LEADING NEW DATA SECURITY 多云环境下的数据安全协同保护 LEADING NEW DATA SECURITY www.mchz.com.cn MeiChuang Confidential 1 联系我们：400-711-8011 云计算在中国蓬勃发展 LEADING NEW DATA SECURITY 电子政务云建设 百万企业上云 n 《国家电子政务“十二五”规划》 n 《国家电子政务总体方案》 2018年，工信部《推动企业上云实施指南(2018-2020 n 《“十三五”政务信 息化工程建设规划》 年)》提出到2020年，全国新增上云企业100万家。 “十万企业上云” 30个省级行政区建有政务云或完成招标 截止2017年 全国334 个地级行政区 235个建有政务云或完成招标 数据来源： 《中国政务云发展白皮书 2018》 浙江 广东 上海 《中国云计算产业发展白皮书》数据显示：我国云计算产业2023年规模将超3000亿元。 www.mchz.com.cn MeiChuang Confidential 2 联系我们：400-711-8011 等等 LEADING NEW DATA SECURITY 01.云上数据安全管理难点 02.云上数据安全保护之道 03.美创云上数据保护实践 www.mchz.com.cn MeiChuang Confidential 3 联系我们：400-711-8011 从安全事件看云上数据安全 LEADING NEW DATA SECURITY • GoDaddy在亚马逊AWS云上运行的基础配置和价格文件被泄露； • 前沿数控放在腾讯云服务器上的数据全部丢失，带来灾难性损失； • 美国AgentRun公司在Amazon S3存储的成千上万保单持有人 2018.05 2018.08 • 美国茶党爱国者公民基金（TPPCF）存储 2018.10 的个人敏感信息被泄露； 在亚马逊S3存储上的包括全名和电话号码 在内的52.7万选民的个人敏感数据被泄露； • 巴西圣保罗州工业联合会（FIESP）编 制的包括姓名、身份证号码、完整地址、 2018.11 2019.07 • 美国Capital One数据存储在 AWS的自 2005 年开始申请 电子邮箱地址、电话号码等1亿8千多万 Capital One 信用卡的客户数 条个人信息记录被泄露； 据被泄露，涉及数据包含约 1 www.mchz.com.cn MeiChuang Confidential 亿美国人和 600 万加拿大人。 4 联系我们：400-711-8011 从多云协作看云上数据安全 LEADING NEW DATA SECURITY Enterprise Cloud Strategy 1000+ Employees Single public Single private 9% Multiple private 17% Multiple public 58% Hybrid cloud Multi-Cloud 10% 84% 3% 3% No plans Source: RightScale 2019 state of the Cloud Report from Flexera www.mchz.com.cn MeiChuang Confidential 5 联系我们：400-711-8011 数据泄露总是最先出现在最薄弱的环节。 从安全监管看云上数据安全 国际接轨 立法保障 要求数据处理员为违规和不遵守规定的 已颁布： 《中华人民共和国网络安全法》 行为负责： Ø 也就是说即便是云平台的责任，云租 户也可能会同时受到处罚。 www.mchz.com.cn MeiChuang Confidential 6 LEADING NEW DATA SECURITY 1）明确提出从数据资产端来看安全： Ø 31次提到“重要数据”； Ø 22次提到“个人信息”； Ø 6次提到“敏感数据” 2）标准要求中单独对云计算安全做除了具体 的要求； 联系我们：400-711-8011 进行中（草案）： 《中华人民共和国数据安全法》 云上数据安全管理的五大挑战 LEADING NEW DATA SECURITY 02.运维安全 04.多云管理 运维常常游离于管理 安全管理往往面临多 外，“上帝之手” 云环境的复杂环境 …… …… 01.开放环境 03.完整保护 05.安全治理 云环境通常是一个 过度依赖云自身机 云上隐含大量而未被 开放的非安全环境 制而忽略数据完整 发现的敏感数据 …… 性保护 …… …… www.mchz.com.cn MeiChuang Confidential 7 联系我们：400-711-8011 多云环境数据安全管理的难点 LEADING NEW DATA SECURITY 业务环境不统一 安全能力不统一 安全管理不统一 各类业务分别部署在不同的公有云和私有 云中，极大增加了架构和环境的复杂性 每个公有云服务商所提供的安全能力差异 较大，及私有云对安全能力的要求 因多云业务的环境复杂性和安全能力的不 统一性，导致安全管理上无法统一 www.mchz.com.cn MeiChuang Confidential 8 联系我们：400-711-8011 LEADING NEW DATA SECURITY 云上数据安全保护刻不容缓 www.mchz.com.cn MeiChuang Confidential 9 联系我们：400-711-8011 LEADING NEW DATA SECURITY 01.云上数据安全管理难点 02.云上数据安全保护之道 03.美创云上数据保护实践 www.mchz.com.cn MeiChuang Confidential 10 联系我们：400-711-8011 协同保护首先需要统一指导思想 LEADING NEW DATA SECURITY 零信任安全体系 不自动信任内部/外部的任何人、事、物 原则1 灯下黑 原则2 与狼共舞 关闭缺省、默认、不必要的服务、 账号、端口、密码等，在互联网扫 描中，让用户系统成为隐形战斗机。 原则3 不阻断无安全 明确数据保护目标，以身份为基础， 实现身份、行为和上下文的认证、授 权和加密，形成由内而外的层次防御。 数据安全的特性是一次事故、永久 丢失，数据安全防御模式是必须以 阻断为基础的。 原则4 知白守黑 根据现有账号、操作、行为、习惯、 策略，形成阻断防御模型，以此为 模型，抵御一切不受信任的访问。 五大安全抓手 数据使用 安全技术 www.mchz.com.cn MeiChuang Confidential 数据存储 安全技术 11 联系我们：400-711-8011 数据交换 安全技术 数据运维 安全技术 数据安全 审计技术 云上数据安全管理体系设计 全局安全管理 LEADING NEW DATA SECURITY 全局安全监测 在线安全运维 数据运维安全保护 安全保护体系 数据业务安全保护 数据 安全 审计 统一数据灾备保护 数据安全治理 www.mchz.com.cn MeiChuang Confidential 敏感数据发现 12 联系我们：400-711-8011 数据分级分类 云上数据梳理 数据 合规 安全 多云环境数据安全管理的核心能力 LEADING NEW DATA SECURITY 安全统一管理 实现所有安全节点的统一管理 异构环境支持 风险统一可视 支持跨多种平台和类型的云环境 实现安全风险的统一分析和可视 www.mchz.com.cn MeiChuang Confidential 13 联系我们：400-711-8011 LEADING NEW DATA SECURITY 01.云上数据安全管理难点 02.云上数据安全保护之道 03.美创云上数据保护实践 www.mchz.com.cn MeiChuang Confidential 14 联系我们：400-711-8011 美创云上数据安全保护方案 LEADING NEW DATA SECURITY 风险的统一可视 • 通过可视化实现风险全局可视，开展“空中预警”，降低因多云环境的数据 空 泄露而造成的损失。我们这将是云上数据安全保护不可或缺的重要环节。 丰富的安全保护措施 • 基于15年丰富的数据安全经验，通过身份鉴别、准入控制、高危操 陆 作阻断、数据安全治理、数据安全审计和数据备份与恢复等等一系 列安全保护措施，实现对云上数据进行多重防护。 安全的统一管理 海 • 通过安全管理中心，将所有的数据安全相关防护应用和系统实现统一管理， 构建云上数据安全的指挥系统，让防护状态时刻处于掌握之中。 www.mchz.com.cn MeiChuang Confidential 15 联系我们：400-711-8011 美创云上数据安全保护方案 LEADING NEW DATA SECURITY 立体 保护 主动 运维 风险 可视 安全 可控 www.mchz.com.cn MeiChuang Confidential 16 联系我们：400-711-8011 数据安全实时风险感知平台 www.mchz.com.cn MeiChuang Confidential 17 联系我们：400-711-8011 LEADING NEW DATA SECURITY 美创云数据安全实践的四个关键点 www.mchz.com.cn LEADING NEW DATA SECURITY 进不来 拿不走 用不了 坏不了 拒绝非法访问 …… …… 防止数据泄漏 …… …… 数据加密保护 …… …… 高危操作阻断 数据备份保护 …… …… MeiChuang Confidential 18 联系我们：400-711-8011 进不来 LEADING NEW DATA SECURITY 基于多维认证的身份鉴别技术，统一身份鉴别和管理，让准入更合规有效。 通过对访问数据的账户、应用程序、客户端、主机、IP地址、MAC地址、登陆时间、操作行为等相关信息，采用多因子认证方式进行准确 的身份识别，防止非法人员