数据安全解决方案

1. 背景

数据,作为企业核心资产,越来越受到企业的关注,一旦发生非法访问、数据篡改、数据盗取,将给企业带来巨大损失。数据库作为数据的核心载体,其安全性就更加重要。

随着《企业内部控制基本规范》的发布,反映了合规/审计要求越来越多,对数据库中的信息安全也越来越重视。合规/审计对于IT系统的核心要求在于对提供准确无误的数据、及时的数据处理,确保审计流程、提供符合审计要求的报表等。而传统的审计对于IT系统往往通过检查数据库/应用系统日志的方式进行。面对海量的日志数据,这种方法既耗费大量的人力,又不能准确、及时的处理这些日志信息,从而无法满足合规/审计的需求。

2. 面临问题

面对数据安全问题,企业常常遇到以下主要挑战:

数据库/数据仓库被恶意访问、攻击、甚至遭到数据偷窃,不能及时地发现这些恶意的操作,更不能及时地追踪并堵截这些恶意操作;遭受恶意攻击、访问后,不能追踪到足够的证据;

不了解数据使用者对数据的访问细节,不能保证对数据安全的管理。例如:谁在什么时间通过什么设备对什么数据做了什么操作;

无法对企业内部数据使用问题进行有效的管理,如职责分工不明确导致特权用户恶意修改配置、改变或盗取数据。例如:数据库管理员权责没有完全区分开,数据库管理和审计原始数据的收集实际上都是由DBA来做的,这就导致了DBA的权责不明确,DBA没办法客观审计自己所做的工作,尽管用户设置了信息安全审计人员,但该角色的审计工作的部分证据建立在DBA初步审计基础上,导致审计效果与可靠性存问题;

无法做到审计的持续性和完整性。用户审计目前主要是针对数据库、应用系统日志做审计,这些日志内容非常庞大,审计工作只能做事后分析,不仅分析时间长,而且不能对所有日志数据进行细致的审计;

数据节点和任务节点有可能被仿冒,存在冒充客户端提交作业的风险。

3. 解决方案

针对数据安全与合规性暴露的问题,赛思股份推出了DataGuarder数据安全解决方案。DataGuarder从五方面对数据进行全面的保护:

弱点定位

使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策略。这些策略将确保只有授权用户才能浏览和/或更改敏感信息。同样,还可以将敏感信息搜寻设为定期执行,从而防止出现欺诈服务器,并确保不会“遗忘”任何关键信息。

事前防范

DataGuarder扫描整个数据库架构,查找漏洞,并使用实时和历史数据提供持续的数据库安全状态评估。

事中报警

通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行为,同时抵挡欺诈用户或外来者的攻击。该解决方案可由信息安全专员维护,而无需数据库管理员(DBA) 的参与。对非法或异常行为作出积极主动的回应。基于策略的措施包括实时安全告警(SMTP、SNMP、Syslog);拦截(通过TCP重置或在线数据层防火墙技术);完整记录;和自定义措施,如帐户自动锁定、VPN端口关闭和IDS/IPS系统联动处理。

事后审计

创建一个覆盖所有数据库活动的连续、详细的追踪记录,并进行实时的语境分析和过滤,从而实现主动控制,生成审计员需要的具体信息。生成的结果报表使所有数据库活动详细可见,如登录失败、权限升级、计划变更、在非规定时间或来自非法程序的访问、敏感数据表访问等,这些活动是否合规一览无余。

数据加密

对报文敏感信息进行识别,并进行加解密。接入系统的节点必须是已经在DataGuarder中注册,并持有密钥的设备;进行数据操作时,需要核对密钥,密钥不匹配的将直接决绝访问,并报警。数据在网络中传输采用安全加密传输方式,确保节点与数据的安全。

赛思DataGuarder数据安全系统部署示意图如下所示:

赛思DataGuarder数据安全系统包括三部分组件:安全管理系统SMS,安全探针SPR,安全网卡SNC。其中安全管理系统SMS是系统的管理组件,对部署在节点上的安全探针SPR和安全网卡SNC进行控制,完成节点安全、任务审计管理和敏感信息加密等工作,并提供WEB UI界面,供管理和运维人员使用。安全探针SPR对安全中间件(SMW,加解密黑盒)进行管理,识别和捕获数据访问的报文信息。安全网卡SNC可直接代替受控节点的网卡,用于识别并加密报文中的敏感信息,支持Hadoop、Oracle、Mysql、impala、Hive、SPARKSQL主流数据库、数据仓库访问语义的初步解析。

4. 方案特点

赛思股份数据安全解决方案通过网络数据采集、分析、识别,实时监控网络中数据库/数据仓库的所有访问操作。实现数据操作的内容检测识别,发现违规操作行为,能够及时报警响应,进行阻断。实现了安全事件的全程跟踪定位,能够还原数据操作的全过程,全面保障了数据的安全。做到了管用分离,确保非法用户进不去、进去了能管得住、没管住的也拿不走。

主要特点如下:

高透明:敏感信息加密对业务系统是透明,业务系统不接触加密算法和密钥。

全方位:节点、任务、数据三个层次管控。

无依赖:数据访问审计不依赖系统日志。

易部署:采用Web UI ,支持跨中心部署,支持组件自动发现。

总部电话:86-010-82270056   传真:86-010-82075018

总部地址:北京市朝阳区霞光里8号承冀诚大厦二层

南京地址:南京市江宁区将军大道迎翠路7号中关村产业园301室      

精品课程

企业服务

合作培训机构

关于赛思信安

招贤纳士

联系我们