数据治理与数据安全 Page 1 演讲主题 • 数据安全与数据防泄漏的关系 • 企业数据治理为何需要数据防泄漏…… • 数据防泄漏项目需要涵盖的三个方面 • DLP数据防泄漏项目成功案例 • 数据防泄漏项目成功要素 • 下一代技术 Page 2 过去二十年间，经济形态发生了很大变化，无形资产（往往呈现为数据资产形态）逐渐超越了物理资产成为了 资产的主体。2015年标准普尔500企业无形资产占到总资产的84%，而15年前仅为32%。 资产向网络空间迁移，犯罪也跟随着这些资产迁移。但他们迁移的动作似乎更敏捷、更迅速，并采取了更有创 意的技术手段，业界普遍认为，网络恶意分子在技术走在了信息安全人员的前面。 Verizon发布的《2013年数据泄露调查报告》分析了全球47000多起数据安全事故，621宗确认的数据泄漏 案例，以及至少4400万份失窃的记录。《报告》指出有高达92%的数据泄露行为来自外部，利用脆弱的或者窃取 到的用户身份访问凭据进行入侵的行为占到了76%，而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告 将包括APT攻击列为信息泄露的主要手段。2015 年报告过去一年的事件调查，影响的组织覆盖95个国家，其中有 61个报告了问题，涉及79790个安全事件(Security Incident)，超过2千(2122个)确认的数据泄露(Data Breach)。 2015新增了一个统计模型，用以帮助企业评估到底每笔数据泄露，要损失多少钱。如果泄露1000条记录时，有 95%的可能会损失5.2万-8.7万美金。泄露1千万数据记录的花费介于210万到520万美金之间，但最多可能到7390 万美金。发布的《全球2016年数据泄露调查报告》中提到“数据泄露事故比去年同期增长48%，安全事件超过10 万次。在93%的个案中，攻击者平均仅需225秒或更短时间把系统攻陷”；报告显示仅25%的企业能在一天内发现 被入侵或数据外泄，大部分企业可能要数周甚至数月后才发现。 一著名安全专家认为：“世界1000强企业仅分为两类，一类是知道自己数据被窃取，另一类是数据已被窃取 但自己尚不知道。 Page 3 统一内容安全中心 Unified Content Security SkyGuard Cloud SWG SEG Web安全网关 针对高级威胁和数据窃 取的最有效防护 SecGator Security Engine DLP SecGator DLP IAS Engine Cloud 邮件安全网关 数据防泄漏 接入安全云 针对混合攻击和定向攻 击的最先进邮件防护 采用深层内容分析，对静 态、 传输中及使用中的数据进行 识别、监控、保护，拥有 用户及目的地感知的 特色功能 对任意地点的 web及 邮件提供最佳防护，并 且拥有最低的总体拥有 成本和最轻松的部署 Mobile 移动安全 对移动数据特有的有效防 护，针对窃取、遗失, 恶意 app 及web威胁 Page 4 1 DLP是APT 攻击最后一道防线 内部信息泄漏的最后一道防线 2 Page 5 概述 对于企业信息安全，若想得到结构性的保障就需要有一个 系统性信息安全支撑体系。无论这个体系采用什么样的参考 框架，都需要考虑四个关键的构成要素，即人员People过程 Process 、、技术Technology和数据Data （PPTD），其中： • 人员是过程执行的资源； • 过程是组织的系统性能力； • 技术是过程有效性的支撑； • 数据是过程执行的驱动。 自动化 方法 过程 Page 6 技术：企业信息安全技术控制框架 企业信息安全需求 行政安全措施 法规依从需求 技术安全措施是满足企业信息 安全需求的三类安全措施之一， 也是其中最重要、最复杂的，因 此需要通过架构的设计来保证技 术控制之间的协同以及与其它安 全控制的协同。 业务安全需求 威胁控制需求 物理安全措施 技术安全措施/(数据化技术安全措施) 运行管理机制 监测/解析机制 控制/响应机制 信息安全 技术基础设施 Page 7 技术：有效性评估策略 风险的核心是围绕着业务支撑或业务产生的资产，并取决于资产 自身的脆弱性和已采取的安全措施，因此安全技术有效性评估策略包括： • 面向业务/业务资产的有效性评估 • 面向威胁方的有效性评估 • 面向脆弱性的有效性评估 • 综合加权的有效性评估 Page 8 技术：面向有效性的规划与设计 基于价值链的范围确定 基于EA的安全需求分析 面向攻击语境的威胁评估 Page 9 企业为何需要数据防泄漏… Page 10 企业面临数据安全风险的压力 • 企业内部监管： – 目前多数企业缺乏针对数据泄漏的有效管理/技术手段，增加了数据泄漏的风险； – 内部人员及第三方人员有意/无意的操作可能导致企业敏感数据的泄漏。 • 外部法律及合规要求： – 银监会、保监会等监管机构日益提高对数据安全的重视程度，不断强调增强数据安 全性且安全要求渐趋细化； – 其他法律法规，如PCI DSS、HIPAA法案等，均对敏感客户信息的保护提出要求。 • 数据泄漏风险： – 随着IT技术的发展，数据传输渠道不断增加，造成数据泄漏的途径日益增多； – 大量数据泄漏给企业造成严重的负面影响，不能安全的提供客户服务，进而使企业 声誉受损。 Page 11 数据泄露防护准确定义 以集中策略为基础，采用深层内容分析， 对静态数据，传输中的数据及使用中的数据 进行识别，监控，保护的相关机制。 Rich Mogull – www.securosis.com Page 12 数据泄露防护覆盖重要的三个数据生命周期 数据定义/生成 数据存储 数据应用 数据传输 数据备份和归档 数据销毁 数据发现 数据分类 数据传输加密 数据销毁 数据存储加密 数据归档 数据脱敏 数据备份 数据维护安全 数据防泄漏 Page 13 全球数据防泄露防护的合规要求 随着全球化的数据集中，合规问题将成为管理层重点关注领域 • The Act on Promotion of Information and Communications Network Utilisationand Information Protection • Public Financial Institutions Act 欧盟 • • • • • Protection of Personal Information Act • The Act on Promotion of Information and Communications Network Utilisationand Information Protection • Protection of Communication Secret Act • Use and Protection of Credit Information Act 欧盟数据保护法 中国 韩国 美国 《信息安全等级 保护管理办法 香港 (试行)》 印度 《中华人民共和 国保密法》 澳大利亚 《商业银行信息 科技风险管理指 • Privacy Act 1988 • Model Data Protection 引》 Code for the Private Sector • Privacy Amendment 信息安全技术 (Private Sector) Act • E-commerce Code for the 个人信息保护指 Protection of Personal Information and 南 Communications of Consumers of Internet Commerce 《隐私权法》 • 《个人资料（私 隐）条例》及其 监管指引 • 《银行营运守则》 注：以上仅为部分国家或地区的部分主要信息保 护及防泄露相关的法律法规示例 Page 14 数据泄露风险与合规的挑战-案例分析 以香港为例： 法律法 规名称 数据类 型 覆盖领域 对于全球化数据传 输是否有管理合规 要求 针对银行全球化的影响 数据防泄露解决方案可 以提供何种帮助 《个人资 所有直接 料（私隐） 或者间接 条例》 涉及用户 个人信息 数据收集 数据保存 数据使用 数据准确 数据披露 数据传输 是 除特例以外，禁止个 人数据从香港境内向 任何缺乏足够数据保 护体系的传输 如果需要按照全球化部署将香 港客户个人数据做收集、保存、 使用和传输，就需要金融企业 建设完善数据防泄露保护体系， 否则就会面临个人数据无法从 香港传输至大陆，并且做集中 存放和使用的风险；同时还需 要在与其他国家的数据交换中 避免香港客户数据外传。 1> 内容扫描：标识并过滤 受到监管要求而不能传输 的数据； 2> 策略定义：集中统一定 义数据收集、保存、传输 和披露策略，针对不同的 法律法规要求设定数据收 集、传输和保存的场景 《银行营 运守则》 客户个人 信息 跨地区、跨国的传输增加了数 数据收集 是 数据使用 该守则要求遵循《个 据在传输环境泄露的风险，数 数据披露 人资料（私隐）条例》 据的泄露将直接违反法律法规 的要求 数据传输 （第三方） 个人资料 （私隐） 条例监管 政策手册 （SA-2 外包）》 所有直接 或者间接 与外包相 关数据 外包策略 数据外包 如果金融企业在实际业务中采 是 被监管者外包策略和 取了外包合作模式，需要使用 安排需要遵从本规定； 数据防泄露保护机制加强管理， 被监管者需要大致告 避免第三方泄露个人数据泄露 情况的出现 知客户其数据被外包 的可能… NDLP(网络数据防泄露)的 扫描和监控机制可以帮助 数据在跨国、跨地区传输 时大大降低数据在传播过 程中泄露的风险 结合数据防泄露产品对于 敏感数据的扫描、标识、 预警和拦截功能，帮助银 行建立或完善数据防泄露 保护机制，避免第三方泄 露个人数据。 Page 15 数据防泄漏对于客户的价值 1、员工行为可视化 •可以清晰了解员工日常工作中对于敏 感数据操作行为；并结合企业对于数据 安全的管理要求加以监督，从而达到提 高员工安全意识，强化员工操作规范等 目的 2、策略部署一体化 •可以通过完整的数据防泄漏技术手 段将企业数据安全管理制度及流程加 以实现，并可以覆盖到各种应用场景， 确保建立完整的数据防泄漏体系； 2“化” + •随着竞争压力的不断提高以及客户 的法律意识不断加强，各监管机构也 出台了与信息安全特别是敏感数据保 护相关的各种合规要求，因此需要通 过相应的技术手段来将