數字化轉型浪潮下的數據安全最佳實踐指南

本書首先介紹了業內多個具備代表性的數據安全理論及實踐框架。借鑒這些理論和框架的思想，基於豐富的數據安全項目實戰經驗，總結了一套針對敏感數據保護的CAPE數據安全實踐框架；然後從數據常見風險出發，引出數據保護最佳實踐，全面介紹了幾個代表性行業的數據安全實踐案例；最後詳細介紹了相關數據安全的技術原理。本書主要針對政府及電信、金融、醫療、教育等重點行業面臨的最具威脅性和代表性的數據安全風險，總結了這些數據安全風險的應對方法和安全防護實踐指南，詳細介紹了當前市面上前沿和具有代表性的數據安全防護技術，並為廣大讀者提供了多個行業典型的數據安全最佳實踐案例。希望讀者能夠從框架、風險、實施、技術等方面全面瞭解數據安全保護的理論和實踐方法。本書可以作為高校學生、信息安全行業從業者的數據安全的入門讀物，也可作為相關機構或組織進行數據安全建設實踐的參考指南。

第1章 數字化轉型驅動數據安全建設 1
1.1 數據安全相關法律簡介 1
1.2 數據安全的市場化價值挖掘 2
1.3 政企數字化轉型的戰略意義和核心能力 3
1.3.1 政企數字化轉型的戰略意義 3
1.3.2 政企數字化轉型的核心競爭力 5
1.4 數字化發展帶來的安全威脅 6
1.4.1 數據安全角勢日趨嚴峻 6
1.4.2 數據安全事件層出不窮 7
1.4.3 數據安全問題制約數字經濟發展 8
第2章 數據安全理論及實踐框架 10
2.1 數據安全治理（DSG）框架 10
2.2 數據安全管控（DSC）框架 12
2.3 數據驅動審計和保護（DCAP）框架 14
2.4 數據審計和保護成熟度模型（DAPMM） 15
2.5 隱私、保密和合規性數據治理（DGPC）框架 17
2.6 數據安全能力成熟度模型（DSMM） 19
2.7 CAPE數據安全實踐框架 21
2.7.1 風險核查（C） 23
2.7.2 數據梳理（A） 23
2.7.3 數據保護（P） 24
2.7.4 監控預警（E） 24
2.8 小結 24
第3章 數據安全常見風險 26
3.1 數據庫部署情況底數不清（C） 26
3.2 數據庫基礎配置不當（C） 27
3.3 敏感重要數據分佈情況底數不清（A） 28
3.4 敏感數據和重要數據過度授權（A） 29
3.5 高權限賬號管控較弱（A） 30
3.6 數據存儲硬件失竊（P） 31
3.7 分析型和測試型數據風險（P） 32
3.8 敏感數據泄露風險（P） 33
3.9 SQL註入（P） 35
3.10 數據庫系統漏洞淺析（P） 37
3.11 基於API的數據共享風險（P） 37
3.12 數據庫備份文件風險（P） 40
3.13 人為誤操作風險（E） 41
第4章 數據安全保護最佳實踐 43
4.1 建設前：數據安全評估及咨詢規劃 43
4.1.1 數據安全頂層規劃咨詢 43
4.1.2 數據安全風險評估 44
4.1.3 數據安全分類分級咨詢 45
4.2 建設中：以CAPE數據安全實踐框架為指導去實踐 46
4.2.1 數據庫服務探測與基線核查（C） 46
4.2.2 敏感數據分類分級（A） 47
4.2.3 精細化數據安全權限管控（A） 51
4.2.4 對特權賬號操作實施全方位管控（A） 52
4.2.5 存儲加密保障數據存儲安全（P） 53
4.2.6 對分析和測試數據實施脫敏或添加水印（P） 55
4.2.7 網絡防泄露（P） 61
4.2.8 終端防泄露（P） 64
4.2.9 防禦SQL註入和漏洞（P） 66
4.2.10 及時升級數據庫漏洞或者虛擬補丁（P） 69
4.2.11 基於API共享的數據權限控制（P） 73
4.2.12 數據備份（P） 75
4.2.13 全量訪問審計與行為分析（E） 78
4.2.14 構建敏感數據溯源能力（E） 79
4.3 建設中：數據安全平臺統一管理數據安全能力 82
4.3.1 平臺化是大趨勢 82
4.3.2 數據安全平臺典型架構 84
4.4 建設後：持續的數據安全策略運營及員工培訓 86
4.4.1 數據安全運營與培訓內容 86
4.4.2 建設時間表矩陣 87
第5章 代表性行業數據安全實踐案例 89
5.1 數字政府與大數據局 89
5.1.1 數字經濟發展現狀 89
5.1.2 數據是第五大生產要素 89
5.1.3 建設數字中國 89
5.1.4 數據安全是數字中國的基石 89
5.1.5 大數據局數據安全治理實踐 90
5.1.6 數據安全治理價值 91
5.2 電信行業數據安全實踐 92
5.2.1 電信行業數據安全相關政策要求 92
5.2.2 電信行業數據安全現狀與挑戰 93
5.2.3 電信行業數據安全治理對策 93
5.3 金融行業數據安全實踐 95
5.3.1 典型數據安全事件 95
5.3.2 金融行業數據風險特徵 95
5.3.3 金融行業數據安全標準 96
5.3.4 金融數據安全治理內容 97
5.4 醫療行業數據安全實踐 99
5.4.1 醫療數據範圍 99
5.4.2 醫療業務數據場景與安全威脅 100
5.4.3 數據治理建設內容 101
5.4.4 典型數據安全治理場景案例 103
5.5 教育行業數據安全實踐 104
5.5.1 安全背景 104
5.5.2 現狀情況 104
5.5.3 安全需求 105
5.5.4 安全實踐思路 106
5.5.5 總體技術實踐 107
5.5.6 典型實踐場景案例 110
5.6 “東數西算”數據安全實踐 112
5.6.1 “東數西算”發展背景 112
5.6.2 “東數西算”實踐價值 112
5.6.3 “東數西算”實踐內容 112
第6章 數據安全技術原理 115
6.1 數據資產掃描（C） 115
6.1.1 概況 115
6.1.2 技術路線 116
6.1.3 應用場景 119
6.2 敏感數據識別與分類分級（A） 119
6.2.1 概況 119
6.2.2 技術路線 120
6.2.3 應用場景 123
6.3 數據加密（P） 123
6.3.1 概況 123
6.3.2 技術路線 123
6.3.3 應用場景 128
6.4 靜態數據脫敏（P） 129
6.4.1 概況 129
6.4.2 技術路線 130
6.4.3 應用場景 133
6.5 動態數據脫敏（P） 134
6.5.1 概況 134
6.5.2 技術路線 135
6.5.3 應用場景 137
6.6 數據水印（P） 138
6.6.1 概況 138
6.6.2 技術路線 140
6.6.3 應用場景 142
6.7 文件內容識別（P） 143
6.7.1 概況 143
6.7.2 技術路線 144
6.7.3 應用場景 149
6.8 數據庫網關（P） 150
6.8.1 概況 150
6.8.2 技術路線 152
6.8.3 應用場景 155
6.9 UEBA異常行為分析（E） 156
6.9.1 概況 156
6.9.2 技術路線 156
6.9.3 應用場景 158
6.10 數據審計（E） 159
6.10.1 概況 159
6.10.2 技術路線 160
6.10.3 應用場景 162