以数据安全为核心的安全立体防御方案设计.pptx

背景概述

防御思路

防御方案

参考借鉴;

Topinternalactorvarietiesinbreaches

Systemadmin

72

End-user

62

Other

62

Doctorornurse

32

Developer

15

Manager

9

Executive

8

Cashier

6

Finance

6

Humanresources

5

0%20%40%60%80%100%;

各国加大数据安全监管和处罚力度

口《中华人民共和国网络安全法》

口《关键信息基础设施保护条例》

口《网络数据安全管理办法》

口《个人信息和重要数据出境安全评估办法》口《信息安全技术数据安全能力成熟度模型》口《信息安全技术个人信息安全规范》

口《电信和互联网用户个人信息保护规定》

口《信息安全技术大数据服务安全能力要求》口《信息安全技术大数据安全管理指南》;

内部人员外包人员合作伙伴

更多数据来源更多基础应用

更多外部合作更多跨域流动

数据流动保护风险

数据业务过程风险

数据权限风险用户权益风险

数据存储风险业务质量风险

个人隐私商业机密国家机密

现实中数据安全面临的问题;

我国涉及数据安全的法律法规-1

网络安全法

《中华人民共和国网络安全法》(以下简称：网络安全法),由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过并公布，自2017年6月1日起施行。

在该报告明确地对个人隐私数据和国家重要数据提出了保护要求，其中包含一些具体化的措施要求，比如：

(1)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

(2)采取数据分类、重要数据备份和加密等措施；

该法案，对中国所有政府单位和企业的IT系统建设、数据采集和应用产业造成深远影响；并随之配套产生的《数据出境管理办法》、《个人隐私数据管理办法》、《大数据安全标准》等，将对数据安全行业的发展产生重要影响。

等级保护政策

全称为《信息安全等级保护管理办法》规定，由公安部牵头推动，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济???设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

所有的政府单位、央企、金融单位、互联网企业等都将接受该管理办法的约束；等级保护在过去的10年中，是我国信息安全建设中最重要的需要遵循的法规。;

GB/T35273-2017《信息安全技术个人信息安全规范》

个人信息安全管理规范

国家编制的GB/T35273-2017《信息安全技术个人信息安全规范》于2018年5月1日实施。该规范主要针对个人信息

面临的安全问题，规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制

个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。例如：

规范第六章“个人信息的保存”中指出：

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

该规范第七章“个人信息访问控制措施”也提出了对个人信息控制者的要求：

a)对被授权访问个人信息的内部数据操作人员，应按照最小授权的原则，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；

b)宜对个人信息的重要操作设置内部审批流程，如批量修改、拷贝、下载等；

C)应对安全管理人员、数据操作人员、审计人员的角色进行分离设置；

d)如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；

上述两条规定，明确提出了针对个人信息的“数据脱敏”要求、“数据管控”要求和数据获取过程中的“内部审批”要求。;

电信和互联网行业提升网络数据安全保护能力专项行动方案

一总体要求

■以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中全会精神

■严格落实《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《互联网信息服务管理办法》等法律法规

■坚持维护数据安全与促进数据开发利用并重，坚持数