数据库防护服务
1、建立管理能力和基础监测防护能力2、建立全面数据安全运营体系3、服务类型:(1)数据库安全治理(2)数据库加密脱敏一、痛点说明:数据孤岛:结构和非结构化数据分布在不同的系统中;场景多样:存储、使用、协作、共享;云、内网、终端;策略冲突:每个产品需要单独配置策略,漏洞不可避免;运
- 数据库安全管控,数据库安全治理,数据库分级分类
一、痛点说明:
数据孤岛:结构和非结构化数据分布在不同的系统中;
场景多样:存储、使用、协作、共享;云、内网、终端;
策略冲突:每个产品需要单独配置策略,漏洞不可避免;
运维复杂:客户安全管理需专业人员,投入大量人工;
二、特点展示:
1、能力融合
整合数据安全:加密、脱敏、审计、防火墙等能力,并实施统一的安全策略和管理:数据资产自动发现,分级分类,共享敏感数据标准和特征库。
2、一体管控
全面的数据类型:支持结构化和非结构化数据统一管理 统一认证,账户管理、授权管理、安全审计,多个管理界面合一,降低部署及运维难度。
3、AI赋能
结构化数据识别引擎 敏感数据识别与发现 基于大数据分析的安全大脑(敏感数据识别、UEBA) 数据安全态势感知
三、场景:
1、统一管理平台首先通过资产梳理,确定核心数据分布,针对不同的分类分级进行加密及脱敏保护,通过数据库审计产品,能够实时发现、识别、针对数据库的安全威胁,实现数据库访问行为记录和可疑行为审计,通过数据库防火墙产品实现高危操作阻断,为用户业务稳定和数据安全保驾护航。
2、敏感数据发现、识别以及分类分级,文件内容识别和监控,策略响应与数据防护,审查敏感信息访问
四、数据资产管理
1、数据资产发现
很多大型组织的内部信息化系统通常涉及数百个应用系统,背后有近千个数据库做支撑,如政务、能源、金融行业等,往往存在着数据库数量不清,数据库中敏感数据分布不明,敏感数据访问权限不详等情况,需要资产识别工具将数据库信息理清,例如了解每个数据库在被哪个应用、哪些部门管理,敏感数据分布在哪个数据库、哪些表中、高权限账号的使用情况等,理清后才能客观分析,对资产进行价值评估和实施相应的保护措施。
(1)数据库发现:基于网络嗅探技术,可自动寻找发现网络环境中存在的数据库。
(2)敏感数据发现:基于特征匹配的敏感数据探测技术,可自动梳理数据库中敏感数据分布。
(3)数据库账户发现:基于数据库扫描技术,可自动发现数据库中账户权限分布情况。
2、敏感数据发现
关键数据库中通常包括成千上百个表和列,要保护其中的核心数据资产,首先要了解核心数据资产的分布。数据资产平台提供敏感数据探测功能,根据敏感数据特征模型,扫描数据库的表和列,自动识别数据库中的敏感数据。
(1)支持识别常规敏感数据:客户信息、交易信息等,例如身份证、地址、电话号码、邮件地址、银行账号、信用卡号。
(2)支持识别特殊敏感数据:具有企业、行业的业务特点的敏感数据,例如配方、供应商等。
(3)识别到的敏感数据生成“敏感数据分布报告”,格式请参考下表:
DATABASE(数据库) SCHEMA(数据库用户) TABLE(表) SEGMENT
(字段) 数据类型 字段敏感类别
db01 user01 table01 name 中文姓名 特殊敏感
db01 user01 table01 id 身份证 一般敏感
db01 user01 table01 address 中文地址 一般敏感
db01 user01 table01 bkcardid 银行卡号 一般敏感
db02 user02 table02 info 非敏感
db03 user03 table03 peifang 配方信息 特殊敏感
db04 user04 table04 supply 供货商 特殊敏感
db05 user05 table05 非敏感
3、数据分级分类
数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法,依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类,可以全面清晰地厘清数据资产,对数据资产实现规范化管理,并有利于数据的维护和扩充。数据分类为数据分级管理奠定基础。
数据分级是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别。数据分级有助于行业机构根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性。
从隐私安全与保护成本的角度出发,具体等级定义可分为以下几种:
(1)敏感数据:通过该类数据可直接识别特定用户,是与用户生活紧密相关的数据。
(2)重要数据:通过该类数据可以得知产品商业价值等,是需谨慎使用的用户相关数据、产品核心数据。
(3)一般数据:支撑业务逻辑及运行的数据,通过统计、分级、加工不会对用户或公司利益产生影响。
数据资产平台帮助企业实现数据分类分级管理,帮助行业机构厘清数据资产、确定数据重要性和敏感度。通过分类分级可以有针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。
数据资产平台可以结合人工对敏感数据进行分类和等级划分,便于用户根据不同需要对数据资产进行重点防护。
4、数据库弱口令扫描
数据库弱口令是指账号口令的安全强度不符合安全性要求,例如口令“000000”很容易被破解。
数据资产管理平台支持弱口令的安全评估,提供1万多个口令爆破库,堆弱口令进行快速检测。
(1)丰富的弱口令字典库比对,即时展现不安全的口令设置
(2)基于各种主流数据库口令生成规则,实现口令匹配扫描,规避基于数据库登录的用户锁定问题和效率问题;提供基于字典库,基于规则,基于穷举的多种模式实现弱口令检测;提供2000 万弱口令字典库,兼容CSDN口令库。
(3)提供国产数据库两种弱口令扫描方式
(4)授权弱口令扫描:提供数据库用户、密码,全新扫描方式急速、安全。
(5)非授权弱口令扫描:无数据库权限,也能够扫描。
(6)综合多种扫描策略
(7)包括70万海量弱口令字典、自定义弱口令字典、用户名相关弱口令、按长度和字符暴力破解。
5、数据库账号权限梳理
数据资产管理平台对数据库账户的权限进行梳理,自动发现数据库中账户权限分布情况,监控权限变化,并定期检查数据库权限是否满足最小授权原则。提供用户维度和对象维度的数据库账户权限梳理。
(1)用户维度:可以监控数据库中的用户的启用状态、权限划分、角色归属等基本信息。
(2)对象维度:能够对数据库中的对象可被哪些用户访问的情况进行归纳总结,特别是对包含了敏感列的表或者敏感度评分较高的对象,可以着重监测其访问权限划分情况。
(3)对于信息安全政策要求严格的单位,数据资产平台采用持续的数据库权限状况监控功能,突破传统产品仅作为数据库安全检查工具的限制,能有效体现用户变更状况,权限变更状况等安全状况,建立安全基线,实现安全变化状况报告与分析和定性与定量结合的评估模型。
6、敏感数据访问梳理
目前很多企业缺乏对业务系统中的大量敏感信息使用情况的监控,尤其是内部数据库维护人员、第三方厂商维护人员都有可能被他人利用,借助自己的职权,通过窃取敏感数据卖给第三方从而获得经济利益,这些行为都将直接影响企业的信誉度,所以动态监控敏感数据访问源、访问路径、访问行为成为企业一重大难题。
通过访问流量SQL解析技术,数据资产平台动态监控应用侧、内部运维侧及开发测试的访问行为,对访问敏感数据的频次进行热度分析,尤其是个人信息、企业信息、信誉信息等敏感数据的访问情况,帮助企业对管理资产的访问源、访问路径、访问行为进行动态监控,有助于安全部门更清晰了解内部人员日常如何使用数据,被谁管理和维护。根据动态梳理的结果可针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制。
敏感数据的使用监控是指针对应用系统运行、开发测试、对外数据传输和前后台操作等使用环节,根据定义的敏感数据使用规则对数据的流转、 存储与使用进行监控,及时发现违规行为并进行下一步处理,具体如下:
(1)访问源:对访问数据库、访问敏感数据的数据库用户、应用信息、主机信息、客户端IP地址等访问源进行统计分析,根据分析结果绘制数据库的日常访问拓扑图。
(2)数据流向分析:持续监控数据库敏感数据使用情况,为用户动态梳理敏感数据被哪些人、哪些业务系统、通过何种途径、在什么时间所访问,并汇总动态梳理结果,形成敏感数据流向图。
(3)访问行为:对访问数据库、访问敏感数据的操作行为如SELECT、DML、DCL、DDL等类型的操作统计分析。
(4)访问热度:对访问数据库、访问敏感数据的日常访问流量和频次进行统计分析并绘制热度分析统计图。
(5)静默资产:按周期统计各业务系统资产中的访问频次低或无任何访问的数据库、对象(表、视图、存储过程、函数)。
7数据库资产评估
数据库资产是有价值的,业务对资产对依赖程度越高,资产价值就越大。资产价值越大,原则上则其面临的风险越大,决定数据资产价值高低的往往是数据的重要程度和数据占比。
资产价值评分要素包括敏感数据的类型、敏感表占比和敏感数据量级三部分,可以从表总量、字段总量、敏感表/敏感字段、敏感表行数、敏感数据量占比、敏感数据类型等级、敏感数据类型占比中等因素中分析得出。
全部用户
商品定价
商品价格=订购区间数量1*区间规格单价1+订购区间数量2*区间规格单价2。
举例:通话费率为不超过3分钟的部分按0.3元/分钟,超过3分钟的部分按0.2元/分钟;如果用户通话8分钟,收取的费用为3*0.3+5*0.2=1.9元。
商品价格=订购数量*数量所属区间单价。
举例:通话费率为不超过3分钟则0.3元/分钟,若超过3分钟则0.2元/分钟;如果用户通话2分钟,收取的费用为2*0.3=0.6元;如果用户通话8分钟,收取的费用为8*0.2=1.6元。
商品价格=订购数量*单价。
商品价格为页面呈现价格。