本文仅就目前数据安全细分领域的产品类型与数据安全治理实践进行整理及分享。
(以下企业均按首字母排序)
一、国内常见数据安全产品有哪些?
安华金和——安华金和产品与服务覆盖数据全生命周期,提供包括数据资产梳理、数据分类分级、数据安全咨询、数据安全培训,以及数据流动和使用过程管控及审计的数据安全治理整体解决方案等产品、方案、服务和技术支撑。公司数据安全产品体系包含:数据安全运营管控、数据库安全审计、数据安全评估、数据脱敏(静态/动态)、Web敏感数据监测、数据库安全防护、数据库运维管理、数据库加密、数据水印以及云安全产品等。
北信源——终端数据安全、大数据安全
以身份鉴别为认证,文档加密、数据库防火墙及数据防泄露通道拦截为基础、移动介质与安全U盘为外设,大数据安全分析为平台,形成一套完善数据安全解决方案。
华途信息——提供包括文档安全、数据防泄漏、数据库安全、数据安全治理、存储安全五大类数据安全产品。文档安全与数据防泄漏主要解决非结构化数据安全及终端数据安全;数据库安全系列产品解决关系型数据库、大数据安全;存储安全类产品关于与存储数据安全,包括备份、资产管理等。
联软科技——1)企业安全保护平台(含包括PC终端、移动终端、信创终端等类型的终端数据安全产品);2)安全数据交换系统。
美创科技——零信任
数据库安全、大数据安全、云数据安全、数据安全治理、终端安全、数据库运行安全等,覆盖外部威胁防御、内部风险控制、数据追责溯源、数据共享与交换安全以及业务连续性安全等各大场景。
其中数据库安全包括:美创科技拥有数据库防火墙、数据库防水坝系统、数据库防泄漏、数据库安全审计、数据脱敏、数据库安全管理平台等产品。
大数据安全:美创各大产品线支持广泛支持各大数据平台,如Hbase、Hive、MongoDB等。
明朝万达——数据分析及展现为中心构成七大产品线,包括数据分析及展现产品线、大数据产品线、数据发现产品线、数据交换产品线、数据保护产品线、移动安全产品线、基础安全产品线;
奇安信——基础设施安全(如终端、服务器安全等)、新一代身份安全与访问控制(零信任)、信息保护(如数据库加密、数据审计等)和隐私保护、监测响应、审计定责 、备份恢复等。
涉及到的产品:DLP数据防泄漏(终端DLP 网络DLP等)、终端数据沙箱、数据脱敏、数据库防火墙、数据库审计、数据库水印、数据库漏扫、密码安全(密码机、数据透明加解密等)、隐私计算、数据交易沙箱、大数据安全、数据资产管理平台、数据安全态势感知、动态细粒度数据访问控制、数据隔离与交换、应用安全代理、API安全、云数据访问安全,堡垒机、特权账号安全等。
上讯信息——应用数据安全审计;API安全监测系统;数据安全测评工具;数据资产地图、大数据统一管控平台。
数安行——数据安全产品涵盖数据运营安全;零信任数据安全;个人信息保护等,主要解决的是数据运营安全,每个领域涵盖范围广泛,比如终端数据安全,大数据安全,云数据安全等等,产品主要是以零信任数据运营安全为理念,解决个人隐私,商业隐私等在数据运营中的安全防护问题。
天空卫士——内部威胁管理、统一内容安全架构、云数据安全
内部威胁管理包括:ITM;统一内容安全架构包括:数据防泄漏(DLP)、增强型邮件安全网关(ASEG)、增强型web安全网关(ASWG)、移动接入网关(MAG)、统一内容安全管理平台(UCSS)、便携式敏感内容扫描仪(SCS);云数据安全包括:云安全平台(GatorCloud)、统一内容安全审查平台(UCWI)、CASB。
亿赛通——数据安全产品细分五大产品类别,包含:安全服务类、审计检测类、加密防护类、安全管理类、安全平台类。具体有:数据库安全、文档加密、数据泄露防护、网络数据泄露防护、态势感知等40余个产品板块。
全知科技——1)应用数据安全审计;2)API安全监测系统;3)数据安全测评工具;4)数据资产地图;5)大数据统一管控平台。
中通服——数据资产管理系统、数据库防火墙、数据库脱敏、接口安全审计、边界网络泄露预警、数据安全态势感知。
指掌易——EDTA企业数据可信访问解决方案,保护终端数据安全、数据传输安全、数据访问/接入安全。
二、数据安全与业务关联性如何解决?
上讯信息:首先对客户的数据进行自动化识别,根据平台内置的通用版数据类型进行数据的默认分类,对各类型数据采用标签标记,如默认类型不满足客户需求,由用户提供数据类型的编码格式,导入到平台内部,数据类型的级别划分会随着扫描结果自动绑定显示,同样采用标签标记的方式,默认级别不满足客户需求,由客户自行提供级别划分方法,导入到平台内部,以此形成符合客户需求的数据分类分级结果。分类分级通过静态分类分级资料梳理,主要从科技、信息口或者批量化或者数据化的存档资料,结合内容扫描的产品,做静态资产梳理。动态资料通过与各个业务部门的访谈、报告形式,按各业务线的敏感分类分级定义及想法,一般划分3~4类等级,如个人信息级、商业秘密级、投资决策级、国家秘密级。
天空卫士:分级分类的要求会结合用户的业务情况和对风险的容忍度做权衡,结合相关行业法律、国家法律、法规,之后跟客户一起制定分级分类的策略。
数据分级分类的过程为:1)对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。2)明确数据定级的颗粒度3)识别数据安全定级关键要素4)按照5.3所述数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定5)综合考虑数据规模、数据时效性、数据形态等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单6)审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致7)最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。
亿赛通:切实结合业务完成数据安全顶层设计方案,建立完善的数据安全管理体系,数据安全治理架构,明确组织职能,制定有效的流程制度。对企业数据资产进行统计,明确定义资产分级标准,梳理重要部门商业秘密清单,明确保护对象,制定完善的数据安全管理制度,敏感操作流程审批制度。对现阶段企业进行安全评估,识别出现有数据安全风险点,对结构化数据通过技术工具进行管控,对非结构化数据通过管理制度进行管理。
全知科技:系统根据《个人信息安全规范》内置分类分级规则,同时用户也可以根据本公司实际情况自定义数据分类分级规则。数据资产地图系统会根据已探测到的数据服务、数据库自动生成一个以数据主体为中心的数据清单。
三、数据治理经典案例分享:
——以下案例均由网安企业倾情提供
安华金和——某大型国有银行数据库项目审计实践
1.解决思路
审计的“行为”即是“人对数据库的操作”,因而首先要梳理A行现有人员的访问路径。目前A行有两种访问数据库的方式,分别为本地直连和远程访问数据库的操作。根据这两种访问数据库方式的实现原理,涉及的技术思路如下图:
方案如下:
1)在ECC终端部署agent插件抓取远程访问流量,在数据库服务器本地部署插件,抓取本地操作审计。由数据库审计产品分别抓取远程访问和本地操作审计,并通过数据安全管理平台进行汇总展示,如下图所示:
2)只在数据库系统上部署agent插件及本地审计插件,用agent过滤机制过滤应用流量,仅抓取人为操作数据库操作。
由于A行的需求场景不同,经安华金和评估分析后,决定根据实施方案部署数据库安全审计系统(DAS);同时,通过部署应用一套数据安全管理平台(DSP),对所部署的多套审计进行统一管理。
客户价值:1)通过部署多套数据库安全审计系统,实现对数据库操作行为全面、准确的监控审计2)通过在数据库安全审计系统上开启对数据库的“漏洞攻击监测”,实时监控利用漏洞对数据库进行的攻击;一旦数据库遭受攻击,系统将第一时间发出告警,及时通知安全管理员处理相关威胁3)制定基线操作规则,判定相关事件是风险还是合规操作4)客户化操作规则,工单系统作为ITIL所倡导的标准流程化管理系统,业务申请流程中可能包含对业务数据库的操作类信息。
奇安信——新型智慧城市中的数据安全治理
1.治理路径和方向
1)基于数据安全治理进行规划咨询服务,识别数据安全治理的业务域,梳理管理现状并进行安全组织、管理制度的建设咨询,开展数据资产梳理与数据分级分类,为数据安全防护技术体系建设提供依据。
2)基于数据与业务场景,进行数据流转与业务逻辑的调研,并基于业务场景设计数据安全防护方案。加强数据分布、数据流转和数据访问三个层面的数据资源发现能力,数据资源分布底数清晰,数据采集、交换、共享过程可见,访问、使用过程可控。贯彻数据资源识别、防护、监测、响应闭环,完善数据安全保护能力建设,健全安全监测响应机制,建立防护、监测深度融合的数据资源管理能力。
3)完善大数据安全运营工作,开展数据风险预警、分析研判和响应处置工作,通过“看见资产、保护数据、控制访问、防止泄露及审计行为”等五大安全举措,实现“底账清、制度清、责任清及效果清”的四大安全成效,最终达到“数据可见、数据可管、风险可控”的安全目标。
2.数据安全管理体系建设
数据安全管理组织是体系建设的前提条件,通过建立专门的数据安全管理组织,落实数据安全管理责任,明确数据安全治理的政策、监督执行情况,确保数据安全相关工作能够持续稳定贯彻与执行。数据安全管理组织角色设计如下图所示:
3.技术体系&运营体系建设概览
技术体系:数据安全技术保障体系将在信息化安全保障体系的基础上面,以数据安全为核心,通过安全叠加演进的方式对安全管理体系、安全技术体系、安全运营体系及安全合规监管体系在数据安全层面进行优化设计,以满足在新形势、新环境下大数据安全防护的整体需要。
数据安全保障能力体系架构
运营体系:通过数据安全评估服务、数据安全培训服务、数据安全运营服务等服务,支撑整个数据安全运行,对数据安全技术能力持续升级与演进。为开展数据安全运营服务,核心解决管理责任落实所需要的专业人员能力,根据不同安全能力建设维度,匹配不同能力人员。其中主要包括:1)数据安全运营服务2)数据安全能力支撑服务3)数据安全测试服务4)数据安全风险评估服务。
4.客户价值
1)借鉴国内外最新的安全理念与思路,积极引入零信任、数据沙箱等安全范式,在做好网络基础防护的基础上,进一步围绕人员和资源做好大数据安全识别、安全防护、安全监测、安全服务的能力;秉承“内生安全”理念,建立数据平台内部无处不在的“免疫力”。2)建设各体系之间的相互协同对数据进行整体全面、多层次的安全防护,体现了全面强大的数据安全防护能力。3)以数据安全治理服务为前提,在进行数据安全组织建设、制度建设与数据资产梳理及分级分类的前提下进行数据安全防护设计。4)以数据安全态势感知为核心,从数据资产管理、数据流动态势、数据风险分析、用户行为分析等维度,开展可视化的数据安全运营服务,促进数据治理的闭环形成,对数据安全能力进行持续演进。
美创科技——某金融企业数据安全治理实践
1.治理路径
基于金融企业以上数据安全需求,通过咨询服务推进其数据安全治理及安全建设,明确以DSMM模型为抓手,盘点清数据资产,数据分类分级,摸清数据安全现状,评估数据安全风险,规范数据安全制度流程,依据数据安全现状和评估结果规划数据安全建设方案。
a) 数据资产盘点
在整个项目过程中,数据资产调查分析是其首要工作,主要包括资产盘点与分析、业务数据使用现状与分析、角色权限分配现状与分析等内容。
图:暗数据发现与分类分级系统
美创暗数据发现与分类分级系统内置丰富的数据标准,自动识别数据格式和技术类型,再通过自然语言处理、特征分析等方法对扫描过的元数据进行语义内容识别,分析字段的业务类型,全面又快速地完成数据资产发现并生成资产发现资产清单。
b) 数据分类分级
基于政策法规背景和组织自身的需求,数据分类分级已经成为组织的必由之路。数据分类分级是确定数据保护和利用之间平衡点的重要依据,为后续数据应用和安全措施落地奠定了基础。数据分类分级需全面梳理组织或机构的业务进行业务细分,同时收集和整理全部数据资产,业务和资产相结合的形式对数据资产盘点和分类,从而得出数据分类结果,再基于业务和数据重要程度进行判定,得出数据分级结果:
数据分类分级流程
该金融企业的数据分类分级涉及全部业务数据,实施过程借助美创暗数据发现和分类分级系统工具自动化数据分类、数据分级、数据分类分级策略。
暗数据发现与分类分级系统
美创暗数据发现和分类分级系统在选定金融行业业务模板的基础上,完成字段业务类型的识别后,自动输出对应的分类和分级信息,实现对数据的分类和分级,明确数据按照业务的分类情况、按照重要程度和敏感程度的分级情况,并生成包括数据总览、数据分类统计、业务类型数量排序、数据分级统计等内容的详细数据分类分级报告,以可视化报表的形式进行呈现。最后,根据自动化的分类分级的结果,定位敏感数据和重要数据,进而制定对敏感数据采取相应的安全防护措施和策略,包括敏感数据访问审计、数据脱敏等,实现敏感数据的保护。
c) 数据安全风险评估
数据安全风险评估参照中华人民共和国国家标准《GBT 20984-2007《 信息安全技术 信息安全风险评估规范》、《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》,从组织建设、制度规范、技术工具和人员能力四个维度,对数据的生命周期各个阶段所采取的安全措施情况综合评估后得出的风险结果。数据安全风险评估过程遵循以下流程:
在此次项目中,基于前述内容进一步分析,实现涵盖数据生命周期风险评估和数据基线及漏洞风险评估,最终得出该企业当前数据业务的安全风险总体情况。
数据安全风险评估结果
d) 数据合规风险评估
以《数据安全法(草案)》 (注:项目时,《数据安全法》仍是草案)的合规评估主体,充分了解企业当下数据安全合规现状,尽早规避可能存在的法律风险,做到“早发现、早处理”。
3.技术建设
数据安全技术建设路径,依照前期数据安全咨询项目的评估差距进行补足,着眼于数据全生命周期安全,针对不同的阶段提供技术加固方案,充分考虑企业数据安全紧迫性,分为短期和长期建设规划,包括数据安全防护可用的产品或技术手段、建设周期、先后顺序,以及建设完成后差距评估,为其明确数据安全规划建设之路。
数据安全管理平台(DSM)
借助美创数据安全管理平台(DSM),通过大数据/AI等技术手段实现数据标签策略、策略基线以及策略版本的全面风险策略管理,结合数据行为审计信息,构建多种数据分析模型,实现全量数据资产的识别和集中呈现,达成数据安全全域管控的“可视化”、“可量化”、“可感知”和“可追溯”。
4.客户价值
通过此次数据安全治理实践,该客户获得:在较短时间内让企业快速的清楚自身数据安全风险、合规风险情况,以及和安全目标的差距;建立健全数据安全相关制度规范和组织保障体系,让企业数据安全管理有据可依,具备规避数据安全合规风险的能力;基于数据安全现状,为企业指明数据安全建设道路,为其安全建设走入正轨提供依据和技术支撑。
上讯信息——广发银行数据库管理平台
1.需求分析:
● 虚拟数据库要求全面兼容测试基准数据库的类型,包括Oracle、MySQL、DB2的全量数据同步
● 支持获取的基准数据加密压缩存储,压缩比不低于4:1
● 测试基准数据的虚拟数据库创建时间控制在分钟级,虚拟库可恢复任意时间点的基准数据
● 虚拟数据库的读写性能表现良好,能够支撑测试业务的日常访问
● 虚拟数据库支持DUMP备份数据文件的导入,且性能表现良好
2.管理平台要求
● 支持基准数据库物理恢复
● 平台提供高可用架构,数据库持续提供服务,业务访问不间断
● 平台提供灵活扩展,服务器端和存储端均可便捷扩展
3.部署架构:
4.用户收益:
1)对接广发银行的测试环境,将原测试数据库备份到ADM平台中,通过ADM快速创建虚拟数据库并交付测试使用,替换原有的物理测试数据库
2)利用数据的压缩存储技术和数据库虚拟化技术,帮助用户释放了300个测试数据库占用的存储资源,减轻了存储空间不足的压力
3)通过一份原始数据,ADM快速构建出多套虚拟数据库交付给测试环境使用,大幅提升了数据交付效率,加速了业务系统的上线时间
4)管理节点与数据节点采用高可用架构,提供对服务状态与数据同步的主备节点切换,保证持续对外提供服务的高可靠性
5)虚拟数据库快照功能有效进行测试数据的版本管理
本文为嘶吼安全产业研究院分析师“Pauline”原创稿件,如若转载,请注明原文地址