数据安全治理解决方案V4.1.pptx

1、数据安全治理解决方案专 注 安 全Focus on security专 注 性 能 Focus on performance植 根 业 务 From business高 性 能 安 全 引 擎 High performance security engine全流量智能引擎Full traffic smart engine1.背景及挑战2.解决方案3.未来展望优势数据安全治理解决方案31.1合规监管要求数据安全治理解决方案1.背景及挑战外因外因监管合规要求内因内因数据安全治理遵从国家，行业及国际相关法律法规要求，严格落实数据安全合规要求，以通用措施和新技术安全措施为基础，以重要数据和个人隐私保护

2、为核心，建立数据安全防护体系架构从业务和数据识别入手，对数据进行分类分级，对数据保护现状和风险进行评估，制定数据全生命周期安全策略，推动数据安全策略持续优化，推动数据安全治理体系有效落地。对数据全生命周期的属性，状态，流转，风险进行实时监测，对数据安全态势进行分析和呈现，为数据安全运行管理提供支撑，协助企业提升数据效能，支撑企业卓越运营。运营运营数据价值4行业监管要求银监发商业银行业务连续性监管指引 银监发2011104号银监会商业银行数据中心监管指引银监会商业银行数据中心监管指引银监会商业银行信息科技风险管理指引证券行业协会证券公司证券营业部信息技术指引保监会保险业信息系统灾难恢复管理指引电

3、监会国家处置电网大面积停电事件应急预案民航业民用航空重要信息系统灾难备份与恢复管理规范电信业电信网和互联网灾难备份及恢复实施指南国家标准规范国家标准信息安全技术信息系统灾难恢复规范GB/T 20988-2007国家标准公共安全业务连续性管理体系要求 GB/T 30146国家标准信息安全等级保护管理办法中华人民共和国网络安全法中华人民共和国数据安全法国家法律1.1外因：合规监管要求数据安全治理解决方案1.背景及挑战5由于缺乏专业训练、粗心大意，而错误使用了某个数据，造成了不好的结果.数据误用由于防护措施不足或失控，造成数据被不应知悉人员知悉或者被内外部人员攻击造成数据外泄.数据泄漏由于未经用户许

4、可，对收集到的数据扩大化的使用.数据滥用1)错综复杂的数据如何分类分级并进行安全管控？2)敏感数据对外展示与提供增加了安全风险，如何限制？3)海量的数据，如何识别并监控数据的流向和分布？4)与监管、同行、合作方多渠道数据交换如何保证安全？5)海量数据交互与使用，如何智能分析和定位、溯源非法获取和使用敏感数据行为？6)大量引进外包与外资服务，如何保证外包与合作过程中的数据安全与自主可控？7)对外合作与国际化趋势加剧，数据出境如何保证安全？8)个人隐私的保护监管越来越受到重视，如何保证个人信息的安全，获得客户信任？9)数据多层级、多系统、多角色使用、提取，如何防止在内部的敏感数据泄露？10)如何总

5、体监控和测量数据安全管理的绩效，并积极改进？1.2内因：风险分析数据安全治理解决方案1.背景及挑战6数据事件频发国内外数据安全事件频发，危害巨大。2018年8月某银行员工泄露客户信息 被终身禁止从事银行业工作。法规逐步健全网络安全法个人信息保护法（立法规划）儿童个人信息网络保护规定GDPR监管日趋严格网信办公安部中国人民银行银保监会1.3运营风险数据安全治理解决方案1.背景及挑战020103数据共享时敏感数据防泄漏数据安全数据安全挑战挑战业务中台数据中台新平台新应用新技术业务上云信息交换新的中台技术需要新的安全技术新的应用创新技术需要数据安全保障1.背景及挑战2.解决方案3.未来展望优势数据安

6、全治理解决方案82.1设计思路服务生产：数据全生命周期，数据流转精准可视、安全可控；服务运维&管理：技管结合，数据资产清晰明了，管理维护精准高效。数据合规数据采集数据传输数据存储数据使用数据共享数据销毁数据发现数据发现数据台账数据台账/地图地图分类分级分类分级溯源认证溯源认证采集审计采集审计通道安全通道安全鉴权认证鉴权认证操作审计操作审计访问控制访问控制容灾备份容灾备份安全审计安全审计认证鉴权认证鉴权数据脱敏数据脱敏授权审计授权审计监控预警监控预警态势感知态势感知安全交换安全交换数据脱敏数据脱敏防泄漏防泄漏监控审计监控审计数据水印数据水印历史审计历史审计数据销毁数据销毁痕迹发现痕迹发现数据安全

7、治理解决方案1.解决方案92.2 解决方案全局概览模型画像智能分析+能力展示多维矩阵引擎数据安全治理解决方案2.解决方案数据处理数据使用数据采集数据销毁数据传输数据存储数据生命周期状态检测与审计引擎水印引擎用户行为关联模型态势预测模型风险操作检测模型自学习检测模型特征提取算法规则深度学习算法关联分析算法规则匹配算法机器学习算法雷达引擎溯源引擎数据控制引擎脱敏引擎加密引擎威胁防护数据监测风险预警态势预测响应处置数据画像102.3 数据雷达引擎数据资产梳理数据分类分级、分布状况应用、主机访问数据库状态数据库访问账号、IP梳理账号权限梳理和风险发现数据库账号梳理数据资产梳理数据扫描分类分级数据库账号

8、梳理全流量智能分析关联分析数据源流量抓取元数据抽样数据流数据敏感信息敏感词规则组合敏感数据自动识别任务输出数据安全治理解决方案2.解决方案结构化数据非结构化数据审计引擎控制引擎脱敏引擎雷达引擎加密引擎11支持对数据资产进行分类分级、梳理标识，提供数据资产变化趋势统计、安全评估建议。自动识别敏感数据的类型、地图分布数据资产定位敏感数据识别数据资产标识数据风险评估定期扫描数据库、分析访问热度、识别新数据标识数据资产信息，建立数据资产台账；敏感数据存储、使用合规性检测、暗数据发现OracleMySSQLDB20204032111718224229208199242229财务个人客户生产业务品管506

9、0708090100敏感重要普通050100150中文姓名手机号码身份证号中文地址银行卡号11138704723数据资产梳理大数据组件通用数据库2.4 数据雷达引擎能力数据安全治理解决方案1.解决方案审计引擎控制引擎脱敏引擎雷达引擎加密引擎12全方位、多层次、细粒度审计，资产及轨迹尽在掌控敏感数据保护，偏离就告警应用数据审计数据库APP/Web服务器用户DBA系统维护人员开发测试人员数据分析人员SQL注入、跨站攻击、恶意后门.脱敏数据库权限过高权限滥用误操作导出明文数据 2.5 审计引擎数据安全治理解决方案2.解决方案审计引擎控制引擎脱敏引擎雷达引擎加密引擎13连续处理能力：2万10万SQL/

10、s。日志检索速度：1min，1亿记录，带通配符模糊检索。高效日志存储机制：30亿-100亿条SQL/TB。高性能双向审计绑定变量审计删改留痕审计三层、四层审计全面审计用户行为轨迹呈现安全趋势审计报告报表自定义完美的报表及展现 硬件零拷贝技术 多级缓存技术 基于BigTable和MapReduct的存储：基于倒排索引的检索 部署灵活、扩展方便高技术堡垒审计引擎控制引擎脱敏引擎雷达引擎加密引擎2.6 审计引擎能力数据安全治理解决方案2.解决方案14审计引擎控制引擎脱敏引擎雷达引擎加密引擎2.7 控制引擎数据安全治理解决方案2.解决方案串联数据库防护旁路数据库防护敏感数据普通数据违规人员第三方代维人

11、员内部运维人员业务人员业务系统第三方工具假冒应用精细化控制规则强制访问控制漏洞规则库攻击规则库模式灵活切换通过SQL或NoSQL特征描述注入类型的访问行为SQL注入是通过多个特征的组合进行的描述系统提供自带的SQL注入特征库用户可以根据需要扩展SQL注入特征描述拦截基于数据库漏洞的攻击避免为了修复漏洞而升级系统导致的问题支持漏洞的防护规则识别漏洞入侵特征，如缓冲区溢出、权限提升、游标注15020103漏洞风险管控防止外部黑客攻击，窃取数据；防止SQL注入、缓冲区溢出、权限盗用等风险；严格限制数据服务访问控制权限验证人员数据管控防止内部人员泄密、违规备份、权限滥用、误操作等；防止运维人员和第三方

12、人员违规访问敏感数据。权限管控高级功能：精细化的语句级访问控制规则规则自学习：自动特征建模内置漏洞库和攻击规则库价值体现：性能领先，充分保障客户数据库运行性能全方位多层次细粒度访问控制，专注保护客户数据库安全智能学习功能，自动特征建模，减轻客户管理工作压力审计引擎控制引擎脱敏引擎雷达引擎加密引擎2.8 控制引擎能力数据安全治理解决方案2.解决方案16敏感数据自动发现和动静态脱敏处理，保障数据可用不可见敏感数据自动发现实时/批量漂白处理开发测试、信息共享抑制泛化随机扰乱身份证号电话号码地址银行卡号出生日期姓名动/静态脱敏李某某320926*276186*1234处理后的隐私数据2.9 脱敏引擎数

13、据安全治理解决方案2.解决方案审计引擎控制引擎脱敏引擎雷达引擎加密引擎17数据库中原始数据6227-1010-1351-3469部分授权用户模糊化后数据6227-XXXX-XXXX-34696227-XXXX-XXXX-1774模糊化后数据3451-2238-8975-23214545-2313-4585-2287非授权用户A非授权用户B动态脱敏数据库中原始数据6227-1010-1351-34696227-1012-2463-1774业务数据库控制总量内容遮蔽内容改写静态脱敏模糊化后数据6227-XXXX-XXXX-34696227-XXXX-XXXX-1774模糊化后数据3451-2238

14、-8975-23214545-2313-4585-2287运维区开发/测试/培训区审计引擎控制引擎脱敏引擎雷达引擎加密引擎2.10 脱敏引擎能力数据安全治理解决方案2.解决方案让谁看，看什么，我做主18数据库存储值+a8Y/vMhHD3Ed.kSkTx6Z6tBKRToPV.返回结果1徐三330702197108020812返回结果2+a8Y/vMhHD3Ed.kSkTx6Z6tBKRToPV.授权用户透明访问行级加密国密支持密文索引独立权限数据库数据库加密明文返回授权访问硬件销毁/维修黑客拖库2.11 加密引擎数据安全治理解决方案2.解决方案审计引擎控制引擎脱敏引擎雷达引擎加密引擎192.1

15、2 数据安全运营数据安全治理解决方案2.解决方案结构化数据非结构化数据态势报表实时告警状态监控性能监控 合规审计数据行为：特权账号 网络攻击越权访问DDL操作DCL操作DML操作其他操作复杂语句操作业务环境：传统环境云环境虚拟化环境大数据环境三层架构环境工控系统环境互联网+环境202.13数据安全运营可视化数据安全治理解决方案2.解决方案21服务中心终端用户数据分析/治理/运维开发/测试库数据中心ETL服务内部办公区原始库加密引擎脱敏引擎脱敏引擎访问控制引擎访问控制引擎审计引擎脱敏引擎脱敏引擎应用审计引擎安全域ORACLE/MSSQL/MYSQL/.非非结结构构化化管管控控隐私数据总控平台隐私

16、数据总控平台隐私数据总控平台隐私数据总控平台大数据，大数据，AI,AI,分析平台分析平台引擎工具箱引擎工具箱（各类隐私数据处理引擎）（各类隐私数据处理引擎）管理展示服务管理展示服务应用审计引擎2.10 行业典型应用全景数据安全治理解决方案2.解决方案222.9 典型应用价值高敏数据的识别与保护高敏数据的识别与保护：基于国际和行业最佳实践，协助行业建立正式数据分类分：基于国际和行业最佳实践，协助行业建立正式数据分类分级管理机制，满足数据管控要求。级管理机制，满足数据管控要求。违规操作的取证与追责违规操作的取证与追责：通过对异常数据操作行为进行持续监测，对高风险行为进：通过对异常数据操作行为进行持

17、续监测，对高风险行为进行识别与预警。行识别与预警。高敏数据识别数据审计数据访问控制数据脱敏数据加密数据引擎矩阵模型画像智能分析用户行为关联模型态势预测模型风险操作检测模型自学习检测模型特征提取算法深度学习算法关联分析算法规则匹配算法机器学习算法数据日志风险日志访问日志 流量探针操作日志访问控制日志威胁防护数据监测风险预警态势预测响应处置日志采集核心功能数据资产发现用户行为分析数据溯源多维矩阵引擎数据处理数据使用数据采集数据销毁数据传输数据存储数据生命周期数据合规要求数据质量提升数据资产台账数据运营数据资产梳理数据分类数据定级数据操作审计数据脱敏数据访问控制用户行为分析数据溯源高敏数据保护违规

18、取证数据安全治理解决方案2.解决方案1.背景及挑战2.解决方案3.未来展望及优势全流量智能引擎解决方案243.1未来展望数据安全治理解决方案3.未来展望及优势 管理模块资产管理接口管理告警配置系统管理数据雷达状态监控数据脱敏数据水印其它能力单元数据库审计联动联防人工智能、关联分析模块数据使用态势评估系统安全态势预测系统数据资产评估总体安全态势数据资产态势风险态势攻击态势未知威胁态势数据可视化模块数据采集模块数据采集数据扫描数据分类分级数据标签元数据元数据数据上报策略下发用户管理权限管理 实现数据安全控制中台：扫描数据库中的原始数据或者从第三方同步元数据，生成“元数据”库，以元数据为基础生成进行

19、分类分级、数据标签，形成数据安全治理的关键技术控制点。规则管理模块数据分类分级系统数据特征库管理系统数据安全规则管理系统模型管理25安全评估体系设计动态运营现状梳理现状梳理3.2优势市场优势市场优势国家立法“数据安全法”，市场空间巨大；行业数据分级分类要求（例如：金融数据安全 数据安全分级指南JR/T 01972020）产品同类竞争稀缺；产品满足目前等保、行业规范要求；产品容器化设计，多种型号+模块适配不同用户场景需求；数据治理咨询+数据安全产品全方位服务数据安全治理解决方案3.未来展望及优势 技术优势：技术优势：软件设计采用先进容器架构设计，独立硬件环境可是配多个功能模块，例如：数据雷达+数据安全态势引擎=数据安全安全检测；采用先进核心算法，保障产品处理能力以及稳定性；人机界面搭配算法规则减少交付压力；稳定研发团队（底层驱动、前端、算法、UI），保障产品迭代更新；先进架构+标准化接口模块保障数据的开放性；THANKS272.4 架构概览数据源数据安全治理解决方案2.解决方案