数据安全服务体系方案.docxVIP

— PAGE \* Arabic 1 — 数据安全服务体系方案 数据安全服务体系介绍  1概述  1.1背景  2017年6月1日《中华人民共和国网络安全法》正式生效，在规范社会网络行为同时，明确企业和个人所承担的网络安全责任和义务，其中重点提到对个人信息保护，使得数据安全得到前所未有的重视。  信息系统的核心数据存在数据库中，数据库作为核心数据资产载体，一旦发生无意识危险操作、信息泄露、恶意篡改，都将造成最为惨痛的损失。据Verizon 2016数据泄露调查报告显示，数据库服务器数据泄露占总泄露记录的80%以上，成为头号信息泄露源。  随着当前业务系统及数据库的部署规模、访问人员和密集度在不断增加，来自于外部攻击者、第三方运维和开发人员、内部维护人员的恶意访问，给企业数据安全带来了严峻的挑战。  由于数据库安全是一个信息安全中一个新兴的领域，大部分的企业在数据安全方面普遍存在着技术能力不足的问题，这就产生对数据安全专业服务的需求。  1.2服务目标  过去二十多年信息化和互联网经济的发展，数据成为继现金和技术之后又一核心价值资产。数据黑产在过去十年里蓬勃发展，让每个人、每个企业和国家的数据都面临着巨大威胁。保证客户对敏感数据的安全管理和使用，是数据安全服务的核心服务目标。只有合理地处理好数据资产的使用与安全问题，企业与国家才能在新的数据时代稳健而高速发展。  1.3参考法规及标准  《中华人民共和国网络安全法》  GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》  GB/T 28448-2012 《信息安全技术信息系统安全等级保护测评要求》  GB/T 28449-2012 《信息安全技术信息系统安全等级保护测评过程指南》  ISO/IEC 27000 系列标准族  等等  2数据安全服务体系架构  2.1核心内容  数据安全服务的核心内容，首先是来自对数据资产进行有效的理解、分析和定位，根据数据的重要程度和敏感度不同，尽可能对数据做到有差别和针对性的防护，实现在适当安全保护下的数据自由流动。通过数据库安全服务能够为客户提供针对不同数据、不同使用者的数据管理控制措施；除了数据管控，我们还需要有效地对数据的访问行为监控和审计，对收集的日志记录进行定期地合规性分析和风险分析。  2.2服务框架  数据库安全服务框架如下图:   整个数据安全服务体系由三大板块组成:数据安全清查板块、数据安全管控板块和数据安全稽核板块组成。每个板块又由多个子服务板块组成，每个板块即可以单独为客户提供服务，也可以将各个板块组合，为客户提供更加全面、可靠的服务。  2.3与传统安全服务区别   3数据安全清查板块  数据安全清查服务板块主要是对客户的数据资产分级分类、分布情况、使用情况、风险情况进行梳理，并将数据资产以较为清晰的图表方式展现给客户，做到对数据资产心中有数。  3.1数据分级分类服务  服务内容：通过对数据进行有效分类，能够避免一刀切的控制方式，在数据的安全管理上采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡。数据分级分类主要依据数据的来源、内容和用途对数据进行分类；按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。  服务方式：顾问访谈、采用数据静态梳理工具（未购置）定期服务  输出物：分级分类管理制度、《数据分级分类清单》  3.2数据资产定位服务  服务内容：客户业务系统运营的过程中会产生大量的数据，这些数据都是企业宝贵的数据资产，这些数据资产绝大部分都保存在为这些业务系统提供支撑的数据库中。数据资产定  位服务能够为客户客观、高效、清晰的定位其信息系统中运行着那些数据库，避免客户由于系统更新迭代、人员变动、管理复杂造成对数据库及数据资产的失控。  服务方式：采用“数据库漏洞扫描系统”定期服务  输出物：现运行数据库清单  3.3数据资产梳理服务  服务内容：数据资产梳理是采用自动扫描的方式，完成对敏感数据存储分布状况信息采集的服务工作。通常经过梳理后，能够将个人信息（如：姓名、身份证号、电话、地址、银行卡号等）及业务敏感信息在数据库中的分布情况进行客观的展现。  服务方式：数据梳理工具（未购置）定期扫描  输出物：敏感数据分布报告，敏感数据分布清单  3.4数据热度分析服务  服务内容：数据热度分析是采用数据库访问流量镜像的方式