信息化觀察網(wǎng)

數(shù)據(jù)安全作為大數(shù)據(jù)平臺(tái)安全保障體系的重要組成部分，在提供業(yè)務(wù)便利性的同時(shí)，對(duì)大數(shù)據(jù)平臺(tái)安全保障體系的落實(shí)起著重要的作用。數(shù)據(jù)安全解決方案，應(yīng)立足于數(shù)據(jù)全程的保護(hù)，降低數(shù)據(jù)運(yùn)行過(guò)程中的風(fēng)險(xiǎn)，保證數(shù)據(jù)在存儲(chǔ)、傳輸和運(yùn)行過(guò)程中的安全。

某部委大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全解決方案，圍繞數(shù)據(jù)的全生命周期安全進(jìn)行設(shè)計(jì)和實(shí)施，通過(guò)建設(shè)數(shù)據(jù)資產(chǎn)安全管控系統(tǒng)，對(duì)數(shù)據(jù)資產(chǎn)的分布、流動(dòng)進(jìn)行態(tài)勢(shì)呈現(xiàn)，對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行建模分析，對(duì)數(shù)據(jù)泄露、濫用、誤用等情況進(jìn)行追蹤溯源，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的設(shè)備進(jìn)行協(xié)同處理。

數(shù)據(jù)安全解決方案目標(biāo)

大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全解決方案的目標(biāo)是提升在應(yīng)用層、數(shù)據(jù)資源層、網(wǎng)絡(luò)層和基礎(chǔ)平臺(tái)層等各個(gè)層面上的數(shù)據(jù)安全縱深防御能力，保障數(shù)據(jù)和服務(wù)的可靠性、可用性、真實(shí)性、有效性和私密性。

通過(guò)建設(shè)數(shù)據(jù)資產(chǎn)安全管控系統(tǒng)，對(duì)數(shù)據(jù)資產(chǎn)的分布、流動(dòng)進(jìn)行態(tài)勢(shì)呈現(xiàn)，對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行建模分析，對(duì)數(shù)據(jù)泄露、濫用、誤用等情況進(jìn)行追蹤溯源，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的設(shè)備進(jìn)行協(xié)同處理。

數(shù)據(jù)安全解決方案實(shí)施步驟：兩步一平臺(tái)。

第一步：數(shù)據(jù)安全管理咨詢與數(shù)據(jù)資產(chǎn)梳理

數(shù)據(jù)安全合規(guī)分析

數(shù)據(jù)安全風(fēng)險(xiǎn)分析

數(shù)據(jù)安全管理制度

數(shù)據(jù)資產(chǎn)梳理

數(shù)據(jù)資產(chǎn)動(dòng)態(tài)梳理

第二步：數(shù)據(jù)資產(chǎn)安全管控

數(shù)據(jù)授權(quán)與訪問(wèn)控制

數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)共享與分發(fā)安全

網(wǎng)絡(luò)與終端數(shù)據(jù)防泄漏

一平臺(tái)：是指建立數(shù)據(jù)資產(chǎn)安全管控平臺(tái)

數(shù)據(jù)安全管控平臺(tái)用于集中管理數(shù)據(jù)安全產(chǎn)品，可提供全網(wǎng)數(shù)據(jù)安全產(chǎn)品實(shí)時(shí)狀況的監(jiān)控、報(bào)警、報(bào)表信息的集中展現(xiàn)、各系統(tǒng)“一窗式”運(yùn)維管理、系統(tǒng)的快速定位，以及高安全冗余備用方案。

數(shù)據(jù)安全解決方案中體現(xiàn)的主要能力

1、數(shù)據(jù)資產(chǎn)梳理

數(shù)據(jù)資產(chǎn)梳理，從業(yè)務(wù)戰(zhàn)略和風(fēng)險(xiǎn)分析出發(fā)，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理，進(jìn)行分類分級(jí)，確定數(shù)據(jù)優(yōu)先級(jí)后再結(jié)合數(shù)據(jù)風(fēng)險(xiǎn)制定安全管理策略，并將其貫徹到數(shù)據(jù)全生命周期。數(shù)據(jù)資產(chǎn)梳理的對(duì)象又分為結(jié)構(gòu)化數(shù)據(jù)梳理和非結(jié)構(gòu)化數(shù)據(jù)梳理。

2、數(shù)據(jù)授權(quán)與訪問(wèn)控制

針對(duì)結(jié)構(gòu)化政務(wù)數(shù)據(jù)使用安全，使用數(shù)據(jù)安全網(wǎng)關(guān)進(jìn)行數(shù)據(jù)級(jí)的訪問(wèn)控制，同時(shí)引入數(shù)據(jù)審計(jì)系統(tǒng)和數(shù)據(jù)庫(kù)運(yùn)維系統(tǒng)，對(duì)于數(shù)據(jù)庫(kù)操作進(jìn)行全程監(jiān)控和告警，同時(shí)提供事后現(xiàn)場(chǎng)還原和追溯的能力。

數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)能夠?qū)崿F(xiàn)對(duì)進(jìn)出數(shù)據(jù)庫(kù)的雙向訪問(wèn)流量進(jìn)行高效精準(zhǔn)的解析、訪問(wèn)控制和攻擊特征檢測(cè)，根據(jù)系統(tǒng)內(nèi)置的各種漏洞攻擊特征、策略以及自定義策略，可以實(shí)時(shí)的對(duì)數(shù)據(jù)庫(kù)的請(qǐng)求進(jìn)行精準(zhǔn)處理。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠?qū)⒃L問(wèn)數(shù)據(jù)庫(kù)（包括傳統(tǒng)數(shù)據(jù)庫(kù)和大數(shù)據(jù)組件如Hbase，MongoDB，ElasticSearch等）的流量導(dǎo)流或復(fù)制到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)上，通過(guò)對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)包進(jìn)行解析，對(duì)業(yè)界主流數(shù)據(jù)庫(kù)進(jìn)行深度解析與審計(jì)分析，可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)全業(yè)務(wù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審計(jì)、安全事件可追溯。

數(shù)據(jù)庫(kù)運(yùn)維系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)庫(kù)運(yùn)維人員通過(guò)訪問(wèn)統(tǒng)一路徑來(lái)實(shí)現(xiàn)原有分散運(yùn)維帶來(lái)的管理與技術(shù)風(fēng)險(xiǎn)。能夠通過(guò)數(shù)據(jù)庫(kù)運(yùn)維系統(tǒng)，對(duì)周期性的數(shù)據(jù)庫(kù)運(yùn)維操作和突發(fā)性的數(shù)據(jù)庫(kù)運(yùn)維操作都能遵循事先設(shè)定好的安全策略。避免越權(quán)訪問(wèn)、誤操作等情況的發(fā)生。

3、數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)庫(kù)透明加密系統(tǒng)能夠通過(guò)加密算法和密鑰將明文轉(zhuǎn)變?yōu)槊芪?，防止明文存?chǔ)引起的數(shù)據(jù)內(nèi)部泄密、高權(quán)限用戶的數(shù)據(jù)竊取，并防止敏感數(shù)據(jù)泄漏等。

（1）滿足數(shù)字資產(chǎn)等級(jí)化的安全防護(hù)要求，有選擇性的保護(hù)數(shù)據(jù)庫(kù)內(nèi)部敏感數(shù)據(jù)的安全性，通過(guò)在數(shù)據(jù)庫(kù)管理系統(tǒng)的內(nèi)核中嵌入自主研發(fā)的安全防護(hù)系統(tǒng)，通過(guò)字段級(jí)別的加密來(lái)達(dá)到對(duì)敏感數(shù)據(jù)的防護(hù)目的；

（2）敏感數(shù)據(jù)以亂碼的形式存在，保證存儲(chǔ)介質(zhì)丟失和數(shù)據(jù)庫(kù)文件被非法復(fù)制的情況下，數(shù)據(jù)的機(jī)密性；

（3）通過(guò)授權(quán)實(shí)現(xiàn)訪問(wèn)控制，非授權(quán)用戶（包含DBA）查看到的數(shù)據(jù)為空或者亂碼，從而在一定程度上削弱DBA的權(quán)利，降低DBA權(quán)限外泄帶來(lái)的危險(xiǎn)；

4、數(shù)據(jù)共享與分發(fā)安全

通過(guò)制定脫敏規(guī)則及策略進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)數(shù)據(jù)庫(kù)中敏感信息的可靠保護(hù)，進(jìn)而滿足生產(chǎn)數(shù)據(jù)面向測(cè)試、開(kāi)發(fā)、培訓(xùn)和數(shù)據(jù)共享場(chǎng)景的數(shù)據(jù)安全需求。

能夠支持靜態(tài)脫敏和動(dòng)態(tài)脫敏兩種模式，支持替換、截?cái)唷⑵帘?、隨機(jī)、加密、隱藏等脫敏算法和策略，支持刪除、編輯等高危操作禁止，限制返回行數(shù)等動(dòng)態(tài)訪問(wèn)控制策略。能夠解決大多數(shù)用戶針對(duì)合規(guī)性滿足以及敏感數(shù)據(jù)泄露防護(hù)等場(chǎng)景的業(yè)務(wù)需求。

5、網(wǎng)絡(luò)與終端數(shù)據(jù)防泄漏

網(wǎng)絡(luò)數(shù)據(jù)防泄漏能夠通過(guò)正則表達(dá)式、數(shù)據(jù)標(biāo)識(shí)符、數(shù)據(jù)指紋、機(jī)器學(xué)習(xí)等 方式自動(dòng)識(shí)別、發(fā)現(xiàn)外泄敏感數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)防泄露網(wǎng)關(guān)主要用于旁路安裝在網(wǎng)絡(luò)出口處，通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，識(shí)別數(shù)據(jù)分類并形成風(fēng)險(xiǎn)事件上傳至安全運(yùn)營(yíng)管理中心。

終端數(shù)據(jù)泄露系統(tǒng)主要用于安裝在員工筆記本或臺(tái)式機(jī)上，負(fù)責(zé)掃面發(fā)現(xiàn)這些終端上敏感數(shù)據(jù)，并監(jiān)視這些終端上敏感數(shù)據(jù)的操作使用，對(duì)于高風(fēng)險(xiǎn)數(shù)據(jù)的復(fù)制、USB拷貝、打印刻錄等行為進(jìn)行風(fēng)險(xiǎn)提醒和阻斷保護(hù)。

6、數(shù)據(jù)資產(chǎn)安全管控平臺(tái)

數(shù)據(jù)資產(chǎn)安全管控平臺(tái)用于集中管理數(shù)據(jù)安全產(chǎn)品，可提供全網(wǎng)數(shù)據(jù)安全產(chǎn)品實(shí)時(shí)狀況的監(jiān)控、報(bào)警、報(bào)表信息的集中展現(xiàn)、各系統(tǒng)“一窗式”運(yùn)維管理、系統(tǒng)的快速定位，以及高安全冗余備用方案。為信息部門(mén)領(lǐng)導(dǎo)提供及時(shí)、全面、準(zhǔn)確的全網(wǎng)數(shù)據(jù)安全管理的量化分析和數(shù)據(jù)安全的決策依據(jù)。