數(shù)據(jù)安全法案例分析

數(shù)據(jù)安全法案例分析6月10日,《中華人民共和國數(shù)據(jù)安全法》正式頒發(fā),自9月1日起施行?！稊?shù)據(jù)安全法》重要從數(shù)據(jù)安全與發(fā)展并重、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)的安全與開放、法律責(zé)任等方面做了權(quán)責(zé)規(guī)定。我們劃出了與公司、組織機(jī)構(gòu)數(shù)據(jù)安全工作緊密有關(guān)的8個(gè)核心核心詞,并整頓阿里云數(shù)據(jù)保護(hù)能力、政企單位數(shù)據(jù)安全成熟度模型和9個(gè)典型的云上數(shù)據(jù)安全建設(shè)場(chǎng)景,一起探討最佳數(shù)據(jù)安全實(shí)踐。公司應(yīng)關(guān)心的8個(gè)核心詞數(shù)據(jù)分類分級(jí)國家會(huì)建立數(shù)據(jù)分類分級(jí)制度,各地區(qū)、各部門對(duì)列入重要數(shù)據(jù)具體目錄的數(shù)據(jù)要進(jìn)行重點(diǎn)保護(hù)。風(fēng)險(xiǎn)監(jiān)測(cè)組織機(jī)構(gòu)要加強(qiáng)風(fēng)險(xiǎn)檢測(cè),發(fā)現(xiàn)數(shù)據(jù)安全缺點(diǎn)、漏洞等風(fēng)險(xiǎn)時(shí),立刻補(bǔ)救;發(fā)生數(shù)據(jù)安全事件時(shí),立刻采用處置方法及時(shí)告知顧客并向有關(guān)主管部門報(bào)告。風(fēng)險(xiǎn)評(píng)定重要數(shù)據(jù)的解決者應(yīng)當(dāng)定時(shí)開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)定,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)定報(bào)告。數(shù)據(jù)出境核心信息基礎(chǔ)設(shè)施運(yùn)行者的重要數(shù)據(jù)出境遵照《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定;其它數(shù)據(jù)解決者的數(shù)據(jù)出境管理方法由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制訂。數(shù)據(jù)調(diào)取數(shù)據(jù)調(diào)取需按照國家規(guī)定,通過嚴(yán)格同意手續(xù),依法進(jìn)行;境外機(jī)構(gòu)調(diào)取數(shù)據(jù)非經(jīng)同意,不得提供。數(shù)據(jù)交易中介服務(wù)在提供交易中介服務(wù)時(shí),應(yīng)當(dāng)規(guī)定數(shù)據(jù)提供方闡明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易統(tǒng)計(jì)。安全與發(fā)展并重堅(jiān)持保障數(shù)據(jù)安全與增進(jìn)數(shù)據(jù)開發(fā)運(yùn)用并重,激勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用,激勵(lì)數(shù)據(jù)開發(fā)運(yùn)用和安全技術(shù)的發(fā)展等。政務(wù)數(shù)據(jù)安全與開放大力推動(dòng)電子政務(wù)建設(shè),同時(shí)要建立健全數(shù)據(jù)安全管理制度。阿里云原生數(shù)據(jù)保護(hù):5大場(chǎng)景+17個(gè)核心能力阿里云為客戶提供覆蓋高等級(jí)硬件安全、數(shù)據(jù)加密、數(shù)據(jù)治理、數(shù)據(jù)合理正當(dāng)?shù)陌踩鉀Q、數(shù)據(jù)防泄漏5大場(chǎng)景17個(gè)核心能力項(xiàng),協(xié)助公司構(gòu)建全鏈路數(shù)據(jù)安全防護(hù)力,致力于通過將安全能力融入基礎(chǔ)設(shè)施,讓安全化繁為簡(jiǎn)(具體內(nèi)容可點(diǎn)擊《阿里云數(shù)據(jù)安全能力全景圖公布:云讓數(shù)據(jù)安全化繁為簡(jiǎn)》)政企單位數(shù)據(jù)安全成熟度模型在政務(wù)數(shù)據(jù)安全方面,阿里云基于法律法規(guī)及實(shí)際業(yè)務(wù)生產(chǎn)關(guān)系,提供數(shù)據(jù)安全咨詢、DSMM原則評(píng)定等一系列服務(wù),協(xié)助顧客厘清本身數(shù)據(jù)安全現(xiàn)狀,從組織架構(gòu)、流程制度、人員能力、技術(shù)工具等方面多管齊下,建立健全數(shù)據(jù)安全管理制度。9個(gè)典型場(chǎng)景與實(shí)踐基于阿里云服務(wù)諸多客戶實(shí)踐,我們梳理了數(shù)據(jù)安全工作的典型場(chǎng)景和實(shí)踐,為公司組織在做好本身數(shù)據(jù)安全工作時(shí)提供參考。場(chǎng)景一:數(shù)據(jù)安全治理某國內(nèi)大型航空公司該客戶云上面臨的問題是數(shù)據(jù)分布復(fù)雜,數(shù)據(jù)資產(chǎn)不明確,潛在風(fēng)險(xiǎn)不透明,業(yè)務(wù)與安全割裂,因此但愿對(duì)數(shù)據(jù)進(jìn)行長(zhǎng)久可持續(xù)的數(shù)據(jù)安全治理。基于數(shù)據(jù)安全中心,客戶通過一種平臺(tái)實(shí)現(xiàn)了對(duì)云上全域數(shù)據(jù)治理覆蓋,做到安全無盲區(qū),治理工作效果提高5倍;同時(shí),治理成果通過API方式與業(yè)務(wù)系統(tǒng)集成(DataSecOps),減少業(yè)務(wù)側(cè)引發(fā)數(shù)據(jù)安全泄漏的風(fēng)險(xiǎn)。場(chǎng)景二:敏感數(shù)據(jù)使用與防泄漏某全球出名零售商該客戶有大量數(shù)據(jù),脫敏任務(wù)量大,需要支持csv文獻(xiàn)類的脫敏能力,并且能夠根據(jù)字段進(jìn)行自適應(yīng)的脫敏任務(wù)。借助數(shù)據(jù)安全中心,客戶通過一次定義脫敏模板,實(shí)現(xiàn)針對(duì)csv文獻(xiàn)中敏感數(shù)據(jù)的自動(dòng)適配,通過與數(shù)據(jù)中臺(tái)整合,在ETL過程中自動(dòng)化完畢脫敏。場(chǎng)景三:數(shù)據(jù)安全態(tài)勢(shì)感知某國內(nèi)TOP金融支付公司該客戶云上數(shù)據(jù)種類多,傳統(tǒng)方式無法覆蓋存儲(chǔ)類、數(shù)據(jù)庫類產(chǎn)品,無法及時(shí)發(fā)現(xiàn)潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。運(yùn)用數(shù)據(jù)安全中心,客戶實(shí)現(xiàn)通過一種平臺(tái)統(tǒng)一監(jiān)控全域數(shù)據(jù)風(fēng)險(xiǎn),并與數(shù)據(jù)治理成果聯(lián)動(dòng),重點(diǎn)關(guān)注公司敏感數(shù)據(jù)的使用狀況,全年共發(fā)現(xiàn)并排查50次以上的高危數(shù)據(jù)操作,追潮并處置10次以內(nèi)的高風(fēng)險(xiǎn)行為,0數(shù)據(jù)泄露事件發(fā)生。場(chǎng)景四:數(shù)據(jù)安全防護(hù)可持續(xù)改善某國內(nèi)政務(wù)客戶,為公民提供公共類服務(wù)該客戶缺少數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)定手段,無法對(duì)文獻(xiàn)和大數(shù)據(jù)平臺(tái)做統(tǒng)一管控,審計(jì)系統(tǒng)無法應(yīng)對(duì)動(dòng)態(tài)風(fēng)險(xiǎn)。借助數(shù)據(jù)安全中心,配合二次分析,實(shí)現(xiàn)按季度輸出數(shù)據(jù)安全風(fēng)險(xiǎn)報(bào)告,全域敏感數(shù)據(jù)資產(chǎn)分布、安全風(fēng)險(xiǎn)項(xiàng)一目了然,大大提高了數(shù)據(jù)治理效果,為做好數(shù)據(jù)安全工作提供過了根據(jù)。場(chǎng)景五:金融卡密加密合規(guī)需求某都市銀行該行手機(jī)銀行app業(yè)務(wù)中需要存儲(chǔ)和解決顧客密碼,根據(jù)金融行業(yè)合規(guī)規(guī)定,顧客密碼需加密傳輸和存儲(chǔ),且必須基于國密局認(rèn)證的金融數(shù)據(jù)加密機(jī)。借助阿里云提供的支持國密算法的加密服務(wù),該客戶手機(jī)銀行實(shí)現(xiàn)對(duì)卡密的安全解決,同時(shí)滿足行業(yè)合規(guī)規(guī)定。場(chǎng)景六:數(shù)據(jù)可用不可見國內(nèi)某Top數(shù)據(jù)服務(wù)商該服務(wù)商在為客戶進(jìn)行廣告投放時(shí),需要客戶給到顧客數(shù)據(jù),但是部分客戶不但愿自己的數(shù)據(jù)出域。借助阿里云隱私增強(qiáng)計(jì)算平臺(tái)DataTrust提供的多方安全建模和分析服務(wù),該服務(wù)商能夠讓全部客戶數(shù)據(jù)在不出域的狀況下實(shí)現(xiàn)計(jì)算,讓客戶享有廣告精確投放服務(wù)。場(chǎng)景七:數(shù)據(jù)訪問安全某國內(nèi)出名物流公司該客戶在全國各地有諸多分部、網(wǎng)點(diǎn)、分撥中心,全部人員和部門需要與不同的業(yè)務(wù)數(shù)據(jù)資源進(jìn)行權(quán)限關(guān)聯(lián),借助IDaa權(quán)限管理系統(tǒng),客戶實(shí)現(xiàn)不同人對(duì)不同數(shù)據(jù)的精細(xì)化權(quán)限管理和鑒權(quán),并且能夠根據(jù)業(yè)務(wù)需求進(jìn)行靈活調(diào)節(jié),滿足業(yè)務(wù)動(dòng)態(tài)發(fā)展需求。場(chǎng)景八:數(shù)據(jù)防訛詐訛詐攻擊對(duì)數(shù)據(jù)進(jìn)行加密會(huì)造成數(shù)據(jù)不可用,致使業(yè)務(wù)中斷。從近期頻發(fā)的訛詐事件來看,訛詐贖金也在不停上漲,最高達(dá)上億元。阿里云的防訛詐解決方案從數(shù)據(jù)備份/恢復(fù)、安全云原生一體化的訪問控制、基線及弱點(diǎn)掃描、云查專殺等不同維度構(gòu)建縱深防御體系,最大程度保障客戶的數(shù)據(jù)高可用。場(chǎng)景九:APP隱私安全APP權(quán)限不透明,造成屢屢出現(xiàn)APP越權(quán)過分收集顧客信息等事件?；诖?阿里云推出的APP隱私合規(guī)服務(wù)能夠針對(duì)移動(dòng)APP隱私安全、個(gè)人數(shù)據(jù)收集和使用進(jìn)行合規(guī)