電力行業(yè)數(shù)字化轉(zhuǎn)型中的數(shù)據(jù)安全治理上海某著名企業(yè)董事長

2021年（第四屆）

電力信息通信新技術(shù)大會

暨數(shù)字化國際高峰論壇第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際1.數(shù)字化轉(zhuǎn)型背景下

2.數(shù)據(jù)安全治理體系的數(shù)據(jù)安全治理體系建設(shè)步驟2021年（第四屆）

電力信息通信新技術(shù)大會

暨數(shù)字化國際高峰論壇第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年目錄數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際網(wǎng)絡(luò)培訓(xùn)多

技術(shù)驗證

原型研制合

標(biāo)準(zhǔn)制定方聯(lián)人工智能打通產(chǎn)業(yè)上下游

，

多維度構(gòu)建大安全邊緣計算生態(tài)云與邊緣計算安全

，云端和邊緣側(cè)匯聚大量的數(shù)據(jù)、敏感數(shù)據(jù)

，需要保證所存儲的數(shù)據(jù)不被泄

漏

，需要保障邊緣計算向云端和終端設(shè)備所傳輸數(shù)據(jù)的安全性、真實性

，甚至需要確保邊緣側(cè)的算

力不會被惡意利用。安全OS

，研發(fā)適合新基建IT環(huán)境的物聯(lián)網(wǎng)

安全OS、工控安全OS

，促進(jìn)新基建整體安

全建設(shè)。固件安全

，把安全能力延伸到微小的固件

層面

，提前發(fā)現(xiàn)固件中的安全隱患

，對固

件異常進(jìn)行感知

，管控好種類繁多固件的

安全性。數(shù)字化轉(zhuǎn)型給網(wǎng)絡(luò)安全帶來新挑戰(zhàn)基礎(chǔ)設(shè)施云化

，存儲、部署、運維

等對安全建設(shè)提出新需求針對數(shù)據(jù)生態(tài)技術(shù)的安全威脅層出

不窮

，數(shù)據(jù)安全問題頻發(fā)面向人工智能的監(jiān)管機(jī)制變革滯后，

安全隱患難杜絕生物識別技術(shù)存在截獲、偽冒、篡

改攻擊等安全隱患泛威脅感知

，

隨著新基建所覆蓋領(lǐng)域的廣

闊化

，威脅感知也需實現(xiàn)泛在化。物聯(lián)網(wǎng)設(shè)備數(shù)量大幅增加

，數(shù)據(jù)安

全問題日益顯著區(qū)塊鏈技術(shù)不成熟

，合規(guī)風(fēng)險難以

防范生態(tài)場景多主體性增加風(fēng)險環(huán)節(jié)，

風(fēng)險鏈條拉長難管控以重大項目為牽引

，建

立網(wǎng)絡(luò)安全技術(shù)協(xié)同創(chuàng)

新平臺轉(zhuǎn)變傳統(tǒng)的安全理念

，化被動為

主動主動

智能

全面?“產(chǎn)學(xué)研用”?點面兼顧加速前沿技術(shù)在

網(wǎng)絡(luò)安全領(lǐng)域的對網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)力度亟待加強(qiáng)融合第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）安全芯片

，在新基建中從硬件層面實現(xiàn)對

5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等應(yīng)用場景安全

性的提升。電力行業(yè)數(shù)字化轉(zhuǎn)型趨勢。

將越來越依賴互聯(lián)智能的基礎(chǔ)設(shè)施和云平臺

，人工智能

、物聯(lián)網(wǎng)、

區(qū)塊鏈等大量新技術(shù)應(yīng)用

，遠(yuǎn)程管理、

自動化和基于系統(tǒng)的動態(tài)協(xié)調(diào)等數(shù)字化

能力

，也使得電力行業(yè)數(shù)字化安全架構(gòu)發(fā)生了深刻變革。數(shù)字化轉(zhuǎn)型下網(wǎng)絡(luò)安全發(fā)展方向高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年魯數(shù)字化轉(zhuǎn)型為網(wǎng)絡(luò)安全發(fā)展注入新機(jī)遇數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際產(chǎn)業(yè)生態(tài)環(huán)境智能防護(hù)預(yù)先研判終端服務(wù)云計算區(qū)塊鏈自動抵御云平臺……數(shù)據(jù)安全治理目標(biāo)。

在合規(guī)保障及風(fēng)險管理的前提下

，實現(xiàn)企業(yè)數(shù)據(jù)的開發(fā)利用，保障業(yè)務(wù)的持續(xù)健康發(fā)展

，確保數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的雙向促進(jìn)。治理目標(biāo)關(guān)鍵

合法合規(guī)可知分類分級可識使用流程可控數(shù)據(jù)風(fēng)險可察管控提升可見需求可知-可識-可控-可察-可見↓價值2識別分布

明確保護(hù)價值3安全使用

減少違規(guī)價值4洞察風(fēng)險

稽核監(jiān)控價值5明確職責(zé)

治理落地第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際價值1提升合規(guī)

加強(qiáng)意識數(shù)據(jù)生命周期安全框架數(shù)據(jù)安全原則數(shù)據(jù)安全分級1級：如公開數(shù)據(jù)

2級：如合作單位基本信息3級：

如個人聯(lián)系信息

4級：如個人財產(chǎn)信息

5級：如重要數(shù)據(jù)組織保障運維保障訪問控制安全監(jiān)測邊界管控第三方機(jī)構(gòu)管理安全審計數(shù)

據(jù)

刪

除應(yīng)急響應(yīng)與事件處置檢查評估數(shù)據(jù)使用委托數(shù)據(jù)數(shù)據(jù)生命周期安全防護(hù)要求披露公開處理共享轉(zhuǎn)讓數(shù)據(jù)聚

合

匯

融發(fā)

試

開

測據(jù)示

數(shù)

展據(jù)

工

數(shù)

加據(jù)

出

數(shù)

導(dǎo)據(jù)

問

數(shù)

訪最小夠用動態(tài)控制權(quán)責(zé)一致全程可控第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）數(shù)據(jù)安全治理體系。

遵循數(shù)據(jù)安全原則

，以數(shù)據(jù)安全分級為基礎(chǔ)

，建立覆蓋數(shù)據(jù)生命周期全過程的安全防護(hù)體系

，并通過建立健全數(shù)據(jù)安全組織架構(gòu)和明確信息系統(tǒng)運維

環(huán)節(jié)中的數(shù)據(jù)安全需求

，全面加強(qiáng)電力行業(yè)數(shù)據(jù)安全保護(hù)能力。目的明確選擇同意高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年個

人

主體數(shù)據(jù)采集數(shù)

據(jù)

傳

輸外

部

機(jī)

構(gòu)存

儲

安

全數(shù)據(jù)存儲備

份

與恢

復(fù)組織結(jié)構(gòu)合法正當(dāng)數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際數(shù)

據(jù)

銷

毀人員管理制度體系2021年（第四屆）

電力信息通信新技術(shù)大會

暨數(shù)字化國際高峰論壇1.數(shù)字化轉(zhuǎn)型背景下

2.數(shù)據(jù)安全治理體系的數(shù)據(jù)安全治理體系建設(shè)步驟第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年目錄數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際數(shù)據(jù)安全治理步驟。是指在數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下

，為確保數(shù)據(jù)處于有效保護(hù)和合法

利用的狀態(tài)

，多個部門協(xié)作實施的一系列活動集合。包括建立數(shù)據(jù)安全治理團(tuán)隊

，制定數(shù)據(jù)安全相關(guān)制度規(guī)范

，構(gòu)建數(shù)據(jù)安全技術(shù)體系

，建設(shè)數(shù)據(jù)安全人才梯隊等2.數(shù)據(jù)分類分級1.確定組織架構(gòu)

2.數(shù)據(jù)分類分級

分級數(shù)據(jù)定級數(shù)據(jù)分類持續(xù)

優(yōu)化5.監(jiān)控與稽核3.制定數(shù)據(jù)安全策略

基本權(quán)限劃分

限定使用場景

制定安全策略和措施3.制定數(shù)據(jù)安全策略4.管控數(shù)據(jù)處理過程

建立數(shù)據(jù)安全技術(shù)架構(gòu)

建設(shè)數(shù)據(jù)安全組件

持續(xù)監(jiān)測評估4.管控數(shù)據(jù)使用過程

制定原則數(shù)字創(chuàng)新融合

·

助力雙碳目標(biāo)日常管理、

業(yè)務(wù)執(zhí)行和運維工作將流程規(guī)定落地執(zhí)行

，采用數(shù)據(jù)安全支撐工具

，

融入到辦公和運維過程。第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年1.確定組織架構(gòu)

建立治理團(tuán)隊

分配管理職責(zé)5.審計與監(jiān)督

安全審計

安全檢查

監(jiān)督整改數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際層

管理層數(shù)據(jù)安全管理小組XX部XX中心XX部子公司XX子公司總部直屬中心分公司XX公司XX子公司XX中心XX中心決策層?決策層由數(shù)據(jù)治理委員會承擔(dān)

，是公司數(shù)據(jù)安全管理工作的最高決策機(jī)構(gòu)。監(jiān)督層?監(jiān)督層的職責(zé)由審計部承擔(dān)

，負(fù)責(zé)審計數(shù)據(jù)安

全策略和規(guī)劃的執(zhí)行和落實情況

，督促數(shù)據(jù)安全管理和技術(shù)問題的整改。管理層?管理層由數(shù)據(jù)安全管理小組組成

，負(fù)責(zé)數(shù)據(jù)安

全管理體系建設(shè)工作。?小組成員由數(shù)據(jù)管理部、信息技術(shù)部、審計部、

內(nèi)控合規(guī)部以及法律事務(wù)部、業(yè)務(wù)部門等

部門負(fù)責(zé)人組成。執(zhí)行層?執(zhí)行層由數(shù)據(jù)管理部、信息技術(shù)部、

內(nèi)控合規(guī)部、法律事務(wù)部、業(yè)務(wù)部門、總部直屬中心、

子公司相關(guān)責(zé)任人員構(gòu)成。?執(zhí)行層在數(shù)據(jù)安全管理小組的指導(dǎo)下開展工作。監(jiān)督層審計部第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）構(gòu)。數(shù)據(jù)安全工作實行統(tǒng)一領(lǐng)導(dǎo)下的分級管理、逐級負(fù)責(zé)制。步驟一：

確定組織架構(gòu)。

建立由決策層、管理層、執(zhí)行層、監(jiān)督層組成的數(shù)據(jù)安全管理組織架構(gòu)。

由數(shù)據(jù)治理委員會擔(dān)任公司數(shù)據(jù)安全管理工作的最高領(lǐng)導(dǎo)機(jī)數(shù)據(jù)治理委員會XX部XX部·

·

·高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年執(zhí)行層總部內(nèi)控合規(guī)部人力資源部數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際數(shù)據(jù)管理部XX部法律事務(wù)部決

策X

X

部影響對象國家安全公眾權(quán)益?zhèn)€人隱私企業(yè)合法權(quán)益級

別

數(shù)

據(jù)

特征5級4級3級2級1級數(shù)據(jù)的安

全屬性（完整性、

性、可用性）

遭到破壞

后數(shù)據(jù)損

失后：①

影響國家安

全②

對公眾權(quán)益

造成

“非常

嚴(yán)重”的影

響①

對公眾權(quán)益造成

“嚴(yán)重影響”②

對相關(guān)個人隱私及企業(yè)合法權(quán)益造成

“非常嚴(yán)重”

的影響

，但不影響國家安全①

對公眾權(quán)益造成“

中等”

或“輕微”影響②

相關(guān)個人隱

私及企業(yè)合

法權(quán)益造成

“嚴(yán)重”的

影響

，但不

影響國家安

全①

對相關(guān)個人

隱私造成“中等”或

“輕微”影

響②

對企業(yè)合法

權(quán)益造成“中等”影

響

，但不影

響國家安全對企業(yè)合法權(quán)

益造成一定影

響

，但不影響

國家安全、

公

眾權(quán)益及個人

隱私一般特征：①重要數(shù)據(jù)

，

通常主要用

于重要核心

節(jié)點類機(jī)構(gòu)

中的關(guān)鍵業(yè)

務(wù)使用②

一般針對特

定人員公開

，

且僅為必須

知悉的對象

訪問或使用①

數(shù)據(jù)通常主要用

于大型或特大型

機(jī)構(gòu)、

重要核心

節(jié)點類機(jī)構(gòu)中的

重要業(yè)務(wù)使用②

一般針對特定人

員公開

，且僅為

必須知悉的對象

訪問或使用①

數(shù)據(jù)用于重

要業(yè)務(wù)使用

，

一般針對特

定人員公開

，

且僅為必須

知悉的對象

訪問或使用①

數(shù)據(jù)用于一

般業(yè)務(wù)使用，

一般針對受

限對象公開，

通常為

管理且不應(yīng)

廣泛公開的

數(shù)據(jù)數(shù)字創(chuàng)新融合①

數(shù)據(jù)一般

可被公開

或可被公

眾獲知、

使用·

助力雙碳目標(biāo)第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）步驟二：

數(shù)據(jù)分類分級。

數(shù)據(jù)分類級是指根據(jù)法律法規(guī)以及業(yè)務(wù)需求，

明確組織的數(shù)據(jù)分類級原則及方法

，并對數(shù)據(jù)進(jìn)行標(biāo)識以實現(xiàn)差異化的數(shù)據(jù)安全管理。定級要素

不同級別數(shù)據(jù)特征非常嚴(yán)重嚴(yán)重輕微中等高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際影響程度定級要素步驟二：

數(shù)據(jù)分級保護(hù)策略。

通過制定不同等級數(shù)據(jù)的安全保護(hù)策略

，針對不同安全級

別數(shù)據(jù)建立相應(yīng)的訪問控制、傳輸加密、數(shù)據(jù)脫敏、數(shù)據(jù)導(dǎo)出等安全管理和控制措施

，實現(xiàn)數(shù)據(jù)安全保護(hù)精細(xì)化管理

，充分保障不同安全級別的數(shù)據(jù)對性、完整性、可用性的需求。產(chǎn)生、獲取

傳輸

存儲

使用

共享

歸檔

銷毀

完整性校驗

安全標(biāo)記

傳輸通道加密

敏感數(shù)據(jù)加密

安全區(qū)域隔離

完整性校驗

訪問控制

數(shù)據(jù)庫加密

完整性校驗

訪問控制

數(shù)據(jù)防泄漏

數(shù)據(jù)脫敏

VDI虛擬桌面

透明加密

訪問控制

數(shù)據(jù)防泄漏

VDI虛擬桌面

物理保險柜

消磁處理

完整性校驗

安全標(biāo)記

傳輸通道加密

安全區(qū)域隔離

完整性校驗

訪問控制

VDI虛擬桌面

完整性校驗

訪問控制

數(shù)據(jù)防泄漏

VDI虛擬桌面

訪問控制

數(shù)據(jù)防泄漏

VDI虛擬桌面

物理環(huán)境安全

覆蓋處理

安全標(biāo)記

安全區(qū)域隔離

訪問控制

VDI虛擬桌面

訪問控制

數(shù)據(jù)防泄漏

訪問控制

數(shù)據(jù)防泄漏

物理環(huán)境安全

覆蓋處理

安全標(biāo)記

安全區(qū)域隔離

訪問控制

訪問控制

訪問控制

物理環(huán)境安全

覆蓋處理

格式化·第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)據(jù)級別¤

五級¤

四級¤

三級¤

二級¤

一級數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際數(shù)據(jù)安全管理辦法與細(xì)則數(shù)據(jù)訪問基本權(quán)限數(shù)據(jù)安全管理辦法數(shù)據(jù)安全職責(zé)矩陣

l

高階策略l

生命周期安全管理l

劃分權(quán)限l

厘清職責(zé)數(shù)據(jù)安全控制基線業(yè)務(wù)數(shù)據(jù)使用規(guī)則生產(chǎn)數(shù)據(jù)提取要求l

確定控制領(lǐng)域l

制定控制手段和周

期l

梳理提數(shù)渠道

l

確定使用安全要求

l

優(yōu)化審批流程l

確定提取過程安全

規(guī)則

步驟三：

制定數(shù)據(jù)安全策略。

數(shù)據(jù)安全相關(guān)制度流程從業(yè)務(wù)需求、風(fēng)險控制需要

，

以及法律規(guī)合性要求等幾個方面進(jìn)行梳理

，最終確定數(shù)據(jù)安全防護(hù)目標(biāo)、管理策略及具體

準(zhǔn)規(guī)范程序等。明確關(guān)系人和數(shù)據(jù)使用權(quán)限根據(jù)公司內(nèi)外關(guān)系人的劃分及其安全管理職責(zé),制定數(shù)據(jù)資產(chǎn)訪間基本權(quán)限表,明確各關(guān)系人對不同等級數(shù)據(jù)資產(chǎn)的訪問權(quán)限。管理控制策略通過建立規(guī)范、制度、流程等保障機(jī)制,從管理層面對數(shù)據(jù)資產(chǎn)安全進(jìn)行控制。對不同安全等級的數(shù)據(jù)資產(chǎn),實施不同的安全控制策略。技術(shù)控制策略運用技術(shù)手段對數(shù)據(jù)資產(chǎn)進(jìn)行安全監(jiān)控。如建立數(shù)據(jù)傳輸、處理、存儲過程中的數(shù)據(jù)加密技術(shù);建立有效的用戶身份認(rèn)證和訪問控制的流程;定期審查或?qū)崟r監(jiān)控系統(tǒng)和數(shù)據(jù)訪問日志機(jī)制等。生命周期安全管理基本要求根據(jù)管理和技術(shù)安全控制策略,對數(shù)據(jù)資產(chǎn)在其生命周期各個階段的運轉(zhuǎn)流程,提出基本的安全管理要求。數(shù)據(jù)安全管理制度l

制定職責(zé)事項l

確定職責(zé)邊界建立管理框架

，優(yōu)化管控流程

，落實管控策略第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際產(chǎn)品/數(shù)據(jù)隱私聲明/通知

選擇/同意數(shù)據(jù)收集/生成數(shù)據(jù)傳輸使用與留存披露跨境轉(zhuǎn)移權(quán)利保障數(shù)據(jù)留存需求??隱私聲明/

通知作為基

本需求Cookie聲明?選擇與同意的合

規(guī)

，如如何選擇

（

Opt-In,Opt-

out,

DoubleOpt-In）?

同意的記錄?

收集哪

些數(shù)據(jù)？?

處理目的確認(rèn)?

安全傳

輸?

Security

by

Design?

Privacy

by

Design?

隱私保護(hù)需求?

留存期要求?

可能的披

露場景?

潛在的接

收方?

可能的轉(zhuǎn)

移場景?

適用的法

律要求?在產(chǎn)品自身實現(xiàn)部分或全部數(shù)據(jù)主體權(quán)利?

留存到期

的數(shù)據(jù)

，

清理的要

求設(shè)計/開發(fā)??預(yù)制展示位

置預(yù)制內(nèi)容?實現(xiàn)選擇/同意?記錄同意（何時

何地

，同意的哪

個版本）不超出收集范圍和處理目的傳輸雙方的

安全保障機(jī)

制

，如身份

認(rèn)證、HTTPS等?

Security

by

Design?

Privacy

by

Design?

隱私保護(hù)技術(shù)落

地?不同地區(qū)的不同

留存期要求如何

實現(xiàn)?

披露接口

與保護(hù)（如脫敏

導(dǎo)出）?

如果通過

系統(tǒng)集成

執(zhí)行跨境

轉(zhuǎn)移

，安

全保障措

施設(shè)計?用戶自助訪問

，查看，修改

，刪除，

限制處理，導(dǎo)出其個人數(shù)據(jù)等部分或全部功能?

自動清理

到期數(shù)據(jù)

的實現(xiàn)上線審核?隱私聲明/

通知的內(nèi)容

評審?選擇/同意的合規(guī)審核?目的審核?

范圍審核?

安全評

審?

安全評審?

安全評審?

隱私評審?隱私評審?

隱私評審上線與運營??隱私聲明/

通知內(nèi)容發(fā)

布版本更新與

版本管理?數(shù)據(jù)主體的同意

管理的跟通目范致

集

據(jù)

核

的和一

收數(shù)審過標(biāo)圍??

部署HTTPS?

自動執(zhí)行留存期

規(guī)則，

自動清理?

DPA簽署?

接收方管

理?

DTA簽署?數(shù)據(jù)主體請求的運營、度量?

留存期稽

查或?qū)徲嬒戮€??隱私聲明的版本、同意的記錄留存到期后刪除集成的系統(tǒng)變更數(shù)字創(chuàng)新融合

·

助力雙碳目標(biāo)?留存期到期的數(shù)據(jù)銷毀

，披露、轉(zhuǎn)移的數(shù)據(jù)銷毀第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）步驟三：

隱私保護(hù)策略。

落實產(chǎn)品中的個人信息保護(hù)需求與設(shè)計

，在每個開發(fā)的迭

代周期

，檢查個人信息保護(hù)功能實現(xiàn)的效果。高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際安全能力中心

識別

保護(hù)

檢測響應(yīng)

恢復(fù)識

保

檢

響

恢

資產(chǎn)與漏洞

態(tài)勢感知安全組件安全能力輸出安全服務(wù)目錄能力閾值研判編排調(diào)度中心API編排API調(diào)用安全運營中心安全策略管理威脅情報事件管理

主動防御

SOAR別

護(hù)

測

應(yīng)

復(fù)

治理和持續(xù)的流程改進(jìn)數(shù)據(jù)資產(chǎn)管理資產(chǎn)總覽數(shù)據(jù)安全組件分類分級資產(chǎn)定位數(shù)據(jù)索引數(shù)據(jù)風(fēng)險分析數(shù)據(jù)事件分析數(shù)據(jù)風(fēng)險分析數(shù)據(jù)流向分析資產(chǎn)認(rèn)責(zé)標(biāo)簽管理數(shù)據(jù)標(biāo)簽

用戶標(biāo)簽

標(biāo)簽分級

策略申請全生命周期管理數(shù)據(jù)采集監(jiān)控

數(shù)據(jù)傳輸監(jiān)控

數(shù)據(jù)存儲監(jiān)控010203統(tǒng)一納管數(shù)據(jù)安全組件實現(xiàn)對數(shù)據(jù)安全組件策略及事件信息統(tǒng)一納管

，提

供數(shù)據(jù)發(fā)現(xiàn)、

策略管控等多種數(shù)據(jù)安全場景落地。建立北向接口標(biāo)準(zhǔn)規(guī)范與數(shù)據(jù)安全管理系統(tǒng)建立接口連接

，通過接收數(shù)據(jù)

安全管理系統(tǒng)的業(yè)務(wù)策略申請

，實現(xiàn)安全策略生成

及下發(fā)

，

為數(shù)據(jù)安全管理系統(tǒng)提供安全支撐。建立南向接口標(biāo)準(zhǔn)規(guī)范建立標(biāo)準(zhǔn)的南向接口規(guī)范

，用于注冊數(shù)據(jù)安全相關(guān)

的組件

，可實現(xiàn)策略、

事件、日志等內(nèi)容的互通

，

為企業(yè)打造統(tǒng)一的數(shù)據(jù)安全防護(hù)策略平臺。第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）步驟四

：企業(yè)級安全架構(gòu)與數(shù)據(jù)安全組件關(guān)系。

企業(yè)級安全架構(gòu)承接安全服務(wù)能力的統(tǒng)一通訊中樞

，通過建立南北向接口標(biāo)準(zhǔn)

，能夠納管包括數(shù)據(jù)安全組件等相關(guān)的安全設(shè)備/軟件

，從而實現(xiàn)數(shù)據(jù)安全統(tǒng)一策略下發(fā)及管理。企業(yè)級安全架構(gòu)安全服務(wù)中心高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年能力服務(wù)化統(tǒng)一門戶數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際數(shù)據(jù)使用監(jiān)控

數(shù)據(jù)交換監(jiān)控

數(shù)據(jù)交換監(jiān)控應(yīng)用標(biāo)簽標(biāo)簽分類策略下發(fā)數(shù)據(jù)安全規(guī)范接口開放專項場景分析數(shù)據(jù)場景數(shù)據(jù)審計場景數(shù)據(jù)生命周期場景安全事件追溯場景安全孿生場景能力開放與數(shù)據(jù)運營安全能力開放安全規(guī)則輸出數(shù)據(jù)安全能力安全服務(wù)平臺數(shù)據(jù)管控能力動態(tài)脫敏數(shù)字水印數(shù)據(jù)庫審計API接口監(jiān)控數(shù)據(jù)安全應(yīng)急響應(yīng)數(shù)據(jù)安全告警與預(yù)警生命周期管控敏感數(shù)據(jù)訪問與消費建模規(guī)則/關(guān)聯(lián)/統(tǒng)計/A

I建模、機(jī)

器學(xué)習(xí)數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)存儲數(shù)據(jù)傳輸數(shù)據(jù)交換數(shù)據(jù)銷毀模型調(diào)整模型學(xué)習(xí)模型定義安全接口統(tǒng)一身份認(rèn)證接口資產(chǎn)安全管理接口運維支撐接口OA對接接口分子公司對接接口第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）數(shù)據(jù)自動發(fā)現(xiàn)能力與分類分級敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)控探針靜態(tài)脫敏數(shù)據(jù)消費違規(guī)分析數(shù)據(jù)安全風(fēng)險展示數(shù)據(jù)風(fēng)險分析重大涉敏數(shù)據(jù)資產(chǎn)

訪問路徑呈現(xiàn)數(shù)據(jù)安全一鍵處置管控策略防護(hù)策略發(fā)現(xiàn)/分類分級規(guī)則敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則分類分級規(guī)則數(shù)據(jù)DLP策略檢測策略敏感數(shù)據(jù)掃描策略對外接口監(jiān)控策略數(shù)據(jù)審計策略數(shù)據(jù)水印策略數(shù)據(jù)脫敏策略數(shù)據(jù)加密策略API接口策略力

，實現(xiàn)數(shù)據(jù)資源安全、數(shù)據(jù)安全策略、數(shù)據(jù)安全事件、以及數(shù)據(jù)安全風(fēng)險運營的有效協(xié)步驟四

：數(shù)據(jù)安全技術(shù)架構(gòu)。

承載企業(yè)數(shù)據(jù)安全管理和技術(shù)手段的集中化支撐平臺

,覆蓋數(shù)據(jù)生命周期的各個環(huán)節(jié)

，為企業(yè)提供數(shù)據(jù)安全管理、檢測、監(jiān)測、

防護(hù)、

審計能高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年敏感數(shù)據(jù)發(fā)現(xiàn)探針數(shù)據(jù)安全合規(guī)評估數(shù)據(jù)安全現(xiàn)狀評估系統(tǒng)管理賬號/權(quán)限/認(rèn)證運行監(jiān)測系統(tǒng)配置/備份數(shù)據(jù)分類分級標(biāo)準(zhǔn)法律法規(guī)要求主管/監(jiān)管要求集團(tuán)監(jiān)管要求企業(yè)管理要求數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際數(shù)據(jù)安全態(tài)勢大屏數(shù)據(jù)安全處置跟蹤數(shù)據(jù)安全管控效果敏感數(shù)據(jù)分布態(tài)勢DLP數(shù)據(jù)安全管控安全數(shù)據(jù)共享識別安全風(fēng)險下發(fā)管控策略?

敏感類型?

發(fā)現(xiàn)規(guī)則?數(shù)據(jù)庫審計?

數(shù)據(jù)脫敏?

水印溯源?

數(shù)據(jù)安全風(fēng)險?周期性對比?5W1H構(gòu)建數(shù)據(jù)目錄?

位置信息?

標(biāo)簽信息?

數(shù)據(jù)流轉(zhuǎn)輸出檢查報告?

未脫敏數(shù)據(jù)?

未加密數(shù)據(jù)?日志敏感信息構(gòu)建

數(shù)據(jù)

目錄第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）步驟四

：敏感數(shù)據(jù)發(fā)現(xiàn)組件。

全面、快速、準(zhǔn)確發(fā)現(xiàn)和定位敏感數(shù)據(jù)

，構(gòu)建持續(xù)更新的企業(yè)敏感數(shù)據(jù)分類分級目錄。結(jié)合敏感數(shù)據(jù)目錄識別和量化數(shù)據(jù)安全風(fēng)險

，驅(qū)動數(shù)據(jù)安

全策略的落地

，為數(shù)據(jù)安全工作推進(jìn)提供抓手。明確數(shù)據(jù)對象敏感數(shù)據(jù)發(fā)現(xiàn)發(fā)現(xiàn)

敏感

數(shù)據(jù)高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年制定分類分級規(guī)范?

分類規(guī)范?

分級規(guī)范?

管控原則數(shù)據(jù)分類分級數(shù)據(jù)對象?

數(shù)據(jù)庫?

文件源?

文件服務(wù)器數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際步驟四：

水印溯源組件。

通過優(yōu)化數(shù)據(jù)對外分發(fā)流程

，管控數(shù)據(jù)外發(fā)行為。通過事前敏感數(shù)據(jù)發(fā)現(xiàn)、添加數(shù)據(jù)標(biāo)記、

自動生成水印、外發(fā)行為審計、數(shù)據(jù)源追溯等功能

，避免

數(shù)據(jù)濫用導(dǎo)致時間無法追溯的問題

，提高數(shù)據(jù)傳遞的安全性和可追溯能力。第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際業(yè)務(wù)側(cè)風(fēng)險監(jiān)測數(shù)據(jù)脫敏

數(shù)據(jù)水印

數(shù)據(jù)加密

DLP數(shù)據(jù)安全功能層對外數(shù)據(jù)接口監(jiān)測對外接口管理接口流量分析數(shù)據(jù)交互統(tǒng)計數(shù)據(jù)資源安全運營數(shù)據(jù)生命周期監(jiān)測數(shù)據(jù)采集過程監(jiān)測數(shù)據(jù)傳輸過程監(jiān)測數(shù)據(jù)存儲過程監(jiān)測數(shù)據(jù)使用過程監(jiān)測數(shù)據(jù)銷毀過程監(jiān)測數(shù)據(jù)安全監(jiān)測展示層數(shù)據(jù)安全策略運營數(shù)據(jù)安全事件運營統(tǒng)一認(rèn)證中心接口認(rèn)證平臺認(rèn)證接口

賬號接口違規(guī)監(jiān)測違規(guī)行為監(jiān)控和追

溯途徑監(jiān)測事件監(jiān)測能力分析模型系統(tǒng)日志接口數(shù)據(jù)預(yù)測模

型對外數(shù)據(jù)接口

風(fēng)險模型敏感數(shù)據(jù)訪問行

為序列模型數(shù)據(jù)安全風(fēng)險運營數(shù)據(jù)安全態(tài)勢數(shù)據(jù)風(fēng)險監(jiān)測視圖第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）審計系統(tǒng)日志接口審計系統(tǒng)安全日志審

計系統(tǒng)區(qū)塊鏈操作

日志審計系統(tǒng)步驟四

：數(shù)據(jù)安全監(jiān)測組件。

通過建立監(jiān)控及審計的工作機(jī)制

，有效防范不正當(dāng)?shù)臄?shù)據(jù)訪問和操作行為，

降低數(shù)據(jù)全生命周期未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)等安全風(fēng)險敏感數(shù)據(jù)分布視圖數(shù)據(jù)分布視圖數(shù)據(jù)安全策略視圖敏感數(shù)據(jù)事件視圖安全運維事件管理數(shù)據(jù)安全監(jiān)測指標(biāo)管理高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年b)

對數(shù)據(jù)接口

、

數(shù)據(jù)系統(tǒng)、數(shù)據(jù)設(shè)備等進(jìn)行畫像，通過算法模型檢測潛在的安全風(fēng)險和威脅

，并進(jìn)行可視化展示各類風(fēng)險和數(shù)據(jù)流動態(tài)勢。a)在各個關(guān)鍵節(jié)點

，通過安全設(shè)備、探針等檢測相關(guān)信息

，包括但不限于設(shè)備指紋、上網(wǎng)行為日志、管理平臺的審批日志、

業(yè)務(wù)操作日志、數(shù)據(jù)庫日志、流量日志。c)結(jié)合實時安全漏洞資訊、

錯報等信息對態(tài)勢感知平臺的底層規(guī)則進(jìn)行及時更新。數(shù)字化國際高峰論壇

2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際敏感數(shù)據(jù)訪問異

常檢測模型智能數(shù)據(jù)資產(chǎn)風(fēng)

險評價模型數(shù)據(jù)安全接口層。敏感接口登錄接口情景：弱密碼弱口令登錄訪問涉敏業(yè)務(wù)敏感業(yè)務(wù)

訪問身份鑒權(quán)賬號兼任使用檢測：在登錄時確認(rèn)該賬號歷史使用的源IP

，一般公司辦公網(wǎng)絡(luò)IP段相對固定；一旦同一

個源IP登錄了不同的賬號

，認(rèn)定為賬號兼任使用

，賬號異?；€異常檢測：針對該異常賬號

，進(jìn)行基線異常比對判斷；當(dāng)對下載接口批量拉取時

，超過了涉敏

過量/過頻基線值

，結(jié)合賬號兼任使用異常

，共同形成風(fēng)險預(yù)警；登錄接口脆弱性檢測：每次登錄時

，檢查登錄接口的Request

Body和url中是否存在明文密碼登錄的情況；檢查是否存在使用弱口令、弱密碼進(jìn)行登錄的情況；敏感數(shù)據(jù)訪問檢測：繼續(xù)對該弱口令賬號的業(yè)務(wù)訪問進(jìn)行涉敏檢查

，判斷涉敏訪問的敏感類型、敏感數(shù)據(jù)量；并評估對其他敏感業(yè)務(wù)的影響面惡意掃描檢測：情景：惡意探測與爬取敏感數(shù)據(jù)一般黑客滲透首先會對企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)進(jìn)行探測掃描

，作為滲透攻擊的預(yù)攻擊導(dǎo)致

針對敏感接口進(jìn)行爬蟲檢測

，一旦在一個周期內(nèi)

，既存在惡意掃描探測

，又有涉敏

爬取

，則黑客竊取涉敏數(shù)據(jù)可能性非常高；需要進(jìn)行主動預(yù)警處理黑客機(jī)器行為惡意

{

敏感接口

-

·

檢

：

別；出惡意掃描，再判斷是否為爬蟲爬取，便可高度定性惡意黑客行為測識爬蟲爬取兆性行為爬蟲爬取惡意探測基線異常檢測：正常情況下

，該業(yè)務(wù)人員涉敏數(shù)據(jù)訪問量基線相對平滑；某次專門針對下載接口批

量拉取時

，超過了過頻過量基線基準(zhǔn)值

，進(jìn)行風(fēng)險預(yù)警；通知安全人員及時處理第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇

2021年（第四屆）下載接口情景一：利用職務(wù)便利

，

自有賬號直接拉取下載接口批量拉取

敏感數(shù)據(jù)情景二：盜用/冒用他人賬號直接拉取登錄接口

——

身份鑒權(quán)批量拉取

敏感數(shù)據(jù)高峰論壇2021年（第四屆）電力信息通信新技術(shù)大會暨數(shù)字化國際高峰論壇2021年步驟四

：數(shù)據(jù)安全監(jiān)測場景示例：

業(yè)務(wù)接口常見脆弱性風(fēng)險內(nèi)鬼主動泄漏

高敏數(shù)據(jù)前臺被動

高敏數(shù)據(jù)