安全服务管理 安全技术管理 0 资产管理(生命周期管理) 0 资产管理(安全状态管理、价值管 理) 1 管理组织建设14 组织-安全运营管理部1 安全可视化15 应用安全态势 16 数据安全态势 3 安全流程管理16 组织-安全运营部3 脆弱性态势17 身份账号态势 4 人员安全管理17 组织-安全技术研究部4 横向攻击态势18 网络行为态势 5 安全建设管理18 组织-安全运维部5 安全事件态势19 用户行为态势 6 安全运维管理19 组织-基础设施安全运维6攻 击 态 势(攻 击 链 分 析) 7 安全培训管理20 组织-安全服务部7防 护 态 势(防 护 能 力 评 估)21 上网行为态势 8 安全运营管理21 组织-数据安全部8 威 胁 态 势(威 胁 情 报)22 邮件行为态势 9 安全咨询管理22 组织-安全合规部9 漏洞态势 23 终端安全态势 10 安全运营中心- L1(前台)23 组织-安全审计部10 内部威胁流量态势24 工控安全态势 11 安全运营中心- L2(平台)24 流程 –审核审批机制11 基线态势25 物联网安全态势 12 安全运营中心- L3(中台)25 流程-上报通报告警机制12 内部威胁行为态势26 云平台安全态势 13 安全运营中心- L4(中心)26 流程-应急处置机制13 合规风险态势27 大数据安全态势 核心思想： 以资产管理为基础、以合规管控为底线、以 风险管理为依据、以安全治理为手段、以安全保护为目标 安全运营管理 0 资产管理(存活与离线管理) 1 互联网资产发现15 威胁情报预警业务战略 运营战略 IT战略 IS战略数据安全管理 ◆战略管 理 安全方针 安全政策 安全目标 15 组织-专家委员会 20 数据行为态势2 资 产 态 势(价 值 风 险 分析) 2安全制度管理 28 风险咨询25 合规测评认证24 业务连续性管理 14 安全产品运行维护10 安全流量风险分析 11 应用失陷检测 28 风险管理26 合规自查 12 安全事件及态势监测 13 安全策略优化21 终端安全监控 7 安全事件分析18 重大事件通告机制17 重点时期安全检查16 漏洞生命周期管理 20 应用安全监控4 安全审计分析 6 系统上线安全检查3 安全运维管理2 基线评估加强 22 网络安全监控 2 3 数据 安 全管 理(备份)19 数据安全监控 9 安全应急响应处置5 安全服务交付成果分析 8 重点时期攻防演练 14 补丁缺失态势安全策略 日常安全检测扫描和风险 识别数据安全合规评估风险评估数据资产发现和管理 日常安全风险报告及处置数据分级分类管理 攻防演练和对抗数据安全策略和建模管理 数据安全风险监测审计及 应急 数据内部共享 数据外部流转 数据安全流通 数据安全运营体系 日常数据生产安全管理 数据连续性和灾备 数据安全合规体系数据应用场景生产办公运维开发测试 数据出境数据安全管理体系 数据安全规范 和操作流程 合规分析及持续改进 主机服务器安全 记录和表单文件数据安全举报投诉管理 管理平台 数据 安全 技术 体系 基础平台 “合规和安全双驱动“数据安全整 体防护体系数据安全管理 ◆战略管理—全局 图 PKI(公钥基础设施) 数据脱敏数据防泄漏收集存储使用加工传输提供公开销毁 供应链安全管理数据安全 考核评价监管数据上报管理数据隐私计算数据接口安全数据审计 IAM(身份识别和 访问管理平台) 数据安全组织体系 数据监管合规 数据安全防护 能力 子系统数据安全 三大目标 数据安全管理制度企业数据 安全总体策略国家法律法规 及监管政策 数据加 密平台数据安全风险监测平台 数据安全合规能力建设 数据安全合规检查法规及监管政策 跟踪解 读 合规工作规 划和任务分 解 数据安全合规评估数据安全共享和流通平台数据安全监管合规平台 数据安全 教育与培训第三方安全管理 数据安全组织 结构建立 数据安全管控平台 数据分级分类平台 基础安全能力 数据水印数据溯源 数据生命周期 应用安全 物理安全 终端安全 网络安全 云安全 数据生命周期安全管控 数据采集 数据 传输 数据存 储 数据 使用 数据共享 数据 销 毁 根据对威胁 源、攻击方 式、数据 资产、 业务风险 的识别，制定数据安全策略 数据确权管理 数据安全管理 ①整数据安全策 略 业务需求和数据安全风险、合规 性之间达到平衡 应用数据 审计 数据优先级 数据资产梳理 确定数据安全策略 数据库 审计数据 分类分级数据 脱敏终端数据 防泄漏数据 加密网络数据 防泄漏 行为分析、告警、报 告 阻断、脱敏、 隔离、令牌数据发现、分类分级 用户权限评估、监视 行为监视、审计 数据安全策略管理风险容忍度 业务战略 合规 支撑工具 数据安全策略技 术 安全策略 执行管 理 行为监视 分享 存储DLP 数据脱敏 敏感标记 数据行为分析、 异常行为 监控 敏感数据追踪、数据泄 露溯源 敏感数据审计敏感数据管理系统 安全管理 数 据 资 产 安 全 管 控 体 系身份权限设置策略 数据风险管理策略 生命周期安全策略 安全监测评 估策略 检测评估 保密检查 隐私检查 敏感检测 风险评估 动态审计 态势研判安全服务 合规检查 安全运维 应急响应 渗透测试 专家分析 安全培训 数据技术 数据梳理 分类分级 数据 抽取 数据识别 数据标记 数据加 解密 数据安全管理 ②数据资产管理 落 地 技 术 措 施涉密监控 隐私监控 敏感监控文档安全管理系统 数据分级防护策 略 安全组织机构 安全管理制度安全策略 数据销毁 终端DLP 敏感检查 敏感检查 数据鉴权 终端 DLP 网络 DLP 传输销毁 采集 存储使用 汇聚 数据资产等保合规性 系统脆弱性 入侵威胁 敏感信息泄露 系统配置 漏洞 攻击、 刺探 重要数据 安全配置 权限、验证 间谍病毒木马 敏感数据 安全运维监控 弱口令弱加密 恶意邮件 个人信息 安全应急 措施 路径紊乱 恶意域名 违法信息 数据安全管理 ③数据资产安 全评估 信息收集 漏洞扫描 验证 权限、验证 假冒伪造 弱口令 撞库、钓鱼 钓鱼热点安全检查 监督抽查/专项检查 接口调用 任意跳转 乱搭乱建 安全域隔离 弱加密 数据一致性 入侵痕迹 重要数据保护 个人信息保护 安全机 构设置 安全监控 安全应急 措施 系统等级认定 安全标 准执行 等级保护 落实 安全运维 备份与 恢复 恶意邮件 web应用攻 击 恶意域名 异常流量 敏感信息泄露 信息刺探行为 漏洞利用攻击 间谍软件 病毒蠕虫 木马后门 主动技术检测 安全风险评估 病毒攻击防范 注册日志记录 违法信息拦截 等保合规性 安全应急 措施 风险评估管控信息基础设施风险评 估 涉密检查 保密检查 设备资产 保密数据泄漏 保密数据泄 露 被动技术监测 合规检查 1、账号认证方 式不合理 2、账号弱密码 3、账号 明文密码传输 4、账号单 因素认证 5、单IP多账号风险 6、账号 借盗用风险 7、账号 撞库风险 8、 账 号 密码爆破 1、无授权访问风险 2、水平越权风险 3、垂直越权风险 4、权限滥用 1、高敏数据 暴露面 2、敏感数据伪脱敏暴露 3、敏感数据漏脱敏 暴露 4、单次请求敏感数据过多风险 5、多类型敏感数据透出风险 1、IP获取数据量 异常风险 2、IP访问频次异常风险 3、非工作时 间数据访问量异常风 险 4、数据资产 遍历访问风险 5、数据 访问后门风险 6、数据 爬虫风险 1、敏感数据从国内流向境外风险 2、敏感数据从生产流向测试风险 3、敏感数据从内网流向公网风险 数据 泄露 数据 窃取 数据 篡改 非法 使用 数据权限风险 暴露面风险 数据行为风险 数据流向风险 评测 内容 数据安全管理 ③数据资产安全评 估 数据 API 系统 APP 服务 云端数据账号风险 业务 系统交换 敏感数据检测 合规性检测 API监 测与 审计 数字水印 安全 下载与分发 销毁 销毁审计 销毁授权监控数 据 安 全 制 度 规 范 数据动 静态脱敏 存储 细粒度访问控制 数据资产识别 大数据基线检测 高危操作告警 数据 结构体变更 处理 多方安全计算 开发运维监控 动态脱敏 水印溯源 采集 数据分类分级 采集接口认证 数据加密 完整性保护一体化数据安全管控体系 态势感知、资产中心、告警中心、能力中心、运 营中心) 传输 流动性监控 数据脱敏 敏感数据发现 身份 鉴别 数 据 安 全 技 术 体 系访问控制(含零信任) 数据安全评估工具数据安全管理 ④ 数据安全管控体 系 数据安全运营监 管服务保障在采集、存储、传输、使用、共享和 销毁等全生命周期 的各环节数据安 全 数据 库、主机、应用、终端、安全 设备 基础设施 出口审 计 系 统(API) 数据安全网关 大数据平台组件安全检测 安全组织 数据操作安全监管 全面资产管理 安全运营监管报告数据出 口安全监管 安全风险评估