m o DTTACK:以数据为中心的安全技术框架 .c 5 b u h t i ——数据安全新框架、新战法g 分享人:炼石网络创始人、CEO 白小勇 01 数据安全新框架 02 数据安全新战法 03 关于我们 5 b u h git m o .c “风险与合规”共同驱动数据安全建设 2 20 1年 2 20 2亿条中国公民数据在暗网被公开 售卖 20 年 21 • 《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求数据安 全 • 《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》 明确提出:保障国家数据安全,加强个人信息保护 om 2元可买70张 明星素颜健康码照片被售卖 20 数据集约20GB 日产北美公司源代码泄露 国家顶层规划 0年 年 20 多法共治 .c 5 b u h git 5.38亿条数据,0.177 比特币 新浪微博数据泄露 密码三规一条例 20 年 21 20 年 19 商用密码管理条 例 (修订草案征求意见稿) 农业银行被处罚420万 银保监会1号罚单 脸书被罚款50亿美元 股价暴跌 国办发〔2019〕57号 公网安〔2020]1960号 等保2.0 商用密码管理条例 《数据安全法》在关联法律体系中的位置 《国家安全法》 《民法典》 2015年7月1日通过并实施 维护国家总体安全的基本法律 2021年1月1日起施行 提出自然人的个人信息受法律保护 《网络安全法》 《数据安全法》 2017年6月1日起施行 2021年9月1日正式施行 提升国家数据安全保障能力 规定网络安全治理道路 m o .c 核心数据严格管理 b5 重要数据风险评估 网络信息安全 内容控制 网络运行安全 等级保护 安全风险处置 网络实名制 网络产品/服务 关键信息基础设施 u h git 分级分类 《密码法》 2020年1月1日起施行,提出数据保护技术手段 配合调取数据 《个人信息保护法(草案)》 加速个人信息法制化进程 数据交易中介 跨境 特殊类型数据 汽车数据 数据本地化与跨境 健康医疗数据 网络安全审查和供应链安全 测绘数据 …… 敏感个人信息 儿童个人信息 权利响应 国家法律法规明确要求保护重要数据和个人信息 《网络安全法》 《密码法》 等保 商用密码管理条例 《数据安全法》 第二十七条 开展数据处理活动应当 第二十一条 国家实行网络安全等级保 二十七条 法律、行政法规和国家有关 护制度。 规定要求使用商用密码进行保护的关 键信息基础设施,其运营者应当使用 其安全保护义务第4条明确采取数据分 商用密码进行保护。关键信息基础设 类、重要数据备份和加密等措施。 施运营者,应当自行或者委托商用密 依照法律、法规的规定,建立健全全 m o .c 流程数据安全管理制度,组织开展数 施和其他必要措施,保障数据安全。 b5 利用互联网等信息网络开展数据处理 活动,应当在网络安全等级保护制度 的基础上,履行上述数据安全保护义 着力在构建自主可控信息技术体系中推进密码优先发展,构建以密码技术为 核心、多种技术相互融合的新网络安全体系,建设以密码基础设施为支撑的 国密既是信创的重要组成部分,又为信创提供安全保障 第六十五条 有前款规定的违法行为,情 节严重的,由履行个人信息保护职责的 部门责令改正,没收违法所得,并处 五千万元以下或者上一年度营业额百 行业安全合规 • 《国家政务信息化项目建设管理办法》提出政务信息化项目“同步规划、同 步建设、同步运行密码保障系统并定期进行评估”的要求 • 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导 意见》(公网安〔2020〕1960号)对等保三级以上系统、关键信息础设施 新网络安全环境。 • 去标识化等安全技术措施; 分之五以下罚款…… 务。 信创 • 第五十一条第三款 采取相应的加密、 据安全教育培训,采取相应的技术措 u h git 码检测机构开展商用密码应用安全性 评估。 《个人信息保护法(草案)》 明确密码应用要求 • 《关键信息基础设施安全保护条例》(征求意见稿)要求关键信息基础设施 中的密码使用和管理,应当遵守密码法律、行政法规的规定 回顾经典网络安全攻击模型:MITRE.ATT&CK 14个战术,205个技术,573个流程 战术(初始访问) 技术 m o .c 5 b u h git 流程 备注:本页为ATT&CK企业版矩阵 转向聚焦以数据为中心的安全建设思路 以数据为中心的安全 安全防护重点从边界防御, 转向保护数据和应用! 数据态势 —————— 美国《国防部云战略》白皮书 2019年2月4日 解密细控 沙箱检测 泄露检测 零信任网络 数据审计 终端管控 SIEM 数据鉴权 移动安全 VPN 通信加密 5 b u h git 端点安全 存储加密 反病毒 m o .c IDS • 防火墙 边界访问。不幸的是,这种防护模型在数据被远程访 身份鉴别 密级标识 数据分类 历史上,信息安全一直聚焦在边界防御:限制网络 以网 中 络为 心的 安全 问和共享的云环境遇到挑战… • 国防部将安全从边界防御,转向聚焦保护数据和服 务。首先通过对人员和设备的强身份验证、数据在存储 和传输中的安全加密机制… 网络与数据并重的新安全建设理念 DTTACK:以数据为中心的战术、技术和通用知识 • Data-centric Tactics, Techniques And Common Knowledge(简称DTTACK ),以数 据为中心的战术、技术和通用知识 • DTTACK不是网络、服务器或应用程序的安全性模 型,而是强调数据本身安全性的安全性模型,是以 数据为中心的安全防护战术技术框架,重视从业务 风险映射视角列举数据保护需求 • DTTACK模型可以为信息化建设、企业业务架构设 计提供数据安全能力参考,可基于DTTACK打造数 据安全方案 规划 5 b u 建设 th gi 运维 m o .c 参考IPDR2和安全滑动标尺模型的结构 NIST模型 安全滑动标尺 m o .c 5 b u h git NIST 滑动 标尺 I.识别 P.防护 纵深防御 基础结构安全 D.检测 R.响应 态势感知与积极防御 R.恢复 威胁情报 C.攻击与反制 体系化整理数据安全技术框架 I.识别 P.防护 D.检测 主动嗅探 数据源发现 数据资产识别 应用内集成加密SDK 流量监测 应用级存储加密技术 APT检测 数据库级存储加密技术 DB-Proxy数据库代理加密 数据库UDF集成加密SDK 数据库外挂加密 TDE透明数据加密 文件级存储加密技术 TFE透明文件加密 UEBA FDE全磁盘加密 业务风控 数据加密技术 磁盘级存储加密技术 文字识别 图片识别 语音识别 自加密大规模存储 PGP邮件加密 S/MINE邮件加密 离线通信消息传输加密技术 合规性分析 Signal/OTR聊天加密 …… 敏感性分析 自动化工具 人工辅助 标记字段法 元数据映射表法 数字水印法 数据脱敏技术 隐私计算技术 动态脱敏技术 静态脱敏技术 可信执行环境 密码学应用 数据访问治理 高级安全分析 文件分析 TLS 解密平台 访问控制 b u h t i g …… om 动态风险评估 安全影响分析 内部合规 外部攻击 账号行为审计 应用数据审计 安全审计 数据流转审计 网络设备增强模式/网关增强模 式/代理增强模式 以数据为中心的审计和 保护工具 以文件为中心的审计和 保护 数据库审计和保护 事件处理 DFI 系统日志 应急响应 事件还原(2) 流量分析(3) 流量限制 一键封堵 端口关停 应急恢复 设备被盗应急 R.恢复 文件备份 数据备份 云灾备 C.反制 备份软件 融合备份 图像水印(2) 媒体水印(2) 水印 备份软件 数据库水印(3) 融合备份 系统应用 文件程序 配置参数 屏幕水印(2) 权限流转 权限迁移 签名验证 溯源 版权 企业数字版权管理 技术 子技术 安全设备 应用日志 异常访问监测 (2) DCAP FCAP DAP EDRM 安全事件溯源 网络设备 安全事件分析 无口令认证 网络访问控制 DPI 5.c 口令认证技术 身份认证技术 安全事件发现 网络流量分析 流量监测 应用级/接口级/网关级/数据库级 接口级/网关级/数据库级 安全多方计算/同态加密/零知识 证明/联邦学习 R.响应 欺诈检测 关键字 正则表达式 基于文件属性识别 精确数据比对 (EDM) 数据内容识别 数据资产打标 威胁检测 AOE面向切面加密 指纹文档比对 (IDM) 数据分类分级 CASB代理网关加密 接口扫描 向量分类比对 (SVM) 数据资产处理与分析 战术 已收录6个战术、36个技术、 116个子技术、86个方法 方法 网络与数据并重的新安全建设 以数据保护为中心 m o .c 相互关联、依赖、演进 5 b u h git 电信和互联网行业数据安全标准体系建设指南 中国银保监会监管数据安全管理办法(试行) • 《民用航空旅客服务信息系统信息安全保护 规范》《交通运输行业网络安全等级保护基本要求》…… • 《国家健康医疗大数据标准、安全和服务管理办法(试行)》《关于印发全国医院信息化建设标准与规范(试行) 的通知》…… • 以网络攻防为中心 《工业控制系统安全检查指南》《工业控制系统安全管理基本要求》《工业控制系统信息安全分级规范》…… 安全防护重点从边界防御, 转向保护数据和应用! —————— 美国《国防部云战略》白皮书 2019年2月4日 01 数据安全新框架 02 数据安全新战法 03 关于我们 5 b u h git m o .c 面向失效的数据安全设计 I.识别 安 全 能 力 P.防护 态 传 5 b u h git Sa /业 aS Pa D.检测 R.响应 R.恢复 C.反制 m o .c 输 态 储 存 使 用 态 数据形态 Ia a 务 应 平 S/ /基 aS 础 用 台 设 施 技 术 栈 • 基于面向失效的原则 • 构建出有效的数据防护纵深 • 纵深协同,而非纵深
炼石 以数据为中心的安全技术框架
文档预览
中文文档
30 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共30页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-06-17 06:15:17上传分享