等保2.0与大数据安全

网络安全等级保护是国家网络安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式发布，这是继2008年发布等保1.0十余年来继网络安全法实施后的一次重大升级。等保2.0在等保1.0的基础上，更加注重全方位主动防御、安全可信、动态感知和全面审计。

等级保护的对象范围在传统基础上也扩大了对云计算、移动互联网、物联网、工业互联网、大数据等重要基础设施的关注。新时代下国家网络安全面临着哪些新的挑战，等保合规工作又要如何开展？

国家对数据安全、个人信息着重做了铺设和加强。

变化：

国家对访问控制的要求是明显做了颗粒度的细化，强调了主体跟客体以文件和数据库表及作为访问控制的目标对象，在等保1.0里是非常不明确甚至是没有提及的，这是个非常大的进步。

国家加强了对个人信息的保护，提出了未授权概念，不允许在未授权的账户运营的情况下去访问和使用个人的用户数据。

对企业内部的外包人员所使用的企业内部的系统、数据的访问权限，也是有一些保密协议以及技术安全的管理要求，明确提出了外部人员离开现场应该清除所有的访问权限和使用权限。这里边的离场我们可以理解成外包人员以项目的形式进驻企业，当项目截止之后，企业收回原来开放给他的所有的账号，以及所有的应用系统跟数据访问权限。

对账号管理做了更强力度的措施，明确提出应在对外包运维服务期间签订保密协议，并在所能涉及的相关的敏感数据的处理和存储中要求安全措施。

我们总结起来，在等保2.0下去做数据安全的建设，

主要从这四个方面去展开

用户行为鉴权（加强用户行为的鉴权）

数据访问控制（有效地建立起对数据访问控制机制）

敏感数据脱敏（对数据本身的一些使用和落盘的数据要做脱敏和加密）

业务/重要数据加密

从这张图上的话想表达的是说构建整个等保2.0下的数据安全，我们应该考虑遵从一个比较科学的规范，也就是数据的生命周期要以一个全生命周期的方式去覆盖去防御我们的生命数据。

防御数据传防御传统的网络安全有个最大差别是原来的网络是有边界的，但数据它相对是个无边界的状态，我们要去遵从一个数据从生存到销毁的自然生命周期，它覆盖了创建存储传输交换处理和销毁这六个生命的自然节点。在不同的生命周期上，我们将通过不同的技术手手段去做我们的安全措施。

譬如说在数据创建的时候，我们要帮助用户去梳理他的数据资产，所谓的数据资产就是要告诉用户你的数据有哪些，存在什么地方，以什么方式在存储，以什么方式在读取，数据本身有没有做过基于安全属性基于业务属性的分级分类？有了这些数据的标签，这些对数据管理和流动性控制都是非常好的基础。

存储过程中我们会强调的数据落盘的存储会通过偷TD加密或者动态加密的方式去帮助用户在存储和传输过程中做到安全的措施。

传输跟交换过程中，我们会强调了用安全审计的方式去帮助用户还原它的每一份数据，每次请求所对应用系统对数据系统是谁在什么时候访问，对数据做了哪些操作行为，我们都会一一的记录，以便事后的回溯以及事中的告警。

通过数据鉴权，可以对用户的访问的身份做动态地识别。我们可以去对接用户他里边对里边的一些应用系统的默认的一些管理的一些账号体系，以及对每个用户的终端去访问应用访问数据的时候，对它的终端环境做一个画像去鉴定环境此时此刻访问的数据是否足够安全，我们通过环境变量来判断他的身份下的另外一种安全的一些状态，去判断他能不能去安全去阅读一份数据访问一份数据获取份数据。

最后，在它获取到相应的权限之后，真正地从数据源从数据库里边去获取返回的时候，同样的我们通过我们刚才说了对等保2.0提到的对数据的字段级别的表管控和标签，我们对他所返回的数据可以提供一份非常良好的一个保护措施，对敏感数据对业务重要数据做脱敏。