03 敏感数据保护

敏感数据安全培训 杭州美创科技有限公司杭州美创科技有限公司 20172017年年9 9月月1 1日日 目 录 Contents 进入数据安全的时代 数据安全防护方法 数据安全实践讨论 2017 杭州美创科技有限公司 安全事件:敏感数据泄漏事故 2017 杭州美创科技有限公司 安全事件: 离职人员故意删除数据库数据 2017 杭州美创科技有限公司 比离职员工删库跑路更频繁发生的是各种意外删除数据的事件 安全事件:误删除数据库数据 2017 杭州美创科技有限公司 网络安全法： 重点关注的内容 4 监管机构互动 安全评估监测 安全事件上报 参与应急演练 个人信息保护 个人权利 个人信息保护要求 投诉、举报处理机制 网络运行安全 网络安全保护义务、责任 网络关键设备和网络安全 专用产品设备 网络安全事件应急预案 中华人民共和国网络安全法中华人民共和国网络安全法已由中华人民 共和国第十二届全国人民代表大会常务委员会 第二十四次会议于2016年11月7日通过，现予公 布，自2017年年6月月1日日起施行。 中华人民共和国主席 习近平 2016年11月7日 中华人民共和国主席令中华人民共和国主席令第五十三号第五十三号 2017 杭州美创科技有限公司 第 10 条 第 21 条 第 21(4) 条 第 31 条 第 34(3) 条 第42条 网网 络络 安安 全全 法法 网络运行安全重点环节网络运行安全重点环节- 网络数据安全管理网络数据安全管理. 维护网络数据的完整性、保密性和可用性 防止网络数据泄露或者被窃取、篡改 采取数据分类、重要数据备份和加密等措施 国家对一旦遭到破坏、丧失功能或者数据泄 露实行重点保护。 对重要系统和数据库进行容灾备份 个人隐私信息，共享、使用环节匿名化处理 数据安全 数据保护 数据传输 数据加密 数据备份 数据脱敏 网络安全法：数据安全要求 规定 2017 杭州美创科技有限公司 保护什么？保护什么？ 监管驱动 业务驱动 对外：客户、潜在客户个人信息 对内：员工、合作伙伴个人信息 网络安全法：个人信息保护 “个人信息个人信息，是指以电子或者其他方式记录的能够单独或，是指以电子或者其他方式记录的能够单独或 者与其他信息结合者与其他信息结合识别自然人个人身份的各种信息识别自然人个人身份的各种信息，包括，包括 但不限于自然人的姓名、出生日期、身份证件号码、个人但不限于自然人的姓名、出生日期、身份证件号码、个人 生物识别信息、住址、电话号码等。生物识别信息、住址、电话号码等。.” 本次网络安全法与国际其他国家在个本次网络安全法与国际其他国家在个 人信息保护的法律法规保持了相当高人信息保护的法律法规保持了相当高 的的一致性一致性。 目标是什么目标是什么？ 2017 杭州美创科技有限公司 目 录 Contents 进入数据安全的时代 数据安全防护方法 数据安全实践讨论 2017 杭州美创科技有限公司 什么是数据安全？ 定义：定义： 信息安全是指保护资产不被滥用。信息安全是指保护资产不被滥用。 信息安全从技术层面展开分为物理安全、网络安全、应用安全、信息安全从技术层面展开分为物理安全、网络安全、应用安全、 主机安全、数据安全；主机安全、数据安全； p 数据安全可以说是在保护资产不被滥用的最后一道屏障。数据安全可以说是在保护资产不被滥用的最后一道屏障。 p威胁数据安全的因素有很多！威胁数据安全的因素有很多！ 存储介质损坏、人为因素（误操作、恶意操作、黑客）、病毒、存储介质损坏、人为因素（误操作、恶意操作、黑客）、病毒、 信息窃取、自然灾害、电源故障、磁干扰信息窃取、自然灾害、电源故障、磁干扰 2017 杭州美创科技有限公司 亡羊补牢和羊的悲哀 牧羊人牧羊人 羊圈里的羊羊圈里的羊 狼狼 亡羊补牢，为时未完亡羊补牢，为时未完 还是还是 周而复始周而复始 ？ 在数字世界里，羊很可能被在数字世界里，羊很可能被 狼一次性的叼走了狼一次性的叼走了！ 2017 杭州美创科技有限公司 问题概况问题概况详细说明详细说明 缺乏管控重点缺乏管控重点 数据量庞大，需要区分类型及敏感程度，数据量庞大，需要区分类型及敏感程度， 重要数据重点管控重要数据重点管控。 问题如何解决？问题如何解决？ 管控管控 粒度粒度 管控管控 体验体验 管控管控 对象对象 管控管控 过程过程 重拦截，轻体验重拦截，轻体验 多数一刀切的安全管理方式，导致业务流多数一刀切的安全管理方式，导致业务流 程执行不畅。程执行不畅。 缺乏数据保护意识缺乏数据保护意识 传统安全主要针对物理、主机、网络、应传统安全主要针对物理、主机、网络、应 用进行防护，缺乏对敏感数据的保护。用进行防护，缺乏对敏感数据的保护。 忽略事后审计忽略事后审计 缺乏数据泄露后的追溯与审计能力。缺乏数据泄露后的追溯与审计能力。 如何发现那些数据如何发现那些数据 需要管控？需要管控？ 如何降低信息安全如何降低信息安全 建设对业务流程的建设对业务流程的 影响？影响？ 如何解决敏感数据如何解决敏感数据 泄露的问题？泄露的问题？ 如何在安全事件发如何在安全事件发 生后定位到人？生后定位到人？ 数据安全建设挑战 2017 杭州美创科技有限公司 数据全生命周期安全风险分析 数据使用 数据共享 数据销毁 主要关注对数据创造主要关注对数据创造 者的身份核查，同时者的身份核查，同时 确认产生的数据是否确认产生的数据是否 合规。合规。 主要关注数据传输过主要关注数据传输过 程中是否会被窃取、程中是否会被窃取、 拦截。拦截。 主要关注存储数据加主要关注存储数据加 密保护，防范越权访密保护，防范越权访 问。问。 主要关注访问者身主要关注访问者身 份的真实性，数据份的真实性，数据 操作行为的合规性操作行为的合规性 及抵赖性及抵赖性 主要关注敏感数据主要关注敏感数据 共享过程中是否脱共享过程中是否脱 敏，共享数据是否敏，共享数据是否 可追溯可审计。可追溯可审计。 主要关注误操作、主要关注误操作、 恶意操作造成的数恶意操作造成的数 据丢失问题据丢失问题 数据 产生产生 传输传输 使用使用 共享共享 销毁销毁 存储存储 基于数据全生命周期的安全风险分析 数据产生 数据传输 数据存储 2017 杭州美创科技有限公司 基于数据全生命周期的纵深防御体系 2017 杭州美创科技有限公司 目 录 Contents 进入数据安全的时代 数据安全防护方法 数据安全实践讨论 2017 杭州美创科技有限公司 普遍缺乏对核心数据实施保护 2016 IOUG 数据安全报告 仅仅 28% 在所有数据库中统一 加密 PII 66% 不确定 web 应用程序是 否受到 SQL 注入攻击 63% 未使用 3 个月内发布 的安全补丁 48% 没有意识到所有数据 库包含敏感数据 44% 认为数据库用户可以 直接访问数据 70% 使用自带审计功能， 只有 25% 使用了自 动监视 仅仅 24% 能够“防止”DBA 读 取或篡改敏感数据 68% 无法检测数据库用户 是否在滥用权限 正在监视敏感数据的 读/写 不到不到 30% 2017 杭州美创科技有限公司 数据库审计 数据脱敏系统 数据库准入系统 数据库防水坝 数据库防火墙 数据库加密 DCAP 敏感数据保护体系 2017 杭州美创科技有限公司 入侵入侵 防护防护 风险风险 内控内控 一站式一站式 泄露泄露 防护防护 安全安全 审计审计 特权用户权限控制特权用户权限控制 事事 件件 回回 溯溯 危险操作防范和误操作恢复危险操作防范和误操作恢复 数数 据据 库库 防防 火火 墙墙 数数 据据 库库 防防 水水 坝坝 敏感数据自动发现敏感数据自动发现 数据变形数据变形 数据库数据库审计审计 数据脱敏数据脱敏& &加密 加密 敏感数据分类分级敏感数据分类分级 SQLSQL注入检测和防御注入检测和防御 漏洞扫描检测与防御漏洞扫描检测与防御 虚拟补丁虚拟补丁机器自学习模型机器自学习模型 数据防泄漏数据防泄漏 登录控制引擎登录控制引擎 全面审计全面审计三层关联三层关联 未知威胁智能化告警未知威胁智能化告警 透透 明明 加加 密密 l 敏感数据保护解决方案赋能敏感数据保护解决方案赋能 l围绕数据全生命周期的解决方案围绕数据全生命周期的解决方案 数据传输数据传输数据产生数据产生数据存储数据存储 数据销毁数据销毁数据共享数据共享 数据使用数据使用 DCAP数据安全解决方案 2017 杭州美创科技有限公司 全方位的防护 l 事前安全检测 l 敏感数据分级分类 l 数据库漏洞扫描 l 实时检测漏洞和虚拟补丁 l 开发以及测试数据必须脱敏 l 敏感数据透明加密 l 多因素身份验证 事中 事后 事先 l 应用黑/白名单 l SQL注入攻击检测与阻断 l 智能化检测未知风险 l 后续行为检测与控制 l 智能化告警 l 权限分离 l 越权操作的非法行为阻断与告警 l DBA