摘要: 随着《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》和《信息安全技术 个人信息安全规范》等相关法律法规相继出台,国家对数据安全提升到了更高的层面。同时,因个人隐私信息的泄露、滥用对公民生活造成极大的困扰和损失,公民对个人隐私...
随着《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》和《信息安全技术 个人信息安全规范》等相关法律法规相继出台,国家对数据安全提升到了更高的层面。
同时,因个人隐私信息的泄露、滥用对公民生活造成极大的困扰和损失,公民对个人隐私信息保护的诉求变得越来越强烈。
企业作为数据使用和运营的主体,在数字化转型中,数据已成为重要的生产要素,当前企业最核心的数据仍然存储在数据库中。企业快速发展对核心业务数据安全有着内在迫切需求,同时面临外部监管、个人隐私保护等合规性刚性诉求。数据库作为企业核心数据存储的最重要主体,应该如何做好数据库安全底线防护及安全合规建设?
01 背景分析
既然要做数据库的安全防护和合规建设,首先我们用第一性原理的角度来认识下什么是数据库。
数据库的定义:
1、 保管数据的仓库
2、 数据的有效应用
从定义1:作为保管数据的仓库,企业大部分的核心业务数据库必然会涉及敏感数据;
从定义2:数据的有效应用:数据库是为应用服务的,如果数据库本身存在安全隐患(被攻击、被破坏、被篡改等),必然对业务的可用性、连续性、完整性造成影响。
同时《网络安全法》《数据安全法》《个人信息保护法》《等级保护2.0》等法规明确提出:数据库安全审计、数据库安全防护、敏感数据脱敏;
所以数据库安全建设需求主要有以下几个方面:
1、数据库本身的安全(保障可用性、完整性、连续性)
2、敏感数据安全
3、安全合规建设
02 风险分析
1、风险维度分析
从数据库的定义和场景来看,主要面临来自于“人”和”应用”的安全风险
人的维度主要会面临如:黑客攻击、第三方人员、管理人员、运维、开发、测试等相关的潜在风险;
应用的维度主要会面临如:应用系统本身、终端、共享交换等潜在的安全风险
2、风险场景分析
从数据库的基础使用场景,以及面临来自人和应用维度的安全风险,数据库主要面临以下重要风险场景:
1、数据库操作行为,尤其是风险操作无法监控、审计和预警
2、外部攻击,穿过防火墙,窃取内部数据
3、办公终端业务操作人员违规访问、导出敏感数据
4、运维管理人员越权访问敏感数据
5、运维管理人员高危操作数据库
6、数据共享导致的敏感数据泄露
03 解决方案
总体方案 ✦
通过接口或能力集成,具备专业的:
数据库安全防护(攻击防护、访问权限控制、WEB应用脱敏、动态数据脱敏、静态数据脱敏)。
数据库安全监测(风险行为监测、敏感数据监测、安全审计、风险预警)核心能力单元,实现数据在应用、数据共享、开发测试、运维管理等场景下的数据安全防护。
风险场景能力应对 ✦
关于数据库的各类重要风险场景,昂楷科技都有相针对性的技术能力和产品,并且各产品之间支持关联打通,合成作战,形成整体数据库安全底座解决方案。
各能力单元介绍 ✦
A.数据库安全监测(数据库审计)
对用户访问数据库操作行为、访问敏感数据的操作行为进行可视化的安全监测、分析和汇总,为用户提供事故追根溯源的电子证据,同时提供高效查询审计记录能力,快速定位事件原因,做到“事前预防+事中防范+事后取证”的立体防御效果。
B. 数据库安全共享(数据脱敏)
通过对生产库的数据进行敏感数据识别、抽取、通过遮蔽、替换、随机等技术手段完成数据脱敏和去隐私化后,给到非生产环境(开发、测试、分析、共享等)进行使用,满足等保合规、防止敏感数据泄露。
C.Web 页面实时脱敏(web动态脱敏)
通过代理模式(部署在客户端应用系统之间),对敏感信息通过脱敏算法对进行数据的变形,实现应用系统实时使用等动态环境下敏感隐私数据的可靠保护。
D.攻击防护-权限控制(数据库防火墙)
强力抵抗外部入侵、内部违规操作,消除数据库操作风险,具备攻击、SQL注入、拖库撞库等风险行为的模型分析、具备虚拟补丁、独立的增强身份认证等特性,可解决来源于数据库应用侧和运维侧两方面的安全操作问题,实现对数据库访问行为的控制,风险行为综合安全防护。
04 方案价值
1、保障业务安全
有效防止内外部风险、保障数据库综合安全,保障业务的安全、完整、连续性。
2、防止数据泄露
能有效防止数据泄露,保障敏感数据安全,防止因数据泄露带来的重大损失。
3、扩大数据使用范围,提升数据价值
通过有效的安全共享技术,提升数据共享和使用范围,有效提升数据的价值。
4、满足安全合规建设
支撑客户在数据库安全建设方面满足等级保护、数据安全等安全合规要求。
05 生态合作价值
对于OA、CRM、财务等企业信息系统提供商,无论是来自于合规建设需要、还是客户本身的数据库安全诉求,都可以通过集成昂楷数据库安全底座解决方案,不仅可以满足来自监管合规、客户数据安全需求,还能提升产品的特性,实现差异化竞争。