随着《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》和《信息安全技术 个人信息安全规范》等相关法律法规的颁布,国家数据安全提升到了一个更高的层次。
同时,由于个人隐私信息的泄露和滥用给公民生活造成了极大的困扰和损失,公民对个人隐私信息保护的诉求也越来越强烈。
作为企业数据使用和运营的主体,在数字化转型中,数据已经成为重要的生产要素。目前,企业的核心数据仍然存储在数据库中。企业的快速发展对核心业务数据的安全性有着内在的迫切需求,同时也面临着外部监管、个人隐私保护等合规的刚性需求。数据库作为企业核心数据存储的最重要主体,应该如何做好数据库安全底线防护及安全合规建设?
01
背景分析
既然要做数据库的安全保护和合规建设,首先要从第一性原理的角度来理解什么是数据库。
数据库的定义:
1.保存数据的仓库
2.数据的有效应用
作为从定义1:,的数据仓库,企业的大多数核心业务数据库不可避免地会涉及敏感数据;
从定义2:数据的有效应用:数据库为应用服务。如果数据库本身存在潜在的安全风险(如被攻击、破坏、篡改等。),必然会影响业务的可用性、连续性和完整性。
同时,《网络安全法》 《数据安全法》 《个人信息保护法》 《等级保护2.0》等法规明确提出:数据库安全审计、数据库安全保护、敏感数据脱敏;
因此,数据库安全建设的要求主要包括以下几个方面:
1、数据库本身的安全(保障可用性、完整性、连续性)
2、敏感数据安全
3、安全合规建设
02
风险分析
1风险维度分析
从数据库的定义和场景来看,它主要面临来自“人”和”应用”.的安全风险
人的维度主要会面临如:黑客攻击、第三方人员、管理人员、运维、开发、测试等相关潜在风险;
应用的维度主要会面临如:应用系统本身、终端、共享交换等潜在的安全风险。
2风险场景分析
从数据库的基本使用场景出发,面对来自人和应用层面的安全风险,数据库主要面临以下重要风险场景:
1.数据库操作行为,尤其是风险操作,无法监控、审计和预警。
2、外部攻击,通过防火墙,窃取内部数据
3.办公室终端操作员非法访问和输出敏感数据。
4.运维管理人员未经授权访问敏感数据。
5.运维管理人员的高风险操作数据库
6.数据共享导致的敏感数据泄露
03
解决方案
总体方案
通过界面或功能集成,使专业人员:
数据库安全防护(攻击预防、访问控制、WEB应用脱敏、动态数据脱敏、静态数据脱敏)。
数据库安全监测(风险行为监控、敏感数据监控、安全审计、风险预警)核心能力单元,实现数据应用、数据共享、开发测试、运维管理等场景下的数据安全保护。
风险场景能力应对
关于数据库的各类重要风险场景,昂凯科技有针对性的技术能力和产品,所有产品都支持连接和合成操作,形成整体的数据库安全基础解决方案。
数据库有哪些安全需求5.jpg">各能力单元介绍
A.数据库安全监测(数据库审计)
对用户访问数据库操作行为、访问敏感数据的操作行为进行可视化的安全监测、分析和汇总,为用户提供事故追根溯源的电子证据,同时提供高效查询审计记录能力,快速定位事件原因,做到“事前预防+事中防范+事后取证”的立体防御效果。
B. 数据库安全共享(数据脱敏)
通过对生产库的数据进行敏感数据识别、抽取、通过遮蔽、替换、随机等技术手段完成数据脱敏和去隐私化后,给到非生产环境(开发、测试、分析、共享等)进行使用,满足等保合规、防止敏感数据泄露。
C.Web 页面实时脱敏(web动态脱敏)
通过代理模式(部署在客户端应用系统之间),对敏感信息通过脱敏算法对进行数据的变形,实现应用系统实时使用等动态环境下敏感隐私数据的可靠保护。
D.攻击防护-权限控制(数据库防火墙)
强力抵抗外部入侵、内部违规操作,消除数据库操作风险,具备攻击、SQL注入、拖库撞库等风险行为的模型分析、具备虚拟补丁、独立的增强身份认证等特性,可解决来源于数据库应用侧和运维侧两方面的安全操作问题,实现对数据库访问行为的控制,风险行为综合安全防护。
04
方案价值
1、保障业务安全
有效防止内外部风险、保障数据库综合安全,保障业务的安全、完整、连续性。
2、防止数据泄露
能有效防止数据泄露,保障敏感数据安全,防止因数据泄露带来的重大损失。
3、扩大数据使用范围,提升数据价值
通过有效的安全共享技术,提升数据共享和使用范围,有效提升数据的价值。
4、满足安全合规建设
支撑客户在数据库安全建设方面满足等级保护、数据安全等安全合规要求。
05
生态合作价值
对于OA、CRM、财务等企业信息系统提供商,无论是来自于合规建设需要、还是客户本身的数据库安全诉求,都可以通过集成昂楷数据库安全底座解决方案,不仅可以满足来自监管合规、客户数据安全需求,还能提升产品的特性,实现差异化竞争。
