北京安华金和科技有限公司推荐课程和图书 https://www.aqniukt.com/course/85课程大纲： 一、数据库安全测评常见问题分析与对策 1.数据泄密安全事件分析 2.数据库安全检测，等保检测要求 3.检测重点及常见问题 4.问题分析及解决对策 5.数据库漏扫技术 二、数据库安全攻防演示 6.内部人员的数据窃取及防护：存储层窃取数据 -通过MyDul等工具直接解析数 据库文件 7.内部人员的数据窃取及防护： DBA特权用户的违规访问 8.内部人员的数据窃取及防护：第三方实施维护人员绕开合法应用系统，直接 操作数据库 9.外部入侵方式的数据窃取及防护： SQL注入的攻击与防护 10.外部入侵方式的数据窃取及防护：权限提升的攻击与防护 三、从信安概论看数据库安全 11.安全攻击实例考察 12.安全攻击方法分析 13.数据库攻击原理分析 14.数据库安全防护方法 15.数据库安全机制和技术 16.云计算数据库安全机制 四、数据库服务器防护 1、数据库服务器防护的基础：数据库漏洞 . 2、在了解数据库漏洞的基础上针对主流 7大数据库的防护专题 . 2.1、oracle防护专题 2.2、SQL SERVER 防护专题 2.3、mysql防护专题 2.4、DB2防护专题 2.5、informix防护专题 2.6、sybase防护专题 2.7、postgresql 防护专题 3、提高篇 3.1、sql注入专题 3.2、缓冲区溢出专题 3.3、撞库、托库、暴力破解专题 3.4、web专题 CONTENTS目录 数据安全法 数据安全治理 数据安全实践案例PART 01 PART 02 PART 03 01 数据安全法数据作为市场要素 成为国家战略 2022 -01-06中共中央国务院印发了 《要素市场化配置综合改革试点总体方案 》，第六章第十九、二十、二十一、 二十二条，明确提出加快培育数据要素市场的意见。 推进公共数据有序的流通和共享 推动数据要素市场的培育打造统一的技术标准和数据生态 加强数据安全保护总体要求 市场决定 有序流动健全制度 创新监管问题导向 分类施策稳中求进 循序渐进 要素领域要素市场化配置综合改革试点总体方案 ⚫探索完善公共数据共享、开放、运营服务、安全保障的管理体制 ⚫分级分类、分步有序推动部分领域数据流通应用⚫促进商业数据流通、跨区域数据互联、政企数据融合应用 ⚫强化网络安全等级保护要求，推动完善数据分级分类安全保护制度国家 战略各国快速推进数据安全立法 中国陆续出台具有重大影响的数据安全法规 时间 国家 /地区 政策 2018年12月 法国 新修订《法国数据保护法 》 2018年7月 印度 《2018个人数据保护法（草案） 》 2018年6月 美国加州 《加州消费者隐私法案 》 2018年5月25日 欧盟 《通用数据保护条例 》（GDRP） 2018年5月 巴西 《通用数据保护法 》 2015年9月 俄罗斯 《个人数据保护法 》 2015年5月 日本 《个人信息保护法案 》时间 政策 重要影响 2017年6月1日 《网络安全法 》 数据泄露责任和日志审计责任明确 2020年1月1日 《国家密码法 》 国外密码相关的数据安全产品不再合法 2021年9月1日 《数据安全法 》 对国家重要数据明确保护要求 2021年9月1日《关键信息基础设施安全保护条例 》 保障关键信息基础设施安全，维护网络安全 2021年7月10日《网络安全审查办法 》（征求意见稿） 要求 100万个人信息到国外上市要上报 2021年11月1日 《个人信息保护法 》 将对个人信息保护的安全责任更为明确 等保2.0对数据安全提出具体要求 监管机构和重要行业数据安全要求和措施 等级 类别 对应产品 二级安全通用要求 数据库漏扫 /防火墙 云计算安全扩展要求 数据库安全运维 /加密 三级安全通用要求数据库防火墙 /安全运维 /加密/梳理 /动态脱敏 /审计 云计算安全扩展要求 数据库审计 /防火墙 /加密 二/三级 参考大数据应用数据库脱敏 /防火墙 /安全运维 /审计 /梳理/加密/脱敏/水印/行业 政策和措施 银行《金融行业数据分级分类规范 》、《证券期货数据分级分类指引》、 《金融行业数据安全生命周期 技术要求 》 国网 《电力监控系统安全防护规定》《国网营销系统数据脱敏规范》 教育 《教育直属机关数据安全管理办法》等 医疗 《信息安全技术健康医疗数据安全指南 GB/T 39725 -2020》等 公安 《关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》（ 319整改方案） 网信和工信 《电信与互联网行业提升网络数据安全保护能力专项行动方案》国内外数据安全法规和标准新业务生态下的数据安全威胁 数据安全威胁和暴露面随着业务变化而增加 主要 外部 威胁 主要 内部 风险 新技术 新业态 风险•利用应用系统的漏洞、网络漏洞进行注入攻击； •利用移动设备、智能设备、监控设备、无线网络、物联网进行渗透； •通过病毒、木马、 0Day漏洞进行渗透攻击。 •大数据、生物识别、公有云等新技术带来新的数据安全风险； •开源社区软件、第三方 SDK、开发运维工具带有恶意代码； •交通生态中，和第三方合作企业进行的数据交互带来的风险 。•内部员工有意、无意操作不当造成数据泄露； •业务人员使用对内部数据分析，使用数据不当； •高权限人员使用特权访问不当； •业务人员权控不当，超权限访问业务数据，过度访问业务数据； •通过邮件、移动存储设备等，泄露数据。新业务生态下的 数据安全威胁第一章总则 第二章数据安全与发展（安全与发展并重） 实施大数据战略 加强数据开发和数据安全技术研究 数据安全标准体系建设 促进数据安全检测评估、认证服务 健全数据交易管理制度 第三章数据安全制度（保护重要数据） 第四章数据安全保护义务 数据分类分级保护制度 (重要数据保护目录 ) 风险评估 风险报告 信息共享 监测预警 数据安全应急处置机制数据安全审查制度 数据出口管制 针对歧视性禁止、限制的对等措施数据安全管理制度数据安全治理 数据安全教育培训 数据安全技术措施 数据安全管理机构数据安全风险监测 数据安全风险评估 (种类\数量\风险) 合法、正当收集数据数据安全风险处置数据处理和服务 数据来源审核、记录 数据处理服务许可 依法数据调取 数据出境 \跨境存储 第五章政务数据安全与开放 第六章法律责任 第七章附则依照法律、行政法规收集、使用数据 健全数据安全管理制度，落实保护责任 监督受托方履行数据安全保护义务 政务数据开放目录和开放平台 2021 年 9 月 1 日正式实施总体架构