等保2.0之大数据层面测评(大数据安全测评)最新PPT
- 格式:ppt
- 大小:1.31 MB
- 文档页数:43
下载文档原格式
合集下载
最新等级保护新标准(2.0)介绍--ppt课件PPT课件
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
长 的 时 间 隧 道,袅
等级保护新标准(2.0)介绍--ppt课件
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
长 的 时 间 隧 道,袅
等级保护新标准(2.0)介绍--ppt课件
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
新时代-等级保护2.0安全解决方案ppt课件
三.技术和理论创新
按照“一个中心、三重防护”的总体 思路 开展网络安全技术设计
确立了可信计算技术的重要地位, 结合人工智能、密码保护、生物识 别、大数据分 析等高端技术,落实 网络安全管理要求、 技术要求、测 评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
二是覆盖所有保护对象,包括网络、 信息 系统、信息,以及云平台、物 联网、工控系 统、大数据、移动互 联等各类新技术应用
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。
等级保护新标准(2.0)介绍PPT
等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等
级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
19942003 政策环境 2004- 营造 2006 工作开展 准备 20072010 工作正式 2010- 启动 2016 工作规模 推进
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
等级保护2.0标准体系
等保1.0 等保2.0
正式更名 为网络安 全等级保 护标准;
横向扩展 了对云计 算、移动 互联网、 物联网、 工业控制 系统的安 全要求;
纵向扩展 了对等保 测评机构 的规范管 理。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态
势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步
健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
等保2.0vs1.0解读PPT参考幻灯片
a) 应在机房供电线路上配置稳压器和过电压防护设备;
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常
4 运行要求 c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
3
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正 常运行要求;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,
并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行
检查,以允许/拒绝数据包进出;
8
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
4
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
d) 应建立备用供电系统。
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 3 b) 电源线和通信线缆应隔离铺设,避免互相干扰
c) 应对关键设备和磁介质实施电磁屏蔽。
a 电源线和通信线缆应隔离铺设,避免互相干扰; 2
b) 应对关键设备实施电磁屏蔽。
a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
6 防水和防潮
4 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
新版要 求项数
标粗内容为三级和二级的变化;标红为新标准主要变化
重要网段与其他网段之间采取可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证
等保2总结.0标准介绍总结.ppt
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理 优外选包文运档维管理 9
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
7 大数据安全扩展要求
优选文档
7
GB/T 22239.1等级保护安全通用要求
技术要求
安全物理 环境
物理位置选择
物理访问控制 防盗窃和防
破坏 防雷击
防火 防水和防潮
防静电 温湿度控制
电力供应 电磁防护
安全通信 网络
网络架构 通信传输 可信验证
安全区域 边界
边界防护
访问控制
入侵防范 恶意代码和垃 圾邮件防范
安全审计
可信验证
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
优选文档
12
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控
制范围则决定了安全责任的边界。
优选文档
10
GB/T 22239.2云计算安全扩展要求细则
安全物理 环境
基础设施位置
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理 优外选包文运档维管理 9
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
7 大数据安全扩展要求
优选文档
7
GB/T 22239.1等级保护安全通用要求
技术要求
安全物理 环境
物理位置选择
物理访问控制 防盗窃和防
破坏 防雷击
防火 防水和防潮
防静电 温湿度控制
电力供应 电磁防护
安全通信 网络
网络架构 通信传输 可信验证
安全区域 边界
边界防护
访问控制
入侵防范 恶意代码和垃 圾邮件防范
安全审计
可信验证
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
优选文档
12
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控
制范围则决定了安全责任的边界。
优选文档
10
GB/T 22239.2云计算安全扩展要求细则
安全物理 环境
基础设施位置
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
《信息系统安全等级保护等保测评安全管理测评》PPT
1序、号 背景知安全识关注点
1 人员录用
一级 2
二级 3+
三级 4+
四级 4
2 人员离岗
2
3
3+
3+
3 人员考核
0
1
3
4
4 安全意识教育和培训
2
3+
4
4
5 外部人员访问管理
1
1
2
3
合计
7
11
16
18
1、背景知识
• 系统建设管理是指加强系统建设过程的管理。 制定系统建设相关的管理制度,明确系统定级 备案、方案设计、产品采购使用、软件开发、 工程实施、验收交付、等级测评、安全服务等 内容的管理责任部门、具体管理内容和控制方 法,并按照管理制度落实各项管理措施
1、背景知识
序号 1 2 3
4
5
安全关注点 岗位设置 人员配备 授权和审批
沟通和合作
审核和检查 合计
一级 1 1 1
1
0 4
二级 2 2 2
2
1 9
三级 4 3 4
5
4 20
四级 4 3 4
5
4 20
1、背景知识
• 安全管理制度是指确定安全管理策略,制定安 全管理制度。确定安全管理目标和安全策略, 针对信息系统的各类管理活动,制定人员安全 管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等,规范安全管理人员或 操作人员的操作规程等,形成安全管理体系
3、评测方法和流程
测评方式-访谈-访谈对象
安全主管 系统建设负责人 人事负责人 系统运维负责人 物理安全负责人 系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等
等保2.0之应用及数据层面测评
否安全。 可通过抓包工具进行测试(如Sniffer pro)获取通信双方的内容,查看系统是
否对通信双方的内容进行了加密。
抗抵赖
要求项要(求2项) A. 应具有在请求的情况下为数据原发者或接收者提供数据原发证
据的功能; B. 应具有在请求的情况下为数据原发者或接收者提供数据接收证 据 的功能。
条条款款理理解解 该项要求强调应用系统应提供抗抵赖措施(如数字签名等),从而保证发送和接
应用安全测评方法
(二)通过检查,确认其是否具备相应安全功能和配置
· 查看应用是否具备有关的安全功能模块 · 检查应用相应的安全配置情况
(三)验证安全功能及安全配置的有效性
· 对于具备验证测试条件的系统,通过验证测
试判断安全防范能力
· 默认开放、无需配置的可通过验证的方式判
断其是否具备防护能力
· 对于在前序检查中结果不一致的项目,可通
成相互制约的关系; E. 应具有对重要信息资源设置敏感标记的功能; F. 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
条条款款理理解解 三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(
如:操作、管理、审计权限的三权分离),并利用敏感标记控制用户对重要信息 资源的操作; 在应用系统中应严格限制默认用户的访问权限,默认用户一般指应用系统的公共 帐户或测试帐户; 应用系统授予帐户所承担任务所需的最小权限,如某岗位只需进行查询操作,则 无需为其分配操作权限;同时,该项要求明确规定应在不同帐户之间形成相互制 约关系;
身份鉴别
要要求求项项(5) D. 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出
等措施; E. 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查 以 及登录失败处理功能,并根据安全策略配置相关参数。
否对通信双方的内容进行了加密。
抗抵赖
要求项要(求2项) A. 应具有在请求的情况下为数据原发者或接收者提供数据原发证
据的功能; B. 应具有在请求的情况下为数据原发者或接收者提供数据接收证 据 的功能。
条条款款理理解解 该项要求强调应用系统应提供抗抵赖措施(如数字签名等),从而保证发送和接
应用安全测评方法
(二)通过检查,确认其是否具备相应安全功能和配置
· 查看应用是否具备有关的安全功能模块 · 检查应用相应的安全配置情况
(三)验证安全功能及安全配置的有效性
· 对于具备验证测试条件的系统,通过验证测
试判断安全防范能力
· 默认开放、无需配置的可通过验证的方式判
断其是否具备防护能力
· 对于在前序检查中结果不一致的项目,可通
成相互制约的关系; E. 应具有对重要信息资源设置敏感标记的功能; F. 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
条条款款理理解解 三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(
如:操作、管理、审计权限的三权分离),并利用敏感标记控制用户对重要信息 资源的操作; 在应用系统中应严格限制默认用户的访问权限,默认用户一般指应用系统的公共 帐户或测试帐户; 应用系统授予帐户所承担任务所需的最小权限,如某岗位只需进行查询操作,则 无需为其分配操作权限;同时,该项要求明确规定应在不同帐户之间形成相互制 约关系;
身份鉴别
要要求求项项(5) D. 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出
等措施; E. 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查 以 及登录失败处理功能,并根据安全策略配置相关参数。
信息系统安全等级保护等保测评网络安全测评ppt.(ppt)
3、检查内容-结构安全
一、结构安全(7项) 结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息
系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
条款理解 为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余
空间。
检查方法 访谈网络管理员,询问主要网络设备的性能及业务高峰流量。 访谈网络管理员,询问采用何种手段对网络设备进行监控。
信息系统安全等级 保护等保测评网络 安全测评ppt.(ppt)
内容
1
前言
2
检查范围
3
检查内容
4
现场测评步骤
1、前言
标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作: 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《信息系统安全等级保护定级指南》(GB/T22240-2008) 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《信息系统安全等级保护测评要求》(报批稿) 《信息系统安全等级保护实施指南》(报批稿) .......
1、前言
• 网络安全是指对信息系统所涉及的通信网络、网络 边界、网络区域和网络设备等进行安全保护。具体 关注内容包括通信过程数据完整性、通信过程数据 保密性、保证通信可靠性的设备和线路冗余、区域 网络的边界保护、区域划分、身份认证、访问控制、 安全审计、入侵防范、恶意代码防范、网络设备自 身保护和网络的网络管理等方面
检查方法 检查边界设备和主要网络设备,查看是否进行了路由控制建立安全
的访问路径。 以CISCO IOS为例,输入命令:show running-config 检查配置文件中应当存在类似如下配置项: ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态) router ospf 100 (动态) ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
等保2.0标准介绍ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控
等保2.0建设方案ppt课件
其他有信息系统定级需求的单位和行业
等保建设的意义
满足国家相关法律 和制度的要求
降低信息安全风险, 提高定级对象的安
全防护能力
合理地规避或降低 风险
履行和落实网络信 息安全责任义务
等保2.0保护对象等级划分
第一级
等级保护对象受到破 坏后,会对公民、法 人和其他组织的合法 权益造成损害,但不 损害国家安全、社会 秩序和公共利益;
本地数据备份与恢复、异地数据备份、重要数据系统热备 敏感信息清除
防泄密系统、个人信息保护系统
身份认证鉴别
•面向业务多元身份聚合,一次登陆一 网全通
恶意代码防范
•深度融合反病毒+主动防御、未知文 件动态分析
数据完整保密
•建立安全的数据传输通道,对传输的 数据完整性和保密性进行安全保护
数据备份恢复
•基于持续数据保护技术、备份集技术, 满足不同业务系统的RTO/RPO目标
终端安全
业务系统2
漏洞风险评估 数据备份
业务系统3
数据库审计
业务系统4
入侵检测
动态防御系统
安全计算环境
安全通信网络设计
等保要求
安全通信网络
控制点
网络架构 通信传输 可信验证
对应产品和方案
路由器、交换机、网络规划与配置优化、核心设备/主干链路冗余部署 VPN
可信计算机机制
电信
移动
联通
主干网络链路及设备均采用冗余部署
数据中心
安全管理区
终端接入区
基于业务管理和安全需求划分出明 确边界的网络区域
采用VPN或HTTPS等加密手段保护 业务通信
安全区域边界设计
等保要求
安全区域边界
控制点
等保建设的意义
满足国家相关法律 和制度的要求
降低信息安全风险, 提高定级对象的安
全防护能力
合理地规避或降低 风险
履行和落实网络信 息安全责任义务
等保2.0保护对象等级划分
第一级
等级保护对象受到破 坏后,会对公民、法 人和其他组织的合法 权益造成损害,但不 损害国家安全、社会 秩序和公共利益;
本地数据备份与恢复、异地数据备份、重要数据系统热备 敏感信息清除
防泄密系统、个人信息保护系统
身份认证鉴别
•面向业务多元身份聚合,一次登陆一 网全通
恶意代码防范
•深度融合反病毒+主动防御、未知文 件动态分析
数据完整保密
•建立安全的数据传输通道,对传输的 数据完整性和保密性进行安全保护
数据备份恢复
•基于持续数据保护技术、备份集技术, 满足不同业务系统的RTO/RPO目标
终端安全
业务系统2
漏洞风险评估 数据备份
业务系统3
数据库审计
业务系统4
入侵检测
动态防御系统
安全计算环境
安全通信网络设计
等保要求
安全通信网络
控制点
网络架构 通信传输 可信验证
对应产品和方案
路由器、交换机、网络规划与配置优化、核心设备/主干链路冗余部署 VPN
可信计算机机制
电信
移动
联通
主干网络链路及设备均采用冗余部署
数据中心
安全管理区
终端接入区
基于业务管理和安全需求划分出明 确边界的网络区域
采用VPN或HTTPS等加密手段保护 业务通信
安全区域边界设计
等保要求
安全区域边界
控制点
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6
应用
应用
应用
应用
身份鉴别 访问控制 数据源安全 备份恢复 溯源管理
数据完整性
安全编码
软件容错
配置管理
数据保密性 审计分析
安全认证
大数据平台
应用接口层 数据授权 API 安全调用
数据访问接口
安全管理平台 统一运维 身份鉴别
计算分析层 数据计算、分析安全
访问控制 配置管理
数据访问控制
数据平台层 数据保密性 数据完整性
10 已发布 11 已发布
标准名称
GB/T 35273-2017 信息安全技术 个人信息安全规范 个人信息安全影响评估指南 个人信息去标识化指南 GBT 35274-2017 信息安全技术 大数据服务安全能力要求 大数据安全管理指南 数据安全能力成熟度模型 数据交易服务安全要求 数据出境安全评估指南 大数据基础软件安全技术要求 信息技术 大数据 术语 信息技术 大数据 技术参考模型
大数பைடு நூலகம்相关标准和测评实践
大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评
2
等级保护对象
大数据等级保护对象
来源
定义
Nist SP1500 大数据由大量的数据集组成,其特征主要体现在大量、多样、高 速、多变,需要一种可扩展的架构提供高效的存储、操作和分析。
麦肯锡
大数据”是需要新处理模式才能具有更强的决策力、洞察发现力 和流程优化能力的海量、高增长率和多样化的信息资产。
大数据安全关注点
大数据安全
数据安全
大数据系统
生
非
数数命数结个
据 流
据 集
周 期
据 跨
构 化
人 信
…
…
动聚变境数息
化
据
大 数 大大 据 数数 基 据据 础 平应 设 台用 施
类别
美国NIST标准 ENISA
国际标准 国际标准 CSA ITU-T 国际标准 国际标准 国际标准
国际标准
国际标准 ENISA ENISA ENISA
大 数 据 安 全 标 准 白 皮 书 8 201
版
大数据安全的特点
? 关注数据安全保护 ? 关注大数据生命周期 ? 关注生态角色职责 ? 重点考虑数据共享和个人信息安全问题
大数据生命周期全过程
采集
终端采集 用户输入 机器数据 数据导入
分类
数据集成 资产管理 分类分级
存储
数据存储 备份恢复
应用
《大数据时代 》 大数据指不用随机分析法(抽样调查)这样的捷径,而采用所有 数据进行分析处理。
信息技术 大数 具有体量巨大、来源多样、生成极快、且多变等特征并且难以用
据 术语
传统数据体系结构有效处理的包含大量数据集的数据。
4
大数据等级保护对象
多样性(variety)
价值性(Value)
……
速度(velocity)
ISO/IEC 27550 《信息技术 安全技术 隐私保护工程》 2016 中小型企业个人数据处理保护指引 2017个人数据处理的安全手册
2017移动应用中的隐私和数据保护
国内标准
序号
标准状态
1 已发布 2 征求意见稿 3 报批稿 4 已发布 5 报批稿 6 报批稿 7 报批稿 8 征求意见稿 9 标准立项
维基百科
大数据指所涉及的数据量规模巨大到无法通过人工,在合理时间 内达到截取、管理、处理、并整理范围内用常规软件工具进行捕捉、 管理和处理的数据集合。
Gartner
“大数据”是需要新处理模式才能具有更强的决策力、洞察发现 力和流程优化能力的海量、高增长率和多样化的信息资产。
业务处理 分析挖掘
交换
数据传输
销毁
数据归档
交换共享
数据销毁
生命周期的安全保护要求
采集
策略制度 授权许可 导入管理 数据保护 个人信息 安全审计
分类
策略制度 资产管理 分类分级 安全审计
存储
策略制度 访问控制 备份管理 数据保密性 数据完整性 安全审计 分类分级 副本管理 属地原则 溯源数据
体量(volume)
真实性(veracity)
多变性(variability)
5
大数据等级保护对象
数据拥有者和管理者的
分离;
单一系统对数据的保护
不足;
保护措施的如何延续;
数据价值的提升与不确
定性;
数据生命期超出原生系
统;
数据边界发生变化;
数据的访问控制发生变
化;
……
应将大数据整体作为等级保护对象,实施统一的、全生命周期的保护
定级原则
大数据基础设施、大数据平台、大数据应 用的安全保护等级 一般由其所承载、处理或产 生的大数据的信息安全保护等级 决定。
如果大数据基础设施、大数据平台、大数 据应用为不同的定级对象,下层定级对象的安 全保护等级应 不低于 其承载的上层定级对象的 等级。
大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评
大数据的定级
组件
大数据 大数据应用 大数据平台
基础设施
责任主体
数据所有者 大数据应用服务提供者 大数据平台服务提供者
基础设施提供者
定级对象
大数据 大数据系统
大数据+大数据应用 大数据+大数据平台
大数据+大数据平台 +基础设施
组件单独或组合可以构成定级对象,当涉及 不同责任主体时,应当分别定级 。
状态
已发布 已发布 制定中 制定中 已发布 已发布 已发布 已发布 已发布
已发布
制定中 已发布 已发布 已发布
标准名称
NIST大数据互操作框架 2015大数据安全 关于大数据系统安全的最佳实践和建议
ISO/IEC 20546:大数据—概述和术语 ISO/IEC 20547: 大数据参考架构
大数据安全和隐私的100条最佳实践 ITU-T Y.3600基于云计算的大数据需求与能力标准 ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》 ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架 》 ISO/IEC 27018:2014《信息技术 安全技术 可识别个人信息(PII) 处理者在公有云中保护PII的实践指南》 ISO/IEC 29151:2017《信息技术 安全技术 可识别个人信息(PII) 保护实践指南》
数据隔离
审计分析 脆弱性
基础设施层 物理安全 网络安全 可信接入 分布式安全 虚拟化安全
备份恢复 剩余信息保护
大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评
8
大数据的安全保护等级
大数据的定级
? 数据资源可单独定级 ? 当安全责任主体相同,大数据、大数据平台和应
用可作为一个整体对象定级