m o c . 5 绿盟数据安全白皮书 2.0 ■ 文档编号 ■ 版本编号 b u h t i g ■ 密级 ■ 日期 完全公开 2020 年 3 月 16 日 © 2020 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿 盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方 式复制或引用本文的任何片断。 m o c . 5 b u h t i g ■ 适用性声明 本模板用于撰写绿盟科技内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档 使用。 目录 引言 ........................................................................................................................................................... 1 一. 数据安全概览 ..................................................................................................................................... 2 1.1 数据安全建设工作难点 ................................................................................................................. 2 1.1.1 企业的数据安全体系建设不完善 ......................................................................................... 2 1.1.2 数据安全体系建设目标模糊、建设步骤不清晰 .................................................................. 3 1.2 数据安全整体架构 ......................................................................................................................... 3 二. 数据安全体系建设的步骤 ................................................................................................................ 5 m o c . 5 2.1 业务数据梳理 ................................................................................................................................. 6 2.2 敏感数据的定义与识别 ................................................................................................................. 6 2.3 数据全生存周期安全风险评估 ..................................................................................................... 7 2.4 数据安全纵深防护 ......................................................................................................................... 8 2.5 敏感数据监察分析 ......................................................................................................................... 9 2.6 优化改进与持续运营 ..................................................................................................................... 9 b u 三. 数据安全新技术 ................................................................................................................................. 9 3.1 数据脱敏后的效果评估技术 ....................................................................................................... 10 h t i g 3.2 数据发布/挖掘下的隐私保护技术.............................................................................................. 10 3.3 不可信环境下的安全计算技术 ................................................................................................... 10 四. 总结 .................................................................................................................................................. 11 -I- 插图索引 图 1.1 绿盟科技数据安全建设体系顶层设计 ....................................................................................... 4 图 2.1 GARTNER《HOW TO USE THE DATA SECURITY GOVERNANCE FRAMEWORK》........................... 5 图 2.2 绿盟科技数据安全方法论 ........................................................................................................... 5 图 2.3 数据生存周期安全风险评估 ....................................................................................................... 7 b u m o c . 5 h t i g - II - 绿盟数据安全白皮书 引言 我国于 2017 年 6 月 1 日正式施行《中华人民共和国网络安全法》，规定了网络运营者对 其收集的公民个人信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。 个人信息安全得到真正的法律保护，从此确立了公民个人信息保护的基本法律制度，促进经济 社会信息化健康发展。 m o c . 5 依据《中华人民共和国网络安全法》第三十一条，阐明了保护范围是国家对公共通信和信 息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭 到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基 础设施。保护方法为在网络安全等级保护制度的基础上，实施重点保护。重点保护的对象及关 b u 键信息基础设施，包括设施保护、数据保护、产品和服务保护，而数据保护的对象为“个人信 息”与“重要数据”。 h t i g 以《中华人民共和国网络安全法》为核心，我国就数据安全依法出台多项新政策，就包括 已提请审议草案的《数据安全法》，对外征求意见的《数据安全管理办法》《个人信息出境安 全评估办法》，已发布的有《信息安全技术个人信息安全规范》 《儿童个人信息网络保护规定》 《网络安全等级保护制度》 2.0，所有新政的数据保护核心对象依然都是“个人信息”和“重 要数据”。 从上述内容可以看出国家在数据安全保护层面的力度，以及对数据安全保护的重视。 © 2020 绿盟科技 -1- 密级：完全公开 绿盟数据安全白皮书 一. 数据安全概览 一直以来，我国政府积极探索和研究云计算在电子政务中的应用，也鼓励党政部门使用云 计算进行服务模式创新，并开展了一系列试点示范工作。现在，政务云已经在全国范围内建设 和普及，为我国政府进行职能转变，构建为民务实高效政府，落实厉行节约工作，发挥了积极 作用。目前，我国电子政务进入了改革的深水区，正在加快落实“互联网+政务服务”，数据 交换和信息共享已经是信息化建设重点，各领域的政务信息系统和政务数据、公民个人信息， m o c . 5 已经或正在迁移至政务云平台上，加强网络和信息安全保护工作已经成为必然，其中数据安全 是重中之重。 1.1 数据安全建设工作难点 b u 随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展，网络边界被不断 h t i g 打破，数字双生、敏捷创新、安全合规驱动快速转型，社会和企业都在面临数字化的转型带来 的数据安全风险。 近年来数据泄露的安全事件频发，国家和机构对数据安全的重视程度不断提高，数据安全 已经与关键信息基础设施一并成为影响国家稳定、民生安全及社会安全的关键因素。 1.1.1 企业的数据安全体系建设不完善  传统信息安全体系无法保护数据安全：有别与传统信息安全防护体系，由于数据安 全防护体系将保护对象聚焦在“数据资产”这样的无形资产上，数据资产的机密 性、完整性以及可用性与硬件资产存在着巨大差别，这导致传统信息安全防护体系 通