以身份和數(shù)據(jù)雙中心
保護(hù)數(shù)據(jù)安全的目標(biāo)之一是防止未經(jīng)的用戶進(jìn)行數(shù)據(jù)非法訪問和操作。所以需同時(shí)從訪問者"身份"和訪問對(duì)象"數(shù)據(jù)"兩個(gè)方向入手,雙管齊下。
零信任:
在沒有經(jīng)過身份鑒別之前,不信任企業(yè)內(nèi)部和外部的任何人/系統(tǒng)設(shè)條,需基于身份認(rèn)人證和,執(zhí)行以身份為中心的動(dòng)態(tài)訪問控制。
數(shù)據(jù)分類分級(jí):
聚焦以數(shù)據(jù)為中心進(jìn)行安全建設(shè),有針對(duì)性的保護(hù)高價(jià)值數(shù)據(jù)及業(yè)務(wù),數(shù)據(jù)發(fā)現(xiàn)和分類分級(jí)是以數(shù)據(jù)為中小M保護(hù)的重要基礎(chǔ)。
全面覆蓋立體化防護(hù)原則
全生命周期:
橫向上需全面覆蓋數(shù)據(jù)資源的收集、存儲(chǔ)、加工、使用、提供、交易、公開等行為活動(dòng)的整個(gè)生命周期,采用多種安全工具支撐安全策略的實(shí)施。
數(shù)據(jù)安全態(tài)勢(shì)感知:
縱向上通過風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)梳理、訪問監(jiān)控,大數(shù)據(jù)分析,進(jìn)行數(shù)據(jù)資產(chǎn)價(jià)值評(píng)平古。數(shù)據(jù)資產(chǎn)弱點(diǎn)評(píng)估、數(shù)據(jù)資產(chǎn)威脅評(píng)估,最終形成數(shù)據(jù)安全態(tài)勢(shì)感知。
立體化防護(hù)體系:
通過組織、制度、場景、技術(shù)、人員等自上而下的落實(shí)來構(gòu)建立體化的數(shù)據(jù)安全防護(hù)體系。
智能化、體系化原則
在信息技術(shù)和業(yè)務(wù)環(huán)境越來越復(fù)雜的當(dāng)下,僅靠人工方式來運(yùn)維和管理安全已經(jīng)捉襟見肘了,人工智能、大數(shù)據(jù)已經(jīng)有相當(dāng)?shù)某墒於龋鏤EBA異常行為分析、NLP加持的識(shí)別算法、場景化脫敏算法等;同時(shí),僅靠單獨(dú)技術(shù)措施只能解決單方面的問題,必須形成體系化的思維,通過能力模塊間的聯(lián)動(dòng)打通,系統(tǒng)形成體系化的整體數(shù)據(jù)安全防護(hù)能力,并持續(xù)優(yōu)化和改進(jìn),從而提升整體安全運(yùn)營和管理的質(zhì)量和效率。
全場景數(shù)據(jù)安全
生產(chǎn)區(qū)
共享開放與測(cè)試區(qū)
應(yīng)用區(qū)
數(shù)據(jù)安全風(fēng)險(xiǎn)感知與管理區(qū)
數(shù)據(jù)未分類分級(jí)
解決方案:AiSort基于網(wǎng)絡(luò)嗅探技術(shù),充分發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的數(shù)據(jù)庫資產(chǎn),然后基于深度學(xué)習(xí)+條件隨機(jī)場等Al識(shí)別模型算法,依據(jù)內(nèi)置法規(guī)、行業(yè)標(biāo)準(zhǔn),進(jìn)行敏感數(shù)據(jù)識(shí)別和自動(dòng)分類分級(jí),生成數(shù)據(jù)資產(chǎn)目錄。同時(shí)對(duì)數(shù)據(jù)庫系統(tǒng)用戶權(quán)限、弱口令、安全配置基線、安全漏洞和威脅等梳理,進(jìn)行風(fēng)險(xiǎn)評(píng)估。對(duì)于分類分級(jí)結(jié)果可以大屏、圖表等形式進(jìn)行展現(xiàn),支持導(dǎo)出及對(duì)接其他如數(shù)據(jù)脫敏、數(shù)據(jù)安全網(wǎng)關(guān)等系統(tǒng),以實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的進(jìn)一步安全防護(hù)和細(xì)粒度管控,讓數(shù)據(jù)使用及共享做到"有級(jí)可循"。
數(shù)據(jù)庫漏洞利用風(fēng)險(xiǎn)
解決方案:AiGate數(shù)據(jù)安全網(wǎng)關(guān)系統(tǒng)使用數(shù)據(jù)庫虛擬以補(bǔ)丁技術(shù),通討控違數(shù)據(jù)庫的請(qǐng)求然數(shù),舉型和個(gè)數(shù)等多種方式結(jié)合,防止利用已公開的數(shù)據(jù)庫安全漏洞攻擊數(shù)據(jù)庫,對(duì)數(shù)據(jù)庫的安全漏洞起到主動(dòng)的防御作用,極大的保護(hù)了未升級(jí)漏洞補(bǔ)丁的數(shù)據(jù)庫服務(wù)器,有效降低了用戶數(shù)據(jù)篡改和泄露的可能。
權(quán)限失控風(fēng)險(xiǎn)
解決方案:一方面,AiSort可以對(duì)數(shù)據(jù)庫中不同用戶、不同對(duì)象的權(quán)限進(jìn)行梳理并監(jiān)控權(quán)限變化。
另一方面,AiGate數(shù)據(jù)安全網(wǎng)關(guān)系統(tǒng)可基于IP、MAC、客戶端主機(jī)名、操作系統(tǒng)用戶名、客戶端工具和數(shù)據(jù)庫賬號(hào)六個(gè)維度認(rèn)證身份,并結(jié)合AiSort的數(shù)據(jù)分類分級(jí)結(jié)果,真正實(shí)現(xiàn)用戶的多維度身份認(rèn)證和敏感數(shù)據(jù)的細(xì)粒度訪問控制功能。解決數(shù)據(jù)庫自身認(rèn)證維度單一、缺乏基于數(shù)據(jù)精細(xì)化的訪問控制的問題。
運(yùn)維人員篡改拖庫風(fēng)險(xiǎn)
解決方案:AiGate內(nèi)置多種脫敏算法,可識(shí)別Oracle、MySOL、PostareSOL等數(shù)據(jù)庫中敏感數(shù)據(jù),井通過動(dòng)態(tài)版t功能,有效防止運(yùn)維人品接觸取感數(shù)據(jù),大大靠低數(shù)據(jù)泄驟的風(fēng)險(xiǎn)
數(shù)據(jù)明文存儲(chǔ)風(fēng)險(xiǎn)
解決方案:ATDE透明數(shù)據(jù)庫加密系統(tǒng)綜合采用SM2、SM3、SM4國家商用密碼高強(qiáng)標(biāo)準(zhǔn)加密算法,功能上加解密操作對(duì)數(shù)據(jù)庫層無感知,對(duì)上層業(yè)務(wù)應(yīng)用系統(tǒng)使用及部署無需任何更改,保證敏感數(shù)據(jù)的機(jī)密性、可用性、完整性。
審計(jì)線索不足,數(shù)據(jù)泄露無法追溯
解決方案:明御數(shù)據(jù)庫審計(jì)系統(tǒng)是一款基于對(duì)數(shù)據(jù)庫傳輸協(xié)議深度解析的基碰上進(jìn)行風(fēng)險(xiǎn)識(shí)別和告警通知的系統(tǒng),具有對(duì)數(shù)據(jù)庫訪問行為進(jìn)行實(shí)時(shí)審計(jì)、對(duì)數(shù)據(jù)庫的惡意攻擊、數(shù)據(jù)庫違規(guī)訪問等行為識(shí)別的能力。
開發(fā)測(cè)試環(huán)節(jié)數(shù)據(jù)泄漏風(fēng)險(xiǎn)
解決方案:AiMask數(shù)據(jù)靜態(tài)脫敏系統(tǒng)采用的脫敏與水印溯源算法對(duì)敏感數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化、匿名化處理。支持固定值替換、置空、亂序、統(tǒng)計(jì)持征保留的脫敏算法和數(shù)據(jù)溯源算法。保證脫敏后的數(shù)據(jù)保留原有業(yè)務(wù)邏輯特征的同時(shí)保證數(shù)據(jù)的有效性和可用性,支持可回溯的脫敏算法,便于用戶追溯泄漏源。所有敏感數(shù)據(jù)全部在內(nèi)存中處理,可保證整個(gè)環(huán)節(jié)敏感數(shù)據(jù)不落地,使脫敏后的數(shù)據(jù)可以安全的應(yīng)用于測(cè)試、開發(fā)、分析和第三方大數(shù)據(jù)分析等環(huán)境。
數(shù)據(jù)共享泄露風(fēng)險(xiǎn)(API安方案:零信任 AiTrust API 代理系統(tǒng)是AiTrust零信任解決方案為API服務(wù)提供的控制點(diǎn),通過對(duì)API服務(wù)健康狀態(tài)的實(shí)時(shí)檢查,使得API服務(wù)在自身盡量無需改造的情況下,實(shí)現(xiàn)安全加固,管理員能夠通過統(tǒng)一的策路對(duì)API的訪問控制進(jìn)行調(diào)整;同時(shí),API安全代理網(wǎng)關(guān)還提供接口敏感信息識(shí)別、APl訪問控制、APl動(dòng)態(tài)脫敏和APl訪問審計(jì)等功能。
賬號(hào)安全風(fēng)險(xiǎn)
解決方案:對(duì)賬號(hào)異常行為的監(jiān)控、檢測(cè)和分析正是 AiThink UEBA 用戶與實(shí)體行為分析技術(shù)的特長,通過收集整合多維度以及用戶上下文等數(shù)據(jù)信息,全同關(guān)聯(lián),進(jìn)行行為基線分析和群體異常分析,通過Al機(jī)器學(xué)習(xí)異常檢測(cè)算法,可以更深層次的進(jìn)行賬號(hào)安全洞察,迅速識(shí)別異常事件。通過對(duì)賬號(hào)要錄的時(shí)間、地點(diǎn),頻次和擇作等異常監(jiān)控,判斷是否存在如短時(shí)間內(nèi)異地登錄、登錄次數(shù)偏圖整體基線、非工作時(shí)間上線和靜財(cái)賬號(hào)的忽然出現(xiàn)等異常活動(dòng),激源分析確認(rèn)是否存在賬號(hào)失陷。
另外,AiTrust零信任解決方案,以可信數(shù)字身份為基礎(chǔ),通過持續(xù)信任評(píng)估、動(dòng)態(tài)訪問控制等核心能力,對(duì)用戶每次的資源訪問請(qǐng)求進(jìn)行持結(jié)動(dòng)態(tài)的安全可信關(guān)系評(píng)估,從而避免內(nèi)部人員攻擊事件出現(xiàn)。
終端數(shù)據(jù)泄露風(fēng)險(xiǎn)
解決方案:AiDLP數(shù)據(jù)防泄漏系統(tǒng)(終端)通過靈活的敏感策略、敏感數(shù)據(jù)主動(dòng)掃描和多樣性的保護(hù)措施,解決終端場景下的敏感數(shù)據(jù)容易泄露的問題。支持各種類型的PC用戶終端與移動(dòng)終端上發(fā)現(xiàn)敏感文件,自動(dòng)化了解這些敏感文件的分布,并進(jìn)一步的提出保護(hù)的手段。
AiDLP數(shù)據(jù)防泄漏系統(tǒng)(網(wǎng)絡(luò))通過對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行自動(dòng)聚類分類和特征提取,解決對(duì)傳輸中、存儲(chǔ)中、使用中的數(shù)據(jù)進(jìn)行檢測(cè),依據(jù)預(yù)先定義的策略,識(shí)別敏感數(shù)據(jù),最終實(shí)施特定響應(yīng)。
數(shù)據(jù)其享泄露風(fēng)險(xiǎn)(API安方案:AiTrust零信任包含TAM身份服務(wù)中心、應(yīng)用代理系統(tǒng)和API代理系統(tǒng),采用了身份識(shí)別、權(quán)限識(shí)別、身份傳遞、健康監(jiān)控、流量管控、通道安全等多項(xiàng)核心技術(shù),通過接管所有API服務(wù)訪問請(qǐng)求,實(shí)施動(dòng)態(tài)的訪問者身份識(shí)別和權(quán)限識(shí)別,提供精確到用戶層級(jí)的細(xì)粒度API調(diào)用數(shù)據(jù)訪問監(jiān)控審計(jì)。例如通過監(jiān)控API的調(diào)用情況,識(shí)別出是否存在敏感數(shù)據(jù)非法訪問,有針對(duì)性地進(jìn)行 AP動(dòng)態(tài)脫敏。
同時(shí),通過AiThink收集日志信息進(jìn)行綜合信任評(píng)估,以實(shí)施動(dòng)態(tài)訪問控制。
僅靠單獨(dú)技術(shù)措施只能解決單方面的問題,必須形成體系化的思維,通過能力模塊間的聯(lián)動(dòng)打通,系統(tǒng)形成體系化的整體數(shù)據(jù)安全防護(hù)能力,并持續(xù)優(yōu)化和改進(jìn),從而提升整體安全運(yùn)營和管理的質(zhì)量和效率。AiGuard實(shí)現(xiàn)了敏感數(shù)據(jù)安全防護(hù)的全生命周期過程全覆蓋,建立了以風(fēng)險(xiǎn)核查為起點(diǎn),以數(shù)據(jù)梳理為基礎(chǔ),以數(shù)據(jù)保護(hù)為核心,以監(jiān)控預(yù)警作為支撐,最終形成全局?jǐn)?shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知。
多方數(shù)據(jù)安全融合計(jì)算
2020年4月9日,中共發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》(簡稱《意見》),《意見》提出深化要素配置的市場化改革,推動(dòng)經(jīng)濟(jì)發(fā)展的質(zhì)量變革、效率變革和動(dòng)力變革。其中,《意見》第六部分"加快培育數(shù)據(jù)要素市場",凸顯和對(duì)數(shù)據(jù)要素的高度重視,標(biāo)市著給"數(shù)據(jù)"以新的歷史定位,不再視其為信息化時(shí)代的單純產(chǎn)物,而是上升到了生產(chǎn)要素的重要地位。
由于敏感數(shù)據(jù)時(shí)常發(fā)生數(shù)據(jù)泄露和缺乏有效的安全保障手段,導(dǎo)致數(shù)據(jù)擁有方都不愿開放和共享數(shù)據(jù)。究其原因既有缺乏相關(guān)法律法規(guī)導(dǎo)致的責(zé)任認(rèn)定不清的問題,也有數(shù)據(jù)安全共享技術(shù)的缺失制約了政府部門及企業(yè)間數(shù)據(jù)的開放共享。
會(huì)員1.png)
![](https://'img78.afzhan.com/fd9c5b6de14e75b182e9fb3b547a0aa5a3b059115c4707eaeddca2fb2ed5003cbf7b34a9d9effa43.jpg"comm_modulebox)
