《网络空间安全导论》 课件 29-数据安全01-数据采集安全；02-数据传输安全

数据采集安全教学目标了解数据采集的定义理解数据分类分级的定义、过程、工具理解数据采集安全管理的意义和相关工具了解数据源鉴别与记录、数据质量的含义和相关技术目录数据采集的定义数据分类分级数据采集安全管理数据源鉴别和数据质量数据采集安全数据采集的定义什么是数据采集GB/T37988-2019《信息安全技术数据安全能力成熟度模型》第5.4.1章节（数据生命周期）给出定义：

数据采集：组织内部系统中新产生数据,以及从外部系统收集数据的阶段。数据采集安全数据采集的定义数据采集的种类传感器采集日志文件采集网络爬虫采集目录数据采集的定义数据分类分级数据采集安全管理数据源鉴别和数据质量数据采集安全数据分类分级数据分类分级的意义数据违规收集、数据开放与隐私保护矛盾的需要数据资源精细化管理和保护平衡数据应用和数据保护数据采集安全数据分类分级工具数据分类分级工具：通过对识别的数据资产进行分类分级，针对不同级别的数据进行策略设置，以实现敏感数据的识别和跟踪管理功能：敏感数据识别模式：预定义、自定义、相似数据发现等敏感数据类型发现能力对数据进行自定义分类分级相似性敏感数据发现功能对识别数据进行标记的管理日志记录和分析（数据分类分级的操作、变更过程的日志）数据采集安全数据分类分级工具实施过程数据分类分级平台部署数据分类和分级指引输入：法律法规、国标、行标等输出：属于组织自己的“数据分类分级指引”数据清单目录输入：数据分类分级指引

分类分级规则输出（平台）：“数据分类分级清单”“重要数据保护目录”“个人数据保护目录”数据分布视图直观展示“重要数据”“个人数据”分布数据采集安全数据分类分级工具实施过程标签库结构化数据打标非结构化数据打标标注训练分类数据采集安全数据分类分级的工具深信服数据分类分级工具（平台）通过建设数据分类分级管理平台，结合业内领先的AI算法为基础，实现对数据的智能分类分级，平台提供全局的数据库/大数据平台系统进行自动化扫描引擎，建立数据资源结构框架和数据分布地图，并提取数据库各字段的多维度特征，通过无监督学习的聚类算法对具备相似特征的字段进行归类。数据采集安全数据分类分级的工具深信服数据分类分级工具（平台）数据分类分级规则数据源梳理配置平台分类分级平台数据库连接数据库表字段打标分类分级平台数据资产目录清单分类分级平台数据采集安全数据分类分级的工具-开源（体验）识别结构化和半结构化的敏感数据识别工具openDLP（opendatalossprevention）是一个敏感数据识别工具，支持对结构化数据表进行敏感数据识别，可以帮助企业进行数据资产分类分级，保护数据安全。/hitsz-ids/openDLP/tree/main目录数据采集的定义数据分类分级数据采集安全管理数据源鉴别和数据质量数据采集安全数据采集安全管理数据采集安全的意义信息主体授权合规、约定前提下处理数据数据保护要求数据采集安全数据采集安全管理技术工具数据采集系统或工具（满足审计要求）授权过程和日志记录采集策略一致性采集过程的防泄露措施（采集后）数据加密链路加密脱敏（敏感信息和字段）访问控制权限目录数据采集的定义数据分类分级数据采集安全管理数据源鉴别和数据质量数据采集安全数据源鉴别及记录数据源鉴别与记录的意义通过身份识别，防止采集非法、非期望的数据数据源记录是满足数据源的追踪和溯源需求数据采集安全数据源鉴别与记录的技术工具数据采集源（人员、终端、数据库等）识别和记录工具身份鉴别指纹识别采集的数据识别和记录工具元数据管理数据血缘管理数据采集安全数据质量管理数据质量管理的意义保证对数据采集过程中收集和产生的数据的准确性、一致性、完整性数据采集安全数据质量管理数据质量的重要性源系统采集期间转换期间时效性流程和标准分析阶段整合出错分析不准数据采集安全数据质量管理的技术工具数据资产进行等级划分数据质量事件处理流程数据采集的定义数据分类分级数据采集安全管理数据源鉴别和数据质量总结数据传输安全教学目标了解数据传输面对的挑战理解数据传输加密的含义、常见加密方式理解网络可用性管理的含义、冗余建设的类别目录数据传输安全的挑战数据传输加密网络可用性管理数据传输安全的挑战传输安全的常见风险数据窃取数据伪造数据篡改网络不健壮目录数据传输安全的挑战数据传输加密网络可用性管理数据传输安全—数据传输加密措施数据传输加密的定义国家标准《数据安全能力成熟度模型》：

根据组织内部和外部的数据传输要求，采用适当的加密保护措施，保证传输通道、传输节点和传输数据的安全，防止传输过程中的数据泄漏。数据传输安全—加密措施什么情况下需要加密传输涉及国家重要信息涉及企业机密信息涉及个人隐私信息数据传输安全—加密措施常见的加密方式对称加密非对称加密哈希国密数据传输安全—加密措施对称加密简介对称加密的基本特征是用于加解密的密钥相同，且加密的操作是可逆的。即通过同一把密钥将明文数据变成密文数据，同时可以用同一把密钥将密文数据还原成明文数据，主要用来实现数据传输的机密性保障。优点：算法简单、计算量小、加密速度快、加密效率高，适合加密大量数据。缺点：密钥管理不方便,传输双方之间需要共享密钥，随着网络规模的增大密钥会越来越多，管理会越来越困难，其次因为使用同一把密钥进行加解密，传输双方的密钥共享过程也存在风险，密钥可能会被窃取。目前主要的对称加密算法有:DES、IDEA、AES、SM1(国密算法)等。数据传输安全—加密措施非对称加密简介非对称加密(也叫公钥密码)加密密钥和解密密钥不同，一个密钥可以公开，称为公钥，另一个密钥只有自己知道，称为私钥。用公钥加密的内容只能由相应的私钥来解密，反过来，用私钥加密的内容只能由相应的公钥来解密。非对称加密算法可用于解决数据传输机密性保障(用公钥加密数据，用私钥解密数据)，同时也可用于身份的确认(用私钥加密数据，公钥解密数据)，因为私钥是不公开且被用户个人保护的，因此一个加密数据能用谁的公钥解密，就可以认为是该用户发送的信息。优点：密钥管理很方便，由于一个密钥可公开，很好解决了对称加密算法密钥传递的问题。缺点：计算复杂、消耗资源大，加密速度慢。常用的非对称加密算法有RSA、ECC、SM2(国密算法)。数据传输安全—加密措施哈希简介哈希是一种单向函数，其特点是正向计算很容易，而反向计算非常困难。通过哈希算法将任意长度的数据映射成为固定长度的输出，输出称作哈希值，不同数据通过哈希函数计算后会得出不同的哈希值,通过哈希值的比对可以判断数据是否被修改过,可用于数据完整性校验。哈希函数主要有MD5、SHA等算法数据传输安全—加密措施国密算法简介国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。对称加密算法分组加密：SM1、SM4、SM7流加密：ZUC（祖冲之算法）、SSF46非对称加密算法SM2、SM9哈希算法SM3数据传输安全—加密措施加密传输应用SSL/TLS（HTTPS）数据传输安全—加密措施密钥管理系统为什么需要密钥管理秘钥管理系统（KMS）目录数据传输安全的挑战数据传输加密网络可用性管理数据传输安全—网络可用性管理网络可用性管理的间接定义国家标准《数据安全能力成熟度模型》：“通过网络基础设施及网络层数据防泄露设备的备份建设，实现网络的高可用性，从而保证数据传输过程