安恒AiGuard数据安全管理平台_智能数据安全管理

安恒AiGuard数据安全管理平台

安恒AiGuard数据安全管理平台，横向上需全面覆盖数据资源的收集、存储、加工、使用、提供、交易、公开等行为活动的整个生命周期，采用多种安全工具支撑安全策略的实施。通过能力模块间的联动打通，系统形成体系化的整体数据安全防护能力，并持续优化和改进，从而提升整体安全运营和管理的质量和效率。

立即咨询

首页 > 产品中心 > 数据安全 > 安恒AiGuard数据安全管理平台

数据规模日益扩大、数据流动加剧带来新的安全问题 icon

安全孤岛问题

各类数据安全产品各自为战，简单的安全防护产品堆叠，易造成安全孤岛现象，如何管理安全防线易被规避和轻易绕过问题。

风险统一监管

在没有资产、数据、合规、风险、事件、处置等多维度的统一监管能力的情况，如何直观查找数据安全建设薄弱或缺失的环节。

安全态势监测

如何全局了解动态的数据传输共享、流动使用的整体情况，如何全盘了解数据安全能力是在提升还是在恶化。

资产统一运营

在没有概览数据资产状况，且无统一的数据安全事件运营管理平台和运营机制前提下，如何通过各种指标协助监管方量化数据安全事件的数量和处置进度。

事件集中溯源

在无统一的手段将分散到各个安全系统中的日志以标准的格式建立索引、进行分析的情况下，如何实现快速的溯源，以便数据拥有者快速、准确界定风险责任人，和对风险事件作出及时响应。

政策法规、监管要求驱动平台能力建设 icon

《数据安全法》涵盖数据安全与发展、数据安全制度、数据安全保护义务、数据安全法律责任四大主题内容。通过促进数据依法有效利用，充分发挥数据的作用，促进数字经济，更好服务我国经济社会发展。建设过程包含建立健全数据分级分类管理、数据安全风险评估、数据安全监测预警、数据安全应急处置和数据安全审查等数据安全基本制度，让数据安全能够真正落地。通过严格规范数据处理活动，切实加强数据安全保护，让广大人民群众在数字化发展中获得更多幸福感、安全感。

平台需求演变趋势

全场景联动管理

AiGuard数据安全管理平台技术架构 icon

CAPE数据安全能力框架 icon

以身份和数据双中心

保护数据安全的目标之一是防止未经授权的用户进行数据非法访问和操作。所以需同时从访问者"身份"和访问对象"数据"两个方向入手，双管齐下。零信任：在没有经过身份鉴别之前，不信任企业内部和外部的任何人/系统设条，需基于身份认人证和授权，执行以身份为中心的动态访问控制。数据分类分级：聚焦以数据为中心进行安全建设，有针对性的保护高价值数据及业务，数据发现和分类分级是以数据为中小M保护的重要基础。

全面覆盖立体化防护原则

全生命周期：横向上需全面覆盖数据资源的收集、存储、加工、使用、提供、交易、公开等行为活动的整个生命周期，采用多种安全工具支撑安全策略的实施。数据安全态势感知：纵向上通过风险评估、数据梳理、访问监控，大数据分析，进行数据资产价值评平古。数据资产弱点评估、数据资产威胁评估，最终形成数据安全态势感知。立体化防护体系：通过组织、制度、场景、技术、人员等自上而下的落实来构建立体化的数据安全防护体系。

智能化、体系化原则

在信息技术和业务环境越来越复杂的当下，仅靠人工方式来运维和管理安全已经捉襟见肘了，人工智能、大数据已经有相当的成熟度，如UEBA异常行为分析、NLP加持的识别算法、场景化脱敏算法等;同时，仅靠单独技术措施只能解决单方面的问题，必须形成体系化的思维，通过能力模块间的联动打通，系统形成体系化的整体数据安全防护能力，并持续优化和改进，从而提升整体安全运营和管理的质量和效率。

数据安全生命周期

关注人

从人的视角出发，通过建模分析，对高危及异常行为进行拦截告警，甚至对潜在威胁提前预判。

关注风险

从风险的视角出发，采集全量日志保证风险监测覆盖面，并针对已知风险进行防护、控制。

关注事件

从事件的视角出发，确保事前、事中、事后都有迹可循，并可进行追溯，建立有效溯源途径，另外提供数据统一查询、统计分析报表、实时态势可视化呈现等方式，使得管理员能够完成统一安全运营，为决策提供数据支撑。

关注人-身份、权限、画像 icon

身份识别

统一认证中心，支持AD域、LDAP、邮箱等认证系统对接

权限控制

最小授权原则，细粒度控制数据访问及运维操作

操作审计

数据访问请求全审计，能精准识别SQL语句并解析语法，确保能够还原操作全过程

行为建模

结合身份、权限、操作行为轨迹，通过算法分析描绘用户的行为画像并创建模型与基线，一旦发现偏离基线的异常行为可进行预判告警，降低安全事件发生率

关注风险-从发现到防护 icon

风险发现

全流程全范围的日志采集以供分析，针对数据对资产实时进行风险评定，也可以通过内置工具主动扫描资产安全漏洞，核查安全基线配置是否满足要求，记录系统账号的权限、增改记录变化趋势

风险防护

针对已知风险，需要再各环节各节点有针对性的防护手段措施，能够及时阻断高危、越权行为及攻击入侵行为

关注事件-事件处理高效且精准 icon

事件溯源

通过完整的日志记录分析，还原有效的追溯途径，并且可通数字水印能力，针对外发文件，确保能够根据溯源的水印信息进行追责

数据安全可视化

能够将相关统计信息及提示告警信息进行综合汇总并以态势感知大屏、数据报表等形式集中展现

安全运营

能有统一的日志查看、排查、分析能力，能够通过平台统一下发策略配置，能够在平台内完成不同角色的协作流程工单

统一集中管理

AI智能算法引擎

安全运营-工单管理

能够结合风险事件，针对关键威胁因子创建处置工单，审批过后下发防护策略；或对接业务系统，通过API接口自动创建工单，有效提升数据安全运营可靠性以及工作效能，并能保留工作记录方便查询及统计

产品价值体现

AiGuard数据安全管理平台将贯穿数据安全管理中数据采集、应用防护、数据分发、运维管控、运营处置、合规检查等各场景，实现策略统一下发、态势集中展示、事件集中处理，为客户持续创造价值。

数据采集

扫描发现、分类分级

合规检查

满足上级监管单位检查要求

运营处置

直观统可视化大屏及图表，为运营决策提供依据

应用防护

智能联动策略规则

数据分发

防止敏感数据泄露，建立有效溯源途径

运维管控

细粒度权限控制，拦截越权违规操作

第三方组件对接

单点登录

从平台可直接访问组件界面

日志采集

通过SYSLOG、Kafka等方式将组件日志统一上传至平台进行分析和统计查询

数据资产统一管理

支持向组件同步数据资产信息

策略统一下发

平台可按需自动或管理员下发创建规则策略

部署方式

全场景数据安全—生产区 icon

生产区

数据未分类分级解决方案：AiSort基于网络嗅探技术，充分发现网络环境中存在的数据库资产，然后基于深度学习+条件随机场等Al识别模型算法，依据内置法规、行业标准，进行敏感数据识别和自动分类分级，生成数据资产目录。同时对数据库系统用户权限、弱口令、安全配置基线、安全漏洞和威胁等全方位梳理，进行风险评估。对于分类分级结果可以大屏、图表等形式进行展现，支持导出及对接其他如数据脱敏、数据安全网关等系统，以实现对敏感数据的进一步安全防护和细粒度管控，让数据使用及共享做到"有级可循"。

生产区

数据库漏洞利用风险解决方案：AiGate数据安全网关系统使用数据库虚拟以补丁技术，通讨控违数据库的请求然数，举型和个数等多种方式结合，防止黑客利用已公开的数据库安全漏洞攻击数据库，对数据库的安全漏洞起到主动的防御作用，极大的保护了未升级漏洞补丁的数据库服务器，有效降低了用户数据篡改和泄露的可能。

权限失控风险解决方案：一方面，AiSort可以对数据库中不同用户、不同对象的权限进行梳理并监控权限变化。另一方面，AiGate数据安全网关系统可基于IP、MAC、客户端主机名、操作系统用户名、客户端工具和数据库账号六个维度认证身份，并结合AiSort的数据分类分级结果，真正实现用户的多维度身份认证和敏感数据的细粒度访问控制功能。解决数据库自身认证维度单一、缺乏基于数据精细化的访问控制的问题。

生产区

运维人员篡改拖库风险解决方案：AiGate内置多种脱敏算法，可识别Oracle、MySOL、PostareSOL等数据库中敏感数据，井通过动态版t功能，有效防止运维人品接触取感数据，大大靠低数据泄骤的风险。

数据明文存储风险解决方案：ATDE透明数据库加密系统综合采用SM2、SM3、SM4国家商用密码高强标准加密算法，功能上加解密操作对数据库层无感知，对上层业务应用系统使用及部署无需任何更改，保证敏感数据的机密性、可用性、完整性。审计线索不足，数据泄露无法追溯解决方案：明御数据库审计系统是一款基于对数据库传输协议深度解析的基碰上进行风险识别和告警通知的系统，具有对数据库访问行为进行实时审计、对数据库的恶意攻击、数据库违规访问等行为识别的能力。

全场景数据安全—共享开放与测试区 icon

开发测试环节数据泄漏风险解决方案：AiMask数据静态脱敏系统采用独有的脱敏与水印溯源算法对敏感数据进行去标识化、匿名化处理。支持固定值替换、置空、乱序、统计持征保留的脱敏算法和数据溯源算法。保证脱敏后的数据保留原有业务逻辑特征的同时保证数据的有效性和可用性，支持可回溯的脱敏算法，便于用户追溯泄漏源。所有敏感数据全部在内存中处理，可保证整个环节敏感数据不落地，使脱敏后的数据可以安全的应用于测试、开发、分析和第三方大数据分析等环境。数据共享泄露风险（API安全）解决方案：零信任 AiTrust API 代理系统是AiTrust零信任解决方案为API服务提供的控制点，通过对API服务健康状态的实时检查，使得API服务在自身尽量无需改造的情况下，实现安全加固，管理员能够通过统一的策路对API的访问控制进行调整;同时，API安全代理网关还提供接口敏感信息识别、APl访问控制、APl动态脱敏和APl访问审计等功能。

全场景数据安全—应用区 icon

应用区

账号安全风险

解决方案：对账号异常行为的监控、检测和分析正是 AiThink UEBA 用户与实体行为分析技术的特长，通过收集整合全方位多维度以及用户上下文等数据信息，全同关联，进行行为基线分析和群体异常分析，通过Al机器学习异常检测算法，可以更深层次的进行账号安全洞察，迅速识别异常事件。通过对账号要录的时间、地点，频次和择作等异常监控，判断是否存在如短时间内异地登录、登录次数偏图整体基线、非工作时间上线和静财账号的忽然出现等异常活动，激源分析确认是否存在账号失陷。另外，AiTrust零信任解决方案，以可信数字身份为基础，通过持续信任评估、动态访问控制等核心能力，对用户每次的资源访问请求进行持结动态的安全可信关系评估，从而避免内部人员攻击事件出现。

应用区

终端数据泄露风险

解决方案：AiDLP数据防泄漏系统（终端）通过灵活的敏感策略、敏感数据主动扫描和多样性的保护措施，解决终端场景下的敏感数据容易泄露的问题。支持各种类型的PC用户终端与移动终端上发现敏感文件，自动化了解这些敏感文件的分布，并进一步的提出保护的手段。 AiDLP数据防泄漏系统（网络）通过对数据资产进行自动聚类分类和特征提取，解决对传输中、存储中、使用中的数据进行检测，依据预先定义的策略，识别敏感数据，最终实施特定响应。

应用区

数据共享泄露风险（API安全）

解决方案：AiTrust零信任包含TAM身份服务中心、应用代理系统和API代理系统，采用了身份识别、权限识别、身份传递、健康监控、流量管控、通道安全等多项核心技术，通过接管所有API服务访问请求，实施动态的访问者身份识别和权限识别，提供精确到用户层级的细粒度API调用数据访问监控审计。例如通过监控API的调用情况，识别出是否存在敏感数据非法访问，有针对性地进行 AP动态脱敏。同时，通过AiThink收集日志信息进行综合信任评估，以实施动态访问控制。

全场景数据安全—数据安全风险感知与管理区 icon

数据安全风险感知与管理区

仅靠单独技术措施只能解决单方面的问题，必须形成体系化的思维，通过能力模块间的联动打通，系统形成体系化的整体数据安全防护能力，并持续优化和改进，从而提升整体安全运营和管理的质量和效率。AiGuard实现了敏感数据安全防护的全生命周期过程全覆盖，建立了以风险核查为起点，以数据梳理为基础，以数据保护为核心，以监控预警作为支撑，最终形成全局数据安全风险态势感知。

典型案例介绍-某省级运营商 icon