【案例】政務(wù)大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全解決方案

信息化觀察網(wǎng)
信息化觀察網(wǎng)
數(shù)據(jù)安全作為大數(shù)據(jù)平臺(tái)安全保障體系的重要組成部分,在提供業(yè)務(wù)便利性的同時(shí),對大數(shù)據(jù)平臺(tái)安全保障體系的落實(shí)起著重要的作用。數(shù)據(jù)安全解決方案,應(yīng)立足于數(shù)據(jù)全程的保護(hù),降低數(shù)據(jù)運(yùn)行過程中的風(fēng)險(xiǎn),保證數(shù)據(jù)在存儲(chǔ)、傳輸和運(yùn)行過程中的安全。

數(shù)據(jù)安全作為大數(shù)據(jù)平臺(tái)安全保障體系的重要組成部分,在提供業(yè)務(wù)便利性的同時(shí),對大數(shù)據(jù)平臺(tái)安全保障體系的落實(shí)起著重要的作用。數(shù)據(jù)安全解決方案,應(yīng)立足于數(shù)據(jù)全程的保護(hù),降低數(shù)據(jù)運(yùn)行過程中的風(fēng)險(xiǎn),保證數(shù)據(jù)在存儲(chǔ)、傳輸和運(yùn)行過程中的安全。

某部委大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全解決方案,圍繞數(shù)據(jù)的全生命周期安全進(jìn)行設(shè)計(jì)和實(shí)施,通過建設(shè)數(shù)據(jù)資產(chǎn)安全管控系統(tǒng),對數(shù)據(jù)資產(chǎn)的分布、流動(dòng)進(jìn)行態(tài)勢呈現(xiàn),對數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行建模分析,對數(shù)據(jù)泄露、濫用、誤用等情況進(jìn)行追蹤溯源,實(shí)現(xiàn)對數(shù)據(jù)安全的設(shè)備進(jìn)行協(xié)同處理。

數(shù)據(jù)安全解決方案目標(biāo)

大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全解決方案的目標(biāo)是提升在應(yīng)用層、數(shù)據(jù)資源層、網(wǎng)絡(luò)層和基礎(chǔ)平臺(tái)層等各個(gè)層面上的數(shù)據(jù)安全縱深防御能力,保障數(shù)據(jù)和服務(wù)的可靠性、可用性、真實(shí)性、有效性和私密性。

通過建設(shè)數(shù)據(jù)資產(chǎn)安全管控系統(tǒng),對數(shù)據(jù)資產(chǎn)的分布、流動(dòng)進(jìn)行態(tài)勢呈現(xiàn),對數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行建模分析,對數(shù)據(jù)泄露、濫用、誤用等情況進(jìn)行追蹤溯源,實(shí)現(xiàn)對數(shù)據(jù)安全的設(shè)備進(jìn)行協(xié)同處理。

數(shù)據(jù)安全解決方案實(shí)施步驟:兩步一平臺(tái)。

第一步:數(shù)據(jù)安全管理咨詢與數(shù)據(jù)資產(chǎn)梳理

數(shù)據(jù)安全合規(guī)分析

數(shù)據(jù)安全風(fēng)險(xiǎn)分析

數(shù)據(jù)安全管理制度

數(shù)據(jù)資產(chǎn)梳理

數(shù)據(jù)資產(chǎn)動(dòng)態(tài)梳理

第二步:數(shù)據(jù)資產(chǎn)安全管控

數(shù)據(jù)授權(quán)與訪問控制

數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)共享與分發(fā)安全

網(wǎng)絡(luò)與終端數(shù)據(jù)防泄漏

一平臺(tái):是指建立數(shù)據(jù)資產(chǎn)安全管控平臺(tái)

數(shù)據(jù)安全管控平臺(tái)用于集中管理數(shù)據(jù)安全產(chǎn)品,可提供全網(wǎng)數(shù)據(jù)安全產(chǎn)品實(shí)時(shí)狀況的監(jiān)控、報(bào)警、報(bào)表信息的集中展現(xiàn)、各系統(tǒng)“一窗式”運(yùn)維管理、系統(tǒng)的快速定位,以及高安全冗余備用方案。

數(shù)據(jù)安全解決方案中體現(xiàn)的主要能力

1、數(shù)據(jù)資產(chǎn)梳理

數(shù)據(jù)資產(chǎn)梳理,從業(yè)務(wù)戰(zhàn)略和風(fēng)險(xiǎn)分析出發(fā),對數(shù)據(jù)資產(chǎn)進(jìn)行梳理,進(jìn)行分類分級,確定數(shù)據(jù)優(yōu)先級后再結(jié)合數(shù)據(jù)風(fēng)險(xiǎn)制定安全管理策略,并將其貫徹到數(shù)據(jù)全生命周期。數(shù)據(jù)資產(chǎn)梳理的對象又分為結(jié)構(gòu)化數(shù)據(jù)梳理和非結(jié)構(gòu)化數(shù)據(jù)梳理。

2、數(shù)據(jù)授權(quán)與訪問控制

針對結(jié)構(gòu)化政務(wù)數(shù)據(jù)使用安全,使用數(shù)據(jù)安全網(wǎng)關(guān)進(jìn)行數(shù)據(jù)級的訪問控制,同時(shí)引入數(shù)據(jù)審計(jì)系統(tǒng)和數(shù)據(jù)庫運(yùn)維系統(tǒng),對于數(shù)據(jù)庫操作進(jìn)行全程監(jiān)控和告警,同時(shí)提供事后現(xiàn)場還原和追溯的能力。

數(shù)據(jù)庫安全網(wǎng)關(guān)能夠?qū)崿F(xiàn)對進(jìn)出數(shù)據(jù)庫的雙向訪問流量進(jìn)行高效精準(zhǔn)的解析、訪問控制和攻擊特征檢測,根據(jù)系統(tǒng)內(nèi)置的各種漏洞攻擊特征、策略以及自定義策略,可以實(shí)時(shí)的對數(shù)據(jù)庫的請求進(jìn)行精準(zhǔn)處理。

數(shù)據(jù)庫審計(jì)系統(tǒng)能夠?qū)⒃L問數(shù)據(jù)庫(包括傳統(tǒng)數(shù)據(jù)庫和大數(shù)據(jù)組件如Hbase,MongoDB,ElasticSearch等)的流量導(dǎo)流或復(fù)制到數(shù)據(jù)庫審計(jì)系統(tǒng)上,通過對訪問數(shù)據(jù)庫的數(shù)據(jù)包進(jìn)行解析,對業(yè)界主流數(shù)據(jù)庫進(jìn)行深度解析與審計(jì)分析,可以實(shí)現(xiàn)數(shù)據(jù)庫全業(yè)務(wù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審計(jì)、安全事件可追溯。

數(shù)據(jù)庫運(yùn)維系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)庫運(yùn)維人員通過訪問統(tǒng)一路徑來實(shí)現(xiàn)原有分散運(yùn)維帶來的管理與技術(shù)風(fēng)險(xiǎn)。能夠通過數(shù)據(jù)庫運(yùn)維系統(tǒng),對周期性的數(shù)據(jù)庫運(yùn)維操作和突發(fā)性的數(shù)據(jù)庫運(yùn)維操作都能遵循事先設(shè)定好的安全策略。避免越權(quán)訪問、誤操作等情況的發(fā)生。

3、數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)庫透明加密系統(tǒng)能夠通過加密算法和密鑰將明文轉(zhuǎn)變?yōu)槊芪?,防止明文存?chǔ)引起的數(shù)據(jù)內(nèi)部泄密、高權(quán)限用戶的數(shù)據(jù)竊取,并防止敏感數(shù)據(jù)泄漏等。

(1)滿足數(shù)字資產(chǎn)等級化的安全防護(hù)要求,有選擇性的保護(hù)數(shù)據(jù)庫內(nèi)部敏感數(shù)據(jù)的安全性,通過在數(shù)據(jù)庫管理系統(tǒng)的內(nèi)核中嵌入自主研發(fā)的安全防護(hù)系統(tǒng),通過字段級別的加密來達(dá)到對敏感數(shù)據(jù)的防護(hù)目的;

(2)敏感數(shù)據(jù)以亂碼的形式存在,保證存儲(chǔ)介質(zhì)丟失和數(shù)據(jù)庫文件被非法復(fù)制的情況下,數(shù)據(jù)的機(jī)密性;

(3)通過授權(quán)實(shí)現(xiàn)訪問控制,非授權(quán)用戶(包含DBA)查看到的數(shù)據(jù)為空或者亂碼,從而在一定程度上削弱DBA的權(quán)利,降低DBA權(quán)限外泄帶來的危險(xiǎn);

4、數(shù)據(jù)共享與分發(fā)安全

通過制定脫敏規(guī)則及策略進(jìn)行數(shù)據(jù)的變形,實(shí)現(xiàn)數(shù)據(jù)庫中敏感信息的可靠保護(hù),進(jìn)而滿足生產(chǎn)數(shù)據(jù)面向測試、開發(fā)、培訓(xùn)和數(shù)據(jù)共享場景的數(shù)據(jù)安全需求。

能夠支持靜態(tài)脫敏和動(dòng)態(tài)脫敏兩種模式,支持替換、截?cái)?、屏蔽、隨機(jī)、加密、隱藏等脫敏算法和策略,支持刪除、編輯等高危操作禁止,限制返回行數(shù)等動(dòng)態(tài)訪問控制策略。能夠解決大多數(shù)用戶針對合規(guī)性滿足以及敏感數(shù)據(jù)泄露防護(hù)等場景的業(yè)務(wù)需求。

5、網(wǎng)絡(luò)與終端數(shù)據(jù)防泄漏

網(wǎng)絡(luò)數(shù)據(jù)防泄漏能夠通過正則表達(dá)式、數(shù)據(jù)標(biāo)識(shí)符、數(shù)據(jù)指紋、機(jī)器學(xué)習(xí)等 方式自動(dòng)識(shí)別、發(fā)現(xiàn)外泄敏感數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)防泄露網(wǎng)關(guān)主要用于旁路安裝在網(wǎng)絡(luò)出口處,通過監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù),識(shí)別數(shù)據(jù)分類并形成風(fēng)險(xiǎn)事件上傳至安全運(yùn)營管理中心。

終端數(shù)據(jù)泄露系統(tǒng)主要用于安裝在員工筆記本或臺(tái)式機(jī)上,負(fù)責(zé)掃面發(fā)現(xiàn)這些終端上敏感數(shù)據(jù),并監(jiān)視這些終端上敏感數(shù)據(jù)的操作使用,對于高風(fēng)險(xiǎn)數(shù)據(jù)的復(fù)制、USB拷貝、打印刻錄等行為進(jìn)行風(fēng)險(xiǎn)提醒和阻斷保護(hù)。

6、數(shù)據(jù)資產(chǎn)安全管控平臺(tái)

數(shù)據(jù)資產(chǎn)安全管控平臺(tái)用于集中管理數(shù)據(jù)安全產(chǎn)品,可提供全網(wǎng)數(shù)據(jù)安全產(chǎn)品實(shí)時(shí)狀況的監(jiān)控、報(bào)警、報(bào)表信息的集中展現(xiàn)、各系統(tǒng)“一窗式”運(yùn)維管理、系統(tǒng)的快速定位,以及高安全冗余備用方案。為信息部門領(lǐng)導(dǎo)提供及時(shí)、全面、準(zhǔn)確的全網(wǎng)數(shù)據(jù)安全管理的量化分析和數(shù)據(jù)安全的決策依據(jù)。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論