1、需求背景
根据国家市场监督管理总局和中国国家标准化管理委员会在2019年8月30日共同发布的数据安全能力成熟度模型(GB/T 37988-2019),将数据安全生存周期过程域分为了六大过程,即“数据采集安全”、“数据传输安全”、“数据存储安全”、“数据处理安全”、“数据交换安全”、“数据销毁安全”等,为企业和数据安全厂商的数据安全能力建设提供了指导,以数据安全分级为基础,建立覆盖数据生命周期全过程的安全防护体系,并通过建立健全数据安全组织架构和明确信息系统运维环节中的数据安全需求,全面加强业机构数据安全保护能力。数据生命周期安全防护要求是数据生命周期安全框架的核心,针对不同安全级别的数据,明确其在采集、传输、存储、处理、交换和销毁等数据生命周期各个环节的安全防护要求,是企业机构开展数据安全防护工作的基本依据。结合数据业务规则及数据特点,建立覆盖数据生命周期全过程的安全防护机制,是企业机构数据安全防护工作的重中之重,也是确保数据安全的必经之路。
2、解决方案
结合企业的实际数据安全需求,鸿数科技规划了涵盖整个数据安全周期的解决方案,提供全方位的解决方案,包括“敏感数据识别”、“数据分类分级”、“数据防泄漏DLP”、“数据库透明加解密”、“数据备份与恢复”、“静态数据脱敏”、“运维侧动态脱敏”、“应用侧动态脱敏”、“数据安全网关”、“数据水印溯源”、“大数据平台安全”、“数据库安全审计”等数据安全技术体系,在安全技术体系上层组装了一体化安全管控平台,包括“隐私数据保护管理平台”、“数据安全管控平台”、“测试数据自助管理平台”、“测试数据合成平台”。
2.1 数据采集
2.1.1 敏感数据发现
完成敏感数据的识别是敏感数据保护的第一步也是最重要的一步,只有知道敏感数据的存放位置、形态、业务范畴和应用场景,才能合理的、差异化的制订敏感信息保护策略。敏感数据的自动发现主要依托于敏感发现规则,实时掌握敏感数据情况,对敏感级别高的数据进行加密或脱敏处理。敏感发现规则可按照敏感数据类型制订,也可以按实际的业务情况进行自定义设置。此外,还可以通过添加定时扫描任务对指定的数据库级别、schema级别或者表级别的数据源定期进行扫描,避免因表结构的修改而遗漏敏感字段,并根据扫描情况生成敏感信息扫描报告。
为了解决上述问题,我们建立了自动化敏感数据发现平台:
2.1.2 数据分类分级
数据是国家基础性战略资源,明确数据安全保护对象,对企业数据资产进行分类分级,对不同级别数据采取差异化防护措施。数据分类分级是数据采集阶段的基础工作,也是整个数据安全生命周期中最基础的工作,它是数据安全防护和管理中各种策略制定、制度落实的依据和附着点。
数据分类更多的是从业务的角度去梳理所有的企业数据,明确知道哪些数据或者字段属于哪些业务范畴,数据分级更多的是从满足监管要求的角度出发,确定数据的敏感等级,例如政务的数据有的保密等级低,有的保密等级高,有的可公开,有的不可公开等等,可以根据数据敏感等级的不同采用差异化的数据保护策略。
平台提供数据分级的入口,支持各行业机构按照行业标准或者实际业务情况确定数据分级方法,示例如下:
2.2 数据传输
数据传输是指业机构将数据从一个实体发送到另一个实体的过程,存在数据传输中断、篡改、伪造及窃取等安全风险。数据传输涉及与业机构相关联的全通信网络架构和通信方式,按照传输模式(见附录B),可分为企业机构内部数据传输、企业机构与外部机构或客户的数据传输两种形式,不同传输形式和不同传输对象采用的数据传输技术方式也不同。数据传输安全要求如下:
采取措施加强数据传输过程中的网络和数据安全,满足以下基本要求:
2.3 数据存储
2.3.1 数据库加密
“拖库”是目前常见的一种越过网络防护,绕开权控体系,直接复制文件块并异地还原解析数据库的攻击方式,想要避免由于“拖库”导致的敏感数据泄露,需要采用存储层的加密技术,确保敏感信息一旦落盘,必须密文存储。采用透明加密的方式,基于列、表、表空间等多种可选维度的加密配置,实现敏感数据存储时为密文,业务访问时的数据为明文。整个加解密的过程对业务是透明的,无需应用改造即可在不影响业务功能实现和逻辑的基础上,实现数据存储安全防护。
2.3.2 数据备份与恢复
只要发生数据传输、数据存储和数据交换就有可能产生数据故障,常见的数据故障包括磁盘损坏、人为误删操作、黑客攻击、自然灾害等等。这时如果没有正确地采取数据备份和恢复措施,就会造成数据的丢失,甚至会带来无法估量的损失,数据备份恢复则是防止主动性攻最基础且最有效的防护措施。
可以根据系统数据的重要性、数据库的大小、资源充足性等多个方面综合考虑对数据库进行分类,不同的类别采用不同的备份策略,并定期进行恢复演练,确保备份文件的可用性、核对数据的一致性等等。
对于重要且数据量不太大的数据库,采用每天闲时全量备份策略。
对于重要且数据量大的数据库,采用全量备份结合增量备份的方式。
对于更新量小的基础配置库,可每周一次全量备份。
对于以上任意一种备份策略都必须保留两份及以上备份文件,在资源充足的条件下也可采用第三方备份管理工具,将备份镜像保存在异地服务器实现异地容灾。同时应该做好历史数据管理,将部分数据量大的数据库分为业务库和历史报表库,并采取差异化的备份策略。
2.4 数据处理
2.4.1 动态数据脱敏
动态脱敏可实现在业务系统、运维工具、开发人员与生产数据库之间的交互过程中,在用户请求敏感数据时,根据不同的角色和用户权限匹配不同的脱敏策略,基于脱敏算法对SQL进行改写,将改写后的SQL发送给生产数据库进行处理,最终将脱敏后的数据发送给前端页面。同时对于越权访问行为,直接进行阻断。采用代理网关的模式,通过提供代理服务器,应用访问数据库的连接串改成代理服务器的IP、端口即可。
2.4.2 静态数据脱敏
静态数据脱敏是在数据的处理过程中,根据用户的身份和分类分级信息对发现的敏感数据,例如政务核心系统的业务数据、用户个人信息等,根据配置好的脱敏策略进行变形、转换等,并保留原有数据的数据特征、数据关联性、业务关联性等的过程。可以选用通用的策略模板,也可以按照实际的业务需求灵活配置自定义的脱敏规则,然后将数据批量抽取到内存依据脱敏策略对数据进行脱敏。脱敏过程中可以对脱敏任务进行实时监控,并预览脱敏效果,最终将去标识化的数据导入到指定的目标环境。在数据处理阶段,主要应用于开发测试场景。
平台支持常见的关系型数据库、分布式数据库、国产化数据库、大数据和文件等多样化的数据源,支持库-库,库-文件,文件-库,文件-文件多种脱敏场景。采用同一脱敏策略时,能保证不同表、不同库、不同平台、不同字符集间的数据脱敏结果一致,仍然保持数据关联性,充分保证测试数据的质量。
2.4.3 态势感知
态势感知是融合了大数据分析技术、可视化技术等,提供在数据处理的过程中实时监测并展示数据安全风险态势的能力,主要包含的作用如下:
2.4.4 数据库防火墙
数据库防火墙是部署在数据库前端的基于数据库协议解析而实现对数据库访问、数据使用的安全防护,可以有效的检测和阻断外部攻击行为、批量数据泄露,全面防御撞库、SQL注入等恶意攻击。
2.4.5 数据库审计
数据库审计是通过对网络流量中的数据库协议进行解析,对其中的SQL语句和语法进行提取分析,实现对数据库操作行为的实时监测,根据预先设置的策略进行预警。可以有效的监督和监测系统内部用户的行为,防止政府敏感数据或者重要的加密资料外泄。在用户行为发生后,通过对日志数据的收集、积累和分析,能够发现系统内部用户的异常行为,并及时提醒审计人员。
全面的协议解析:能够精准审计DDL、DML、DCL及其它各种数据库操作;审计的内容包括库、表、记录、用户、存储过程、函数、预编译语句、变量绑定值、客户端工具、长SQL语句等,另外提供SQL语句翻译能力,帮助非技术人员快速了解数据库访问情况。
精准定位:通过操作时间、操作SQL语句、客户端信息、数据库信息、应用层信息、对象信息、响应信息等一系列信息进行智能自动关联分析,从而追踪到具体人。
丰富的风险策略:系统不仅内置了十多种高风险策略,用户还可以根据用户需求灵活添加自定义风险策略,可以指定策略的生效时间、SQL操作类型、客户端工具、表、字段、关键字等信息。
用户行为建模:通过SQL词法语法分析技术,经过一定周期的自学习,最终输出用户行为模型。当遇到不在用户行为模型的操作会实时产生告警。
海量数据处理:具有海量事件处理和存储的能力,快速分析与检索,全方位满足等、分保检查中的审计项要求,自动生成符合检查要求的审计报表。
数据库性能评估:提供实时的数据库运行状态监控,智能发现数据库的访问量、用户并发量、失败SQL语句、高频SQL语句以及慢SQL语句并进行专项的界面分析,提供专业的性能诊断分析,帮助用户优化数据库性能。
2.5 数据交换
2.5.1 数据安全网关
数据安全网关根据不同的数据使用场景,提供差异化的数据共享目录,相关安全角色可对分发的数据流程分别进行合规审核及安全策略设置,系统提供API共享资源池和数据文件下载,以及相应的全流程跟踪能力,可一次性或周期性分发数据给一个或多个接收者,对分发的数据文件进行水印后列入安全共享文件清单,以备对泄漏的数据文件进行事后的溯源和定责。
数据共享目录管理:系统按照业务/管理条线、业务系统分别创建和管理共享目录和子目录,以及导入需要共享的库表资源对象。支持共享目录授权,用户通过数据共享目录可以访问授权范围内哪些资源是可共享的,方便后续数据访问申请。
数据共享流程管理:系统提供数据访问申请流程,用户通过数据共享目录查找需要访问的数据资源和访问策略,包括访问的SQL、分发方式(API或文件)、访问的IP白名单、访问的频次(一次性、周期性)、访问的有效期等,用户提交数据访问申请先经过审批员审核批准,再经过管理员配置相关安全访问策略,包括是否脱敏、是否加密、是否加水印等策略,待管理员启用访问接口后,用户可通过API访问数据或者下载数据文件,保证数据访问合规。
API数据安全共享:API数据共享是从安全角度考虑,管控外部应用访问数据源数据。管控思路是根据查询SQL定义API数据返回,并以接口形式对外提供数据服务。
文件数据安全共享:文件数据共享是从安全角度考虑,管控外部应用访问数据源数据。管控思路是根据查询SQL定义数据返回,并以文件下载形式对外提供数据服务。
数据水印稽核:数据水印稽核是对已经被泄漏的数据进行验证,通过对水印的校验和核查,追溯数据泄漏的源头和责任人。
2.5.2 数据水印
数据水印是将特定的信息嵌入到数据中,保障数据真实性和完整性的同时在数据在发生泄漏时,能够提取水印信息并追踪至责任人,达到事后安全保护的目的。解决了数据泄露后无法追踪、难以定责、难以避免再发生的问题。
方案收益