等保2.0之大数据层面测评(大数据安全测评)课件.ppt

大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评 32 大数据测评 测评类型 时间 对象 范围 切入点 系统测评 业务系统测评 业务系统 大数据测评 业务系统测评通过之后 大数据 系统中所有的数据、鉴别 大数据 信息、敏感数据 分层面 识别数据整体情况和分类分 级情况，识别数据生命周期 相关各业务系统，测评各系 统对于各类各级数据的安全 保护状况 粒度 单一系统的数据整体，识 安全责任主体所有的不同级 别重要数据 别类别的数据 33 大数据测评和信息系统测评的关系 ? 对象不同 ? 视角的不同 ? 数据的边界各异 ? 结果的继承 ? 生命周期保护措施的一致性要求 34 调研表 调研表 35 对 象 层面 数据采集 对象 数据管理制度类文档，数据采集授权记录，大数 据平台、大数据应用、大数据基础设施和数据源， 合同或协议 数字资产清单，大数据平台和管理员 大数据平台、大数据应用、大数据基础设施、数 据源、数据存储、数据备份，配置数据和业务数 据，设计文档 数据分类 数据存储 数据应用 设计或建设文档，大数据应用、大数据平台、管 理员，数据处理工具 / 脚本 / 服务组件，大数据应 用、数据或数据接口访问控制策略，数据溯源措 施或系统 系统管理软件和系统设计文档等、应用、接口、 数据集的调用管理制度和授权记录，数据安全管 理员，大数据平台、应用，授权审批流程、申请 授权文档和授权审批记录 大数据平台、合同、协议，大数据平台管理员， 数据管理要求，设计文档 36 数据交换 数据销毁 对 象 层面 对象 物理环境安全 通信网络安全 计算环境安全 大数据平台管理员和大数据平台建设方案 大数据平台和业务应用系统定级材料，网络架构 数据采集终端、导入服务组件、业务应用系统、 数据管理系统和系统管理软件，大数据平台、大 数据应用，辅助工具、服务组件，计算节点和存 储节点，设计或建设文档，应急方案或应急处置 措施、设计文档和建设文档，审计数据 大数据应用建设负责人、大数据平台资质及安全 服务能力报告，大数据平台服务合同、协议和服 务水平协议、安全声明，数据交换、共享策略和 数据交换、共享的合同、协议 数字资产安全管理策略，数据分类分级保护策略， 大数据平台建设方案，：数据管理员，数据管理 相关制度和数据变更记录表单 37 安全建设管理 安全运维管理 数据分类分级 制定并执行分类分级的保护策略； 应在数据产生的同时，如数据采集的过程，对 数据进行分类分级； 应根据数据的分类分级对数据进行标识，并实 施相应级别的安全保护措施； …… 保证在机构内部数据分类分级的保护策略保持一致。 属地管理 生命周期 存储 应用 销毁 控制措施 应保证承载大数据存储、处理和分析的设备机房位于中国境内； 跨境的数据应用应获得授权和审批，并对使用过程执行监管 ； 应在中国境内对数据进行清除或销毁。 国家互联网信息办公室： 《个人信息和重要数据出境安全评估办法（征求意见稿）》 国家标准：信息安全技术 数据出境安全评估指南（送审稿阶段） 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应 当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估。 39 授权许可 ? ? ? ? ? 对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下 才可以对大数据应用的数据资源进行访问、使用和管理； 以书面方式约定大数据平台提供者的权限与责任、各项服务内容和具 体技术指标等，尤其是安全服务内容； 明确约束数据交换、共享的接收方对数据的保护责任，并确保接收方 有足够或相当的安全防护能力； 建立数字资产安全管理策略，对数据全生命周期的操作规范、保护措 施、管理人员职责等进行规定，包括并不限于数据采集、存储、处理 、应用、流动、销毁等过程； …… 40 访问控制 - 基于安全标记的访问控制 ? 应对重要主体和客体设置安全标记，并控制主体 对有安全标记信息资源的访问； - 通用安全 ? 大数据平台提供设置数据安全标记功能，基于安全标记 的授权和访问控制措施，满足细粒度授权访问控制管理 能力要求； ? 涉及重要数据接口、重要服务接口的调用，实施访问控 制，包括但不限于数据处理、使用、分析、导出、共享 、交换等相关操作。 41 系统安全 访问控制 身份鉴别 网络架构 入侵防范 数据隔离 信息保护 资源控制 备份恢复 安全审计 集中管控 …… 非常感谢 43 大数据相关标准和测评实践 大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评 2 等级保护对象 大数据等级保护对象 来源 Nist SP1500 麦肯锡 定义 大数据由大量的数据集组成，其特征主要体现在 大量、多样、高 速、多变 ，需要一种可扩展的架构提供高