本帖内容包含深信服数据安全解决方案主打PPT、深信服数据安全大脑白皮书、深信服数据安全整体解决方案word(附件需登录下载喔,深信服数据安全主打PPT、pdf、图片均过大查看附件)
深信服数据安全大脑白皮书
深信服科技
SANGFOR DSC 数据安全大脑
产品白皮书
深信服科技股份有限公司
2021年08月
第1章 数据安全大脑产品应用价值
数据安全大脑,是一个以数据为中心,集敏感数据识别、数据资产梳理、数据流转监测、数据风险感知、数据泄密溯源为一体的数据安全治理平台。帮您梳理数据现状、监测数据风险,一旦发生数据泄密,即可通过STP检测模型快速定位最为可疑的泄密人员。
1.1 数据资产探查与敏感数据梳理,数据全景心中有数
通过对数据、应用、API等进行智能数据采集和自动化梳理,形成数据资产分布、敏感数据资产清单、敏感数据流转视图和数据权责清单,同时实时采集业务动态访问过程中的数据流量,对流量进行智能分析,生成涉敏数据集、涉敏应用集、数据流转视图等,做到对数据全景与流转“心中有数”。
1.2 数据流转监测、风险实时感知
通过大数据与UEBA用户行为分析技术,对用户数据访问流量进行建模,自动生成安全基线,基于安全基线以及异常行为特征模型对数据访问行为进行研判,实时感知风险并告警,如:数据越权使用、API异常调用、运维人员批量读取敏感数据等。
1.3 数据共享交换泄露溯源,责任界定有理有据
以AI技术为核心的可疑第三方检测模型(STP)算法,可以对共享交换过程中可能泄露的数据进行追溯,利用事件同源分析、样本同源分析、多种关联分析等自动化分析技术,快速定位可能的泄露源头,提升追踪溯源的能力和效率。
1.4 数据安全态势,全方位掌控
从数据资产、数据访问两种视角出发,对异常状态、异常行为进行监测预警,全面展示数据资产分布、数据流转可视、安全风险监测、异常行为分析、数据泄露溯源等,从而使用户能够全方位掌控数据安全态势,展示数据目录分布地图,可以从数据类别维度看清数据打标情况,当前的重要数据目录情况,同时支持用户按类别批量确认打标,提高打标效率。
1.5 数据资产探查,快速实现数据分类分级
【海量大数据场景下,人工分级分类梳理效率低】面对海量大数据场景,传统通过人工方式进行数据库表数据清单梳理和字段打标的效率是极低的,导致这项重要的工作难以有效地落地。
通过机器学习,自动提取相似标签特征及相似列特征,基于特征智能推荐分级分类标签,建立分级分类标签特征模型,实现数据分类分级的自动化。
1.6 数据脱敏,安心开放数据
基于AI数据分级分类,提供数据脱敏能力,完成数据管控闭环。重点解决数据共享场景,在共享前按相关的标准要求将隐私数据进行遮掩、空值替换等,避免数据泄密,让数据可以安心共享。
第2章 深信服数据安全大脑产品功能
2.1 深信服数据安全大脑产品部署模式
数据安全大脑(Data Security Center ,以下简称DSC)产品的部署前提是部署Agent进行Web服务器引流,DAS可以将WED服务器和数据库服务器的上网过程中产生的流量保存为相应溯源文件,通过同步日志给DSC平台,就能在DSC平台进行敏感情况的日志分析。此外数据安全大脑的部署简单便捷,只需要保证Agent和DAS正常进行数据分析即可。而且DSC作为日志数据处理端,不会影响到原来的网络。
2.2 风险预警
风险预警功能提供了以下功能,方便管理员了解当前内部系统可能存在的风险:
■ 数据库风险
数据库风险预警策略支持:篡改内置敏感表、查看内置敏感表、违规操作数据库、异常时间段操作数据库、访问敏感内容、请求大量数据、长时间未登录数据库、长时间未登录数据库突发登录。
■ API风险
API风险预警策略支持:API突发获取大量数据、突发访问不常访问的API、突发频繁访问API。
■ 业务风险
业务风险预警策略支持:违规操作数据库、异常时间段操作数据库、 访问敏感内容、请求大量数据、 长时间未登陆数据库、长时间未登录数据库突发登陆、自定义等。
根据客户环境,上报相关数据库风险预警,通过详情也可对风险情况了解后可以对这个风险采取相应操作操作(详情页主要包含事件分析和原始日志)。
2.3 数据梳理
随着企业信息化高速发展,企业内部核心业务系统突增,各个业务系统中需要管理的数据也变得庞大。大部分企业都存在以下四个方面的问题。
1.业务系统管理困难。通常企业内部会有很多业务系统,由于各方面的原因企业很难对这些业务系统实施高效、统一的管理,也就是说企业的资产得不到有效的管理。这就会产生很多的安全隐患。
2.业务系统访问记录不留存,溯源困难。企业的业务系统上的核心数据无法人工管理,因此业务系统的访问记录应当得到妥善的存储,使溯源有迹可循。
3.数据安全管理薄弱。经市场调研,业务系统产生的安全问题绝大部分都由敏感数据存储无法定位所引起的。而这个现象在核心的业务系统中显得尤为突出,敏感数据如果不能得到安全地存储会给数据管理造成无法避免的安全隐患。
4.对业务系统异常行为的感知能力弱。大部分关键业务系统因没有异常行为分析系统或者其监测分析系统对异常行为的感知能力弱,给予了不法攻击者有机可乘的机会。
针对这些问题,DSC 的数据梳理模块提供了以下几种功能,帮助企业掌握相关信息系统,处理各种业务数据,安全存贮敏感数据并实时监控和分析异常的行为:
■ 资产管理
应用资产是指用户配置Web服务器信息通过Agent引流到数据安全大脑DSC中自动识别生成或用户根据自身需求进行配置的应用维度的资产信息。
API资产是隶属于应用资产的,将用户的应用资产进一步细分得到每一个接口的相关信息,提示用户接口的访问情况并引导确认相应的的API资产。
2.4 流转监测
大型服务器可能在短短一个月就产生数百G行为日志,每天可能都会有大量的泄密行为、业务访问行为,管理员要从每天这么多违规日志中了解多个服务器内部的泄密状况显然要花费不少时间,因此DSC提供了流转监测功能,只需要简单的配置一下用户关注的规则就能周期性的自动展示为流转图,方便管理员定时掌握服务器内部的敏感访问情况。
流转监测包括应用流转分析、数据库流转分析和日志查询。
■ 应用流转
应用流转分析包括应用,数据和用户三个维度,应用流转清晰地列出了DSC对用户访问业务日志分析后得出的当前环境下存在的Web服务器的涉敏访问事件,是所有应用涉敏访问的汇总展示。
根据不同维度的切换,展示主体也进行切换,多维度全面浏览用户的应用敏感情况。也可如下图所示,切换到列表模式观察数据结果。
■ 数据库流转
数据库流转以数据库、数据和用户的三个维度列出用户当前存在的所有数据库业务系统(比如MySQL、Oracle等)的敏感状态,包括该每一个数据库、数据和访问用户的关系。管理员还可以根据自己的需求对关心的数据库、数据、用户、时间段等条件进行筛选,通过筛选结果可以方便的在众多数据库系统中找到最关心的访问敏感情况。
高亮显示既可以观察到单个参数的流转情况,也可以看到单个参数和整体的流转情况的分布关系。
■ 日志查询
这里有最原始最详细的日志记录,包括为数据库审计、应用审计和访问日志。
数据库审计按照数据库服务维度展示涉敏的日志信息。
应用审计和数据库审计可以全面的观测到服务器涉及的访问的敏感情况。应用审计和数据库审计都能够细致的根据用户的不同需求进行筛选,定位到相应的涉敏访问的详情。
访问日志有最原始最详细的日志记录,方便用户进行分析定责。
2.5 泄密溯源
DSC提供了输入泄密数据、导入泄密数据的两种输入模式的溯源功能。
泄密溯源使用高性能的数据匹配算法可以对管理员输入的关键字在指定时间段内相关系统所有用户的所访问请求内容进行搜索,针对可能泄密人员的查找,将匹配到的日志记录、可疑IP、用户信息、可疑通路等信息都展示出来,管理员可以直接下载溯源结果作为泄密行为的证据支持。
■ 输入泄密数据
输入泄密数据适用于获取到的泄密数据的数据量较小的情况,无需上传文件的繁琐操作,自行输入泄密数据即可触发泄密溯源功能
■ 导入泄密数据
这个功能允许管理员上传一个样本文件,适用于泄密数据量较大的溯源场景。DSC将根据上传文件的内容提取结果跟所有访问信息的内容提取结果进行相似度匹配,并利用DSC自研发的数据匹配可以快速且精确的搜索出可能泄密的高频用户IP,得到高可疑的IP列表和数据访问链路等信息。该功能同样提供了下载具体信息报告的功能。
待溯源完成后,页面将进入展示溯源结果的页面
其中可疑IP数据访问匹配度分析将根据用户输入的内容,根据逗号进行字段解析,提取为列表表格展示,可以看到数据命中的分布情况。
可疑IP数据访问路径分析则展示最可疑的50条访问路径,并高亮最可疑的一条路径,重点在提示用户关注高可疑路径的访问记录。
页面下方则为可疑IP数据访问日志,将展示当前可疑IP访问的所有泄露数据的访问日志。用户可根据访问时间、访问方式、访问对象、访问内容针对访问日志进行过滤。
分析可疑访问时,分析思路为:可疑IP->访问数据分布->可疑路径->可疑日志,层层递进,先展示需要用户重点关注的IP,展示当前可疑访问的怀疑对象。再根据其访问数据和访问路径帮助用户看清泄密的方式。最后,通过泄密日志的详情展示,为用户提供完整的证据资料定位泄密源头。从而DSC做到了泄密数据的快速溯源定位分析工作。
2.6 数据资产梳理
数据资产梳理模块提供了以下功能,方便客户快速添加数据源,协助客户快速梳理数据库服务器中的数据分布情况:
■ 数据源AI学习任务
数据源AI学习任务支持:对数据源中已添加的数据库进行数据目录扫描、字段特征提取、相似字段分析、字段标签推荐、行数统计这五类任务,自动提取数据库中的库、表、字段等信息,根据AI算法学习字段的数据特征,自动为相似的字段进行归类,并根据内置的特征规则库为字段推荐标签。
支持由用户确认字段类别标签,再对没有内置特征规则的类别进行学习,自动为新资产的相似字段推荐类别标签。
■ 数据源管理
数据源管理支持:手动添加数据库资产,对资产进行增删改查的操作,查看资产最近的任务状态。
■ 数据资产清单
数据资产清单支持:展示数据库的库、表、字段已经分类信息,方便用户查看字段的详细信息和快速进行字段分类。
2.7 智能数据识别
智能数据识别模块提供以下功能,支持对数据类别的分布情况进行展示,支持对数据类别、级别进行增删改查。
■ 数据分布地图
数据分布下,分为拓扑图和列表两种形式,以数据类别为中心,展示数据类别、数据库、数据表名称,清晰展示用户的数据分布情况。用户可对字段标签进行确认、修改或不设置标签等。
■ 数据类型定义
数据类型定义内置了一套分类分级清单,其中部分类别有内置的特征规则库,用户在执行数据源AI学习任务时可以直接对相似的字段推荐标签,没有内置特征的类别,需要客户对字段进行分类后,在AI任务中学习到字段特征后可对其他相似字段进行推荐。
支持对分类清单和分级规则进行增删改查的操作。
2.8 数据保护
数据分类分级的价值主要是梳理数据库中敏感数据的分布情况,对后续数据使用过程中的数据安全提供一个基础,数据脱敏是其中的一种数据安全防护手段。
数据保护模块支持数据静态脱敏任务和脱敏规则的自定义。
■ 静态脱敏规则
内置静态脱敏规则,支持用户根据内置的4种算法进行自定义,对不同的类别定义不同的脱敏规则。
脱敏规则模板,是脱敏规则的集合,可以在脱敏任务中一键对已经打了标签的字段配置对应的脱敏规则,协助用户快速配置脱敏任务。
■ 静态脱敏任务
静态脱敏任务支持脱敏到另外的数据库,称为数据抽取脱敏,也支持脱敏到原来的数据库,称为源库更新脱敏。数据抽取脱敏,支持选择部分数据库、表、字段、数据行数进行脱敏,源库更新脱敏会覆盖原始的数据,需要谨慎操作。
第3章 DSC体系结构及应用技术介绍
3.1 DSC服务器采用DOCKER容器化平台
DSC数据安全大脑平台有如下特点:
1) 自主研发的一个高性能,高稳定性和可扩展的分布式数据存储,计算与服务的平台。
2) 可设计为集群节点支持多磁盘存储数据,且可以通过增加工作机器数量横向扩展计算性能,以及通过提高CPU、内存、磁盘等硬件配置纵向扩展计算性能。
3) 支持根据当前存储数据实时显示全方面敏感信息的整条链路,方便定位当前服务器的涉敏情况。
4) 支持集群机器计算资源以及存储资源负载均衡,存储数据库分别为Elasticsearch数据库(以下简称ES)、Clickhouse数据库(以下简称CK),基础数据库(以下简称DB)。
3.2 DSC数据安全大脑技术方案的优势
3.2.1 泄密溯源精准算法
传统泄密溯源解决方案:通过大量原始日志查询定位泄密事件。
(1)溯源过程困难,溯源泄密的人往往是客户公司的调查人员,他们不了解如何查看泄密日志的操作链路,因此需要花费大量时间与各部门沟通去了解日志相关数据。
(2)溯源结果差,用户配置策略很难保证其溯源出来的结果可作为泄密证据,容易发生“漏报”和“误报”。通过沟通总结出的涉敏路径,IT人员很难去验证其有效性,往往需要长时间配合运营人员进行人工排查。
深信服的泄密溯源方案:用户访问日志+大数据处理。
(1)溯源过程一键操作,用户只要通过页面导入客户关注的泄密文件,或者通过输入部分泄密数据即可立即搜索文档。
(2)溯源举证效果好,平台通过已知泄密数据进行识别。针对存在与泄密数据相似的访问信息,可以在结果分析页看到可疑IP访问的匹配可疑度、涉密数据的命中比例、相关的整体泄密链路以及原始访问等信息。
3.2.2 数据流转监测
数据流转监测可以实现海量数据秒级查看,在现有的数据情况下实时显示敏感数据的分布图,展示敏感数据的对应访问链路(IP—应用/数据库—敏感规则)。
数据流转监测的特点如下:
1.监测结果秒级返回:目前数据流转监测功能可根据访问情况将数据持续更新至DSC实时显示,通过实验数据测试,秒级时间内返回数亿条用户的访问行为数据分析结果。
2.监测结果覆盖性高:能够根据用户所配置的资源信息进行自动识别,将所有形式的访问进行全面记录,多重保障,避免数据缺失。
3.监测结果多维度扩展:DSC提供用户,敏感信息和(应用/数据库)三个维度的展示,可根据关注的不同重点方向进行查看流转监测。
3.2.3 风险预警
针对用户访问的流量,DSC产品内部会通过调用访问提取分析引擎进行内容提取后,再进行规则匹配、涉密分析等操作得到分析结果。
3.3 DSC数据安全大脑简述
DSC内置的数据安全大脑是由深信服自主研发的一个高性能、高稳定性和可扩展的数据计算与服务的综合性平台。
3.3.1 系统框架介绍
数据分析平台整个框架分为四层:
Ø 存储层:用于存放原始数据和中间数据。目前我们的数据格式包括:原始数据流格式、DB数据库、ES数据库、CK数据库。
Ø 处理引擎层:目前我们的主要处理引擎是STP核心数据分析计算框架,提供数据预处理、匹配度分析和结果解析。
Ø 服务和接口层:在这一层里,我们不仅提供用于计算分析的接口,还提供一系列动态交互的相关服务,如执行工作流,表构建服务,查询DSL等,方便内部APP的开发。
Ø 内部APP层:数据分析的APP可以利用底层提供的服务和接口,专注访问日志的数据处理与分析。
3.4 DSC数据处理流程
3.4.1 数据采集
l 实时数据采集:实时获取Agent引流流量,根据用户配置信息进行数据预处理。将处理完成的数据入库保存,我们采用了入库即时加载的处理机制,来保障检测结果展示的实时性。
3.4.2 数据清洗
l 敏感流量区分:根据访问流量特性,区分流量的渉敏情况,划分访问信息特点,避免一些系统自发的流量和非重点的非敏数据干扰计算分析结果的准确性;例如:数据使用者访问系统数据库,确定一个敏感规则,当命中该条敏感规则时就认为用户在访问敏感数据,将此次访问置为可疑访问,当未命中时就认为是日常非敏查询行为。
l 丰富的规则库:内置丰富的敏感规则、风险规则库和精准的算法识别。
3.4.3 数据存储
数据存储分为四部分,原始日志保留,ES数据处理日志存储,CK中间数据及重点数据复现存储,DB操作及结果数据等常规数据存储。
将数据分功能存储,方便用户定位数据的原始链路,同时也保障了用户数据的数据精准和数据处理稳定且数据保存完整。
3.4.4 数据展示
l 多维分析:通过关联不同特征之间的联系,展示多维分析结果,根据用户需求选择对应维度,提高分析的准确性。
l 下钻:用户可根据分析的需要,深入了解各个模块的功能深度。
l 自定义的展示列表:用户可根据自身业务需求,自定义展示列表的字段,将不关注的数据结果进行隐藏。
3.5 分类分级产品体系结构
分类分级平台有如下特点:
1) 采用DOCKER容器化平台。
2) 自主研发的一个高性能,高稳定性和可扩展的分布式数据存储,计算与服务的平台。
3) 可设计为集群节点支持多磁盘存储数据,且可以通过增加工作机器数量横向扩展计算性能,以及通过提高CPU、内存、磁盘等硬件配置纵向扩展计算性能。
4) 支持根据当前存储数据实时显示全方面的数据资产分布情况以及分类分级等打标情况。
5) 支持集群机器计算资源以及存储资源负载均衡,存储数据库分别为Clickhouse数据库(以下简称CK),基础数据库(以下简称DB)。
3.6 分类分级产品技术方案的优势
3.6.1 资产识别
通常解决资产识别的方式:通过扫描出所有数据资产,人工去判断打标重要资产。
(1)识别过程繁杂,数据资产管理员需要通过一个一个的打标识别出重要资产,人力消耗大,效率非常低,很难把资产梳理清楚。
(2)识别效果差,数据资产管理员必须要整对每个数据源进行盘点,容易发生遗漏和错误操作,导致花大量工作量做出的结果还并不可信,核查也会浪费掉大量的时间。
深信服的资产识别方案:内置识别主动探测+根据用户操作自适应更新+自监督学习模型训练。
(1)主动内置识别字段技术:根据个人信息保护法的需求,算法内置22种个人信息保护法的字段,可主动协助客户探测这些受保护的数据,减少了客户数据打标梳理工作量,提升了客户标注体验。
(2)客户打标后自适应更新技术:对于现有引擎的误识,客户少量工作人工确认后,算法自适应地更新特征,同时实现表格列和标签的自适应更新。
(3)监督神经网络模型训练:对于开源收集的数据,人工打标后,设计自研的NLP神经网络算法,列推荐和标签推荐都超过97%。
(4)自监督学习模型训练:对于客户的数据,打标费时耗力。本项目设计了自监督学习算法,解决客户数据无标签场景下的模型训练,可在客户侧实现数据不需标注但模型可快速更新,满足了客户表格列推荐和表格标签推荐的需求。
3.6.2 相似字段分析
针对大量数据字段,可以通过批量打标可以大大提高数据资产识别的效率,通过对字段进行相似分析,可以在打标时候批量处理具有相似特征的字段。
相似字段分析的特点如下:
1.特征提取:根据字段的名称,描述,样例数据等多个维度,提取特征。
3.6.3 字段标签推荐
通过字段特征任务提取的特征,通过聚类任务将相似字段进行区分,进而通过标签推荐任务,计算出相似类别标签和推荐度。
3.7 分类分级产品简述
分类分级是一个实现数据资产的自动发现和全局数据目录的生成,通过数据目录实现数据资产的全局可视的平台。
3.7.1 系统框架介绍
数据分析平台整个框架分为四层:
Ø 存储层:用于存放原始数据和中间数据。目前我们的数据格式包括:DB数据库、CK数据库。
Ø 处理引擎层:负责调度内部app,实现数据的分析,并存入存储层。
Ø 服务和接口层:在这一层里,我们不仅提供用于计算分析的接口,还提供一系列动态交互的相关服务,如执行工作流,表构建服务,查询DSL等,方便内部APP的开发。
Ø 内部APP层:提供数据的扫描、脱敏、聚类、推荐等核心功能。
3.8 分类分级数据处理流程
产品工作原理如下:
3.8.1 数据源录入
需要用户录入需要扫描的数据源,当前支持oracle、mysql、sqlserver、hive、sybase等主流数据库。
3.8.2 数据识别
l 构建数据目录:通过对源、库、表、字段四个级别,扫描用户之前录入的数据源,在平台中完整的构建起用户的数据目录情况,通过数据目录实现数据资产的全局可视,从而摸清数据资产的底数。
l 快速实现打标:基于人工智能和机器学习技术,能够实现数据字段高维特征的自动提取,为每个字段生成特征向量,并通过无监督机器学习实现相似字段的分析,实现数据分类分级过程中相同数据字段打标签的批量化,大幅提升数据分类分级的效率。在数据分类分级的过程中,通过有监督机器学习引擎实现数据分类分级知识和经验的学习,从而实现数据分类分级标签的智能推荐,实现数据分类分级的自动化。
3.8.3 数据存储
数据存储分为三部分,用户资产数据,CK中间数据,DB操作及结果数据等常规数据存储。
将数据分功能存储,将用户数据与平台数据区分,保障用户数据的安全,同时也保障了用户数据的数据精准和数据处理稳定且数据保存完整。
3.8.4 数据展示
l 分布地图:数据目录分布地图,让用户可以从数据类别维度看清数据打标情况,当前的重要数据目录情况,同时支持用户按类别批量确认打标,提高打标效率。
l 下钻:用户可根据分析的需要,深入了解各个模块的功能深度。
关于深信服科技
深圳市深信服科技股份有限公司成立于2000年,是专注于网络安全与云计算领域,致力于为用户提供更简单、更安全、更有价值的创新IT解决方案服务商。
目前,深信服在全球共设有55个直属分支机构,其中包括香港、新加坡、马来西亚、印尼、泰国、英国和美国等七个国际直属办事处和分公司,员工规模将近3000名。
随着企业规模的扩大发展,深信服也获得了多方认可。先后获得了“CMMI5国际认证”、“第一批国家高新技术企业”、“国家规划布局内重点软件企业”“亚太地区德勤高科技高成长500强”等殊荣。同时,深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位、并受邀参与制定《第二代防火墙标准》。在行业合作上,深信服是互联网应急中心应急服务支撑单位、国家信息安全漏洞共享平台CNVD成员单位、中国国家信息安全漏洞库CNNVD技术支撑单位和公共漏洞和暴露组织CVE认证合作单位。
目前,全球有近40,000家用户正在使用深信服的产品。其中,在中国入选世界500强的企业有80%的企业都是深信服的用户。同时,凭借优秀的产品表现,深信服多款产品入围了包括国家税务总局、国家电网、建设银行、工商银行、中国移动和中国电信在内的各行业集采,各款产品均得到了广泛应用。
时刻走在行业前沿,深信服始终保持着创新能力
多年来,深信服持续将年收入的20%投入到研发,并在深圳、北京、长沙和硅谷设立了研发中心,研发人员比例达到40%。在对创新发展的持续投入下,深信服一直保持着每1-2年推出一款新产品、每季度更新1个新版本的研发速度。截至2018年6月,深信服共申请超过400项国内发明专利以及20项美国专利。此外,深信服是推出了全球第一台IPSec VPN 和 SSL VPN二合一VPN,中国第一台上网行为管理和第一台下一代防火墙的厂商。
将产品和服务做到最好,深信服快速响应市场需求
深信服研发人员每月都会进行例行的客户拜访以收集产品需求,每年都能收到超过1000条有效需求,并在研发工作中将其迅速转化为产品新版本。同时,深信服在深圳、长沙、吉隆坡三地设有超过100坐席的CTI中心,提供7*24小时的电话咨询和远程调试服务。在全国范围内,深信服在49个城市设立了备品备件库,配有原厂工程师第一时间提供技术支持。
进入的每一个细分市场,深信服都会努力成为No.1
深信服的硬件VPN、SSL VPN、上网行为管理、广域网优化等多款产品保持在市场占有率第一位;应用交付产品市场排名第二、也是排名第一的国产品牌。目前,深信服SSL VPN、上网行为管理、下一代防火墙、广域网优化、应用交付、服务器虚拟化基础架构6款产品均入围了Gartner魔力象限,获得国际认可。
深信服数据安全整体解决方案word:
1. 项目概述 1.1 项目背景 近年来,科技应用推动保险业朝着更加移动化、智能化、场景化的方向发展,“数字化转型”已成为金融业焕发新生的重要驱动力,技术催生行业嬗变,数字化已经成为转型共识。 2018年以来,为顺应数据时代潮流,充分挖掘数据红利,中国人保集团提出数字化战略,持续推进“数字化销售”、“数字化运营”、“数字化客服”等数字化转型工作,数字化建设已覆盖所有业务板块,并不断提升科技创新能力,健全移动互联生态圈,科技赋能寿险服务生态,向高质量发展转型的数字化战略成效显著。 在集团数字化转型过程中,面向数字金融的新主体、新业态、新模式,伴随数据的广泛开发利用,数据窃取、泄露、篡改、滥用的安全风险日益凸显,数据安全将直接影响金融机构的数字化转型能“走多远”和“走多稳”。随着网络安全法、数据安全法和个人信息保护法的出台,监管部门将数据安全和个人隐私保护的重要性提升到了前所未有的高度。 而在数据保护层面,人保集团经过多年的网络安全建设,建立健全了网络安全管理制度和网络安全防护技术措施,但以主机、网络、系统为中心的网络安全已无法应对数据持续流动带来的的动态安全风险,缺乏面向数据本体的整体、闭环安全防护措施,需要建立数据分类分级防护体系,寻求数据开发利用与数据安全防护的一体两翼、双轮驱动的平衡发展之路。 1.2 项目建设内容及范围 本期项目建设围绕人保集团统一数据平台展开,对于统一数据平台在数据汇聚、抽取、分析、运维和开放共享等场景下的数据安全进行全面防护,并建立数据安全运营平台,统一对敏感数据进行安全配置管理,集中对数据安全行为全面统计、分析和处置。平台围绕日常数据安全工作进行的相关操作需求,通过数据安全运营平台,实现“集中化、规范化、流程化”的日常化数据安全运营目的。平台通过建立运营监测中心,通过可视化的运营监管功能界面设计,从资产、数据、业务、合规、事件、处置、风险等多维度进行监管,帮助管理者全面掌握数据安全运营状况,为指导和完善数据安全防护能力提供专业、准确的参考依据和信息化支撑手段。 2. 项目必要性分析 2.1 政策要求建设必要性 2.1.1 国家安全战略要求 随着全球数字经济的快速发展,我国已进入大数据时代,对数据要素掌控和利用能力,已成为衡量国家之间竞争力的核心要素。面对数字经济迎来新的发展机遇同时,国内外数据安全的形势不容乐观,根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,数据泄漏量高达360亿条,数据泄漏事件影响大、损失重。 当前网络与信息安全面临严峻形势,云计算、大数据、移动互联等新技术的广泛应用,对营造清朗网络空间带来了前所未有的挑战。关键信息基础设施防护、网络安全预警监测、数据资产安全运营等要求更高,网络信息安全领域的信息化保障水平亟需全面提升。 2020 年 4 月,中共中央国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据定义为新型生产要素,成为国家基础性战略资源,数据价值的发挥是推动我国社会经济转型发展的新动力。国家十四五规划中进一步强调了数据战略发展的重要性。数据在创造价值的同时,也面临着数据被泄露、篡改、窃取、滥用等风险,造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。 在此背景下,国家高度数据安全,陆续发布实施《数据安全法》、《个人信息保护法》等上位法,强调统筹数据发展和安全防护并重,在保障安全和隐私的前提下推动数据依法合理有效利用。 2.1.2 行业监管要求 为贯彻国家数据安全相关法律法规,中国人民银行陆续发布了《个人金融信息保护技术规范》(JR/T0171-2020)、《金融数据安全数据安全分级指南》(JR/T0197-2020)、《金融数据安全数据生命周期安全规范》(JR/T0223-2021)等金融行业标准,要求金融机构结合实际按照规范加强金融数据安全管理。 同时,银保监会也于2020年颁布了《《财产保险业务要素数据规范》、《人身保险业务要素数据规范》等标准,提升保险行业信息化应用能力和数据治理水平。在2022年,银保监会发布《保险业标准化“十四五”规划的通知》中指出“同步加强网络和数据安全及个人隐私保护领域行业标准建设,兼顾发展和安全。” 可见,国家正在不断完善数据安全的法律法规体系,金融行业数据安全监管要求也呈现逐渐明确且不断加强的趋势。 2.2 核心数据资产管理保护必要性 随着数据资源规模的迅速扩大,拥有的数据资产也随之递增,内部工作人员对于新增资产和静默资产的登记备案多是以传统的纯纸质化办公,效率低下、资料保存和查询非常困难、成本高、不利于多人协同办公,成为日常办公的严重制约。资产分布不清,资产归属部门不清,尤其是需要取用一些数据,很难知道其想要数据分布。 随着单位内部信息化建设的完善,对业务流程梳理标准化、设备资源管控规范化、应急事件响应高效化都提出了新的挑战。而传统的数据资产梳理管理方式存在着管理流程不严、技术手段缺失、人员素质参差的问题,需要用专业的技术及产品来加以完善,这样可以提升工作效率,快速协调资源,规范管理流程。 2.3 抵御数据风险必要性 2.3.1 数据资产面临威胁风险迅速升级 近年来,由于数据的资产价值属性得到越来越多的关注,针对数据的威胁和风险也迅速升级。除了仍然有小部分攻击是来自单纯的黑客炫技外,越来越多的外部数据安全威胁来自大规模、有组织犯罪集团的觊觎。 而且,随着大国间战略博弈态势的加剧,网络斗争与政治对抗的交融日趋紧密,针对国家高价值重要数据及相关基础设施的网络攻击正变得“高发、高危、扩散、伴生、难防”。根据美国电信巨头Verizon公司发布的由81个国家参与调研的《2020年数据泄露调查报告DBIR》,72%数据安全事件的受害者为大型企业,55%的数据泄露事件涉及有组织犯罪。另一方面,比特币、暗网等增强网络匿名性技术的出现和发展,进一步推动了由网络攻击、数据窃取和黑市交易构成的黑色数据产业链的产生和成熟。重要数据和个人隐私信息除了要面对通过网络攻击进行数据盗取、篡改和勒索等日益严重的外部威胁外,还要面对组织内部人员见利忘义的窃取风险,以及疏忽泄露、违规滥用等不符合法律和行业监管要求的合规性风险。Verizon公司发布的《2020年数据泄露调查报告DBIR》中显示,30%的数据安全事件源自组织内部。 2.3.2 数据资产影响范围不断扩大 从受到影响的对象来看,数据安全事件的影响范围已经从最初的企业和个人,逐步延伸到国家各个行业、整个社会,甚至可能会引发国际性的舆论关注。从促进行业数字化转型和国家数字经济发展的角度看,数据安全问题会从多方面产生显著的负面影响:首先,会抑制行业数据合理开放共享的意愿和积极性;其次,会增加公众和运营企业对于个人信息和隐私数据的采集和使用以及对于包括重要数据在内的数据交易、共享和价值挖掘活动的顾虑,从而阻碍基于数据的新技术、新业务与实体经济的深度融合与创新;再者,数据安全问题给数据的跨境流通、驻留规管增添了新的难度与挑战。 2.3.3 数据安全事件危害程度更加严重 数据安全事件不仅会给涉事的企业或组织造成巨大的经济损失,甚至会严重损害相关政府部门和行业的声誉。据IBMSecurity基于对全球500多个组织数据泄露事件深入分析发布的《2020年数据泄露成本报告》中的数据,2020年数据泄露事件给企业和组织造成的平均成本为386万美元,例如,2020年2月,某SMS服务商因内部员工恶意破坏公司线上生产环境数据,造成服务系统崩溃,300万商户的线上业务受到影响,导致公司股价下跌超过20%,市值缩水超过30亿港元。 其次,个人信息和隐私教据泄露不仅会给相关用户的生活带来困扰,甚至正越来越普遍地被犯罪分子用于各种类型的电信和互联网诈骗,.近年来,因个人信息泄露并被犯罪分子利用而给公民的生命财产安全造成直接危害的各类恶性案件时有发生,给个人和社会造成的损失和负面影响越来越严重。 此外,随着各国数字化发展战略的推进和实施,数据正日益融入并深刻影响国家和人民的生产和生活,数据安全已成为国家安全的重要组成部分。国际敌对势力针对我国核心数据及相关基础设施的攻击将对我国的社会和谐与政治稳定构成威胁和危害:前述IBMSecurity的报告揭示:尽管由国家资助的攻击者造成的数据泄露事件占比只有13%,但却是最具破坏性的事件。 2.3.4 数据安全防护难度显著增加 多方面因素导致对数据进行安全防护的难度显著增加。 首先,网络形态不断演化,新技术、新应用场景不断涌现、日渐复杂,导致新的数据类型、数据产生方式、数据使用方法和终端呈现形式不断衍生和发展,新的数据安全风险和挑战也随之层出不穷。例如,针对大数据平台的攻击就呈现出从单纯窃取数据、瘫痪系统,向实现篡改和干预分析结果的复杂目的转变。 其次,移动办公和在工作中使用个人电子设备情况的普及,极大模糊了传统网络和数据安全的边界,使得基于边界和网元的传统防护体系已无法继续满足企业或组织对不断流动的数据进行风险评估、访问控制和合规审计的新需求。因此,需要理念创新,设计和建构更加完善的数据安全防护体系。 再者,数据共享和流通正成为数字经济时代越来越普遍的业务需求,传统访问控制技术难以解决跨企业或组织的数据授权管理和数据流向追踪问题,仅依靠书面协议难以实现对接收方数据处理活动的监控和审计,容易引发数据滥用风险。 最后,数据安全防护是牵涉国家安全、产业安全和个人合法权益等多方因素的综合性问题,在建设技术手段的同时,更要确保符合政策、法律、行业监管要求和标准规范,因而需要跟随数据安全相关政策、法律法规、监管要求和标准规范的颁布和更新进行持续性的演进和优化。 2.4 保护用户个人数据不受侵害 人保集团在提供金融产品和服务的过程中积累了大量的个人金融信息,包括了账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息等,这些个人金融信息既是金融业务重要的基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益,还会影响到人保集团的正常运营,甚至可能会带来系统性金融风险。因此需要基于《个人信息保护法》、《JR/T 0171 个人金融信息保护技术规范》的要求,在数据的收集、 传输、 存储、 使用、 删除、 销毁等生命周期各环节进行安全技术防护,防止个人金融信息的泄露,保护用户合法权益不受侵害。 3. 方案总体设计 3.1 设计原则 为了保证系统运行的完整性和健壮性,总体系统设计满足下列基本要求: 3.1.1 顶层设计为本 本项目在架构设计和云资源等方面,会统筹考虑平台冗余,便于后续扩展。另外,为了实现本项目平台系统功能扩展以及与其相关联系统进行数据的交换和共享,会充分考虑项目系统接口的适配性,满足与其他系统的对接。并且项目建设过程中充分考虑用户操作层面的易操作性和易维护性,提供良好的数据接口、用户界面和在线帮助功能,降低系统操作的复杂性;同时,项目建设中要注重系统具有良好的可维护性,实现系统维护、数据维护、网络维护做到既安全又便捷。 另外,在系统设计中,充分考虑系统的稳定性、兼容性和健壮性等,保证系统7*24不间断运行。同时,具备较强的灾难处理能力,包括数据备份与灾难性恢复,保障系统的高可靠性。 3.1.2 以客户为中心 本项目建设的出发点和最终目标是客户满意。从客户需求出发规划、设计和实施每个项目实施管理流程,开展可持续的交付服务。整个项目实施坚持以满足客户需求为中心,以支撑业务服务水平提升为目的,在深入了解客户业务需求的基础上,对业务系统进行“量身定制实施”,通过提供高品质的实施服务提供客户的满意度。整个项目实施以满足招标要求、提升工作效率和服务水平为目标,在设计、实施、运维体系建设过程中,建立直接提供服务界面的服务系统和面向用户的服务支持流程。 3.1.3 以服务为导向 服务是客户不承担特别的成本和风险的情况下,便捷地提供给客户想达到的结果,从而带来客户价值的方法。服务管理是以服务的相识提供给客户的一整套的组织能力。这种组织能力是以职能和流程的形式贯穿在战略、设计、转换和持续改进整个实施周期过程中,反应了组织在行动上的能力和自信,将资源转换成有价值的服务的行动是实施管理的核心。缺乏这种组织运营能力,只能提供给客户资源所固有的相对较低的价值。针对本项目我公司基于项目规划背景和要求,建立一整套以服务为导向的实施管理体系,有效保障项目的稳定推进。 3.1.4 以流程为基础 实施管理的有效运行是建立在严格执行各类流程的基础上的。本项目基于IT运维管理体系,强调流程的重要性,将各种IT管理活动按照流程的方式加以组织,并且赋予每个流程特定的目标、范围和智能,明确流程间的依赖关系,从而加强项目实施管理的全面性和综合性,使项目交付的支持更加彻底和有效。 本项目在实施过程中,坚持在流程的规范性和效率之间寻求平衡,提升项目实施的管理质量和降低成本。 3.1.5 注重品质和成本平衡 项目实施管理和服务水平的提升是一个循序渐进的过程,不断追求服务质量和客户满意度提升是项目实施管理的目标导向,同时项目实施作为项目业务目标实现的一种支持性服务,强调以合理的成本提高项目交付的质量和客户满意度,通过对项目实施成本的准确核算和全面的服务绩效管理,实现服务质量和服务成本的平衡,逐步提高项目实施的成功率。因此,本项目在项目实施管理中要注重服务品质和服务成本的平衡,既要避免出现实施资源不足,服务质量难以达到要求的情况,也要避免出现资源大大超过实际的需求,造成服务资源浪费和实施成本增加的现象。 3.2 设计依据 3.2.1 国内相关法律法规 国家和行业持续出台数据安全相关的法律法规和标准规范,以规范组织对数据安全管理要采取的措施,本项目参考如下相关法律法规: Ø 《网络安全法》
Ø 《数据安全法》
Ø 《个人信息保护法》
Ø 《关键信息基础设施安全保护条例》
Ø 《GB/T 35274-2017 信息安全技术 大数据服务安全能力要求》
Ø 《GB/T 35273-2020 信息安全技术 个人信息安全规范》
Ø 《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》
Ø 《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》
Ø 《JT/T 0171-2020 个人金融信息保护技术规范》
Ø 《JR/T 0197-2020 金融数据安全 数据安全分类分级指南》
Ø 《JR/T 0223-2021金融数据安全数据生命周期安全规范》
3.2.2 参考国内外先进技术框架 本项目依据数据安全治理理念,围绕常态化安全运营服务需求与安全防护技术体系化、平台化演进趋势,采用的数据安全治理框架重点扩展了可持续化的数据安全运营体系,完善了闭环管控的数据安全技术体系,深化了以数据安全管控策略为核心,以管理体系为指导,以运营体系为纽带,以技术体系为支撑的治理框架构建思路,构筑形成管理、技术、运营三位一体的数据安全治理框架,数据安全策略通过管理体系制定,通过安全运营体系发布,通过技术体系落地。依据形成的三大体系框架,动态、持续保障数据处理活动的有序、安全开展。
3.2.3 以业务风险和数据流动为锚点 本项目是基于人保集团数据安全面临的风险及涵盖数据全生命周期的以数据为锚点的横向防护,通过建设数据安全运营平台和全面的数据安全防护能力,实现数据资产安全统一管理、集中管控,形成数据安全的整体监控和防护能力;实现数据发现、策略管控、事件监测、风险分析等能力的建设,形成数据安全闭环管理。防止人保集团数据的泄露、篡改、窃取和滥用风险,实现对数据资产心中有数,安全风险、数据流转清晰可见、安全隐患。 3.3 总体架构
平台整体架构由5个层面组成,由下至上分别是安全运营层、数据管理能力层、监测分析引擎、接口层、基础能力层,构成数据安全运营平台。 1. 安全运营层
安全运营层作为平台的整体操作和展示入口,通过数据资源安全运营、数据安全策略运营、数据安全事件运营、数据安全风险运营等能力的建设,提供数据安全综合分析、风险态势感知、全局安全策略配置和数据安全事件追溯的能力。 2. 安全管理能力层
安全管理能力层是平台的核心功能层,提供平台的主要功能组件。通过数据资源管理、安全策略管理、风险事件监测、风险分析和运营监控等能力的建设,形成数据安全闭环,为数据安全运营提供能力支撑。 3. 监测分析引擎
监测分析引擎向上为安全管理能力提供基础支撑,向下通过数据安全接口,从底层数据安全设备探针获取审计和监控数据进行数据安全事件监测与风险分析,同时以安全策略的形式对底层设备进行调控和管理。 4. 接口层
接口层联通上层数据安全管理能力与底层数据安全设备/探针,通过该接口实现数据流量审计、日志信息的采集上传,同时实现安全策略的下发和防护能力调控。 5. 基础能力层
基础能力层也是数据安全设备和探针层,是由数据安全设备或探针组成的集群,通过设备提供的基础数据安全能力为平台提供基本的安全支撑,是平台的基础。由对数据存储的监测扫描能力、防护控制能力和权限管理能力组成。 3.4 功能架构 在具体功能组成上,平台整体由4大部分18个子平台/功能模块组成,分别对应等日常安全运营管理、安全运营管控、安全子平台、基础能力等功能需求。 1. 节点管理引起基础底座:提供对安全节点的管理和监测功能,以及用户权限和资源结构等平台配置类基础能力。
2. 数据管理子平台:支持数据资产的发现和安全评估,对敏感数据的识别,分类分级标准的管理和分类分级操作。
3. 监测管理子平台:实现对数据库流量的监测审计,支持监测资产的接入,监测数据的检索、统计,监测规则的配置和监测报表生成。
4. 应用安全子平台:实现对应用流量的监测审计,支持对应用资产和接口资产的管理和分析,支持应用安全风险的检索、统计和分析,支持对访问行为的检索和分析,以及对访问源的分析。
5. 存储加密子平台:实现对数据库文件的加密和权限控制,支持加密资产的接入,以及数据表/表空间的加解密操作和权限管理。
6. 安全防护子平台:实现对数据库的安全防护和动态脱敏,支持防护资产的接入,防护规则和脱敏规则的配置,以及防护数据的检索、统计和报表生成。
7. 安全运维子平台:实现对数据库运营的安全管理和脱敏访问,支持运维资产的接入,运维规则和脱敏规则的配置,运维数据的检索、统计和报表生成,以及运维流程的申请与审批。
8. 安全分发子平台:实现数据的静态脱敏分发,支持分发资产的接入,通过数据子集和脱敏方案创建脱敏任务,以及脱敏操作的配置。
9. 安全水印子平台:实现数据的水印加注和分发管理,支持水印资产的接入,通过数据子集和水印方案创建水印任务,以及水印数据的分发和溯源。
10. 安全合规管理:支持规范标准的录入,支持以过程域、合规项、解读项的逻辑对规范标准进行拆解,并通过和安全策略的关联应用到具体的安全防护操作中。
11. 安全合规稽核:以标准和资产两种视角,对资产的合规率进行统计稽核。
12. 应用资源备案:实现对数据库访问的备案操作,支持按照分类分级进行备案,支持主动备案和被动备案,支持备案的申请和审批。
13. 安全事件监测:支持对安全事件的查看和处置,支持对安全事件的详情查看以追溯事件发生过程。
14. 安全事件稽核:对安全事件发生的场景和趋势进行统计稽核,支持对事件处置进度的统计分析。
15. 安全风险分析:实现对安全风险的多维度分析和呈现,支持对风险分布和发生趋势的统计。
16. 数据安全可视化:提供数据资产、安全事件、合规稽核、应用资产、应用风险等多种角度的安全可视化大屏。
17. 数据资源地图:支持数据资产组、数据资产、业务系统组、业务系统多种视角下对数据静态分布和动态流动的分析展现。
18. 日常运营模块:实现对日常运营工作的支撑,支持对数据资产和字段元数据的管理。
3.5 核心业务流程 3.5.1 用户访问控制 3.5.2 基于数据的风险监测和防护流程 1. 平台通过安全监测能力,获取数据库基础信息和数据分布信息,采集数据环境中的数据库和应用系统访问流量。
2. 对安全监测能力采集的信息、安全防护能力的反馈信息进行汇聚,以安全访问基线为基础,通过实时分析、行为建模分析对安全事件进行告警,处置后形成安全防护动作。
3. 安全防护能力以全局数据信息为基础,对事件处置进行响应,对数据资产进行安全防护。
4. 安全防护能力同时接受用户配置的安全合规策略,对数据资产进行对应防护。
3.5.3 于统一数据认知的重点数据监测防护 通过对数据资产和敏感数据进行统一发现和管理,形成数据资产清单和敏感数据清单,在具体的监测和防护操作中,以清单为基础,对资产、数据进行重点监测和防护,同时基于对数据环境的统一认知,进行安全事件的协调处置和安全风险的联防联控。 3.6 阶段建设 3.6.1 一期建设 以数据安全平台建设为主,以统一数据平台(用户的大数据平台)为主。
3.6.2 二期建设 扩展到全集团的数据库。
4. 方案详细设计 4.1 集团公司数据安全运营平台设计 4.1.1 架构设计 4.1.1.1 架构图
本项目中的数据安全运营平台整体由4个层面组成,由下至上分别是安全运营层、数据管理能力层、监测分析引擎、接口层、基础能力层,构成数据安全运营平台。 1. 安全运营层
安全运营层作为平台的整体操作和展示入口,通过数据资源安全运营、数据安全策略运营、数据安全事件运营、数据安全风险运营等能力的建设,提供数据安全综合分析、风险态势感知、全局安全策略配置和数据安全事件追溯的能力。 2. 安全管理能力层
安全管理能力层是平台的核心功能层,提供平台的主要功能组件。通过数据资源管理、安全策略管理、风险事件监测、风险分析和运营监控等能力的建设,形成数据安全闭环,为数据安全运营提供能力支撑。 3. 监测分析引擎
监测分析引擎向上为安全管理能力提供基础支撑,向下通过数据安全接口,从底层数据安全设备探针获取审计和监控数据进行数据安全事件监测与风险分析,同时以安全策略的形式对底层设备进行调控和管理。 4. 接口层
接口层联通上层数据安全管理能力与底层数据安全设备/探针,通过该接口实现数据流量审计、日志信息的采集上传,同时实现安全策略的下发和防护能力调控。 4.1.1.2 设计思路
l 稳定性
本项目中数据安全运营平台所采用的技术自身及开发成果具备优良的稳定性,从根本上能够支撑本项目平台功能及技术改造对系统健壮性的需求。 l 性能
本项目中数据安全运营平台所采用的技术实现手段在满足稳定性的前提下,具备优异的性能,性能的提高不过分依赖通过对硬件设备的投入来获取,在相同的硬件配置条件下获取最高的性能。 l 易用性
本项目中数据安全运营平台所采用技术实现方式充分考虑系统的易用性,在满足稳定性、性能要求的基础上,新扩建数据安全能力能够基于已经建设好的数据安全运营平台,作为功能组件插入,在操作习惯和界面风格上保持一致。 l 易维护性
本项目中数据安全运营平台和数据安全能力所采用的基础平台、技术实现方式应保持一致,功能运行环境要求、部署方式应基本保持一致,同时与在模块的耦合度应尽量低,不影响现有本平台的稳定性、性能和易用性。 l 技术成熟性
本项目中数据安全运营平台所采用的技术实现方式比较成熟,有相近业务场景、用户规模的企业级应用成功案例。 4.1.1.3 应用场景和范围(平台联动内容写出来)
4.1.1.3.1 应用场景 4.1.1.3.1.1 构建数据安全运营防护体系 通过“管理+技术+运营”的数据治理理念,构建完整的数据安全防护体系,规范组织的日常安全运营流程,实现安全策略的统一管理配置和安全事件统一的流转处置,丰富组织应对数据安全风险的手段,提升应对数据安全风险的能力。 4.1.1.3.1.2 数据管理和分类分级 通过对数据资产的发现、梳理,形式数据资产的管理地图,同时对数据资产中存在的敏感数据进行梳理,并根据客户所属行业特性对接数据进行分类分级。 4.1.1.3.1.3 数据环境的安全加固 通过对数据环境的风险扫描和存储文件加密,减少数据环境安全隐患,提升数据环境的被动防护能力,让不法分子无机可乘。 4.1.1.3.1.4 数据使用过程中的监测审计 通过对数据库访问流量和应用访问流量的解析,实现对非法和危险操作的识别与实时预警,并留存日志信息,满足监管和查询需求。 4.1.1.3.1.5 特定场景下的安全控制 支持应用访问、运维访问、数据分发等多种场景下的敏感信息管控,使用拦截阻断、敏感信息脱敏、数据水印等手段,在满足数据合理使用的前提下,防范可能发生的数据泄露风险,规避因数据泄露对组织带来的危害和损失。 4.1.1.3.2 应用范围 本项目的数据安全运营平台将涵盖人寿集团全部数据范围,包括传统关系型数据库环境、大数据环境,实现对人寿集团内的全部数据资产进行统一管理、集中管控,形成数据安全的整体监控和防护能力;实现数据发现、策略控制、事件监测、风险分析等能力的建设,形成数据安全关闭管理。帮助人寿集团做到对数据资产心中有数,安全风险、数据流转清晰可见。 4.1.2 平台详细功能 4.1.2.1 集中配置及执行节点管理
4.1.2.1.1 节点监控中心 对平台和接入平台的安全引擎节点运行状况进行监控,监控内容包括节点告警情况、平台运行情况、当前账号、管理的资产和节点运行情况,并可以使用拖拽方式快速自定义节点监控界面,配置项包含监控节点的资源使用趋势、流量吞吐趋势、引擎状态和运行时间等。实现对平台实时运行情况的全面掌控,对平台运维过程中的告警信息及时发现、及时处理。 4.1.2.1.2 业务节点管理 提供对安全能力节点的管理功能,支持对安全能力节点的新增、编辑、删除、以及重启、升级等操作,同时支持按照多种条件对节点进行筛选,查看已接入平台的节点列表,可以显示指定节点的实时运行详情状态。通过该功能可完成平台对各类安全能力节点的一站式管理,为安全运营工作开展提供基础支撑。 4.1.2.1.3 节点策略管理 提供对安全能力引擎节点配置的集中管理。以策略模板的形式,对节点设备的引擎运行参数、时钟、备份、清理、告警外发等配置项进行管理,生成的策略模板可批量同步到节点设备,实现同类型节点引擎设备配置信息的统一集中管理。 4.1.2.1.4 节点版本管理 提供对安全能力节点软件版本的集中管理,以版本库形式,按照设备类型、文件版本对上传的节点软件包统一管理,实现对节点软件版本的统一升级。 4.1.2.1.5 Agent插件管理 提供对数据库通信流量采集插件的集中管理。管理内容包括插件的线上远程部署和卸载,已部署插件所在宿主机的实时状态监控如CPU、内存、网络流量吞吐,插件运行参数远程配置和远程维护管理等。通过平台操作即可实现对插件的远程动态管理,降低插件部署和管理的复杂度。 4.1.2.1.6 用户管理 对用户部门结构和账号进行管理。系统提供灵活的部门结构配置方式,能够满足不同场景的部门组织架构下权限管理需求;用户账号可按照所属部门进行管理,上级用户可以查看下属用户账号信息,并进行账号的新增、删除、编辑等操作。系统提供灵活的用户部门权限控制方式,结合角色权限和数据资产与部门的关联关系,能够满足多种组织架构、人员权限控制的要求。 4.1.2.1.7 角色管理 对角色的操作权限进行管理。平台具备超级管理员、审计管理员、安全管理员、运维用户等多种角色定义能力使用不同角色的管理人员,支持自定义用户角色,实现对角色权限到菜单级的灵活授权控制。角色管理通过与用户部门的配置结合,可实现资产和操作权限的细粒度权限管理,满足各类场景下的控制需求。 4.1.2.1.8 资源结构配置 资源结构配置以树状结构直观呈现数据资产和业务系统的分组和上下级组织结构。支持在根目录下自定义创建多级分组目录,同时支持按目录对数据资产和业务系统进行分组管理操作。通过资源结构目录的配置,可以满足复杂业务场景下,大量数据资产和业务系统的系统性管理,用贴近于真实业务场景的形式支撑安全能力的统一规划和集中管理。 4.1.2.1.9 分组管理 对平台常用的配置项进行分组,方便实际场景中的应用。可实现的分组内容包括IP地址组、数据库用户组、应用用户组、时间条件组、数据对象组、操作系统用户组、客户端工具组、数据库实例组等。通过分组的设置可以抽象常用资源的集合,方便在安全运营过程中,对同属性的资源的进行批量配置和统一管理。 4.1.2.1.10 标签管理 对平台中的标签参数的统一管理。系统支持对标签的集中配置和维护,如查看标签的应用情况,对标签进行添加、修改、删除等。支持的标签类型包括客户端标签、数据资源标签和业务系统标签,分别应用于对应资源标记。通过标签和其他多种资源管理属性的叠加,可以实现对平台资源的多维度管理,满足不同业务场景的个性化管理场景。 4.1.2.1.11 部署区域 提供对节点所在网络环境的逻辑管理功能,在数据资产部署在多个逻辑隔离网络环境下,实现运营平台对部署在多个网络区域内安全能力引擎节点的跨网络统一管理,以及实现部署在多个不同网络环境区域里数据资产的统一运营管理。 4.1.2.1.12 系统维护 提供对平台运行的基础维护功能,包括性能监控、数据中心监控、告警推送设置、容灾管理、证书管理、系统升级、系统控制、恢复出厂设置等功能。 4.1.2.1.12.1 性能监控 监控系统性能,包括系统内存、系统CPU、流量和分区信息等,支持按时间段查询。 系统:在“系统”区域框中,查看系统的内存和CPU使用状态。 流量:在“流量”区域框中,查看系统的流量信息,包括“接收包数”和“接收流量”。 分区信息:在“分区信息”区域框中,查看系统分区的使用情况。 4.1.2.1.12.2 数据中心监控 展示数据中心的一系列会话,十分钟内入库记录数、运行时长等,同时支持对会话的关闭操作。 说明:程序连接到数据中心增、删、改、查某些数据,然后退出连接数据中心,这是一个会话;不同的运行程序使用的不同的会话。 4.1.2.1.12.3 告警设置 提供对邮件、短信和企业微信等风险告警信息的模板配置。 4.1.2.1.12.4 证书管理 提供对证书的管理和校验功能,校验通过后系统可正常使用。 4.1.2.1.12.5 系统升级 提供对平台的在线升级功能,支持查看当前版本信息和历史升级信息。 4.1.2.1.12.6 系统控制 提供对平台的在线关闭和重启功能。 4.1.2.1.12.7 恢复出厂设置 提供将平台恢复到出厂状态的功能,同时删除系统下所有数据。 4.1.2.1.13 审计日志 提供对审计日志的检索和下载功能,满足信息安全系统自身操作日志审计的合规要求。 4.1.2.2 数据安全日常运营
4.1.2.2.1 日常运营工作台 以工作台的形式,引导安全管理员完成数据安全的日常运营操作。工作台以流程页面、便捷操作按钮、统计图表、主要功能入口的形式,引导安全运营人员完成标准/策略管理、数据资产发现/管理、涉敏数据管理、应用/运维资源备案、安全合规管理、风险事件监测处置、策略完善与稽核等全周期的安全运营工作,以标准化、流程化、规范化的方式,辅助安全运营人员一站式完成日常运营工作,将数据安全治理理念践行在日常工作中,不断提高对数据安全的管理和防护水平。
在日常的运营流程中,首先将相关的行业技术规范、安全标准录入到数据安全运营平台中,通过对录入的安全标准规范进行拆解和解读,制定各类安全策略,并转换成对数据资产、安全组件的执行规则下发执行,实现从规范到实施建设的全过程管理。 其次以“数据资产为核心”,对数据资产与数据字段的元数据统一管理,通过敏感数据特征的发现和核实,并在此基础上进行数据的分类分级,形成数据资产清单、数据清单和分类分级清单,形成对数据环境的基础认知,为数据使用风险监测、安全防护等数据安全场景的联动提供基础。 然后通过采集分析访问数据资产的流量,提取访问行为特征和对象,对数据资产的访问进行备案管理,构建安全访问行为基线。同时根据数据实际使用情况抽象出多个数据业务场景,将数据采集、生产区应用业务、运维区业务、数据离线共享分发、数据对外接口等业务场景的数据交互方式,进一步抽象出数据安全措施来支撑和保障业务的安全,对已有安全策略和规则进行完成,形成完整的数据安全管理闭环。 4.1.2.2.2 数据资产管理 提供数据资产的集中管理功能。支持对数据资产的标签标注、认领到责任人、添加资源结构目录、添加资产认证信息等功能,同时支持通过资产的相关属性进行筛选。数据资产是已核实的数据源,是安全能力作用的对象,通过对数据资产的元数据集中管理,为后续基于数据资产的数据打通和安全能力联动提供必要基础。 数据资产来源可以是从外部系统对接获取、数据资产扫描发现获取、以及手动添加等多个方式。数据资产管理主要功能包括数据资产清单检索、数据资产认领、数据资产扫描。 数据资产清单检索:数据资产清单查询提供多种条件组合查询,查询条件至少应包含:服务器IP、资源类型、是否涉敏、所属单位、所属业务系统、责任人、对应数据、敏感数据类别、敏感数据级别等;支持数据资产列表展示,展示内容应包含:服务器IP、资源类型、是否涉敏、所属单位、所属业务系统、责任人;支持按照所属单位或业务系统进行展示;支持涉敏数据资产详情展示,展示内容应包含:存储位置、字段、对应数据、敏感数据类别、敏感级别。 数据资产认领:支持对数据资产进行认领操作;针对数据资产信息不准确的情况可进行修订变更。数据资产认领、管理关系如下图:
4.1.2.2.3 数据源管理 提供对数据源的集中管理功能。支持多种方式对数据源进行管理,如流量自动解析识别、主动探测扫描发现、手动添加、批量导入,接口对接等方式,支持对获取的数据源清单进行核实流程处理,核实后的数据源成为新的数据资产、或以集群节点的形式添加进已有数据资产,同时提供对数据源的多种筛选功能,方便用户的核实操作。 4.1.2.2.4 数据清单 以数据为视角对数据资产和资产元数据管理。数据清单以资源结构目录的形式,展示指定数据资产或一批数据资产目录下的字段元数据,在元数据列表中,支持对平台自动发现的数据特征进行核实和修改,同时支持字段锁定避免再次发现对现有核实结果的覆盖。元数据列表中关联显示字段的分类分级结果,并提供丰富的筛选条件对字段进行筛选。通过数据清单页面,用户可以详细掌握各数据资产下的数据类型情况,并通过对数据特征的核实,支撑后续对具体数据的防护措施。 4.1.2.2.5 分类分级清单 以分类分级标准的视角对分类分级结果进行查看和管理。分类分级清单功能支持多种条件查询,包括:分类分级标准、分类子项、数据资产、表名称、字段名称、数据特征、字段级别等,清单展示内容包括元数据基本信息和对应的分类、分级结果信息。通过该功能,用户可快速了解指定类别、指定级别的敏感数据分类在资产中的分布状况,对数据资产的详细信息有更清晰的认识。 4.1.2.3 数据安全合规管理
数据安全合规管理支持规范标准的录入,支持以过程域、合规项、解读项的逻辑对规范标准进行拆解,并通过和安全策略的关联应用到具体的安全防护操作中,具体业务结构如下图:
4.1.2.3.1 标准规范管理 提供对数据安全标准规范的集中管理。该功能支持用户对标准规范进行添加、删除等常规操作,同时支持对标准包含的合规项、合规项解读、关联策略等进行编辑,以及标准相关文件的上传。通过标准规范的设置与落地执行,为组织的数据安全治理提供有形抓手,使每一条数据治理都有据可依,帮助组织不断提升安全治理能力和水平。 标准规范管理包括以下功能: 1. 标准录入 安全管理员需要将规范录入到规范标准库中,并在录入过程中对标准进行解读,拆解成相应的合规项。合规项是后期制定数据安全策略、对企业环境进行数据安全合规检查的基础。录入时需要填写标准号、标准名称、发布单位、摘要、发布日期、实施日期、状态(现行、即将实施、废止),并以附件形式上传标准原文。 2. 标准解读 标准可以拆解成多条过程域,过程域可继续拆解为合规项,录入合规项包含合规项编号、标准原文、对应解读。 3. 标准修订 对已录入的标准和解读的合规项进行修改。可以是发现录入有误时修订,也可以是标准本身更新了需要修订。 4. 标准废止 因为标准本身被新的标准替代或不再适用而被废止,需要在系统中将已录入的标准和合规项同步废弃。当标准被废止后相关的策略、安全能力组件的规则、检查要求均会同步被废弃或终止。 5. 标准检索 系统提供已有标准的列表和检索功能。标准列表中应列出标准编号、标准名称、发布单位、发布日期、实施日期、状态、包含的合规项数量。可通过编号、名称、发布单位、状态等进行检索。 4.1.2.3.2 安全策略管理 提供各类数据安全策略的集中管理,包含策略创建、策略变更、策略注销、策略列表、策略下发、策略稽核等。对应于平台能够提供的安全能力,策略类型包含:合规监测策略管理、安全防护策略管理、数据安全共享策略管理、数据安全存储策略管理、数据安全运维策略管理等。策略是标准规范在具体安全防护行为中的应用体现,为标准规范的落地实施提供基础支撑。 根据安全策略的适用场景不同,系统可支持的策略管理包括:安全监测策略、安全防护策略、安全分发策略、安全存储策略、安全评估策略、分类分级策略、数据发现策略、安全运维策略。 策略管理主要包括以下功能: 1. 策略创建 添加策略时需要填写策略对象的各属性,并为策略设定生效时间、选择对应的合规项。 2. 策略列表 列表中展示策略名称、策略类型、策略子类、应用要求、适用数据等级、发布状态(已发布、未发布)、已关联合规项、已关联规则、创建时间等。列表的查询条件包括发布时间、策略名称、策略类型、发布状态、创建时间、合规项状态、资产应用状态、合规项名称等。 3. 策略详情查看 支持查看策略的基本信息,被安全规则的关联信息,以及策略关联的合规项。 4.1.2.3.3 策略关联 以数据资产视角展示和管理策略应用情况。支持按条件查询展示策略清单,清单内容包括策略名称、分类、策略子类、关联合规项等,同时展示策略在资产上的应用状态,对未应用且不适用的策略进行对应的操作。通过该功能,可以查看资产的合规细节,对存在的缺失点进行查缺补漏。 4.1.2.4 数据安全合规稽核
4.1.2.4.1 资产合规稽核 以资源结构目录和数据资产的维度,对资产的合规情况进行统计分析。让用户可以快速掌握整体、部分以及单个资产的合规情况,并根据合规分析信息制定后续的完善操作。该功能以两种维度分别展示资源结构目录下资产的合规情况和具体资产的合规情况。 在资源结构目录视角下,展示下属资产的等级分布、合规率分布、合规接入统计、已应用策略分布、资产合规列表等信息。 在具体资产视角下,展示资产的基本信息和应用到的标准规范,并对资产对合规项的满足分布、策略应用分布进行统计展示,同时按照标准规范和合规项的维度,对每项合规项所涉及到的安全策略与在资产上的应用情况,进行逐项的分析和展示,对资产的合规情况进行深度的刨析,为数据资产安全合规的提升提供细节依据。 4.1.2.4.2 标准合规稽查 以全部标准和单个标准的角度展示标准规范的运行情况。通过全局和细节的标准分析视图,能够让用户对标准的应用情况有整体的了解,为后续的落实完善提供指导。 在全部标准视图中,对标准规范、合规项、解读项、策略进行分类统计,同时对资产的合规率分布、策略按适用等级的分布、策略按类型的分布等进行分析。 在具体标准视图中,对资产的概要信息和合规项信息进行展示,同时对标准下资产的合规率分布、策略按等级的分布、策略按类型的分布进行分析。 4.1.2.5 数据应用资源备案
通过对数据访问行为的备案管理,建立基于备案的可信数据访问基线模型。
4.1.2.5.1 平台支持的备案场景 通过对数据资产访问的报备,建立数据访问行为基线。备案的基础信息包括业务类型、业务系统名称、责任人、账户、工具、访问源地址、数据资产和资产负责人。在基础信息之外平台支持按照备案场景对访问行为进行细粒度控制,支持的访问场景如下: 业务类型 | 场景 | 备案内容 |
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问频次:按日、周、月设置访问次数 访问行数:按日、周、月设置访问行数 访问周期:支持按实时、日、周、月控制 采集方式:人工录入、APP获取、接口
|
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问频次:按日、周、月设置访问次数 访问行数:按日、周、月设置访问行数 访问周期:支持按实时、日、周、月控制
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问频次:按日、周、月设置访问次数 访问行数:按日、周、月设置访问行数 访问周期:支持按实时、日、周、月控制
|
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问频次:按日、周、月设置访问次数 访问行数:按日、周、月设置访问行数 访问周期:支持按实时、日、周、月控制 是否共享境外:是、否
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问频次:按日、周、月设置访问次数 访问行数:按日、周、月设置访问行数 访问周期:支持按实时、日、周、月控制 是否共享境外:是、否
|
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问周期:支持按实时、日、周、月控制
|
| 访问的数据分类:不访问、未脱敏、已脱敏 访问周期:支持按实时、日、周、月控制
|
4.1.2.5.2 备案操作 备案操作可通过访问数据的业务系统和被访问的数据资产两种角度完成,同时提供以资产和业务视角分别查看资源结构目录下的备案情况,提供查看单个数据资产的备案情况,并对备案的分类分级类型、访问账户等进行统计。 系统支持自动备案,通过访问源对数据资产历史访问行为学习,自动生成待备案清单。备案审批流程中支持审批通过、驳回,对已生效备案记录支持变更和下线。 业务系统备案支持配置类型、名称、责任人、访问账号、工具和访问源地址;借助自动行为学习机制,系统自动分析引擎将业务系统对该数据资产的历史访问行为统计,包括按分类分级类型的访问数据统计和敏感数据访问趋势等,以指导备案内容满足访问要求;备案支持对数据内容、行为和业务场景进行精细划分,如按分类、数据级别、访问频次、访问数量、访问周期以及采集方式等进行。 备案提供手动录入和批量导入两种形式,完成业务系统对数据资产的行为备案。 备案管理是数据安全运营的重要手段,通过完善的数据资产访问行为备案,能够实现对数据资产访问行为的全面管控,及时发现非法访问行为并进行预警管控。 4.1.2.6 数据安全事件监测
4.1.2.6.1 数据安全事件监测实现机制 通过对流量、日志分析提取数据访问行为和内容,结合敏感数据清单、分类分级信息、资产备案信息,通过基于行为基线的访问行为监测,实现对外访问、生产运维、数据生命周期风险的监测能力。 4.1.2.6.1.1 生产运维风险监测 生产运维区域安全事件检测分为四种情况: 1、生产运维区域异常操作预警; 2、生产运维区域越权访问预警; 3、生产运维区域批量访问敏感数据预警; 4、生产运维区域访问未备案预警。 结合生产运维区域白名单管理,实现生产运维数据安全事件的检测和预警处置。 1、生产运维异常操作预警 通过流量或应用系统日志信息提取帐号,源IP、源MAC地址、目标IP、目标端口、访问敏感对象(数据库表/业务对象等)、操作时间等信息,并与数据资产备案管理的数据资产账号权限行为基线信息进行比对,当发现某帐号与行为基线有差异时进行告警,监测到帐号异常行为,生成告警信息同时生成事件单,推送到数据安全事件处置进行处理。 2、生产运维越权访问预警 通过与数据资产备案管理的数据资产账号权限报备能力结合,同步帐号权限列表,当从业务系统和运维访问的流量进行分析,发现访问的数据是否敏感数据,当低权的帐号访问敏感数据时进行告警,监测到越权访问行为,生成告警信息并生成事件单,推送到数据安全事件处置进行处理。 3、生产运维批量访问敏感数据预警 通过采集运维区域流量提取帐号,源IP,目标IP,敏感数据信息,通过帐号,目标IP,敏感数据信息与数据资产备案管理的数据资产账号权限报备信息进行比对,当发现此帐号进行批量导敏感数据时进行告警。监测到敏感数据批量导出,生成告警信息同时生成事件单,推送到数据安全事件处置进行处理。 4、生产运维访问未备案预警 通过采集运维区域流量提取帐号,源IP,目标IP,敏感数据信息,通过帐号,目标IP,敏感数据信息与数据资产备案管理的数据资产账号权限报备信息进行比对,当发现此帐号或源IP不在权限范围内时进行告警,监测到未备案的访问,生成告警信息同时生成事件单,推送到数据安全事件处置进行处理。 4.1.2.6.1.2 对外访问风险监测 结合对外访问白名单管理,实现对外访问安全事件的检测和预警处置。对外访问安全事件检测分为以下几种情况: 1、对外访问高频访问预警 通过采集对外访问访问数据的流量提取接口方法名称,请求IP、请求账户、访问时间、访问的敏感数据对象,并对数据进行分析,当发现同一IP或账户在同一时间段对敏感数据接口访问频次较高时告警,监测到高频访问敏感数据接口,生成告警信息同时生成事件单,推送到数据安全事件处置进行处理。 2、对外访问未备案预警 通过采集对外访问访问数据的流量提取接口的IP,与对外访问白名单管理信息进行比对,当发现此请求IP不在权限范围内时进行告警,监测到未授权访问数据接口,生成告警信息同时生成事件单,推送到数据安全事件处置进行处理。 3、对外访问敏感数据预警 通过采集对外访问访问数据的流量提取接口方法名称,请求IP,请求账户,访问时间,访问的敏感数据对象,通过跟数据资产管理-敏感数据特征库进行比对,当发现匹配某个敏感特征时,并且与备案的敏感数据访问权限不符,进行告警,监测到敏感数据违规访问,生成告警信息同时生成事件单,推送到数据安全事件处置进行处理。 4.1.2.6.1.3 数据生命周期风险监测 数据生命周期风险监测基于对各生命周期数据访问行为的备案和分析,对超过备案基线的数据访问行为进行预警,具体业务逻辑如下图:
1、数据采集过程监测 通过数据采集过程监测结合数据资产备案管理信息,实现数据采集监测,发现数据采集异常。包括:数据采集不合规、数据采集未授权、数据采集未脱敏。 1)数据采集不合规:支持数据采集过程未按分级分类要求进行采集监测 2)数据采集未授权:支持数据采集过程是否按照定义采集场景监测 3)数据采集未脱敏:支持数据采集过程用户信息未脱敏监测 2、数据传输过程监测 通过数据传输过程监测结合敏感数据和数据资产管理信息,实现数据传输监测,发现数据传输异常。如数据跨安全域间传输监测,支持数据传输过程是否符合安全域内、安全域间传输场景监测。 3、数据存储过程监测 通过数据存储过程监测,实现数据存储监测,发现数据存储异常。包含:跨安全区域存储数据监测、敏感数据明文存储监测。 1)跨安全区域存储数据监测:支持通过数据发现,监测低安全区域中是否存储高安全级别的数据。 2)敏感数据明文存储监测:支持通过数据扫描,监测高敏感数据是否违规明文存储。 4、数据处理过程监测 通过数据处理过程的流量监测审计,结合应用系统日志,实现数据处理监测,发现数据处理异常。包括:数据越权操作、数据高频访问、敏感数据未脱敏、违规批量数据下载。 1)数据越权操作:支持数据处理过程越权操作行为监测。 2)数据高频访问:支持数据处理过程敏感数据高频访问监测。 3)敏感数据未脱敏:支持数据处理过程敏感数据未脱敏监测。 4)违规批量数据下载:支持数据处理过程大批量数据查询下载监测。 5、数据共享过程监测 通过对数据共享过程的流量监测,实现数据共享监测,发现数据共享异常。包括:敏感数据未脱敏共享、敏感数据未授权共享。并通过数据水印技术,实现外发数据泄漏追踪。 1)敏感数据未脱敏共享监测:支持对数据共享过程中敏感数据未脱敏进行监测。 2)敏感数据未授权共享监测:支持对敏感数据共享是否审批进行监测。 3)外发数据泄露追踪:支持通过对外发数据加入数据水印,并通过对泄漏数据进行数据水印比对,准确定位数据泄露源。 4.1.2.6.2 安全事件处置 以清单方式展示已发生的安全事件,并可对安全事件进行处置操作。清单支持按照时间区间、类型、来源、名称等多种筛选条件,点击事件可查看事件详情进行事情追溯,按照受理、处置的流程对事件进行定性和风险等级定义,同时可以对已处置的事件进行查看。该功能提供对安全事件处置的全闭环流程,方便快捷的让用户对数据环境中发生的安全事件进行查看和处置。 1、数据安全事件展示 数据安全预警事件,能够按数据涉敏性质和量级划分事件等级,包括特大数据安全事件、重大数据安全事件、较大数据安全事件、一般数据安全事件,用于指导数据安全事件处置任务的紧急性和重要性。数据安全事件的展示应包括事件级别、事件原因、预警策略规则、事件发生时间、访问来源等信息。 2、数据安全事件溯源 能够针对发生的数据安全预警事件,展示引发该事件的源头信息,实现对风险源头的追溯,包括设备、账户、角色等身份信息。 3、数据安全事件处置 数据安全事件处置包括事件创建和事件处置,用户可对权限范围内的事件进行操作。支持人工创建和监测策略和预警规则触发创建安全事件。支持对事件进行处置,填报处置措施和结果。 4、原始日志检索 具备对敏感数据审计日志、脱敏日志、加密日志、数据库审计日志、水印日志、数据扫描、数据监测等日志进行检索。 4.1.2.6.3 数据流转视图 通过形象化的视图,对数据在不同主体间的流转进行分析展示。该功能按照不同的时间区间,对部门间、系统间、区域间的数据流转进行展示。展示内容包括可按流转次数、流转行数展示的流转关系图,时间区间内的流转趋势图,以及主体间的流转详细数据等。数据流转视图通过形象的可视化形式,让用户对组织数据的流向和流量进行全面掌握。 4.1.2.7 数据安全事件稽核
4.1.2.7.1 事件监测视图 对数据资产产生的安全事件进行全面监测和识别。可对全部、部分和具体的数据资产,按照自定义时间段,从来源分布、类型统计、状态分布、排名、趋势统计及安全事件分布等维度,对产生的安全事件进行分析,同时对最新安全事件进行滚动播报。该功能对发生的安全事件进行全面的分析,帮助用户及时掌握安全事件发生的态势情况。具体展示的内容包括以下: 1. 安全事件来源分布:对安全事件的来源进行分析展示,包括监测规则、生命周期安全事件、生产运维区安全事件。 2. 安全事件类型统计:对发生的安全事件按类型进行统计,支持切换表格形式展示具体数据。 3. 事件状态分析:对事件的处置状态进行分析,支持切换表格形式展示具体数据。 4. 安全事件排名:按照安全事件的数量进行排名,同时展示各类安全事件在各处置状态的数量。 5. 安全事件分布:展示安全事件在数据资产上的发生数量,支持切换表格形式展示具体数据。 6. 安全事件趋势统计:根据选择的时间区间,展示在时间区间内安全事件的发生趋势,如查看今日或最近7天的安全事件监测情况,则按小时展示发生趋势,如查看最近30天的则展示每天的发生趋势。同时支持切换表格形式展示具体数据。 4.1.2.7.2 事件处置视图 提供对已发生安全事件的处置情况稽核与可视化呈现。可对全部、部分和具体的数据资产,按照自定义时间段,从处置跟踪、误报率、处置统计、趋势统计及责任人安全事件处置排名等维度进行分析展示,同时对最新安全事件的处置情况进行滚动播报。事件处置视图和监测视图从不同维度,对事件的发生和处置情况进行全面分析,帮助组织内不同职责的岗位人员,快速掌握事件的发生和处置情况。具体展示的内容包括以下: l 安全事件处置追踪 展示处在各处置节点的安全事件数量和事件总数,同时展示近期新增的数量、和当前数量与前期的同比,以及当前事件的处置率。 l 事件误报率 分析事件的处置结果,分析事件的误报几率统计。 l 风险等级分布 分析事件的处置结果,展示风险等级的分布情况。 l 误报类型统计 对误报事件的类型进行统计展示。 l 安全风险处置统计 对安全事件在全流程周期的数量按照形象的漏洞进行展示,形象展示安全事件的处置流程,同时提供按照责任人或事件类型展示未处置事件的分布情况。 l 责任人安全事件处置 对安全事件所属责任人的处置情况进行稽核统计,统计数据包括处置率和处置量,同时支持切换表格形式展示具体数据。 l 安全事件趋势统计 根据选择的时间区间,展示在时间区间内安全事件的处置数量趋势,如查看今日或最近7天的安全事件处置视图,则按小时展示处置趋势,如查看最近30天的则展示每天的处置趋势。同时支持切换表格形式展示具体数据。 4.1.2.8 数据安全风险分析
4.1.2.8.1 风险监测视图 提供对安全风险的监测和呈现。提供按照时间区间统计的安全风险类型分布、区域分布、等级分布、风险事件排行、安全风险趋势等统计信息。同时按照风险特征,将风险来源划分为生产运维区域、对外接口、数据生命周期等不同类型,并对该类型下的风险分布情况、排行、趋势等进行分析展示。该功能为用户提供不同视角下的安全风险分布分析,帮助用户了解数据环境中的风险特征和分布情况,支撑制定有针对性的预防措施。具体分析展示内容如下: 1、安全风险分布 按类型展示不同类型风险的发生数量。 2、风险等级分布 展示“特大”、“重大”、“较大”和“一般”风险等级的风险数量。 3、风险事件排行 展示不同事件类型的安全事件的数量。 4、安全风险趋势 展示不同时间维度下,风险等级为“特大”、“重大”、“较大”和“一般”的风险数量。时间维度受整体页面选择的统计时间区间影响,如选择今日或最近7天,则安全风险趋势展示的时间维度为小时,如选择最近30天,则安全风险趋势展示的时间维度为天。 5、最新风险事件情况 以滚动形式展示最近发生的安全风险事件情况。 4.1.2.8.2 风险分析视图 提供数据安全风险的分析视图。视图按照时间区间、风险来源,对安全风险在数字资产上的分布、风险发生趋势、和对应时期风险发生的同环比进行可视化展示。帮助用户透视不同资产环境上的风险发生趋势变化。 4.1.2.8.3 风险清单 以清单形式展示数据环境中发生的安全风险。清单列表可按照发生时间区间、类型、业务名称、风险等级、风险名称等进行筛选,展示风险的基本信息和风险发生的相关访问源和资产信息,同时还支持对风险的详情的查看,进行风险发生的追溯。安全风险清单和风险监测视图、风险分析视图互相补充,为用户提供多维度的安全风险分析和展示形式,帮助用户全面掌握数据环境中的风险情况。 4.1.2.9 数据资源地图
数据地图以多属性、多维度的方式,对敏感数据的分布、流转、访问趋势,以及数据资产和业务系统的基本状态信息和关联关系等,进行全方位、多视角的展现,让用户能够全面把握数据环境中敏感数据的静态分布和动态使用情况,为敏感数据的防护提供目标支撑。数据资源地图的展示分类数据和业务两种视角呈现。 4.1.2.9.1 资产视角 在资产视角下,主要呈现资产的分布以及被业务系统使用情况。 按资源结构目录呈现批量数据资产中整体敏感数据的类型分布、级别占比、以及使用流转情况,以及这批数据资产的类型、业务备案率情况、基本安全状态等。 对单个数据资产,全面展示该资产的数据情况,如资产的归属状态、资产等级、安全保护状态等,以可视化方式呈现该资产中敏感数据的分布和使用情况,以及资产的安全风险评估信息、业务备案详情信息等。 4.1.2.9.2 业务视角 在业务视角下,主要呈现业务系统与数据资产的关联情况,以及业务系统对涉敏数据的使用情况等。 在业务组的角度,展示该组业务系统的业务概况、备案类统计和敏感数据统计,展示该组业务系统按数据分类对数据的访问分布情况,按业务系统、访问账号、数据资产、数据分类展示数据的动态流转统计,以及不同系统对敏感数据访问的热度排行和访问趋势等。 在单个业务系统角度,展示该业务系统的详细信息,以及备案管理的资产,同时通过对业务系统访问数据的分析,展示访问数据的等级分布、分类分布和涉敏数据清单,以及业务系统对数据的访问趋势、最近7天的敏感数据流转图等。 4.1.2.10 数据可视化大屏
4.1.2.10.1 数据资产可视化大屏 数据资产可视化大屏主要展示数据资产的管理和使用状态。围绕资产认领责任到人、资产涉敏数据的发现、资产使用备案情况等掌握资产整体的纳管情况;涉敏数据的类型和分布情况,让观看者快速掌握数据环境中包含哪些敏感数据、分布和数量情况;基于动态的实时监测,呈现涉敏数据的访问流向和访问趋势。数据资产可视化大屏通过静态分布和动态使用两个方面,对数据资产和涉敏数据情况进行分析展现,让观看者能够一屏掌握组织的数据分布和流转情况。 4.1.2.10.2 安全事件可视化大屏 提供对数据环境中发生的安全事件和安全风险的可视化分析。展示内容包括当前事件和风险的数量、各处置环节的事件数量,以及安全事件的处置统计、风险类型的统计、风险发生资产的统计分析等,同时大屏还对当前正在发生的风险进行实时披露。通过安全事件可视化大屏,可实时获取数据环境中正在发生的安全事件,掌握事件和风险的整体发展态势。 4.1.2.10.3 合规稽核可视化大屏 以合规视角对数据资产状态的可视化展示。展示内容包括平台配置生效的标准、合规项、解读项和策略的概览数据,标准、合规项等在数据资产上的应用情况,资产的合规率统计和分布、已应用的策略分布等信息等。合规稽核可视化大屏从合规的角度,向观看者展示组织在数据安全合规方面取得成效,并从各个细节维度对成效进行解读。 4.1.2.10.4 应用资产可视化大屏 提供对应用资产和接口资产的统计分析。内容包括应用应用账号、客户端IP、接口资产、应用资产、敏感数据的概况信息,应用、接口、账号的活跃信息和新增信息,账号的分类信息,以及应用、接口、账号的涉敏数据访问统计信息。统计位置支持按照今日、本周、本月进行统计。应用资产可视化大屏对应用资产的访问统计信息和涉敏数据统计信息进行全面的展示,让观看者能够清晰感知应用的运行情况。 4.1.2.10.5 应用风险可视化大屏 提供对应用风险的全面展示和分析。大屏可按照日、周、月切换统计周期,展示时间区间内风险的概览信息,包括风险总数、风险应用数量、弱点数量、弱点接口以及待确认的风险数量。同时提供对风险等级的统计、风险的发生趋势、风险接口、弱点接口、风险账号、风险IP、弱点类型、风险类型的TOP列表,并对正在发生的风险事件进行滚动播报。应用风险可视化大屏提供了当前应用环境风险的全局视图,让观看者及时发现风险发生趋势和主要风险点位置,为风险的及时处置和预防提供支撑。 4.1.2.11 数据管理子平台
4.1.2.11.1 数据管理核心能力 4.1.2.11.1.1 敏感数据识别 敏感数据识别是一种通过分析数据特征,判断其数据类型和含义,从而分析出是否是敏感数据的技术。该技术对待检测数据的特征与已定义的敏感内容特征进行匹配,判断相似度,并依据系统设定的阈值,确认是否包含敏感数据。 通过对敏感数据的识别,可以对目标环境中是否存在敏感数据,敏感数据的位置、类型、级别、数量做出全面评估,用于指导后续信息安全建设。 敏感数据识别的关键技术由数据采样、前置数据特征分析、数据特征匹配和扩展识别机制四部分组成。 l 数据采样分析 数据采样指从目标环境中取出部分数据的过程,这部分数据用于后续的敏感数据特征匹配。在数据采样的过程中,通常面临两方面的问题需要处理。 一是需要取得足够离散及具有丰富度的数据,这部分通常采用的采样方式是按照如下逻辑进行: 1、判断数据样本总量 2、从数据起始位置按顺序取样本总量20%的有效数据。 3、根据样本总量,计算“步长X“及”批量取数量Y“,然后按照每次跳过X的数据量,顺序取Y行数据的机制,取满后续的80%数据。 这种取数逻辑能够保证数据的离散度,使得取出的数据足够丰富。另一种取数的方式是倒序取数,即从样本数据的尾部向头部取数据,对于步长X和批量取数量Y的用法也是自尾部向头部进行计算。这种方式主要是考虑在实际生产环境中,某张表或者某些存储数据文件往往前部的数据是早期数据,早期数据是业务开始初期或者测试数据,通常不具有代表性,越靠后的数据越接近真实时间点的使用场景,越具有代表性。 二是在取数过程中需要对脏数据及空数据进行过滤,以确保取到的样本数据都是有效数据。 l 前置数据特征分析 前置数据特征分析指在判断数据内容前,对数据的长度、类型、数据库中数据的字段类型等条件进行判断,从而缩小数据判断范围的技术。举例来说,如果某字符串不满15至18位,则一定不会是身份证号。通过这种前置数据特征分析,可以大幅度节约数据判别范围,提升敏感数据识别效率。 目前满足前置数据特征分析的部分典型敏感数据类型如下: l 数据特征匹配 数据特征匹配指根据数据本身特征,利用内置特征库或正则表达式匹配数据类型的技术,在数据特征匹配过程中,可人为设定匹配率x,即采样数据中有x%的数据满足某种数据特征,这一批采样数据就认为是该敏感数据。通常情况下x的取值范围在50~80之间。 对于常见的敏感数据识别方式见如下表格: 敏感数据类型 | 数据特征 | 识别方式 |
| 18个数字字符,最后一个字符会存在X),由地区+出生日期+随机码组成,随机码倒数第二位为性别,最后一位为校验位
|
|
| 支持第一个数字是3、4、5、6、8、9的15到19位银行卡(信用卡),且支持带中划线分割卡号,并且验证最后一位校验位。
|
|
| ^(([+]{1}|00)86)?1(3[0-9]|4[57]|5[^4]|66|7[^249]|8[0-9]|9[89]|)\d{8}$
|
|
|
|
|
| 发现中文地址的格式分两种:1、包含数字+(号楼|楼|单元|号|门|层|室)的地址格式,且前面必须包含街、道、里、路、巷、小区、公寓、花园、苑、院、弄、寨、胡同;例如:广元路13号楼;2、包含数字+(号楼|楼|单元)与(号|门|层|室)必须同时出现 如 102号楼3门;3、字符中包含:中文+(省|市|行政区|自治区)|(市|地区|自治州|盟)| 区|县|市|旗),(乡|镇)|(村)|(街|路)|巷),至少匹配2组关键字,最多4组,例如:城郊乡金雷村。
|
|
| *证的编号数字是8位,且数字前边所在大*的级别的单位简称有:南、北、沈、兰、成、济、广;其他兵种的有:海、空;总部的有:参、政、后、装;新版*证采用军冠字头加7位数字
|
|
| 大陆居民去香港澳门通行证,一个大写字母C或W后面八位数
|
|
|
|
|
| 包含5-10位数字,任意位数字母,任意位数符号,并且以空格+(SZ、SH、OT、IB、HK、NI)结尾
|
|
| 关区号(4位)+
年份(4位)+
进出口标志(1位,0-出口1-进口)+
原报关单编号(9位)+[顺序号(2位)]
|
|
| IP地址由4段数字组成,每一段都在0~255区间取值,每段之间必须包含分隔符“.”。例如192.168.30.12
|
|
| Mac地址由48位二进制,一般写成12位的16进制数据,每两位之间由连接符“-”或“:”连接或无连接符。例如:ff-aa-00-AA-DE-CA。
|
|
| 机构类别(2位特定码)+地区码(6位数字)+组织机构码(8位数字/大写字母+1位数字/X)+校验码(1位数字/大写字母)
|
|
| 适应于三证(工商注册号、组织机构代码、纳税人识别号)合一之前的纳税人识别号
|
|
|
|
|
|
|
|
对于数据特征匹配机制,可通过持续完善或用户自定义匹配规则,进行不断扩展和内容丰富。 l 扩展识别机制 另外对于数据库中存储的敏感数据,当不具备明显数据特征时,还有两类方法可以对其进行识别。 1、数据字典机制 通过内置数据字典,将敏感数据可能的取值范围全部标出,即使采样数据本身不具备前文所提到的明显的数据特征,只要采样数据满足较高的匹配率落在数据字典中,即认为这一批采样数据是这类型的敏感数据。这种匹配办法适用于可以被穷举的数据类型,一般可以用数据字典来进行敏感数据匹配的典型场景有: 中国省市信息:对应中国省市信息字典 证券代码:对应证券代码字典 英文姓氏:对应英文姓氏字典 2、字段名字典机制 一种常见于对数据库中数据进行识别的方式。通过内置字段名称字典,对无法通过内容做出准确识别的数据,从字段的命名上做出判别,典型的使用场景为“字段名称包含PASSWORD、PWD等字符串的字段,被初步认定为账户密码”。 4.1.2.11.1.2 数据分类分级 支持根据系统设置的数据分类分级规则,进行敏感数据自动分类分级,形成数据分类分级清单,并可对清单进行人工审核和管理。 在执行敏感数据发现任务时,根据识别出的数据特征,以及预设的敏感数据分类分级策略,自动打上分类分级的标签,形成分类分级后的结果展示。 根据分类分级的树形结构,分层展示符合该类别、等级条件下的敏感数据在数据资产中的分布情况。列表分布至少包含如下信息:数据资产名称、数据资产地址、端口、数据资产类型、类别、等级、涉敏的数量。点击涉敏的数量可以继续查看该分类分级数据的详细存储位置信息以及样本。在敏感数据样本中至少关联显示该敏感数据识别的策略,如通过身份证数据特征信息识别。 数据分类分级的结果可以通过数据类型、敏感等级、敏感数据资产类型等条件快速查询筛选。 4.1.2.11.1.3 数据资产安全性评估 提供针对数据资产的风险扫描能力,通过内置规则库,可以对数据环境中的漏洞情况,配置缺陷情况,数据库的弱口令情况进行扫描检测,提供多维度的扫描报告与修复建议,使用户能够及时准确的掌握风险状况并进行修复加固。提供针对数据存储环境整体的综合评估机制,使用户可以完成对数据资产的全方位掌握。 1、数据库漏洞扫描 主流数据库系统大多功能庞大且结构复杂,在提供强大的数据管理服务能力的同时,也暴露出众多的安全漏洞。 通过使用默认的安全评估策略对数据库进行安全检测,对检测到的漏洞能提供其类别、危害等级、详细描述和解决方案建议,并能够生成统计分析报表;可对包括国产数据库在内的账号弱口令进行扫描,同时可发现缓冲区溢出和SQL注入等安全漏洞进行渗透检测验证。 支持1500以上的安全漏洞库,支持4500以上的安全检测点;覆盖DBMS漏洞、管理员维护漏洞、程序代码发现外部黑客攻击漏洞,防止外部攻击。 提供策略的管理功能,用户可以定制扫描项目和属性,根据漏洞类型分成:弱口令、缺省口令、配置缺陷、数据发现、脆弱点、易受攻击代码、操作系统相关漏洞、程序后门、审计漏洞、补丁等;根据风险级别,分为严重、中等、普通、警告、参考信息;将策略分类管理,可满足不同安全等级检查的需要,如等级保护、行业等保以及军队等级保护等。 2、数据库配置缺陷扫描 数据库配置缺陷是指由于数据库或系统的安全配置设置不正确或缺省配置,造成的安全缺陷或风险点。 数据库安全配置的缺陷程度,是评估数据库安全状况检查的一个关键要素,可以识别数据库配置缺陷造成的安全缺陷或安全风险。 3、数据库弱口令扫描 数据库弱口令是指账号口令的安全强度不符合安全性要求,例如口令“000000”很容易被破解。 支持弱口令的安全评估,提供口令爆破库,对弱口令进行快速检测。 1)丰富的弱口令字典库比对,即时展现不安全的口令设置 基于各种主流数据库口令生成规则,实现口令匹配扫描,规避基于数据库登录的用户锁定问题和效率问题;提供基于字典库,基于规则,基于穷举的多种模式实现弱口令检测;提供2000 万弱口令字典库,兼容CSDN口令库。 2)提供国产数据库两种弱口令扫描方式 授权弱口令扫描:提供数据库用户、密码,全新扫描方式急速、安全。 非授权弱口令扫描:无数据库权限,也能够扫描。 3)综合多种扫描策略 包括70万海量弱口令字典、自定义弱口令字典、用户名相关弱口令、按长度和字符暴力破解。 4.1.2.11.2 评估资产管理 接入运营平台已纳管的数据资产,进行数据资产的评估。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑和删除,资产接入后可进行相关数据管理和评估操作。 4.1.2.11.3 资产发现 4.1.2.11.3.1 资产发现任务 支持资产发现任务的创建和管理,主动扫描嗅探网内可能存在的未知数据资产。通过配置扫描的IP区间和数据库端口区间,形成数据库发现任务,任务的执行可以手动操作也可以配置为定时任务,对区间内存在的数据资产进行自动发现。通过定时任务的设置,可及时发现网络环境内隐藏或新增的数据资产,保证数据安全防护的全面、不遗漏。 4.1.2.11.3.2 数据源管理 提供对数据源的集中管理功能。通过该功能可人工添加数据源,也可以对人工添加和自动发现的数据源进行核实,将数据源核实为数据资产或将集群节点添加进数据资产,同时提供对数据源的多种筛选功能,方便用户的核实操作。 4.1.2.11.3.3 资产连接任务 支持资产连接任务的创建和管理,对数据库连接的可用性进行测试。通过选择数据资产和连接信息,形成资产连接任务,手动或定时对数据库的可连接性进行测试,同时支持对任务执行结果的下载。通过资产连接任务的设置,可及时发现数据资产的运行异常,为业务的平稳运行提供支撑保障。 4.1.2.11.3.4 数据发现任务 提供对数据资产下数据特征的自动发现能力。用户可通过创建发现任务,使用平台内置的敏感数据特征库,对存储的姓名、地址、电话、身份证、统一信用代码、银行卡号、日期、email等敏感信息自动识别,形成元数据清单。发现任务可手动运行也可以设置定期执行,及时获取数据结构的变化。通过数据发现任务,能够帮助用户自动发现资产内的数据详细情况,为数据的有目标防护提供支撑。 4.1.2.11.3.5 数据清单 以资产视角对元数据和元数据的数据特征进行管理。数据清单以资源结构目录的形式,展示对应目录或数据资产下的字段元数据,在展示列表中,提供对平台自动发现的数据特征进行核实和修改的功能,同时提供锁定功能避免再次发现对现有核实结果的覆盖;数据清单功能还展示字段的分类分级结果,并提供丰富的筛选条件对字段进行筛选。通过数据清单页面,用户可以详细掌握各数据资产下的数据类型情况,并通过对数据特征的核实,支撑后续对具体数据的防护措施。 4.1.2.11.3.6 数据特征管理 模块化管理涉敏数据特征规则,为数据发现任务提供数据特征依据。系统内置常见的涉敏数据识别特征规则,并支持自定义新建,特征规则支持正则表达式、数据字典、字段字典、复合发现、自定义函数等,同时还可以根据数据质量情况调整采样数据确认比率,以优化涉敏数据准确率。数据特征管理能够在平台默认能力的基础上,增加对特定数据的识别能力,以更好满足不同行业客户的需求。 4.1.2.11.3.7 数据特征发现模板 以自定义模板的形式,对涉敏数据发现任务中识别的数据特征范围进行策略配置,发现指定特征的涉敏数据。支持对数据特征发现模板进行管理,如新建数据特征模板、编辑、删除等操作。该功能为数据发现任务提供更高的灵活性,尤其是在复杂数据环境下,配置合适的数据发现模板能够大大提高数据发现效率。 4.1.2.11.4 安全评估 4.1.2.11.4.1 安全评估任务 从资产价值、资产脆弱性两个方面对数据资产安全性进行综合评估。用户可自定义选择评估模板,如脆弱性扫描可选择CVE/CNNVD漏洞扫描、配置缺陷扫描、敏感数据扫描等,同时任务可选择手动或定时执行,及时发现数据库的运行风险。通过安全评估任务,能够让用户直观的对数据资产的价值和潜在风险有清晰的认识,为对数据资产的针对性防护提供支撑。 4.1.2.11.4.2 权限梳理 提供对数据资产的权限梳理能力。对资产内的对象权限、系统权限和角色权限进行梳理并展示,帮助用户了解数据资产权限的分配情况,为资产用户对数据资产的合理使用提供分析依据。 4.1.2.11.4.3 脆弱性评估模板 查看平台内置脆弱性评估策略模板详情,并自定义策略模板。平台内置了丰富的脆弱性评估策略模型,如全面扫描、CVE/CNNVD漏洞扫描、配置缺陷扫描、敏感数据扫描、危险程序扫描、公安内部安全检查、等级保护扫描等,用户可对平台内置模板的检测项进行查看,同时可以基于内置模板创建自定义策略模板。平台内置的评估模板已能够满足大多数行业场景的需求,同时提供自定义的方式满足特定行业需求,为平台的安全评估能力提供极大的灵活性。 4.1.2.11.4.4 脆弱性评估清单 以列表形式展示资产的脆弱性评估结果。该功能提供对安全评估结果的展示,展示内容包括脆弱性评估结果和弱口令,用户可选择具体的评估任务执行时间查看。功能详细展示平台扫描出的风险项,并提供修复建议,使用户能够准确的掌握风险状况并进行针对性的修复加固。 4.1.2.11.5 分类分级 4.1.2.11.5.1 分类分级管理 对分类分级标准进行管理。平台提供内置的分类分级标准,同时支持用户对分类分级标准的添加和自定义设置。对自定义的分类分级标准,支持分级层级的无限添加;在分类分级的规则配置中,用户可定义分类的名称、描述信息、分类对应的知识库和分类的级别。通过分类分级的管理,将国家和行业协会发布的分类分级标准规则化,为平台对数据的自动分类分级提供支撑。 4.1.2.11.5.2 分类分级清单 提供以分类分级标准的视角对分类分级结果进行查看的功能。清单支持多种条件查询,可通过分类分级标准、分类子项、数据资产、表名称、字段名称、数据特征、字段级别等进行筛选,展示字段元数据和对应的分类、分级结果。通过该页面,用户可快速了解不同类别敏感数据在资产中的分布状况,对数据资产的详细信息有更清晰的认识。 4.1.2.11.5.3 分类分级操作 以表和字段的形式对分类分级进行操作。该功能让用户可以根据字段清单,人工设置分类分级结果,提供表清单和字段清单两个标签页供切换。在具体的操作中,提供针对数据表/字段的物理属性、管理属性、描述备注、数据属性、分类分级结果多个维度的查询检索。提供基于拆词分词的智能分析和业务识别能力,可以针对一个谓词或多个谓词快速联想查找,便于定位分类分级结果。同时提供自动刷新分类分级的能力,可以根据设置的规则,提供自动化分类分级结果。通过系统预设的智能化能力和操作便捷的人工核实能力,形成元数据的分类分级清单,为精细化数据安全监测与防护提供目标范围。 4.1.2.12 监测管理子平台
数据动态流转的典型过程包括数据采集、数据传输、数据存储、数据处理、数据共享过程。在数据流转的过程中存在如采集数据未授权、未按要求进行数据脱敏、敏感数据未按要求进行加密存储、流转过程中存在的高频访问、越权访问等异常行为;目前这些风险缺少主动的监测办法,无法及时的发现异常和对异常行为的追溯能力。 依托于数据流转过程监测,实现数据流转中的动态监测,呈现出谁,从哪(访问源),使用了什么账号,通过什么途径,访问了那里的数据对象(访问目的),做了什么操作(数据库操作行为)的全面审计,便于事后对数据访问行为进行追溯。通过风险监测策略,对异常数据库访问行为识别和告警,快速对数据安全风险事件进行追溯。 4.1.2.12.1 监测管理核心能力 数据在访问、操作、流转过程中会产生安全风险,例如数据批量泄露、SQL注入、NO WHERE等高危风险,这些风险一旦发生,损失和后果无法挽回,但如何准确的、快速的、实时的监测识别这些风险,及时发现并有效止损是数据安全建设面临的共同难题。对于风险监测识别,通过语法解析和策略引擎两大技术作为支撑,在风险监测识别的同时能够做到准确、实时,只有减少风险误命中,快速发现数据使用周期中的安全风险,才能为做好数据安全建设打下牢固基础,为数据安全使用提供坚实保障。 概括起来,需要对以下几类数据使用情况进行监控: 1、数据库漏洞及注入攻击 应用系统漏洞的注入攻击和以Web应用服务器为媒介的数据库自身漏洞攻击和入侵监控。此外,还需要识别SQL注入攻击、渗透绕过应用系统的恶意操作语句、异常数据操作。 2、应用非合规操作监测 应用访问从非正常的应用系统发起(如应用服务器IP、MAC、使用的数据库用户等)监控。非常规应用类操作,如删库、删表、清空库、清空表、创建数据库用户、给数据库赋权等。在非业务时间段发现有业务系统访问数据库行为监控。 3、运维非授信访问操作监测 运维从非授信的终端发起访问(如客户端IP、MAC、端口、客户端工具、运维时间段),以及对运维终端自然人身份的识别。运维访问业务系统表,涉敏数据表对象操作监控。 4、运维高危操作监测 运维中非常规的操作如删库、删表、清空库、清空表、创建数据库用户、给数据库赋权等;无WHERE条件的删除数据、无WHERE条件的更新数据等操作监控。 5、涉敏数据访问监测 针对可能存在敏感信息的业务数据表访问记录的监控,追溯访问的次数和来源,识别可能潜在的非合规操作。 6、数据库口令攻击监测 短时间内出现多次错误口令登录系统失败的监控,意思为暴力破解数据库账户行为的监控。 4.1.2.12.1.1 语法解析 获取监测流量并对通信协议解析后,已准确识别SQL语句,为什么会再次针对SQL语句进行语法解析,语法解析的主要目的是为了握语句的真实语义,并准确识别操作类型与访问对象之间的逻辑关系,例如多层嵌套语句中同过语法解析能够准确定位到操作类型对应的投影列具体是哪个访问对象,才能够准确监测重要数据安全风险;例如复杂语句中如何准确识别语句的语义,是查询数据操作还是更新数据操作,才能有效避免篡改数据的风险。语法解析作为策略引擎中最重要的前提,就是帮助准确识别才能有效减少风险误触发,当风险真正发生时能够快速、准确发现,将损失降到最低。若不能够准确识别SQL语句,那么风险监测的效果将大大折扣。 目前平台具备的数据库语法解析技术,可以准确识别628种数据库行为、60多种数据库高危行为和20多种数据库攻击行为,基于已有的数据库语法解析技术,从中提取适合单包环境的数据库协议特征,识别出数据库的各种行为,包括但不限于数据库登录成功、数据库登录失败、数据库增删改查等关键操作;识别出多种数据库攻击行为,攻击行为包括但不限于数据库密码暴力破解、数据库脱库行为等;识别出多种数据库高危行为,高危行为包括但不限于、数据库账号后门建立、新账号赋予最高权限、数据库写文件、数据库访问操作系统等。 通过语法解析,可以将数据库行为分为数据库定义(DDL)、数据操纵(DML)、数据控制(DCL)、事务控制、多语句块、数据字典、过程调用、数据库管理和其他9类。 通过模仿数据库对SQL语句的解析方法,实现了一套专门用来分析网络中SQL语句中关键信息的技术-数据库语法树技术。整体思路如下图所示:
步骤一:从网络中利用数据库协议特征识别出网络包中包含的数据库SQL语句 步骤二:首先对SQL语句格式化,实行参数替换、压缩空格、关键词大些化和关键标识等。 步骤三:将格式化后的SQL语句变成SQL语句模版,将海量的SQL语句浓缩成有限的SQL模版进行缓存。 步骤四:如果发现新的SQL语句模版进行新模版的SQL分词解析。如果为发现新的SQL模版则此时已经完成。 步骤五:把新解析或已缓存的SQL语句直接根据分词拆分的结果返回操作类型、操作对象等一系列关键信息。 对捕捉到的SQL语句,先转成SQL模版在进行解析,拆分识别SQL模版的操作类型以及操作所涉及到的表、字段的名字。这种方式可以高效快速的识别出当前SQL语句的行为特征和操作对象,大大节省解析时间,为快速发现数据使用过程中的安全风险打下夯实基础。 4.1.2.12.1.2 策略引擎 无论是大批量核心敏感数据被导出,还是被外部注入攻击猜测表结构,或是黑客利用数据库自身存在漏洞被恶意攻击,甚至重要资产数据,被内部人员有意或无意中随意篡改、删除等,这些任何计划外的操作均应该予以高度关注,并可以及时追溯风险来源防止危险操作进一步扩散,否则数据库就如走钢丝的人,在无任何保护防御措施下,岌岌可危。策略引擎对于上述这些操作均可以触发已设置生效的审计规则,并通过配置、创建的告警,第一时间将数据库的风险操作信息通知相关人员,以便于及时采取应对措施,能够达到对数据库实时监控的目的。 策略引擎以协议解析、语法解析为基础依托,通过策略引擎独有的处理逻辑,实现在高压、并发访问数据的情况下依旧能够准确、快速的进行风险监测,实时的风险触发,从海量访问中实时发现违规访问、高危操作等。 1、策略类型 策略引擎下的子引擎为访问控制、SQL注入,漏洞攻击和黑白名单。子引擎会根据规则类型将配置的规则库进行分类,在风险触发时能够根据不同规则类型进行风险统计,例如能统计访问规则类风险还是操作规则类风险,风险发生的频率和波动有多少,都能够进行直观展示风险分布。 2、策略算子 策略引擎也称为动态规则引擎,filter模式,树形结构。每个树形的节点是策略算子,算子是每个参与规则校验的元素,策略引擎涵盖的算子包含如下: 访问来源:用户、IP、客户端工具、MAC地址、操作系统用户、主机名、数据库实例以及应用端的客户端IP、应用用户等; 谓词:DDL、DML、DCL等操作类型; 对象:表、字段; 除上列举还包括:时间算子、where条件控制等; 3、风险监测流程 当数据访问流量经过协议解析后审计SQL语句,再经过语法解析拆解出SQL语句语义以及操作类型与对象之间的关系后,会经过策略引擎参与校验,并与策略引擎规则库进行算子匹配,如果匹配成功则会命中风险。 4、策略引擎规则匹配流程 所有的语句都会走策略引擎,根据重写后语句的hash值确定是否是语句过滤,未过滤的语句再根据语句唯一标识确定黑白名单语句,顺序走访问控制、虚拟补丁、SQL注入、黑白名单语句,一旦匹配规则库中的策略算子,就会触发风险,形成风险告警,并将整个引擎的风险命中结果按照风险级别高、中、低,以及上述策略类型进行风险统计。从而整体把控数据访问过程中、流转中的风险态势。 如下是策略引擎规则匹配流程示意图:
4.1.2.12.2 监测资产管理 接入运营平台已纳管的数据资产,进行数据资产的监测。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑、删除和自动备案管理。资产接入后将需要监测的数据资产下发至多个引擎工作节点,接收并存储安全监测引擎采集的行为日志,实现对数据资产使用行为的动态安全监测。 4.1.2.12.3 监测数据检索 4.1.2.12.3.1 监测行为检索 提供数据资产访问行为流水详情数据的集中检索。支持多种条件的检索,如资产名称、捕获时间、资产地址、数据库用户、客户端IP、MAC地址、行为关键字等,提供检索结果的详情展示。监测行为检索是平台监测能力的基础体现,为安全事件追溯和处置提供数据依据。 4.1.2.12.3.2 监测会话检索 提供会话维度的数据资产访问数据集中检索。支持多种条件的检索,如时间区间、查询范围、数据库用户、客户端、OS用户、工具和应用、MAC地址等。检索出的结果包含了终端用户在一个访问会话周期内的所有行为流水记录,为安全事件的追溯和查询提供数据依据。 4.1.2.12.3.3 监测事件检索 提供已发生安全事件的检索。支持按照时间区间、资产范围、事件类型、事件名称、事件级别、执行情况、数据库用户等筛选条件。检索出的结果包含事件发生的具体SQL语句、影响范围和行数,为数据安全事件处置提供研判依据。 4.1.2.12.4 监测数据统计 4.1.2.12.4.1 监测行为统计 提供资产组和资产维度的监测行为统计分析。支持自定义时间区间,呈现资产组维度的语句量库级分布、操作类型分布、时间分布等信息,呈现数据资产维度的操作类型分布和时间分布的分析。帮助用户直观了解数据环境中的数据使用概况。 4.1.2.12.4.2 监测会话统计 提供资产组和资产维度的会话统计分析。支持自定义时间区间,呈现资产组维度的会话数库级分布、访问源分布、时间分布等信息,呈现数据资产维度的访问源分布和时间分布的分析。帮助用户分析各数据资产的访问情况和访问趋势。 4.1.2.12.4.3 监测事件统计 提供资产组和资产维度的安全事件统计分析。支持自定义时间区间,呈现资产组中风险的库级分布、风险类型、时间分布等信息,呈现数据资产下风险类型分布和时间分布的分析。帮助用户分析各数据资产的风险发生情况和发生趋势。 4.1.2.12.5 监测规则配置 4.1.2.12.5.1 监测规则配置 提供安全监测类规则的集中配置和管理。平台内置了常见的安全事件监测类规则,类型包含SQL注入攻击、违规登录、疑似密码破解、运维误操作、违规操作、用户密码泄露、疑似批量泄露等。同时提供用户对监测规则的自定义功能,支持对监测规则的新建、编辑和删除操作,以及规则与策略和资产的关联。通过规则的配置和应用,可提高安全事件监测的效率和精准度,通过与安全策略的关联,落实安全策略管理的合规性要求。 4.1.2.12.5.2 监测规则启用 以资产视角来集中展示和管理监测规则的应用情况。包括从规则类型、等级等展示已启用规则和未启用规则,以及已启用规则的优先级调整,实现资产级的精细化监测规则管理。 4.1.2.12.6 监测报表 提供多种维度视角的监测统计报表。包括综合报表、合规报表、专项报表等,用户可选择时间区间、资产范围、模板类型一键生成,同时支持在线预览和多类型文件导出。帮助用户简化工作汇报报表的编写工作。 4.1.2.13 安全防护子平台
针对基础库中基础数据含有大量的敏感数据,安全防护子平台提供数据库级别的访问控制和入侵防御能力,实现对数据库访问的安全管控,守护数据资产中的数据安全。 1、事中主动防御 通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。 面对来自于外部的入侵行为,提供防SQL注入禁止和数据库虚拟补订包功能;通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。 在不影响数据库原有性能、无需应用进行改造的前提下,提供可靠数据库安全保护服务。 2、阻断漏洞攻击 通过手动配置许可禁止模型,按照SQL自身语法结构划分SQL类别,通过自定义模型手动添加新的SQL注入特征,进行有效拦截。数据库漏洞攻击防控:开启虚拟补丁配置策略,即可防范数据库漏洞的攻击。 3、应用异常监控防护 针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的实时有效管控,并结合对NO WHERE语句风险的判断,避免大规模数据泄露和篡改。 4.1.2.13.1 安全防护核心能力 4.1.2.13.1.1 网络可信接入
1、网络上可信:串联数据库防火墙后,黑客无法绕过数据库防火墙直接访问数据库。 2、IP可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。 3、访问方式可信:通过区分软件和工具访问方式,只容许软件访问。 4.1.2.13.1.2 应用身份识别 采用应用URL、账号关联,只有合法应用发出的SQL语句可以穿过防火墙访问数据库,其他登陆工具和应用都无法通过防火墙登陆后台数据库,确保数据来自指定应用。 4.1.2.13.1.3 建立应用“白名单” 对于通过应用程序后门批量导出敏感数据的“刷库”行为,首先要构建政府核心应用的行为模型,通过数据库防火墙的学习期将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报,通过学期完善期,然后切换到保护期,此时如果出现了通过Web访问应用程序后门批量导出敏感数据的操作,数据库防火墙会报“新型语句”,这类语句属于“灰名单”语句,安全管理员要根据具体情况判断语句风险,防止通过后门程序批量导出敏感信息的行为。 4.1.2.13.1.4 操作权限细粒度管理 通过数据库防火墙建立比数据库系统更详细的权限控制,控制权限细粒到用户、操作语句、操作对象、操作时间等;另外在控制操作中增加对不带条件的删除、修改等高危操作的阻断;对于返回行数和影响行数实现精确控制,增强对用户的细粒度控制。 4.1.2.13.1.5 抵御SQL注入 系统提供缺的SQL注入特征库,通过对SQL语句进行注入特征描述,完成对“SQL注入”行为的检测和阻断。提供了虚拟补丁功能,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护,对于有“扩展脚本”和“缓冲区溢出”攻击的特征的SQL语句,直接进行拦截。 4.1.2.13.1.6 阻断漏洞攻击 可以通过数据库防火墙手动配置许可禁止模型,按照SQL自身语法结构划分SQL类别,通过自定义模型手动添加新的SQL注入特征,进行有效拦截。数据库漏洞攻击防控:开启虚拟补丁配置策略,即可防范数据库漏洞的攻击。 4.1.2.13.1.7 应用查询敏感数据脱敏 依据数据使用者的角色、职责和其他IT定义身份特征,动态的对请求返回的数据进行专门的安全处理,可确保不同级别的数据使用者按照其身份特征恰如其分的访问敏感数据,有效降低数据泄漏事件发生的概率。 对查询请求进行精确解析,并对敏感数据进行脱敏遮蔽处理后,返回给应用。保护策略如下: 1、默认对所有的敏感信息进行遮蔽; 2、通过设置策略,对授权的应用系统不进行遮蔽或部分遮蔽处理。
4.1.2.13.2 防护资产管理 接入运营平台已纳管的数据资产,进行数据资产的防护。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑、删除。资产接入后将需要防护的数据资产下发至多个引擎工作节点,统一管理数据资产的安全防护策略,实现对数据资产安全防护的集中管理。同时支持多个安全防护引擎以多网络区域、独立工作节点、高可用冗余等多种状态的接入管理。 4.1.2.13.3 防护数据检索 4.1.2.13.3.1 防护行为检索 提供数据资产防护行为详情数据的集中检索。支持多种条件的检索,如时间区间、资产范围、关键字、客户端、数据库用户、事件级别等,并对防护行为的详细信息进行展示。防护行为检索是平台防护能力的基础体现,为安全防护动作的追溯和查询提供数据依据。 4.1.2.13.3.2 防护事件检索 提供基于防护规则历史命中事件的检索。支持时间区间、资产范围、关键字、事件类型、事件名称、SQL执行情况、数据库用户等检索条件,同时提供事件发生的详情信息,为数据安全防护事件的处置提供研判依据。 4.1.2.13.3.3 脱敏防护检索 提供基于脱敏防护规则历史安全事件的检索。用户可通过时间区间、资产范围、关键字、客户端IP、数据库用户等对防护行为进行检索,同时提供详情信息的查看,包括sql语句及详情、捕获时间、数据库用户、客户端ip、执行结果、影响行数等。为数据安全事件处置时提供研判依据。 4.1.2.13.4 防护数据统计 4.1.2.13.4.1 防护行为统计 提供对防护行为的统计信息展示。用户可按时间区间、风险类型、风险名称进行自定义查询,平台以列表的方式来呈现历史风险命中统计,如命中的风险量Top排行、风险类型、被保护数据库等。展现平台防护能力对数据资产的防护成效。 4.1.2.13.4.2 防护行为分析 提供对防护行为的分析功能。用户可自定义分析的时间区间和资产范围,平台以图表的方式来呈现历史风险数据统计,如访问资产风险的Top分布、风险类型分布、风险次数在时间区间分布情况。帮助用户及时掌握高风险的资产分布、高发风险类型以及风险高峰期规律。 4.1.2.13.4.3 威胁来源统计 提供对威胁来源的统计功能。用户可自定义统计的时间区间、资产范围和聚合条件,平台以列表形式呈现风险源的统计结果,包括风险来源、风险次数等。帮助用户发现风险来源,以制定更有针对性的防护措施。 4.1.2.13.5 防护规则管理 4.1.2.13.5.1 防护规则配置 提供防护规则的集中配置和管理。平台内置了常见的防护规则,类型包含SQL注入攻击、违规登录、密码暴力破解、运维误操作、违规操作、用户密码泄露、数据批量泄露等。同时提供用户对防护规则的自定义功能,支持对防护规则的新建、编辑和删除操作,以及规则与策略和资产的关联。通过规则的配置和应用,可提高安全防护的效率和精准度,通过与安全策略的关联,落实安全策略管理的合规性要求。 4.1.2.13.5.2 防护规则启用 以资产视角来集中展示和管理防护规则的应用情况。包括从规则类型、等级等展示已启用规则和未启用规则,以及启用状态规则的优先级调整,实现资产级的精细化防护规则管理。 4.1.2.13.6 脱敏防护规则 4.1.2.13.6.1 脱敏规则配置 提供脱敏规则的集中配置和管理。提供对脱敏规则的自定义功能,支持对防护规则的新建、编辑和删除操作,以及规则对资产的关联。通过规则的配置和应用,可提高脱敏防护的效率和精准度。 4.1.2.13.6.2 脱敏规则启用 以资产视角来集中展示和管理脱敏规则的应用情况。包括从规则类型、等级等展示已启用规则和未启用规则,以及已启用规则的优先级调整,实现资产级的精细化脱敏规则管理。 4.1.2.13.6.3 脱敏防护算法 对脱敏防护算法进行集中化管理。平台内置了常见敏感数据类型的脱敏算法,包含基础算法、高级算法、高性能算法、行业特殊算法等,同时支持用户对算法的新增和删除。通过脱敏防护算法的配置,为安全防护作业中需要对结果展示做脱敏时提供统一的算法支持。 4.1.2.13.7 安全防护报表 提供多种维度视角的防护统计报表。包括综合报表和专项报表,用户可选择时间区间、资产范围和模板类型一键生成,同时支持在线预览和多类型文件导出。帮助用户简化工作汇报报表的编写工作。 4.1.2.14 安全运维子平台
传统的数据授权方式是针对数据库账号的授权,由于数据库自身的限制,不能实现针对数据的细粒度授权,数据的规范使用和越权访问无法有效控制。而后台的运维人员均为特权账号人员,建设基于数据的权控系统,不但能够实现数据权限最小化,大大降低数据越权访问和违规使用的概率。 4.1.2.14.1 安全运维核心能力 4.1.2.14.1.1 运维人员身份鉴别 数据库运维管理组件通过双因素认证机制,解决数据库账户共享,运维主机共享场景下的运维人员精准身份鉴别及权限划分问题。认证机制包括: 1、审批口令码:运维人员提交申请并通过审批后获得审批口令码,运维人员登录 数据库后,需提交审批口令码方可继续执行获准的运维操作。 2、动态令牌:运维人员在登录数据库后,通过输入动态令牌显示的数字校验身份, 通过后方可执行与自己身份相符的运维操作。 3、Web身份认证:运维人员在需要进行运维动作的客户端主机上,通过打开数据库运维管理组件特殊的身份校验网页向服务器校验自身身份,通过后方可执行与自己身份相符的运维操作。在运维过程中,需要始终保持与数据库运维管理组件提供的身份校验网页的连接不中断,否则将无法执行后续的运维动作,需要重新连接以校验身份。 数据库运维管理组件通过“数据库运维管理组件帐号”与“数据库帐号”相关联,实现操作者的自然人身份确认,解决多人共用同一数据库账号,无法定责的问题。 4.1.2.14.1.2 运维准入控制 通过对运维终端的IP、MAC进行绑定,只允许准入的终端连接数据库进行运维操作,有效避免非法终端对数据库的访问,防止恶意软件或黑客渗透造成的非法连接数据库风险。 4.1.2.14.1.3 授权审批 数据权限的最终确定需要通过审批,在审批过程中即对用户、应用进行认证,确保其身份的合法可靠。 4.1.2.14.1.4 运维管控 数据库运维管理组件对数据库运维行为进行审批管控,无需改变运维人员使用的运维工具和习惯,运维工作审批通过后,指定的时间、对象、操作方可以通过,数据库运维管理组件对运维人员的IP、客户端工具、账号、时间等进行登录限制,针对数据库数据表,可按照受影响数据行数(阀值)进行精细管控,包括查询、更新和删除动作,超出阀值的行为进行阻断或拦截,防止高危操作或大批量数据泄露。 4.1.2.14.1.5 运维脱敏 依据数据使用者的角色、职责和其他IT定义身份特征,动态的对请求返回的数据进行专门的安全处理,可确保不同级别的数据使用者按照其身份特征恰如其分的访问敏感数据,有效降低数据泄漏事件发生的概率。 运维人员在对数据库中的数据进行日常运维的过程中,能够有权限查询数据,会有违规查询的现象发生,保护策略如下: 1、所有的运维操作,都必须经过运维查询的过滤,依据字段的类型,进行相应的遮蔽处理; 2、审计运维人员查询敏感数据的操作,并对查询行为进行分析告警。 4.1.2.14.2 运维资产管理 接入运营平台已纳管的数据资产,进行数据资产的运维管理。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑、删除。资产接入后将需要运维的数据资产下发至多个引擎工作节点,统一管理数据资产的安全运维策略,实现对数据资产安全运维的集中管理。同时支持多个安全运维引擎以多网络区域、独立工作节点、高可用冗余等多种状态的接入管理。 4.1.2.14.3 运维数据检索 4.1.2.14.3.1 运维行为检索 提供数据资产运维行为详情数据的集中检索。支持多种条件的检索,如时间区间、资产范围、关键字、客户端、数据库用户等,并对运维行为的详细信息进行展示。运维行为检索是平台运维能力的基础体现,为安全运维动作的追溯和查询提供数据依据。 4.1.2.14.3.2 运维事件检索 提供基于运维规则历史命中事件的检索。支持时间区间、资产范围、关键字、事件类型、事件名称、SQL执行情况、数据库用户等检索条件,同时提供事件发生的详情信息,为数据安全运维事件的处置提供研判依据。 4.1.2.14.3.3 脱敏运维检索 提供基于脱敏运维规则历史安全事件的检索。支持以时间区间、资产范围、关键字、客户端IP、数据库用户等对脱敏行为进行检索,同时提供详情信息的查看,包括sql语句及详情、捕获时间、数据库用户、客户端ip、执行结果、影响行数等。为数据安全事件处置时提供研判依据。 4.1.2.14.4 运维数据统计 4.1.2.14.4.1 运维行为统计 提供对运维行为的统计分析。支持按时间区间、风险类型、风险名称进行自定义查询,平台以列表的方式来呈现历史风险命中统计,如命中的风险量Top排行、风险类型等。展现平台安全运维能力对数据资产的防护成效。 4.1.2.14.4.2 运维行为分析 提供对运维行为的分析功能。支持自定义设置分析的时间区间和资产范围,平台以图表的方式来呈现历史风险数据统计,如风险的库级分布、风险类型分布、时间区间分布等。帮助用户及时掌握运维风险的分布特征,以针对性的制定防范措施。 4.1.2.14.4.3 运维威胁来源统计 提供对运维威胁来源的统计功能。支持自定义统计的时间区间、资产范围、执行人和聚合条件,平台以列表形式呈现风险源的统计结果,包括风险来源、风险次数等。帮助用户发现风险来源,以制定更有针对性的防护措施。 4.1.2.14.5 运维规则管理 4.1.2.14.5.1 运维规则配置 提供运维规则的集中配置和管理。平台内置了常见的运维规则,类型包含SQL注入攻击、违规登录、密码暴力破解、运维误操作、违规操作、用户密码泄露、数据批量泄露等。同时对运维规则的自定义功能,支持对运维规则的新建、编辑和删除操作,以及规则与策略和资产的关联。通过规则的配置和应用,可提高安全运维的效率和精准度,通过与安全策略的关联,落实安全策略管理的合规性要求。 4.1.2.14.5.2 运维规则启用 以资产视角来集中展示和管理脱敏规则的应用情况。包括从规则类型、等级等展示已启用规则和未启用规则,以及启用状态规则的优先级调整,实现资产级的精细化脱敏规则管理。 4.1.2.14.6 脱敏运维规则 4.1.2.14.6.1 脱敏规则配置 提供运维脱敏规则的集中配置和管理。提供用户对脱敏规则的自定义功能,支持对脱敏规则的新建、编辑和删除操作,以及规则对资产的关联。通过规则的配置和应用,可提高运维脱敏防护的效率和精准度。 4.1.2.14.6.2 脱敏规则启用 以资产视角来集中展示和管理运维脱敏规则的应用情况。包括从规则类型、等级等展示已启用规则和未启用规则,以及已启用规则的优先级调整,实现资产级的精细化运维脱敏规则管理。 4.1.2.14.6.3 脱敏运维算法 对运维脱敏算法进行集中化管理。平台内置了常见敏感数据类型的脱敏算法,包含基础算法、高级算法、高性能算法、行业特殊算法等,同时支持用户对算法的新增和删除。通过运维脱敏防护算法的配置,为安全运维作业中敏感数据的脱敏提供统一的算法支持。 4.1.2.14.6.4 规则默认值 配置数据类型与脱敏算法的默认关系,支持按照不同数据资产类型配置。 4.1.2.14.7 运维防护报表 提供多种维度视角的运维统计报表。包括日报、周报、月报等,用户可选择时间区间和资产范围一键生成,同时支持在线预览和多类型文件导出,帮助用户简化工作汇报报表的编写工作。 4.1.2.14.8 运维流程审批 4.1.2.14.8.1 运维流程申请 为运维用户提供工具下载及运维流程申请的功能。支持精细化的申请内容,如访问来源的ip、数据库用户、客户端工具、函数、sql语句类型等,支持按语句、语句脚本和执行时间的精准控制。 4.1.2.14.8.2 运维流程审批 对运维人员提交的申请进行审批和管理。该功能一般开放给资产负责人或其同部门人员以及具有该资产审批权限的人员,申请审批通过后,运维人员申请的风险操作放行,否则会被防护规则拦截。通过运营流程的管理,能有效的减少因运维人员误操作产生的安全事件,并在安全事件产生后进行快速定位。 4.1.2.15 安全分发子平台
随着云计算、大数据等新兴技术应用,数据已经不可能成为一个孤岛,数据需要共享给应用系统开发、大数据分析、其他单位信息资源共享等,在数据的共享过程中必须对相应数据进行脱敏、变形处理,才能提供给各种共享环境下的使用,严格防止敏感数据泄露。安全分发核心能力 通过对共享数据库中的敏感数据进行识别,统计出敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。 4.1.2.15.1 安全分发核心能力 4.1.2.15.1.1 自动识别敏感数据 在复杂的数据库表与字段中,不依赖元数据中对表和字段的定义,根据数据特征自动的识别敏感数据并进行有效脱敏,避免人工去海量数据库中发现敏感字段的分布情况。 4.1.2.15.1.2 防止生产库中敏感数据泄露 通过屏蔽、变形、替换、随机、格式保留加密(FPE)和强加密算法(如AES),针对不同数据类型进行数据掩码扰乱,并可将脱敏后的数据按用户需求,装载至不同环境中,提供文件至文件,文件至数据库,数据库至数据库,数据库至文件等不同装载方式,通过对生产库中的身份信息、地址信息、银行卡号信息、电话号码信息等敏感数据进行混淆、扰乱后再提供给测试环境使用,防止生产库中的敏感数据泄露。 4.1.2.15.1.3 提升测试、开发和培训数据质量 通过内置的策略和算法保证脱敏后数据的有效性(保持原有数据类型和业务格式要求)、完整性(保证长度不变化、数据内涵不丢失)、关系性(保持表间数据关联关系、表内数据关联关系),提升数据质量。脱敏技术有效保障了脱敏后的数据可以满足原始数据相同的业务规则,是能够代表了实际业务属性的虚构数据,能够使脱敏数据的使用者从体验上感觉数据是真实的,从而最终保证使用脱敏后的数据可以保证业务可靠运行。 4.1.2.15.1.4 提高数据维护和数据共享安全性 在数据大集中趋势下,数据中心可利用脱敏技术向不同需求者提供不同脱敏数据,既保障了数据的有效性,又可以防止敏感数据发生泄漏。 4.1.2.15.1.5 脱敏算法 数据脱敏算法常见的技术类型:泛化技术、抑制技术、扰乱技术等。 l 泛化技术 泛化是指在保留原始数据局部特征的前提下使用一般值替代原始数据,泛化后的数据具有不可逆性,具体的技术方法包括数据截断、偏移取整等。 l 抑制技术 抑制是指通过隐藏数据中部分信息的方式来对原始数据的值进行转换,又称为隐藏技术。 l 扰乱技术 扰乱是指通过加入噪声的方式对原始数据进行干扰,以实现对原始数据的扭曲、改变,扰乱后的数据仍保留着原始数据的分布特征,具体的技术方法包括但不限于: 1、重排 将原始数据按照特定的规则进行重新排列,对于跨行数据,采用随机互换来打破其与本行其他数据的关联关系,从而实现脱敏。例如:序号12345重排为54321,按照一定的顺序进行打乱;重排可以在相当大范围内保证部分业务数据信息(如有效数据范围、数据统计特征等), 使脱敏后数据看起来跟原始数据更一致,与此同时也牺牲了一定的安全性。一般重排方法用 于大数据集合、且需要保留待脱敏数据特定特征的场景;对于小数据集,重排形成的目标数据有可能通过其他信息被还原,在使用的时候需要特别慎重。 2、替换 按照特定规则对原始数据进行替换。常见的替换方式包括常数替换、查表替换、参数化替换: 3、常数替换(置常数) 所有敏感数据都替换为唯一的常数值,具有不可逆性。例如,将 500 替换为0,将635替换为0; 4、查表替换 从中间表中随机或按照特定算法选择数据进行替代; 5、参数化替换 以敏感数据作为输入,通过特定函数形成新的替换数据。 6、散列 即对原始数据取散列值,使用散列值来代替原始数据; 为了保证散列的安全性,建议避免采用弱安全性散列函数(如MD5、SHA-1)。对于原文空间有限的散列,实际的应用场景中还建议加入随机因子。散列函数常用于密码等敏感信息存储的场景。 7、重写 参考原数据的特征,重新生成数据。重写与整体替换较为类似,但替换后的数据与原始数据通常存在特定规则的映射关系,而重写生成的数据与原始数据则一般不具有映射关系。例如: 8、固定偏移 将数据值增加n个固定的偏移量,隐藏数值部分特征; 9、局部混淆 保持前面n位不变,混淆其余部分,例如:保持座机号码区号不变的情况下,对座机号码0571-123456进行混淆脱敏后得到0571-328192; 10、唯一值映射 将数据映射成一个唯一值,允许根据映射值找回原始值,支持正确的聚合或者连接操作; 11、均化 针对数值性的敏感数据,在保证脱敏后数据集总值或平均值与原数据集相同的情况下,改变数值的原始值,这种方法通常用于成本表、工资表等场合。 4.1.2.15.2 分发资产管理 接入运营平台已纳管的数据资产,进行数据资产的分发管理。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑、删除。资产接入后将需要分发的数据资产下发至多个引擎工作节点,统一管理数据资产的安全分发策略,实现对数据资产安全分发的集中管理。 4.1.2.15.3 数据脱敏 4.1.2.15.3.1 脱敏任务 提供对脱敏任务的管理和执行结果查看。支持按照脱敏方案或自定义脱敏规则创建脱敏任务,对已创建的任务,同时提供执行进度和历史执行记录的查看。脱敏任务是数据脱敏操作的执行载体,通过脱敏任务可以方便快捷的对需要外发的数据进行脱敏管理和操作。 4.1.2.15.3.2 数据子集 数据子集是外发数据的集合,为脱敏任务提供基础的数据范围。该功能提供数据子集的创建和管理,包括子集中数据表的添加、启用、禁用、删除等操作。数据子集功能为脱敏操作提供很大的操作便利性,简化了用户对特定数据的脱敏操作流程。 4.1.2.15.3.3 方案管理 提供对脱敏规则的集中管理。脱敏方案是脱敏数据范围和脱敏算法的集合,可灵活配置数据子集、脱敏算法、脱敏白名单和黑名单等。在脱敏方案的配置中,平台还提供方案与安全策略的关联,以落实安全策略管理的合规性要求。 4.1.2.15.4 脱敏配置 4.1.2.15.4.1 脱敏算法 提供对脱敏算法的集中化管理。平台内置了常见敏感数据类型的脱敏算法,同时支持对算法的自定义新增和删除。为数据外发脱敏作业提供统一的算法支持。 4.1.2.15.4.2 码表管理 提供脱敏码表的集中管理功能。支持通过令牌生成加密码表,和导入自定义加密码表文件,并提供对脱敏码表的管理功能。使用不同的脱敏码表,可以将同一数据集的同一脱敏算法操作,生成出不同的脱敏结果集,满足特定场景的分发需求。 4.1.2.15.4.3 定时任务 提供脱敏任务的定时执行配置功能。支持时间频率和次数的自定义选择,在特定的时间自动触发脱敏任务的执行,以实现外发脱敏数据的自动化。 4.1.2.15.4.4 参数配置 提供对脱敏任务执行的参数配置。可配置内容包括脱敏数据源并发入库处理线程、脱敏任务并发子任务数、脱敏处理线程数等。结合实际环境合理的调整参数,可使脱敏任务以更高的效率执行。 4.1.2.16 安全水印子平台
在数据共享和外发场景下,面临的一个主要挑战是数据外发后被泄漏无法进一步追踪溯源的问题。需要通过数据水印追踪技术,在数据交换及数据使用中的分发共享、委托处理等环节标明数据的所有者、数据分发对象、分发时间、分发途径及使用范围等信息。当出现数据泄露事件时,可以从植入的数据水印信息中还原上述信息,从而达到追溯泄露途径,追责泄露人员的目的,并且可以促进安全建设,避免相同类型的数据泄露事件发生。 4.1.2.16.1 安全水印核心能力 4.1.2.16.1.1 水印及溯源流程 数据水印泄露溯源追踪的技术由水印生成和水印追溯两部分构成,水印生成指在数据分发的时,通过植入水印,达到使数据可追溯的目的。水印溯源指当出现数据泄露事件时,可以从植入的数据水印信息中还原数据分发信息,从而达到追溯泄露途径,追责泄露人员的目的。 数据水印技术高度仿真,添加的水印数据不会被轻易识别出来,可以避免在共享过程中被认为去除,从而丧失追溯能力。 水印指类似通过静态脱敏的机制,在一次性的完成大批量数据的水印添加处理。水印通常会在将生产环境中的数据交付至开发、测试或者外发环境时使用,在外发数据的同时,植入水印信息。 水印技术可以和静态脱敏技术结合使用。一方面降低外发数据的敏感性并且保证数据可用性,另一方面植入水印信息,确保数据一旦泄露,可以进行追溯。
4.1.2.16.1.2 水印技术 从分发数据植入水印的技术机制上划分,植入的用于溯源信息分为伪行水印、伪列水印。 l 伪行水印 伪行水印基于对数据表结构分析和数据类型分析,识别主键表和外键表;确定主键值的处理方式,自动生成或者手动生成;识别敏感数据字段,在伪行水印库中选取添加的数据类型与敏感字段匹配;对其他数据字段进行同类型数据的生成;选择生成数据的分组策略,分组策略主要解决伪行数据生成的行数及伪行数据在原始数据中如何分布;根据设置生成伪行数据,并在伪行数据中自动嵌入水印标记。
对水印的提取,首先要确定数据源,然后选择按伪行水印提取,在伪行水印的任务中查询伪行数据记录,根据伪行数据水印的数据特征在数据中进行提取验证,验证通过后,可提取出水印。 l 伪列水印 基于对数据表结构分析和数据类型分析,在伪列水印库中选取添加的数据类型,然后根据水印的类型,系统生成与原始数据量一致的伪列数据,并在伪列的数据中自动插入水印标记。 对水印的提取,首先要确定数据源,然后选择按伪列水印提取,在伪列水印的任务中查询伪列数据记录,根据伪列数据水印的数据特征在数据中进行提取验证,验证通过后,可提取出水印。 4.1.2.16.2 水印资产管理 接入运营平台已纳管的数据资产,进行数据分发的水印管理。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑、删除。资产接入后将需要分发的数据资产下发至多个引擎工作节点,统一管理数据资产的水印防护策略,实现对数据资产安全防护的集中管理。支持多个安全水印引擎以多网络区域、独立工作节点等方式接入管理。 4.1.2.16.3 数据水印 4.1.2.16.3.1 水印任务 提供对水印任务的管理和执行结果查看。通过配置数据分发源单位和分发对象、水印方案和输出目标库、增量模式、数据库写入模式,创建水印任务。对已创建的任务,支持执行进度和历史执行记录的查看。水印任务是数据水印外发操作的执行载体,通过水印任务可以方便快捷的对需要外发的数据进行水印操作和管理。 4.1.2.16.3.2 数据子集 数据子集是外发数据的集合,是水印任务执行的基础数据范围。该功能提供数据子集的创建和管理,包括子集中数据表的添加、启用、禁用、删除等操作。数据子集功能为水印操作提供很大的操作便利性,简化用户对特定数据的水印操作流程。 4.1.2.16.3.3 水印方案 提供对水印算法规则的集中管理。水印方案是外发数据范围和水印算法的集合,由水印算法、数据子集、水印字段生成规则等配置组成。在配置过程中,平台还提供水印方案与安全策略的关联,以落实安全策略管理的合规性要求。 4.1.2.16.3.4 伪列管理 对水印的伪列进行集中管理。支持自定义伪列类型,设置伪列的列名和类型,同时支持以名称、类型为条件对已创建的伪列进行查询管理。伪列做为数据水印实现的重要手段之一,为水印方案提供伪列算法的支持。 4.1.2.16.3.5 分发对象管理 提供对分发对象的集中管理。支持分发对象的新建、编辑和删除,分发对象是数据分发的必要主体,也是溯源时的重要标识信息。 4.1.2.16.3.6 数据分发管理 提供对水印文件的分发管理,支持查看水印任务的执行状态、执行时间、分发单位和分发对象等信息,支持在水印文件完成分发后进行记录,帮助用户对水印文件的状态进行管理。 4.1.2.16.3.7 定时任务 提供水印任务的定时执行功能。支持时间频率和次数等参数的自定义配置,在特定的时间自动触发脱敏任务的执行,以实现水印数据外发的自动化。 4.1.2.16.4 数据溯源 以任务的方式对泄露数据样本进行溯源。可以溯源出分发源、分发对象、分发备注及分发时间等信息。功能支持溯源任务的查询、新建、执行/停止、编辑、删除等,以及执行日志的下载。通过溯源任务可以高效追溯外发数据泄露的责任单位。 4.1.2.17 存储加密子平台
数据库的架构设计中,数据都是明文存储的,这将显著加剧敏感数据批量泄露风险。数据明文存储的威胁主要体现在数据篡改、数据窃取两方面,数据篡改就是对数据库中的数据未经授权就进行修改,破坏数据的真实性。窃取数据也是一个非常严重的问题,由于数据是明文的,非法操作者就可以将敏感数据信息批量窃取造成敏感信息泄露,共享开放平台在通信层使用了通信链路加密技术,但这仅能保证传输通道安全,在入侵人员劫持或通过客户端作为跳板机,经过合法传输通道连接数据中心,则可能将整个数据库全部拖库,甚至物理性拖库。 4.1.2.17.1 存储加密核心能力 4.1.2.17.1.1 加密子系统关键技术描述 按照不同技术路线,数据库加密子系统可以区分为列级数据库加密以及表空间级数据库加密两部分,这两部分公用的模块包括安全服务子系统以及管理子系统。 在列级数据库加密中,通过在数据库内部植入代理子系统来实现透明加解密,架构图如下所示:
由于列级加密在加密数据量较大场景因为其技术特性导致性能极度下降,在加密的列数量以及行数数量超大的数据背景下可用性极差,故基于数仓的存储成加密更多选择表空间的透明加密方式。在表空间级加解密中,通过数据库源生的TDE组件,在其中植入独立的权限控制及密钥管理逻辑,从而实现透明加解密,架构图如下所示:
4.1.2.17.1.2 多级密钥管理 l 数据加密密钥 每列/每表空间对应一个加密密钥,我们称为‘数据加密密钥’,‘数据加密密钥’是以密文的形式存储在“ODC数据中心”中,这些密钥是用‘设备主密钥’加密的。 数据加密密钥的生成,是“安全管理子系统”请求“安全服务子系统”生成的;列密钥在返回给“安全管理子系统”时,就已经是被设备主密钥加密的。 列密钥的生成,都是由选定加密设备生成的,这些密钥都是使用设备的主密钥加密的;而软加密设备的列密钥,是由软件加密设备使用“软加密设备主密钥”完成的。对于列密钥只有在设备内才被还原称明文,进行数据的加解密;在离开设备的任何时刻都将保持密文状态。 对于加密列的某些加密策略的变更,如加密设备、加密算法,都会引起‘数据加密密钥’的重新生成,也会引起加密数据的重新生成。在这些环节上,“安全管理子系统”要注意控制业务逻辑:包括请求生成新的‘数据加密密钥’,存储新的数据加密密钥,调用‘数据加密转换’接口,对于‘数据加密转换’接口需要使用原加密密钥和新的加密密钥。 l 设备主密钥 对于不同的加密设备的每种对称加密算法都有自己的主密钥(简称设备主密钥或算法主密钥);每个加密算法的主密钥,将负责对该算法生成的数据加密密钥(二级密钥)进行加密,然后输出。对于每个二级密钥,在使用前都必须获得一个密钥句柄,通过该密钥句柄,进行数据的加解密访问;获得密钥句柄时,加密设备将根据系统主密钥进行解密,在加密设备内存储明文的密钥;当应用通过密钥句柄进行数据加解密时,加密设备通过密钥句柄获得设备内存储的明文密钥,进行数据的加解密。通过这样一个过程,保证加密密钥在加解密过程中不离开加密设备,同时也避免对加密密钥的每次解密。 每个加密设备的加密算法都有自己的主密钥;对于硬加密设备,算法主密钥是存储在密码设备中,在“ODC数据中心”保存的是主密钥的编号,在启动时根据密钥编号启动设备主密钥;对于软加密设备的算法主密钥是被‘设备启动口令’加密保护后,存储在本地配置文件中。 系统将提供对算法主密钥的备份接口;在备份时,实际上就是对算法主密钥的导出;在加密设备损坏时,可以更换加密设备,然后将这些算法的密钥导入,从而再次实现对原加密数据的解密。 对于算法主密钥的操作,包括初次生成和更新;对于算法主密钥初次生成,是在添加完加密设备,第一次使用前;对于算法主密钥的更新,是为了保证加密数据的时效性,更新算法主密钥,相应地要求更新该加密设备的二级密钥(数据加密密钥),以及相应的加密数据。 l 安全服务启动口令和加密设备的启动 每个加密设备都有自己的启动口令,在初次加载加密设备时,需要输入加密设备的启动口令;对于加密设备口令,将使用‘安全服务启动口令’加密保存在“ODC数据中心”。 在启动“安全服务子系统”时输入‘安全服务启动口令’;通过认证后,将对存储在‘ODC数据中心’的所有设备口令进行解密,使用口令打开加密设备。 对于软加密设备的启动凭证是存储在本地配置文件中的。对软加密设备的启动口令与安全启动口令相同。 对于‘安全服务启动口令’的更新,需要“安全服务子系统”对设备启动口令进行重新加密,并对软加密设备的算法主密钥进行加密。 密钥初始化的流程图如下所示:
4.1.2.17.1.3 密文索引 在加密场景下,密文索引技术是用来确保查询检索性能的关键技术。加密索引表的基本原理是通过数据库的基本表(table)结构来模拟BTree索引的结构;并且设计一套基于数据库标准SQL语句的BTree操作和查询算法来对该表进行操作,从而最终实现相当于数据库 B-Tree索引的表,并且该表中不存在任何明文数据,和偏序关系;其存储的数据完全依赖于加密后的内容。 共有两套索引用于提升性能,分别为“密文索引”-Secret Text Index(以下简称STI)和“明文前缀索引”Prefix Text Index(以下简称PTI)。 l Secret Text Index Secret Text Index是面向密文的索引方式,所有的索引数据都是以完全密文的状态被保存。是最安全无偏序的组织方式。具有以下的特性: 完全密文存储,无偏序关系,安全性好。 采用ODC系统专门设计的索引结构和算法实现,性能较好。 3、通过辅助的密文索引表来实现索引算法,占用存储空间。 l Prefix Text Index Prefix Text Index是通过将加密字段的前n位字节不加密,并通过Oracle自身的索引来实现的。这样在进行查询的时候可以利用上前n个字节的索引数据,最后通过相应的算法来可支持等于和范围查询对前缀索引的利用。 1、部分明文存储,安全性存在隐患。 2、采用数据库自身的索引,占用存储空间小。 3、由于是部分索引,因此查询过程要对所有索引命中的数据进行二次解密和筛选,性能较差。 透明加解密模块实现了基于LRU的缓存机制,目标是通过设计这样一种可靠的、高效的批量处理和缓存机制,大幅度的减少外部程序的调用和逐条的加解密的问题。 在本系统中,缓存绝不是简单的将数据缓存起来供查询使用,而是更加精细的设计面向不同查询特点的缓存策略和缓存方式;这些精细的缓存算法的基础是通过巧妙的对查询操作进行准确的预判来实现的。 本系统中,查询将被分为全扫描、索引扫描、热数据查询(跳跃扫描)三种方式,并分别实现相应的缓存管理策略:全缓存策略、热数据缓存策略、即时缓存策略,和不同的缓存实现方式:表扫描缓存(Table Scan Cache-TSC)、索引扫描缓存(Index Scan Cache-ISC)和热数据缓存(Hot Key Cache-HTC)以应对不同的查询方式。在运行时对以上缓存方式和缓存策略结合使用,同时辅助LRU换入换出算法,来达到最大限度减少解密操作的代价的目的。
4.1.2.17.1.4 透明访问 在实现数据安全加密的同时,另一个非常重要的特性就是应用透明,使用者和应用系统不需要关心系统进行了哪些保护。需要保证SQL语句透明,存储程序透明、开发接口透明及管理工具透明。 4.1.2.17.1.5 增强访问控制 增设数据安全管理员(Data Security Administrator,DSA)。DBA和DSA相互独立,在不影响数据库本身权限的同时,增强权限控制,分别从数据库用户,客户端IP,应用系统等不同层面对权限增强,全面防止越权访问,防止数据泄露。 4.1.2.17.1.6 高效数据访问 对于数据规模大、密文数据存在复杂查询和统计分析、性能要求高的复杂场景,为保证业务的正常运行,加解密需对性能损耗降到最低,。OLTP场景下性能损耗小于7%,OLAP场景下性能损坏小于17%。 4.1.2.17.1.7 独立密钥管理 需对密钥进行安全管理,包含加密密钥生成,分配,备份,恢复,密钥不出设备,需保证即使数据被盗也无法查看明文。 4.1.2.17.1.8 应急机制 提供应急机制,即使安全服务主机全部离线,也可以保证数据库正常进行加密和解密。 4.1.2.17.1.9 高容灾性 数据库自身恢复:加密不影响数据库自身的数据库恢复、备份、同步等操作。 离线恢复:提供额外的离线数据恢复工具,保证极端情况下数据也能恢复到原始状态,保证数据的高可用性。 4.1.2.17.1.10 支持国密算法 需支持我国密码管理机构认定的SM4加密算法,及国际先进的密码算法如AES128。对数据库可以指定表空间级进行加密,保证敏感数据以密文形式存储,以实现存储层的安全加固。 4.1.2.17.2 加密资产接入 接入运营平台已纳管的数据资产,进行存储加密的管理。该功能可对运营平台已认证并配置认证信息的资产进行接入,并对接入的资产进行编辑、删除。资产接入后将需要加密的数据资产下发至加密引擎工作节点,统一管理数据资产的加密操作。 4.1.2.17.3 数据加解密 执行对目标数据的加密和解密操作。数据加解密支持主流数据库字段级和表空间级透明加解密技术,如Oracle、MySQL、MSSQL、DM、Kingbase、GBase、GaussDB等。加密算法支持SM4等国产密码算法和AES等国际密码算法;在性能上满足亿级别数据下对加密数据访问性能。通过数据加解密能够加固数据存储在系统层的安全能力,防止因系统安全问题导致的数据泄露。同时加密过程中,可选择加密算法与安全策略的绑定,落实安全策略管理的合规性要求。 4.1.2.17.4 密文权限管理 以数据库加密为基础提供的一套独立于数据库自身的权限控制体系。该功能在不影响数据库本身权限的同时,增强权限控制,分别从数据库用户、客户端IP、应用系统等不同层面对权限增强,全面防止越权访问非授权的涉敏数据,防止数据泄露。 4.1.2.18 应用安全子平台
4.1.2.18.1 应用安全核心能力 4.1.2.18.1.1 流量解析 支持HTTP协议解析,完整还原HTTP事件的请求和返回内容。 支持解析的内容格式包含:JSON,XML,HTML,JSONP,SOAP等。 支持对文件内容的识别,文件格式包括xls,xlsx,doc,docx,txt,pdf,csv,zip,rar等。 支持以响应状态码或响应内容关键字过滤流量事件数据,对无效扫描流量进行过滤。 4.1.2.18.1.2 实时监测敏感数据行为 通过对用户环境网络流量的实时分析,实时监测发生的包含敏感数据的行为,并实时分析,对于命中敏感数据泄露风险规则的行为,实时报警;同步记录下所有发生敏感数据的行为,通过可视化敏感数据行为地图和行为画像的方式展示给用户,也为后续弱点分析,事件溯源等功能提供基础明细数据。 4.1.2.18.1.3 敏感数据自动发现 能够按照用户指定的一部分敏感数据规则或预定义的敏感数据特征,对网络流量中的数据进行自动的识别,发现敏感数据,并自动地根据规则对发现的敏感数据推荐最匹配的敏感算法,准确识别出敏感数据内容。 识别常规敏感数据:客户信息、交易信息等,例如身份证、地址、电话号码、邮件地址、银行账号、信用卡号等。 识别特殊敏感数据:具有企业、行业的业务特点的敏感数据,例如配方、供应商等。 4.1.2.18.1.4 敏感数据分类分级 数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法,依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类,可以全面清晰地厘清数据资产,对数据资产实现规范化管理,并有利于数据的维护和扩充。数据分类为数据分级管理奠定基础。 数据分级是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别。数据分级有助于行业机构根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性。 系统帮助用户实现敏感数据分类分级管理,确定数据重要性和敏感度。通过分类分级可以有针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。 4.1.2.18.1.5 涉敏应用自动发现 能够自动发现用户环境中涉及到敏感数据流动的应用,具体识别出应用所属域名、部署IP敏感数据标签等信息,并统计出每个应用敏感数据种类的分布情况以及所有应用中敏感数据量最多的应用。 让用户能够了解自身哪些应用会产生敏感数据泄露风险;了解每个应用产生哪类敏感数据比较多;了解哪些应用的敏感数据流量比较大,从而帮助用户既掌握了自身应用的整体涉敏情况,又帮用户找出了需重点关注的涉敏应用。 4.1.2.18.1.6 涉敏接口自动发现 大部分用户对于自身存在多少接口,哪些接口会产生哪些数据都无法做到全面了解,我们通过对网络流量的分析,以及敏感数据的识别,能够帮用户自动发现用户环境中存在的大量接口里涉及敏感数据的接口,具体能够识别接口的IP地址、接口属于哪个应用、接口的功能类型、接口的资源类型、接口产生的敏感数据类型等。帮助用户了解自身环境里所有敏感接口的分布情况,详细的了解每个涉敏接口的具体指标,帮助用户在解决敏感数据泄露问题时提供针对性接口情况。 4.1.2.18.1.7 泄露风险自动发现 l 自动发现风险 根据内置敏感数据泄露风险规则,以及不断学习的日常行为模型波动情况,进行有效的风险分析和深入的挖掘,实时发现敏感数据的泄露风险。并根据行业特征及业务自定规则判定风险等级。包括能够识别发生风险类型,风险涉及的接口地址,分线涉及的应用名称,风险涉及的账户,风险涉及的客户端IP等信息。 l 风险实时预警 根据风险风险的级别,通过各种报警渠道主动预警用户。目前预警方式支持微信、短信、邮件、钉钉等主流方式。提醒用户有敏感数据泄露的风险。 l 风险统计分析及可视化展示 针对已发现的风险情况,提供多条件的检索能力及各维度统计分析。包含风险等级占比、风险类型分布、风险规则统计等。 4.1.2.18.1.8 接口弱点自动发现 l 自动发现弱点 通过安全特征引擎,对于用户复杂环境下的各种应用,以及每个应用下的大量不同类型的接口进行全面安全脆弱性检测,发现敏感数据泄露安全脆弱性较低的接口。 l 弱点修复建议 针对已发现的弱点情况,提供有针对性的弱点修复建议,帮助用户提升应用接口安全程度。 l 弱点统计分析及可视化展示 针对已发现的弱点情况,提供多条件的检索能力及各维度统计分析。包含弱点等级占比、弱点类型分布、弱点规则统计等。 4.1.2.18.1.9 梳理应用及接口资产 l 产定位及自动发现 自动发现用户环境分布的应用及接口资产。并根据敏感数据流出的应用和接口,以及用户自身业务特性,对资产进行打标和分类。 l 资产生命周期关注 对于应用和接口资产的状态持续关注。对于状态发生变化的资产,例如发生变更或长时间失活的资产,及时更新资产状态。 4.1.2.18.1.10 风险事件追踪溯源 针对已发生的某个风险事件,分析风险事件的疑似接口、疑似账户、疑似IP,为事件追责缩小范围,并提供原始证据链条。针对需要重点监控人员或重要数据,提供其行为轨迹画像作为定责的重要依据。可以根据多个疑似线索或风险事件,关联分析出共性特征,提供丰富证据素材。 4.1.2.18.2 应用数据资产 4.1.2.18.2.1 应用资产 提供对应用资产的集中展示和分析。应用资产是通过网络流量自动发现形成的应用主体,属性包括应用域名、部署IP、接口数量、访问数量和涉敏数据访问量等。平台通过对流量特征的分析,将应用分类为涉敏应用、风险应用和弱点应用,按照清单的形式进行展示,并提供多种筛选条件。该功能同时支持对应用资产的详细信息查看,包括应用资产的基本信息、敏感数据访问趋势统计、风险统计、敏感数据特征和级别分布、API风险和弱点分布等内容,同时提供应用下属接口资产的结构分析。为用户提供由概览到详细的应用资产信息展示,帮助用户了解应用的整体运行情况。 4.1.2.18.2.2 接口资产 提供对接口资产的集中展示和分析。接口资产是通过接口自动化发现技术,对网络流量中的URL进行模板化提取,形成接口实体,属性包括接口地址、发现时间、所属应用、访问量等。平台通过对流量特征的分析,对包含敏感数据的接口自动打上敏感数据标签,同时对接口进行脆弱性分析,整体将接口划分为涉敏接口、风险接口和弱点接口,按照清单的形式进行展示,并提供多种筛选条件。该功能同时支持对接口资产的详细信息查看,包括接口资产的基本信息、访问趋势统计、敏感数据特征和级别分布统计、风险统计、敏感数据流向统计等内容,同时提供接口的结构分析。为用户提供由概览到详细的接口资产信息展示,帮助用户了解监测环境内应用接口的整体运行情况。 4.1.2.18.3 应用安全风险 4.1.2.18.3.1 风险统计 对应用在特定时间区间内的风险进行统计分析。分析内容包括风险等级占比、风险类型分布、应用风险分布、API弱点分布等,以图表的形式向用户展示应用运行中存在的风险情况,以有针对性的对应用进行安全改造和加固。 4.1.2.18.3.2 风险检索 提供对风险事件的全局检索功能。可通过风险规则、风险等级、风险类型、客户端、所属应用、所属接口、状态和时间区间检索风险事件。风险检索是平台监测能力的基础体现,为风险追溯和处置提供数据依据。 4.1.2.18.3.3 脆弱性分析 对应用访问中存在的安全弱点进行展示分析。支持以列表的形式展示监测到的弱点事件,并提供多种维度的筛选条件。对具体的弱点事件,提供详细的弱点信息和证据样例。同时提供以状态为基准的处置流程,帮助用户对弱点问题的改进提供数据支撑。 4.1.2.18.3.4 涉敏应用统计 按照敏感级别和时间区间对应用的涉敏行为进行分析。分析内容包括敏感数据类型占比、应用数据访问统计、API数据访问统计、新增敏感数据统计等。为用户提供直观的涉敏数据分析结果,为涉敏数据防护提供数据支撑。 4.1.2.18.4 应用访问行为 4.1.2.18.4.1 行为统计 提供对应用访问行为的统计分析。分析内容支持灵活的时间区间设置,从应用、API、IP、账号的角度对应用访问情况进行统计,并取Top值进行展示。让用户对监测环境内的应用访问情况和访问源情况能够清晰感知。 4.1.2.18.4.2 行为检索 提供对访问行为的全局检索功能。支持通过访问时间区间、客户端IP、账号、应用、接口、状态码等对访问行为进行检索,同时提供访问行为的详情查看,包括访问的基本信息、请求内容和响应内容等。行为检索是平台应用监测能力的基础体现,在出现风险的时候,能够及时复现、追溯风险发生流程,为风险处置和预防提供详细的数据支撑。 4.1.2.18.5 访问源分析 4.1.2.18.5.1 应用账号 对监测环境内的应用账号访问情况进行集中分析展示。支持通过账号名称、类型、所属应用、敏感标签等对应用账号进行检索,同时可查看应用账号的概况信息、对敏感数据的访问统计信息、风险统计信息、时间集中度统计信息、访问趋势统计信息和敏感数据流向统计信息。该功能提供了应用账号的行为画像,能够及时分析发现账号访问行为中隐藏的潜在风险。 4.1.2.18.5.2 客户端IP 对监测环境内的客户端IP访问情况进行集中分析展示。支持通过IP地址、网段、地域、敏感标签等对应用账号进行检索,同时可查看客户端IP的概况信息、对敏感数据的访问统计信息、风险统计信息、访问API和应用的统计信息、访问趋势统计信息和敏感数据流向统计信息。该功能提供了客户端IP的行为画像,能够及时分析发现客户端IP访问行为中隐藏的潜在风险。 5. 数据安全核心能力构建 5.1 建立开发分类分级体系,摸清数据家底 “摸清数据家底”是进行数据安全治理,数据安全建设的重要前提。无论是制定具体的数据安全管理制度,还是就数据安全防护产品设置规则,都离不开对环境内数据分布和数据的使用状况,风险状况的掌握。通过建立分类分级系统,可以自动扫描环境内的数据库分布,扫描数据环境中敏感数据的分布并提供敏感数据访问状况与风险状况详情,使用户可以真正的了解自身的数据状况。 同时,通过分类分级体系的建立,为其他数据安全监测和防护设备提供防护依据。
5.2 建立全链路数据安全监测体系 以分类分级为基础,建立覆盖应用和数据库的全链路的数据安全监测体系。监测识别违规使用数据的场景,同时通过与日常运营工作台的结合,以及对数据安全风险的及时感知和处理,实现从用户到应用、应用到数据库访问的风险和事件的全面监测,提供全链条的数据安全追踪和防护能力,并积累资产安全数据,为后续的主动安全防护提供参考。
5.3 建立覆盖全生命周期的数据安全防护体系 以分类分级为依据,围绕数据采集、存储、传输、使用、删除和销毁的全生命周期,建立数据安全防护能力,提升中国联通湖南省分公司的整体数据安全防护能力
5.4 建立数据统一管控,提升数据运营管控能力 以实现数据资产的全面安全管理和安全事件的运营处置为主要方向,通过对数据资产的梳理、使用监测和安全防护,针对数据使用不规范、敏感数据泄露、数据违规操作、数据违规共享分发、数据异常流转等数据安全问题,建设数据安全运营平台。实时监测数据安全风险态势,实现数据安全层面的“外防内控”,防范来自于外部威胁和发生自内部的风险。并对风险源头主体岗位或角色进行自动追踪溯源,对数据的使用进行管控和脱敏,实现数据资产的有效分级分类管理。对资源的传输、治理、存储、计算、服务全生命周期进行管理,以数据安全基础防护能力为技术支撑,建立起安全集中管控、事件集中处理、风险集中处置的数据安全闭环管理。通过安全集中运营,实时掌握风险态势、安全措施落实情况,确保数据安全持续化、流程化、规范化。
6. 软硬件设备清单 6.1 软件设备清单
|
|
|
|
|
|
|
| 对平台和接入平台的安全引擎节点运行状况进行监控,监控内容包括节点告警情况、平台运行情况、当前账号、管理的资产和节点运行情况
|
|
|
|
| 以工作台的形式,引导安全管理员完成数据安全的日常运营操作。工作台以流程页面、便捷操作按钮、统计图表、主要功能入口的形式,引导安全运营人员完成标准/策略管理、数据资产发现/管理、涉敏数据管理、应用/运维资源备案、安全合规管理、风险事件监测处置、策略完善与稽核等全周期的安全运营工作,以标准化、流程化、规范化的方式,辅助安全运营人员一站式完成日常运营工作
|
|
|
|
| 数据安全合规管理支持规范标准的录入,支持以过程域、合规项、解读项的逻辑对规范标准进行拆解,并通过和安全策略的关联应用到具体的安全防护操作中
|
|
|
|
| 以资源结构目录和数据资产的维度,对资产的合规情况进行统计分析。让用户可以快速掌握整体、部分以及单个资产的合规情况,并根据合规分析信息制定后续的完善操作
|
|
|
|
| 通过对数据访问行为的备案管理,建立基于备案的可信数据访问基线模型
|
|
|
|
| 对数据资产产生的安全事件进行全面监测和识别。可对全部、部分和具体的数据资产,按照自定义时间段,从来源分布、类型统计、状态分布、排名、趋势统计及安全事件分布等维度,对产生的安全事件进行分析,同时对最新安全事件进行滚动播报
|
|
|
|
| 提供对安全风险的监测和呈现。提供按照时间区间统计的安全风险类型分布、区域分布、等级分布、风险事件排行、安全风险趋势等统计信息。同时按照风险特征,将风险来源划分为生产运维区域、对外接口、数据生命周期等不同类型,并对该类型下的风险分布情况、排行、趋势等进行分析展示
|
|
|
|
| 数据地图以多属性、多维度的方式,对敏感数据的分布、流转、访问趋势,以及数据资产和业务系统的基本状态信息和关联关系等,进行全方位、多视角的展现,让用户能够全面把握数据环境中敏感数据的静态分布和动态使用情况,为敏感数据的防护提供目标支撑
|
|
|
|
| 数据资产可视化大屏主要展示数据资产的管理和使用状态。围绕资产认领责任到人、资产涉敏数据的发现、资产使用备案情况等掌握资产整体的纳管情况;涉敏数据的类型和分布情况,让观看者快速掌握数据环境中包含哪些敏感数据、分布和数量情况
|
|
|
|
| 实现数据资产发现、敏感数据识别、数据分类分级、数据安资产安全评估
|
|
|
|
| 通过对SQL语法解析,结合策略引擎,实施监测数据库的行为、会话、事件进行监测
|
|
|
|
| 通过构建网络可信接入、应用身份识别的方式建立应用“白名单”,并对操作权限进行细粒度管控,抵御SQL注入攻击、阻断数据库漏洞攻击
|
|
|
|
| 通过建立运维准入控制机制,通过授权审批、鉴别运维人员身份实现对运维人员方位数据库的行为进行管控
|
|
|
|
| 通过自动识别敏感数据,使用脱敏算法,防止生产数据库中敏感数据泄露,提升测试、开发和培训的数据质量,提高数据维护和数据共享的安全性
|
|
|
|
| 在数据进行分发时,通过植入数据水印,达到数据可追溯的目的,当出现数据泄露事件时,可以从植入的数据水印信息中欢还原数据分发信息,从而达到追溯泄露途径,追责泄露人员
|
|
|
|
| 通过对数据库中存储的敏文敏感数据进行加密操作,防止敏感数据被窃取、篡改、泄露的风险。
|
|
|
|
| 通过解析数据库流量,梳理应用及接口资产,实时监测敏感数据行为,自动发现涉敏应用、涉敏接口,并对接口的弱点进行扫描发现,防止数据泄露风险
|
|
|
|
|
|
|
|
|
|
6.2 硬件设备清单 ××项目硬件和成品软件购置预算表
7. 预期成效 7.1 构建数据安全运营平台,实现数据安全监测和风险趋势感知能力 本项目创新性的将数据梳理发现、敏感数据扫描、数据分类分级、数据审计监控、数据脱敏、数据加密等技术进行整体融合,形成统一配置的集中化数据安全运营平台,为人寿集团数据安全保障提供有力的技术支撑,解决数据平台中数据存储使用不规范、敏感数据泄露、数据违规操作、数据违规开放共享、数据异常流转等数据安全问题。 7.2 建立安全监控与运行监测中心 建立数据安全运营平台,通过感知数据生命周期过程和数据应用过程中的各类数据安全威胁,监测数据泄露情况和泄漏风险,对人寿集团信息化建设过程中的信息安全运行态势分析和安全优化提供强有力的支撑,对数据安全事件做到心中有数,形成强有力的管理抓手,为建立制度化数据安全的考核管理体系提供数据基础。 7.3 数据安全管理集中化 通过数据安全运营平台的建设,为人寿集团的数据流转提供一体化的监测,从数据采集、数据存储、数据共享、数据使用、数据传输和数据销毁整个生命周期进行统一监测、分析、控制、预警和审计。提高数据安全监测与防护的集中化管理程度,更好发挥规模效应和专业协同效应,从而提高整体数据安全防护能力和数据安全管理能力,保障数据安全稳定使用和运行,为数据安全领域建设奠定良好基础。 7.4 数据安全监测可视化 数据安全运营平台,可实现数据安全实时监测,包括数据资产态势、数据风险分析、数据威胁分析、数据访问行为分析、数据安全态势的可视化展现,为领导层、管理层、作业层提供多维度、个性化的视图,以及灵活的报表和智能分析工具,可以直观地反映数据库系统、大数据平台和数据当前安全运行状态,为全面掌握集团数据安全态势并及时有效的做出决策提供依据,为信息安全防护工作成效的评估提供参考,实现为管理层提供有力的支持,为作业层提供多渠道的便利。 7.5 数据运作高效化 数据安全运营平台作为一体化数据安全管理平台,可以满数据的各种安全管理工作,通过对数据安全监测和管控,可以实时掌控数据安全态势,同时,通过安全数据的分析,结合数据资产全生命周期的管理,可以更科学合理地安排数据使用,实现数据资源的高效优化运作。
深信服数据安全解决方案-0522.pptx
(35.89 MB, 下载次数: 136)
深信服DSC数据安全大脑技术白皮书V1.0 (1).docx
(6.08 MB, 下载次数: 169)
数据安全建设方案-样例方案.docx
(1.52 MB, 下载次数: 123)
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-7-9 10:19
技术研究员3级 
