，并从管理、技术、运营三个维度建设数据安全治理体系，以最 有效的方式保护信息资源，数据安全治理体系框架如下图:制度第管理体系数据安全技术体系数据安全治理管控烫产

9、管理箕转管理风I盘分析mm分级分类生余周期管理泄雷建馔分析 溯源哲理方针总纲 管理能度管翌办法数据为火塔数揖?敏数据比更数据水印一身吩营理 sS3应用管控流森.现范 指南里坂计划.报告 记录.m志攻击防宁底毒收谷统访尹数38惠由计阿芸DLP终景DLP取委权利 资源分BS 能力培训 人契建设业务场景、数据场景-H亍数据存储数据传范数据使用数据共享数据销毁 管理体系：完善的组织机构、有针对性和可行的管理制度和规范、全面和先进 的数据安全技术，是构建数据安全治理体系的基础。 技术体系：针对数据使用的各个场景，需要通过梳理来了解数据资产状况和风 险；配合制度规范要求，采用不同的安全技术手段进行数据使用

10、过程中的管控, 同时要监控使用过程，对访问行为进行稽核，并不断完善。 运营体系：参考行业标准，以敏感信息以及数据资产整理为基础，通过数据安 全摸底、数据安全策略涉规划与设计、数据的全生命周期的管控、数据风险防 控、持续的数据安全优化，落实运营过程，解决传统数据以及大数据安全治理问题。1.5数据安全防护系统1.5.1 数据安全管理体系1.5.1.1. 组织建设数据安全工作会涉及业务、1T、运维、开发，甚至财务、法务等诸多部门和环 节，因此需要建立对数据状况熟悉的专责部门来负责数据安全治理体系的建设工作。 由于数据安全与业务密不可分，因此，在建设数据安全治理体系过程中，从决策到 管理，都离不开业务

11、部门的参与和配合。组织职能的设计需要遵循由高到低的完整体系，从决策层、管理层、支持层、 监督层来入手进行设计，如下图所示:决策层决策层在开展数据安全治理体系建设过程中，负责对数据安全的目标、范围、策略进行决策，决策层属于虚拟组织。决策层应包括如下角色： 牵头人：由数据安全部门负责人担任； 最高决策人：一般由信息化最高领导担任； 成员：业务、IT、运维、开发等部门的负责人。决策层具体职责如下：1 .数据安全总体方针、策略和目标的制定；2 .协调资源；3 .各项制度、规范的发布。管理层管理层负责数据安全治理体系建设的具体工作，管理层的成员一般由数据安全 部门承担，其主要职责如下：1 .制度规范的制

12、定；2 .执行方案的设计；3 .配合监督工作的顺利开展；4 .安全手段的配置；5 .制度和安全技术的有效性论证；6 .协调其它部门的负责人或代表提供配合；7 .征询其它部门关于数据安全管控的意见。为保证职责的有效履行，管理层可分成数据安全组和安全管理组两部分，数据 安全组偏重于数据安全管理、流程审批、策略制定，安全管理组偏重于安全技术手 段。监督层监督层是独立的组织，成员不建议由其它部门兼任，一般由审计部门担任，监 督层需要定期向决策层汇报当前数据安全状况。监督层主要职责如下:1 .统计数据安全制度的落实情况；2 .验证安全手段应用的有效性；3 .数据访问行为的监控和审计；4 .数据违规使用的

13、识别。监督层的工作建议分成内审和外审，内审由内部的部门和人员开展审计工作， 外审则聘 请第三方公司或团队开展审计工作。支持层支持层成员是指来自业务部门和职能部门的人员，以兼职的形式参与，主要负 责评估安全手段和制度执行的可行性，提出在业务开展过程中的数据安全需求。1.5.1.2. 治理评估数据安全管理责任部门在建设、运营重要业务系统时，应当首先进行数据安全 治理风险评估，坚持“先评估、后治理”的原则，经专业数据安全咨询单位咨询评 估，在充分考虑咨询评估意见的基础上作出决策决定。数据安全管理者在进行规划过程中，要充分发挥数据安全咨询的作用，应定期 通过业务合规性评估手段开展咨询评估工作，对业务系

14、统和数据安全进行全面检测， 并对评估结果进行安全能力分析，从而形成业务系统数据安全能力评估报告，为后 续数据安全治理建设提供支撑。1.5.1.3. 制度建设为便于管理，制度需要按照体系化的方式进行建设，可将制度分为四级，如下图所示:一级文件为方针政策、二级文件为制度规范、三级文件为操作明细、四级文件 为基础模板。除一级文件外，其它级别的文件在制定的时候具有唯一上级，同级文 档内容不能重复，最终形成树状结构。1.5.2数据安全技术体系数据安全技术建设是在主动识别、标记敏感数据、全面梳理数据资产的基础上, 采用敏感数据加密、脱敏、数据访问网关等防护手段，结合数据分级分类实现用户 访问权限控制，并对

15、敏感数据访问、网络文件传输等行为进行实时审计，做到数据 安全事前识别、事中防护、事后审计和持续运营，实现数据安全行为监控、风险告 警及事件溯源等，为数据存储、传输、处理和交换全过程提供安全保护。Mv火力工!金燮曲用理BKX U I*h*Jlm.*力 MIMaw rJBUM O_.ma. Ji t* 3加 HWBMAAN二-Tl jj * 1|- -数据安全视图展示：包含敏感数据分布视图、敏感数据事件视图、敏感数据风险视图、敏感数据策 略视图、敏感数据流转视图、敏感数据合规视图、敏感数据安全态势视图。数据安全治理和运营：数据发现：包含敏感数据定义、敏感数据识别、敏感数据规则、服务器扫描、 数据库扫描、敏感数据分布、敏感数据分布视图、数据索引标记等功能。主要 通过非agent方式，定义敏感数据发现规则，实现对敏感数据的扫描、发现与展 现。策略中心