构建可控的互联世界 新形势下 ，企业如何构建数据安全防护体系 安全顾问：陈晓 构建可控的互联世界 安全风险制约信息化发展 移动工作 业务云化 生产合作 数据来源： IDC 信息概要•90%的用户随身携带移动设备 •超过67%的员工使用他们自己的设备工作 •1/3的移动设备具有中高度数据泄露风险•企业约50% 的时间在运行基于云的应用 •超过40%的数据泄露由越权访问造成 •企业无法阻止未经授权的人或设备的尝 试访问•物联网设备 2020 年安装超过 204 亿 •80%的物联网应用程序未经过安全漏洞测试 •物联网设备难以部署有效的终端数据防泄密 工具 数字化转型促进企业安全和网络变革 构建可控的互联世界 构建可控的互联世界 数据安全现状 每400封邮件中就有 1封包含敏感信息 1/50 1/2每50份通过网络传输的文 件中就有 1份包含敏感信息 每2个USB设备中就有 1 个包含敏感信息国家计算机信息安全测评中心调查数据显示， 由于内部重要机密泄露而造成重大损失的事件 中，只有 1%是被黑客窃取造成的，而 97%都是由 于内部员工有意或者无意之间泄露而造成的。 敏感数据泄露风险一直存在 数据安全关乎企业安全，不容忽视1/40097% 构建可控的互联世界 数据安全日趋重要 十九届四中全会 首次将数据与劳动、资本、土地、知识、技术、管理等 生产要素 并列。2019年 中共中央、国务院发布 《关于构建更加完善的要素市场化配置体制机制的意见》 ，首 次将数据定义为 新型生产要素 ，提出要推进数据开放共享、提升社会数据资源价值、 加强数据资源整合和安全保护、引导培育大数据交易市场。2020年 《政府工作报告》 ：加强网络安全 、数据安全 和个人信息保护 。2021年 《中华人民共和国国民经济和社会发展第十四个五年规划和 2035年远景目标纲要》 ： 第五篇“加快数字化发展，建设数字中国”要求，迎接数字时代， 激活数据要素潜能 ， 推进网络强国建设，加快建设数字经济、数字社会、数字政府，以 数字化转型 整体驱 动生产方式、生活方式和治理方式变革。2021年 《数据安全法》 发布，规范数据处理活动， 保障数据安全， 促进数据开发利用，保护 个人、组织的合法权益，维护国家主权、安全和发展利益。2021年 《个人信息保护法》 发布，构建以“ 告知-同意”为核心的个人信息处理规则，严格保 护敏感个人信息，赋予个人充分的权利、强化个人信息处理者的义务，加大违法处理 惩戒力度。2021年 《个人信息保护法》构建可控的互联世界 工信部：企业应将保护数据安全作为生产经营的底线和红线。 边界防火墙、防毒墙 内网资产管理 设备统一管控 价值数据未得到有效识别 核心数据流转极易流失暴漏数据安全不是一个技术问题，是法律合规落地的问题 业务/生产人员对数据价值认知不足 内部人员无意识泄密 数据泄密问题影响企业核心竞争力ROI 安全与效率难以找到平衡点 构建可控的互联世界 体系建设构建可控的互联世界 信息安全体系架构 安全目标、总体安全策略 信息 安全 管理 体系 信息 安全 技术 体系 信息 安全 运行 体系 安全保护对象 安全计算环境 安全区域边界 安全网络通信 组织机构 制度标准 人员安全 岗位 人员 授权 沟通 检查 录用 离岗 考核 教育 制定 发布 评审 修订决策、管理、执行、监督 意识、技能、职称、培训、考核 方针策略、制度规范、流程表单 抵 抗 性 弱点加固 状态检测 内容安全 密码技术 数据保护 威胁检测 防恶技术 监控检测 标识鉴别 通信保护 审 计 备份恢复 物理技术 访问控制 数 据 应 用 主 机 网 络 物 理 系 统 开 设定级 备案 设计 开发 实施 测试测评 检查 验收 交付 服务 商配置 管理 事件 管理日常运行管理 变更 管理 风险 管理资源 管理 问题 管理 监督 检查介质 管理 运行 监控 审计环境 管理 应急 响应 系 统 运 维安 全 保 护 对 象 安 全 工 作 管 理 统 一 技 术 管 理 安 全 运 维 管 理 安 全 管 理 系 统 管 理 审 计 管 理构建可控的互联世界 数据安全建设视角 数据安 全战略数据 人员 运营 技术管理数据 管理 技术 运营 人员通过持续分析和优化，保障数据 “长治久安 ” 重视员工的安全教育，强化底线思维红线意识采用适当的技术和工具，让管理有效落地安全与业务并重，筑牢数据安全管理体系数据资产分类分级，为数据安全奠定坚实基础