大数据时代数据安全防护通用最佳实践

大数据时代数据安全防护通用最佳实践中国信通院-阿里巴巴集团安全创新中心2017 年 10 月中国信息通信研究院 版权声明本白皮书版权属于中国信息通信研究院（工业和信息化部电信研究院）及阿里巴巴网络技术有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院（工业和信息化部电信研究院）及阿里巴巴网络技术有限公司”。违反上述声明者，本院及阿里巴巴将追究其相关法律责任。中国信息通信研究院 I目录一、概述............................................................................................1二、大数据时代下数据安全面临的挑战.......................................3（一）新技术带来的挑战.............................................................3（二）新需求带来的挑战.............................................................4（三）新的应用场景带来的挑战.................................................5三、数据安全防护目标和防护体系................................................6（一）防护目标.............................................................................6（二）防护体系.............................................................................8四、数据安全防护管理措施实践方法.........................................10（一）组织架构设置...................................................................10（二）机构及岗位设置...............................................................12（三）人员管理...........................................................................12（四）管理制度及规程...............................................................131、数据分级分类管理..............................................................142、账号权限管理及审批规程..................................................143、第三方数据共享安全管理..................................................154、外包服务数据安全管理......................................................165、日志管理和安全审计..........................................................166、数据备份与恢复..................................................................17五、数据安全防护技术措施实践方法.........................................18中国信息通信研究院 II（一）数据产生／采集环节的安全技术措施..........................181、元数据安全管理..................................................................182、数据类型、安全等级打标..................................................19（二）数据传输存储环节的安全技术措施..............................20（三）数据使用环节的安全技术措施......................................211、账号权限管理......................................................................212、数据安全域..........................................................................213、数据脱敏..............................................................................224、日志管理和审计..................................................................235、异常行为实时监控与终端数据防泄漏.............................24（四）数据共享环节的安全技术措施......................................25（五）数据销毁环节的安全技术措施......................................26六、数据安全防护典型案例..........................................................26（一）案例一：钉钉移动智能办公平台..................................261、数据安全防护管理措施......................................................262、数据安全防护技术措施......................................................30（二）案例二：南方某供电公司最佳案例..............................321、数据安全防护管理措施......................................................332、数据安全防护技术措施......................................................34中国信息通信研究院 信通院－阿里巴巴创新中心大数据时代下数据安全防护通用最佳实践1一、概述当前，随着信息技术产业革命浪潮，特别是大数据技术创新应用，全球社会正式进入“数据驱动”的时代。大数据技术赋予了人类前所未有的对海量数据的处理和分析能力，促使数据成为国家基础战略资源和创新生产要素，战略价值和资产价值急速攀升。对国家而言，对数据的掌握和利用已成为重塑国家竞争优势、完善国家公共治理体系的关键。大数据时代，国家竞争力部分体现为一国拥有数据的规模、质量以及运用治理数据的能力。世界各国普遍高度重视数据资源战略价值，出台国家战略，落实配套措施，系统提升国家数据掌控能力。另一方面，数据驱动国家治理体系发生根本性改变，从“主观主义” 的模糊治理方式，向“数据引领”的精准治理方式转变，利用大数据等新兴信息技术实现科学决策、智慧治理，打破“信息孤岛”，实现部门间、政府和民众间信息共享，形成新型社会众包式、自治式等治理新模式。对企业而言，数据驱动的创新应用成为企业全生产链条升级发展的全新范式。数据是数字经济时代社会生产的新主导要素，也是新工业革命的核心内容，以数据为驱动的智能制造企业，通过数据实时采集、智能分析和动态反中国信息通信研究院 信通院－阿里巴巴创新中心大数据时代下数据安全防护通用最佳实践2馈，实现从原材料采购、生产加工、物流运输等全生产链条的智能决策，提升资源配置和劳动生产效率。同时，数据改变了传统业务发展形态，企业利用数据快速感知市场需求，构建以数据为驱动的产品布局、市场定位等企业业务发展综合决策新模式，催生大量新产品、新业态，激发市场活力的同时，助力企业提升市场竞争力。然而，我们要看到，大数据技术引发的数据利用新需求、新模式、新业态与保护数据安全之间存在天然冲突，形成了数据利用与保护国家数据资源、数据利用与保护商业秘密、数据利用与保护个人隐私三个主要矛盾。解决这三个矛盾问题，不仅需要国家在顶层设计层面完善数据安全管理体系，加强数据安全法律法规建设，强化数据安全政府监管，还需要数据控制者，即掌握数据资源的企业或机构提升自身数据安全防护能力，切实保障数据机密性、完整性、可用性的同时，保护国家数据资源、企业商业秘密、公民个人信息免遭泄漏、窃取及毁损。阿里巴巴－信通院创新中心在阿里巴巴数据运营和安全防护实际工作经验基础之上，总结提出了数据安全防护通用最佳实践：分析总结了大数据时代下数据安全防护面临的新挑战和新需求，提出了数据安全防护总体目标和框架，并系统阐述了数据安全防护管理措施和技术措施实践方法，最后根据阿里巴巴及合作伙伴实际业务运营工作，中国信息通信研究院 信通院－阿里巴巴创新中心大数据时代下数据安全防护通用最佳实践3给出了数据安全防护体系建设的典型案例。二、大数据时代下数据安全面临的挑战大数据时代下，数据的产生、流通和应用更加普遍化和密集化。从国家层面而言，数据安全是保障国家安全，维护国家网络空间主权，强化相关国际事务话语权的工作重点；从企业层面来看，数据安全关系到商业秘密的规范化管理和合理保护与支配，是企业长久发展不可回避的新阶段任务；对于个人而言，数据安全与个人生活息息相关，直接关系到每位公民的合法权益。大数据时代背景下，新的技术、新的需求和新的应用场景都给数据安全防护带来全新的挑战。（一）新技术带来的挑战分布式计算存储架构、数据深度挖掘及可视化等大数据技术能够大大提升数据资源大规模存储和高性能分析处理能力。然而，分布式的系统部署、开放的网络环境、众多的用户访问，使得数据安全保护面临更大挑战。一是底层复杂开放的分布式存储和计算架构导致系统安全边界模糊，基于边界防护的传统安全措施有效性降低。二是大数据技术引发的全新变革在软件、硬件、协议等多方面引入中国信息通信研究院 信通院－阿里巴巴创新中心大数据时代下数据安全防护通用最佳实践4的未知漏洞，极有可能存在大量安全威胁和隐患。三是分布式节点之间、大数据相关组件之间的通信安全成为新的安全薄弱环节，数据传输面临遭监听、窃取或篡改的威胁。四是分布式数据资源池可能汇集众多用户数据，数据量大和数据种类多为用户数据隔离带来困难。面对新技术带来的挑战，网络与数据安全技术需要同步演进，打破传统基于安全边界的防护策略，实现更细粒度的访问控制，具备更高性能的加密和密钥管理能力，进而保证数据自身安全。（二）新需求带来的挑战大数据时代下，新需求主要体现在对数据资源的占有和利用，由此形成了广泛收集数据和共享开放数据两种具体表现形式。一方面，当前移动智能终端、传感器、智能联网设备时刻采集物理世界的信息，并转化为电子数据，虚拟世界正在成为现实世界的完整映射。另一方面，由于数据的资产价值和经济价值不断攀升，政府部门、企业间数据开放和共享需求随之增加，通过汇聚多方数据进行处理、挖掘分析得出的有用信息是单一数据集无法获得的，所创造的价值也是单一数据集无法比拟的。同时也要看到，数据广泛、多源收集对数据安全本身及个人信息保护带来了新的挑战。一是数据收集中数据来中国信息通信研究院 信通院－阿里巴巴创新中