背景

随着数据资产向数据能源的转变,数据资产的价值越来越高,这些价值作为生产动力在不断推动组织、社会向前发展的同时,也成为了黑产的目标,极大的促进了数据窃取及滥用行为的发生,目前针对数据资产的窃取及滥用风险主要集中在以下几点:

数据存储介质风险

数据库做为数据的存储介质,由于其自身的复杂性,不但自身会有安全漏洞,而且在安全维护和配置过程中常常也会因各种因素造成安全漏洞,从而使敏感数据面临风险。

互联网渗透风险

无论任何组织,只要使用了信息化系统,就或多或少的与互联网发生了联系,一旦触网就会给攻击者以可乘之机,例如利用SQL注入等渗透技术对存储在数据库中的数据进行窃取、拷贝、篡改、破坏等行为。

外包及第三方人员权限过大风险

组织内部庞大的信息化系统,无论是开发和运维需求,信息部门往往都无法满足全部需求,所以IT外包变得越来越普遍,这也给组织的核心数据资产造成了泄露风险。

合法人员的非授权访问风险

在组织内部,一些合法的高权限账号,例如数据库的DBA账号也会存在违规操作,甚至恶意操作、数据窃取的安全隐患,例如非授权访问敏感数据、非合法地点访问数据库、运维误操作、高危指令等。

开发、测试系统生产数据泄露风险

开发、测试环境使用未经脱敏的敏感数据,一方面由于开发测试环境的安全性,另一方面由于开发测试人员的复杂性,也会导致敏感数据面临泄露风险。

安全取证困难

一旦发生数据安全事件,不但要求记录完整的数据恶意操作行为,还要能够追踪到操作的应用、账户、时间、地点等,最终追踪到责任人,为安全事件的定责、追责提供可靠的依据。

数据安全纵深防护体系

为解决以上种种数据安全风险,安华金和针对组织的数据安全防护进行了整体设计与规划,形成了纵深数据安全防护体系,保障各类组织机构的核心数据资产安全。

安华金和数据安全纵深防护体系

检查预警

通过数据库安全评估技术,有效检测数据库已知漏洞,例如数据库自身漏洞、弱口令、缺省口令、弱安全策略、权限宽泛、补丁未升级等,并针对检测结果形成综合评估报告给出升级改造及修复建议。

通过动、静态数据资产梳理技术,明晰数据资产存储现状,以及数据资产使用现状,例如敏感数据分布状况、应用数据使用状况、数据维护访问状况等。

主动防御

通过数据库安全防护技术,防御基于互联网的外部攻击行为,例如外部应用高危及未授权访问、SQL 注入、权限或角色的非法提升以及敏感数据非法访问等行为。

通过数据库运维管理技术,对内部运维操作进行细粒度的管控,例如在运维过程中,运维人员只能使用通过审核的账户,在授权的时间、地点、使用经过审核的操作语句对敏感数据进行运维管理。

底线防守

通过数据库加密技术,防止合法人员非授权访问、下载、拷贝敏感数据,防止敏感数据泄露。

通过数据库脱敏技术对生产数据进行脱敏,例如应用于测试、开发、分析,等环境中的敏感数据利用静态脱敏技术进行变形处理;应用于实时访问生产数据的客服场景,对于与业务无关的敏感数据利用动态脱敏技术进行遮蔽处理。

事后追查

采用数据库安全审计技术解决数据安全取证的问题,例如防止高权限用户对审计记录的破坏,以及利用应用关联审计进行精准的数据操作行为定位,为数据安全事件追责、定责提供可靠依据。

安华金和数据安全纵深防护体系是从事前预防,到事中防护,再到事后追查的一个整体的

数据防护体系,最终目标是在实现数据资产价值的同时保障使用中的数据安全。