以身份和數據雙中心
保護數據安全的目標之一是防止未經的用戶進行數據非法訪問和操作。所以需同時從訪問者"身份"和訪問對象"數據"兩個方向入手,雙管齊下。
零信任:
在沒有經過身份鑒別之前,不信任企業內部和外部的任何人/系統設條,需基于身份認人證和,執行以身份為中心的動態訪問控制。
數據分類分級:
聚焦以數據為中心進行安全建設,有針對性的保護高價值數據及業務,數據發現和分類分級是以數據為中小M保護的重要基礎。
全面覆蓋立體化防護原則
全生命周期:
橫向上需全面覆蓋數據資源的收集、存儲、加工、使用、提供、交易、公開等行為活動的整個生命周期,采用多種安全工具支撐安全策略的實施。
數據安全態勢感知:
縱向上通過風險評估、數據梳理、訪問監控,大數據分析,進行數據資產價值評平古。數據資產弱點評估、數據資產威脅評估,最終形成數據安全態勢感知。
立體化防護體系:
通過組織、制度、場景、技術、人員等自上而下的落實來構建立體化的數據安全防護體系。
智能化、體系化原則
在信息技術和業務環境越來越復雜的當下,僅靠人工方式來運維和管理安全已經捉襟見肘了,人工智能、大數據已經有相當的成熟度,如UEBA異常行為分析、NLP加持的識別算法、場景化脫敏算法等;同時,僅靠單獨技術措施只能解決單方面的問題,必須形成體系化的思維,通過能力模塊間的聯動打通,系統形成體系化的整體數據安全防護能力,并持續優化和改進,從而提升整體安全運營和管理的質量和效率。
全場景數據安全
生產區
共享開放與測試區
應用區
數據安全風險感知與管理區
數據未分類分級
解決方案:AiSort基于網絡嗅探技術,充分發現網絡環境中存在的數據庫資產,然后基于深度學習+條件隨機場等Al識別模型算法,依據內置法規、行業標準,進行敏感數據識別和自動分類分級,生成數據資產目錄。同時對數據庫系統用戶權限、弱口令、安全配置基線、安全漏洞和威脅等梳理,進行風險評估。對于分類分級結果可以大屏、圖表等形式進行展現,支持導出及對接其他如數據脫敏、數據安全網關等系統,以實現對敏感數據的進一步安全防護和細粒度管控,讓數據使用及共享做到"有級可循"。
數據庫漏洞利用風險
解決方案:AiGate數據安全網關系統使用數據庫虛擬以補丁技術,通討控違數據庫的請求然數,舉型和個數等多種方式結合,防止利用已公開的數據庫安全漏洞攻擊數據庫,對數據庫的安全漏洞起到主動的防御作用,極大的保護了未升級漏洞補丁的數據庫服務器,有效降低了用戶數據篡改和泄露的可能。
權限失控風險
解決方案:一方面,AiSort可以對數據庫中不同用戶、不同對象的權限進行梳理并監控權限變化。
另一方面,AiGate數據安全網關系統可基于IP、MAC、客戶端主機名、操作系統用戶名、客戶端工具和數據庫賬號六個維度認證身份,并結合AiSort的數據分類分級結果,真正實現用戶的多維度身份認證和敏感數據的細粒度訪問控制功能。解決數據庫自身認證維度單一、缺乏基于數據精細化的訪問控制的問題。
運維人員篡改拖庫風險
解決方案:AiGate內置多種脫敏算法,可識別Oracle、MySOL、PostareSOL等數據庫中敏感數據,井通過動態版t功能,有效防止運維人品接觸取感數據,大大靠低數據泄驟的風險
數據明文存儲風險
解決方案:ATDE透明數據庫加密系統綜合采用SM2、SM3、SM4國家商用密碼高強標準加密算法,功能上加解密操作對數據庫層無感知,對上層業務應用系統使用及部署無需任何更改,保證敏感數據的機密性、可用性、完整性。
審計線索不足,數據泄露無法追溯
解決方案:明御數據庫審計系統是一款基于對數據庫傳輸協議深度解析的基碰上進行風險識別和告警通知的系統,具有對數據庫訪問行為進行實時審計、對數據庫的惡意攻擊、數據庫違規訪問等行為識別的能力。
開發測試環節數據泄漏風險
解決方案:AiMask數據靜態脫敏系統采用的脫敏與水印溯源算法對敏感數據進行去標識化、匿名化處理。支持固定值替換、置空、亂序、統計持征保留的脫敏算法和數據溯源算法。保證脫敏后的數據保留原有業務邏輯特征的同時保證數據的有效性和可用性,支持可回溯的脫敏算法,便于用戶追溯泄漏源。所有敏感數據全部在內存中處理,可保證整個環節敏感數據不落地,使脫敏后的數據可以安全的應用于測試、開發、分析和第三方大數據分析等環境。
數據共享泄露風險(API安方案:零信任 AiTrust API 代理系統是AiTrust零信任解決方案為API服務提供的控制點,通過對API服務健康狀態的實時檢查,使得API服務在自身盡量無需改造的情況下,實現安全加固,管理員能夠通過統一的策路對API的訪問控制進行調整;同時,API安全代理網關還提供接口敏感信息識別、APl訪問控制、APl動態脫敏和APl訪問審計等功能。
賬號安全風險
解決方案:對賬號異常行為的監控、檢測和分析正是 AiThink UEBA 用戶與實體行為分析技術的特長,通過收集整合多維度以及用戶上下文等數據信息,全同關聯,進行行為基線分析和群體異常分析,通過Al機器學習異常檢測算法,可以更深層次的進行賬號安全洞察,迅速識別異常事件。通過對賬號要錄的時間、地點,頻次和擇作等異常監控,判斷是否存在如短時間內異地登錄、登錄次數偏圖整體基線、非工作時間上線和靜財賬號的忽然出現等異常活動,激源分析確認是否存在賬號失陷。
另外,AiTrust零信任解決方案,以可信數字身份為基礎,通過持續信任評估、動態訪問控制等核心能力,對用戶每次的資源訪問請求進行持結動態的安全可信關系評估,從而避免內部人員攻擊事件出現。
終端數據泄露風險
解決方案:AiDLP數據防泄漏系統(終端)通過靈活的敏感策略、敏感數據主動掃描和多樣性的保護措施,解決終端場景下的敏感數據容易泄露的問題。支持各種類型的PC用戶終端與移動終端上發現敏感文件,自動化了解這些敏感文件的分布,并進一步的提出保護的手段。
AiDLP數據防泄漏系統(網絡)通過對數據資產進行自動聚類分類和特征提取,解決對傳輸中、存儲中、使用中的數據進行檢測,依據預先定義的策略,識別敏感數據,最終實施特定響應。
數據其享泄露風險(API安方案:AiTrust零信任包含TAM身份服務中心、應用代理系統和API代理系統,采用了身份識別、權限識別、身份傳遞、健康監控、流量管控、通道安全等多項核心技術,通過接管所有API服務訪問請求,實施動態的訪問者身份識別和權限識別,提供精確到用戶層級的細粒度API調用數據訪問監控審計。例如通過監控API的調用情況,識別出是否存在敏感數據非法訪問,有針對性地進行 AP動態脫敏。
同時,通過AiThink收集日志信息進行綜合信任評估,以實施動態訪問控制。
僅靠單獨技術措施只能解決單方面的問題,必須形成體系化的思維,通過能力模塊間的聯動打通,系統形成體系化的整體數據安全防護能力,并持續優化和改進,從而提升整體安全運營和管理的質量和效率。AiGuard實現了敏感數據安全防護的全生命周期過程全覆蓋,建立了以風險核查為起點,以數據梳理為基礎,以數據保護為核心,以監控預警作為支撐,最終形成全局數據安全風險態勢感知。
多方數據安全融合計算
2020年4月9日,中共發布《關于構建更加完善的要素市場化配置體制機制的意見》(簡稱《意見》),《意見》提出深化要素配置的市場化改革,推動經濟發展的質量變革、效率變革和動力變革。其中,《意見》第六部分"加快培育數據要素市場",凸顯和對數據要素的高度重視,標市著給"數據"以新的歷史定位,不再視其為信息化時代的單純產物,而是上升到了生產要素的重要地位。
由于敏感數據時常發生數據泄露和缺乏有效的安全保障手段,導致數據擁有方都不愿開放和共享數據。究其原因既有缺乏相關法律法規導致的責任認定不清的問題,也有數據安全共享技術的缺失制約了政府部門及企業間數據的開放共享。
![](https://'img78.afzhan.com/fd9c5b6de14e75b182e9fb3b547a0aa5a3b059115c4707eaeddca2fb2ed5003cbf7b34a9d9effa43.jpg"comm_modulebox)
