互联网行业安全部安全员数据安全审计手册.docxVIP

互联网行业安全部安全员数据安全审计手册

第1章数据全生命周期风险管控

1.1数据采集与传输环节的风险识别

在数据采集阶段，必须严格界定“最小化原则”，即仅收集业务运行所必需的最小数据集，严禁通过爬虫、自动化脚本等自动化手段批量抓取非结构化或敏感数据，防止因数据量过大导致审计对象被误识别为攻击目标。针对传输环节，需部署端到端的加密通道，确保数据在从源系统到目的系统的网络传输过程中保持机密性，禁止使用明文或弱加密协议（如未签名的HTTP/），必须采用TLS1.2及以上版本，并配置自动重连机制以应对网络波动。

采集过程中需实施身份认证与访问控制，确保每一次数据拉取行为都有唯一且