炼石网络-DTTACK：以数据为中心的安全技术框架

解®ISC2021

•,■"iVA_L-—_*

DTTACK：以数据为中心的安全技术框架匕］.

今.■，-^3^*

——数据安全新框架、新战法'I；「

分享人：炼石网络创始人、CEO白小勇

ISC2021

1数据安全新框架

2数据安全新战法

3关于我们

“风险与合规”共同驱动数据安全建设ISC2021

・“・u・1(・**•

，arw”tcjtrwco>rfM*r«ntt

国家顶层规划

《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求数据安

全

《中共中央关于制定国民经济和社会发展第十四个五年规划和二。三五年远景目标的建议》

明确提出：保障国家数据安全,加就个人信息保护

多法共治

中华人艮典和国中隼人民共和国中华人民共和国

密码法数据安全法

网络安全法

数据集约20GB5.38亿条数据，0.177比特币

日产北美公司源代码泄筠新浪做博数据泄露

密码三规一条例

—cknitbyconcernsoveruseranta

“"MltelMM心**

<»M!i5c«awS«»»5ie4-0ib-¥L.，＞：，：：、”

<I»tiawaw«**i/T

<=»Zf-XU

TM

农业银行被处罚420I)脸书被罚款50亿美元

银保监会1号罚单股价暴跌

惘打发239.：57号公掰安(202011960VR用力眄箱例

《数据安全法》在关联法律体系中的位置

ISC2021

《国家安全法》

2015订：7月1日通过并实施《民法典》

2021年1月1H超施

斯护国我总体产金的基本法律h

提出自然人的个人信息受法律保护

《网络安全法》

20t77681

榄定网,冬♦•治理MBt

核心数据严格管理

《密码法》

内容控制1日起施行,提出数据保护技术JM2

分级分类

心Xi。&&令

争缈保中配合调取数据《个人信息保护法（草案）

5令k"△〃卜西加速个人信克法制化进程

数据交易中介

网络笆幺制

M也产品/度*特殊类型数据

关健信息基础设施敏感个人信息

汽车数据

儿蜃个人伤，息

数据本地化与跨境健康医疗数据

权利响应

网络安全审查和供应链安全

国家法律法规明确要求保护重要数据和个人信息ISC2021

《个人信息保护法（草案）》

商用密码管理条例

第二十七条开展数抠处理活动应当

第五十一条第二款采取相应的加密,

依照法律、i法规的规定,建立健全全

第二I条国家实行网络安全等级保・十七条行政法规和国率有关去标识化等安全技术措施：

流程数据安全管理制度,组织开展数

妒制度。规定要求使用商用密码进行保护的关

据安全教育培调，采取相应的技术指

键信息基础设躺.其运菅者应当使用第六十五条有前款猊定的违法行为,情

的和其他必要措施,保障数据安金.

18f用率丹进行保护，关野信息娓磁地节产重的，由履行个人信助保护职的的

利用互联网等信皂网络开展数据处理

箱运蕉苦，应当自行琥者委托襦尼女部门由令改正.没收违法所得，井处

活动..应当在网络安全等级保护制度

的基珈匕收1】上述数据安全保护义

行业安全合规

《国家政务信息化项目建设管理办法》提出政务信息化项目•同步规划、同

有力在构建自主可拽信且技术体系中推进密码优先发展,构建以密码技术步建设、同步运行密码保障系统并定期进行评估”的要求

为械心,多种技术相互融合的新网络安全体系，建设以密码基础设施为支《贯彻落实网络安全等级保护制度和关键侑息基础设镰安全保护气度的指导

撑的新网络安全环境.意见》（公网安（2020）1960号）关捱信息电设施

国穿既是依创的一电瞿如成部分•,又为,篇创促佻安全保障明确您码应加要求

《关位信息基础俊镇安全保妒条例》

回顾经典网络安全攻击模型：MITRE.ATT&CKISC2021

14个战术,2。5个技术,573个流程

战术（初始访问）技术ATT&CKMatrixforEnterprise

i«routt-themsub-lechniqueshidesUMechrWQuiM

Delenaei.visionCredentMltMcmeryCoBecttonCommandand

DcvctopnierriAccessControl

SSKMOoM12ntm

HionCi»yn»

CQnnvKMnDMaTmtaMaOMk>«Aon

•--------------------m生conTMKrmur%nv«a«9ai>m>

■.产(UtadairvntiMta

T-BirSJcOl

口3,：］依•产'CaudWtMkucMaC*xart(M(

'•ewlarlog0>tXooMrr

一।忌忌OwdSerMotOMKiMnlI

・DTOMM*IrtMvoKEa

r^-l

7OwtoaMMO

FOMOncton

ExnlTnggtwlFUi««OreWO^COWY

(MMtaanAfq

(MtwvASnffng

HOMMKHOf

UnwMnoi

Nu^nneaaPoa

ftotocolTuMskng§SS«ml»*oo<

流程

■(atculcnOwmOttniMQ

■--------------------------B

|*X*g<u0tl..IbMwwraonte□―叫

I

转向聚焦以数据为中心的安全建设思路ISC2021

以数据为中心的安全