1 炼石网络 2023 年9月 炼石免改造数据安全 实战型数据安全产品厂商2 公司定位：炼石就是数据安全 炼石是以“免改造”为创新特色的数据安全产品厂商 ，自研可灵活挂载多种安全能力的免改 造平台 ，帮政企客户打造领先的数据安全保护体系 。 公司成立 安天投资2015 应用融合 数据安全2016 Pre-A轮 国科嘉和投资2017 免改造 数据安全2018 免改造 数据保护平台2019 A轮 腾讯投资2020 数据安全 主平台2021 产业互联网巨头 产品共研 深度融合 网络安全民企国家队 威胁检测 系统安全 强化炼石系统安全能力 中科院直投基金强化炼石 安全算法 能力 2022 A+轮 领航新界投资数据安全 产品+服务2023 国资拓展市场战略布局 ꄆ䇻熭䤗䡗冽鯸⴬㓹ꄌ 科创赛道专业基金运营赋能增效发展 ⩦䷊鵲丘䩺㱧⪓╚䇖⺐ 保障数据监管合规 促进数据有序流通 3 l国家高新技术企业、中关村高新技术企业 l北京市“专精特新 ”中小企业 l国家密码管理局商用密码产品认证证书 •CipherSuite 密码软件、服务器密码机、密码卡 (信创) •密钥管理与数据加密及认证平台 (信创) •CipherGateway 业务应用安全网关 lNIST FIPS 140 -2 密码模块三级国际认证 l公安部网络安全产品销售许可证 l涉密信息系统产品检测证书 l通信网络安全服务能力评定（安全设计与集成一级） lISO27001 信息安全管理体系认证 lISO9001 质量管理体系认证 l55项软件著作权， 18项发明专利（含 PCT专利） l参与工信、网信等多项数据安全标准制定炼石资质 信创 信创4 01 免改造实现数据安全实战与合规 02 一体化交付多重安全扩展与组合 03 实施案例5 案例背景：对某数据泄露案件的思考 基本案情： •2014年，庞某通过某购票网站购买某航空公司的机票 后，收到与所购航班机票相关的诈骗短信。 •庞某认为，两家公司泄露自己的个人隐私信息，包括： 姓名、手机号、行程安排，于是 2015年诉至法院。 裁判结果： •经过多次上诉， 2017年12月北京市高级人民法院宣判 （2017）京01民终509号民事判决： 该购票网站与航 空公司存在泄露庞某隐私信息的高度可能， 并且存在过 错，应当承担侵犯隐私权的相应侵权责任。 •某航空公司网站首页以公告形式向庞某公开赔礼道歉。 6 ෢ਮᵞӾ ᓕቘᔮᕹଉ෢ਮᓕ ቘᔮᕹ ഩӤմӱහഝՙପ Ꭸמ ଘݣ ӧྋଉᛯ ቔᓕቘᔮ ᕹᩃ਽ਰ ᔮᕹ෢ਮಭᦫ ᔮᕹ Ԇۖ០ ᲀᔮᕹ մӱ $33Ӿᛯמ 3( ᛔۗ๐ۓ ᕹӞଘݣ &866 ᛔۗ꧊๢ਥᗑӾᛯמ 9,3ᓕቘ ᔮᕹහഝӾݣ ېݶܐ لᔮᕹ ᘍ۪ ᔮᕹմӱ ஙמՈێᩒ რᓕቘ ᔮᕹ ਮಁჿ఺ଶ ᧣ັᔮᕹާૡ๐ ۓᗑ ᦈଷ ᔮᕹඪ՞ ᔮᕹ 0ᗑ ᒊ 27$ੜᑕ ଧᑮכᓕ ቘᔮᕹࢵᴬᛯᑮᘶፑ ᑌړ ࠟउय़හഝଘݣ ᮒկ០ ᲀᔮᕹ ᡈᯘᓕ ቘᔮᕹ ኪৼ ݎᐥᑗۓੴ قቖᗑ๢ᕟഭ ቔᔮᕹ ᷢᤈᓕ ቘᔮᕹᇔၞᨵᛯ ᓕቘᔮᕹ ኪৼᦄ ੊ᔮᕹ,7क़۱ᩒრ ᓕቘᔮᕹ ୏නളݗ ᓕቘᔮᕹ ؾୌ ଘݣ ᵞࢫଗ᮱ ᓕቘᔮᕹ示例 截止目前，已加密完成个人隐私数据约 100亿条，敏感文件 千万级案例效果：复杂数据场景下的快速实施与有效保护7 《密码法》 2020年1月1日起施行，提出数据保护技术手段《国家安全法》 2015年7月1日通过并实施 维护国家总体安全的基本法律《民法典》 2021年1月1日起施行 提出自然人的个人信息受法律保护 《个人信息保护法》 2021年11月1日正式施行 加速个人信息法制化进程 跨境 敏感个人信息 儿童个人信息 权利响应《数据安全法》 2021年9月1日正式施行 提升国家数据安全保障能力 核心数据严格管理 数据交易中介配合调取数据分类分级重要数据风险评估 特殊类型数据 汽车数据 健康医疗数据 ……数据本地化与跨境 网络安全审查和供应链 安全《网络安全法》 2017年6月1日起施行 规定网络安全治理道路 网络运行安全 等级保护 安全风险处置 网络实名制 网络产品 /服务 关键信息基础设施网络信息安全 内容控制宪法相关法民法商法 经济法 经济法经济法 行政法外部合规：“五法一典”过程与结果双合规安全需求：内在风险、外部合规、增量价值 内在风险：数据风险伴生数据处理如影随形 2☛兣╈㎁⪝妩丘䩺 ㏇個粠逈⪝䋯す⶞2021䇗 2021䇗 切ꛌ车逈㚲粯 420┒ ꛌ⟊沪⚢ 1⺙粯⶝ 2020䇗 5.38☛兣丘䩺 0.177 奃攑䄪 切◎纭粠䇖⺐丘䩺媶꨽㎁㳄㱧⪓儬⪩滭藜䡘㎁ 꺙❇寘⹖냖ꚗ鲡车 㱧⪓氳⷇㲺㎁㳄㱧⪓眷 终♭2022䇗 根据IBM最新发布的《 2023年数据泄露成本报告》，数据泄露的平均成本创下 445万 美元的历史新高，较过去 3年均值 增长了 15％。 增量价值：“数据入表”让安全从成本走向价值 僗⣠⮕䦪✳榫㎻㏐顉䷓鼨վ⚀┯丘䩺顫嶏注⪩⚢阞㚲杼 俪车鈺㲋 տ㵨丘䩺⪍顉ⱷ䥊辑䇜⛮ 朆⪭洡㲓♯⡬┚┯ⱷ顈昦 㵒丘䩺顫 嶏漶阡葶㍴⽰⚢阞㚲杼鴠榫⬢⮟璡⛼ ⭴鈺㲋2024䇗1僖颯亨车 ն㎻㏐⪍辑 丘䩺⪍辑 ㎻㏐䷅顔 ˒⤴㚷˒䋯 ⹠˒⭴阦儬⯆㎻㏐✳榫儹䦙剝յ䦁 ⶞䄬㏜鿥糌㎻㏐顫嶏氳 㓹儗⯆䈲 ䷊ꪵ䋯䷒ 1996 2001 2002.7 ㎻㏐◲儹兠㎻㏐㱴鈸留杼縖◲儹兠 ㎻㏐䢦僗縖◲儹兠 ㎻㏐✳榫縖◲儹兠⮇Ⱑⶭ僗儹 ✳榫儹 ䷅沠儹 㚲⮇儹 ⶭ僗儹 ✳榫儹 鼨⮇䷅沠儹 鼨⮇㚲⮇儹⮇Ⱑ ⭴阦儹 ⭴燃儹 ㍑䷅儹 鯸阦儹 鯸燃儹 ㍑䷅儹 䥵⟊儹 ⪍罆儹 颇┚儹╈㎁㎁僗㎻㏐◲儹兠炐䙬 鲋⸼丘䩺㱧⪓姢䇖┘餉 丘䩺䋯⹠⮵榫⮡鵲♯⡬ 㰇ꄈ䷅沠⽰ꪫ║곽ꢣ 䩣㜊䎬䡗▽㏰辆鱦槡ն㵒╄⛮全陱鲹熨㏰辆鱦 槡⚢꣮浔沪留⺭鈺⼑朆嫧 ⲁ奃㞝沪留飊┽㵒⛦ꡕ 䥉姢䇖⚀┯㘍ⱶ䩣㜊ն㓹◇亍氳丘䩺㱧⪓䋧阻䡗 儗阦丘䩺氳✳榫㏜俍狰 滭⸊僗鱦槡㵒⚀┯䎬䡗亍 ♯⡬㘍ꄈ䷅沠ն8 安全监管：“四法四例四规”驱动全行业数据保护 《网络安全法》 第二十一条网络运营者应当按照网络安全等 级保护制度的要求，履行下列安全保护义务， 保障网络免受干扰、破坏或者未经授权的访 问，防止网络数据泄露或者被窃取、篡改： 第四款明确：采取 数据分类、重要数据备份 和加密等措施 。 《个人信息保护法》 第五十一条第三款：采取相应的 加密、去标识 化等安全技术措施 ； 第六十六条：情节严重的，由省级以上履行个 人信息保护职责的部门责令改正，没收违法所 得，并处 五千万元以下或者上一年度营业额百 分之五 以下罚款 …… 《数据安全法》 第二十七条 开展数据处理活动应当依照法律、 法规的规定，建立健全全流程数据安全管理制 度，组织开展数据安全教育培训， 采取相应的 技术措施和其他必要措施，保障数据安全。 利 用互联网等信息网络开展数据处理活动，应当 在网络安全等级保护制度的基础上，履行上述 数据安全保护义务。 《密码法》 二十七条 法律、行政法规和国家有关规定要 求使用商用密码进行保护的关键信息基础设 施，其运营者应当使用商用密码进行保护。 关键信息基础设施运营者， 应当自行或者委 托商用密码检测机构开展商用密码应用安全 性评估 。 《关键信息基础设施安全保护条例》 信创《商用密码管理条例 》提出，关键信息基础 设施，其运营者应当使用商用密码进行保护 ； 网络运营者应当 按照国家网络安全等级保护 制度要求，使用商用密码保护网络安全 。《商用密码管理条例》《网络数据安全管理条例 》 （征求意见稿） 《关键信息基础设施安全保护条例 》（国令 第745号）规定履行 个人信息和数据安全保护 责任，建立健全 个人信息和数据安全保护制 度。关键信息基础设施中的 密码使用和管理 ， 应当遵守相关法律、行政法规。国家对个人信息和重要数据进行重点保护，对核 心数据实行严格保护。数据处理者 应当采取备份、 加密、访问控制等必要措施 ，保障数据免遭泄露、 窃取、篡改、毁损、丢失、非法使用；数据处理 者应当使用密码对重要数据和核心数据进行保护 。 着力在构建自主可控信息技术体系中推进密码优先发展国家密码管理部门根据网络的安全保护等级 、涉密网络的密级和保护等级， 确定密码的 配备、使用、管理和应用安全性评估要求 ， 制定网络安全等级保护密码标准规范。《网络安全等级保护条例》 （征求意见稿） 等保2.0建设，结合 HVV攻防演练 对关键信息基础设施的增强保护 关基、等保、政务等领域，落实“密码三同步”对网络运营者开展数据收集、存储、使用、加 工、传输、提供、公开等处理活动进行认证等保 关保 密评 数评HVV