06安全性与合规性32课件.pptxVIP

06安全性与合规性信息安全技术应用ApplicationofInformationSecurityTechnology

安全性与合规性数据存储安全技术06安全三要素CIA安全性的黄金三角：保密性（Confidentiality）：加密防窃取，如AES-256算法完整性（Integrity）：防篡改，SHA-256校验就像数据DNA可用性（Availability）：抗DDoS攻击，保障业务不中断加密技术全景图两大加密兵器库：?对称加密（AES）：同一密钥加解密，速度超快→适合大数据加密?非对称加密（RSA）：公钥加密私钥解密，防窃听→适合密钥分发致命误区：自行发明加密算法=用纸盾牌挡子弹！

安全性与合规性数据存储安全技术06访问控制四重门谁能在什么时间访问什么数据？1.身份认证（Authentication）：你是谁？→密码/生物识别/U盾2.授权管理（Authorization）：你能做什么？→RBAC权限模型3.审计追踪（Auditing）：你做了什么？→操作日志留存6个月+4.最小权限原则（LeastPrivilege）：只给必要权限，如普通员工禁删数据库合规性三大法典GDPR（欧盟通用数据保护条例）：用户有权要求删除个人数据（被遗忘权）违规罚金：2000万欧元或全球营收4%?HIPAA（美国健康保险法案）：医疗数据必须加密存储传输泄露患者数据罚金$5万/次?等保2.0（中国网络安全法）：三级系统要求：本地备份+异地容灾+渗透测试”

安全性与合规性数据存储安全技术06渗透测试五步杀白帽黑客攻击自测流程：1.侦查：扫描开放端口（Nmap工具）2.入侵：利用漏洞攻入系统（Metasploit框架）3.提权：获取管理员权限4.渗透：横向移动控制更多主机5.清理：抹除痕迹并输出报告合规要求：金融/医疗行业每年至少1次渗透测试！数据安全生命周期从生到死的全程守护：1.创建：分类分级（敏感数据标记）2.存储：静态加密+访问控制3.使用：脱敏显示（如银行卡号****1234）4.传输：TLS1.3加密通道5.销毁：物理粉碎硬盘/多次覆写血泪教训：二手硬盘未销毁导致500万用户数据泄露！隐私工程三原则隐私保护设计（PrivacybyDesign）铁律：默认隐私保护：用户无需设置即享最高安全数据最小化：不收集非必要数据（如性别对新闻App无用）用户赋权：一键导出/删除个人数据

安全性与合规性数据存储安全技术06安全事件应急响应事件爆发后的黄金4小时：1小时内：隔离受感染系统，留存攻击日志2小时内：报告监管机构（GDPR要求72小时内）3小时内：通知受影响用户（如邮件/短信预警）4小时内：发布漏洞修补方案沉默代价：瞒报数据泄露罚金加重30%！安全合规终极公式三条生存法则：1.技术为盾：加密+访问控制+日志审计缺一不可2.合规为剑：GDPR/HIPAA/等保2.0是法律盾牌3.人为本：90%漏洞源于员工点击钓鱼邮件！！