以身份和数据双中心
保护数据安全的目标之一是防止未经的用户进行数据非法访问和操作。所以需同时从访问者"身份"和访问对象"数据"两个方向入手,双管齐下。
零信任:
在没有经过身份鉴别之前,不信任企业内部和外部的任何人/系统设条,需基于身份认人证和,执行以身份为中心的动态访问控制。
数据分类分级:
聚焦以数据为中心进行安全建设,有针对性的保护高价值数据及业务,数据发现和分类分级是以数据为中小M保护的重要基础。
全面覆盖立体化防护原则
全生命周期:
横向上需全面覆盖数据资源的收集、存储、加工、使用、提供、交易、公开等行为活动的整个生命周期,采用多种安全工具支撑安全策略的实施。
数据安全态势感知:
纵向上通过风险评估、数据梳理、访问监控,大数据分析,进行数据资产价值评平古。数据资产弱点评估、数据资产威胁评估,最终形成数据安全态势感知。
立体化防护体系:
通过组织、制度、场景、技术、人员等自上而下的落实来构建立体化的数据安全防护体系。
智能化、体系化原则
在信息技术和业务环境越来越复杂的当下,仅靠人工方式来运维和管理安全已经捉襟见肘了,人工智能、大数据已经有相当的成熟度,如UEBA异常行为分析、NLP加持的识别算法、场景化脱敏算法等;同时,仅靠单独技术措施只能解决单方面的问题,必须形成体系化的思维,通过能力模块间的联动打通,系统形成体系化的整体数据安全防护能力,并持续优化和改进,从而提升整体安全运营和管理的质量和效率。
全场景数据安全
生产区
共享开放与测试区
应用区
数据安全风险感知与管理区
数据未分类分级
解决方案:AiSort基于网络嗅探技术,充分发现网络环境中存在的数据库资产,然后基于深度学习+条件随机场等Al识别模型算法,依据内置法规、行业标准,进行敏感数据识别和自动分类分级,生成数据资产目录。同时对数据库系统用户权限、弱口令、安全配置基线、安全漏洞和威胁等梳理,进行风险评估。对于分类分级结果可以大屏、图表等形式进行展现,支持导出及对接其他如数据脱敏、数据安全网关等系统,以实现对敏感数据的进一步安全防护和细粒度管控,让数据使用及共享做到"有级可循"。
数据库漏洞利用风险
解决方案:AiGate数据安全网关系统使用数据库虚拟以补丁技术,通讨控违数据库的请求然数,举型和个数等多种方式结合,防止利用已公开的数据库安全漏洞攻击数据库,对数据库的安全漏洞起到主动的防御作用,极大的保护了未升级漏洞补丁的数据库服务器,有效降低了用户数据篡改和泄露的可能。
权限失控风险
解决方案:一方面,AiSort可以对数据库中不同用户、不同对象的权限进行梳理并监控权限变化。
另一方面,AiGate数据安全网关系统可基于IP、MAC、客户端主机名、操作系统用户名、客户端工具和数据库账号六个维度认证身份,并结合AiSort的数据分类分级结果,真正实现用户的多维度身份认证和敏感数据的细粒度访问控制功能。解决数据库自身认证维度单一、缺乏基于数据精细化的访问控制的问题。
运维人员篡改拖库风险
解决方案:AiGate内置多种脱敏算法,可识别Oracle、MySOL、PostareSOL等数据库中敏感数据,井通过动态版t功能,有效防止运维人品接触取感数据,大大靠低数据泄骤的风险
数据明文存储风险
解决方案:ATDE透明数据库加密系统综合采用SM2、SM3、SM4国家商用密码高强标准加密算法,功能上加解密操作对数据库层无感知,对上层业务应用系统使用及部署无需任何更改,保证敏感数据的机密性、可用性、完整性。
审计线索不足,数据泄露无法追溯
解决方案:明御数据库审计系统是一款基于对数据库传输协议深度解析的基碰上进行风险识别和告警通知的系统,具有对数据库访问行为进行实时审计、对数据库的恶意攻击、数据库违规访问等行为识别的能力。
开发测试环节数据泄漏风险
解决方案:AiMask数据静态脱敏系统采用的脱敏与水印溯源算法对敏感数据进行去标识化、匿名化处理。支持固定值替换、置空、乱序、统计持征保留的脱敏算法和数据溯源算法。保证脱敏后的数据保留原有业务逻辑特征的同时保证数据的有效性和可用性,支持可回溯的脱敏算法,便于用户追溯泄漏源。所有敏感数据全部在内存中处理,可保证整个环节敏感数据不落地,使脱敏后的数据可以安全的应用于测试、开发、分析和第三方大数据分析等环境。
数据共享泄露风险(API安方案:零信任 AiTrust API 代理系统是AiTrust零信任解决方案为API服务提供的控制点,通过对API服务健康状态的实时检查,使得API服务在自身尽量无需改造的情况下,实现安全加固,管理员能够通过统一的策路对API的访问控制进行调整;同时,API安全代理网关还提供接口敏感信息识别、APl访问控制、APl动态脱敏和APl访问审计等功能。
账号安全风险
解决方案:对账号异常行为的监控、检测和分析正是 AiThink UEBA 用户与实体行为分析技术的特长,通过收集整合多维度以及用户上下文等数据信息,全同关联,进行行为基线分析和群体异常分析,通过Al机器学习异常检测算法,可以更深层次的进行账号安全洞察,迅速识别异常事件。通过对账号要录的时间、地点,频次和择作等异常监控,判断是否存在如短时间内异地登录、登录次数偏图整体基线、非工作时间上线和静财账号的忽然出现等异常活动,激源分析确认是否存在账号失陷。
另外,AiTrust零信任解决方案,以可信数字身份为基础,通过持续信任评估、动态访问控制等核心能力,对用户每次的资源访问请求进行持结动态的安全可信关系评估,从而避免内部人员攻击事件出现。
终端数据泄露风险
解决方案:AiDLP数据防泄漏系统(终端)通过灵活的敏感策略、敏感数据主动扫描和多样性的保护措施,解决终端场景下的敏感数据容易泄露的问题。支持各种类型的PC用户终端与移动终端上发现敏感文件,自动化了解这些敏感文件的分布,并进一步的提出保护的手段。
AiDLP数据防泄漏系统(网络)通过对数据资产进行自动聚类分类和特征提取,解决对传输中、存储中、使用中的数据进行检测,依据预先定义的策略,识别敏感数据,最终实施特定响应。
数据其享泄露风险(API安方案:AiTrust零信任包含TAM身份服务中心、应用代理系统和API代理系统,采用了身份识别、权限识别、身份传递、健康监控、流量管控、通道安全等多项核心技术,通过接管所有API服务访问请求,实施动态的访问者身份识别和权限识别,提供精确到用户层级的细粒度API调用数据访问监控审计。例如通过监控API的调用情况,识别出是否存在敏感数据非法访问,有针对性地进行 AP动态脱敏。
同时,通过AiThink收集日志信息进行综合信任评估,以实施动态访问控制。
仅靠单独技术措施只能解决单方面的问题,必须形成体系化的思维,通过能力模块间的联动打通,系统形成体系化的整体数据安全防护能力,并持续优化和改进,从而提升整体安全运营和管理的质量和效率。AiGuard实现了敏感数据安全防护的全生命周期过程全覆盖,建立了以风险核查为起点,以数据梳理为基础,以数据保护为核心,以监控预警作为支撑,最终形成全局数据安全风险态势感知。
多方数据安全融合计算
2020年4月9日,中共发布《关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》),《意见》提出深化要素配置的市场化改革,推动经济发展的质量变革、效率变革和动力变革。其中,《意见》第六部分"加快培育数据要素市场",凸显和对数据要素的高度重视,标市着给"数据"以新的历史定位,不再视其为信息化时代的单纯产物,而是上升到了生产要素的重要地位。
由于敏感数据时常发生数据泄露和缺乏有效的安全保障手段,导致数据拥有方都不愿开放和共享数据。究其原因既有缺乏相关法律法规导致的责任认定不清的问题,也有数据安全共享技术的缺失制约了政府部门及企业间数据的开放共享。