【案例】政务大数据平台数据安全解决方案

2020-03-19 10:38:49 文/信息化观察网 作者/ 信息化观察网 最新资讯

数据安全作为大数据平台安全保障体系的重要组成部分,在提供业务便利性的同时,对大数据平台安全保障体系的落实起着重要的作用。数据安全解决方案,应立足于数据全程的保护,降低数据运行过程中的风险,保证数据在存储、传输和运行过程中的安全。

数据安全作为大数据平台安全保障体系的重要组成部分,在提供业务便利性的同时,对大数据平台安全保障体系的落实起着重要的作用。数据安全解决方案,应立足于数据全程的保护,降低数据运行过程中的风险,保证数据在存储、传输和运行过程中的安全。

某部委大数据平台数据安全解决方案,围绕数据的全生命周期安全进行设计和实施,通过建设数据资产安全管控系统,对数据资产的分布、流动进行态势呈现,对数据安全风险进行建模分析,对数据泄露、滥用、误用等情况进行追踪溯源,实现对数据安全的设备进行协同处理。

数据安全解决方案目标

大数据平台数据安全解决方案的目标是提升在应用层、数据资源层、网络层和基础平台层等各个层面上的数据安全纵深防御能力,保障数据和服务的可靠性、可用性、真实性、有效性和私密性。

通过建设数据资产安全管控系统,对数据资产的分布、流动进行态势呈现,对数据安全风险进行建模分析,对数据泄露、滥用、误用等情况进行追踪溯源,实现对数据安全的设备进行协同处理。

数据安全解决方案实施步骤:两步一平台。

第一步:数据安全管理咨询与数据资产梳理

数据安全合规分析

数据安全风险分析

数据安全管理制度

数据资产梳理

数据资产动态梳理

第二步:数据资产安全管控

数据授权与访问控制

数据存储安全

数据共享与分发安全

网络与终端数据防泄漏

一平台:是指建立数据资产安全管控平台

数据安全管控平台用于集中管理数据安全产品,可提供全网数据安全产品实时状况的监控、报警、报表信息的集中展现、各系统“一窗式”运维管理、系统的快速定位,以及高安全冗余备用方案。

数据安全解决方案中体现的主要能力

1、数据资产梳理

数据资产梳理,从业务战略和风险分析出发,对数据资产进行梳理,进行分类分级,确定数据优先级后再结合数据风险制定安全管理策略,并将其贯彻到数据全生命周期。数据资产梳理的对象又分为结构化数据梳理和非结构化数据梳理。

2、数据授权与访问控制

针对结构化政务数据使用安全,使用数据安全网关进行数据级的访问控制,同时引入数据审计系统和数据库运维系统,对于数据库操作进行全程监控和告警,同时提供事后现场还原和追溯的能力。

数据库安全网关能够实现对进出数据库的双向访问流量进行高效精准的解析、访问控制和攻击特征检测,根据系统内置的各种漏洞攻击特征、策略以及自定义策略,可以实时的对数据库的请求进行精准处理。

数据库审计系统能够将访问数据库(包括传统数据库和大数据组件如Hbase,MongoDB,ElasticSearch等)的流量导流或复制到数据库审计系统上,通过对访问数据库的数据包进行解析,对业界主流数据库进行深度解析与审计分析,可以实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

数据库运维系统能够实现数据库运维人员通过访问统一路径来实现原有分散运维带来的管理与技术风险。能够通过数据库运维系统,对周期性的数据库运维操作和突发性的数据库运维操作都能遵循事先设定好的安全策略。避免越权访问、误操作等情况的发生。

3、数据存储安全

数据库透明加密系统能够通过加密算法和密钥将明文转变为密文,防止明文存储引起的数据内部泄密、高权限用户的数据窃取,并防止敏感数据泄漏等。

(1)满足数字资产等级化的安全防护要求,有选择性的保护数据库内部敏感数据的安全性,通过在数据库管理系统的内核中嵌入自主研发的安全防护系统,通过字段级别的加密来达到对敏感数据的防护目的;

(2)敏感数据以乱码的形式存在,保证存储介质丢失和数据库文件被非法复制的情况下,数据的机密性;

(3)通过授权实现访问控制,非授权用户(包含DBA)查看到的数据为空或者乱码,从而在一定程度上削弱DBA的权利,降低DBA权限外泄带来的危险;

4、数据共享与分发安全

通过制定脱敏规则及策略进行数据的变形,实现数据库中敏感信息的可靠保护,进而满足生产数据面向测试、开发、培训和数据共享场景的数据安全需求。

能够支持静态脱敏和动态脱敏两种模式,支持替换、截断、屏蔽、随机、加密、隐藏等脱敏算法和策略,支持删除、编辑等高危操作禁止,限制返回行数等动态访问控制策略。能够解决大多数用户针对合规性满足以及敏感数据泄露防护等场景的业务需求。

5、网络与终端数据防泄漏

网络数据防泄漏能够通过正则表达式、数据标识符、数据指纹、机器学习等 方式自动识别、发现外泄敏感数据。网络数据防泄露网关主要用于旁路安装在网络出口处,通过监听网络数据,识别数据分类并形成风险事件上传至安全运营管理中心。

终端数据泄露系统主要用于安装在员工笔记本或台式机上,负责扫面发现这些终端上敏感数据,并监视这些终端上敏感数据的操作使用,对于高风险数据的复制、USB拷贝、打印刻录等行为进行风险提醒和阻断保护。

6、数据资产安全管控平台

数据资产安全管控平台用于集中管理数据安全产品,可提供全网数据安全产品实时状况的监控、报警、报表信息的集中展现、各系统“一窗式”运维管理、系统的快速定位,以及高安全冗余备用方案。为信息部门领导提供及时、全面、准确的全网数据安全管理的量化分析和数据安全的决策依据。

免责声明:凡注明为其它来源的信息均转自其它平台,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。联系邮箱:leixiao@infoobs.com