数安风向 | 数据安全治理为什么难以落地?实践指南来了!

山石网科数据安全治理平台

落地路径大解密

《岩谈》第5期——数据安全专刊

“码”上掌握,数安新风向

  

山石视点:上期“数安风向”专栏——《数安风向 | 高效又合规,一个平台即可开展全生命周期的数据安全防护》中我们向大家介绍了山石网科数据安全综合治理平台的四大特性:数据资产可视化、安全能力集中化、运营分析体系化、制度流程标准化。那么,山石网科数据安全综合治理平台是如何实现这四大特性的呢?本期我们将向大家一一解密平台的能力落地路径

山石网科数据安全治理平台(Data Security Governance Platform,简称DSGP)是一款为数据安全治理工作提供数据资产可视化、安全能力集中化、运营分析体系化、制度流程标准化的支撑平台,可全面梳理和盘点组织内数据资产,对数据全生命周期实施安全保障,集中化管理数据安全防控策略,有效监测数据使用、流转及共享过程中的安全态势及风险,为用户提供面向数据全生命周期及业务场景的数据安全治理解决方案。

 

一、数据资产可视

对数据进行全盘梳理,全方位、多维度展现数据资产现状,包含数据资产数量、敏感类型分布、访问权限等,形成数据资产台账;可基于业务场景和行业标准制定相应数据分类分级规则,形成数据分类分级清单。

1、数据源类型

支持数据库、文件系统、大数据组件多种数据源形式。数据库类型支持Oracle、SQL Server、MySQL、Db2、Sybase、PostgreSQL、达梦、南大通用、人大金仓、GaussDB、MariaDB、Elasticsearch、Cache、Hbase、KADB,文件系统支持FTP、NFS、Samba等类型,大数据组件支持Hive、MongoDB、GreenPlum等。

2、数据源自动发现

提供根据IP端口支持定期、定时自动搜索发现网络内数据库或大数据组件或文件系统,支持快速扫描和精准扫描两种模式。扫描结果以可视化的方式展示出已存在的数据库或文件系统相关信息。

3、数据源管理

数据源管理模块可通过自动化方式扫描用户的数据库表,建立全局的数据资源目录,数据源添加方式支持手动添加、批量添加、从发现结果中添加;可以实时监控数据源的连接状态;对数据源进行分组管理以及支持将数据源与业务系统进行绑定,还可将数据源信息进行批量导出。

4、敏感数据资产发现

平台提供数据资产发现和识别服务,通过对分布在数据源中的各类业务数据提供自动化梳理服务自动化扫描和采集数据所在的物理位置、逻辑位置、存储格式、状态等多维属性信息,平台利用数据资产分析模型,进行分析、归纳、统计获得完整的数据资产分布拓扑、数据资产目录、敏感数据分布地图、敏感数据访问热点分布、数据资产访问权限管理实现数据资产安全防护动态管理。

5、数据架构扫描

支持定期、定时对数据库或文件系统进行架构信息扫描,获取数据库信息包括模式(库)、表、列(字段)等元数据信息,以及主键、外键、索引、约束、函数、存储过程、触发器、序列、同义词等数据库对象信息,文件系统包括的信息主要有目录、文件、列(字段),通过这些架构信息,能够绘制出完整的数据结构关系图表,快速发现并理解现有的数据结构且支持将数据结构信息导出。

6、账号权限扫描

能够定时、定期执行对数据库的账户进行扫描,获取其角色、对象等相关权限信息。可以直观的展示账户所拥有的权限,支持查看每个账户的角色、系统权限、表权限、视图权限、存储过程权限;支持查看账户角色变更情况,支持重点展示敏感表的账户权限划分情况,也可以统计图表的方式展示账户、权限、角色分布情况;定位账户所拥有的高风险权限,便于对数据库账户进行管理。

7、数据分类分级

数据分类分级主要用于维护数据类别标签及数据风险等级。支持自定义数据类别标签及数据风险等级,支持分类分级标签的自动标记或手动标记。数据资产分级是指按照数据资产的敏感等级(密级),对数据进行划分归类的操作,也可以根据所管理的数据资产的特点,定制分级标签。数据资产分类是指用户可以给数据资产打上分类标签,让原本无法直接理解的数据,变得可阅读、易理解。

8、数据资产台账

以直观的方式展示系统在指定环境中扫描到的数据资产的所有信息,全面掌握数据资产的存储位置、资产目录结构、分级标签、分类标签,敏感特性项等信息。支持快速检索查看或者导出关注的资产信息,支持以资产目录的维度,将资产的分类分级特征项的标记结果导出;支持以分类目录、分级目录的维度,将资产的分类分级特征项的标记结果导出;

9、数据流向管理

支持基于数据流向的分类分级标签自动标记功能,分类分级标签跟随数据流转,也可对数据资产的流向进行直观展示,可以清晰洞察数据在不同资产模块间的流转情况,准确定位数据资产的位置,持续跟踪数据资产动向。

10、数据资产地图

支持综合盘点数据源分布、资产分类分级分布、敏感资产分布等情况展示,以大屏的方式直观的展示风险类型、 威胁来源、综合风险趋势、安全事件等统计信息。构建知识图谱、数据资产全貌等,让数据生动形象起来,连接数据和应用场景,辅助管理决策。

二、安全能力集中

通过统一的界面对数据安全节点如数据库审计、数据库防火墙、数据脱敏等进行统一管理,统一策略下发,统一日志上报,同时对于安全节点的运行连接状态、设备启用状态、持续时间、资源使用率、防护数据库数量、数据库类型分布、数据库访问日志统计、风险日志统计等进行实时监控,帮助安全人员及时掌握全网设备安全状况,实现对敏感信息的监管和风险预警,一旦出现安全风险及时通知管理员。

三、运营分析体系

面向数据资产生命周期进行全流程监管,及时发现违规操作并进行告警和阻断;同时对数据资产进行全盘态势感知,预知潜在风险,进行主动性防御。

1、数据资产整体态势

数据资产整体态势是从宏观可视化层面对数据资产分布、敏感数据流转、敏感数据使用、数据泄露事件。数据风险等状态和未来趋势、数据源使用状态和趋势、数据访问权限变化趋势、高危操作活动状态和趋势、数据库安全漏洞分布态势、数据泄露源和目标分布、违规和数据安全威胁量统计等全量信息。

2、数据库风险态势分析

以风险事件为中心,展现数据库整体的风险情况。包括风险类型分布、数据库风险趋势、威胁来源、威胁目标、风险行为统计、风险事件等级等态势信息。展现数据库的总访问量和资产分布情况,针对于数据库状态异常、利用数据库漏洞攻击、高危操作等实时通知管理员。

3、安全事件追溯取证

能够针对关系型数据库和非关系型数据库进行数据安全分析、敏感数据访问行为监测和数据泄露行为预警溯源;能够为用户提供稳定可靠的事后追溯依据和来源。

4、分析处置

基于大数据技术的全文检索引擎,能够对系统日志、告警日志等全维度日志进行检索;能够对告警信息、风险分析进行钻取、能够对安全事件进行上下文回放,并能够对告警信息进行处置。

5、安全设备监控

通过统一界面对数据安全设备运行连接状态、设备启用状态、持续时间、资源使用率、防护数据库数量、数据库类型分布、数据库访问日志统计、风险日志统计等进行实时监控。

6、日志采集

支持通过多种途径收集数据安全产品的安全日志、告警信息,包括但不限于HTTP、Syslog、API、SNMP接口等。

7、日志报表

提供丰富报表展示,系统提供整体安全态势的综合报表等。支持丰富的图表类型,包括直方、曲线、面积和饼图及三维数据的图表。

四、制度流程标准

通过预置并持续更新的数据安全行业标准,结合数据安全管理运维电子化流程,让数据资产基于分类分级按需防护,有效支撑数据安全治理服务配套落地