数据安全

• 是什么
  • 合规
    • 网安法,数安法,个保法,等保,国情法
    • 数据安全治理专业委员会,数据安全能力成熟度模型
    • DSM认证,CNAS认证
  • 数据保护
    • 数据分类分级
      • 数据共享问题，NLP，数据指纹
      • 资产摸底
    • 运营
      • 流程管理
      • 事件处理
    • 攻击防范
      • 数据流动性问题
    • 风险评估
      • 数据资产评估，数据全生命周期
      • 基础安全，合规，场景化分析
  • 扩展
    • 安全和效率
    • Google安全,Google基础架构安全
    • AI可信,Pause Giant AI Experiments
• 谁检测
  • 公司安全部门
    • 信息安全合规
    • 数据保护
      • 加密，扫描，专用软件
      • 访问控制
    • 实时监控
      • 网络、应用
    • 安全审计
      • 网络分站点日志、电脑日志、邮件
    • 硬检查
      • 电脑
        • 离机锁屏、移动设备密码、端点安全
        • 出入电脑扫磁条、电脑接口
        • 出差电脑申请，资料拷贝处罚和通报
      • 内部一套公办系统，内部开发者社区
      • 培训与考试
  • 第三方软件测评
    • 安全审计
      • 源代码、架构设计文档、访问控制文档
      • 数据库和数据字典、日志和事件记录
    • 等保测评
    • 渗透测试
      • IP、端口、API安全
      • 漏洞扫描
      • 密码攻击
      • 无线渗透
        • FireSheep
  • 有关部门网络审查
    • 渠道
      • 流量
        • 流量特征，深度包检测
        • 关键词阻断TCP重置，DNS污染，路由扩散，TLS1.3
      • IP扫描
      • 文件
    • 测试
      • 渗透测试
      • 态势感知
      • 电子取证
• 安全规约
  • 敏感数据限制
    • 敏感数据定义
      • 涉密
        • 账号、客户数据、财务数据、人力资源数据、业务数据
      • 知识产权
        • 代码、专利、商标、著作权、商业秘密
    • 用户数据功能必须做水平校验
    • 脱敏、加密存储
    • 代码审计
    • 数据防泄露
      • 公司信息不能外传
      • 保密协议、保密费
    • 密码存储
    • 版权保护
  • 账号
    • 内外部应用
    • 账号发送确认
    • 动态授权
      • 权限申请，权限粒度与过期
    • 账号回收、数据清除
    • 内/外网上线
    • 资产
      • 申报领用、归属、跟踪
  • 数据流通
    • 数据隐私
      • GDPR
    • 预防重放攻击
      • 短信、邮件、电话、下单、支付
      • 数量限制、疲劳度控制、验证码
    • 数据流通
      • 数据交易、数据跨境
        • 访问控制、操作审计、流量还原、跨境检测
      • 零信任
  • 服务安全
    • Security
    • 安全测试
• 运维安全
  • 运营安全
  • 服务器
    • 检测、扫描
    • 合规
      • ISO/IEC 27001
    • 事件响应
    • 物理安全
  • 数据
    • 加密传输
    • 备份
      • 删库跑路的后果
    • 访问控制
  • 网络安全
    • 更关心管道准入
      • 堡垒机、网闸、文件
      • API、邮件、第三方互联
  • 边界安全
    • 防火墙
    • 路由器
    • 端到端加密
      • SSL VPN
    • 流量加密
      • 密码机
    • 网络隔离
    • 入侵检测，网络行为审计
  • 审计
    • 数据库审计
    • 运维审计
• 感谢