麒麟v10 上部署 TiDB v5.1.2 生产环境优化实践
771
2023-06-30
本文讲了数据安全管理平台,数据安全管理平台更多满足什么安全。
随着企业信息技术广泛、深入地应用,各种先进的网络及应用技术在给企业带来工作和管理高效率的同时,由于网络和计算机系统固有的特性,一方面大大提高了数据与设备的共享性,另一方面却极易造成信息、数据被非法窃取、复制、使用,给涉及国家机密及企业内部敏感数据的安全管理带来了极大地挑战。
在涉密信息系统领域,国家政策以分级保护的强制性测评为重点,对应的信息化建设以防止信息泄露为主,使失泄密事件在信息技术高速发展的信息系统中防患于未然;在非密信息系统领域,国家对信息系统推行分等级保护的政策和行动方兴未艾,信息化的管理维护既要便于应用又要保证系统安全可信。所有这些都离不开安全技术的应用,而其应用的便利性、实效性和可扩展性又是其中的关键。
随着电子信息化建设力度的不断加大,企业越来越多的利用各种应用系统来实现信息的共享和交换,以提高其商务竞争能力和办公效率。在当今这个信息经济时代,除了要能够随时随地获取信息之外,确保信息的机密性和完整性显得更为重要。日益加剧的市场竞争和层出不穷的病毒木马,使得数据的安全性受到极大威胁。
作为专业从事内网安全解决方案的公司,我们密切关注和积极研究用户在各种泄密途径,自主研发的文档安全管理综合平台,采用信息安全行业前沿的、独特的安全防护技术,实现了从物理层到网络层的全方位防护。这是国内目前唯一一套实现整体内网安全防护的解决方案。
功能特点
安全接入
● 终端准入控制
通过802.1x协议认证及网关接入技术控制非法终端访问网络资源。
● 终端身份认证
通过USBKEY+PIN码的强双因子认证技术实现终端登录认证。
桌面管理
●合规检查
不符合合规检查的终端禁止接入网络,合规检查包括:系统补丁、病毒软件, 白名单。
●补丁分发管理
检测系统补丁并做风险分析对高风险补丁强制升级,强化客户端自身健壮性。支持手动和自动补丁升级功能。
●终端安全检查
检测系统密码复杂度、禁止修改IP地址、禁用进程和服务启动、禁止或强制安装应用软件、设置防火墙策略实现对终端端口的访问控制。
●终端运维管理
监测或禁止对注册表的修改、审计文件访问记录、检测端口的开启状态、禁用共享文件夹并可审计共享文件的访问;可实时进行截屏或远程操作。
●终端违规管理
对违规操作的终端做告警提示,并可执行锁定、注销、重启、关机、断网等操作,支持终端消息推送。
外设管理
●外设与端口口管理
管理终端光驱、软驱、红外、蓝牙等各种外设接口,防止用户非法使用。
●移动存储设备控制
对介质进行实名制注册,设定介质的使用范围及使用权限,禁止内部介质外出使用;同时可限制外来介质的使用权限。
●光驱控制
光驱控制分为:禁用、只读、读写三种策略,支持光盘加密并审计对光驱的读写操作记录。
●打印控制
设置打印水印,控制文档打印的次数、页数、份数,打印内容以快照形式上传到管理平台。
●终端资产管理
统计软件、硬件资产,实时统计资产变更状况形成统计报表。
上网管理
●非法外联监控
禁止通过拨号、ADSL、无线上网、以及通过红外、蓝牙、3G网等连接互联网,对违规操作弹出告警、邮件、短信提示。
●上网行为管理
设置网址黑白名单、可监控QQ/MSN等多种即时聊天工具、审计收发邮件正文、附件;并可限制终端网络流量并上报流量记录。
涉密信息检测
●敏感信息检查
可进行全盘或深度搜索计算机上存储或编辑的敏感信息。
●USB使用痕迹检查
检测USB的使用及访问记录,并将检索信息上报到管理平台。
●IE访问检查
检测系统上网记录,并可进行深度检查。
文档管理
●文档加密控制
采用底层驱动技术实现文档透明加解密,不改变用户使用习惯适用于任何文件类型。
●文档流转控制
支持文档授权流转,可设置只读、读写、打印、使用次数及使用时间段控制;
支持跨部门互访控制,同一互访组内的用户对文件有完全访问权限。
●审批流程
支持一级和多级审批流,多级审批可设定是否全部批复;有申请操作时审批端和申请端会自动弹出提示信息。
●文档外出控制
加密文档外出需申请审批,外出的文件可设置只读、读写、使用次数及使用周期权限控制,超出使用权限文件自动销毁。
●文档集中存储
可按类型和路径设定加密文档集中转储到文档服务器端;本地不存储任何加密文档,用户可根据账号登录系统访问所属加密文档。
系统管理
●分级服务器维护
推送一级强制策略分发到下级服务器强制执行,各分级服务器的操作日志统一上报到上级服务器集中管理
●客户端漫游
漫游策略分为强制漫游策略和本地漫游策略,根据服务器策略设置漫游客户端接收不同控制策略
●终端维护
可通过管理端分发文件实现对终端的统一升级;禁止卸载客户端软件,需管理端设置卸载码完成对终端卸载。
应用范围
广泛应用于、军队、涉密单位,及企事业单位,尤其适用于:电子电器、机械制造、通信制造、汽车制造、手机研发、设计院所、金融机构、能源化工等领域。
前言
数据安全平台(DSP)的“前世今生” 请看数据安全平台——DSP
数据安全平台能做什么 请看一文告诉你数据安全平台(DSP)能做什么
DSP是以数据安全为核心的保护方案,以数据发现和数据分类分级为基础,混合了多种技术来实现数据安全防护。例如:数据访问控制,数据脱敏,文件加密等,成熟的DSP也可能包含了数据活动监控和数据风险评估的功能。那么一个合格的数据安全平台产品集成了哪些安全能力单元呢?它的辅助数据安全基础设施有哪些类别?目前发展差距在哪里?本文重点介绍了DSP集成的安全产品(安全技术能力)和差距分析。
1、现阶段DSP发展差距分析
不断发展的数据安全性、合规性和数据共享需求要求组织机构的数据安全领导者具备数据安全运营的理念。
阻碍DSP 发展的重要差距包括:
数据安全孤岛——数据安全孤岛的现状根本无法扩展,也难以进行数字化转型。DSP 实施需要跨数据安全团队、合规人员和安全专家采用协调一致的方法。在某些大型政企机构,这些组织架构、预算流程和职责划分非常详细,DSP落地存在较大阻力。
敏感数据类型精细化识别和控制——大多数DSP业务厂家都具备数据发现功能,但仍然存在很大的差距,因为现有功能在扫描数据库中的数据时,并没有发现真正的敏感数据。例如,如果数据分类工具扫描到一个日期,那么它不知道它是出生日期、交易日期还是报纸文章的日期;敏感数据发现必须由 DSP 产品本地提供,并提供保护敏感数据的能力,例如数据脱敏或数据水印。
缺乏可集成的IT架构——单独的安全设备和云上产品需要迁移到可组合的 DSP 中。各个安全组件以可组合、可扩展、灵活和有弹性的方式部署在合适的地方,而不是每个安全工具都是独立的运行。使用云交付的 DSP 和数据安全即服务 (DSaaS) 提供的组件可能会影响某些业务的正常流程,基于云的部署模型可以显着降低业务系统复杂性、资金投入并提供更多的数据安全控制能力。
数据共享理念落后——安全政策要求保护数据安全,从而限制需要获取数据的员工的访问权限,然而数据只有在业务场景中充分共享时才有价值。在更广泛的共享范围内,需要更全面更先进的数据安全方法,例如 DSP 和数据安全治理。
建设思路落后——数据安全厂商只关注单个数据安全产品的使用周期,而不是将其产品组合重新构建为综合 DSP,缺乏数据安全持续运营的思维。
2、数据安全平台 (DSP)重要能力单元
2.1数据防泄漏 (DLP)
数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
2.2数据分类分级
通过数据梳理工具梳理全网数据资产清单、数据字典、敏感数据,形成知识库;对标行业标准,协助制定适合用户的数据分类分级标准;结合分类分级标准对全网数据资产自动进行类别、级别的识别,形成全网数据的分类分级清单,达到高效率、高准确度的数据资产分类分级。
该领域的大多数安全工具都是基于模式匹配和相对敏感级别来执行此操作的,然后将分类分级的结果记录在数据库中或打上标签对外共享。
2.3数据访问治理
这些产品专注于为非结构化数据实施数据安全访问策略。包含 DAG 的 DSP 通常提供以下安全能力:
数据资产扫描
数据分类分类
数据所有者识别
数据共享的活动监控和审计
部分安全产品能够收集用户和角色权限、敏感数据自动扫描以及监控选定关系型数据的数据库用户活动和配置。
2.4数据访问控制
结构化和非结构化数据的安全问题可以通过多种方式解决,但大多数问题的根源在于对数据的访问。例如,对数据访问的控制不当可能会导致数据泄露或通过勒索软件丢失数据,并且还会使DLP 等其他控制复杂化。此概念适用于结构化和非结构化数据,无论是位于云端还是本地。应该尽可能地实施最小特权原则,身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。
2.5数据活动监控
对审计和事务日志进行审查,从而跟踪各种对数据库操作的行为,主要记录对数据库的操作、对数据库的改变、执行该项操作的人以及其他的属性。这些数据被记录到数据库审计系统独立的平台中,并且具备较高的准确性和完整性。针对数据库活动或状态进行取证检查时,审计可以准确的反馈数据库的各种操作历史,对我们分析数据库的各类正常、异常、违规操作提供证据。
2.6数据脱敏
数据脱敏处理数据后,使其降低敏感级别,从而允许以合规的方式进行对外共享。DSP 将数据脱敏作为一种专用功能或作为标记化功能的一部分包含在内,其中可以将数据打上标签之后将数据脱敏对外使用。
数据静态脱敏系统(SDM)对敏感信息通过脱敏规则进行变形,实现敏感数据的可靠保护。数据静态脱敏系统支持数据库接口、文件接口、FTP方式脱敏。对真实数据进行改造并提供测试使用,脱敏系统具有流程化、自动化和作业复用等特点。
动态数据屏蔽 (DDM) 本质上是一种访问控制。当应用程序或人员访问数据时,DDM 会实时应用脱敏操作。原始数据驻留在数据存储库中,因此,DDM 仅为使用中的数据提供保护。当策略授权时,权限用户可以访问原始数据。相反,未授权访问敏感信息的实体将获得脱敏后的数据。非结构化/半结构化编辑 (USR) 可以通过数据编辑技术保护敏感的非结构化(PDF、Excel 文件、文本文件、日志文件等)和半结构化(XML、JSON 等)内容。
2.7数据风险分析
数据风险分析是一种数据安全方法,专注于数据以更好地配置主动安全措施。例如,数据分类标签、数据访问权限、行为数据以及数据存储的配置或漏洞可用于计算数据风险评分和其他可用于在数据泄露发生之前修复安全漏洞的数据风险指标。
DSP 可以在不同程度上具备数据风险分析能力。例如,部分DSP 有一个大屏展示,其中使用业务厂商自定义的方式计算数据风险,并以颜色区分或使用百分比分数显示。
总结
DSP理论上可以集成业务系统所需的所有安全功能,但是实际执行起来会比较麻烦,今天简单介绍的这几种安全能力单元,每个能力单元都是一个安全防护产品的缩影,后续我会详细介绍每一个产品的技术原理、使用场景、功能特性等内容。只有了解了每一个产品的功能特点和技术规范,你才会对DSP的概念更加深刻,同时数据安全运营的概念也会更加立体,从单个产品到数据安全平台,从技术工具到安全运营,数据安全的全生态场景才逐步向你展示。了解基础产品和相关思想概念之后,数据安全治理才能越做越好!
上文就是小编为大家整理的数据安全管理平台,数据安全管理平台更多满足什么安全。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。