杜悦艺-数据安全事在人为（41页）.pdf

《杜悦艺-数据安全事在人为（41页）.pdf》由会员分享，可在线阅读，更多相关《杜悦艺-数据安全事在人为（41页）.pdf（41页珍藏版）》请在三个皮匠报告上搜索。

1、数据安全 事在“人”为因人而治01人性化0203人祸Topic04数据数 据数据逐步成为新的生产要素，数据越来越有价值实施国家大数据战略加快建设数字中国关于构建更加完善的要素市场化配置体制机制的意见推动大数据技术产业创新发展、构建以数据为关键要素的数字经济、运用大数据提升国家治理现代化水平、运用大数据促进保障和改善民生、切实保障国家数据安全！中共中央、国务院在明确将数据作为新型生产要素写入政策文件客户群体细分-为每个群体量定制特别的服务模拟现实环境-发掘需求、提高投资回报率加强联系-提高整条管理链条和产业链条效率降低成本-发现隐藏线索进行产品和服务创新数据价值规模海量、类型多样、流转快速、价值

2、巨大 土地资本劳动力技术数据数据安全被国家提到新的高度网络安全法数据安全法个人信息保护法全国人大科学数据管理办法重要数据管理办法数据出境管理办法国务院数据安全管理办法（征求意见稿）个人信息出境安全评估办法（征求意见稿）网信办公安部信息安全等级保护管理办法网络安全等级保护条例（征求意见稿）网络安全等级保护基本要求（GB/T 22239）、数据安全能力成熟度模型（GB/T 37988）、大数据安全管理指南（GB/T 37973）、政务信息共享数据安全技术要求（征求意见稿）、公安大数据安全总体技术框架、工业互联网平台安全白皮书数据安全能力成熟度模型DSMM1级：非正式执行2级：计划跟踪3级：充分定义

3、4级：量化控制5级：持续优化数据生命周期安全数据采集安全数据销毁安全数据传输安全数据存储安全数据处理安全数据交换安全组织建设制度流程技术工具人员能力能力成熟度等级维度安全能力维度数据安全过程维度数据采集安全 数据资产梳理 数据分类分级 敏感数据识别 数据采集ETL数据传输安全 数据传输安全管理 网络边界安全数据存储安全 存储加密 数据副本 数据备份恢复 数据留存合规 数据归档 数据实效性数据处理安全 数据授权 数据脱敏 分布式安全 数据分析安全 数据正当使用 密文数据处理数据交换安全 数据导入导出安全 数据加密、脱敏 数据共享安全 数据发布安全 数据交换监控数据销毁安全 介质使用管理 数据销毁

4、处置 介质销毁处置数据生命周期各阶段安全数据安全能力成熟度模型强调以数据为中心，不唯技术论，强调组织建设、制度流程和技术工具的综合作用DSMM是一种良好的评估方法，便于自我评估与监管机构评测人 祸数据安全，事在“人”为运维人员管理人员运营人员研发人员共享系统外部黑客普通员工接触更高级别的敏感数据批量导出数据库信息分析数据，产生高价值结果开发过程中接触高敏感数据利用弱密码或系统漏洞入侵系统盗取数据业务系统通过API对接获取数据直接访问业务系统获取数据如OA、ERP系统数据安全事件频出，挑战艰巨某地方公务员利用职务之便，泄露82万条公民身份证、电话等信息;某地方卫生系统出“内鬼”，泄露50多万条新

5、生婴儿和预产孕妇信息;某科技公司员工将公司内部商业机密下载打包发送竞争对手，造成公司巨大损失。某公司因API存在敏感信息被滥用，泄漏上亿条用户数据某公司因数据管理不当，泄漏14万用户信息某公司因数据被拖库，泄漏近5亿客人信息数据泄漏，人祸远大于天灾某行业头部企业安全事件泄露点分布某行业头部企业安全事件泄露点分布 通常数据安全的核心是围绕数据源进行保护 现实是随着企业数字化提高，数据流动的中心越不在数据库或存储上，而是在业务系统应用上面 内部员工不通过数据库读取数据，而是通过CRM系统、OA系统、HR系统、财务系统等业务系统获取数据，这些系统是数据泄露的重灾区业务系统数据库对象存储其他业务系统数

6、据库对象存储其他数字化让数据更易获取，每个员工，都可能是泄漏源 员工无意的随手拍照截图，外发后泄漏公司信息 员工明知数据敏感，因无管控手段，仍然截图外发 商业间谍潜伏，有意收集信息，获取商业利益企业数据安全面临的痛点不清楚内部业务有哪些敏感信息泄漏点。业务多，逻辑复杂，不知道如何判断业务是否包含敏感信息，无法对包含敏感信息的系统进行重点保护敏感信息梳理难内网信息泄漏屡禁不止，员工安全意识不足，经常通过拍照、截图的方式泄露敏感信息或把包含敏感信息的文件泄露出去有效管控难员工频繁进行敏感操作，往往只能在泄漏发生后通过审计日志发现，而日志散落各处且格式不同，审计和追溯难度大，无法提前止损行为审计难跨