12万字 | 2021数据安全与个人信息保护技术白皮书(内附下载链接)
The following article is from 炼石网络CipherGateway Author 炼石网络
关注本公众号(数据工匠俱乐部,ID:zgsjgjjlb),后台回复“个人信息保护”即可下载《2021 数据安全与个人信息保护 技术白皮书》
前言
当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人民共和国个人信息保护法》于2021年11月1日正式施行。
本白皮书(或本报告)正是在《数据安全法》、《个人信息保护法》等法律陆续施行的背景下编制。《数据安全法》旨在维护国家安全和社会公共利益,保障数据安全,其关于“数据”的定义,是指任何以电子或者其他方式对信息的记录。《个人信息保护法》更侧重于个人权益,是为了维护公民个人的隐私、人格、人身、财产等利益,其关于“个人信息”的定义,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
业内关于“数据”和“信息”之间关系的理解,大致可以分为三类:一是“信息”属于“数据”的子概念,“信息”是从采集的“数据”中提取的有用内容;二是“信息”与“数据”互相混用,概念区分没有实质意义;三是“数据”属于“信息”的子概念,仅表示“信息”在电子通信环境下的表现形式。本报告基于数据和信息之间关系的第一种释义,即“个人信息”属于“数据”的子概念。同时,《数据安全法》中的数据处理者在处理个人信息时,也是《个人信息保护法》中的个人信息处理者,除需遵守《数据安全法》,还必须遵守《个人信息保护法》。从技术层面看,个人信息往往以结构化数据或非结构化数据形式存在,保护个人信息和保护数据的防护手段,二者高度通用。综合考虑以上原因,本报告将数据安全技术与个人信息保护技术合并论述。
本报告综合梳理了当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”。本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),以期结合两大框架实现“攻防兼备、网数一体”。本报告详细介绍了DTTACK框架,针对数据安全从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制(C)、治理(G)七大方面说明了相应的战术、技术,覆盖了数据的全生命周期(收集、存储、使用、加工、传输、提供、公开等)的安全防护。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。
“工欲善其事,必先利其器”,在数字经济快速发展的背景下,我们更需要深刻认识到数据安全建设的重要性,不仅需要在安全意识和管理水平上提升,更需要在技术上重点布局、勇于创新,希望本报告能够为企业或机构的数据安全建设提供参考和借鉴。由于编者水平有限,报告中的错误之处在所难免,敬请读者指正,也欢迎业界同仁共同参与完善,为行业发展提供助力!(关注本公众号,回复“炼石就是数据安全”,下载完整版《2021数据安全与个人信息保护技术白皮书》PDF高清文件)
一、数据安全发展面临严峻挑战
1.1 数据要素赋能数字中国
1.1.1 数据成为新型生产要素
1.1.2 数据开发利用加速发展
1.2 个人信息亟待严格保护
1.2.1 个保法律强化保护义务
1.2.2 个人信息需要体系防护
1.3 业务处理伴生数据风险
1.3.1 数据收集风险
1.3.2 数据存储风险
1.3.3 数据使用风险
1.3.4 数据加工风险
1.3.5 数据传输风险
1.3.6 数据提供风险
1.3.7 数据公开风险
1.4 数据风险制约产业创新
1.4.1 数据跨境流动带来新隐患
1.4.2 新技术迭代催生更多风险
1.4.3 新业态出现激发潜在危机
二、数据安全产业迎来发展机遇
2.1 实战合规共驱安全产业
2.1.1 数据安全面临国内外挑战
2.1.2 安全需求被置于次要地位
2.1.3 强合规监管深化鞭子效力
2.2 数据安全成为国家战略
2.2.1 国际数据安全发展战略概况
2.2.2 我国数据安全立法监管加强
2.2.3 全球公正数据安全规则构建
2.3 多重因素推动技术升级
2.3.1 数据安全攻防视角的新框架
2.3.2 数据安全供需市场的新博弈
2.3.3 数据安全实战能力的新要求
2.3.4 数据安全思路模型的新演进
三、数据安全技术亟待叠加演进
3.1 数据安全需要新框架
3.1.1 数据安全需兼顾内外威胁防护
3.1.2 数据防护从应对式转向主动式
3.1.3 网络与数据并重的新建设思路
3.1.4 经典网络安全框架ATT&CK
3.1.5 数据安全技术框架DTTACK
3.1.6 网络与数据一体化的叠加演进
3.2 数据安全需要新战法
3.2.1 知彼:攻击体系化
3.2.2 知己:银弹不存在
3.2.3 百战不殆:面向失效的安全设计
四、数据安全框架重点技术详解
4.1 l:识别
4.1.1 技术:数据资源发现
4.1.2 技术:数据资产识别
4.1.3 技术:数据资产处理(分析)
4.1.4 技术:数据分类分级
4.1.5 技术:数据资产打标
4.2 P:防护
4.2.1 技术:数据加密技术
4.2.2 技术:数据脱敏技术
4.2.3 技术:隐私计算技术
4.2.4 技术:身份认证技术
4.2.5 技术:访问控制技术
4.2.6 技术:数字签名技术
4.2.7 技术:DLP技术
4.2.8 技术:数据销毁技术
4.2.9 技术:云数据保护技术
4.2.10 技术:大数据保护技术
4.3 D:检测
4.3.1 技术:威胁检测
4.3.2 技术:流量监测
4.3.3 技术:数据访问治理
4.3.4 技术:安全审计
4.3.5 技术:共享监控
4.4 R:响应
4.4.1 技术:事件发现
4.4.2 技术:事件处置
4.4.3 技术:应急响应
4.4.4 技术:事件溯源
4.5 R:恢复
4.5.1 技术:灾难恢复
4.5.2 技术:数据迁移技术(分层存储管理)
4.5.3 技术:本地双机热备
4.5.4 技术:远程异地容灾
4.6 C:反制
4.6.1 技术:水印技术
4.6.2 技术:溯源技术
4.6.3 技术:版权管理技术
4.7 G:治理
4.7.1 数据价值
4.7.2 数据安全策略
4.7.3 数据安全模型
4.7.4 数据安全管理
4.7.5 数据安全运营
4.7.6 意识与教育
4.7.7 数字道德
五、数据安全应用示例方案参考
5.1云平台数据安全存储场景
5.1.1 概要
5.1.2 安全现状
5.1.3 解决方案
5.1.4 总结
5.2工业互联网数据多方安全共享
5.2.1 概要
5.2.2 安全现状
5.2.3 解决方案
5.2.4 总结
5.3重要商业设计图纸安全共享场景
5.3.1 概要
5.3.2 安全现状
5.3.3 解决方案
5.3.4 总结
5.4电子档案数据的安全存储和使用场景
5.4.1 概要
5.4.2 安全现状
5.4.3 解决方案
5.4.4 总结
5.5企业办公终端数据安全使用场景
5.5.1 概要
5.5.2 安全现状
5.5.3 增强方案
5.5.4 总结
5.6政务大数据交换共享场景
5.6.1 概要
5.6.2 安全现状
5.6.3 增强方案
5.6.4 总结
5.7银行业数据安全增强方案
5.7.1 概要
5.7.2 安全现状
5.7.3 增强方案
5.7.4 总结
5.8互联网金融数据安全使用场景
5.8.1概要
5.8.2安全现状
5.8.3解决方案
5.8.4总结
5.9民航业数据安全存储场景
5.9.1 概要
5.9.2 安全现状
5.9.3 解决方案
5.9.4 总结
5.10电力数据中台的数据安全增强
5.10.1 概要
5.10.2 安全现状
5.10.3 解决方案
5.10.4 总结
一、数据安全发展面临严峻挑战
1.1 数据要素赋能数字中国
1.2 个人信息亟待严格保护
1.3 业务处理伴生数据风险
1.4 数据风险制约产业创新
(欢迎大家加入数据工匠知识星球获取更多资讯。)
联系我们
扫描二维码关注我们
微信:SZH9543邮箱:ccjiu@163.comQQ:2286075659热门文章
我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。
我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。
我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。
了解更多精彩内容
长按,识别二维码,关注我们吧!
数据工匠俱乐部
微信号:zgsjgjjlb
专注数据治理,推动大数据发展。