数字经济是继农业经济、工业经济之后的主要经济形态,在重组全球要素资源、重塑全球经济结构、改变全球竞争格局中起着关键性作用。科技部数据显示,我国数字经济规模居世界第二。对我国来说,发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择,并将带动数字化向更大范围、更高层次、更深程度拓展,发挥数据的基础资源作用和创新引擎作用。数据要素作为数字经济深化发展的核心引擎,数据安全也成为事关国家安全和经济社会发展的重大议题。
持续攻防对抗特性让数据安全行业成为技术演进常青树。《报告》从技术、产品、治理和服务等领域展开。技术发展上,从典型技术理念、典型技术架构、典型治理平台三个层次逐步展开,其中,技术架构上重点介绍了 GARTNER 架构、信通院架构、DTTACK 等模式,并论述了其设计思路和理念;安全产品上,从标准安全产品延伸、创新安全场景驱动分别切入,详细介绍了 20 多种数据安全产品,并着重分析了创新安全场景中使用的关键技术;数据治理上,从数据价值、安全策略、管理运营等方面,持续探索自适用、易落地的数据安全治理模型和体系;服务咨询上,立足产业链中下游,重点介绍了治理、评测、运营、能力提升、专项、实战应用、法律咨询七种类型,并基于各服务种类及流程步骤从多维度解析。
典型技术架构
(一)GARTNER 架构
Gartner 于 2018 年 4 月正式推出数据安全治理(DSG)框架。框架的基本思路是对各生命周期的数据集进行识别、分类和优先级排序,使用 CARTA 模型选择与数据集优先级相匹配的数据安全策略规则和功能,随后部署安全产品、配置策略,并定期或在业务风险发生变化时评估安全策略规则的适用性。近些年,国内专家、学者进行了模型引入和泛化研究。
Gartner 提示从上到下,从需求调研开始实施数据安全治理。千万不要跨过数据摸底、治理优先级分析、制定治理整体策略,而直接从技术工具开始对数据安全进行治理。
数据安全治理实施步骤:
平衡业务与风险威胁合规的关系→治理优先级→制定安全策略→实施安全工具→测试编排同步
实施步骤
第一步:业务需求与风险/威胁/合规性之间的平衡
这里需要考虑 5 个维度的平衡:经营策略、治理、合规、IT 策略和风险容忍度,这也是治理队伍开展工作前需要达成统一的 5 个要素。
- 经营战略:确立数据安全的处理如何支撑经营策略的制定和实施。
- 治理:对数据安全需要开展深度的治理工作。
- 合规:企业和组织面临的合规要求。
- IT 策略:企业的整体 IT 策略同步。
- 风险容忍度:企业对安全风险的容忍度在哪里。
第二步:数据优先级
进行数据安全治理前,需要先明确治理的对象,企业拥有庞大的数据资产,本着高效原则,Gartner 建议,应当优先对重要数据进行安全治理工作,比如将“数据分级分类”作为整体计划的第一环,将大大提高治理的效率和投入产出比。通过对全部数据资产进行梳理,明确数据类型、属性、分布、访问对象、访问方式、使用频率等,绘制“数据地图”,以此为依据进行数据分级分类,以此对不同级别数据实行合理的安全手段。这个基础也会为每一步治理技术的实施提供策略支撑。
第三步:制定策略,降低安全风险
从两个方向考虑如何实施数据安全治理:访问关系、安全策略。
访问关系:明确数据的访问者(应用用户/数据管理人员)、访问对象、访问行为。
安全策略:基于这些信息制定不同的、有针对性的数据安全策略。这一步的实施更加需要数据资产梳理的结果作为支撑,以提供数据在访问、存储、分发、共享等不同场景下,即满足业务需求,又保障数据安全的保护策略。
第四步:实施安全工具
数据是流动的,数据结构和形态会在整个生命周期中不断变化,需要采用多种安全工具支撑安全策略的实施。
Gartner 在 DSG 体系中提出了实现安全和风险控制的 5 个工具/技术手段:
Crypto(加密):包括数据库中的结构化数据的加密、数据存储加密、传输加密、应用端加密、密钥管理、密文访问权控等多种技术。
DCAP(以数据为中心的审计和保护):可以集中管理数据安全策略,统一控制结构化、半结构化和非结构化的数据库或数据集合。这些产品可以通过合规、报告和取证分析来审计日志记录的异常行为,同时使用访问控制、脱敏、加密、令牌化等技术划分应用用户和管理员间的职责。
DLP(数据防泄漏):DLP 工具提供对敏感数据的可见性,无论是在端点上使用,在网络上运动还是静止在文件共享上。使用 DLP,组织可以实时保护从端点或电子邮件中提取数据。DCAP 和 DLP 之间的根本区别在于 DCAP 工具更多地侧重于组织内用户访问的数据,而 DLP 更侧重于将离开组织的数据。
IAM(身份识别与访问管理):IAM 是一套全面的建立和维护数字身份,并提供有效地、安全地 IT 资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、
授权和身份数据集中管理与审计。身份和访问管理是一套业务处理流程,也是一个用于创建、维护和使用数字身份的支持基础结构。
第五步:策略配置同步
策略配置同步主要针对 DCAP 的实施而言,集中管理数据安全策略是 DCAP 的核心功能,而无论访问控制、脱敏、加密、令牌化哪种手段都必须注意对数据访问和使用的安全策略保持同步下发,策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。
(二)信通院架构
信通院数据安全治理实践指南(1.0)是落实数据安全治理要求的角度出发, 去引导企事业单位开展数据安全治理。
数据安全治理目标:合规保障是组织数据安全治理的底线要求,风险管理是数据安全治理需要解决的重要问题。数字经济时代,数据的流通交易才能最大限度释放数据价值。因此,数据安全治理的目标是在合规保障及风险管理的前提下,实现数据的开发利用,保障业务的持续健康发展,确保数据安全与业务发展的双向促进。
图 9 数据安全治理目标
参考框架是组织数据安全治理所需的体系化结构,依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》[21],其包括数据安全战略、数据全生命周期安全、基础安全三部分。
图 10 数据安全战略
1. 数据安全战略
在组织启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标和具体任务,匹配对应的资源,使得治理工作能够有条不紊的展开。数据安全战略可以从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。
2. 数据全生命周期安全
数据安全治理应围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,设置相应的管控点和管理流程,以便于在不同的业务场景中进行组合复用。
3. 基础安全
基础安全能力作为数据全生命周期安全能力建设的基本支撑,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
(三)DTTACK
进入数据时代,侧重攻防对抗的 ATT&CK 框架,难以覆盖“主动式保护数据” 的各种技术手段。炼石网络《2021 数据安全与个人信息保护技术白皮书》中,从“以数据为中心”的角度提出 DTTACK 数据安全技术框架,全称是 Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。
1. 设计思路
网络安全持续的变化,攻防之间的博弈在不停的进化,已有的网络安全能力的度量逐步显露出局限性和不适用性。数据安全建设领域亟待出现新的安全能力度量方式,以应对不断变化的网络与数据安全发展趋势。
如果说 ATT&CK 的出现,是让攻击手法拥有通用语言,那么 DTTACK 的诞生便是对数据本身进行主动式防护,为防护模式打造了通用技术库。DTTACK 不是网络服务器或应用程序安全性的模型,它更强调数据本身的安全性,并从对数据的应对式防护向主动式防护转变,重视从业务风险映射视角列举数据保护需求,也可以为信息化建设、企业业务架构设计提供数据安全能力参考。
目前,已初步梳理 6 个战术,31 个技术,83 个扩展技术,145 个方法,并持续更新迭代,致力于打造数据安全领域的专业权威技术框架。
2. 设计理念
DTTACK 框架列举了诸多技术,其作用类似于“兵器库”,防守方需要体系化的思路整合这些技术,才能利用好先发优势,精心“排兵布阵”,环环相扣构造纵深防御战线,体系化的防范内外部威胁,提升防御有效性。
(1) 重视从业务风险映射视角列举数据保护需求
安全本质上是一种业务需求,“传统业务需求”侧重于“希望发生什么”, 而“安全需求”侧重于“不希望发生什么”,从而确保“发生什么”。从这个角度看,各种安全的定义都可以映射到业务需求,比如 Security(安全防攻击)、Safety(安全可靠)、Reliability(可靠性)、Trustiness(诚信度)以及 Sureness(确定性)等。而数据安全需求重点是数据的机密性和完整性。
当前版本的 DTTACK,在数据安全技术列举方面,参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》,将 114 个具体技术流程分类并对号入座,为数据安全建设提供技术支持。
(2) 结合 NIST 安全能力模型、安全滑动标尺模型
DTTACK 框架的构建,以 NIST 安全能力模型和安全滑动标尺模型为参考,并做了整合与精简。基于此,DTTACK 最新版本选择了六大战术作为基本结构: IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。
图 11 DTTACK 框架构建参照模型
(3) 发挥以密码技术为核心的数据安全实战价值
在 DTTACK 六大战术中,密码技术也为其提供了重要价值。比如:识别方面,密码可以为数据识别提供身份安全能力,为接口通道实现安全加密;防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制。检测、响应、恢复和反制方面,密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。
尤其对于流转数据防护,密码技术可以提供独特价值。共享流转的数据很难有边界,在做访问控制的时候,如果数据库或归档备份中的数据是明文,访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,从而实现了“防绕过的访问控制”、以及“高置信度的审计”。密码技术为数据重新定义了虚拟的“防护边界”,从而更好地对数据实施防护与管控。
(4) 填补“以数据为中心”的安全技术体系空白
当下,数据已成为新生产要素,数据被充分共享流转以产生价值。凡是有数据流转的业务场景,都会有数据安全的需求产生。“以数据为中心”的安全强调数据处于中心位置,就需要站在数据的视角,纵观数据的生命周期,然后针对数据流转的每个关键环节重新审视安全问题和解法。
结合到企业或机构的信息系统中,数据安全则来自业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。
DTTACK 以数据安全领域的全地图技术框架为目标,可为不同场景的数据安全防护提供基本思路,期望在一定程度上助力提升全社会、全行业的数据安全水位,填补“以数据为中心”的安全技术体系的空白,为数据安全厂商提供通用知识库,为需求方的数据安全规划和技术对比提供参考依据。
典型治理平台
不论采取何种技术路线或手段,对于企事业单位需要依托一套或多套平台来落实管理制度和技术手段。本文重点介绍数据全生命周期管理平台、数据安全管控平台、数据安全治理平台等。
(一)数据全生命周期管理平台
1. 数据全生命周期管理平台架构
数据安全建设是针对不同安全级别的数据,明确其在收集、传输、存储、使用、加工、提供、公开及销毁等数据生命周期各个环节的安全防护要求。再结合企业数据业务规则及数据特点,采用不同的数据安全产品、技术和服务等,实现建立覆盖数据全生命周期中全过程的安全防护。
图 12 面向数据全生命周期的数据安全防护体系
2. 数据全生命周期主要管理功能
数据收集是机构在提供产品和服务、开展经营管理等活动中,直接或间接从个人信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。数据采集过程实现数据的采集与提取、转换与标准化、信息上传,并提供内置安全审计与监管等辅助工具。
- 采集数据前,需采集数据的环境进行安全管控。
- 对数据采集设备或系统的真实性进行验证。还可结合口令密码、设备指纹、设备物理位置、网络接入方式、设备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证。
- 通过人员权限管控、信息碎片化等方式,防止采集过程出现数据泄露。
- 采集数据时,采用摘要、消息认证码、数字签名等密码技术确保采集过程数据的完整性。对采集的数据进行数据加密存储,保障采集数据的机密性。并且对采集全过程进行持续动态认证,确保数据采集设备或系统的真实性,必要时可实施阻断、二次认证等操作。同时通过安全审计技术对数据采集过程进行日志记录,并采取数据溯源技术措施确保信息来源的可追溯性。
数据存储是指企业在提供产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程。
按存储位置,大体分为移动端/终端存储,服务端数据库存储两大类。包括 但不限于采用磁盘、磁带、网络存储设备、云存储服务等载体存储数据。
- 移动端/终端可采用终端 DLP 技术来对数据加密存储和安全管控。DLP 系统基于敏感内容感知、文件分类分级、虚拟文件系统、多缓存技术、安全虚拟沙箱、应用智能识别等相关技术,通过密级标识、透明加密、追踪审计等方式提供更安全、更智能、更稳定的新一代数据泄露防护解决方案:
- 终端 DLP 系统,可对包含敏感信息文件实施透明加密、 对业务系统数据保护、对核心数据隔离管理、对授权文档权限控制、对文档内部流转及外发管理、对文档传播途径管控,为企业数据资产安全保驾护航。
- 服务端数据安全存储可采用数据资产识别技术和数据分类分级技术实现对数据的扫描、发现和分级管控,针对重要敏感数据分别采用数据加密和去标识化、认证、安全审计技术来实现对数据库的数据加密存储、完整性验证和安全管控。如下图:
- 炼石 CASB 业务数据加密平台可通过 AOE 插件实现对数据库结构化数据加密存储,TFE 插件可实现对非结构化数据加密存储,保障服务侧的数据安全。同时免开发改造应用,部署快捷,不改变用户习惯。
数据使用是指机构在提供产品和服务、开展经营管理等活动中,进行数据的访问、分析、开发测试、处理等活动。数据使用不应超出数据采集时所声明的目的和范围。
- 数据使用主要涉及移动端/终端、服务端。
- 企业应综合考虑主体角色、信用等级、业务需要、时效性等因素,按最小化原则确定数据的访问权限规则。建立访问权限申请和审核批准机制。
- 数据使用前,通过身份认证技术对数据使用者身份进行识别认证,并通过访问控制技术对访问的终端设备、系统数据进行控制,以及实际操作和出清操作进行验证。
- 数据使用过程中,并根据数据的不同安全级别,采取加密、去标识化等技术手段,防止数据使用过程中数据本身及数据计算过程机密性、完整性、可用性被破坏。当在不可信环境中进行数据使用时,可采用 FHE 全同态加密、 MPC 多方安全计算、ZKP 零知识证明、区块链隐私保护等技术进行安全防护。并通过安全审计技术,完整记录数据使用过程的操作日志等。
- 炼石 CASB 业务数据加密平台在业务侧结合使用数据的用户权限,实现用户访问数据的同时进行数据动态脱敏。服务侧结合 DBA 权限,将 AOE 安全模块部署于 DBA 工具中,在不影响业务人员和运维人员开展工作的同时,最大程度保证数使用据安全。如下图所示:
表 4 炼石 CASB 业务数据加密平台功能说明
| 空间维度/时间/技术维度 | 移动/终端侧数据安全防护 | 应用侧数据安全访问 | 网络侧数据安全传输 | 服务侧(数据库)数据安全防护 |
| 数据收集 | *环境安全管控 *数据加密、认证 *安全审计 |
*环境安全管控 *数据加密、认证 *安全审计 |
||
| *数据溯源技术 | ||||
| 数据存储 | *移动/终端 DLP | *数据资产识别 *数据分类分级 *数据加密 *认证 *去标识化 *安全审计 |
||
| 数据使用 | *移动/终端 DLP | *访问控制 *身份认证 |
*数据加密 *去标识化 *安全审计 |
|
| 数据加工 | *数据加密 *去标识化 *安全审计 |
|||
| 数据传输 | *威胁检测技术 *网络 DLP * 传输通道加密 *内容加密 |
|||
| 数据提供 | *安全审计 *访问控制 *去标识化 |
*去标识化 | ||
| 数据公开 | *移动/终端 DLP *数据水印 |
*去标识化 | *数字水印 |
(二)数据安全管控平台
在实现技术落地时,用全局管控理念,实现从策略、流程、技术的统管统建在业内得到推广应用。中国移动是数据安全管控平台理念的践行者,同时基于此实现企标到行标升级,即《电信网和互联网数据安全管控平台技术要求与测试方法》。当然,这一理念,在其他技术领域和其他行业亦有探索、研究。以下内容,根据《电信网和互联网数据安全管控平台技术要求与测试方法》,进行数据安全管控平台重点技术进行说明。
1. 数据安全管控平台的技术架构
数据安全管控平台是承载全域安全管理和技术手段的集中化支撑平台,通过数据安全运营能力、数据安全管控能力、数据安全监控能力的建设,实现数据安全统一运营、集中管控,提升数据安全技术支撑保障能力。
图 13 数据安全管控平台技术架构
数据安全管控平台是承载全域安全管理和技术手段的集中化支撑平台,通过数据安全运营能力、数据安全管控能力、数据安全监控能力的建设,实现数据安全统一运营、集中管控,提升数据安全技术支撑保障能力。
2. 数据安全管控平台的主要功能
通常包含集中展示、综合分析、集中配置、功能对象(外部安全能力)。
其中,除了资产目录或其他可视化形式展示数据资源的接入覆盖范围外,平台应具备数据安全风险展示功能。风险展示是将综合分析中的数据安全风险分析结果以图形、表格或列表等可视化方式展示当前以及历史有关数据安全的风险情况。平台安全事件展示主要对数据安全事件相关信息及安全事件处置任务的情况进行统计分析并进行展示。同埋,支持对数据资产级别进行设定,并根据数据资产重要度进行配置;数据分类管理支持对数据资产类别进行设定,并根据数据资产业务属性进行配置;
平台应具备数据安全相关的风险分析功能。风险分析是结合直接生成或者间接采集的数据安全事件、内外部日志数据等信息和知识,对包括采集或者生产、传输、存储、处理、交换、销毁等数据活动过程中的可能的管理和环境风险、技术风险、人员风险进行定性或定量的分析,分析方法宜包括统计分析和关联分析。
平台应支持安全策略集中配置功能,包括策略集中管理功能和策略集中下发功能,其中策略集中管理功能应支持安全策略的创建、变更、查询以及注销功能, 安全策略集中下发功能应支持下发到指定的责任人或者安全组件。
平台应支持对接入或注册到平台的数据资产发现探针、敏感数据扫描探针、数据监测探针、数据安全防护能力等多种数据安全能力探针进行集中结果上报,在将安全策略或安全任务下发给各能安全能力探针后,安全能力探针需通过接口上报实时过程数据或执行结果数据,用于数据安全管控平台对执行过程的动态综合分析和执行结果状态集中展示。
(三)数据安全治理平台
1. 数据安全治理平台的技术架构
协助 DPO、安全部门、中小规模组织开展数据安全治理,落实加密、去标识化技术,维护用户个人信息权益,满足法律法规以及上级监管考核检查的安全产品,具有支持多样化的作业矩阵、低代码的工作流程设计、可视化的全景管理等特点。
产品适用于企业事业单位,包含省市区(县)级党政机关、大中小规模互联网公司、集团/子(分)公司、派出机构等客户,开展数据安全和个人信息保护 合规性管理或治理等场景,有效地解决了企业的工作需求。
设计为四层架构,三大业务流程,双引擎驱动,约 55 个子功能模块,其中, 业务层主要包含安全政策落地、个人权利保障、安全义务落实三大部分。组件层主要包含合规治理模块、实战技术模块、策略管理模块、知识库管理模块、基础功能模块、推送功能模块等六大部分。
图 14 数据安全治理平台技术架构
平台以“控制矩阵为抓手,落地组织个人信息保护”为理念。个人信息保护合规矩阵由控制矩阵、检查矩阵、责任矩阵组成,在充分采纳和吸收信息安全G.R.C 管理的基础上,解析组织面临个人信息保护制度与规范,同时借鉴国内、国际成熟最佳实践,实现个人信息保护合规治理体系化,并将个人信息保护的要求落实到岗到人(职责落地)。
图 15 以“控制矩阵为抓手,落地组织个人信息保护”为理念
2. 数据安全治理平台的主要功能
(1) 集成化的模块化上线检查
在新系统上线之前,将新业务的个人信息保护检查要求融入到项目执行过程中,将安全工作融入到业务平台建设的过程中,为新业务的整个生命周期提供安全保障。
流程图-1024x434.jpg)
图 16 业务上线检查(个保嵌入)流程图
(2) 低代码的检查流程设计
根据不同业务需求,对工单进行类别的划分,并针对不同类别的工单进行流程的配置工作。DPO 发起工单后,提交至下级单位进行执行,同时,提供工单的归档和查询检索能力。同时,青石支持工作流二次设计,即引入低代码模块,可以结合人员管理,发起一次安全检查或上级迎检应对。
图 17 选择工作流量环节
(四)数据安全运营平台
数据安全运营成为产业热点,一大批优秀厂商针对数据安全运营进行技术创新。本方引用数据安全运营平台(DSOP)阐述典型功能及实现。
以“可实用、可持续”为设计初衷建设一站式、体系化的数据安全运营平台, 集成全生命周期防护与监测的安全能力于一身,实现数据资产运营、标准策略运营、安全事件运营和安全风险运营。
其中,数据资产运营包括数据资产分布视图、敏感数据分布视图以及资产安全评估指标稽核、资产认领指标稽核和备案指标稽核等;标准策略运营包括合规指标稽核、策略落实指标稽核、策略下发指标稽核和策略生效指标稽核等;安全事件运营包括事件处置稽核指标和数据流动视图等;安全风险运营包括风险监测视图和风险分析视图。通过可视化的信息呈现与工作引导,真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全日常化、可持续的运营管控目标。
(五)数据安全监测平台
与数据安全运营类似,本文引用数据安全监测平台阐述典型功能及实现。数据安全监测平台面向数据安全监管机构和大型企业集团数据安全总体责任部门,依托国家数据安全法规、行业数据安全监管政策和企业数据安全总体策略,提供面向物理和网络分散的数据使用组织和信息系统的分布式数据安全检测平台;以分布式的数据库流量探针、应用流量探针、运维流量探针、数据安全指标收集前置机、数据安全扫描评估工具为基础,实现对数据全生命周期的在线和离线合规监测:通过平台化的数据安全备案、数据访问行为分析、数据安全合规汇总能力, 实现集中式的数据安全统一监测和预警。
(六)零信任数据安全接入平台
本文引用数据安全监测平台阐述典型功能及实现。传统场景中,网络安全都是在以防火墙为边界的,其前提是内网完全可信。但是,随着技术的更新,远程办公变得普遍,诸如 VPN 之类的技术在网络应用中非常普遍。这就使得企业的安全边界必须进行扩大以允许来自全球各地各种类型终端的访问。随着以 5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。零信任数据安全平台默认不信任企业网络内外的任何人、设备和系统,而是以身份认证和授权重新构建访问控制的信任基础,任何在授权前的人/设备/应用程序都视为不被信任的、在访问数据前都应取得信任,细粒度数据访问权限,采用最小权限原则,将网络防御的对象从边界缩小到了单个或者更小的资源组,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”;终端安全、链路安全和访问控制安全。
(七)数据安全态势感知平台
1. 数据安全态势感知平台的技术架构
统一监控
平台将原来分散化管理的数据安全系统、数据资产进行集中管理、集中呈现, 解决了以前通常实现一个安全策略或风险管理要在多个数据安全系统中进行重复操作,且非专业人员对不同安全产品会有不同的技术水平,造成部分数据资产成为“影子”资产、安全风险告警未及时处理,给内外黑客制造可乘之机。
统一运维
通过对数据资产进行统一管理、设备状态进行实时监控、健康状态进行动态的评估,数据资产出现异常停机、高危漏洞、风险操作时进行实时告警,提醒运维人员进行重点关注并检查,并对资产提供周期性的安全状况评估报告,让运维人员更懂数据资产管理。
智能分析
平台通过对来自各个系统和终端的数据进行关联分析,发现其中的异常行为, 然后准确追溯定位数据操作对应的终端和人员。并能够通过深入分析学习,还原出某条数据的完整流向。
态势感知
平台通过丰富的图形化展示,将用户数据资产、风险事件、风险趋势、异常行为、智能预警、追踪溯源进行所见即所得的安全态势呈现,用户通过平台即可了解已知和未知的资产、风险,并对资产和风险进行实时跟踪、预测、趋势分析, 帮助用户对数据安全态势形成新的认知。
2. 数据安全态势感知平台的主要功能
资产管理
平台通过对各安全设备的日志数据和网络流量数据采集,对客户环境内的数据资产进行测绘,并对资产进行统一展示,帮助用户厘清现有资产,做到心中有数。同时能够从资产的维度对数据安全的威胁进行统计和分析。
事件管理
通过对各安全设备的日志数据和事件数据进行采集,并进行综合分析,发现其中的违规操作事件、高风险事件、异常操作事件。形成事件分析列表,对高频次事件进行 TOP 图形展示。
风险管理
平台支持以数据资产、用户操作行为为维度进行风险漏洞分析,通过对数据资产扫描,分析资产的健康状态,对高危风险进行预警,中低风险进行动态提醒。同时对终端用户的操作行为进行分析,异常行为进行风险预警。
安全监控
系统通过周期性轮询监控各类网络、终端、存储、文档数据资产、安全资产、业务系统的运行数据,并结合安全事件管理功能,实时监控各类管理对象的运行状态、网络流量、性能数据、告警状态等。
趋势分析
系统对高频和高危风险事件进行趋势分析,通过对事件的发展趋势进行分析、数据增长的趋势进行分析,帮助用户了解在特定时间段内哪些事件出现的频率较 高,哪些数据在特定时间段内有较高的增长。进而为用户的决策提供依据。
行为分析
系统通过对终端用户的操作行为进行分析,识别出终端用户经常操作的文件、热点关键词、文件的外发、应用软件的使用频率,进而对终端用户的行为进行预判,在某时间段内有非正常操作,可将此行为视为违规操作,进行风险告警。
智能预警
平台对事前、事中、事后的高危风险事件、操作进行主动预警,通过页面动态的图形呈现,让安全管理人员能够第一时间发现安全风险位置,做到防患于未然。
追踪溯源
平台通过对用户操作的行为分析、趋势分析,并对用户操作的记录进行事中审计,当风险事件发生后,可通过事件串联,将用户操作的整个事件链进行还原回放,为事后追踪溯源提供可靠保障。
本文摘编自炼石网络《2022数据安全产业洞察报告》 V1.0.1,全文下载请看下篇。
一条评论