1、（一）數據產生采集環節的安全技術措施從數據安全角度考慮，在數據產生采集環節需要實現的技術能力主要是元數據安全管理、數據類型和安全等級打標，相應功能需要內嵌入后臺運維管理系統，或與其無縫對接，從而實現安全責任制、數據分級分類管理等管理制度在實際業務流程中的落地實施1、元數據安全管理以結構化數據為例，元數據安全管理需要實現的功能，包括數據表級的所屬部門、開發人、安全責任人的設置和查詢，表字段的資產等級、安全等級查詢，表與上下游表的血緣關系查詢，表訪問操作權限申請入口。完整的元數據安全管理功能應可以顯示一個數據表基本情況，包括每個字段的類型、具體描述、數據類型、安全等級等，同時顯示這個數據表的開發人

2、、負責人、安全接口人、所屬部門等信息，并且可以通過這個界面申請對該表訪問操作權限。2、數據類型、安全等級打標建議使用自動化的數據類型、安全等級打標工具幫助組織內部實現數據分級分類管理，特別是在組織內部擁有大量數據的情況下，能夠保證管理效率。打標工具根據數據分級分類管理制度中定義的數據類型、安全等級進行標識化，通過預設判定規則實現數據表字段級別的自動化識別和打標。下圖是一個打標工具的功能示例，顯示了一個數據表每個字段的數據類型和安全等級，在這個示例中，“C表示該字段的數據類型，C后面的數字表示該字段的安全等級。瑋玲吳暈星花堂耙主tK*告外者空等疆1rftwnberjdbtgpnl.*tllC2要

3、!*建.PMfWBdtiling的臚n畬員芝筠一己信值fMCte-III4fuiiiwnellTlirtg511#叩mUI!息低6Addreullring!firingmHU:壬n*耳一花B.Irivr叩lC2王寫鄉.rKg4JU11L1CJ!事專寫網事10zipsftring*norOC2名11phorwtiring口電諾星而數據類型、安全等級標識示例（二）數據傳輸存儲環節的安全技術措施數據傳輸和存儲環節主要通過密碼技術保障數據機密性、完整性。在數據傳輸環節，可以通過HTTPSVPN等技術建立不同安全域間的加密傳輸鏈路，也可以直接對數據進行加密，以密文形式傳輸，保障數據傳輸過程安全。在數據存

4、儲環節，可以采取數據加密、硬盤加密等多種技術方式保障數據存儲安全。（三）數據使用環節的安全技術措施數據使用環節安全防護的目標是保障數據在授權范圍內被訪問、處理，防止數據遭竊取、泄漏、損毀。為實現這一目標，除了防火墻、入侵檢測、防病毒、防DDoS漏洞檢測等網絡安全防護技術措施外，數據使用環節還需實現的安全技術能力包括：1、賬號權限管理建立統一賬號權限管理系統，對各類業務系統、數據庫等賬號實現統一管理是保障數據在授權范圍內被使用的有效方式，也是落實賬號權限管理及審批制度必需的技術支撐手段。賬號權限管理系統具體實現功能與組織自身需求有關，除基本的創建或刪除賬號、權P權限控制的顆粒度盡可能小，只供學習

5、與交流艮管理和審批功能外，建議實現的功能還包括:最好做到對數據表列級的訪問和操作權限控制是對權限的授予設置有效期，到期自動回收權限。三是記錄賬號管理操作日志、權限審批日志，并實現自動化審計；日志和審計功能也可以由獨立的系統完成。2、數據安全域數據安全域的概念是運用虛擬化技術搭建一個能夠訪問、操作數據的安全環境，組織內部的用戶在不需要將原始數據提取或下載到本地的情況下，即可以完成必要的查看和數據分析。原始數據不離開數據安全域，能夠有效防范內部人員盜取數據的風險。圖7是數據安全域的拓撲結構示例，數據安全域由一個虛擬機集群組成，與數據庫服務器通過網關連接，組織內部用戶安裝相應的終端軟件，可以通過中轉

6、機實現對原始數據的訪問和操作。辦公域虛擬安全域數據域數據崗假術崗 用戶（含運營部口 的數據同）修扈箕篁通介容印日3、數據脫敏從保護敏感數據機密性的角度出發，在進行數據展示時，需要對敏感數據進行模糊化處理。特別是對手機號碼、身份證件號碼等個人敏感信息，模糊化展示也是保護個人信息安全所必須采取的措施。業務系統或后臺管理系統在展示數據時需要具備數據脫敏功能，或嵌入專門的數據脫敏工具。數據脫敏工具可以實現對數值和文本類型的數據脫敏，支持多種脫敏方式，包括不可逆加密、區間隨機、掩碼替換等。4、日志管理和審計日志管理和審計方面的技術能力要求主要是對賬號管理操作日志、權限審批日志、數據訪問操作日志等進行記錄

7、和審計，以輔助相關管理制度的落地執行。技術實現上，可以根據組織內容實際情況，建設統一的日志管理和審計系統，或由相關系統各自實現功能，如賬號管理和權限審批系統,實現賬號管理操作日志、權限審批日志記錄和審計功能。5、異常行為實時監控與終端數據防泄漏相對于日志記錄和安全審計等“事后”追查性質的安全技術措施，異常行為實時監控是實現“事前”、“事中”環節監測預警和實時處置的必要技術措施。異常行為監控系統應當能夠對數據的非授權訪問、數據文件的敏感操作等危險行為進行實時監測。同時，終端數據防泄漏工具能夠在本地監控辦公終端設備操作行為，是組織內部異常行為監控體系的主要組成部分，可以有效防范內部人員竊取、泄漏數

8、據的風險，同時有助于安全事件發生后的溯源取證。終端數據防泄漏工具通過監測終端設備的網絡流量、運行的軟件、USB接口等，實時發現發送、上傳、拷貝、轉移數據文件等行為，掃描文件是否包含禁止提供或披露的數據，進而實時告警或阻斷。（四）數據共享環節的安全技術措施數據共享環節涉及向第三方提供數據、對外披露數據等不同業務場景，在執行數據共享安全相關管理制度規定的同時，可以建設統一數據分發平臺，與數據安全域技術結合，作為數據離開數據安全域的唯一出口，進而在滿足業務需求的同時，有效管理數據共享行為，防范數據遭竊取、泄漏等安全風險。統一數據分發平臺需要整合所有數據共享業務場景，例如基于原始數據的處理分析結果向第三方共享、數據分析報告下載到辦公終端設備等情形，對每一類數據共享場景實現差異化的線上審批流