隨著數(shù)據(jù)泄露事件的頻發(fā)���,企業(yè)和組織的安全意識(shí)逐漸建立起來,但在提出數(shù)據(jù)安全建設(shè)需求的時(shí)候�����,又往往對(duì)自身的數(shù)據(jù)資產(chǎn)狀況不甚了解��。因此�����,保護(hù)數(shù)據(jù)安全�����,不能簡(jiǎn)單粗暴的上各種安全產(chǎn)品��,在此之前應(yīng)首先將自家的數(shù)據(jù)資產(chǎn)狀況梳理清楚�����。
數(shù)據(jù)資產(chǎn)梳理系統(tǒng)是數(shù)據(jù)安全治理整體解決方案的“開局利器”���,能夠幫助用戶自動(dòng)發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)�、提供數(shù)據(jù)敏感級(jí)管理���、分類分級(jí)管理�、動(dòng)態(tài)監(jiān)控敏感數(shù)據(jù)使用情況���,從而掌握“數(shù)據(jù)家產(chǎn)”的現(xiàn)狀�����,并理清數(shù)據(jù)安全建設(shè)的思路��。本文將從靜態(tài)梳理�����、動(dòng)態(tài)梳理和客戶價(jià)值三方面�����,介紹安華金和數(shù)據(jù)資產(chǎn)梳理系統(tǒng)����。
安華金和數(shù)據(jù)資產(chǎn)梳理系統(tǒng)(簡(jiǎn)稱DACS)是一款通過指定IP段和端口范圍,自動(dòng)搜索網(wǎng)內(nèi)數(shù)據(jù)庫��,以授權(quán)方式進(jìn)行敏感數(shù)據(jù)發(fā)現(xiàn)的數(shù)據(jù)庫安全檢查系統(tǒng)�;能夠幫助用戶發(fā)現(xiàn)網(wǎng)內(nèi)數(shù)據(jù)庫和其中的敏感數(shù)據(jù),并對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行不同類別和密級(jí)的劃分��,以便實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)有差別和針對(duì)性的防護(hù)��。系統(tǒng)可實(shí)現(xiàn)靜態(tài)和動(dòng)態(tài)兩種梳理模式:
一�、靜態(tài)梳理
能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)庫進(jìn)行定位,并通過定期自動(dòng)化搜索網(wǎng)內(nèi)數(shù)據(jù)庫等功能�����,為數(shù)據(jù)庫安全管理提供準(zhǔn)確的依據(jù)�。針對(duì)數(shù)據(jù)庫安全要求較高的客戶����,DACS系統(tǒng)可實(shí)現(xiàn)數(shù)據(jù)庫權(quán)限梳理����,避免過多賬戶有權(quán)訪問重要的敏感數(shù)據(jù)�����,每個(gè)賬戶能訪問哪些表���,信息安全政策中有最小授權(quán)原則��,這個(gè)權(quán)限梳理的功能可以配合檢查��,知悉范圍�����。
1����、先進(jìn)的數(shù)據(jù)庫自動(dòng)嗅探與識(shí)別技術(shù)
數(shù)據(jù)資產(chǎn)梳理系統(tǒng)支持對(duì)數(shù)據(jù)庫的全網(wǎng)自動(dòng)搜索�����,也可指定 IP 段和端口范圍搜索,自動(dòng)發(fā)現(xiàn)數(shù)據(jù)庫的端口號(hào)����、類型、服務(wù)器 IP 地址等信息�。
2、快速發(fā)現(xiàn)敏感數(shù)據(jù)�,保護(hù)核心數(shù)據(jù)資產(chǎn)
一般應(yīng)用的后臺(tái)數(shù)據(jù)庫都有成千上萬張表,要保護(hù)您的核心數(shù)據(jù)資產(chǎn)�����,首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方���。DACS系統(tǒng)能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)�,定位敏感數(shù)據(jù)的存儲(chǔ)與分布情況�����,統(tǒng)計(jì)敏感數(shù)據(jù)的量級(jí)�����;并通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對(duì)個(gè)人敏感信息�、信用卡賬戶信息、企業(yè)敏感信息等的表和列進(jìn)行掃描��,也支持用戶自定義敏感對(duì)象的搜索關(guān)鍵字功能����。
3、數(shù)據(jù)分類分級(jí)
支持依據(jù)自身業(yè)務(wù)特點(diǎn)對(duì)生產(chǎn)�����、采集���、加工�����、使用的數(shù)據(jù)進(jìn)行分類管理���;支持以數(shù)據(jù)分類為基礎(chǔ),采用規(guī)范���、明確的方法區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異���,進(jìn)行分級(jí)管理����。
4�、數(shù)據(jù)庫賬戶權(quán)限梳理
定期檢查數(shù)據(jù)庫權(quán)限,滿足最小授權(quán)原則��。對(duì)于信息安全政策要求嚴(yán)格的單位����,DACS系統(tǒng)采用持續(xù)的數(shù)據(jù)庫權(quán)限狀況監(jiān)控功能,突破傳統(tǒng)產(chǎn)品僅作為數(shù)據(jù)庫安全檢查工具的限制�����,能有效體現(xiàn)用戶及權(quán)限變更等安全狀況���,并建立安全基線���,實(shí)現(xiàn)安全變化狀況分析報(bào)告與定性、定量相結(jié)合的評(píng)估模型����。
二���、動(dòng)態(tài)梳理
針對(duì)應(yīng)用系統(tǒng)運(yùn)行、開發(fā)測(cè)試��、對(duì)外數(shù)據(jù)傳輸和前后臺(tái)操作等使用環(huán)節(jié)的數(shù)據(jù)流轉(zhuǎn)��、存儲(chǔ)與使用進(jìn)行監(jiān)控����;對(duì)應(yīng)用側(cè)��、內(nèi)部運(yùn)維側(cè)及開發(fā)測(cè)試的訪問行為及敏感數(shù)據(jù)的訪問頻次進(jìn)行熱度分析��;并動(dòng)態(tài)監(jiān)聽?wèi)?yīng)用與運(yùn)維側(cè)敏感數(shù)據(jù)的使用情況��,及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)是否被濫用����,從而為核心數(shù)據(jù)安全管控提供依據(jù)。
1�、數(shù)據(jù)流向分析
敏感數(shù)據(jù)流向是通過網(wǎng)絡(luò)流量偵聽、精細(xì)sql語句解析等技術(shù)����,結(jié)合sql語句的操作模型共同完成的流向分析����;系統(tǒng)會(huì)對(duì)敏感數(shù)據(jù)的訪問情況進(jìn)行實(shí)時(shí)學(xué)習(xí)�����,并針對(duì)敏感數(shù)據(jù)的流入與流出兩部分��,動(dòng)態(tài)的實(shí)現(xiàn)數(shù)據(jù)流向管理���。
2�、訪問源分析
能夠?qū)υL問源進(jìn)行分析����,包括訪問數(shù)據(jù)庫的用戶信息、訪問數(shù)據(jù)庫的應(yīng)用信息�、訪問數(shù)據(jù)庫的主機(jī)信息、訪問數(shù)據(jù)庫的客戶端信息等��,并能夠根據(jù)分析結(jié)果��,繪制出數(shù)據(jù)庫的日常訪問拓?fù)鋱D����。
3�����、訪問行為分析
能夠?qū)υL問數(shù)據(jù)庫及敏感數(shù)據(jù)的操作行為進(jìn)行分析統(tǒng)計(jì)��,包括SELECT(查詢)����、DML����、DCL��、DDL類型的操作�。
4、訪問熱度分析
能夠?qū)?shù)據(jù)庫的日常訪問流量進(jìn)行分析�,并按照語句、會(huì)話等不同維度匯總出數(shù)據(jù)庫的訪問熱度統(tǒng)計(jì)圖����。
5、靜默資產(chǎn)梳理
能夠周期性統(tǒng)計(jì)沒有被訪問的數(shù)據(jù)庫���,幫助企業(yè)完成對(duì)系統(tǒng)使用與實(shí)際業(yè)務(wù)流程長(zhǎng)期脫節(jié)��、功能可被其他系統(tǒng)替代�����、所占用資源長(zhǎng)期處于空閑狀態(tài)�、運(yùn)行維護(hù)停止更新服務(wù),以及使用范圍小���、頻度低的“僵尸數(shù)據(jù)庫”進(jìn)行清查��。
三�、客戶價(jià)值
1�����、滿足安全檢測(cè)標(biāo)準(zhǔn)規(guī)范
GB/T 22080-2-8即《信息技術(shù)/安全技術(shù)——信息安全管理體系要求》中規(guī)定:為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求���,分為定量和定性的信息安全風(fēng)險(xiǎn)評(píng)估方法�����。
2�、實(shí)時(shí)全面的數(shù)據(jù)庫安全檢查
DACS系統(tǒng)負(fù)責(zé)在客戶指定的網(wǎng)絡(luò)環(huán)境中��,可以選擇不同網(wǎng)段的網(wǎng)卡,通過自動(dòng)和手動(dòng)選擇網(wǎng)段和端口這兩種方式���,幫助客戶尋找到暴露在網(wǎng)絡(luò)中的數(shù)據(jù)庫��。
3���、數(shù)據(jù)庫的敏感數(shù)據(jù)定位
諸多用戶在敏感數(shù)據(jù)泄露事件發(fā)生后,才開始追查并分析具體原因���;然而���,作為復(fù)雜的數(shù)據(jù)庫���,針對(duì)敏感數(shù)據(jù)和權(quán)限等的管理信息通常數(shù)量巨大�����,手工追查�、分析的工作方式復(fù)雜繁瑣�。DACS系統(tǒng)可提供對(duì)數(shù)據(jù)庫敏感數(shù)據(jù)的持續(xù)監(jiān)控能力,同時(shí)結(jié)合人工判斷方式定位敏感數(shù)據(jù)��,以實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的實(shí)時(shí)報(bào)告。
4��、數(shù)據(jù)分類分級(jí)�,促進(jìn)數(shù)據(jù)安全共享
在重要的信息系統(tǒng)中,用戶敏感數(shù)據(jù)的規(guī)模往往十分龐大����,并呈現(xiàn)出分散、不集中的狀況����。DACS系統(tǒng)以業(yè)務(wù)活動(dòng)為主線,關(guān)注資產(chǎn)對(duì)組織的重要性或其敏感程度的定性分析�,同時(shí)考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果�, 從隱私安全與保護(hù)成本的角度出發(fā),對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類與等級(jí)劃分����,進(jìn)而根據(jù)不同需要對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行重點(diǎn)防護(hù),等級(jí)定義一般可分為如下幾種:
敏感數(shù)據(jù):通過該類數(shù)據(jù)可直接識(shí)別特定用戶��,是與用戶生活緊密相關(guān)的數(shù)據(jù)��;
重要數(shù)據(jù):通過該類數(shù)據(jù)可以得知產(chǎn)品商業(yè)價(jià)值等,是需謹(jǐn)慎使用的用戶相關(guān)數(shù)據(jù)��、產(chǎn)品核心數(shù)據(jù)�����;
一般數(shù)據(jù):支撐業(yè)務(wù)邏輯及運(yùn)行的數(shù)據(jù)����,通過統(tǒng)計(jì)、分級(jí)���、加工不會(huì)對(duì)用戶或公司利益產(chǎn)生影響����。
安華金和數(shù)據(jù)資產(chǎn)梳理系統(tǒng)(簡(jiǎn)稱DACS)能夠幫助企業(yè)有效開展數(shù)據(jù)資產(chǎn)安全狀況摸底及數(shù)據(jù)資產(chǎn)管理相關(guān)工作����;提高企業(yè)進(jìn)行數(shù)據(jù)資產(chǎn)梳理工作的效率���,保證數(shù)據(jù)資產(chǎn)梳理工作的質(zhì)量����。目前,DACS已廣泛適用于銀行����、證券、保險(xiǎn)等金融機(jī)構(gòu)�,同時(shí)在政府部門、涉密單位也有良好適用場(chǎng)景��;在國(guó)家等級(jí)保護(hù)����、分級(jí)保護(hù)等領(lǐng)域均具有很強(qiáng)的政策合規(guī)性,從制度與技術(shù)有效結(jié)合等方面為企業(yè)提供了具有創(chuàng)新優(yōu)勢(shì)的可靠支撐���。
產(chǎn)品咨詢:4000 258 365 
