AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
-
-
數據資產底數不清
數據在哪、有哪些類型、哪些是敏感數據,這些數據的敏感等級分別是什么? 如果不能做到數據分類分級,就沒有明確的保護的目標,無法做到針對安全風險進行有效防護。
-
-
數據庫漏洞
很多數據庫管理員擔心修復數據庫漏洞程序會對他們的數據庫產生業務影響。但是現在,存在漏洞的脆弱數據庫被攻擊的風險非常高。
-
-
特權賬號
特權賬號一般是指root、DBA等超級管理員賬戶,特權賬號一旦保管不當,極易導致數據被惡意篡 改、刪除、批量下載以及惡意提權操作等。
-
-
過度授權
數據庫的授權應當遵循最小權限授予原則,即僅授予滿足用戶需要的最小權限,在數據庫中,如果 進行了不當授權,則極易造成低權限用戶執行本不該屬于該用戶的風險操作行為,帶來不可預估安 全風險。
-
-
開發測試環節數據泄露
隨著業務系統越來越復雜,而開發周期卻越來越短,對開發和測試要求隨之提高。對于業務系統的 性能測試往往需要準備大量的高質量的數據,由于開發測試環境中使用生產數據造成的數據泄露, 在各行各業都時有發生,2014年韓國發生三大發卡行由于開發測試環節泄露信用卡信息,一時轟動全球。
-
-
運維人員篡改拖庫風險
運維人員使用數據庫賬號進行運維管理,該賬號的權限有可能超出實際運維管理所需要的標準。如 果對其缺少訪問行為控制管理,受利益驅動,運維人員可直接篡改交易、竊取敏感數據、甚至直接泄露上億個人隱私信息。
-
-
重要數據明文存儲
由于數據庫的存儲架構中,數據以數據文件的形式明文存儲在操作系統中,由于數據存儲介質遺 失,或者黑客和不懷好意的人直接通過操作系統獲取數據庫文件,都會造成數據大量泄露。
-
-
終端數據泄露風險
通常,信息安全防護體系是由服務器、網絡和終端三個環節組成。在信息安全體系中,最薄弱環節往往是終端安全防護。目前,終端安全防護的技術手段極為有限,終端存在諸多安全隱患,其中最大的問題是終端普遍存在數據泄露風險。
-
-
數據稽核難
監控整個組織中的數據訪問是追查取證的重要手段。一旦無法監視數據操作合規性異常,無法收集數據庫活動的審計詳細信息,這將會造成在數據泄露后無法進行溯源分析,產生嚴重的組織風險,導致定責模糊、取證困難,最后追溯行動不了了之。進而極可能導致二次泄露事件的發生。
-
-
數據泄露無法取證溯源
當組織機構將數據共享、外發給第三方后,由于第三方人員保管不當造成數據泄露時,無法及時通 過定位數據外發人員、外發目標和時間等信息進而確定最終的泄露主體,造成數據泄露事件無法溯 源取證和對安全事件定責。
-
以身份和數據雙中心
-
全面覆蓋立體化防護原則
-
智能化、體系化原則
-
以身份和數據雙中心
保護數據安全的目標之一是防止未經授權的用戶進行數據非法訪問和操作。所以需同時從訪問者"身份"和訪問對象"數據"兩個方向入手,雙管齊下。
零信任:
在沒有經過身份鑒別之前,不信任企業內部和外部的任何人/系統設條,需基于身份認人證和授權,執行以身份為中心的動態訪問控制。
數據分類分級:
聚焦以數據為中心進行安全建設,有針對性的保護高價值數據及業務,數據發現和分類分級是以數據為中小M保護的重要基礎。
-
全面覆蓋立體化防護原則
全生命周期:
橫向上需全面覆蓋數據資源的收集、存儲、加工、使用、提供、交易、公開等行為活動的整個生命周期,采用多種安全工具支撐安全策略的實施。
數據安全態勢感知:
縱向上通過風險評估、數據梳理、訪問監控,大數據分析,進行數據資產價值評平古。數據資產弱點評估、數據資產威脅評估,最終形成數據安全態勢感知。
立體化防護體系:
通過組織、制度、場景、技術、人員等自上而下的落實來構建立體化的數據安全防護體系。
-
智能化、體系化原則
在信息技術和業務環境越來越復雜的當下,僅靠人工方式來運維和管理安全已經捉襟見肘了,人工智能、大數據已經有相 當的成熟度,如UEBA異常行為分析、NLP加持的識別算法、場景化脫敏算法等;同時,僅靠單獨技術措施只能解決單方面 的問題,必須形成體系化的思維,通過能力模塊間的聯動打通,系統形成體系化的整體數據安全防護能力,并持續優化和改進,從而提升整體安全運營和管理的質量和效率。
- 生產區
- 共享開放區
- 應用區
- 測試開發區
- 運維管理區
-
- 數據資產底數不清
解決方案:AiSort基于網絡嗅探技術,充分發現網絡環境中存在的數據庫資產,然后基于深度學習+條件隨機場等Al識別模型算法,依據內置法規、行業標準,進行敏感數據識別和自動分類分級,生成數據資產目錄。同時對數據庫系統用戶權限、弱口令、安全配置基線、安全漏洞和威脅等全方位梳理,進行風險評估。對于分類分級結果可以大屏、圖表等形式進行展現,支持導出及對接其他如數據脫敏、數據安全網關等系統,以實現對敏感數據的進一步安全防護和細粒度管控,讓數據使用及共享做到"有級可循"。
數據庫漏洞
解決方案:AiGate數據安全網關系統使用數據庫虛擬以補丁技術,通討控違數據庫的請求然數,舉型和個數等多種方式結合,防止黑客利用已公開的數據庫安全漏洞攻擊數據庫,對數據庫的安全漏洞起到主動的防御作用,極大的保護了未升級漏洞補丁的數據庫服務器,有效降低了用戶數據篡改和泄露的可能。
特權賬號
解決方案:AiGate數據安全網關系統提供獨立的第三方權控體系,針對持有特權賬號sys、sa、root等用戶的風險操作(如delete、truncate等)進行實時攔截控制并實時告警。同時,也可以通過指定IP范圍、端口等限制數據庫訪問,進而阻斷非法訪問和操作,當運維人員必須進行某些危險性操作或者訪問敏感 數據時,需提交臨時授權工單,由多級安全審批人進行逐級審批后方可進行操作。保障數據操作流程的公開、透明、合規;審批人可靈活地通過系統審批或郵件審批方式進行檢查、審批,保障數據庫側的操作安全。
過度授權
解決方案:AiGate數據安全網關系統通過提供獨立的第三方權控體系能力實現數據庫賬號權限的細粒度管控, 可通過IP、客戶端主機名、操作系統用戶名、客戶端工具名和數據庫賬號等多個維度實現對用戶主體的“身份標記”。使不同的數據庫賬號只擁有能滿足需要的最小權限,從而消除安全隱患,在一定程度上保證數據的安全性。
運維人員篡改拖庫風險
解決方案:AiGate內置通用敏感數據識別算法,可識別Oracle、MySQL、PostgreSQL等數據庫中敏感數據, 通過動態脫敏功能,能有效防止運維人員接觸敏感數據,結合運維審批,大大降低運維環節數據泄露的風險。
重要數據明文存儲
解決方案:AiTDE透明數據庫加密系統基于透明加密技術,實現對數據庫數據加密存儲、訪問增強控制、安全審 計等功能,支持SM2、SM3、SM4等國密算法,功能上加解密操作對數據庫層無感知,對上層業務應用 系統使用及部署無需任何更改,保證敏感數據的機密性、可用性、完整性。
數據稽核難
解決方案:明御數據庫審計系統是一款基于對數據庫傳輸協議深度解析的基礎上進行風險識別和告警通知的 系統,具備對數據庫訪問行為實時審計、對數據庫惡意攻擊、數據庫違規訪問等行為精準識別和告警等能力。數據安全合規風險
解決方案:AiCheck數據安全檢查工具箱包含了數據資產檢查、弱點探查等基礎檢查功能,可根據不同行業的合規要求,通過安全評估實現組織架構、制度流程、第三方管理等合規評估檢查,支持通過擴展的方式,對網絡流量和應用進行內容分析、日志采集,實現數據安全威脅分析及數據泄露檢測。
-
- 數據共享泄露風險(API安全)
解決方案:AiAAS API風險監測系統內置行為風險預警引擎,對數據接口異常流量、用戶異常操作行為、異常數據 調用行為等進行實時監控預警,及時發現賬號共享等違規行為,便于及時對相關賬號操作進行限制、 阻斷,避免安全事件的發生或擴大。支持以數據為維度進行風險監測,可自動繪制API風險鏈路關系, 結合線索關聯排名分析,可推測出可疑的數據泄露路徑,適用于洞察API二次封裝等風險場景。
未授權訪問(API安全)
解決方案:零信任 AiTrust API 代理系統是AiTrust零信任解決方案為API服務提供的控制點,通過對API服務健康狀態的實時檢查,使得API服務在自身盡量無需改造的情況下,實現安全加固,管理員能夠通過統 一的策略對API的訪問控制進行調整;同時,API安全代理網關還提供接口敏感信息識別、API訪問控制、API動態脫敏和API訪問審計等功能。
數據泄露無法取證溯源
解決方案:AiMask數據靜態脫敏系統提供外發數據水印溯源能力,采用獨有的水印溯源算法將含有數據所有者、數據外發對象、生成水印日期等水印信息嵌入原始數據中,當發生外發數據泄露事件時,可對丟失、泄露、外流數據提供水印溯源能力,追溯數據泄露環節,避免內部人員數據外發造成的隱私數據泄 露且無法對事件追溯、定責的難題,提升了數據傳遞的安全性和可溯源能力。
API資產暴露無感知
AiAAS API風險監測系統基于網絡流量解析還原技術,對企業內全量的應用及接口資產進行識別與評 估,識別接口中攜帶的敏感數據,對自身API部署情況進行全面排查,梳理統計API類型、活躍接口數 量、失活接口數量等資產現狀,針對API上線、變更、失活后下線等環節進行實時監控,避免因API安全 管理疏漏等內部因素導致數據泄露、丟失等安全事件。
-
- 賬號安全風險
解決方案:對賬號異常行為的監控、檢測和分析是AiThink用戶與實體行為分析(UEBA)技術的特長,UEBA通過 收集整合全方位、多維度以及用戶上下文等數據信息,進行全局關聯、行為基線分析和群體異常分析, 通過AI機器學習異常檢測算法,可以更深層次地進行賬號安全洞察,迅速識別異常事件。通過對賬號登錄的時間、地點、頻次和操作等異常監控,判斷是否存在如短時間內異地登錄、登錄次數偏離整體基 線、非工作時間上線和靜默賬號的忽然出現等異常活動,溯源分析確認是否存在賬號失陷。另外, AiTrust零信任解決方案,以可信數字身份為基礎,通過持續信任評估、動態訪問控制等核心能力,對 用戶每次的資源訪問請求進行持續動態的安全可信關系評估,從而避免內部人員攻擊事件出現。
數據泄露風險(API安全)
解決方案: AiDLP數據防泄漏系統(網絡)通過對數據資產進行自動聚類分類和特征提取,解決對傳輸中、存儲中、使用中的數據進行檢測,依據預先定義的策略,識別敏感數據,最終實施特定響應。
AiTrust零信任包含TAM身份服務中心、應用代理系統和API代理系統,采用了身份識別、權限識別、 身份傳遞、健康監控、流量管控、通道安全等多項核心技術,通過接管所有API服務訪問請求,實施動 態的訪問者身份識別和權限識別,提供精確到用戶層級的細粒度API調用數據訪問監控審計。例如通 過監控API的調用情況,識別出是否存在敏感數據非法訪問,有針對性地進行API動態脫敏。同時,通 過AiThink收集日志信息進行綜合信任評估,以實施動態訪問控制。
數據泄露風險(網絡&終端)
解決方案:AiDLP數據防泄漏系統(終端)以數據智能識別和發現為基礎,通過授權控制、智能隔離、安全流轉、 審計追溯等手段,保護企業業務系統和終端上的業務數據,保證數據的高效傳輸、分享和交換,解決 終端場景下的敏感數據泄露問題;支持各種類型的PC用戶終端上發現敏感文件,自動化梳理這些敏 感文件的分布,并進一步提供保護。AiDLP數據防泄漏系統(網絡)基于內容識別技術實現數據防泄 漏,一般部署在企業外網出口,對捕獲的數據包進行會話重組與文件恢復后獲取內容,并以內容為核心,通過策略匹配實現外發數據的審計。
API漏洞被利用風險
解決方案:AiAAS API風險監測系統對API、應用資產安全開展實時的、持續的安全評估,包括但不限于認證權限 風險、批量操作風險、暴露面風險、敏感數據未脫敏等風險,覆蓋OWASP API Security Top10 API風 險問題,實時監控接口運行中的單因素認證、接口未鑒權、接口偽脫敏、弱密碼、密碼明文傳輸等脆弱 性問題,全面呈現當前資產的安全問題和數據健康狀態,為后續脆弱性整改提供決策依據。
-
-
開發測試環節數據泄露
解決方案:AiMask數據靜態脫敏系統采用獨有的數據脫敏算法對敏感數據進行去標識化、匿名化處理。支持固 定值替換、置空、亂序、統計特征保留等多種脫敏算法,保證脫敏后的數據在保留原有業務邏輯特征的 同時,具備數據的有效性和可用性。在脫敏過程中,保證整個環節敏感數據不落地,使脫敏后的數據可 以安全的應用于測試、開發和BI分析等場景。
-
-
最終建立數據安全運營,我們的建議是分“六步走”,從咨詢規劃、風險評估、管控加固、威脅檢測、審計溯源、到安全運營,通過PDCA循環,持續優化安全策略、擴展業務場景,讓安全更好地賦能業務。
1.咨詢規劃
Gartner建議,首先要維持業務需求與風險/威脅/合規性之間的平衡關系,包括經營策略、治理、合規、IT策略和風險容忍度。優先對重要數據進行安全治理工作,比如將“數據分類分級”作為整體計劃的第一環,將大大提高數據安全合規治理的效率和投入產出比。當然,這一步僅為可選步驟;當您有明確的安全風險痛點時,可以跳過此步驟直接部署有針對性的安全措施進行管控加固。
2.風險評估
通過自動化檢測工具和調研訪談兩種方式出發,快速、全面檢測梳理各項數據安全風險,如弱口令、API未授權訪問、數據庫暴露在互聯網等。
3.管控加固
對于不同的風險場景,有針對性的部署相應數據安全工具進行管控加固。如通過自動化的數據分類分級工具基于行業模板進行敏感數據識別和分類分級打標,通過靜態脫敏工具對敏感數據進行自動化脫敏,在降低數據敏感程度的同時,最大程度上保留原始數據集所具備的數據內在關聯性等可挖掘價值。
4.威脅檢測
進行管控加固的各類數據安全工具,做為數據安全原子能力/探針,既能解決具體場景化的安全風險,同時也可以互相聯動形成合力;以統一的數據安全管控平臺對各探針進行統一納管、策略打通和態勢感知,實現敏感數據安全防護的生命周期過程全覆蓋。從云網數用端全鏈路的對當前環境進行實時威脅檢測,第一時間洞察異常和風險。
5.審計溯源
數據安全審計可以檢查數據處理活動是否符合組織的安全性和合規性政策,一旦出現數據安全事件,通過審計溯源能夠快速確認問題出現在哪個環節,有利于有針對性地采取更正措施和追究相應責任,從而提高整個數據管理體系的安全性和可信度。
6.常態化數據安全運營
通過風險識別、安全防護、持續檢測、響應處置,IPDR進行可持續改進、閉環管理的常態化安全運營。不斷迭代優化數據安全整體防護能力和效果。
-
2022年12月19日,中共中央、國務院近日印發《關于構建數據基礎制度更好發揮數據要素作用的意見》,從數據產權、流通交易、收益分配、安全治理四個方面提出20條政策舉措,初步搭建了我國數據基礎制度體系,激活數據要素潛能,做強做優做大數字經濟,增強經濟發展新動能,構筑國家競爭新優勢。
由于敏感數據時常發生數據泄露和缺乏有效的安全保障手段,導致數據擁有方都不愿開放和共享數據。究其原因既有缺乏相關法律法規導致的責任認定不清的問題,也有數據安全共享技術的缺失制約了政府部門及企業間數據的開放共享。制約數據要素流通的主要挑戰表現為以下三點: -
