导图社区数据安全基础知识交流

数据安全基础知识交流

关于数据安全的基础知识，包含数据安全涉及的基础概念，数据安全包含哪些，如何保证数据安全。

编辑于2024-03-01 15:36:37

Tara

他的近期作品查看更多>>

零基础学习IT知识一：网络设备基础与基本概念
这是一篇关于零基础学习网络设备基础与基本概念的导图。结合实际生活中常见的事物进行举例，即使没有任何基础也能理解相关概念。不枯燥的进行系统性的学习！！目标：理解网络设备在整个网络架构中的作用，熟悉网络通信基本原理与常用术语，为后续深入学习打下基础。
销售人员谈判训练四：谈判认知基础以及谈判通用方法
你将系统性学习到谈判中的金钱观念、销售分为哪几个阶段、以及谈判对手（买家或者说客户）有哪些类型、你应该提高自己哪些方面的能力、有哪些成交技巧帮助你应对不用类型的买家并控制好谈判。如果说谈判是一场游戏，那么本思维导图就是让你理解到游戏规则，通过反复训练，直到信手拈来，订单不断。
销售人员谈判训练三：谈判后期策略
谈判结束时期的策略——准备得到买主承诺时你需要做的事情。后期策略，得到你想得到的东西，然后成交，同时让对方觉得他也赢了。最后的时刻可能会颠倒乾坤。好像赛马一样，即将到达终点，双方不相上下。谈判高手知道如何有条不紊控制进程直到终点。

数据安全基础知识交流

社区模板帮助中心，点此进入>>

Tara

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 34.6k
- 946
- 2.4k
- 397
- 0
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 14.8k
- 3
- 185
- 9
- 0
Kacyun
域控上线
- 1.6k
- 166
- 11
- 4
- 0
jackrao
python思维导图
- 5.4k
- 540
- 242
- 7
- 0
(*^▽^*)
css
- 1.3k
- 1
- 43
- 3
- 0
A张舫
CSS
- 3.3k
- 269
- 189
- 33
- 0
journey
计算机操作系统思维导图
- 4.3k
- 345
- 204
- 18
- 0
journey
计算机组成原理
- 1.5k
- 98
- 70
- 8
- 0
journey
IMX6UL(A7)
- 530
- 41
- 5
- 0
- 0
Handler XU
考试学情分析系统
- 736
- 51
- 10
- 1
- 0
蒋龙

数据安全交流

概述

发展背景

为什么会有数据安全

为更好支撑数字中国建设，应统筹发展和安全，强化数字中国关键能力。深入实施三法一条例（《数据安全法》、《网络安全法》、《个人信息保护法》、《关基条例》）

数据安全法涉及

数据安全相关政策

2017年6月《网络安全法》规定“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”

2021年9月《中华人民共和数据安全法》规定“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。”

2021年11月《个人信息保护法》规定个人信息处理者的义务“制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、法律、行政法规规定的其他措施。”

需要承担的法律责任

不履行数据安全保护义务，应依法承担相应的民事责任、行政责任和刑事责任。

《数据安全法》

数据安全法属于刑法，将行政责任作为主要的形式责任，对于一般违法行为，主要通过责令改正、经过、罚款、没收违法所得等方式敦促相关主题落实安全管理要求，对于情景严重的，通过暂停相关业务、停业整顿、吊销相关业务许可证或营业执照、处罚直接负责的主管人员和其他直接责任人等方式进行运行限制。

网络安全法

《网络安全法》涵盖行政法、民法、刑法、经济法等多个法律部门，涉及网络、资源、应用、产业等网络各个物理架构层面，以往的网络安全法律体系得以统筹，由这部基本法来全面统领。

个人信息保护法

《个人信息保护法》是一部保护个人信息的综合性立法，其所包含的个人信息的私法规则与《民法典》构成特别法与一般法的关系，《民法典》确立了个人信息的性质及其在民事权利体系中的位置，是解释、适用《个人信息保护法》相关规则的基础和依据。

案例：山东台儿庄收费系统和广东驾培平台

第一章数据安全基础概念

1.什么是数据

是指任何以电子或其他方式对信息的记录。数据的本质是对信息的记录，记录载体包括纸张、胶片、光盘、磁盘等。数据具有泛在性、流动性、可复制性

2.数据和信息的关系

信息是指人们客观对世界各种事物特征的反应，可以分成语法信息、语义信息、语用信息三个基本层次，分别反应事物运动状态及其变化的外在形式、内在含义、和效用价值等。数据是信息的载体，信息是数据的内容。

3.个人信息

个人信息是指以电子或其他方式记录与以识别或者可以识别的自然人有关的各种信息，不包括匿名化后处理的信息

个人信息包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话等。

个人信息是特别重要的一种数据。达到一定进度和规模的个人信息，要按照数据分类分级管理要求，纳入核心数据目录或重要数据目录进行重点保护。

4. 什么是重要数据和核心数据

重要数据：指特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦泄露或篡改、损毁可能直接危害国家安全、经济运行、社会稳定、公告健康和安全。

核心数据：指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全。

关系国家重点领域的数据

关系国民经济命脉、重要民生和重大公共利益的数据

经评估确定的其他数据

5.什么是数据安全

数据安全

是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据安全主要从两个方面来认识

一是保护数据的完整性、保密性、可用性

二是保护数据承载的国家安全、公告利益或者个人、组织合法权益

数据安全和网络安全的区别

网络安全

网络安全侧重于保护数据存储、处理、传输等载体，偏向过程导向

数据安全

数据安全侧重于数据生命周期安全保护和开发利用安全，偏向结果导向

数据安全管理职责分工原则

谁管业务

谁管业务数据

谁管数据安全

第三章数据安全有哪些

1.数据安全技术

数据资产管理

对数据资产进行

盘点

梳理

分类分级

可视化呈现

记录流转

是数据资产防护、数据处理行为保护、数据开发利用的基础

数据资产防护

数据的收集、存储、使用、加工、传输、销售等各个阶段的安全防护技术

技术包括

数据防篡改

数据加密

数据脱敏

数据去标识化

数据销毁

数据处理行为保护

对数据处理活动的监测保护等技术的集合

技术包括

数据流转分析

数据安全态势感知

数据库审计

API安全检测与防护

数据开发利用

是指在数据提供（有偿或无偿提供）、公开（完全或限定公开）等环境中的安全技术

技术包括

安全多方计算

联邦学习

可信执行环境（TEE）

2.数据安全产品

数据资产管理类

数据分级分类工具

数据资产地图

数据资产防护类

数据库审计系统

数据加密系统

数据脱敏系统

数据防泄漏产品

数据处理行为保护类

数据安全评估平台

API安全检测与防护产品

数据安全管控产品

数据开发利用类

隐私计算

数据水印等

3.数据安全服务

数据安全咨询

数据安全能力建设

数据安全运营维护

数据安全检测认证

数据安全评估审计

数据安全教育培训

数据开放共享

第二章如何做数据安全

1.数据安全有哪些

数据分级分类

分级分类保护制度

数据分为一般、重要、核心三级

分级分类原则

分类方面

按照数据所属行业，各行业各领域主管部门和监管部门根据本行业本领域业务属性、地域特点等进行细化数据分类

分级方面

按照数据的精度、规模、安全风险等将数据分为一般、重要、核心三级

密码安全

密码是指使用特定变换对数据等信息进行加密保护或者安全认证的五项或技术

举例：用聊天加密进行

2.全流程数据安全

通过管理技术等措施保障数据全生命周期各个环节的安全，包括但不限于数据的收集、存储、使用、加工、传输、提供、公开等

数据安全生命周期

创建

在数据创建的阶段应该对数据进行识别并作出合理的分类，还应该明确该类数据的保护要求

存储

本地设备上存储、分布式存储、云存储

本阶段应用实现必要的数据访问控制，以确保数据受到合适的保护，从而降低数据被泄露、被篡改和被破坏的风险

使用

数据安全防护的关键点是：将安全控制机制应用于使用中的数据，简单地说，就是能够监控对数据特别是敏感数据的访问，并应用各类安全控制以确保数据的安全

本阶段往往是传统的数据安全控制最薄弱的环节，因为数据在分享后才能产生价值，但在一定的程度上数据安全和数据价值会产生冲突这也是为什么在正确的时间应用正确的安全控制很重要

归档

本阶段需要关注不同的法律法规对于数据留存的约束性要求，并根据组织政策和用户需求，决定数据的归档方式、保护机制和隔离要求

销毁

本阶段数据归档时限已过，或者根据监管和业务需要删除数据。

数据安全的重点是采取合理的数据销毁机制，以确保数据无法被恢复，即使数据并非以传统的文件类型存储，也需要考虑响应的销毁机制

数据安全生命周期状态

存储

数据在硬盘驱动器上存储时处于静止状态，在这种相对安全的状态下，传统的分成防御机制可以起到作用

1.存储位置所在的物理设施（机房、办公室）的保护

2.基于外围的防御措施（如防火墙、入侵检测和防御系统等）的保护

3.基于端点的防御措施（如防病毒软件、端点策略防护、补丁管理等）

4.数据本身的防御措施（含加密和访问控制两大类型）（目前还有密改）

传统存储方式（主机存储、移动存储、服务器存储）

驱动器加密

优势：加密驱动器可以防止诸如硬盘丢失、被盗所产生的安全风险，对于安全销毁场景也有正面的作用

劣势：大多数的硬盘驱动器加密的技术有技术缺陷，如在开机之后，磁盘内容会被解密，对数据的使用状态不会继续生效等。

文件加密

对于部分包含敏感数据的文件，应该采用应用级别的文件加密

对于结构化的数据存储类型，许多数据的发行版本也支持数据库加密、表加密、甚至列级加密。因此可以针对敏感数据、个人数据做出细粒度的防护

云存储

对于云存储，还要关注其他方面的要求

1.存储空间必须是在合同、服务水平协议和法规允许的位置，存储数据必须要保证保罗了所有的副本和备份，以防止因数据丢失而造成损失

2.将数据存放在云端后要考虑其可靠性、保密性和完整性，考虑供应商的安全权限管理措施是否完善，对存储的数据是否进行了安全管理，以及数据存放格式是否合理

3.若要保证在这一过程中数据的安全，就需要对数据进行额外的完整性保证、数据加密及数据隔离等措施

静态存储

综上所述静态形式存储的数据是指位于硬盘驱动器、外置存储、云存储或磁带机等位置的数据，又称静态数据。静态数据通常被认为是最安全的数据状态。在此状态下，基于网络或物理边界的解决方案可以被视作为第一道防线。根据数据本身的敏感性和用途，还可以添加额外的防线。

传输

概念

数据在静止状态下更容易得到完善的保护，但数据一直处在静止状态是无法带来真正的价值。数据是通过传输以提供给其他需求方，从而实现数据的共享和价值。数据在此阶段往往最容易受到攻击

风险

云数据通过网络、进程通信等方式传输给其他的客户和虚拟服务以提供其使用，由于网络的开放性，数据不能在没有安全控制的情况下进行传输。数据的创建者要考虑是否对数据进行管理权限设置，所以要保证传输数据的安全，就要使用数据加密技术以同时维护数据传输过程中的机密性以及传输后的完整性

解决方案

保护传输中的数据一半做法是数据加密，应选用合适的密码算法和加密实践，从而将传输加密当做第一道防线

使用

概念

对静态数据的防护是最容易解决的，也是普遍关注的重点。对传输中的数据进行防护是最容易理解的。与之相对，使用中的数据的安全性是最容易被忽略的，也是最容易被突破的地方

风险

使用中的数据比静态数据更容易受到攻击，因为根据数据的可用性，需要这些数据人员必须可以访问它们，当然有权访问你的人员和设备越多，风险就越大

解决方案

确保使用中的数据安全的关键是：尽可能严格地控制访问并结合一种或多种类型的身份认证，以确保用户使用的不是已被窃取的身份或凭据

数据生命周期常见的保护机制

概念

如果存在对攻击者而言有价值的数据，一定要识别出可以访问数据的每一个入口，并对其加以防护。仅将加密局限在数据生命周期的一部分是一种危险行为。保护存储、传输、使用这三种状态中的数据都是至关重要的

3.数据安全体系建设

数据安全体系化规划

数据资产不清、数据风险不明、缺少顶层数据安全体系规划。

数据安全组织结构

有建立数据安全组织结构，数据安全权责边界不清。

数据安全管理制度

没有全生命周期管理制度，缺少技术落地依据。

数据安全防护技术

数据安全能力零散，缺少数据全生命周期防护能力。

数据安全运营能力

缺失数据安全运营组织，缺失数据安全运营技术能力。

数据安全监管能力

缺少监管流程和规范，难以应对内部监管、外部监管相关要求

面临的问题

4.数据安全技术体系