概述
對(duì)于擁有重要數(shù)據(jù)資產(chǎn)的各類企業(yè),以數(shù)據(jù)資產(chǎn)為核心構(gòu)建系統(tǒng)化的數(shù)據(jù)安全防護(hù)體系,知數(shù)而行、用數(shù)而智、護(hù)數(shù)而安,破解管理難、監(jiān)測(cè)難、追溯難、防護(hù)難四大問(wèn)題。
數(shù)據(jù)安全的各類tiaozhan
知數(shù)而行
數(shù)字化轉(zhuǎn)型是企業(yè)應(yīng)對(duì)產(chǎn)業(yè)升級(jí),與產(chǎn)業(yè)鏈協(xié)同發(fā)展的必然趨勢(shì),數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)發(fā)展是產(chǎn)業(yè)升級(jí)的底層技術(shù)邏輯。
摸清數(shù)據(jù)家底,首先要破解數(shù)據(jù)管理難題,也是數(shù)字化轉(zhuǎn)型的必經(jīng)之路,明晰數(shù)據(jù)資產(chǎn),清晰分類分級(jí),為數(shù)據(jù)運(yùn)用提供基礎(chǔ)。
數(shù)據(jù)分類分級(jí)技術(shù)
數(shù)據(jù)安全首先要依據(jù)數(shù)據(jù)的來(lái)源、內(nèi)容和用途進(jìn)行分類;以數(shù)據(jù)的價(jià)值、內(nèi)容敏感程度、影響和分發(fā)范圍進(jìn)行敏感級(jí)別劃分。
數(shù)據(jù)資產(chǎn)梳理技術(shù)
數(shù)據(jù)資產(chǎn)梳理中,明確數(shù)據(jù)如何被存儲(chǔ)、數(shù)據(jù)被哪些對(duì)象使用、數(shù)據(jù)被如何使用。對(duì)于數(shù)據(jù)的存儲(chǔ)和系統(tǒng)的使用,需要通過(guò)自動(dòng)化的工具進(jìn)行;對(duì)于部門、人員角色梳理,更多在管理規(guī)范文件中體現(xiàn);對(duì)于數(shù)據(jù)資產(chǎn)使用角色的梳理,關(guān)鍵要明確不同受眾的分工、權(quán)利和職責(zé)。
數(shù)據(jù)資產(chǎn)安全管理支撐技術(shù)
基于靜態(tài)梳理、動(dòng)態(tài)梳理和可視化展現(xiàn)技術(shù),建立數(shù)據(jù)資產(chǎn)的登記、準(zhǔn)入、準(zhǔn)出和定期核查。
以自動(dòng)流量分析技術(shù)完成存量資產(chǎn)梳理圖
用數(shù)而智
破解風(fēng)險(xiǎn)事件評(píng)估難,分析識(shí)別數(shù)據(jù)暴露面風(fēng)險(xiǎn),制定實(shí)施管控策略;持續(xù)監(jiān)控,持續(xù)評(píng)估風(fēng)險(xiǎn)態(tài)勢(shì),不斷調(diào)整完善管控策略。
破解監(jiān)測(cè)難,監(jiān)測(cè)數(shù)據(jù)全數(shù)據(jù)生命周期各階段,洞察數(shù)據(jù)使用、分布、流轉(zhuǎn)情況;破解追溯難,流轉(zhuǎn)過(guò)程智能威脅分析,自動(dòng)溯源安全事件;破解安全事件管理難,引入專家知識(shí)庫(kù)和人工智能,自動(dòng)生成處置建議。
數(shù)據(jù)安全狀況梳理技術(shù)
組織需要確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布情況,關(guān)鍵問(wèn)題在于明確敏感數(shù)據(jù)的分布;確定敏感性數(shù)據(jù)如何被訪問(wèn),如何掌握敏感數(shù)據(jù)以何種方式被什么系統(tǒng)、什么用戶訪問(wèn);確定當(dāng)前賬號(hào)和授權(quán)狀況,清晰化、可視化、報(bào)表化的明確敏感數(shù)據(jù)在數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)中的訪問(wèn)賬號(hào)和授權(quán)狀況,明確當(dāng)前權(quán)控是否具備適當(dāng)基礎(chǔ)。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估技術(shù)
以數(shù)據(jù)資產(chǎn)和重要數(shù)據(jù)為基礎(chǔ),通過(guò)數(shù)據(jù)資產(chǎn)處理活動(dòng)監(jiān)測(cè)形成備案清單,從多個(gè)維度,了解資產(chǎn)風(fēng)險(xiǎn),進(jìn)行風(fēng)險(xiǎn)評(píng)估,數(shù)據(jù)離境評(píng)估。發(fā)現(xiàn)數(shù)據(jù)訪問(wèn),流量分析、信息提權(quán)訪問(wèn)熱度,對(duì)訪問(wèn)數(shù)據(jù)資產(chǎn)的流量進(jìn)行分析,提取訪問(wèn)信息,形成數(shù)據(jù)訪問(wèn)資源清單。
數(shù)據(jù)安全可視化呈現(xiàn)技術(shù)
通過(guò)可視化技術(shù)將靜態(tài)資產(chǎn)和動(dòng)態(tài)資產(chǎn)梳理技術(shù)梳理出的信息以可視化的形式呈現(xiàn),比如敏感數(shù)據(jù)的訪問(wèn)熱度、資產(chǎn)在組織內(nèi)不同部門或業(yè)務(wù)系統(tǒng)內(nèi)的分布、系統(tǒng)的賬號(hào)和權(quán)限圖、敏感數(shù)據(jù)的范圍權(quán)限。
數(shù)據(jù)資產(chǎn)分部圖
數(shù)據(jù)訪問(wèn)熱度圖
敏感數(shù)據(jù)賬號(hào)和授權(quán)狀況概況圖
護(hù)數(shù)而安
破解數(shù)據(jù)安全防護(hù)難,在風(fēng)險(xiǎn)分析識(shí)別之后,明確安全目標(biāo)、制定安全防護(hù)管理策略與技術(shù)策略。
以數(shù)據(jù)生命周期為核心,圍繞敏感數(shù)據(jù),實(shí)施身份認(rèn)證,訪問(wèn)控制,加密,脫敏,匿名化,審計(jì)監(jiān)測(cè)等安全防護(hù)技術(shù)措施。
數(shù)據(jù)庫(kù)運(yùn)維審批技術(shù)
數(shù)據(jù)庫(kù)的專業(yè)運(yùn)維管控工具可以控制到表、列級(jí)及各種數(shù)據(jù)庫(kù)操作;可精確控制到具體的語(yǔ)句、語(yǔ)句執(zhí)行的時(shí)間、執(zhí)行閾值;滿足事前審批,事中控制的模式。
數(shù)據(jù)庫(kù)安全運(yùn)維審批流程圖
防止黑客攻擊的數(shù)據(jù)庫(kù)防火墻技術(shù)
除管理內(nèi)部人員對(duì)敏感數(shù)據(jù)的訪問(wèn)行為,也要對(duì)付黑客攻擊和入侵或第三方外包人員突破常規(guī)的權(quán)限控制,因此需要數(shù)據(jù)庫(kù)防火墻技術(shù)實(shí)現(xiàn)防御漏洞攻擊。
數(shù)據(jù)庫(kù)防火墻核心技術(shù)——虛擬補(bǔ)丁
數(shù)據(jù)庫(kù)存儲(chǔ)加密技術(shù)
數(shù)據(jù)庫(kù)的存儲(chǔ)加密保證數(shù)據(jù)在物理層得到安全保障,加密技術(shù)的關(guān)鍵是解決幾個(gè)核心問(wèn)題:
a)加密與權(quán)控技術(shù)的整合;
b)加密后的數(shù)據(jù)可快速檢索;
c)應(yīng)用透明技術(shù);
數(shù)據(jù)庫(kù)脫敏技術(shù)
數(shù)據(jù)庫(kù)脫敏技術(shù),是解決數(shù)據(jù)模糊化的關(guān)鍵技術(shù),通過(guò)脫敏技術(shù)來(lái)解決生產(chǎn)數(shù)據(jù)中的敏感信息在測(cè)試環(huán)境、開發(fā)環(huán)境和BI分析環(huán)境的安全。
數(shù)據(jù)庫(kù)脫敏工作流程
在脫敏技術(shù)中的關(guān)鍵技術(shù)包括:
a)數(shù)據(jù)含義的保持;
b)數(shù)據(jù)間關(guān)系的保持;
c)增量數(shù)據(jù)脫敏;
d)可逆脫敏;
數(shù)據(jù)水印技術(shù)
數(shù)據(jù)水印技術(shù)是為了保持對(duì)分發(fā)后的數(shù)據(jù)的追蹤,在數(shù)據(jù)泄露行為發(fā)生后,對(duì)造成數(shù)據(jù)泄露的源頭可進(jìn)行回溯。在分發(fā)數(shù)據(jù)中摻雜不影響運(yùn)算結(jié)果的水印數(shù)據(jù),水印中記錄分發(fā)信息,當(dāng)拿到泄密數(shù)據(jù)的樣本,可追溯數(shù)據(jù)泄露源。
數(shù)據(jù)安全稽核的技術(shù)支撐
數(shù)據(jù)安全稽核保障數(shù)據(jù)治理的策略和規(guī)范被有效執(zhí)行和落地,快速發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和行為。但面對(duì)超大規(guī)模的數(shù)據(jù)流量、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)量,數(shù)據(jù)稽核面臨著很大技術(shù)挑戰(zhàn)。
數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)
數(shù)據(jù)審計(jì)技術(shù)是對(duì)工作人員行為是否合規(guī)進(jìn)行判定的關(guān)鍵,是基于網(wǎng)絡(luò)流量分析技術(shù)、高性能入庫(kù)技術(shù)、大數(shù)據(jù)分析技術(shù)和可視化展現(xiàn)技術(shù)。
數(shù)據(jù)庫(kù)全面的安全審計(jì)內(nèi)容
賬戶和權(quán)限變化追蹤技術(shù)
賬號(hào)和權(quán)限總是動(dòng)態(tài)被維護(hù),如何快速了解在已完成的賬號(hào)和權(quán)限基線上增加了哪些賬號(hào),賬號(hào)權(quán)限是否變化,變化是否遵循合規(guī)性保證,需要通過(guò)靜態(tài)的掃描技術(shù)和可視化技術(shù)完成賬號(hào)和權(quán)限的變化稽核。
授權(quán)變更統(tǒng)計(jì)分析管理界面
異常行為分析技術(shù)
很多數(shù)據(jù)入侵和非法訪問(wèn)掩蓋在合理的授權(quán)下,因此需要通過(guò)一些數(shù)據(jù)分析技術(shù),對(duì)異常行為發(fā)現(xiàn)和定義。定義異常行為,一是通過(guò)人工的分析完成;一是對(duì)日常行為進(jìn)行動(dòng)態(tài)的學(xué)習(xí)和建模,不符合日常建模的行為予以告警。
異常訪問(wèn)行為定義
流(Stream)數(shù)據(jù)處理技術(shù)
以上很多異常訪問(wèn)行為,都與頻次有密切關(guān)系,引入StreamDB這種以時(shí)間窗體為概念,對(duì)多個(gè)數(shù)據(jù)流進(jìn)行頻次、累計(jì)量和差異量進(jìn)行分析的技術(shù),用于對(duì)大規(guī)模數(shù)據(jù)流的異常發(fā)現(xiàn)。
對(duì)數(shù)據(jù)流動(dòng)中進(jìn)行分析的數(shù)據(jù)處理技術(shù)
政策標(biāo)準(zhǔn)參考
數(shù)據(jù)安全首先要遵循國(guó)家級(jí)的安全政策和行業(yè)內(nèi)的安全政策。舉例如下:
1.網(wǎng)絡(luò)安全法;
2.數(shù)據(jù)安全法;
3.網(wǎng)絡(luò)安全等級(jí)保護(hù)、BMB17;
4.行業(yè)相關(guān)的政策要求:
(a)PCI-DSS、Sarbanes-Oxley Act(SOX法案)、HIPPA;
(b)企業(yè)內(nèi)部控制基本規(guī)范;(三會(huì)、財(cái)政、審計(jì))
(c)中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定;
這些政策通常是在制訂組織內(nèi)部政策時(shí)重點(diǎn)參考的外部政策規(guī)范。
總結(jié)
本文通過(guò)對(duì)各類數(shù)據(jù)安全技術(shù)的全面介紹,幫助擁有重要數(shù)據(jù)資產(chǎn)的各類政企客戶,實(shí)現(xiàn)知數(shù)而行、用數(shù)而智、護(hù)數(shù)而安,破解管理難、監(jiān)測(cè)難、追溯難、防護(hù)難四大問(wèn)題。