数据安全治理 从概念走向落地
122019.06 https://www.360docs.net/doc/e615633317.html,
视点
Viewpoint 责任编辑:章继刚 投稿信箱:zhangjigang@https://www.360docs.net/doc/e615633317.html,
描、合规基线、以及入侵检测三大核心功能,实现了覆盖容器的功能以外,同时覆盖了主机的安全功能。
实现自适应闭环的另一体现是青藤星池?大数据安全平台,该平台可记录攻击者在服务器上的行为,以便后续进行回溯、还原以及取证,同时,基于机器学习的智能化自动分析,将现有主机
安全日志集中在一起,进行清晰预测和感知,甚至做出阻断。可以说,对于安全闭环的拓展,基于大数据的分析能力是一个重要补强。
确保合规是企业面临的一项重要任务,随着等保2.0正式出台,对企业安全合规的要求也必将更加严格和迫切。青藤云安全云等保2.0解决方案主要针对安全计算环境部分,通过云工作
负载的全面监控,解决测评机构和监管机构的难点,满足云租户、云平台合规的诉求。
张福表示,青藤云安全近年来在产品演进过程中分为两个方向:一方面在深度上将现有安全能力变得更强;另一方面是实现整个闭环,从感知能力到分析能力,再向处置能力发展,最终帮助用户实现安全的闭环。
4月26日,第三届中国数据安全治理高峰论坛在京举办,本届峰会以“共享数据价值·共担安全责任”为主题,并发布《数据安全治理白皮书》2.0和《数据安全治理建设指南》,助力企业机构提升数据安全防护能力,让数据安全治理从概念走向落地。
数据安全防护与资产管理能力。
数据治理离不开企业、用户、监管机构的共同努力,特别是近年来数据安全治理理念的提出到实践落地,逐步开花结果,更是各方力量共同协作的结果。
从历届中国数据安全治理高峰论坛的发展历程可以看到,数据安全治理经历了
当前,随着互联网+的快速推进,IT 系统与企业业务深度融合,数据正成为企业业务的核心资产,也越来越受到重视。与此同时,针对数据的威胁也在与日俱增,特别是近年来持续爆发的勒索软件攻击事件尤为突出。
数据保护成为业界关注的重点,相关法律法规的出
台,也在政策导向上为数据安全治理带来规范,
帮助企业实现数据安全合规,提升
数据安全治理 从概念走向落地
■本刊记者 赵志远
安华金和创始人兼CEO 刘晓韬
【上接第11页】
数据安全治理——发挥主导作用的组织与受众
数据安全治理——发挥主导作用的组 织与受众 引言:数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素:人员组织、策略流程和技术工具。 一. 数据安全治理机构 数据安全治理工作的展开首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。 通常,我们可以将成立的机构称之为“数据安全治理委员会”或“数据安全治理小组”,该机构并非传统意义上的实体机构,属于一个虚拟的机构,机构成员由数据的利益相关者和专家构成,这里之所以称之为利益相关者,是因为这些人可能不仅仅是数据的使用者,也是数据本身的代表者(比如用户),数据的所有者,数据的责任人。 数据安全治理委员会或数据安全治理小组这个机构本身既是安全策略、安全规范和安全流程的制定者,也是安全策略、规范和流程的受众。 在DGPC 框架中这个机构一般称之为DGPC 团队,或者叫Data Stewards,这个团队的职责是:This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management. ①制定数据分类、保护、使用、管理的原则 ②制定数据分类、保护、使用、管理的策略 ③制定数据分类、保护、使用、管理的流程 这个团队的构成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门)
白皮书-移动应用(App)数据安全与个人信息保护白皮书
移动应用(App) 数据安全与个人信息保护 白皮书 (2019年) 中国信息通信研究院 安全研究所 2019年12月
版权声明 本白皮书版权属于中国信息通信研究院(工业和信息化部电信研究院)安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院安全研究所”。违反上述声明者,本单位将追究其相关法律责任。
前言 移动应用(以下简称“App”)是数字经济下的重要产品。随着移动网络和智能手机全面覆盖,App种类和数量增长迅猛。从社交到出行、从网购到外卖,从办公到娱乐,App已全面渗透用户生活,成为大众生活必需品,并因此汇集大量衣食住行、社交关系等用户个人信息。App逐渐成为承载网络应用和信息数据的核心载体。 App在满足用户美好数字生活需要,助力消费升级和经济转型发展方面发挥了不可替代的作用,但也暴露出违法违规收集使用个人信息、用户个人信息泄露与滥用等数据安全问题。App数据安全关乎个体层面的隐私权利保护,产业层面的健康发展,以及国家层面的全球数字竞争力。欧美等移动互联网发展较早的国家,在移动互联网安全制度构建方面已较为领先。近年来,我国也高度重视App数据安全与个人信息保护工作,从法规标准、专项治理、企业自律等方面多管齐下,加大治理力度。 本白皮书在研判App发展趋势及社会经济影响的基础上,重点分析目前主流App存在的数据安全隐患,系统梳理总结国内外App数据安全治理现状,最后从政府、企业、行业三个维度研究提出了我国App 数据安全与个人信息保护综合治理建议,并从用户视角总结提出了用户安全使用技巧。
数据安全治理三步走之三:数据安全稽核与风险预警
数据安全治理三步走之二: 数据安全稽核与风险预警在有效的数据梳理及严格的数据管控基础上,我们还需要有效地对数据的访问行为进行日志记录,对收集的日志记录进行定期地合规性分析和风险分析。本文对数据安全稽核的策略、风险与挑战以及技术支撑三个方面进行详细说明。 一. 定期的稽核策略 定期的稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责,包括: A、合规性检查:确保数据安全使用政策被真实执行; B、操作监管与稽核:主要针对数据访问账号和权限的监管与稽核;要具有账号和权限的报告;要具有账号和权限的变化报告;业务单位和运维部门数据访问过程的合法性监管与稽核;要定义异常访问行为特征;要对数据的访问行为具有完全的记录和分析; C、风险分析与发现:对日志进行大数据分析,发现潜在异常行为;对数据使用过程进行尝试攻击,进行数据安全性测试。 二. 数据安全的稽核和风险发现挑战 2.1 如何实现对账号和权限变化的追踪 定期地对账号和权限变化状况进行稽核,是保证对敏感数据的访问在既定策略和规范内的关键;但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。
2.2 如何实现全面的日志审计 在新的网络安全法出台后全面的数据访问审计要求,日志存储最少保留6个月;在新的等保中要求,云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑,1000 亿数据以上的存储、检索与分析能力上,均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。 2.3 如何快速实现对异常行为和潜在风险的发现与告警 数据治理中,有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模,是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。 三. 数据安全稽核的技术支撑 3.1 数据审计技术 数据审计的目标是对所有的数据访问行为进行记录,对危险行为进行告警,提供数据访问报表,提供对数据的检索和分析能力;数据审计技术是对工作人员行为是否合规进行判定的关键;数据审计技术主要是基于网络流量分析技术、高性能入库技术、大数据分析技术和可视化展现技术: 图14 数据审计技术
数据安全治理——数据安全的必由之路
数据安全的必由之路:数据安全治理引言:企业转型,对中国大量成长型企业而言,其转型的过程就是完成从创业到成长,从成熟到规范成熟的企业生命体的进化。其本质就是企业从单一产品和简单环节的低级或初级的价值创造状态,向组合产品以及多环节整合的高级的价值创造状态的转变和进化。这是面对市场经济的迅速发展及行业成熟规律下企业的自然行为与必然选择。2017年,安华金和加快从数据库安全厂商向数据安全治理产品和服务提供商转型的步伐,致力于在数据安全治理领域大刀阔斧,开创全新领地。 数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念,但数据安全治理却似乎是个新名词。实际上,对于拥有重要数据资产的企业或政府部门,在数据安全治理方面或多或少都有实践,只是尚未系统化的实行。比如运营商行业的客户数据安全管理规范及其落地的配套管控措施,一些政府部门的数据分级分类管理规范;在国外由Microsoft 提出的DGPC(Data Governance for Privacy Confidentiality and Compliance)框架也是专门的面向数据安全治理的管理和技术框架。接下来我们将把数据安全理念分成四篇系列文章,有侧重的,相对系统化地加以阐述。 1. 数据安全治理概论 2. 数据安全治理的组织和受众 3. 数据安全治理的策略与流程 4. 数据安全治理的技术支撑框架 5. 数据安全治理小结 今天这篇文章,我们对“数据安全治理”概论做个认知。 一. 愿景 数据安全治理的愿景。在这里,笔者首先要强调的是数据安全治理的目标是——数据安全使用。我们不谈脱离了“使用”的安全,数据存在的目的就是为了使用,如果不是基于这个前提去谈安全,最终有可能产生无法落地的情况,或者即使落地,效果也会差强人意。 1.1 数据安全治理概论 数据安全治理的概念——数据安全治理是以数据的安全使用为目的的综合管理理念。 三个需求目标:
大数据在安全应急管理中的应用思路
大数据在安全应急管理 中的应用思路 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
大数据在安全生产应急管理中的应用思路 比尔·盖茨曾经说过:“个人用户的内存只需640K足矣”,托马斯·沃森的言论则更是惊人:“全世界只需要5台电脑就足够了”。而这些话仅仅只过去了几十年,就已经沦为最大的笑话。同时,数据相关技术的发展也已经走过了3个重要的时代: 从上图中,我们看到了一个有意思的现象,在具体的数据模式上,环境和需求驱动技术,没有绝对的先进和落后,就仿佛经历了一个轮回之后,再回到原点。 个人计算和集中式计算 个人计算:在网络不发达环境,个人计算机迅猛发展;直到CPU主频难以提高,摩尔定律正走向终结。 集中式计算:在网络发达的环境,通过集中的云计算中心为客户端提供计算能力。 分布式数据管理和集中式数据管理 分布式管理:在网络不发达环境,采用分布式数据管理,数据同步和一致性问题导致业务系统非常复杂,业务互通困难,且数据非常分散。 集中式管理:在网络发达的环境,通过集中的数据中心提供统一存储,形成数据的全局视图,简化业务系统的实现。 云计算改变了IT,而大数据则改变了业务,支撑大数据以及云计算的底层原则是一样的,即规模化、自动化、资源配置、自愈性。云计算是大数据的IT基础,大数据有云计算作为基础,才能高效运行。通过大数据的业务需求,为云计算的落地找到了实际应用。 而现在安全生产应急管理中最大的问题在于: 数据量较大:各类应用系统繁多,数据量庞大。 类型少:数据类型单一,绝大部分为关系型数据。 价值密度低:累计上报的结构化数据大都是间接性数据、可利用价值低。 时效性差:数据主要依赖企业按月、按季度报送。 技术屏障:安监部门获取重点监控高危(行业)企业实时动态数据的接入还存在着机制、技术等方面的问题。 无法快速处理:实时动态数据的实时处理和分析缺少平台支撑。 数据源单一:互联网、社交网络中安全生产相关信息(数据)的抓取机制欠缺。 难以共享:整个“大安全”框架下,安监部门与气象、国土、地震、交通、公安、工商、质监、消防、城管等诸多部门的信息(数据)共享机制有待建立。 难以互联:各级安监部门的内部以及上下级之间的互联互通还未建立。 针对以上问题,最关键的词其实就是一个:“统一”。而且要从基础、技术、业务全方位地进行统一。 实现基础设施的统一管理,集约化整合利用已有资源。构建统一的运维体系和标准,建立一支高效的运维队伍。 实现信息集成和数据交换共享,整合异构数据、结构化数据、非结构化数据、实时数据、空间数据等,构建公共的数据共享中心。实现业务集成,集成已有应用系统、其它部委系统、第三方系统,形成跨系统的业务流、产品流、数据流,构建互联互通的信息通道,形成公共的服务中心。 构建系统研发平台,提供一体化系统技术框架,基于组件和服务可快速构建应用,加速研发过程。构建系统支撑平台,提供应用系统运行所需的业务要素、基础代码、控制数据、流程、规则、权限控制等。 可在国家、省级和市级,形成多个集中云服务中心,实现多级信息集中和共享。既减少了系统复杂性,也提高系统的可用性。多服务中心间基础数据同步由应用支撑平台处理,应用不需要关
注册数据安全治理专业人员(CISPDSG)白皮书.doc
注册数据安全治理专业人员(CISP-DSG) 白皮书 发布日期2019年8月 版本:1.0 中国信息安全测评中心 北京天融信网络安全技术有限公司
CISP-DSG白皮书 咨询及索取 关于中国信息安全测评中心CISP-DSG培训考试相关的更多信息,请与CISP-DSG运营中心联系。 CISP-DSG运营中心联系方式: 【联系地址】北京市海淀区上地东路1号华控大厦4层 【电话】 【电子邮件】 【官方网站】 北京天融信网络安全技术有限公司(简称天融信)创始于1995年,是中国领先的网络安全、大数据与安全云服务提供商。是中国信息安全测评中心授权的注册数据安全治理专业人员(CISP-DSG)运营机构,负责注册数据安全治理专业人员(CISP-DSG)专项证书的知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等内容。 CISP-DSG证书专注于考核、培养从事数据安全治理相关工作的安全人才,是业界首个数据安全治理方向的注册考试。
目录 引言 4 一、CISP-DSG考试要求4 二、CISP-DSG考试方向5 三、CISP-DSG注册流程7 四、CISP-DSG职业准则7 五、CISP-DSG考生申请资料要求 8 六、CISP-DSG收费标准9 七、注册数据安全治理专业人员运营中心联系方式10
引言 当前,政府与企业的信息化程度不断加深,IT系统的复杂度与开放度随之提升,伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。数据的安全问题将引发企业和社会决策的安全问题。数据的安全问题,已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。 数据安全是一个复杂的问题,单靠技术手段无法完整解决,需要用数据安全治理的理念进行体系化建设。通过数据安全治理,能使信息系统安全建设更加突出重点、统一规范、科学合理。通过数据安全技术措施的实施,为各类组织机构提供先进的、科学的技术手段和管理依据,大大降低重要数据及公民个人信息的泄漏风险,更好地遵循技术防范和管理并重的原则,提高整体管理水平。 数据安全治理过程的推广和应用,专业人才是关键。加快培养符合各类组织机构信息安全建设需求的专业人才是应用数据安全治理理念系统化解决数据安全问题的重点。 中国信息安全测评中心主导的“CISP-DSG”(Certified Information Security Professional - Data Security Governance)注册数据安全治理专业人员技能水平注册考试,锻炼考生通过数据安全治理过程,帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题,从而促进国家企事业单位信息安全管理能力提升,提高我国信息安全产业的整体实力和在国际市场的竞争力。 一、CISP-DSG考试要求 成为注册数据安全治理专业人员(CISP-DSG)必须同时满足以下基本要求: 1.申请成为注册数据安全治理专业人员(CISP-DSG),具备一定数据安全治理基础,或有意向从事数据安全治理的人员; 2.申请成为注册数据安全治理专业人员(CISP-DSG)无学历与工作经验的报考要求; 3.通过注册数据安全治理专业人员运营中心组织的CISP-DSG考试; 4.同意并遵守CISP职业道德准则;
大数据安全保障措施
(一)数据产生/采集环节的安全技术措施 从数据安全角度考虑,在数据产生/采集环节需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标,相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例,元数据安全管理需要实现的功能,包括数据表级的所属部门、开发人、安全责任人的设置和查询,表字段的资产等级、安全等级查询,表与上下游表的血缘关系查询,表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况,包括每个字段的类型、具体描述、数据类型、安全等级等,同时显示这个数据表的开发人、负责人、安全接口人、所属部门等信息,并且可以通过这个界面申请对该表访问操作权限。 2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级分类管理,特别是在组织内部拥有大量数据的情况下,能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化,通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例,显示了一个数据表每个字段的数据类型和安全等级,在这个示例中,“C”表示该字段的数据类型,“C”后面的数字表示该字段的安全等级。
数据类型、安全等级标识示例 (二)数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节,可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路,也可以直接对数据进行加密,以密文形式传输,保障数据传输过程安全。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 (三)数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理,防止数据遭窃取、泄漏、损毁。为实现这一目标,除了防火墙、入侵检测、防病毒、防DDoS、漏洞检测等网络安全防护技术措施外,数据使用环节还需实现的安全技术能力包括: 1、账号权限管理 建立统一账号权限管理系统,对各类业务系统、数据库等账号实现统一管理,是保障数据在授权范围内被使用的有效方式,也是落实账号权限管理及审批制度必需的技术支撑手段。账号权限管理系统具体实现功能与组织自身需求有关,除基本的创建或删除账号、权限管理和审批功能外,建议实现的功能还包括:一是权限控制的颗粒度尽可能小,最好做到对数据表列级的访问和操作权限控制。二是对权限的授予设置有效期,到期自动回收权限。三是记录账号管理操作日志、权限审批日志,并实现自动化审计;日志和审计功能也可以由独立的系统完成。 2、数据安全域 数据安全域的概念是运用虚拟化技术搭建一个能够访问、操作数据的安全环境,组织内部的用户在不需要将原始数据提取或下载到本地的情况下,即可以完成必要的查看和数据分析。原始数据不离开数据安全域,能够有效防范内部人员盗取数据的风险。图7 是数据安全域的拓扑结构示例,数据安全域由一个虚拟机集群组成,与数据库服务器通过网关连接,组织内部用户安装相应的终端软件,可以通过中转机实现对原始数据的访问和操作。
人工智能数据白皮书-CAICT
人工智能数据安全 白皮书 中国信息通信研究院 安全研究所 2019年8月
版权声明 本白皮书版权属于中国信息通信研究院安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院安全研究所”。违反上述声明者,本单位将追究其相关法律责任。
前言 人工智能作为引领新一轮科技革命和产业变革的战略性技术,已成为世界主要国家谋求新一轮国家科技竞争主导权的关键领域。随着政府人工智能战略布局的落地实施,全球人工智能发展正进入技术创新迭代持续加速和融合应用拓展深化的新阶段,深刻改变着国家政治、经济、社会、国防等领域的运行模式,对人类生产生活带来翻天覆地的变化。 数据作为驱动本轮人工智能浪潮全面兴起的三大基础要素之一,数据安全风险已成为影响人工智能安全发展的关键因素。与此同时,人工智能应用也给数据安全带来严峻挑战,如何应对人工智能场景下的数据安全风险日渐成为国际人工智能治理的重要议题。部分国家已率先探索人工智能数据安全风险的前瞻研究和主动预防,并积极推动人工智能在数据安全领域应用,力求实现人工智能与数据安全的良性互动发展。 本白皮书从人工智能数据安全的内涵出发,首次提出人工智能数据安全的体系架构,在系统梳理人工智能数据安全风险和安全应用情况的基础上,总结了国内外人工智能数据安全治理现状,研究提出了我国人工智能数据安全治理建议。
目录 一、人工智能数据安全概述 (1) (一)人工智能安全 (1) (二)人工智能数据安全内涵 (2) (三)人工智能数据安全体系架构 (3) 二、人工智能数据安全风险 (5) (一)人工智能自身面临的数据安全风险 (5) (二)人工智能应用导致的数据安全风险 (7) (三)人工智能应用加剧的数据治理挑战 (11) 三、人工智能数据安全应用 (13) (一)人工智能与数据安全治理 (13) (二)人工智能在数据安全治理中的应用 (15) 四、国内外人工智能数据安全治理动态 (23) (一)国内外人工智能数据安全战略规划情况 (24) (二)国内外人工智能数据安全伦理规范情况 (28) (三)国内外人工智能数据安全法律制定情况 (30) (四)国内外人工智能数据安全技术发展情况 (32) (五)国内外人工智能数据安全标准规范情况 (34) 五、人工智能数据安全治理建议 (36) (一)明晰发展与安全并举的治理思路 (36) (二)引导社会遵循人工智能伦理规范 (37) (三)建立人工智能数据安全法律法规 (37) (四)完善人工智能数据安全监管措施 (38) (五)健全人工智能数据安全标准体系 (39) (六)创新人工智能数据安全技术手段 (39) (七)培养复合人工智能数据安全人才 (40)
数据安全设计处理方案
数据安全处理设计方案 一、说明: 为保证税务数据的存储安全,保障数据的访问安全,对数据库的用户采取监控机制,分布式处理各种应用类型的数据,特采取三层式数据库连接机制。 二、作用机理: 1、对于整个系统而言,均采用统一的用户名称、用户密码进行登陆。 这个阶段的登陆主要用于获取数据库的对应访问用户、密码及其对应访问 权限。 2、登陆成功后,读取用户本地机的注册信息、密码校验信息,然后 到通用用户对应的数据表中去读取对应的记录。该记录主要为新的用户名 和密码。 3、获取对应权限、用户和密码后,断开数据库连接,然后按新的数 据库用户和密码进行连接。 4、连接成功后,开始个人用户的登陆。 三、核心内容: 该安全方案的核心内容为:三层式数据访问机制、数据加密处理机制。 三层式数据访问机制的内容: 第一层:通用用户方式登陆。对于通用用户而言,所有用户均只有一个表的访问权限,并且对该表只能读取和修改。 第二层:本地注册(或安装)信息的读取和专用数据库用户密码的对应获取。根据安装类型,获取对应的(数据库)用户和密码,此用户一般有多个表的操作权限。 第三层:断开通用连接,以新的用户和密码进行登陆。登陆成功后,再用个人用户帐号和密码进行登陆处理。 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。采用当
前较为流行的基数数据加密机制,主要方式为:采用数据基数数组方式进行加密与解密。变动加解密机制时,只需修改对应的基数位置或基数值即可。实现方式简单方便,而解密则极为困难。 四、 数据库设计: 系统主要涉及到的数据库为用户登陆数据库表。这张表与数据库的使用用户表数据内容类似,主要保存类用户信息。 其主要结构为: 五、 程序流程设计: Y
睿治数据治理管理平台白皮书-数据标准
1.1数据标准建设 睿治数据治理平台提供了一套完整的数据标准管理流程及办法,通过一系列的活动,统一的数据标准制定和发布,结合制度约束、系统控制等手段,实现企业大数据平台数据的完整性、有效性、一致性、规范性、开放性和共享性管理,为后续数据质量检查、数据安全管理等提供标准依据。 1.1.1灵活配置数据标准属性 定义不同的数据标准可能存在需要录入不同的属性,为了满足不同项目对数据标准的设计,睿治数据治理平台提供了数据标准集管理,内置了业务属性、技术属性、管理属性、质量属性、主数据属性、生命周期属性供用户选择使用,并支持自定义属性。 1.1.2方式丰富的数据标准录入 平台提供灵活方便的操作界面,根据用户选择合适的方式,快速创建数据标准,支持用户手动创建数据标准,同时支持拾取元数据生成数据标准,简化数据标准创建的步骤,同时支持修改、删除等操作。
除了手动创建外,还支持通过导入的方式进行批量创建。通过导出标准集,让用户在线下对数据标准进行整理,将整理完成的数据标准导入到平台后,成为一条可映射、评估的数据标准。
1.1.3完备的数据标准审批 数据标准创建保存后,确认无误后,支持整集发起审批。审批支持通过、退回操作,可采用邮件或任务提醒的方式通知参与审批的用户。同时支持审批列表的搜索,快速定位数据标准。 1.1.4先进的数据标准落地映射 数据标准被设计出来,主要目的是为了规范各业务系统的数据建设。平台支持对数据标准设置落地映射,一条标准可根据实际业务需求进行多个映射,映射设置细化到实际业务系统对应的元数据上,为后续的落地评估提供依据,设置好的落地映射支持修改、删除。
数据资产管理技术白皮书
数据资产管理技术白皮书
前言 党的十九大报告提出要“推动互联网、大数据、人工智能和实体 经济深度融合”,进一步突出了大数据作为国家基础性战略性资源的 重要地位,掌握丰富的高价值数据资源日益成为抢占未来发展主动权 的前提和保障。 数据是资产的概念已经成为行业共识。然而现实中,对数据资产的管理和应用往往还处于摸索阶段,数据资产管理面临诸多挑战。首先, 大部分企业和政府部门的数据基础还很薄弱,存在数据标准混乱、数据质 量层次不齐、各条块之间数据孤岛化严重等现象,阻碍了数据的共享应用。其次,受限于数据规模和数据源种类的丰富程度,多数企业的数据 应用刚刚起步,主要集中在精准营销,舆情感知和风险控制等有限场景,应用深度不够,应用空间亟待开拓。再次,由于数据的价值很难评估, 企业难以对数据的成本以及其对业务的贡献进行评估,从而难以像运营 有形资产一样管理数据资产。 国际上,1990 年以来,以国际数据管理协会(DAMA,Data Management Association International)、能力成熟度模型集成(CMMI,Capability Maturity Model Integration)为代表的组织机构长期从事数 据管理的研究,形成了一定的理论成果。在这些理论的指导下,我国金融、电信、能源、互联网等信息化较为先进的行业,已经积累了丰富的 数据资产管理经验。这些经验的总结对于补充完善数据管理理论体系、 推进数据资产管理在各个行业的普及和发展有着重要意义。 为了促进数据资产管理的研究,我们组织编写了《数据资产管理
实践白皮书》。本白皮书分为四大部分:第一部分介绍了数据资产管理 的概述及变革中的数据资产管理呈现出来的特征趋势;第二部分从实践 角度出发阐述了数据资产管理的主要内容;第三部分重点介绍了数据资 产管理的实施步骤、实践模式、技术工具和成功要素;最后结合实践经验,介绍了电信、金融、政务、医疗和工业等相关领域的数据资产管理 案例。本白皮书在《数据资产管理实践白皮书3.0》的基础上,以全面 盘点数据资产、不断提升数据质量、实现数据互联互通、提高数据获取效率、保障数据安全合规、数据价值持续释放等角度,通过权威数据和典型事件,生动剖析了数据资产管理的重点内容和目标。在原有管理职能的 介绍下,尝试说明数据资产化管理的关键活动步骤,并在实施步骤方面,增加了各实施阶段的具体输出物,并增加了“数据价值管理工具”和“数 据服务管理工具”,更好的指导企业搭建数据资产管理平台,开展数据 资产管理相关工作。 本白皮书可以为政府和企业开展数据资产管理工作提供参考,也 可以作为相关产品和服务提供商的参考依据。由于时间仓促,水平所 限,我们的工作还有很多不足。下一步,我们还将广泛采纳各方面意见 建议,进一步深化相关研究,持续完善白皮书内容,在已有版本的基础上,适时修订发布新版。我们诚邀各界专家学者参与我们的研究工作, 积极献言献策,共同完善国内数据资产管理理论和方法论体系,为促 进大数据与实体经济深度融合做出积极贡献。
数据安全治理三步走之一:数据资产状况梳理
数据安全治理三步走之一: 数据资产状况梳理 数据安全治理是以“数据安全使用”为目标的综合管理理念,具体实现数据安全保护、敏感数据管理与合规性三个需求;数据安全治理涵盖数据的分类、梳理、管控与审计四大重要环节。由于数据的分级分类根据不同行业特点有着显著的区别,缺乏普遍性,所以笔者将在后续的文章中针对不同行业的数据分级分类进行说明,本系列文章将主要对数据的梳理、安全管控与稽核进行深入的说明。 本文从数据资产状况梳理的需求、技术挑战以及技术支撑三方面进行详细的阐述。 一. 数据资产状况梳理需求 1.1 数据使用部门和角色梳理 在数据资产的梳理中,需要明确这些数据如何被存储,需要明确数据被哪些部门、系统、人员使用,数据被如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。对于数据资产使用角色的梳理,关键是要明确在数据安全治理中不同受众的分工、权利和职责。 组织与职责,明确安全管理相关部门的角色和责任,一般包括: 安全管理部门:制度制定、安全检查、技术导入、事件监控与处理; 业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理; 运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理; 其它:第三方外包、人事、采购、审计等部门管理。 数据治理的角色与分工,需要明确关键部门内不同角色的职责,包括: 安全管理部门:政策制定者、检查与审计管理、技术导入者业务部门:根据单位的业务职能划分 运维部门:运行维护、开发测试、生产支撑
1.2 数据的存储与分布梳理 敏感数据在什么数据库中分布着,是实现管控的关键。 只有清楚敏感数据在什么库中分布,才能知道需要对什么样的库实现怎样的管控策略;对该库的运维人员实现怎样的管控措施;对该库的数据导出,实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。 1.3 数据的使用状况梳理 在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制订这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。 图5某运营商对敏感系统分布的梳理结果
数据安全治理白皮书
数据安全治理白皮书
目录 前言 (1) 一、概述 (3) 1.1数据治理概念 (3) 1.2数据安全治理 (3) 1.3XX数据安全治理 (4) 二、全球数据安全标准化情况 (5) 2.1数据安全标准化总体情况 (5) 2.2国内数据安全标准化概述 (5) 2.3国际数据安全标准化概述 (7) 三、XX数据安全治理组织框架 (10) 3.1数据安全治理组织框架概述 (10) 3.2数据安全治理需求 (11) 3.3数据安全组织机构 (14) 3.4数据安全治理规划 (15) 3.5数据安全治理工具 (19) 四、XX数据安全治理建设流程 (22) 4.1数据安全治理建设流程概述 (22) 4.2价值数据分析 (23) 4.3数据分类分级 (24) 4.4数据发现分布 (24) 4.5数据安全风险评估 (25) 4.6数据安全策略 (25) 4.7数据安全防护 (26) 4.8数据安全运维 (26) 五、XX数据安全治理建议 (27) 5.1数据安全分类分级为起点 (28) 5.2数据生命周期安全为主线 (28) 5.3合规性评估数据安全为支撑 (29) 5.4数据场景安全治理应用 (30) 六、XX数据安全技术框架 (31) 七、结束语 (32)
前言 随着信息化技术的快速发展,互联网应用增长迅猛,与之相伴的信息安全风险飚升,特别是“棱镜门”事件,引起全球大部分国家对信息泄漏的关注,进而激发对信息安全风险的进一步重视;无论是欧盟、美国,还是日本、俄罗斯、韩国等许多国家都从国家安全、社会稳定、企业和个人信息安全层面出台相应的法律、法规和管理要求,加强对信息安全,特别是数据安全的风险防范,如:欧盟的GDPR 和《Regulation “on a framework for the free flow of non-personal data in the European Union(非个人数据在欧盟境内自由流动框架条例)》。 我国在大数据、云计算、AI、IoT、5G 等新技术带动下的数字经济发展过程中,数据已经成为国家和企业的重要资产和战略资源,多来源多类型的数据集中整合与综合应用带来了爆发式增长,与此相伴的是数据过度采集和使用、数据泄漏等安全风险日益凸显;在严峻的国际信息安全和国内泄漏风险两方面同样面临明显挑战,无论从国家层面,还是行业监管层面都陆续出台法律、法规和管理要求,进一步引导和加强信息安全,特别是数据安全的风险防范。 本白皮书旨在系统性描述数据安全治理的通用性方法论,为业界提供数据安全治理需要考虑哪些方面、涉及哪些主要事项、工作开展逻辑和流程、XX信息在数据安全治理方面能够提供哪些服务等,寄希在数据安全治理落地时提供方法论指导;白皮书共分七个部分:第一部分是概述,主要对数据治理和数据安全治理间的关系进行阐述;第二部分是全球数据安全标准化情况,分别阐述国内和国外在数据安全方面的标准化情况,为阅读者提供对比和深入阅读的线索;第三部分是XX数据安全治理框架,分别从治理策略、组织机构、治理流程和治理工具四个方面对框架进行阐述;第四部分是XX数据安全治理建设,是在治理框架下具体说明数据安全治理的建设内容和步骤;第五部分是XX数据安全治理建议,是从XX实践的角度提出数据安全治理如何开展的建议;第六部分是XX数据安全技术防护体系,给出XX在数据安全方面能够提供什么样的服务和技术防护措施;第七部分是结束语。 浙江XX信息安全技术股份有限公司(简称“XX信息”),成立于2007 年,是国家规划布局内的重点软件企业,是新一代数据安全治理解决方案及服务提供商。总部位于杭州和北京,在上海、广州、深圳、南京、成都、济南等十多个区域设有分支机构,保障全国6 小时响应支撑服务。
中国信通院全球数字治理白皮书(2020年)
中国信通院全球数字治理白皮书(2020年)在经济全球化遭遇逆流,保护主义、单边主义上升的背景下,数字化驱动的新一轮全球化仍蓬勃发展,已成为助力全球经济增长、促进全球交流与合作的重要动能。数字全球化既是新一轮全球化的重要标志,也带来重大挑战,呼唤构建新的全球数字治理体系。随着数字全球化的纵深发展,如何更好兼具效率与公平,协调不同治理主体间分歧,更好推进全球数字合作,既是未来全球数字治理的重要方向,也对我国参与数字领域国际规则和标准制定提出了新的挑战。 第一章:数字全球化及全球治理新挑战 当前,经济全球化遭遇逆流,保护主义、单边主义上升,世界经济低迷,国际贸易和投资大幅萎缩,国际经济、科技、文化、安全、政治等格局都在发生深刻调整。随着新一轮科技革命和产业变革的深入发展,数字化驱动的新一轮全球化席卷而来,正在成为促进全球互联互通、推动全球商贸合作、增进全球文化交流、破解当前全球化困境的重要突破口。 (一)数字化驱动的新一轮全球化席卷而来 自2018年中美贸易摩擦以来,国际形势日趋复杂多变,全球化进程徘徊不前。国际贸易呈现出疲软态势,2019年,全球商品贸易出口额为18.9万亿美元,相对2018年下降了2.8%;服务贸易出口额为6.1万亿美元,与2018年基本持平。跨境资本流动大幅下降,全球外国直接投资从2018年的1.41万亿美元降至2019年的1.39万亿美元;全球跨国并购活动锐减,2019年全球跨国并购规模总计4900亿美元,同比大幅下跌近40%。要素的全球流动强度大大削弱,商品、服务、资本等传统要素的全球流动总量占全球GDP的比重从金融危机前54%的高峰降至30%左右。2020年初新冠肺炎疫情全球蔓延,世界经济面临深度衰退,国际贸易和资本流动严重萎缩。据世界贸易组织预测,2020年世界商品贸易总额预计将下降13-32%,几乎所有地区的贸易额都会出现两位数下降,世界贸易将陷入历史性低谷。联合国贸发会议预测,全球外国直接投资将在2019年的基础上下降近40%,滑落到近20年以来的最低水平。在全球经济衰退、新冠肺炎疫情爆发、中美贸易摩擦升级等多重背景交织影响下,世界经济运行的不稳定性和不确定性因素增加,“逆全球化”思潮涌动,贸易保护主义进一步抬头,经济全球化进程明显受阻。
大数据安全解决方案
大数据安全解决方案 CHT100-MG国密读写模块支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法(SM1和SM7),同时支持DES、RSA等国际通用密码算法;模块自带SM7、PSAM 安全模块,密钥运算由SM7及PSAM安全模块独立完成。该系列芯片集成度高、安全性强、接口丰富、加解密速度快、功耗低,具有极高的性价比。针对该模块提供完整的密钥管理系统解决方案,支持各种密钥的生成机制和加密算法,并将生成的密钥存储在具有密钥导出功能的CPU智能卡,即PSAM卡中,可应用于对安全性能高的场合,如公共安全、金融安全、电子政务等安全领域。我们具备一流的研发团队,提供全系列产品的定制合作开发。 典型案例:如今RFID门禁系统在我们日常生活中随处可见,而近年来国家重要部门、金融机构、军事单位等高级别重要门禁系统应用需求呈现不断增长的态势。由于目前所广泛应用的RFID门禁系统存在着严重的安全漏洞,国家密码管理局根据国家1998年第273文件精神以及国家安全需要,向中央与国家机关印发了《关于请协助做好IC卡系统密码管理工作的函》,向各省(区、市)密码管理部门印发了《关于加强IC卡系统密码管理工作的通知》等文件。2009年4月《重要门禁系统密码应用指南》对已建重要RFID电子门禁系统改造和升级,及新建重要RFID门禁系统安全提出了具体要求,并为达到该安全要求给出了相关的密码应用方式、方法指南。因此,将SM7国密算法纳入到门禁系统中,无疑又为门禁应用的安全提供了重要保障。 融合高科在国家密码管理局的指导下,提出了具体的整体解决方案,并能符合国家密码管理要求的重要RFID电子门禁系统SM7密码安全方案。 方案中的关键产品是支持SM7分组密码算法的非接触逻辑加密卡芯片和门禁读头中的安全模块CHT100-MG。 本方案适用于以下两种情况: 1) 新建重要门禁系统的设计与实现; 2) 密码系统未经过国家密码管理局审批的重要门禁系统的改造升级。 1. 系统构成 本方案采用基于SM7算法的非接触逻辑加密卡作为门禁卡。系统构成如图1所示。 图1 采用基于SM7算法的非接触逻辑加密卡的重大门禁系统示意图 2. 密码系统概述 基于我国SM7密码算法的重要RFID门禁系统涉及应用子系统、密钥管理及发卡子系统,如图2所示。 图2 基于SM7密码算法的密码系统 本方案采用国家密码管理局指定的SM7分组加密算法进行密钥分散,实现一卡一密;采用国家密码管理局指定的SM7分组加密算法进行门禁卡与门禁读卡器之间的身份鉴别。 3. 应用子系统 应用子系统中由门禁卡、门禁读卡器和后台管理系统构成,通过各设备内的密码模块对系统提供密码安全保护。其原理框图如图3所示。 图3 基于SM7的非接式触逻辑加密卡门禁系统原理框图 4.1 安全需求和对应算法:
数据安全治理——关键步骤:策略与流程的制定
数据安全治理——关键步骤:策略与 流程的制定 在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内经常被作为《某某数据安全管理规范》进行发布,所有工作流程和技术支撑都是围绕着此规范来制定和落实。 规范的出台往往需要经过大量的工作才能完成,这些工作通常包括: A、梳理出组织所需要遵循的外部政策以及与数据安全管理相关的内容; B、根据该组织的数据价值和特征,梳理出核心数据资产,并对其分级分类; C、理清核心数据资产使用的状况(收集、存储、使用、流转); D、分析核心数据资产面临的威胁和使用风险; E、明确核心数据资产访问控制的目标和访问控制流程; F、制订出组织对数据安全规范落实和安全风险进行定期的核查策略。 一. 外部所要遵循的策略 在我国,数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。举例如下: 1.网络安全法; 2.等级保护政策; 3.BMB17; 4.行业相关的政策要求举例: (a) PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、HIPPA ; (b) 企业内部控制基本规范;(三会、财政、审计) (c) 中央企业商业秘密保护暂行规定; 这些政策通常是在制订组织内部政策时重点参考的外部政策规范。
二. 数据的分级分类 数据治理主要依据数据的来源、内容和用途对数据进行分类;按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。 图1 某运营商对数据分级分类的结果 只有对数据进行有效分类,才能够避免一刀切的控制方式,在数据的安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。
《大数据白皮书(2019)》:数据安全合规要求不断提升
《大数据白皮书(2019)》:数据安全合规要求不断提升 12月10日,中国信息通信研究院发布了《大数据白皮书(2019)》(以下简称“白皮书”),这是中国信息通信研究院第四次发布大数据白皮书。白皮书在前三版的基础上,聚焦一年多来大数据各领域的发展,探讨了大数据技术、产业、应用、安全及数据资产管理的进展和趋势。 根据白皮书显示,技术融合、数据合规、应用深化和资产管理是2019大数据发展的关键词。 白皮书显示,2019年以来,全球大数据技术、产业、应用等多方面的发展呈现了新的趋势,也正在进入新的阶段。当前,大数据技术呈现出六大融合趋势:(一)算力融合:多样性算力提升整体效率 (二)流批融合:平衡计算性价比的最优解 (三)TA 融合:混合事务/分析支撑即时决策 (四)模块融合:一站式数据能力复用平台 (五)云数融合:云化趋势降低技术使用门槛 (六)数智融合:数据与智能多方位深度整合 近两年来,各国在数据合规性方面的重视程度越来越高,但数据合规的进程仍任重道远。2019年5月25日,旨在保护欧盟公民的个人数据、对企业的数据处理提出了严格要求的《通用数据保护条例》。 欧盟EDPB的报告显示,GDPR实施一年以来,欧盟当局收到了约145000份数据安全相关的投诉和问题举报;共判处5500万欧元行政罚款。苹果、微软、Twitter、WhatsApp、Instagram等企业也都遭到调查或处罚。 GDPR的正式实施之后,带来了全球隐私保护立法的热潮,并成功提升了社会各领域对于数据保护的重视。 我国大数据的行业应用更加广泛,正加速渗透到经济社会的方方面面。 这几年,无论是从新增企业数量、融资规模还是应用热度来说,与大数据结合紧密的行业逐步向工业、政务、电信、交通、金融、医疗、教育等领域广泛渗透,应用逐渐向生产、物流、供应链等核心业务延伸,涌现了一批大数据典型应用,企业应用大数据的能力逐渐增强。 最后,白皮书围绕技术、应用、治理三个方面对大数据发展进行了展望:
金融行业开源治理白皮书
金融行业开源治理白皮书
一、开源技术迅猛发展推动企业引入开源 (1) 1、开源已在多个重要领域成为主流 (1) 2、企业用户引入开源技术不可避免 (2) 二、金融行业采用开源技术已成趋势 (6) 1、开源技术是构建信息系统的重要选择 (6) 2、选择开源技术对金融机构意义重大 (8) 三、引入开源的风险日益凸显不容忽视 (11) 1、缺乏技术能力是企业用户的重要痛点 (11) 2、是否引入开源软件难以完全准确统计 (12) 3、开源软件隐含的安全风险较为显著 (13) 4、使用过程中是否遵守开源约定未知 (14) 5、开源软件上游供应链存在不确定性 (14) 6、开源软件的知识产权风险易被忽略 (15) 四、金融行业开源治理建议 (16) 1、推广产业开源科普,树立开源风险意识 (16) 2、建立金融开源社区,增进同业交流沟通 (17) 3、梳理开源治理规范,推动相关标准制定 (18) 4、建设开源治理体系,规范开源软件引入 (19) 附录金融机构开源治理实践案例 (23) 中国农业银行 (23) 上海浦东发展银行 (26) 中信银行开源 (30) 中国太平洋保险(集团) (32)
近几年开源技术快速发展,金融行业在构建信息系统过程中不可避免涉及开源技术的引入和使用。开源一方面可以突破技术壁垒推动金融机构技术创新和业务发展,另一方面也不可避免的带来知识产权、信息安全等一系列问题。金融作为涉及关乎国民经济的关键行业,面临与其他行业相比更为严苛的监管要求。如何在遵循开源义务要求的前提下规范地使用开源技术,从而最大化减少使用开源带来的风险,是金融机构构建信息系统过程中必然面临的问题。 《金融行业开源治理白皮书》首先介绍企业用户引入开源技术的背景,阐述开源技术对金融行业的重要意义,重点梳理引入开源可能导致的风险,并对金融行业在开源治理方面可以采取的措施给出了建议,最后附录了参与白皮书撰写企业的开源治理实践案例。