数据安全 解决方案
Data security solutions
获取方案
Database firewall
数据库防火墙
  • 系统管理用户职责分离
    数据库防火墙可以通过用户管理功能对数据库进行系统权限的有效划分。
  • SQL黑白名单
    通过学习模式以及SQL语法分析构建动态模型,形成白名单,此外,为了完善用户访问数据库的正常模型,还允许数据库防火墙管理者对以及识别的SQL信息进行手工操作,完善黑白名单的策略。
  • SQL特征库
    数据库防火墙通过语法描述分析SQL注入攻击不同时期的行为特征,构建SQL注入特征库。
  • CC攻击防御
    数据库防火墙通过对sql执行的时长,频率,放回结果等多维度分析,识别出异常sql语句,并将sql语句与前端应用做关联分析,最终识别出CC攻击的发起用户或者发起方,通过防火墙联动或者前置安全探针来阻断CC攻击的恶意行为或者用户操作。
  • 撞库检测和防御
    数据库防火墙通过建立用户信息白名单,限制同一个IP的请求次数和请求频率来防止对数据库的撞库攻击。
  • 拖库攻击防御
    数据库防火墙通过在数据库中放入蜜罐表或者视图(应用程序绝对不会访问的数据),一旦该表或者视图被用户或者应用程序访问,即可认为该SQL执行是一次典型的“拖库”攻击,予以拦截。
  • 可信应用
    数据库防火墙可根据应用系统与数据库服务器的对应关系,设置基于应用、IP、SQL语句的组合白名单策略,更精准的控制来自数据库外部的SQL语句,有效避免0day、APT等攻击。
  • 数据库弱点扫描
    数据库弱点检查分为以下两种类型:①弱点检测;②安全相关信息展示。虚拟补丁:数据库防火墙提供了虚拟补丁的功能,虚拟补丁在无需修补数据库内核漏洞的情况下,可以保护数据库的安全。
  • 敏感数据分类分级
    数据库防火墙从敏感数据分类出发,选择敏感表格组成敏感数据集合,在保障安全的基础之上实现方便管理。
  • 返回行超标禁止技术
    数据库防火墙依托敏感数据分类分级功能,在此基础上提供基于敏感表格访问的返回行控制技术,同时产品能够对大量返回行或更新行事件做出告警、能够对频繁的相同语句做出告警。
  • 全面精确的审计分析与追踪
    数据库防火墙提供了全面详细的TraceLog(详细审计记录),和丰富的告警、跟踪事件记录,并在此基础上实现内容丰富的、动态可跟踪的实时审计分析。
  • 未知威胁的智能化告警
    数据库防火墙对于任何不认识的新面孔和操作都进行识别并告警。对于一些访问频率比较低的访问主题和操作,也进行识别和告警。
  • 三层关联分析
    数据库防火墙可以通过对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行业务关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,定位追查到真正的访问者,从而将访问Web的资源账号和相关的数据库操作关联起来。
  • 安全事件告警分析
    数据库防火墙提供安全事件分析功能,也可以对某条安全事件进行同类事件回顾,回溯相同的安全审计事件在历史上的发生情况。
  • 安全事件搜索和分析
    数据库防火墙提供基于Solr的搜索引擎的搜索功能,能够按照客户需求提供简单搜索,扩展搜索和高级搜索,能够根据客户搜索的条件搜索特定的安全事件信息。
  • 未知威胁的智能化告警
    数据库防火墙对于任何不认识的新面孔和操作都进行识别并告警。对于一些访问频率比较低的访问主题和操作,也进行识别和告警。
  • 实时监控与个性化告警
    数据库防火墙实时告警引擎通过短信、邮件、动画等多种告警手段来保证告警的实时性。
  • 极具价值的报表分析
    数据库防火墙从整体安全层面内置了报表风险分布、风险趋势、在线信息、系统资源、网络流量五大块的报表,详细的展示数据库的安全情况及防火墙设备自身运行的一些状态信息,让用户更加直观明了地了解数据库的安全态势。
  • 安全审计信息翻译
    为了方便阅读和理解,数据库防火墙提供了安全审计信息翻译引擎,转化成可以理解的业务术语,方便阅读。
  • 未知威胁的智能化告警
    数据库防火墙对于任何不认识的新面孔和操作都进行识别并告警。对于一些访问频率比较低的访问主题和操作,也进行识别和告警。
  • 三层关联分析
    数据库防火墙可以通过对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行业务关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,定位追查到真正的访问者,从而将访问Web的资源账号和相关的数据库操作关联起来。
  • 安全事件告警分析
    数据库防火墙提供安全事件分析功能,也可以对某条安全事件进行同类事件回顾,回溯相同的安全审计事件在历史上的发生情况。
  • 安全事件搜索和分析
    数据库防火墙提供基于Solr的搜索引擎的搜索功能,能够按照客户需求提供简单搜索,扩展搜索和高级搜索,能够根据客户搜索的条件搜索特点的安全事件信息。
  • 实时监控与个性化告警
    数据库防火墙实时告警引擎通过短信、邮件、动画等多种告警手段来保证告警的实时性。
  • 极具价值的报表分析
    数据库防火墙从整体安全层面内置了报表风险分布、风险趋势、在线信息、系统资源、网络流量五大块的报表,详细的展示数据库的安全情况及防火墙设备自身运行的一些状态信息,让用户更加直观明了地了解数据库的安全态势。
  • 安全审计信息翻译
    为了方便阅读和理解,数据库防火墙提供了安全审计信息翻译引擎,转化成可以理解的业务术语,方便阅读。
Database security audit
数据库安全审计系统

功能/效果

Function / effect

  • 全面审计
    数据安全的本质在于只要存在一个简单的安全漏洞,那么所有的安全投资都将无效。所以,审计系统必须能够审计到所有的来源,至少是所有成本低廉的来源,如果存在审计系统无法审计到的死角,那么审计系统也将失去意义。数据库安全审计系统能够审计到所有的来源,包括所有访问数据库的路径,所有的数据库操作,还支持对加密网络的审计。
  • 精确审计
    精确审计是数据库安全审计的基础,如果无法正确的识别操作人和操作事件,安全审计将无从谈起。事件记录描述的越精细,安全审计的威慑作用就越大。数据库安全审计系统通过U盾、CA认证言息整合和应用程序账户来精确的识别操作人,可以精确的识别来自于B/S架构的浏览器终端信息,支持加密网络传输、应用程序注入和假冒检测等独有功能。精确审计以四个要素为基础:精确识别操作人(WHO)、精确识别操作终端(WHAT)、精确识別操作工具(HOW)、精确识别操作(WHERE)。
  • 审计管理
    数据库安全审计产生海量的审计信息,如果缺乏有效管理,最终只会成为一个日志记录设备而无法起到降低安全风险的作用。数据库安全审计系统通过对审计事件的全面分析,以强大的搜索引擎为技术保障,提供了贯穿安全审计事件的生命周期的全面管理手段,从安全事件生成到安全事件归档和销毁。
  • 实时监控
    及时发现可疑的高风险事件是数据库安全审计的第一步,系统主动的安全告警发布是其中不可缺少的环节。数据库安全审计系统通过实时告警引擎和短信、邮件、动画等多种告警手段来保证告警的实时性;通过精细化的事件审计、灵活的告警规则、重复事件合并和过滤功能、以及强大的搜索引擎保障来保证告警信息不会泛滥造成管理者麻木;通过精细化告警规则、未知威胁的智能化告警、SQL注入检测、错误操作检测来方便管理者订制需要的事件告警,管理者也可以依据自身的安全需求订阅相关的告警。
  • 智能化告警
    数据库安全审计系统对于任何不认识的新面孔和操作都进行识别并告警:包括新发现的IP地址,应用程序,数据库账户,应用账户,访问对象,访问操作,SQL语句,因为新入场的操作多数情况下意味着威胁。对于一些访问频率比较低的访问主题和操作,也进行识别和告警。如果访问终端的IP地址,主机名或者MAC地址发生变化,往往也意味着危险,审计系统也会告警。
  • 安全事件搜索和分析
    告警不可能解决所有安全事件,有些安全事件需要事后才会被发现。数据库安全审计系统提供基于Solr的搜索引擎的搜索功能,能够按照客户需求提供简单搜索,扩展搜索和高级搜索,能够根据客户搜索的条件搜索特定的安全事件信息。
  • 日常工作报表
    日常工作报表是数据库安全审计常规化的关键功能支持,数据库安全审计系统提供极为丰富的手段以支持用户日常性的安全工作任务,内置了160多张报表,基本涵盖数据安全涉及的所有方面。例如:工作完成审计报告帮助完成合作伙伴工作审计,基于风险的日常工作报告,基于运维人员的日常工作报告,日报、周报和月报。

产品优势/特色

Product advantages / features

  • 全面化审计
    数据库审计可覆盖所有信息来源,同时支持SQL语句翻译,增加阅读直观性。
  • 精确化审计
    数据库审计可以精确的识别操作人、操作终端、操作应用、操作工具和操作内容。
  • 实用的审计管理
    引入强大的大数据搜索引擎solr为技术保障,通过对审计时间的全面分析,从安全事件的生成到归档直至销毁,提供了贯穿安全审计全生命周期的快速便利管理。
  • 内嵌法规遵循报表
    数据库审计系统提供多种法律法规遵循向导和报表,满足用户合规要求,同时也提供各种日常性的工作报表。
Data desensitization system
数据脱敏系统
  • 敏感数据自动感知
    在敏感数据无处不在、业务越来越复杂的生产业务系统中,业务系统后台数据库表的规模越来越庞大、结构越来越复杂,本系统利用各类敏感信息规则,通过自动扫描发现的方式高效、方便、全面的获取敏感信息,支持灵活的配置方式(包括字段信息匹配、数据信息匹配)来自动探测数据库敏感信息字段。
  • 脱敏数据以假乱真
    将数据简单的洗白、变形已不是一件难事,但是如何保证脱敏后数据的原有特征难度相对较大。数据脱敏系统不仅可以使数据脱敏,还能最大限度的保证数据真实性,确保交付可用、可靠的高质量数据。
  • 保持数据原始特征
    数据脱敏后可以保持数据原始特征,保证开发、测试、培训以及大数据利用类业务不会受到脱敏的影响,达成脱敏前后的一致性。在这个脱敏过程中,有一套经过充分研究的数据特征模型,可以实现正向脱敏,整个过程中又能保证原始特征。这一套数据特征模型可以运用到实际生产环境。
  • 保持业务规则关联性
    数据脱敏后仍然保持业务规则的关联性,包括主外键关联性、关联字段的业务语义关联性等,这个对业务来说尤为重要。为了保证业务关联性,又要保证脱敏的效率和速度,必须研究出一套可移植的计算算法,在多样化业务关联脱敏中,才能保证脱敏的速度。
  • 灵活报表监管无忧
    系统提供丰富的报表(支持柱形图、仪表盘等),为客户数据脱敏提供审计依据,满足监管部门要求。
  • 灵活脱敏数据分发
    数据脱敏系统支持广泛的数据脱敏分发方式,支持数据库到数据库、数据库到文件、文件到文件、文件到数据库四种完全不落地的脱敏方式,并且不需要生产系统和本地安装任何客户端。
  • 全面脱敏格式支持
    系统可以支持各类主流数据库,包括Oracle、SQLServer、 Mysql、 DB2以及国产主流数据库,支持Teradata数据库仓库、支持Oracle dump、MongDB、Hadoop等分布式数据平台以及格式化文本格式等平面文件。还可支持RSS、XML等内容共享或数据传输文件。
  • 脱敏过程数据不落地
    本系统在数据处理全流程中,敏感数据不落地,不存在中间环节数据泄漏风险。
  • 横向方案拓展
    保障数据安全是一项系统性工程,特定场景的数据脱敏只是系统性工程中的一个重要环节,数据脱敏系统并不是一个安全孤岛。凭借在数据领域超过10年的研究,脱敏系统可以与数据安全整体解决方案进行有机融合,从准入、运维、控制、审计、灾备等多角度实现协调运转,保证企事业单位的核心数据资产安全。
  • 深耕行业应用
    同样的数据脱敏,金融与医疗存在实现级的区别,这是行业与行业之间的应用特征差异决定的。经过10年深入行业的研究,在金融、医疗等各行业积累了大量的经验。凭借这些丰富的行业经验,使得华途数据脱敏系统可以很好的在各行各业得以应用。不仅可以用在政府、通信、医疗、社保、公安、电力、交通等行业,也可以用在对数据脱敏有着较为硬性和苛刻要求的金融行业。
  • 脱敏精准适用
    以数据为核心的交付物的好坏很大程度上取决于内置脱敏规则,而脱敏规则可以从多样适用性及健壮性进行部分考量。本数据脱敏系统拥有丰富而健全的脱敏规则,可以保证对多行业多样化脱敏需求的及时响应,结合深入脱敏数据源的结构和内容分析技术,使得脱敏后的数据足以以假乱真。对目标系统交付的“真”数据,保证了目标系统运行的精准适用。在测试场景中可以有效提高测试效率,暴露更多的系统缺陷,在其余应用场景中可以使业务数据符合逻辑,保证各类分析及展现结果的有效性和真实性。
Data security middleware
数据安全中间件
  • 文档加解密微服务
    数据安全中间件提供文件加解密功能,业务系统与华途数据安全中间件集成后,可直接对文件进行透明加密处理。同时可在后台对文件直接执行透明解密操作,极大程度的保障了业务系统的使用效率,确保业务延续性。支持对文件流加密。
  • 文档外发安全微服务
    业务系统与数据安全中间件集成后,可直接将文件制作成安全外发包,无需终端用户进行其他操作。文件外发后,依然保持加密状态,并可控制文件的打开次数、打开天数、附加文件水印,文件内容复制控制,打印控制,截屏控制。
  • 文档内容脱敏微服务
    数据安全中间件提供文件脱敏功能,可根据脱敏参数、字典的设置后,直接将文件中命中策略的敏感内容按照脱敏规格进行替换。
  • 文件权限管控微服务
    业务系统在调用数据安全中间件后,可对系统内的文件加密成为授权文件,并可设置文件的密级及可访问范围,满足政企单位的文件内控需求,可防止文件在政企单位内部过渡扩散而导致的数据泄漏事件发生。
  • 文档水印安全微服务
    可对office、pdf文档进行文档水印的添加,水印信息包括操作人、时间、ip、相关业务系统标记等。
  • 文本内容识别微服务
    业务系统在调用数据安全中间件后,可对系统内的文件根据调用参数的传输,进行内容识别判断,然后将内容识别结果传回业务系统,以便进行下一步安全性操作。该识别目前支持文本数据、格式化数据及文件三种内容。
  • OCR图片识别微服务
    业务系统在调用数据安全中间件后,可对系统内的图片根据调用参数的传输,进行OCR内容识别判断,然后将识别结果传回业务系统,以便进行下一步安全性操作。该识别支持jpg、png、gif、tif、bmp、pdf。
  • 加密算法
    支持AES和国密SM4加密算法,针对不同操作系统和应用软件进行加密控制,确保受保护的文件内容安全无忧。
  • 兼容性强
    数据安全中间件可以与各类应用系统进行无缝对接,实现从系统中下载的文件自动进行加密授权保护、打包密文外发,充分保障系统离线数据的使用安全。
  • 开发简易
    业务系统只需要进行少量的开发工作,即可集成数据安全中间件,系统实施简单,应用便利,不改变终端用户操作习惯。
  • 处理高效
    数据安全中间件采用先进的文件流加密技术,客户在处理大批量文档时,丝毫不影响终端使用效率。
  • 应用广泛
    数据安全中间件服务不但适用于组织内部信息共享授权使用,也可以广泛应用于组织外部用户的文档使用权限控制,根据用户需求转换对应的密文外发文件,充分保障组织内部的信息安全。
Data security governance consulting
数据安全治理咨询服务

治理目标

Governance objectives

  • 构建数据内容安全管理体系
    构建数据内容安全管理体系,基于数据全生命周期进行安全管理,做好安全防护。
  • 数据资产分类分级
    依据法律法规,结合业务实际,对行内的业务数据进行敏感度分类分级,明确业务数据全生命周期的权属和访问权限,与涉及业务部门对敏感数据的分类分级、角色、权限进行访谈确认,最终形成审批通过的分类分级、角色、权限的定义、映射矩阵等技术方案。
  • 制定数据安全策略
    基于业务数据敏感度的分类分级,结合资产清单中的数据全生命周期中的流转所涉及场景和风险,制定安全策略,开展数据分类分级工作并支撑落地应用。
  • 设计搭建数据内容安全管理平台
    设计数据内容安全管理平台,支撑数据安全自动化、智能化管理,完成数据分类分级和安全管控的试点验证。

解决方案

Solution

  • 实施步骤
    根据对项目需求的理解,结合与客户的项目要求,从组织范围、业务范围、系统范围、数据范围等方面开展工作。分为项目启动、现状评估、咨询设计、工具搭建与试点验证、知识转移五个阶段,每个阶段再进行WBS分解,逐步满足项目需求,达到项目目标。
  • 数据内容安全体系框架
    根据咨询阶段形成的管理制度、定义、流程和数据资产,选择其中1-2个系统开展咨询成果验证。通过在应用系统之间逻辑串接数据内容安全管控平台,实现对分类分级好的数据内容打标签、应用系统用户的角色权限、权限与数据内容映射定义、审批流程设置管理、脱敏规则等技术管控措施,实现咨询成果的技术手段验证,评估数据安全内容管控的技术管理效果。

治理价值

Governance value

  • 通过数据安全治理业务的实施,可以使客户实现清晰掌握业务数据的现状,明确业务的类型和等级,确定业务系统的属性和权限及数据内容之间的权限映射关系。解决当前业务数据离开原始生产系统后的无法管理难题,降低数据泄漏的风险。
  • 实现“访问内容可定义、访问过程可监控、访问记录可审计” :1. 提高合规性 依据法律法规、监管要求,落实数据安全控制手段,规避合规风险。2. 实现精细化管理 对数据访问权限的控制,从功能点级别细化到“字段”级。3. 实量化管理 通过对业务IT系统内的敏感数据进行分级别管理,量化了管理要求,增强了数据安全管理要求的可操作性,奠定在数据内容安全管理的行业领先地位。
天津佳软兴业科技有限公司版权所有©(2008-2021)津ICP备16000027号-1