精华内容
下载资源
问答
  • 大数据时代下数据安全面临的挑战 数据安全防护目标和防护体系 数据安全防护管理措施实践方法 数据安全防护技术措施实践方法 数据安全防护典型案例
  • 管理层负责按照策略层确定的管理目标、方针、策略制定组织内部数据安全管理制度规范并执行,负责数据安全防护技术措施的规划建设和落地,指导协助相关业务部门建立数据安全管理的组织体系并执行管理制度规范。...
  • <Insert Picture Here> Oracle数据安全防护解决方案 不能保护数据库安全神马IT系统都是浮云 周意青 高级技术顾问 议程 数据安全的重要意义 <Insert Picture Here> 如何实现全面的数据安全? Oracle的数据安全整体解决...
  • 云计算资源池数据安全防护及保障技术分析论文 随着科技发展云计算极大的促进了业务保障工作的开展由于用户数量不断增多业务也在不断扩大云计算资源池数据安全防护也有迎来了新的发展契机因此本文将从云计算与资源池...
  • 对于目前网络安全日志数据多元异构趋势,本文基于数据融合技术与可视化技术,研究了多源异构网络数据...通过测试表示,此分发方法效果良好,能够实现多元异构网络安全防护,提高使用者对网络安全态势识别与感知的能力。
  • GA∕T 912-2018 信息安全技术 数据泄露防护产品安全技术要求PDF 本标准规定了数据泄露范湖产品的安全功能要求、安全保障要求及等级划分要求。
  • 数据安全防护与治理

    2021-01-22 11:24:26
    五、数据安全产品防护及方案 1、天融信数据安全智能管控平台 (1)产品介绍 (2)​​​​​​​产品特性 (3)客户关注的主要功能​​​​​​​ (4)​​​​​​​客户价值 2、基于国密算法的奥联大数据...

    目录

     

    一、数据安全面临的挑战

    1、数据流转复杂化使得数据泄露风险增大

    2、攻击手段多样化,传统安全技术不足以防护

    3、大数据中的用户个人信息安全问题突出

    二、数据安全治理流程

    三、数据安全治理落地措施

    四、应用内数据保护是企业安全建设重点

    五、数据安全产品防护及方案

    1、天融信数据安全智能管控平台

    (1)产品介绍

    (2)产品特性

    (3)客户关注的主要功能

    (4)​​​​​​​客户价值

    2、基于国密算法的奥联大数据平台安全解决方案

    (1)方案介绍

    (2)主要功能

    (3)优势特色

    (4)核心价值

    3、保旺达信息交换管理系统

    (1)​​​​​​​产品介绍

    (2)​​​​​​​产品特性

    ​​​​​​​(3)产品功能​​​​​​​

    ​​​​​​​(4)核心价值​​​​​​​

    4、绿盟数据安全解决方案

    (1)​​​​​​​产品介绍

    ​​​​​​​(2)数据安全整体建设思路

    5、渔翁信息大数据平台国产商用密码应用方案

    (1)方案介绍

    ​​​​​​​(2)方案要点和策略

    (3)方案特点和价值

    6、美创数据脱敏系统

    (1)产品介绍

    (2)​​​​​​​​​​​​​​产品特性

    (3)​​​​​​​产品功能

    ​​​​​​​(4)核心价值

    7、天空卫士云应用数据安全解决方案

    (1)方案介绍


    • 一、数据安全面临的挑战

    • 1、数据流转复杂化使得数据泄露风险增大

    实施和推进信息系统整合共享等一系列的举措,海量数据资源进一步共享和汇聚,怎样防止数据在使用、流通过程中不被非法复制、传播和篡改等泄露行为的发生,成为又一大挑战。

    • 2、攻击手段多样化,传统安全技术不足以防护

    传统防护体系侧重于单点防护,而大数据环境下的网络攻击手段及攻击程序大量增多,导致出现了许多传统安全防护体系无法应对的问题,企业所面临的风险在不断增加。

    • 3、大数据中的用户个人信息安全问题突出

    在大数据时代,基于大数据对人们状态和行为的预测也是当前面临的主要威胁。如各大购物网站记录人们的购物习惯,然后基于这些数据推测人们的需求,进而进行广告的推送等,这些行为往往会对人们日常生活造成骚扰。因此,如何有效保护个人信息的安全,是大数据时代面临的巨大挑战之一。​​​​​​​​​​​​​​

    • 二、数据安全治理流程

    通过对相关法规标准的梳理,结合实际的业务场景数量,对信息系统中的数据进行安全性分类分级,制定相应的分类分级防护策略、数据安全架构及组织制度保障,形成对数据全生命周期的安全管控,对管控效果定期检查、审计、评估,建立安全组织架构和制度,并将各项安全策略与架构落实到全套安全技术手段和安全服务措施中,从而实现对敏感信息的细粒度、全方位靶向监控,建立有效的数据安全防护体系。

    • 三、数据安全治理落地措施

    数据安全治理落地措施包括基于全生命周期的数据安全防护、检查评估措施和安全服务措施三方面内容。

    • 四、应用内数据保护是企业安全建设重点

    企业安全需求向“聚焦以数据为中心”演进​​​​​​​

    数据与网络(技术栈)是正交的,以网络为中心的安全体系是保证数据安全的前提和基石,而以数据为中心的安全,把数据作为抓手实施安全保护,能够有效增强对数据本身的防护能力,二者是关联、依赖和演进的关系。

    业务应用承载了主要数据共享,是数据安全防护关键抓手

    企业建设的IT架构,包含基础设施、软件平台以及业务应用等不同层,数据持续在不同层之间高效流转,实现互联共享,创造价值。

    数据越往上层,价值点越多。数据在基础设施层时,是没有业务含义的二进制状态;在软件平台时,可表现为各种形式的文件格式;在业务应用层时,数据才具有丰富的上下文和业务含义。

    • 五、数据安全产品防护及方案

    • 1、天融信数据安全智能管控平台

    • (1)​​​​​​​产品介绍

    • (2)​​​​​​​产品特性

    (1)数据资产可视化管理

    可提供多维度的数据资产统计可视化展示。

    (2)数据流向可视化管理

    以动态方式展示数据全生命周期中数据的流转过程,体现数据流的路径。

    (3)数据安全统一管控能力

    可对多种数据安全手段(如数据库安全网关、网络数据防泄漏、终端防泄漏、文档安全管理、数据脱敏、数据安全交换、数据库加密等)进行统一策略管理、事件集中处理能力。

    • (3)客户关注的主要功能​​​​​​​

    数据资产态势:可视化展示数据资产的全景视图。

    数据风险态势:可视化展示数据风险的全景视图。

    数据安全管控:数据安全技术手段的执行管理界面,包含数据安全管控全景图,安全策略中心等。

    数据安全运营:作为数据安全可运营管理模块,主要包括数据安全知识库、数据安全评估等。

    (4)​​​​​​​客户价值

    为用户建立以数据为中心的数据安全监管能力

    通过对用户数据和业务环境以“数据”为视角信息化安全建设,对用户数据进行分类分级保护,重点保护“敏感信息”。

    为用户提供业务数据可视、可管、可防护的能力

    为用户全面掌握全域敏感数据资产分类、分级及分布情况,有效监控敏感数据流转路径和动态流向,实现数据分布、流转、访问过程中的态势呈现和风险识别。

    • 2、基于国密算法的奥联大数据平台安全解决方案

    • (1)方案介绍

    基于国密算法的大数据平台安全解决方案,综合使用SM2、SM3、SM4、SM9算法,主要由大数据安全保护平台和软件密码引擎(SDK)组成,与大数据平台组件集成适配,为大数据平台提供高效的数据加密、数据脱敏、数据共享、鉴权解密等安全服务。

    • (2)主要功能

    数据加密:支持结构化数据加密、非结构化数据加密,支持保留格式加密、仿真加密。

    数据脱敏:支持掩码、截断、替换、偏移、取整等多种脱敏算法。

    数据共享:支持数据共享安全体系,保证共享数据的加密性、可用性和真实性。

    鉴权解密:支持基于用户、时间、数据类型的细颗粒度解密权限控制。

    策略管理:支持图形化的密钥策略、加密策略、脱敏策略、解密策略管理。

    • (3)优势特色

    高效:提供高性能、高并发的数据处理能力,数据处理速度可达500万条/秒。

    易用:支持与大数据组件、国产化数据库兼容适配,基本无需业务改造即可完成安全功能集成。

    合规:相关产品均经过权威机构安全检测认证,满足等保三级、密评三级安全标准要求。

    安全:基于国密SM2、SM3、SM4、SM9等高强度算法,实现数据全流程安全防护,保障大数据安全。

    • (4)核心价值

    大数据平台作为数据的集散地,是政、企单位数据安全保护的重点和难点,一旦发生数据安全事件影响范围极大。本方案充分结合大数据应用场景,提供高效、易用、合规、共享、安全的数据安全服务,防止数据泄露,保障数据资产安全。

    • 3、保旺达信息交换管理系统

    • (1)​​​​​​​产品介绍

    ​​​​​​​

    保旺达公司根据军工行业用户的实际需求,结合自身在信息安全领域的技术积累,建立了以“自动化”“智能化”“流程化”为目标的信息交换管理系统,实现电子文件及介质信息流入、流转、输出全过程的精确控制、安全管控,通过流程审批、网络隔离、打印控制、身份鉴别、自动发送等手段满足军工行业信息交换业务需求。

    • (2)​​​​​​​产品特性

    ​​​​​​​产品特性主要为实现高保真二维码,在文档打印过程中,获取打印机句柄,在句柄上绘制二维码,及自主研发的虚拟打印技术可将打印文档转换成图片打印,转换速度快,运行稳定、转换文件质量高,打印文档清晰。

    • ​​​​​​​(3)产品功能​​​​​​​

    信息交换系统主要包括信息交换管理、打印刻录管理、涉密便携机管理和涉密载体管理四大功能,具体如下:

    可集成邮件、云盘自动下载文件,刻录至光盘;可调用杀毒软件对拷贝的文件进行自动查杀,提供信息交换流程申请、审批,非涉密核查等功能。

    管理文件集中打印刻录、审批、制作过程,自助刷卡打印纸质文档或光盘刻录,载体信息自动归入台账。

    涉密便携机使用时输出载体(纸质、光盘)的闭环管理,及自动开启便携机端口。

    基于信息交换、打印管控、光盘刻录管控三大基础技术,以涉密载体制作请求为起点,实现涉密载体全生命周期监控管理。

    • ​​​​​​​(4)核心价值​​​​​​​

    可控的信息交换管理

    采用流程审批、网络隔离、打印控制等手段严格保证数据流转的安全,缩小涉密文件知悉范围,有效的降低泄密风险。

    提高信息交换效率

    实现电子文件在网络间的自动化收发,减少人工处理的信息交换时间;实现信息交换的全流程管控,记录操作日志,便于审计与分析。

    高效的涉密便携机管理

    实现涉密便携机外出管控策略设置和日志审计核查的自动化,避免出现误操作行为。

    • 4、绿盟数据安全解决方案

    • (1)​​​​​​​产品介绍

    ​​​​​​​

    通过“知”“识”“控”“察”“行”的数据安全治理方法论,从终端数据到网络

    数据,从数据库安全到大数据安全,涵盖数据安全通用过程域和数据安全生命周期各阶段过程域,帮助客户全面了解数据资产安全状况,让数据所有者看得到风险、让数据使用者看得到约束、让服务运营者看得到策略,有效应对数据安全风险与挑战,满足数据安全合规要求,绿盟科技以专业技术保障数据安全,让数据安全建设落地有声。

    • ​​​​​​​(2)数据安全整体建设思路

    • 5、渔翁信息大数据平台国产商用密码应用方案

    • (1)方案介绍

    大数据平台是重要的信息化基础设施,对提升全社会信息化水平、推进“互联网+”服务具有重要作用。渔翁信息大数据平台国产商用密码应用方案围绕“认证、传输、存储、管理”四个维度,对大数据平台开展精准高效防护。

    • ​​​​​​​(2)方案要点和策略

    认证安全。通过采用数字证书认证系统、密钥管理系统、智能密码钥匙、签名验签服务器等软硬件产品,可为大数据业务系统提供包括身份鉴别、可信电子签章等服务。

    传输安全。通过采用国密VPN综合安全网关、服务器密码机等产品,可为大数据平台提供传输通道安全、传输数据安全等服务。

    存储安全。通过采用数据库安全网关产品,可为大数据平台各类业务数据提供数据存储安全服务。

    管理安全。通过采用密码应用态势感知统一管控平台,可实时掌握大数据平台网络安全态势,及时检测密码信息系统的异常状态,及时通报预警大数据平台潜在安全威胁。

    • (3)方案特点和价值

    设备统一管理。通过对密码设备集中统一管控,提升运维工作效率,降低运维成本。

    产品多样选择。方案涉及的各类密码软硬件产品均为渔翁信息自主研发,拥有自主知识产权,且均可灵活选用信创类密码产品,兼容适配国内众多主流CPU、操作系统和数据库,产品稳定可靠。

    满足合规要求。方案设计和实施严格遵循等级保护、密码测评等国家法律法规和行业标准要求,帮助客户满足多方合规要求。

    • 6、美创数据脱敏系统

    • (1)产品介绍

    美创数据脱敏系统是一款面向敏感数据进行数据自动发现、数据脱敏的专业的数据安全脱敏产品。可实现自动化发现源数据中的敏感数据,并对敏感数据按需进行漂白、变形、遮盖等处理,避免敏感信息泄露。同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。

    • (2)​​​​​​​​​​​​​​产品特性

    引入具有创新性的底层和WEB展现技术,保证脱敏后数据的特征、逻辑及各类数据间的一致性、业务性关联,丰富的脱敏功能满足开发测试、数据共享、科学研究、大数据分析等脱敏需求,适用于金融、医疗、通信等数据密集型和信息敏感型行业。

    • (3)​​​​​​​产品功能

    1)敏感数据自动发现

    2)支持国内外各种主流数据库、大数据敏感源、各类格式化文本文件、特殊文本文件

    3)内置高效、丰富的脱敏算法

    4)脱敏过程不落地,不存在中间环节数据泄露风险。

    5)有效保持数据原始特征;保持数据业务规则;保持数据业务关联性

    6)支持广泛的数据脱敏分发方式,支持数据库到数据库、数据库到文件、文件到文件、文件到数据库四种完全不落地的脱敏方式

    7)支持数据水印及溯源。

    • ​​​​​​​(4)核心价值

    1)降低敏感数据泄露风险

    2)大幅提升脱敏工作效率和脱敏质量

    3)符合监管部分法规要求

    • 7、天空卫士云应用数据安全解决方案

    • (1)方案介绍

    1)​​​​​​​云存储敏感内容分析

    通过数据发现功能,对存储在数据库、对象存储、NAS、文档管理应用等的数据进行扫描分析,发现其中存储的敏感数据,形成统一的敏感数据分布视图。

    ​​​​​​​2)云应用数据安全分析平台

    通过Restful API接口与云应用进行对接,提供数据内容层面的安全分析,云应用可以根据分析结果对数据进行进一步处理。

    3)​​​​​​​云应用数据流动外部监控与保护

    针对云上的应用系统的输入和输出的流量特别是API的流量进行内容级别分析,根据预先定制的策略进行审计或者阻断操作。

     

    展开全文
  • 本期活动以“应用与数据安全防护”为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与行业解决方案,推动安全生态的建设。 01 OPPO云密码本背后的秘密 端云协同的安全...

    ​11月29日,OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以“应用与数据安全防护”为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与行业解决方案,推动安全生态的建设。

    在这里插入图片描述

    01
    OPPO云密码本背后的秘密
    端云协同的安全密钥技术

    前不久的2020 OPPO开发者大会,OPPO正式发布ColorOS 11。全新的ColorOS 11系统搭载OPPO端云协同的安全密钥技术。OPPO基于端云协同安全密钥技术为支撑,实现了用户密码的安全托管和安全同步。

    OPPO端云协同的安全密钥技术以安全的跨平台自动同步、应用间互相隔离的独立密钥体系、OPPO无法解密和攻击者无法窥探为目标,构建安全的密钥管理方案,进而实现保护用户数据的目的。

    在这里插入图片描述

    我们来看看密钥的攻击入口有哪些。从密钥的生成、分发、使用、撤销、销毁、归档、备份、更新、存储的完整生命周期中可能遇到的攻击分析入手,最可能遭受攻击的是生成、传输、使用、存储阶段。OPPO端云协同的安全密钥技术,在设计上重点考虑在以上敏感阶段如何缓解可能遇到本地暴力破解、云端暴力破解、侧信道分析和中间人攻击、端侧渗透攻击、云端渗透攻击等常见类型攻击。

    在端云协同的安全密钥技术使用的安全工具方面,主要通过硬件安全环境(SE、TEE、HSM集群)保障密钥的生成、使用安全,同时使用HTTPS、SRP、 E2E安全信道保障传输交互的安全性,并使用账号密码、安全密码、短信安全码、可信设备证书等诸多因子保证身份认证的安全性。

    OPPO端云协同的安全密钥技术具备非常广泛的应用场景,例如对地图收藏、历史轨迹、个人浏览记录、浏览标签同步、屏幕使用时间等行为特征类数据的保护,以及对Wi-Fi密钥、蓝牙密钥、loT设备配对密钥等密钥类数据的保护。未来,OPPO端云协同的安全密钥技术会应用到更多的场景,为用户数据隐私保驾护航。

    02
    OPPO通过AES密钥白盒

    解决密钥安全问题

    现如今,数据及信息安全已逐渐演变为密钥安全。如果密钥不安全,加密便形同虚设。目前,业内密钥安全需求主要包括核心技术保护、终端数据安全、防止密钥窃取和数据传输安全四个层面,AES密钥白盒的出现在一定程度上解决了密钥的安全问题。

    白盒将密钥扩展并融入到了加密运算中,使得密钥在整个加密过程中不再明文出现,从而达到隐藏和保护的目的。白盒的实现方式主要有三种,分别是查找表技术、插入扰乱项和多变量密码。即使有了白盒的保护,密钥也并不绝对安全,白盒也面临着多种多样的攻击。

    在这里插入图片描述

    AES密钥白盒受到的攻击方式主要包括两种,一种是BGE攻击,另外一种就是DFA攻击。OPPO安全针对以上攻击方式,提供了扩展T-Box、随机置换、迭代混淆等多种防护方案,在性能保证的基础上更进一步保障密钥的安全。

    除了AES算法之外,OPPO安全还深度研究了国密SM4、ECC、RSA等算法,在更多的安全技术探索和算法研究的基础上,为开发者和应用平台提供更优质的解决方案,携手保护用户隐私。

    03
    检测移动恶意应用

    与提升恶意行为检测能力

    随着移动恶意应用的恶意行为和攻击方式愈加复杂,加固保护愈来愈多样化。当前,恶意行为的静态代码分析面临着程序化难度大、人力投入大、成本变高等难点,OPPO为应对以上难点并弥补静态检测的缺点,引入了动态检测的方法,从而更精准高效地检测出存在恶意行为的应用。

    动态分析检测方法是对应用行为进行判断和检测。基于恶意行为的动态分析检测方法,应用很多时候都需要调用系统的API来执行各种功能。动态分析检测可以通过审查应用对系统API的调用序列和各API的调用参数以及API调用的背景环境,用明确的逻辑判断该应用是否有执行恶意行为。这样能够帮助开发者和应用平台对恶意扣费、恶意传播、资费消耗、间谍监控、隐私窃取等行为进行有效的检测,将恶意行为暴露,保护用户的隐私安全和财产安全。

    在这里插入图片描述

    在新型恶意攻击方式不断涌现、恶意软件自身行为持续演化、恶意软件对抗行为日益普遍的背景下,自然语言处理、深度学习等智能化方法与程序分析技术不断发展并融合,激发出了多种基于智能化技术的恶意行为检测新思路。这些新技术的应用显著提升了恶意行为的检测能力,为移动生态的安全带来了更多的保障。

    在这里插入图片描述

    例如,面对新型攻击不断涌现,WebView新型恶意行为检测技术能够对App-to-Web攻击进行建模,并通过自动化检测工具发现多款新型恶意软件;面对恶意软件不断演化,通过对API语义的构建和利用,可以增强现有检测模型的可持续检测能力;面对对抗行为不断加剧,通过对轻量级敏感行为进行监控,可以对恶意行为进行高效检测。

    04

    OPPO移动应用安全实践

    和SDK安全质量保障实践方案

    随着移动互联网的高速发展,移动应用中引入第三方SDK的数量剧增,而三方SDK往往会成为移动应用整体的安全短板。OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,落地了一套移动三方SDK安全质量保障实践方案。

    针对三方SDK主要包括隐私合规检测、漏洞检测和恶意行为检测三个重点检测内容,OPPO采用静态污点分析技术, 将敏感数据标记为污点(Source点),然后通过跟踪和污点数据相关的信息的流向, 检测在关键的程序点(Sink点)是否会影响某些关键的程序操作,从而识别程序是否存在安全风险。

    在这里插入图片描述

    在技术维度,OPPO制定了“安全检测项-反射调用检测-黑名单库-安全检测报告”的三方SDK检测流程。

    在安全流程的维度,OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,制定了“安全评审-黑名单匹配-安全扫描-人工审计”的三方SDK安全质量保障流程,保障OPPO终端安全应用的安全。

    而面向移动应用安全,OPPO与参会的安全从业者交流了Android平台上的应用安全问题、安全技术发展以及OPPO在移动应用安全领域的行动和积累。

    OPPO规划了三层次的移动应用安全平台整体架构。第一层是终端安全能力,包括安全加固和安全SDK;第二层是云端安全测评,包括文件扫描、广告检测、仿冒检测、漏洞扫描等等;第三层是行业安全解决方案,比如广告反作弊、广告反切量等等。

    剖析安全风险、聚焦业务场景,OPPO为开发者和用户提供便捷、稳定、有效、全面的业务安全防护与用户隐私保护能力,并为此制定了清晰的规划:基础安全能力建设、用户隐私保护落地、移动端风控基础能力补齐、行业安全解决方案。

    在这里插入图片描述

    通过本期OPPO技术开放日,OPPO安全团队为到场的安全领域从业者和高校学生,详细解读了应用与数据安全防护,以及OPPO安全技术建设和相关成果。OPPO安全热切期待更多安全专家能够加入,一同为保护用户数据安全而努力,推动安全生态的建设。

    展开全文
  • 边界安全防护技术

    2012-04-23 21:23:11
    介绍边界防护技术,可用于上课教学,内容主要有:防火墙技术,网闸技术,数据交换网技术
  • 在此大背景下,国家和行业也重点关注银行数据安全防护手段的实施和落地。《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》中指出特别要在数据库等领域要加大探索和尝试力度。尤其是作为区域...

     

    金融行业一直走在信息化道路的第一线,各项业务与信息系统结合颇深,同时又较早实现了数据集中化管理,数据交互、调用类场景发生频繁。业务的多样化、服务的开放化等也使得应用越来越复杂,这也将导致出现技术脆弱性或者业务安全隐患的几率增大。尤其是由于金融数据的高价值、易变现等特性,数据安全问题尤为突出。

     

    在此大背景下,国家和行业也重点关注银行数据安全防护手段的实施和落地。《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》中指出特别要在数据库等领域要加大探索和尝试力度。尤其是作为区域中心银行,在数据的存储、访问管理、威胁防范上,有不可推卸的责任,保障数据的安全性、可用性、机密性,是区域中心银行的应尽职责。

     

    中国人民银行某支行正是这样一处具有区域数据中心重要地位且需要通过相应敏感数据防护技术手段实现数据访问严格管控,外部威胁严格防范的典型案例。
     

     

    需求背景

     

    该银行主要职能是执行货币政策、维护金融稳定和提供金融服务三个方面,需要负责所在省份贯彻执行中央银行资金、存款准备金、再贴现、利率等有关货币信贷政策,负责管理所在省份金融统计工作及信贷征信业务;管理所在省货币发行、现金管理和反jia人民币业务;会计财务、支付结算业务;外汇、外债和国际收支业务;所在省国库业务等。

     

     

    该银行后台数据库中,储存着大量例如资金信息、国库信息等敏感数据,一旦发生数据泄露、损坏,不仅会造成银行直接经济损失,更重要的是将大大影响当地金融稳定,破坏金融服务。如何保证生产数据安全已经成为必须面对的一个重要问题。

     

    根据实际调研,现需解决如下问题:

     

     

    ❖ 数据库信息价值不断提升,数据库面对来自外部的安全风险大大增加;需要强有力的入侵防护手段阻断威胁。

    内部存在违规越权操作等风险,事后却无法有效追溯和审计;需要采取严格的登陆管理和访问控制措施,并能对所有行为留痕,完成事后审计。

    ❖ 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。

    ❖ 信息安全方面的标准或最佳实践要求对用户行为、系统、数据操作行为进行控制和审计。

     

     

     

     

     

    解决方案

     

     

     

     

     

    部署美创数据安全防护系统

     

     

    针对上述实际需求,该银行经过考察,采用美创敏感数据安全防护系统,将系统部署在数据库前端,接管所有进出数据库的流量,实现数据库登陆管理、数据库访问管理、对访问行为的有效响应以及入侵防护。

     

    通过部署美创敏感数据安全防护系统,可以实现以下功能:


    面对外部威胁,实现强有力入侵阻断效果:

     假冒应用识别和拦截,防止非法人员利用假冒应用登陆数据库、窃取数据;

     虚拟补丁库,升级补丁无需下线服务器,种类和数量覆盖所有已公开漏洞;

     SQL注入防御,SQL黑名单阻断防御,SQL白名单优先放行,“黑+白”模式有效阻断防御外部注入攻击;
     业务SQL自动学习,应用端SQL合法语句自动加白,减轻配优人力成本。

     

     

     

    面对内部越权,实现准而精访问控制效果:

     

     

     敏感数据分类分级,梳理重要数据,针对不同敏感度数据采取不同控制手段;

     严格的登陆管理,多要素身份管理实现精确准入,免密功能避免密码泄露,终端锁定防止密码bao破,软证书发放使登录过程无法抵赖;

     精确的访问控制,特权用户访问控制,敏感数据集合授权访问,高危行为的授权执行,执行过程的工单guan理,保证所有数据库访问行为都合法执行,有据可查;
     访问行为的有效响应,针对运维对象的返回数据脱敏,审计结果的高级快速搜索,事件自动回溯分析,多种安全告警方式的组合订阅,多样安全报表组合输出。

     

     

     

    客户收益

     

    ➢ 数据分级分类,敏感数据“心中有数”;

    ➢ 多维度的安全认证方式保证运维来源的可信可控;

    ➢ 大权限账户管控,防止权限滥用数据外泄;

    ➢ SQL语句精准解析,“白+黑”模式保障业务流量的安全合法;

    ➢ 业务流量学习期构建合法语句白名单,降低人工配优成本;

    ➢  性能可靠,对现有生产系统性能和稳定性影响降至最低。

     

     

    美创科技敏感数据安全防护系统成功助力大型国有银行数据安全防护!

     

     

     

    展开全文
  • 针对目前主流数据库的安全防护功能配置方式不灵活、不能应变需求的问题,在HOOK技术的基础上融入...在SQLITE上的相关实验表明,利用DSS完全可以实现独立于特定数据库的自主安全防护,大大提高了数据安全防护的灵活性。
  • 安全威胁以及新特性带来的新的安全威胁,规定了云计算安全防护技术体系架构,并从物理 安全、主机安全、虚拟化安全、网络安全、数据安全、应用安全、内容安全以及安全管理共 八个方面提出云计算安全防护的技术要求及...
  • 收藏!企业数据安全防护5条建议

    千次阅读 2020-02-29 14:31:25
    近年来,企业由于自身的安全防护机制不严谨,引发的数据安全事件频发。抛开事件本身的人为因素不谈,如何从技术角度避免类似的事件发生,才是我们需要认真总结的。 一、当前企业面临的数据安全现状 数据安全是...

    引言:数据安全对企业生存发展有着举足轻重的影响,数据资产的外泄、破坏都会导致企业无可挽回的经济损失和核心竞争力缺失,而往往绝大多数中小企业侧重的是业务的快速发展,忽略了数据安全重要性。近年来,企业由于自身的安全防护机制不严谨,引发的数据安全事件频发。抛开事件本身的人为因素不谈,如何从技术角度避免类似的事件发生,才是我们需要认真总结的。

    一、当前企业面临的数据安全现状

    数据安全是企业CIO、CTO、IT 管理员以及老板在选择使用任何IT产品时最需要考虑的问题之一,在当下云时代,公有云,私有云或者IDC哪个选择更加安全,一直是企业管理者必要考量的因素之一。

    对于这个问题,其实很多人的认知存在一个误区,即认为只有硬件是自己的,里面的数据才是自己可控的,这样才是安全的。但其实不然,数据本身和实物有很大的区别,数据是由二进制的0和1构成,是不是在身边并不能决定数据安全与否,因为数据的泄露或者改动根本不需要成本,只需要一次网络的传输就完成了。

    其次,分析一个安全事件背后的原因,往往都和技术、流程以及人的因素有关。比如,如果技术方面选型不当,数据没有物理备份或者异地备份,往往会造成不可恢复的影响;制度与流程方面给予单人权限过高,先不说故意破坏,误操作也是致命的;人为因素包括误操作,小到崩溃一个服务器,大到删除核心数据库,这些都是经常发生的事情。当然,也存在外部的威胁,比如黑客入侵,友商的恶意网络攻击等。

    所以,无论是把业务部署在自有的IDC,还是托管IDC里,只要暴露在公网下,也都是存在威胁。一台设备无论托管在IDC中,还是部署在公有云,只要是有公网入口的服务器,业务的安全都是需要投入大量资源与精力去保障维护的。

    二、解决之道,如何避免数据安全事故的发生

    数据安全保障的原则有很多,道理都懂,可为什么还是有很多企业选择自建设数据库系统,但是依旧忽略了数据安全?实际上,由于企业自身技术实力,管理水平,以及IT资源方面投入等因素,其实是很难实现上述提到的数据安全策略的 。

    以分布式存储系统建设为例,开源和自建的成本都不小,采用开源方案,比如Ceph ,GlusterFS等,维护一套几十台服务器的集群,至少需要1 -2名资深存储工程师,且要能完全完全掌握全栈技术细节,国内也找不出几个人,数据丢失风险挑战不小。同样,要能维护好一套数据库的生产和备份集群,对普通DBA的要求也不低。选择商业私有化部署的产品,动辄几十万的投入也是一般企业难以承受的。

    1、数据库的安全策略

    目前企业的数据库有自建数据库和使用云数据库两种。作为企业的重要资产,数据库一旦出现丢失、损毁,后果将不堪设想,那么如果做才能让数据更安全呢?这里的建议是无论是自建还是使用云产品都要做好备份。

    对于已经在使用自建数据库的用户,应急方案需要将通过binlog或者其他备份文件进行恢复的详细步骤记录在案,并且能够定期做到演练,保证这样的方案在问题真正发生时能够真正跑通。另外,需要有联系好的第三方较专业的数据恢复公司,以免发生备份文件也被删除的情况下从磁盘恢复数据的能力。针对云服务器自建服务器的场景,需要结合云厂商提供的定期云盘快照功能来做数据恢复。而针对云数据库场景,不用太过担心数据丢失的问题,但是要能够熟练掌握云上数据库回档的方法。

    抛开成本不说,相比自建数据库,云数据库在安全以及性价比方面优势要更加明显。云数据库在简化运维操作的同时也可以极大程度的保护业务数据。结合冷备和binlog,云数据库可以提供7-732天内任意时间点数据回档能力。在数据遭遇被极端破坏的情况下,可以直接使用云数据库的回档功能,将数据恢复到被破坏时间点之前。

    2、快照、快照,云主机要定期快照

    快照指的是数据集合在某个时间点(拷贝开始的时间点)的完整拷贝或者镜像,当生产系统数据丢失时,可通过快照完整的恢复到快照时间点,是一种重要的数据容灾手段。

    快照的主要用途在于容灾,对生产系统的milestone进行备份。通过对指定云硬盘进行完全可用的拷贝,使该备份独立于云硬盘的生命周期。快照包括硬盘在拷贝开始的时间点的数据,并且不占据用户的存储空间。以腾讯云来说,将以冗余的方式把用户创建的快照存储在对象存储中,从而进一步确保了备份的可靠性。快照的增量备份,意味着仅保存更改的数据,这将尽可能缩短创建快照所需的时间,且可以节省存储成本。

    3、做好云账号权限管控

    云账号管理权限管控,可以帮助客户安全管理腾讯云账户下的资源的访问权限。用户通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用云资源的权限,使云账户下的资源访问权限粒度可控,降低误操作或非必要操作引起的数据损坏、丢失的风险。

    CAM 通过以下功能支持权限清晰、安全可控方案,比如,可以在主账号里创建子账号,给子账号分配主账号下资源的管理权限,而不需要分享主账号的相关的身份凭证。

    另外,可以针对不同的资源,授权给不同的人员不同的访问权限。例如,可以允许某些子账号拥有某个 COS 存储桶的读权限,而另外一些子账号或者主账号可以拥有某个 COS 存储对象的写权限等。这里的资源、访问权限、用户都可以批量打包,从而做到精细化的权限管理。

    4、对重要数据实施分级管理并做好加密

    在数据安全保护层面,从网络为中心转向以数据为中心的全生命周期保护策略。即实施数据分类分级,对数据生命周期状态进行梳理,根据不同的数据敏感等级以及数据使用状态,统筹规划相应的数据加密、脱敏、审计等数据保护策略,确保数据安全全程可控。针对影响业务运营的核心重要数据,应在数据的产生、流动、存储、使用及销毁过程中应用密码技术进行保护,并实施资源级细粒度的身份认证和访问控制,防止外部黑客攻击以及内部的非授权人员访问带来的业务数据安全风险问题。

    5、建立全生命周期的数据安全防护

    数据生命周期涵盖数据的创建、存储、使用、共享、归档到销毁等多个阶段,面对来自外部攻击,内部泄露与大数据共享等多方面的威胁。不同威胁的防护手段千差万别。

    1. 针对外部攻击,采用身份认证,数据库审计,加密网关保护核心数据不受外部攻击的威胁;
    2. 针对内部数据泄露,采用4A与DLP等安全能力,全面保护企业运维,办公,数据分析等场景的数据防泄漏风险;
    3. 针对大数据共享中的数据泄露问题,建设脱敏,水印,加密,审计与权限管控等安全能力。

    因此,企业需要从整体上梳理风险点,进而进行统筹和联动防御。并对外部、内部、大数据等不同场景建设不同解决方案。

    堡垒机作为云上数据运维的统一入口,具备账号权限管理、密码管理、命令管理能力。能够为企业杜绝绝大多数越权操作、删库等恶意命令执行方面的风险。由于采用了集中式管理模式,运维人员必须通过堡垒机统一认证后才能操作服务器与数据库。因此只要在堡垒机设置好安全策略,即可轻松实现阻断,将数据丢失风险大幅度降低。

    三、公有云对数据安全保障措施有哪些

    在全面上云的趋势下,云计算厂商在多年的实践中积累了丰富的数据安全防护经验,并正在通过产品化输出到公有云上,企业用户可以拿来即用。

    1. 云硬盘CBS,提供实时快照、秒级恢复能力

    腾讯云硬盘采用分布式块存储架构,每个数据块在可用区都有3副本,可以规避物理磁盘,宕机故障导致的数据损坏。另外,通过云硬盘的快照技术,可以实现数据“秒级”恢复到一小时内的状态。

     

    2. 云对象存储 COS,版本回退,异地灾备

    对象存储COS可以开启版本控制功能,实现对象存储的版本控制,开启版本控制配置后,删除操作等同于新增一项删除标记;可以通过指定版本号访问过去任意版本的数据,可实现数据的回滚操作,解决数据误删和覆盖的风险。

     

    此外,对象存储还提供了跨地域复制的功能,帮助用户将所有增量文件通过专线复制到其他城市的数据中心,实现异地容灾的作用。当主存储桶中的数据被删除时,可从备份存储桶中通过批量拷贝的方式恢复数据。

     

    3. 云数据库MySQL,为结构化数据提供灵活,可靠的灾备方案

    云数据库MySQL在实现服务高可用的架构情况下,也实现了丰富的数据备份和恢复功能,确保数据能回滚到任意时间线。同时,所有的高可用实例,默认开启7天内数据备份和实例回收站保留策略,确保人为误操作,能得到保底的数据恢复。此外,通过对实例配置异地灾备实例,云数据库MySQL实时进行数据复制,可以轻松实现数据异地灾备,规避区域性故障带来的数据丢失风险。

    4. 腾讯云数据产品系列,低门槛实现安全监控与审计

    腾讯云数据安全产品系列可以实现对安全事件的全面监控、告警、事后审计等功能。腾讯云堡垒机结合人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。

    5. CAM云权限管理,为云上资产合理建立权限控制制度

    对上云企业来说,账号安全和资源合理授权是构筑立体防护体系的第一道门锁。云上资源管理的授权应该规避如下风险:

    1. 使用腾讯云云主账号进行日常操作
    2. 为员工建了子账号,但是授权过大
    3. 对高权限子账号用户和高危操作没有访问条件控制
    4. 没有定期审计用户的权限和登录信息
    5. 缺乏权限的管理制度和流程

    这里以COS的数据访问权限控制为例:为公司中的不同团队授予子账户,通过访问方式、账户权限隔离来分级控制不同账户的资源操作范围。高危操作(如删除数据)权限可剖离出来,仅允许控制台操作,同时通过MFA校验来进行二次认证。

     

    结语

    通过梳理近年来层出不穷的数据安全事件不难发现:既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等,多种原因导致的数据安全事件背后折射出的是,仅仅依靠单点防护难以达到真正的安全防护效果,而构建基于全生命周期的安全防护成为必然选择。值得一提的是,企业上云大潮的趋势下,讨论数据安全绝大部分要从云环境出发,云原生的数据保护技术和策略也将成为当下及未来的主要手段。

    展开全文
  • 针对智能变电站系统的特点及其存在的安全风险,从系统的访问控制、通信数据加密以及数据容灾3个方面对智能变电站系统安全防护技术进行研究,分别采用结合信任管理的动态访问控制模型,一时一密数据加密传输方案和...
  • 2019年3月11日,全国公共资源交易平台安庆市公共资源交易服务网发布了《岳西县融媒体信息服务平台及内容数据安全防护系统》成交公告,安徽智圣通信技术股份有限公司的“融媒体内容数据安全防护系统”中标。...
  • 随着手机游戏、彩铃、彩信、位置服务、移动商城等各种数据业务的快速发展,用户数量呈现高速增长,截至2010年6月底,据CNNIC发布的报告显示,中国的手机用户数量超过8亿户,中国网民数达4.2亿,手机上网用户2.77亿。...
  • 介绍了车载网路实现的方案,包括了软硬件的实现,其中还介绍了网关数据安全加密的内容,并确保了网关通信的安全
  • 提出了一种二维电子海图自适应水印技术,利用平移不变策略,获得海图空间内频域较稳定的一个水印嵌入载体集合。为了防止水印嵌入幅度过大而影响海图使用和从水印算法的安全性考虑,提出了灰度平衡控制方案,计算每个...
  • 通讯技术、网络技术和电力市场的高速发展,为电力企业带来了成本降低、效率提高、业务开拓和形象提升等诸多好处,在调度中心,集控中心、变电站、小水电、用户之间进行的数据交换也越来越频繁,系统的网络组成也...
  • 误导信息导致很多企业错失了利用数据泄漏防护技术保护企业安全的机会。 RSA会议的专家组指出,对数据泄漏防护的误导信息和错误宣传导致很多企业停止了对数据泄漏防护技术的部署,让他们错失了利用数据泄漏防护技术...
  • 医院经过多轮的产品功能测试后,最终选择了美创科技数据安全整体解决方案,实现了多场景下数据安全防护、数据状态实时动态监控,整体防护效果大幅度提升。 在“新医改”政策和数字化技术的双重推动下,我国医疗...
  • 杭州世平信息科技有限公司(简称“世平信息”)成立于2010年,致力于智能化数据管理与应用的深入开拓和持续创新,为用户提供数据安全、数据治理、数据共享和数据利用解决方案,帮助用户提升数据资产风险管控与数据...
  • 以“应用与数据安全防护”为主题的OPPO技术开放日第六期完美收官。 此次活动,OPPO安全团队和业界专家向到场的安全领域行业从业者与高校学生,深度解读了OPPO云密码本、AES密钥白盒、动态分析检测、恶意行为检测、...
  • 较相比企业数据安全保护,动辄数万元的预算和技术专家团队,个人数据保护就显得更为紧迫了。飞想科技安全专家为用户保护个人数据支招: 一、密码越长越好 密码中的字符越多,被攻破的难度就越大。大部分专家...
  • 2019年4月18日,工业和信息部...名单中包括多家央企和上市公司,我司融媒体内容数据安全防护系统在广播电视台、县级媒体中心应用项目名列其中。 网络安全技术应用试点示范项目是工信部在组织三批电信和互联网行业...
  • 关注微信公众号:知柯信息安全 获取更多资讯
  • 2019年1也12日 云栖TechDay - PG天天象上活动 - 合肥站 - 赵振平 | 数据泄露事件与PostgreSQL安全防护 主要章节: 赵振平介绍 数据库安全事件回顾 网络隔离 禁止远程访问 禁止使用trust连接 传输通道加密 数据加密...
  • 11月24日MaxCompute线下Meetup(杭州站)嘉宾分享内容。扫码加入“MaxCompute开发者社区”钉钉群,了解更多阿里巴巴大数据技术
  • 美创科技医疗行业资深技术顾问陈旭近日在“中国卫生信息技术/健康医疗大数据应用交流大会暨软硬件与健康医疗产品展览会(CHITEC 2020)”做《医疗行业数据安全防护建设方案》主题报告,全面解析了医疗在面对互联网、...
  • 越来越多的企业拥有独立的研发部门,建立自己的技术壁垒,因此企业运营生产数据及客户信息数据成为了企业最核心的部分,数据一旦损坏或丢失,将会带来巨大的损失。 在企业的日常运营当中,新产品的生产资料、合作...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,412
精华内容 564
关键字:

数据安全防护技术