数据安全面临的新挑战数据的可变性、流动性、场景复杂性、威胁持续性等,是数据安全治理运营的必然要求
落后的数据安全建设理念带来的挑战落后的建设理念导致数据安全孤岛,只建设不运营,无法持续防护
数据安全治理发展阶段数据安全治理思路已经从单产品防护、多产品组合进入到数据安全与数据治理深度融合阶段,数据安全治理应该采用行业经典的数据安全理论建立数据安全治理体系。
数据安全治理行业经典理论(1)
数据安全治理行业经典理论(2)
数据安全治理行业经典理论(3)数据安全应该放在数据治理更大的视角下面,才能真正的落地,真正的建设好!
昂楷数据安全治理理念与模型
昂楷数据安全治理建设的设计思路
数据安全治理的实施模型
数据安全治理方案的主要构成
昂楷数据安全治理解决方案概览
全数据形态数据安全防护方案结构化数据、非结构化数据的全方位数据安全防护
全生命周期数据安全防护方案数据全生命周期的不同阶段,防护需求、防护重点不一样
全流通环节数据安全防护方案数据流通包含诸多环节:数据采集、数据存储、数据处理、数据应用、数据共享、数据交易、开发运维等,也会存在不同的流通场景:跨领域、跨地域、跨层级、跨系统、跨部门、跨业务等,各环节面临的风险各不相同:每个流通环节和应用、场景的复杂度密切相关,需要区别对待,具体分析,详细设计数据安全防护方案。
应用场景1:数据资产梳理及分类分级智能发现数据库资产以及敏感数据,这是数据安全治理的重要基础支撑
应用场景2:开发运维过程中的敏感数据监控与防护
应用场景3:敏感数据共享交换过程中的监控与防护通过数据静态脱敏实现敏感数据去隐私化,再由三级区单项传送到二级区后对外共享使用;二级区可根据用户身份级别进行鉴别,高权限用户可通过动态脱敏系统的反查功能,实现查看真实数据的效果。
应用场景4:驻场等外来人员危险行为监测及防护驻场等外来人员访问行为分析:1、具有数据访问权限,在非法时间、地点等通过业务窗口对数据库进行查询获取敏感数据;2、具有特权账号如驻场的第三方人员,对数据库直接操作获取敏感数据,或是对数据库进行破坏、对数据进行恶意篡改;解决方案:部署数据库审计产品,对应用账号操作数据库的行为进行分析,应用层到数据库的账号一般是固定的,操作语句也是比较固定的,如果有异常的指令或者这个账号在别的机器上使用,系统可以单独告警。特权账号可以操作任意指令,破坏性比较强。通过部署数据库防火墙,在特权账号操作高危操作时,启用审批流程,先审批再操作,审批通过了则允许操作,审批不通过则不允许操作;可以有效监测并防止特权账号的危险行为。
应用场景5:撞库、拖库攻与防撞库方式:利用工具和肉鸡(可以被黑客远程控制的机器)对目标应用、数据库进行登录尝试,多个IP、不同的账号和密码,此时攻击源的IP是很多个;为了防止被检测到攻击频率可由攻击者设置;拖库方式:1、内部运维人员利用已有权限对数据库的数据直接进行批量导出;2、入侵者通过技术手段提权后对数据库的数据进行直接批量导出。解决方案:1、采用知识图谱技术,关联、组合、统计分析登录失败日志,判定撞库行为;2、运维人员须经过数据库堡垒的认证对数据库服务器进行操作,在数据库堡垒中配置导出操作的规则控制,在未经电子审批的情况不允许对数据进行导出;3、部署数据库防火墙,使数据库服务器不直接暴露在网络中,对于非法人员、非法账号,数据库防火墙识别后直接阻断,对于合法权限高危操作时,启用审批流程,先审批再操作,审批通过了则允许操作,审批不通过则不允许操作;
应用场景6:数据泄露后的确权和溯源水印技术的核心优势:高隐蔽性、高准确性、高鲁棒性、可叠加性
应用场景7:对数据库运行持续监控以保障其可靠高效运行统一实时监控多类型,多个数据库、多种运行指标,统计分析;帮助管理员、运维人员、决策者多视角了解数据库的运行状态,从而更好的应对数据库的需求及规划。
应用场景8:利用AI技术对异常行为监控和防护
应用场景9:安全管理能力考核评估建立安全考核指标体系,替代现有的纸质填报或人工数据上报方式,实现考核管理的系统化、数据化,动态化,全面提高各被考核单位安全管理能力与水平。
昂楷数据安全治理产品线昂楷是国内领军的数据安全治理解决方案提供商,核心业务围绕大数据、云端数据库数据安全治理。服务于医疗、政府、公检法司、能源电力、运营商、金融、教育、云端数据库等多个领域,覆盖核心头部客户,在数据安全治理领域位居行业前列。
昂楷数据安全产品核心竞争力国产化信创支持昂楷科技数据安全产品支持信创关键信息基础设施,从国产芯片、国产操作系统、国产数据库、国产整机做了深度适配,如飞腾、长城、麒麟操作系统、UOS、达梦数据库等,已服务于信创政务云、部队、机要等核心部门。
数据安全运营体系建设理念数据安全体系框架--立战略、定组织、制总纲、建体系
数据安全体系建设过程
数据资产梳理、分类分级服务通过数据梳理工具梳理全网数据资产清单、数据字典、敏感数据,形成知识库;对标行业标准,协助制定适合用户的数据分类分级标准;结合分类分级标准对全网数据资产自动进行类别、级别的识别,形成全网数据的分类分级清单,达到高效率、高准确度的数据资产分类分级。
数据安全风险评估服务--评估方法当前业务系统统大量依赖于大数据技术、共享技术,敏感数据较多,数据在业务环节中流动复杂,可按照数据安全能力成熟度模型(DSMM)中定义安全域(PA),结合业务实际场景,对每个PA进行评估,形成整体的数据安全能力评估报告。基于模型的分析方法:参考美国NIST“数据安全风险评估模型”;定量分析:可按照安全投资收益、历史数据记录确定优先级;定性分析:以专门的风险管理小组定性评估确定优先级。
数据安全风险评估服务--安全能力成熟度差距分析结合组织的数据安全策略规划、当前实际数据安全能力建设情况,从数据管理体系、制度流程、技术工具、人员能力等多个维度进行差距分析,形成差距分析报告,以及数据安全建设建议。
昂楷数据安全服务清单
昂楷以DSP平台作为数据安全运营的抓手打通数据安全孤岛,形成数据资产地图、安全全局态势。快速风险处置,策略的优化和下发,联防联控合成作战。有效降低数据安全治理成本,提升运营效率。
公安行业数据防护解决方案多源异构汇聚、多场景应用、多运维单位场景下的数据权限、访问审计、敏感防护
政数局行业数据安全防护方案
电力行业数据安全防护方案围绕电力数据中台中的核心业务数据,提供数据分类分级、追踪溯源、数据操作行为的监控审计,以及运维、数据共享场景下的敏感数据防护能力,同时通过数据安全综合治理平台,实现数据安全持续运营。
领先的企业数字化服务平台
客服电话:400-0972-788
