数据安全企业内控.pptx

/ 全 知 科 技 （杭州） 有 限 责 任 公 司 数据安全与企业内控 全知科技 应数而生 守安卫全 就智而成 个人介绍 SUCCESSFUL PROJECT 方兴，网络ID FLASHSKY。知名网络安全专家，历任启明星辰ADLAB副经理、EEYE高级研究员、微软全球特聘安全专家、翰海源CEO、阿里巴巴资深安全专家。2003年世界首发MS03-026漏洞（冲击波使用漏洞）细节，引发全球安全体系变革，2004年世界第一个发布WINDOWS内核溢出远程利用技术，最早的漏洞自动化挖掘研究者，第一个BLUEHAT中国演讲者，被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。连续创业者，2010年和王伟联合创立翰海源，2015年翰海源被阿里巴巴全资收购。2017年创建全知科技，聚焦数据流动中的安全体系建设 全知科技 应数而生 守安卫全 就智而成 企业数据安全内控需求 3 企业数据安全内控技术体系 数字载体 由信息到数据 知识 情报 表达 信息 归纳 解读 推理 信息是用来消除随机不确定性的东西/信息论。 数据是客观事物未经加工的原始素材的呈现。 信息安全的核心是保护组织的信息背后的知识与情报，以获得竞争优势。 在计算机系统中： 信息以二进制数据的方式存储，因此数据也是信息的载体。 组织通过保护承载“信息/知识/情报”的数字载体和计算机信息系统以达成信息安全的三要素（机密性、完整性、可用性） 计算机系统中信息安全形成了网络安全（传输/网络访问身份权限/网络可访问性）+系统安全（信息存储处理/主机访问身份权限/主机可访问性）+数据安全（信息的数字载体机密和完整性） 客观事物 发现 数据 数字载体 DT时代的本质 知识 情报 表达 信息 归纳 解读 推理 数据 大数据 AI BI DT时代，人们发现通过大量相关的其他过程数据，使用AI/BI技术也可以获得知识与情报。 数据成为直接的生产资料，被人们大规模采集并创造价值，但同时也带来较大的风险。 DT时代的数据风险，呈现较多不同于信息安全的特性 直接信息的中心位置被弱化：人们发现通过相关数据也可以获得未知的知识与情报。 数据的相关性：可以只使用相关过程数据，这些数据维度多动态性强场景复杂难以通过垄断数据源的保护方式来保护。 数据的流通性：掌握数据的一方不一定需要对应的情报与知识，需要获取数据的一方可以多个相关维度获取数据 数据第三方风险：掌握数据的一方可能并不会受到风险，但可能给第三方带来风险。 客观事物 呈现 发现 数据成为业务的石油而流动 IT时代：业务数据化 数据以信息在计算机系统中承载的方式存在，数据来源和使用单一，也没有形成复杂的上下游关系 系统A 数据A DT时代：数据业务化时代 数据通过业务采集和多种外部来源渠道汇集、多维度加工、回流业务系统、以及各种系统数据不断加工和使用形成了非常复杂的上下游消费链路以最大化数据的价值同时流出体系。数据的管理、用途授权控制、业务使用流动的保护风险都非常复杂。 系统B 数据B 系统C 数据C 系统A 数据A 系统B 数据B 系统C 数据C 合作流入数据 汇集、加工、关联、分析 AI建模 合作流出数据 系统D 数据D 主体权利 主体隐私 隐私保护和数据安全关系 隐私是个法律问题 但在数据流动和广泛使用的时代，隐私问题需要从法律层面映射成数据技术问题 数据流动带来了极大的数据/隐私安全的挑战 数据主体 数据控制者 数据使用者 数据控制者 数据使用者 采集 流动 使用 使用 数据流动让数据风险贯穿全局 业务A 采集 传输 加工 存储 使用 销毁 业务B2 采集 传输 加工 存储 使用 销毁 业务B1 采集 传输 加工 存储 使用 销毁 交换共享 交换共享 业务C1 采集 传输 加工 存储 使用 销毁 业务C2 采集 传输 加工 存储 使用 销毁 业务C3 采集 传输 加工 存储 使用 销毁 业务C4 采集 传输 加工 存储 使用 销毁 数据风险通过数据流动，贯穿多个系统和阶段中，形成了一个难以分割的风险整体 数据流动带来了新的风险与挑战 业务过程风险是最核心的风险 复杂的数据流动导致风险追踪的困难 广泛的数据使用让风险无处不在 生产效率与数据风险控制的平衡 基于可信的授权控制被削弱 风险 挖断电缆 不当损坏 价值 锄地生产 ？ 无法基于可信授权 ？ 需要平衡生产效率 IT时代数据安全体系无法适应DT时代的挑战 数据业务过程风险 数据流动保护风险 IT系统网络安全 IT系统网络 加密（存储传输） IT系统的信息 外部威胁者 更多基础使用 更多外部合作 内部威胁者 外包威胁 合作伙伴生产链威胁 更多数据来源 更多跨域流动 数据采集和来源授权、去向用途 存储保护和使