1、P A R T 0 1 数 据 安 全 保 护 面 临 的 挑 战数 据 安 全 保 障 工 程 建 设 框 架数 据 安 全 治 理 体 系 架 构 设 计数 据 数 据 安 全 工 程 建 设 解 决 方 案数 据 安 全 保 障 工 程 建 设 蓝 图2018年12月17日，2万名FBI特工信息在网上泄露，英、美、法多国情报机构均受影响。美国去年大概发生了1800起重大数据泄露事件，医疗行业成为重灾区，每条记录成本在408美元，其次是金融行业每条成本是206美元。截止2019年1月统计的全球各行业数据泄露增长占比。由高到低依次是医疗、金融、药物、服务、技术。随着国家大数据战略的不断推动深

2、化，大数据驱动的产业创新层出不穷，针对日趋严重的数据安全问题，我国已经将数据安全纳入国家战略，保护国家数据主权。习近平总书记明确指出：“要依法加强对大数据的管理”。2019年第十三届全国人大二次会议提出要尽快制定中华人民共和国数据安全法，明确数据安全法律责任，完善监管体系，保障国家安全、公民个人隐私权益和社会安全稳定。印度2018个人数据保护法（草案）巴西通用数据保护法法国法国数据保护法俄罗斯个人数据保护法日本个人信息保护法案美国加利福尼亚州颁布了2018年加州消费者隐私法案欧盟通用数据保护条例（GDPR）创建传输存储处理销毁暴露面暴露面外部威胁技术缺失管理不足内部威胁交换数据全生命周期数字空

3、间国家级攻击有组织攻击经济利益组织商业间谍内部滥用间谍活动人为有意操作人为无意操作数据问题是数字时代的问题，数据安全是网络空间的安全！1.数据视角2.业务视角3.风险视角84.合规视角 2014年4月15日习近平总书记在中央国家安全委员会第一次会议上正式提出“总体国家安全观”；2016年11月7日全国人民代表大会常务委员会发布中华人民共和国网络安全法，2017年6月1日正式施行，落实国家总体安全观；2017年8月，全国信息安全标准化技术委员会发布了信息安全技术 个人信息去标识化指南（征求意见稿）；2018年5月1日，国家标准信息安全技术 个人信息安全规范实施；2018年6月27日，公安部发布网

4、络安全等级保护条例（征求意见稿）；2018年11月30日，公安部网络安全保卫局发布互联网个人信息安全保护指引（征求意见稿）等。数 据 安 全 保 护 面 临 的 挑 战P A R T 0 2 数 据 安 全 保 障 工 程 建 设 框 架数 据 安 全 治 理 体 系 架 构 设 计数 据 数 据 安 全 工 程 建 设 解 决 方 案数 据 安 全 保 障 工 程 建 设 蓝 图采集处理交换传输存 储销毁分类分级秘密事项秘密范围密级标识存储位置存储/备份保密期限密源单位知悉范围授权/审批网络/应用介质/加密知悉范围身份/权限操作打印知悉范围授权/审批销毁方式介质处置数据安全保障工程建设数据安

5、全保障工程建设知悉范围授权/审批密级修订审核/备案组织（P）过程（P）技术（T）数据（D）智能（I）数据治理组织落实数据安全保护责任制过程管理规范管理过程制度和规范安全技术措施全面有效的保护措施数据资产全貌数据全生命周期智能化处理实现自动化处理数据安全官数据安全保护组织过程管理体系过程安全管理制度集技术支持平台3个”保障环”平台/系统/工具业务数据管理业务和数据风险并举AI植入人工智能基因数据安全工程能力成熟度模型Data Security Engineering capability maturity model（DSE-CMM）备注：参考信息安全技术 数据安全能力成熟度模型对级别的定义。数

6、 据 安 全 保 护 面 临 的 挑 战数 据 安 全 保 障 工 程 建 设 框 架P A R T 0 3数 据 安 全 治 理 体 系 架 构 设 计数 据 数 据 安 全 工 程 建 设 解 决 方 案数 据 安 全 保 障 工 程 建 设 蓝 图16数据空间：战略风险网络空间：运营风险物理空间：战术风险境外攻击战略对抗数据治理重点行业网络边界业务数据安全运营安全能力保障工程数据离境智慧城市在风险语境下，“以业务安全为驱动，以数据安全为核心”，构建先进、科学、可行、合规的数据安全保障工程（Data Security Assurance Engineering，DSE）主要包括数据安全治理

7、和数据安全管理。数据安全治理：明确数据安全治理组织、职责并落实责任制，明确目标、内容、范围和策略。具体包括如下：安全治理组织、安全战略管理、安全风险管理、安全合规管理、安全策略管理、安全标准管理和安全能力管理。数据安全治理安全战略管理安全治理组织安全风险管理安全合规管理安全策略管理安全标准管理安全能力管理部门及责任制（组织）数据保护战略定位（战略）能力建设蓝图（规划）安全配套标准规范数据分类分级保护策略（制度）安全管理制度编制（制度）风险识别、分析、处置管理机制数据安全管理：核心是有效落实并实现组织（P）、过程（P）、技术（T）、数据（D）、智能（I）五大能力建设。具体包括如下：安全战略对抗、

8、业务数据安全、网络边界安全、安全基础设施、基础安全防护、数据安全标准及安全运行维护。“安全智能”“协同防护”“全局态势”“主动防御”“去灰色地带”“管理能力提升”“业务快速融合”数 据 安 全 保 护 面 临 的 挑 战P A R T 0 2 数 据 安 全 保 障 工 程 建 设 框 架数 据 安 全 治 理 体 系 架 构 设 计P A R T 0 4数 据 数 据 安 全 工 程 建 设 解 决 方 案数 据 安 全 保 障 工 程 建 设 蓝 图21数字空间保障环数据安全保障环基础安全保障环数据安全治理：数据安全标准：安全战略对抗：安全治理组织、安全战略管理、安全风险管理、安全合规管理

9、、安全策略管理、安全标准管理、安全能力管理。元数据管理、数据质量管理、数据安全管理、数据分类分级、数据共享、数据使用规范等。“主动防御和协同防御”技术，增强“扰乱、降解、欺骗”安全保障能力。蜜罐诱捕、信息迷雾、引流降解、风险探知。22数字空间保障环数据安全保障环基础安全保障环网络边界安全：业务数据安全：安全基础设施：高级威胁监测、数据安全监测、网站安全监测、邮件安全监测。数据分类分级基础之上，应用合理的数据安全措施，打造数据安全环境，才能保证获得数据安全可用的治理效果。数据资产发现、数据安全网关、数据安全审计、敏感数据脱敏、业务大数据安全分析、网络安全大数据分析、数字空间态势感知。23数字空间

10、保障环数据安全保障环基础安全保障环基础安全防护：安全运行维护：依据国家网络安全等级保护和关键信息基础设施安全保护，以及个人信息安全规范、个人隐私保护、数据出境、数据交易服务等安全要求，明确政企在数据安全的建设需求,结合政企信息安全现状，形成体系化的规划方案，从而构建基础安全保障技术框架。由于数据安全保障工程（DSE）的复杂性、可行性和可维护性，DSE由规划建设，转为后期的安全运行维护均需要有较为专业的安全服务支持。重点从日常运行维护、突发应急响应、信息资产管理、安全配置管理、安全基线管理五个方面形成着力点。数 据 安 全 保 护 面 临 的 挑 战P A R T 0 2 数 据 安 全 保 障

11、 工 程 建 设 框 架数 据 安 全 治 理 体 系 架 构 设 计P A R T 0 4数 据 数 据 安 全 工 程 建 设 解 决 方 案P A R T 0 5 数 据 安 全 保 障 工 程 建 设 蓝 图数据安全治理体系保障工程目标落地国家安全重点行业国家数字空间大数据安全保障中心智慧城市智慧城市大数据安全保障中心政企大数据安全保障中心大数据安全治理联盟行业应用安全和数据安全领导者；数据安全治理工程（DSE）提出者；根据12年的应用和数据安全经验和案例保障DSE有效落地，保证政企数据安全。你 值 得 信 赖 的 合 作 伙 伴！全智能数据资产发现和分类，有效简化政企跨部门数据责权协

12、调和管理复杂度；复杂业务数据场景安全智能分析，快速发现业务异常行为和数据违规操作；基于“零信任”的访问控制网关，保证数据“可用不可见、可控可追溯”；全新打造“网络空间、数字空间、物理空间”三位一体的新一代安全保障体系。我们的使命：AI赋能安全，让安全无忧能力覆盖数据资产可视数据隐私保护数据交换管控数据风险追溯核心步骤数据分级分类数据动态鉴权数据安全保护数据应急处置关键价值资产梳理策略制定过程控制追溯溯源持续优化数据库安全数据库审计数据库安全网关数据库加密数据保护数据动态鉴权数据脱敏数据水印数据治理数据资产梳理数据分级分类大数据监管平台数据治理风险平台有道可循，有依可循UEBA落地数据安全场景零

13、信任构建数据安全数据资产风险可溯性数据身份鉴权联动性数据资产态势可见性数据流动威胁风可控性方法论 基于数据生命周期做数据治理 基于零信任做数据安全保护数据资产数据库大数据集群可见：数据资产可知：敏感数据外部数据交换场景数据操作审计数据操作审计识别流动的敏感数据内容识别敏感数据透出的应用和URL识别获取&查看和操作数据的行为关联使用的账号和IP数据安全全局态势地图数据风险数据风险谁获取了那些敏感数据谁操作了那些关键标识的数据高风险涉敏应用和URL敏感数据流动量级和来源去向可能高危的数据行为资产梳理资产梳理数据服务&数据资源账号&权限数据操作权限风险感知风险感知可能高危的数据行为谁操作和导出那些敏

14、感数据访问鉴权访问鉴权统一服务&账号管理基于资源细粒度权限分发管理数据保护数据保护动态行为控制策略动态脱敏行为和敏感内容溯源行为监控行为监控行为和敏感内容溯源数据管理数据管理涉敏应用和透出面管理内部业务操作场景数据安全态势应用服务接口功能模块数据域SaaSPaaSDaaS可信接入网关主体/客体/环境属性库智能授权分析引擎访问控制策略响应模块授权管理中心权限库策略库数据动态安全网关基于属性的访问控制策略响应模块关联控制策略形成响应结果IP位置时间脆弱性终端状态基于环境因素的动态平衡客体属性：分级标签分类标签行列 动作属性：允许(增删改查)禁止(增删改查)主体属性：身份角色职位部门 ABAC（Attribution Based Access Control，基于属性的访问控制）：基于用户、资源、操作和动态上下文环境属性进行灵活授权。策略执行点策略决策点策略管理点策略信息点策略检索点策略执行策略决策策略支撑策略管理属性管理环境属性：是否本人在终端前使用；是否有人围观；THANK YOU谢谢观看