炼石以数据为中心的安全技术框架 -在线下载 -AI解读-securityreporthub.asia

m o DTTACK：以数据为中心的安全技术框架 .c 5 b u h t i ——数据安全新框架、新战法g 分享人：炼石网络创始人、CEO 白小勇 01 数据安全新框架 02 数据安全新战法 03 关于我们 5 b u h git m o .c “风险与合规”共同驱动数据安全建设 2 20 1年 2 20 2亿条中国公民数据在暗网被公开售卖 20 年 21 • 《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求数据安全 • 《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出：保障国家数据安全，加强个人信息保护 om 2元可买70张明星素颜健康码照片被售卖 20 数据集约20GB 日产北美公司源代码泄露国家顶层规划 0年年 20 多法共治 .c 5 b u h git 5.38亿条数据，0.177 比特币新浪微博数据泄露密码三规一条例 20 年 21 20 年 19 商用密码管理条例（修订草案征求意见稿）农业银行被处罚420万银保监会1号罚单脸书被罚款50亿美元股价暴跌国办发〔2019〕57号公网安〔2020]1960号等保2.0 商用密码管理条例《数据安全法》在关联法律体系中的位置《国家安全法》《民法典》 2015年7月1日通过并实施维护国家总体安全的基本法律 2021年1月1日起施行提出自然人的个人信息受法律保护《网络安全法》《数据安全法》 2017年6月1日起施行 2021年9月1日正式施行提升国家数据安全保障能力规定网络安全治理道路 m o .c 核心数据严格管理 b5 重要数据风险评估网络信息安全内容控制网络运行安全等级保护安全风险处置网络实名制网络产品/服务关键信息基础设施 u h git 分级分类《密码法》 2020年1月1日起施行，提出数据保护技术手段配合调取数据《个人信息保护法（草案）》加速个人信息法制化进程数据交易中介跨境特殊类型数据汽车数据数据本地化与跨境健康医疗数据网络安全审查和供应链安全测绘数据 …… 敏感个人信息儿童个人信息权利响应国家法律法规明确要求保护重要数据和个人信息《网络安全法》《密码法》等保商用密码管理条例《数据安全法》第二十七条　开展数据处理活动应当第二十一条国家实行网络安全等级保二十七条法律、行政法规和国家有关护制度。规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用其安全保护义务第4条明确采取数据分商用密码进行保护。关键信息基础设类、重要数据备份和加密等措施。施运营者，应当自行或者委托商用密依照法律、法规的规定，建立健全全 m o .c 流程数据安全管理制度，组织开展数施和其他必要措施，保障数据安全。 b5 利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义着力在构建自主可控信息技术体系中推进密码优先发展，构建以密码技术为核心、多种技术相互融合的新网络安全体系，建设以密码基础设施为支撑的国密既是信创的重要组成部分，又为信创提供安全保障第六十五条有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百行业安全合规 • 《国家政务信息化项目建设管理办法》提出政务信息化项目“同步规划、同步建设、同步运行密码保障系统并定期进行评估”的要求 • 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）对等保三级以上系统、关键信息础设施新网络安全环境。 • 去标识化等安全技术措施；分之五以下罚款…… 务。信创 • 第五十一条第三款采取相应的加密、据安全教育培训，采取相应的技术措 u h git 码检测机构开展商用密码应用安全性评估。《个人信息保护法(草案)》明确密码应用要求 • 《关键信息基础设施安全保护条例》（征求意见稿）要求关键信息基础设施中的密码使用和管理，应当遵守密码法律、行政法规的规定回顾经典网络安全攻击模型：MITRE.ATT&CK 14个战术，205个技术，573个流程战术(初始访问) 技术 m o .c 5 b u h git 流程备注：本页为ATT&CK企业版矩阵转向聚焦以数据为中心的安全建设思路以数据为中心的安全安全防护重点从边界防御，转向保护数据和应用！数据态势 —————— 美国《国防部云战略》白皮书 2019年2月4日解密细控沙箱检测泄露检测零信任网络数据审计终端管控 SIEM 数据鉴权移动安全 VPN 通信加密 5 b u h git 端点安全存储加密反病毒 m o .c IDS • 防火墙边界访问。不幸的是，这种防护模型在数据被远程访身份鉴别密级标识数据分类历史上，信息安全一直聚焦在边界防御：限制网络以网中络为心的安全问和共享的云环境遇到挑战… • 国防部将安全从边界防御，转向聚焦保护数据和服务。首先通过对人员和设备的强身份验证、数据在存储和传输中的安全加密机制… 网络与数据并重的新安全建设理念 DTTACK：以数据为中心的战术、技术和通用知识 • Data-centric Tactics, Techniques And Common Knowledge（简称DTTACK ），以数据为中心的战术、技术和通用知识 • DTTACK不是网络、服务器或应用程序的安全性模型，而是强调数据本身安全性的安全性模型，是以数据为中心的安全防护战术技术框架，重视从业务风险映射视角列举数据保护需求 • DTTACK模型可以为信息化建设、企业业务架构设计提供数据安全能力参考，可基于DTTACK打造数据安全方案规划 5 b u 建设 th gi 运维 m o .c 参考IPDR2和安全滑动标尺模型的结构 NIST模型安全滑动标尺 m o .c 5 b u h git NIST 滑动标尺 I.识别 P.防护纵深防御基础结构安全 D.检测 R.响应态势感知与积极防御 R.恢复威胁情报 C.攻击与反制体系化整理数据安全技术框架 I.识别 P.防护 D.检测主动嗅探数据源发现数据资产识别应用内集成加密SDK 流量监测应用级存储加密技术 APT检测数据库级存储加密技术 DB-Proxy数据库代理加密数据库UDF集成加密SDK 数据库外挂加密 TDE透明数据加密文件级存储加密技术 TFE透明文件加密 UEBA FDE全磁盘加密业务风控数据加密技术磁盘级存储加密技术文字识别图片识别语音识别自加密大规模存储 PGP邮件加密 S/MINE邮件加密离线通信消息传输加密技术合规性分析 Signal/OTR聊天加密 …… 敏感性分析自动化工具人工辅助标记字段法元数据映射表法数字水印法数据脱敏技术隐私计算技术动态脱敏技术静态脱敏技术可信执行环境密码学应用数据访问治理高级安全分析文件分析 TLS 解密平台访问控制 b u h t i g …… om 动态风险评估安全影响分析内部合规外部攻击账号行为审计应用数据审计安全审计数据流转审计网络设备增强模式/网关增强模式/代理增强模式以数据为中心的审计和保护工具以文件为中心的审计和保护数据库审计和保护事件处理 DFI 系统日志应急响应事件还原（2）流量分析（3）流量限制一键封堵端口关停应急恢复设备被盗应急 R.恢复文件备份数据备份云灾备 C.反制备份软件融合备份图像水印（2）媒体水印（2）水印备份软件数据库水印（3）融合备份系统应用文件程序配置参数屏幕水印（2）权限流转权限迁移签名验证溯源版权企业数字版权管理技术子技术安全设备应用日志异常访问监测（2） DCAP FCAP DAP EDRM 安全事件溯源网络设备安全事件分析无口令认证网络访问控制 DPI 5.c 口令认证技术身份认证技术安全事件发现网络流量分析流量监测应用级/接口级/网关级/数据库级接口级/网关级/数据库级安全多方计算/同态加密/零知识证明/联邦学习 R.响应欺诈检测关键字正则表达式基于文件属性识别精确数据比对 (EDM) 数据内容识别数据资产打标威胁检测 AOE面向切面加密指纹文档比对 (IDM) 数据分类分级 CASB代理网关加密接口扫描向量分类比对 (SVM) 数据资产处理与分析战术已收录6个战术、36个技术、 116个子技术、86个方法方法网络与数据并重的新安全建设以数据保护为中心 m o .c 相互关联、依赖、演进 5 b u h git 电信和互联网行业数据安全标准体系建设指南中国银保监会监管数据安全管理办法（试行） • 《民用航空旅客服务信息系统信息安全保护规范》《交通运输行业网络安全等级保护基本要求》…… • 《国家健康医疗大数据标准、安全和服务管理办法（试行）》《关于印发全国医院信息化建设标准与规范（试行）的通知》…… • 以网络攻防为中心《工业控制系统安全检查指南》《工业控制系统安全管理基本要求》《工业控制系统信息安全分级规范》…… 安全防护重点从边界防御，转向保护数据和应用！ —————— 美国《国防部云战略》白皮书 2019年2月4日 01 数据安全新框架 02 数据安全新战法 03 关于我们 5 b u h git m o .c 面向失效的数据安全设计 I.识别安全能力 P.防护态传 5 b u h git Sa /业 aS Pa D.检测 R.响应 R.恢复 C.反制 m o .c 输态储存使用态数据形态 Ia a 务应平 S/ /基 aS 础用台设施技术栈 • 基于面向失效的原则 • 构建出有效的数据防护纵深 • 纵深协同，而非纵深

炼石 以数据为中心的安全技术框架

炼石以数据为中心的安全技术框架