当前位置:文档之家› 等保2.0之大数据层面测评(大数据安全测评)最新PPT

等保2.0之大数据层面测评(大数据安全测评)最新PPT


6
应用
应用
应用
应用
身份鉴别 访问控制 数据源安全 备份恢复 溯源管理
数据完整性
安全编码
软件容错
配置管理
数据保密性 审计分析
安全认证
大数据平台
应用接口层 数据授权 API 安全调用
数据访问接口
安全管理平台 统一运维 身份鉴别
计算分析层 数据计算、分析安全
访问控制 配置管理
数据访问控制
数据平台层 数据保密性 数据完整性
10 已发布 11 已发布
标准名称
GB/T 35273-2017 信息安全技术 个人信息安全规范 个人信息安全影响评估指南 个人信息去标识化指南 GBT 35274-2017 信息安全技术 大数据服务安全能力要求 大数据安全管理指南 数据安全能力成熟度模型 数据交易服务安全要求 数据出境安全评估指南 大数据基础软件安全技术要求 信息技术 大数据 术语 信息技术 大数据 技术参考模型
大数பைடு நூலகம்相关标准和测评实践
大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评
2
等级保护对象
大数据等级保护对象
来源
定义
Nist SP1500 大数据由大量的数据集组成,其特征主要体现在大量、多样、高 速、多变,需要一种可扩展的架构提供高效的存储、操作和分析。
麦肯锡
大数据”是需要新处理模式才能具有更强的决策力、洞察发现力 和流程优化能力的海量、高增长率和多样化的信息资产。
大数据安全关注点
大数据安全
数据安全
大数据系统


数数命数结个
据 流
据 集
周 期
据 跨
构 化
人 信


动聚变境数息


大 数 大大 据 数数 基 据据 础 平应 设 台用 施
类别
美国NIST标准 ENISA
国际标准 国际标准 CSA ITU-T 国际标准 国际标准 国际标准
国际标准
国际标准 ENISA ENISA ENISA
大 数 据 安 全 标 准 白 皮 书 8 201

大数据安全的特点
? 关注数据安全保护 ? 关注大数据生命周期 ? 关注生态角色职责 ? 重点考虑数据共享和个人信息安全问题
大数据生命周期全过程
采集
终端采集 用户输入 机器数据 数据导入
分类
数据集成 资产管理 分类分级
存储
数据存储 备份恢复
应用
《大数据时代 》 大数据指不用随机分析法(抽样调查)这样的捷径,而采用所有 数据进行分析处理。
信息技术 大数 具有体量巨大、来源多样、生成极快、且多变等特征并且难以用
据 术语
传统数据体系结构有效处理的包含大量数据集的数据。
4
大数据等级保护对象
多样性(variety)
价值性(Value)
……
速度(velocity)
ISO/IEC 27550 《信息技术 安全技术 隐私保护工程》 2016 中小型企业个人数据处理保护指引 2017个人数据处理的安全手册
2017移动应用中的隐私和数据保护
国内标准
序号
标准状态
1 已发布 2 征求意见稿 3 报批稿 4 已发布 5 报批稿 6 报批稿 7 报批稿 8 征求意见稿 9 标准立项
维基百科
大数据指所涉及的数据量规模巨大到无法通过人工,在合理时间 内达到截取、管理、处理、并整理范围内用常规软件工具进行捕捉、 管理和处理的数据集合。
Gartner
“大数据”是需要新处理模式才能具有更强的决策力、洞察发现 力和流程优化能力的海量、高增长率和多样化的信息资产。
业务处理 分析挖掘
交换
数据传输
销毁
数据归档
交换共享
数据销毁
生命周期的安全保护要求
采集
策略制度 授权许可 导入管理 数据保护 个人信息 安全审计
分类
策略制度 资产管理 分类分级 安全审计
存储
策略制度 访问控制 备份管理 数据保密性 数据完整性 安全审计 分类分级 副本管理 属地原则 溯源数据
体量(volume)
真实性(veracity)
多变性(variability)
5
大数据等级保护对象
数据拥有者和管理者的
分离;
单一系统对数据的保护
不足;
保护措施的如何延续;
数据价值的提升与不确
定性;
数据生命期超出原生系
统;
数据边界发生变化;
数据的访问控制发生变
化;
……
应将大数据整体作为等级保护对象,实施统一的、全生命周期的保护
定级原则
大数据基础设施、大数据平台、大数据应 用的安全保护等级 一般由其所承载、处理或产 生的大数据的信息安全保护等级 决定。
如果大数据基础设施、大数据平台、大数 据应用为不同的定级对象,下层定级对象的安 全保护等级应 不低于 其承载的上层定级对象的 等级。
大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评
大数据的定级
组件
大数据 大数据应用 大数据平台
基础设施
责任主体
数据所有者 大数据应用服务提供者 大数据平台服务提供者
基础设施提供者
定级对象
大数据 大数据系统
大数据+大数据应用 大数据+大数据平台
大数据+大数据平台 +基础设施
组件单独或组合可以构成定级对象,当涉及 不同责任主体时,应当分别定级 。
状态
已发布 已发布 制定中 制定中 已发布 已发布 已发布 已发布 已发布
已发布
制定中 已发布 已发布 已发布
标准名称
NIST大数据互操作框架 2015大数据安全 关于大数据系统安全的最佳实践和建议
ISO/IEC 20546:大数据—概述和术语 ISO/IEC 20547: 大数据参考架构
大数据安全和隐私的100条最佳实践 ITU-T Y.3600基于云计算的大数据需求与能力标准 ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》 ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架 》 ISO/IEC 27018:2014《信息技术 安全技术 可识别个人信息(PII) 处理者在公有云中保护PII的实践指南》 ISO/IEC 29151:2017《信息技术 安全技术 可识别个人信息(PII) 保护实践指南》
数据隔离
审计分析 脆弱性
基础设施层 物理安全 网络安全 可信接入 分布式安全 虚拟化安全
备份恢复 剩余信息保护
大数据等级保护对象 大数据的定级 大数据的安全保护 大数据基本要求 大数据测评
8
大数据的安全保护等级
大数据的定级
? 数据资源可单独定级 ? 当安全责任主体相同,大数据、大数据平台和应
用可作为一个整体对象定级
相关主题