綠盟數(shù)據(jù)安全解決方案

登》zsFauus

綠盟數(shù)據(jù)安全

解決方案

綠盟科技

登》zsFauus

目錄

第1章安全現(xiàn)狀.....................................................2

1.1數(shù)據(jù)安全現(xiàn)狀.............................................................2

1.2建設(shè)數(shù)據(jù)安全體系的必要性..................................................2

1.3建設(shè)目標(biāo)..................................................................2

第2章需求分析.....................................................3

2.1數(shù)據(jù)安全建設(shè)的合規(guī)需求...................................................3

2.2數(shù)據(jù)的分級(jí)防護(hù)需求.........................................................3

第3章現(xiàn)狀及風(fēng)險(xiǎn)分析...............................................4

3.1數(shù)據(jù)采集風(fēng)險(xiǎn).............................................................4

3.2數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)..............................................................4

3.3數(shù)據(jù)傳輸風(fēng)險(xiǎn)..............................................................4

3.4數(shù)據(jù)處理風(fēng)險(xiǎn)..............................................................4

3.5數(shù)據(jù)交換風(fēng)險(xiǎn)..............................................................4

3.6數(shù)據(jù)銷毀風(fēng)險(xiǎn)..............................................................5

第4章系統(tǒng)解決方案.................................................5

4.1數(shù)據(jù)安全解決方案建設(shè)思路..................................................5

4.2數(shù)據(jù)安全解決方案建設(shè)流程..................................................6

4.2.1業(yè)務(wù)數(shù)據(jù)梳理...........................................................6

4.2.2定義與識(shí)別敏感數(shù)據(jù)....................................................6

4.2.3數(shù)據(jù)全生存周期安全風(fēng)險(xiǎn)評(píng)估............................................6

4.2.4數(shù)據(jù)安全縱深防護(hù)......................................................7

4.2.5敏感數(shù)據(jù)監(jiān)察分析......................................................7

4.2.6優(yōu)化改進(jìn)與持續(xù)運(yùn)營(yíng)....................................................7

4.3數(shù)據(jù)安全解決方案應(yīng)用場(chǎng)景..................................................8

4.3.1數(shù)據(jù)梳理與風(fēng)險(xiǎn)評(píng)估......................................................9

4.3.2運(yùn)維數(shù)據(jù)安全防護(hù).......................................................10

4.3.3業(yè)務(wù)數(shù)據(jù)安全防護(hù).......................................................12

4.3.4主機(jī)數(shù)據(jù)安全防護(hù).......................................................14

4.3.5數(shù)據(jù)可視化展現(xiàn)........................................................19

4.4核心技術(shù).................................................................19

第5章數(shù)據(jù)安全解決方案優(yōu)勢(shì).......................................20

5.1.1滿足合規(guī)要求..........................................................20

5.1.2權(quán)限劃定清晰..........................................................20

5.1.3數(shù)據(jù)生命周期全面掌控.................................................20

5.1.4降低數(shù)據(jù)泄露風(fēng)險(xiǎn)......................................................20

5.1.5提高數(shù)據(jù)使用者的安全意識(shí).............................................20

第6章數(shù)據(jù)安全解決方案能力清單...................................21

第1章安全現(xiàn)狀

1.1數(shù)據(jù)安全現(xiàn)狀

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能等新技術(shù)的發(fā)展，網(wǎng)絡(luò)邊界被不斷打破，

數(shù)字雙生、敏捷創(chuàng)新、安全合規(guī)驅(qū)動(dòng)快速轉(zhuǎn)型，社會(huì)和企業(yè)都在面臨數(shù)字化的轉(zhuǎn)型帶來(lái)的數(shù)據(jù)安

全風(fēng)險(xiǎn)。

數(shù)據(jù)安全已經(jīng)與關(guān)鍵信息基礎(chǔ)設(shè)施一并成為影響國(guó)家穩(wěn)定、民生安全及社會(huì)安全的關(guān)鍵因

素。

1.2建設(shè)數(shù)據(jù)安全體系的必要性

一直以來(lái)，我國(guó)政府積極探索和研究云計(jì)算在電子政務(wù)中的應(yīng)用，也鼓勵(lì)黨政部門使用云計(jì)

算進(jìn)行服務(wù)模式創(chuàng)新，并開展了一系列試點(diǎn)示范工作?，F(xiàn)在，政務(wù)云已經(jīng)在全國(guó)范圍內(nèi)建設(shè)和普

及，為我國(guó)政府進(jìn)行職能轉(zhuǎn)變，構(gòu)建為民務(wù)實(shí)高效政府，落實(shí)厲行節(jié)約工作，發(fā)揮了積極作用。

目前，我國(guó)電子政務(wù)進(jìn)入了改革的深水區(qū)，正在加快落實(shí)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，數(shù)據(jù)交換和信息

共享已經(jīng)是信息化建設(shè)重點(diǎn)，各領(lǐng)域的政務(wù)信息系統(tǒng)和政務(wù)數(shù)據(jù)、公民個(gè)人信息，已經(jīng)或正在遷

移至政務(wù)云平臺(tái)上，加強(qiáng)網(wǎng)絡(luò)和信息安全保護(hù)工作已經(jīng)成為必然。

我國(guó)于2017年6月1日正式施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，規(guī)定了公民使用網(wǎng)絡(luò)服務(wù)

需要實(shí)名認(rèn)證，任何網(wǎng)絡(luò)侵入、干擾和竊取網(wǎng)絡(luò)數(shù)據(jù)都是違法的，個(gè)人信息安全得到真正的法律

保護(hù)，從此確立了公民個(gè)人信息保護(hù)的基本法律制度，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。

依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十一條，闡明了保護(hù)范圍是國(guó)家對(duì)公共通信和信息

服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破

壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

保護(hù)方法為在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)施重點(diǎn)保護(hù)。重點(diǎn)保護(hù)的對(duì)象及關(guān)鍵信息基礎(chǔ)

設(shè)施，包括設(shè)施保護(hù)、數(shù)據(jù)保護(hù)、產(chǎn)品和服務(wù)保護(hù)，而數(shù)據(jù)保護(hù)的對(duì)象為“個(gè)人信息”與“重要

數(shù)據(jù)

以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》為核心，我國(guó)就數(shù)據(jù)安全依法出臺(tái)多項(xiàng)新政策，就包括已

提請(qǐng)審意草案的《數(shù)據(jù)安全法》，對(duì)外征求意見的《數(shù)據(jù)安全管理辦法》《個(gè)人信息出境安全評(píng)估

辦法》，已發(fā)布的有《信息安全技術(shù)個(gè)人信息安全規(guī)范》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《網(wǎng)絡(luò)安全

等級(jí)保護(hù)制度》2.0,所有新政的數(shù)據(jù)保護(hù)核心對(duì)象依然都是“個(gè)人信息”和“重要數(shù)據(jù)”。

從上述內(nèi)容可以看出國(guó)家在數(shù)據(jù)安全保護(hù)層面的力度，以及對(duì)數(shù)據(jù)安全保護(hù)的重視。

1.3建設(shè)目標(biāo)

建設(shè)完善的數(shù)據(jù)安全體系，有效保護(hù)數(shù)據(jù)在全生命周期過(guò)程中的安全，及采集、存儲(chǔ)、傳輸、

處理、交換、銷毀六個(gè)階段，達(dá)到合法采集、合理利用、靜態(tài)可知、動(dòng)態(tài)可控的防護(hù)目標(biāo)。

>合法采集：利用大數(shù)據(jù)分揀技術(shù)，使企業(yè)在法律約束范圍內(nèi)合法采集敏感數(shù)據(jù)；

>合理利用：通過(guò)建立數(shù)據(jù)模型，以及對(duì)數(shù)據(jù)的敏感級(jí)別進(jìn)行劃分，設(shè)立不同的訪問(wèn)層級(jí)，

在數(shù)據(jù)被開發(fā)利用前做好防護(hù)措施，杜絕非法濫用；

>靜態(tài)可知：對(duì)存儲(chǔ)中的靜態(tài)數(shù)據(jù)進(jìn)行掃描發(fā)現(xiàn)，并展示數(shù)據(jù)的分布；

>動(dòng)態(tài)可控：對(duì)流動(dòng)的數(shù)據(jù)進(jìn)行監(jiān)控，防止數(shù)據(jù)在交互、共享中有意無(wú)意的泄露。

第2章需求分析

2.1數(shù)據(jù)安全建設(shè)的合規(guī)需求

在符合國(guó)家要求的同時(shí)，也要符合行業(yè)要求，因此合規(guī)需求是非常關(guān)鍵的。現(xiàn)在環(huán)境很多，云

計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等等環(huán)境中都存在的各類要求中提到的個(gè)人信息和重要數(shù)據(jù)，

個(gè)人信息和重要數(shù)據(jù)應(yīng)該如何追蹤、如何防護(hù)，就成為我們強(qiáng)烈的需求點(diǎn)。

2.2數(shù)據(jù)的分級(jí)防護(hù)需求

想更好的做到數(shù)據(jù)安全，就應(yīng)該對(duì)數(shù)據(jù)進(jìn)行分級(jí)，針對(duì)不同級(jí)別的數(shù)據(jù)進(jìn)行有針對(duì)性的防范

措施，從而實(shí)現(xiàn)數(shù)據(jù)的分級(jí)防護(hù)。由于數(shù)據(jù)的種類繁多，也要根據(jù)業(yè)務(wù)的不同對(duì)數(shù)據(jù)做好分類，

將數(shù)據(jù)的分類與分級(jí)進(jìn)行有效的關(guān)聯(lián)，就可以讓數(shù)據(jù)安全達(dá)到最優(yōu)的效果，難度顯而易見，需要

科學(xué)的方法來(lái)解決此問(wèn)題。

第3章現(xiàn)狀及風(fēng)險(xiǎn)分析

依據(jù)國(guó)標(biāo)《數(shù)據(jù)安全能力成熟度模型》中定義的數(shù)據(jù)生存周期來(lái)看，數(shù)據(jù)的生命存期周期為采集、

存儲(chǔ)、傳輸、處理、交換、銷毀，對(duì)數(shù)據(jù)生存周期風(fēng)險(xiǎn)有了全面的了解，有利于構(gòu)建數(shù)據(jù)安全方

案體系，基于數(shù)據(jù)的全生命周期各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)及管理辦法如下所示，為了解決數(shù)據(jù)安全的風(fēng)險(xiǎn)，

就應(yīng)該有管理上的制度和原則來(lái)約束和處置，也需要有技術(shù)手段來(lái)監(jiān)督與保護(hù)。

3.1數(shù)據(jù)采集風(fēng)險(xiǎn)

非法獲取、數(shù)據(jù)偽造：利用爬蟲類工具對(duì)數(shù)據(jù)進(jìn)行非法獲取，為了獲取利潤(rùn)，甚至對(duì)數(shù)據(jù)進(jìn)

行偽造，直接發(fā)送數(shù)據(jù)到各種平臺(tái)中，用來(lái)對(duì)受害人進(jìn)行誘騙，對(duì)社會(huì)和國(guó)家造成不良影響。

應(yīng)對(duì)此風(fēng)險(xiǎn)應(yīng)對(duì)明確數(shù)據(jù)采集責(zé)任人，加強(qiáng)數(shù)據(jù)外送管理，開展常態(tài)化審計(jì)工作，禁止直接

發(fā)送采集數(shù)據(jù)。

3.2數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)

非法訪問(wèn)、非法竊取：外部黑客會(huì)利用漏洞攻擊、木馬注入、弱配置、APT等攻擊行為對(duì)系統(tǒng)

進(jìn)行入侵，從而盜取數(shù)據(jù)，甚至對(duì)數(shù)據(jù)進(jìn)行偽造，更有嚴(yán)重的會(huì)對(duì)數(shù)據(jù)造成不可修復(fù)的破壞。

應(yīng)對(duì)此風(fēng)險(xiǎn)應(yīng)加強(qiáng)訪問(wèn)控制、記錄和審計(jì)，建立容災(zāi)備份與恢復(fù)機(jī)制，關(guān)鍵級(jí)數(shù)據(jù)要加密存

儲(chǔ)，重要級(jí)數(shù)據(jù)按需模糊化脫敏處理。

3.3數(shù)據(jù)傳輸風(fēng)險(xiǎn)

網(wǎng)絡(luò)監(jiān)聽、數(shù)據(jù)竊?。簮阂馊藛T利用工具對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行竊聽，從而竊取保密數(shù)據(jù)，

從而利用竊取到的數(shù)據(jù)，不正當(dāng)獲利。

應(yīng)對(duì)此風(fēng)險(xiǎn)應(yīng)對(duì)重要數(shù)據(jù)需加密傳輸，限制違規(guī)設(shè)備接入，保留日志記錄以備審計(jì)、禁止采

用移動(dòng)介質(zhì)傳輸數(shù)據(jù)。

3.4數(shù)據(jù)處理風(fēng)險(xiǎn)

數(shù)據(jù)濫用：在數(shù)據(jù)處理的階段會(huì)產(chǎn)生數(shù)據(jù)濫用的問(wèn)題，數(shù)據(jù)沒有進(jìn)行分級(jí)管控，人員也沒有

做好權(quán)限的規(guī)范。

應(yīng)對(duì)此風(fēng)險(xiǎn)應(yīng)遵循“誰(shuí)使用，誰(shuí)負(fù)責(zé)”原則，建立數(shù)據(jù)使用審核機(jī)制，測(cè)試環(huán)境與運(yùn)營(yíng)環(huán)境

隔離，盡量使用線上方式操作數(shù)據(jù)。

3.5數(shù)據(jù)交換風(fēng)險(xiǎn)

明文交互、隱私侵犯：在數(shù)據(jù)交換的環(huán)節(jié)上，隨著數(shù)據(jù)被共享交換的次數(shù)越來(lái)越多，讓數(shù)據(jù)

價(jià)值也變得越來(lái)越高，個(gè)人信息與重要數(shù)據(jù)也包含在交換的數(shù)據(jù)中，為個(gè)人、企業(yè)，甚至國(guó)家都

帶來(lái)了極大的風(fēng)險(xiǎn)，因此要做好防范，杜絕明文數(shù)據(jù)交換，防止隱私被侵犯。

應(yīng)對(duì)此風(fēng)險(xiǎn)應(yīng)對(duì)外提供數(shù)據(jù)需嚴(yán)格審核，內(nèi)部傳輸數(shù)據(jù)需評(píng)估風(fēng)險(xiǎn)，數(shù)據(jù)共享遵循最小化原

則。

3.6數(shù)據(jù)銷毀風(fēng)險(xiǎn)

違規(guī)恢復(fù)、偽刪除：數(shù)據(jù)的生命周期最后一個(gè)環(huán)節(jié)是數(shù)據(jù)銷毀，在此環(huán)節(jié)會(huì)存在已刪除數(shù)據(jù)

被非法違規(guī)恢復(fù)的現(xiàn)象，在業(yè)務(wù)系統(tǒng)中銷毀數(shù)據(jù)時(shí)也存在頁(yè)面上看到是數(shù)據(jù)已刪除狀態(tài)，但在存

儲(chǔ)中原始數(shù)據(jù)依然存在的現(xiàn)象，及偽刪除。

應(yīng)對(duì)此風(fēng)險(xiǎn)應(yīng)對(duì)銷毀數(shù)據(jù)確保徹底清除,離線數(shù)據(jù)副本確保無(wú)法還原，杜絕數(shù)據(jù)偽刪除現(xiàn)象。

第4章系統(tǒng)解決方案

4.1數(shù)據(jù)安全解決方案建設(shè)思路

在數(shù)據(jù)安全建設(shè)體系上我們提出“一個(gè)中心，四個(gè)領(lǐng)域，五個(gè)階段"的頂層設(shè)計(jì)。一個(gè)中心

是指以數(shù)據(jù)安全防護(hù)為中心。四個(gè)領(lǐng)域是指的數(shù)據(jù)安全建設(shè)的四個(gè)領(lǐng)域：組織建設(shè)、制度流程，

技術(shù)工具和人員能力。五個(gè)階段是指的數(shù)據(jù)安全建設(shè)的五個(gè)階段：業(yè)務(wù)梳理，分級(jí)分類，策略制

定，技術(shù)管控，優(yōu)化改進(jìn)。

在數(shù)據(jù)安全建設(shè)體系中，組織建設(shè)、制度流程，技術(shù)工具，人員能力，四個(gè)領(lǐng)域都需要同步

開展建設(shè)工作，組織層面，決策層、管理層、執(zhí)行層必須在數(shù)據(jù)安全建設(shè)領(lǐng)域達(dá)成一致，數(shù)據(jù)安

全建設(shè)工作必須得到組織高層的支持。組織高層在數(shù)據(jù)安全領(lǐng)域的戰(zhàn)略目標(biāo)應(yīng)該能夠被管理層和

執(zhí)行層實(shí)現(xiàn)。

我們?nèi)粘Ｋf(shuō)的“三分技術(shù)七分管理”也好“七分技術(shù)三分管理”也罷，都是在表明，管理

是技術(shù)的運(yùn)營(yíng)依據(jù)、技術(shù)是管理的落地保障。所以兩者要相輔相成，跳一不可。

合

規(guī)

需

求

流程發(fā)展方針管理制度流程.規(guī)范計(jì)劃、表格

&制度組織戰(zhàn)略管理規(guī)范指南、標(biāo)準(zhǔn)報(bào)告、日志

業(yè)

技術(shù)分級(jí)數(shù)據(jù)泄露數(shù)據(jù)權(quán)限

務(wù)

分類保護(hù)防護(hù)標(biāo)準(zhǔn)管理審批

需工具

求

數(shù)據(jù)全生存周期

數(shù)據(jù)采集數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸II數(shù)據(jù)處理11數(shù)據(jù)交換11數(shù)據(jù)銷毀

數(shù)據(jù)安全建設(shè)體系

在這里，我們借鑒了Gartner的數(shù)據(jù)安全治理框架，定義了數(shù)據(jù)安全建設(shè)的五個(gè)階段。形成

了綠盟的數(shù)據(jù)安全方法論?？偨Y(jié)起來(lái)就是五個(gè)字“知”、“識(shí)”、“控”、“察”、“行

>知：分析政策法規(guī)、梳理業(yè)務(wù)及人員對(duì)數(shù)據(jù)的使用規(guī)范，定義敏感數(shù)據(jù)；

>識(shí)：根據(jù)定義好的敏感數(shù)據(jù)，利用工具對(duì)全網(wǎng)進(jìn)行敏感數(shù)據(jù)掃描發(fā)現(xiàn)，對(duì)發(fā)現(xiàn)的數(shù)據(jù)進(jìn)

行數(shù)據(jù)定位、數(shù)據(jù)分類、數(shù)據(jù)分級(jí)。

>控：根據(jù)敏感數(shù)據(jù)的級(jí)別，設(shè)定數(shù)據(jù)在全生命周期中的可用范圍，利用規(guī)范和工具對(duì)數(shù)

據(jù)進(jìn)行細(xì)粒度的權(quán)限管控。

>察：對(duì)數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)察，保障數(shù)據(jù)在可控范圍內(nèi)正常使用的同時(shí)，也對(duì)非法的數(shù)據(jù)行

為進(jìn)行了記錄，為事后取證留下了清晰準(zhǔn)確的日志信息。

>行：對(duì)不斷變化的數(shù)據(jù)做持續(xù)性的跟蹤，提供策略優(yōu)化與持續(xù)運(yùn)營(yíng)的服務(wù)。

4.2數(shù)據(jù)安全解決方案建設(shè)流程

4.2.1業(yè)務(wù)數(shù)據(jù)梳理

在組織與制度設(shè)計(jì)方面，傳統(tǒng)網(wǎng)絡(luò)安全均由n,部門負(fù)責(zé)，隨著數(shù)據(jù)治理工作的深入開展，業(yè)

務(wù)部門要深入?yún)⑴c數(shù)據(jù)資產(chǎn)梳理以及分級(jí)分類工作之中，因?yàn)橹挥袠I(yè)務(wù)部門是最了解數(shù)據(jù)價(jià)值與

重要性的。因此需要自上而下形成高層牽頭，橫跨業(yè)務(wù)部門與安全部門的組織架構(gòu)。由信息安全

管理團(tuán)隊(duì)和數(shù)據(jù)業(yè)務(wù)管理團(tuán)隊(duì)共同商討建立數(shù)據(jù)安全制度流程體系。制定好制度體系應(yīng)該以文檔

化的方式進(jìn)行落地管理。從最高級(jí)的方針戰(zhàn)略，到最細(xì)節(jié)的表格日志，都應(yīng)該由不同層級(jí)的團(tuán)隊(duì)

負(fù)責(zé)進(jìn)行文檔化的落地，并嚴(yán)格執(zhí)行。在相應(yīng)的業(yè)務(wù)組織與管理制度指導(dǎo)下，企業(yè)才能更好的開

展后續(xù)建設(shè)工作。

4.2.2定義與識(shí)別敏感數(shù)據(jù)

開展數(shù)據(jù)安全治理的第一步就是：定義什么是敏感數(shù)據(jù)，基于業(yè)務(wù)特點(diǎn)進(jìn)行數(shù)據(jù)的識(shí)別、數(shù)

據(jù)分類、數(shù)據(jù)分級(jí)。數(shù)據(jù)分類分級(jí)的準(zhǔn)確清晰，是后續(xù)數(shù)據(jù)保護(hù)的基礎(chǔ)。由于數(shù)據(jù)類型不同，對(duì)

企業(yè)影響不同，我們建議根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求對(duì)個(gè)人信息和重要數(shù)據(jù)分開進(jìn)

行評(píng)估與定級(jí)，再按照就高不就低的原則對(duì)數(shù)據(jù)條目進(jìn)行整體定級(jí)。

4.2.3數(shù)據(jù)全生存周期安全風(fēng)險(xiǎn)評(píng)估

完成敏感數(shù)據(jù)分類分級(jí)后，就要到風(fēng)險(xiǎn)識(shí)別的步驟：發(fā)現(xiàn)哪里有敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)進(jìn)

行梳理與風(fēng)險(xiǎn)評(píng)估。敏感數(shù)據(jù)發(fā)現(xiàn)與數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的工作要結(jié)合人工服務(wù)和專業(yè)工具共同完成。

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估可以從數(shù)據(jù)的生存周期角度逐個(gè)考慮，這里引用國(guó)標(biāo)GB/T37988-2019《信

息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》DSMM架構(gòu)圖中的數(shù)據(jù)生存周期安全的步驟：數(shù)據(jù)采集安

全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全。

數(shù)據(jù)生存周期安全風(fēng)險(xiǎn)評(píng)估

綠盟科技研發(fā)了敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)估系統(tǒng)，可以實(shí)現(xiàn)智能數(shù)據(jù)分類分級(jí)、全網(wǎng)數(shù)據(jù)資產(chǎn)

測(cè)繪、實(shí)時(shí)數(shù)據(jù)流轉(zhuǎn)測(cè)繪、大數(shù)據(jù)平臺(tái)風(fēng)險(xiǎn)掃描的能力。結(jié)合上綠盟的數(shù)據(jù)安全評(píng)估服務(wù)，從數(shù)

據(jù)生存周期各個(gè)階段評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，應(yīng)該可以幫助您解決很大部分的敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)

估問(wèn)題。

4.2.4數(shù)據(jù)安全縱深防護(hù)

針對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)，應(yīng)以數(shù)據(jù)為中心，向外對(duì)業(yè)務(wù)、網(wǎng)絡(luò)、設(shè)備、用戶采取“零信任”的

態(tài)度，既然每個(gè)環(huán)節(jié)都不可信，那么管控手段就要覆蓋全部環(huán)節(jié)，任意環(huán)節(jié)失信后都能實(shí)現(xiàn)熔斷

保護(hù)。

用戶側(cè)、終端側(cè)、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)側(cè)，以及數(shù)據(jù)中心，都要做好安全防護(hù)措施，外向內(nèi)防攻擊

防入侵防篡改，內(nèi)向外防濫用防偽造防泄露。最關(guān)鍵的是，要對(duì)全部縱深防護(hù)環(huán)節(jié)進(jìn)行整體控

制，實(shí)現(xiàn)環(huán)境感知，可信控制和全面審計(jì)。整合多層次的縱深防御，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)阻止安

全問(wèn)題?？傊覀兊姆雷o(hù)宗旨是認(rèn)證好人并允許其通過(guò)，識(shí)別壞人并阻斷其訪問(wèn)。

4.2.5敏感數(shù)據(jù)監(jiān)察分析

敏感數(shù)據(jù)監(jiān)察分析、發(fā)現(xiàn)安全問(wèn)題與異常事件?？梢钥紤]從用戶、資產(chǎn)和數(shù)據(jù)的行為模式出

發(fā)，利用5W1H分析模型來(lái)進(jìn)行敏感數(shù)據(jù)行為分析，基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件。也就是我們

常說(shuō)的UEBAo

基于歷史的可信訪問(wèn)行為提取訪問(wèn)規(guī)則，利用各類算法進(jìn)行行為聚類，形成可劃分的訪問(wèn)行

為簇并可視化呈現(xiàn)。通過(guò)這種圖譜分析與可視化展示讓管理者對(duì)于敏感數(shù)據(jù)訪問(wèn)情況，由一無(wú)所

知轉(zhuǎn)變?yōu)榭梢暱晒堋?/p>

4.2.6優(yōu)化改進(jìn)與持續(xù)運(yùn)營(yíng)

當(dāng)我們具備“知識(shí)控察”的能力后，不代表我們的數(shù)據(jù)是安全的。業(yè)務(wù)是在變的，數(shù)據(jù)也是

在變的。因此我們的安全也是要不斷變化的。為了應(yīng)對(duì)變化，我們?cè)凇爸R(shí)控察”的基礎(chǔ)上提出

了“行”，這是一個(gè)動(dòng)詞，代表著對(duì)數(shù)據(jù)安全的優(yōu)化改進(jìn)與持續(xù)運(yùn)營(yíng)。

登》zsFauus

在大的層面，合規(guī)要求指導(dǎo)安全策略的設(shè)置，安全策略支撐合規(guī)治理要求的落地，二者相輔

相成，配合上持續(xù)優(yōu)化改進(jìn)運(yùn)營(yíng)的“知識(shí)控察行”體系，實(shí)現(xiàn)持續(xù)自適應(yīng)的數(shù)據(jù)安全防護(hù)能力。

業(yè)務(wù)梳理

數(shù)據(jù)分類

數(shù)據(jù)分級(jí)

敏感數(shù)據(jù)發(fā)現(xiàn)

數(shù)據(jù)資產(chǎn)測(cè)繪

識(shí)

4.3數(shù)據(jù)安全解決方案應(yīng)用場(chǎng)景

綠盟數(shù)據(jù)安全解決方案，圍繞著數(shù)據(jù)安全合規(guī)性管理、個(gè)人信息安全保護(hù)、重要數(shù)據(jù)安全保

護(hù)來(lái)設(shè)計(jì)多種安全應(yīng)用場(chǎng)景。

?最上層為展示層，主要通過(guò)數(shù)據(jù)安全管控平臺(tái)進(jìn)行數(shù)據(jù)安全的四種視圖展示，分別為數(shù)

據(jù)資產(chǎn)視圖、數(shù)據(jù)流轉(zhuǎn)視圖、數(shù)據(jù)風(fēng)險(xiǎn)視圖、數(shù)據(jù)事件視圖。

?中間層為管理層，從綠盟數(shù)據(jù)安全方法論的角度出發(fā)，通過(guò)數(shù)據(jù)安全管控平臺(tái)做數(shù)據(jù)安

全管理層面的集成，分別為數(shù)據(jù)梳理、數(shù)據(jù)識(shí)別、數(shù)據(jù)安全防護(hù)、風(fēng)險(xiǎn)分析與事件監(jiān)測(cè)、

數(shù)據(jù)安全運(yùn)營(yíng)。

?最底層為能力層，通過(guò)各種產(chǎn)品能力來(lái)解決數(shù)據(jù)安全生存周期中的各種安全問(wèn)題。

管理層制定統(tǒng)一的管理策略下發(fā)給能力層，由能力層來(lái)實(shí)現(xiàn)安全效果的落地，而能力層會(huì)將

收集到的各類日志信息輸送給管理層，從而實(shí)現(xiàn)全面的數(shù)據(jù)分析，再通過(guò)展現(xiàn)層及時(shí)的進(jìn)行可視

化展示與告警。

數(shù)據(jù)安全合規(guī)性管理

個(gè)人信息安全保護(hù)■重要數(shù)據(jù)安全保護(hù)

4.3.1數(shù)據(jù)梳理與風(fēng)險(xiǎn)評(píng)估

>數(shù)據(jù)系統(tǒng)基礎(chǔ)調(diào)研：對(duì)關(guān)鍵數(shù)據(jù)及用戶敏感信息的數(shù)據(jù)系統(tǒng)進(jìn)行初步調(diào)研；

>關(guān)鍵數(shù)據(jù)定義及分級(jí)：對(duì)各系統(tǒng)中關(guān)鍵數(shù)據(jù)及用戶敏感信息等數(shù)據(jù)進(jìn)行定義，并對(duì)關(guān)鍵

數(shù)據(jù)、用戶敏感信息按重要性進(jìn)行分類、分級(jí)；

>數(shù)據(jù)生命周期梳理：從數(shù)據(jù)的采集、存儲(chǔ)、傳輸、處理、共享、銷毀等環(huán)節(jié)入手，覆蓋

人員、設(shè)備、系統(tǒng)三要素，梳理各系統(tǒng)在各數(shù)據(jù)生命周期環(huán)節(jié)中相關(guān)網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)詳情；

>數(shù)據(jù)安全合規(guī)性檢測(cè)：從數(shù)據(jù)安全制度管理、數(shù)據(jù)安全運(yùn)營(yíng)管理、數(shù)據(jù)安全生命周期管

理等緯度梳理數(shù)據(jù)合規(guī)性安全現(xiàn)狀；

>業(yè)務(wù)安全合規(guī)性檢測(cè)：對(duì)網(wǎng)絡(luò)數(shù)據(jù)與用戶數(shù)據(jù)集中的業(yè)務(wù)應(yīng)用進(jìn)行金庫(kù)模式安全性、批

量數(shù)據(jù)違規(guī)獲取、身份認(rèn)證安全性、敏感信息模糊化、系統(tǒng)授權(quán)管理、防撞庫(kù)攻擊安全

性等多方面業(yè)務(wù)安全合規(guī)性檢測(cè)；

>數(shù)據(jù)安全管理制度建設(shè)：在安全管理制度的制定、落實(shí)和審查的三個(gè)環(huán)節(jié)上形成可持續(xù)

完善的機(jī)制；

>網(wǎng)絡(luò)數(shù)據(jù)泄露防護(hù):通過(guò)采用DLP等網(wǎng)絡(luò)數(shù)據(jù)泄漏技術(shù)監(jiān)測(cè)手段,及人工主動(dòng)干預(yù)方式，

對(duì)疑似泄漏渠道進(jìn)行分析驗(yàn)證，對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行識(shí)別、發(fā)現(xiàn)和處理；

>數(shù)據(jù)保護(hù)審計(jì)策略制定：對(duì)系統(tǒng)制定相關(guān)數(shù)據(jù)保護(hù)審計(jì)制度及詳細(xì)審計(jì)策略，包括網(wǎng)絡(luò)

數(shù)據(jù)安全保護(hù)審計(jì)、業(yè)務(wù)符合性審計(jì)等；

>數(shù)據(jù)保護(hù)安全審計(jì)服務(wù)：從數(shù)據(jù)的采集、存儲(chǔ)、傳輸、處理、共享、銷毀等環(huán)節(jié)入手，

建立、健全相關(guān)審計(jì)機(jī)制，并定期開展專項(xiàng)審計(jì)工作；

>安全檢查支撐服務(wù)：針對(duì)上級(jí)單位安全檢查、重大活動(dòng)期間專項(xiàng)保障等期間提供支撐服

務(wù)。

數(shù)據(jù)梳理與風(fēng)險(xiǎn)評(píng)估服務(wù)企業(yè)帶來(lái)的價(jià)值主要體現(xiàn)在：

>形成全局?jǐn)?shù)據(jù)分布情況，奠定分級(jí)分類管理基礎(chǔ)

>全方位了解數(shù)據(jù)安全現(xiàn)狀與所面臨的安全威脅

登》zsFauus

＞提供專業(yè)整改建議，促進(jìn)系統(tǒng)整改

＞建立標(biāo)準(zhǔn)化、規(guī)范化、專業(yè)化數(shù)據(jù)安全管理體系

＞提升數(shù)據(jù)安全技術(shù)防護(hù)水平

＞針對(duì)性地、有序地進(jìn)行各項(xiàng)日常數(shù)據(jù)安全工作和開展數(shù)據(jù)安全建設(shè)

4.3.2運(yùn)維數(shù)據(jù)安全防護(hù)

隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大、設(shè)備數(shù)量激增，建

設(shè)重點(diǎn)逐步從網(wǎng)絡(luò)平臺(tái)建設(shè)，轉(zhuǎn)向以深化應(yīng)用、提升效益為特征的運(yùn)行維護(hù)階段，IT系統(tǒng)運(yùn)維

與安全管理正逐漸走向融合。信息系統(tǒng)的安全運(yùn)行直接關(guān)系企業(yè)效益，構(gòu)建一個(gè)強(qiáng)健的IT運(yùn)維

安全管理體系對(duì)企業(yè)信息化的發(fā)展至關(guān)重要，對(duì)運(yùn)維的安全性也提出了更高要求。

巴

日常工作監(jiān)管法律法規(guī)遵循事后追溯

通過(guò)對(duì)運(yùn)維數(shù)據(jù)安全防許多企業(yè)和單位需要滿足通過(guò)事后畝計(jì)信息可

護(hù)可以對(duì)運(yùn)維人員和合國(guó)家或者行業(yè)監(jiān)管部門的以對(duì)發(fā)生的安全事件

作伙伴的日常操作情況法律法規(guī)要求（如等級(jí)保護(hù)、進(jìn)行追溯，保留一份

做防護(hù)和記錄，方便監(jiān)企業(yè)內(nèi)控制度等）.不能修改不可刪除的

管。

4.3.2.1運(yùn)維統(tǒng)一監(jiān)管

堡壘機(jī)做為專業(yè)的運(yùn)維監(jiān)管系統(tǒng)，提供了先進(jìn)的運(yùn)維安全管控與審計(jì)能力，是運(yùn)維數(shù)據(jù)防護(hù)

的第一道防線，其目標(biāo)是幫助企業(yè)轉(zhuǎn)變傳統(tǒng)IT安全運(yùn)維被動(dòng)響應(yīng)的模式，建立面向用戶的集

中、主動(dòng)的運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，對(duì)運(yùn)維數(shù)據(jù)的訪問(wèn)行為實(shí)現(xiàn)全面的審計(jì)，滿

足合規(guī)要求，保障企業(yè)效益。

堡壘機(jī)通過(guò)邏輯上將人與目標(biāo)設(shè)備分離，建立“人-＞主賬號(hào)（堡壘機(jī)用戶賬號(hào)）授權(quán)-＞從

賬號(hào)（目標(biāo)設(shè)備賬號(hào)）-＞目標(biāo)設(shè)備”的管理模式；在此模式下，通過(guò)基于唯一身份標(biāo)識(shí)的集中賬

登》zsFauus

號(hào)與訪問(wèn)控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器等無(wú)縫連接，實(shí)現(xiàn)集中精

細(xì)化運(yùn)維操作管控與審計(jì)。

堡壘機(jī)為企業(yè)帶來(lái)的價(jià)值主要體現(xiàn)在：

>可幫助企業(yè)建立面向用戶的集中、有序、主動(dòng)的運(yùn)維安全管控平臺(tái)；

>通過(guò)基于唯一身份標(biāo)識(shí)的集中賬號(hào)與訪問(wèn)控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連

接，實(shí)現(xiàn)集中精細(xì)化運(yùn)維操作管控與審計(jì)；

>對(duì)運(yùn)維數(shù)據(jù)實(shí)時(shí)監(jiān)控，日志+錄屏雙重審計(jì)，保障運(yùn)維數(shù)據(jù)行為安全；

>降低人為安全風(fēng)險(xiǎn)，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

4.3.2.2數(shù)據(jù)庫(kù)審計(jì)與防護(hù)

近年來(lái)，隨著數(shù)據(jù)篡改、泄密等事件的頻繁爆發(fā)，行業(yè)用戶已經(jīng)普遍意識(shí)到數(shù)據(jù)庫(kù)訪問(wèn)疏于

監(jiān)管所帶來(lái)的巨大危害，數(shù)據(jù)庫(kù)審計(jì)與防護(hù)產(chǎn)品受到空前關(guān)注。其中就包括數(shù)據(jù)庫(kù)審計(jì)和數(shù)據(jù)庫(kù)

防火墻。

數(shù)據(jù)庫(kù)審計(jì)是通過(guò)對(duì)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)流量的采集，利用數(shù)據(jù)庫(kù)協(xié)議解析與還原技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)

庫(kù)所有訪問(wèn)行為的監(jiān)控和審計(jì)、對(duì)其中的危險(xiǎn)操作進(jìn)行多種方式的告警、對(duì)數(shù)據(jù)庫(kù)訪問(wèn)行為進(jìn)行

多維度的統(tǒng)計(jì)并進(jìn)行圖形化展現(xiàn)。

數(shù)據(jù)庫(kù)防火墻是利用數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)，基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)行

為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。

數(shù)據(jù)庫(kù)防火墻數(shù)據(jù)庫(kù)

將數(shù)據(jù)庫(kù)審計(jì)與數(shù)據(jù)庫(kù)防火墻結(jié)合使用，就實(shí)現(xiàn)了具有集數(shù)據(jù)庫(kù)IPS、IDS和審計(jì)功能為一體

的綜合安全防護(hù)能力。

現(xiàn)如今正處于一種多環(huán)境數(shù)據(jù)共享的時(shí)代，如傳統(tǒng)環(huán)境、云環(huán)境、大數(shù)據(jù)環(huán)境等，因此對(duì)數(shù)

據(jù)庫(kù)的審計(jì)與防護(hù)產(chǎn)品就需要做適配變化，傳統(tǒng)環(huán)境依然采用傳統(tǒng)硬件部署，云環(huán)境應(yīng)滿足虛擬

化要求實(shí)現(xiàn)軟件化部署或者探針模式部署，大數(shù)據(jù)環(huán)境一般都應(yīng)滿足分布式部署的要求，最終可

以通過(guò)集中管控形成統(tǒng)一監(jiān)管的模式。

數(shù)據(jù)庫(kù)監(jiān)控平臺(tái)

數(shù)據(jù)庫(kù)審計(jì)與防護(hù)為客戶價(jià)值帶來(lái)的價(jià)值包括:

>防止外部黑客攻擊;

>防止內(nèi)部高危操作;

>防止敏感數(shù)據(jù)泄漏;

>審計(jì)追蹤非法行為。

4.3.2.3大數(shù)據(jù)安全運(yùn)維

大數(shù)據(jù)的思想及其初步應(yīng)用已經(jīng)惠及人們的日常生活，與大數(shù)據(jù)相互依存的云計(jì)算技術(shù)、物

聯(lián)網(wǎng)、智慧城市等新的應(yīng)用模式同時(shí)印證了其在信息化時(shí)代的重要地位。隨著數(shù)據(jù)的價(jià)值越來(lái)越

重要，大數(shù)據(jù)的安全穩(wěn)定也逐漸被重視，在大數(shù)據(jù)時(shí)代，無(wú)論對(duì)于數(shù)據(jù)本身的保護(hù)，還是對(duì)與由

數(shù)據(jù)而演變的一些信息的安全，都對(duì)大數(shù)據(jù)環(huán)境提出了更高的要求。雖然大數(shù)據(jù)安全與大數(shù)據(jù)業(yè)

務(wù)是相對(duì)應(yīng)的，但對(duì)于業(yè)務(wù)和環(huán)境的維護(hù)將更為重要，大數(shù)據(jù)安全運(yùn)維將包含風(fēng)險(xiǎn)檢查、控制防

護(hù)、審計(jì)監(jiān)控三個(gè)方面。

>風(fēng)險(xiǎn)檢查：可以發(fā)現(xiàn)大數(shù)據(jù)組件漏洞與配置威脅、定位大數(shù)據(jù)中的敏感數(shù)據(jù)，讓運(yùn)維人

員對(duì)大數(shù)據(jù)環(huán)境中的數(shù)據(jù)風(fēng)險(xiǎn)了如指掌。

>控制防護(hù)：通過(guò)實(shí)時(shí)獲取請(qǐng)求者、環(huán)境和被訪問(wèn)數(shù)據(jù)三要素的屬性信息，觸發(fā)相應(yīng)的訪

問(wèn)控制策略，從而實(shí)現(xiàn)訪問(wèn)控制的動(dòng)態(tài)管理，降低企業(yè)的管理和運(yùn)營(yíng)成本。

>審計(jì)監(jiān)控：針對(duì)大數(shù)據(jù)環(huán)境中的各個(gè)組件的數(shù)據(jù)調(diào)用與交互，準(zhǔn)確的對(duì)數(shù)據(jù)進(jìn)行審計(jì)、

回溯、風(fēng)險(xiǎn)控制、職權(quán)分離、操作過(guò)程回話等功能，同時(shí)生成訪問(wèn)日志，為運(yùn)維人員提

供可分析的有效數(shù)據(jù)。

大數(shù)據(jù)安全運(yùn)維為客戶價(jià)值帶來(lái)的價(jià)值包括：

>大數(shù)據(jù)組件風(fēng)險(xiǎn)全面監(jiān)控；

>準(zhǔn)確定位敏感數(shù)據(jù)的安全風(fēng)險(xiǎn)，快速預(yù)警；

>敏感數(shù)據(jù)訪問(wèn)動(dòng)態(tài)管理，權(quán)限明確，風(fēng)險(xiǎn)可控；

>日志全面完整，為事后回溯提供有利數(shù)據(jù)支撐。

4.3.3業(yè)務(wù)數(shù)據(jù)安全防護(hù)

隨著信息技術(shù)日新月異的發(fā)展，近些年來(lái)，企業(yè)利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與各重要業(yè)務(wù)系統(tǒng)相結(jié)

合，可以實(shí)現(xiàn)無(wú)紙辦公。有效地提高了工作效率，如外部門戶網(wǎng)站系統(tǒng)、內(nèi)部網(wǎng)站系統(tǒng)、辦公自

動(dòng)化系統(tǒng)等。然而信息化技術(shù)給我們帶來(lái)便利的同時(shí)，各種網(wǎng)絡(luò)與信息系統(tǒng)安全問(wèn)題也逐漸暴露

出來(lái)，業(yè)務(wù)數(shù)據(jù)泄露事件頻發(fā).因此要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全防護(hù)，保障業(yè)務(wù)系統(tǒng)中的靜態(tài)數(shù)據(jù)、

動(dòng)態(tài)數(shù)據(jù)的安全。

Web服務(wù)器旗件漏洞防護(hù)

Webil用防護(hù)

（SQCS入信令注入）防崢站入

非法下載限制

法上傳防護(hù)

Webshell防護(hù)

敏感信息過(guò)濾

網(wǎng)絡(luò)層訪問(wèn)控制（信用卡、身份證號(hào)等）

URL訪問(wèn)控制：限制敏感路暴力破解防護(hù)

徑的訪問(wèn)，對(duì)數(shù)據(jù)庫(kù)文件.

格的訪問(wèn)控制.

密碼文件、管理員賬戶嚴(yán)格敏感信息防泄漏

策略

限制HTTP訪問(wèn)權(quán)限.

4.3.3.1WEB應(yīng)用數(shù)據(jù)防護(hù)

Web應(yīng)用防火墻（簡(jiǎn)稱WAF）將客戶資產(chǎn)作為組織Web安全解決方案的依據(jù)，用黑、白名單機(jī)

制相結(jié)合的完整防護(hù)體系，通過(guò)精細(xì)的配置將多種Web安全檢測(cè)方法連結(jié)，并整合成熟的DDoS攻

擊抵御機(jī)制，能夠抵御各類Web安全威脅和拒絕服務(wù)攻擊，并以較低的運(yùn)營(yíng)成本為各種機(jī)構(gòu)提供

透明在線部署、路由旁路部署、鏡像部署和云部署，能方便快捷的部署上線，保衛(wèi)您的Web應(yīng)用

數(shù)據(jù)免遭當(dāng)前和未來(lái)的安全威脅。

根據(jù)典型的業(yè)務(wù)數(shù)據(jù)泄露事件可分為五種防護(hù)場(chǎng)景：

>網(wǎng)站訪問(wèn)控制：不僅可以達(dá)到權(quán)限控制的效果，還可以做到誤報(bào)糾正；

>網(wǎng)頁(yè)篡改在線防護(hù)：提供事中防護(hù)以及事后補(bǔ)償?shù)脑诰€防護(hù)；

>敏感信息泄漏防護(hù)：可以識(shí)別并防護(hù)敏感數(shù)據(jù)泄漏，滿足合規(guī)與審計(jì)要求；

>虛擬站點(diǎn)防護(hù)：能對(duì)一個(gè)IP對(duì)應(yīng)多個(gè)不同域名的虛擬站點(diǎn)場(chǎng)景進(jìn)行防護(hù)。

4.3.3.2業(yè)務(wù)數(shù)據(jù)脫敏

數(shù)據(jù)脫敏技術(shù)可實(shí)現(xiàn)自動(dòng)化發(fā)現(xiàn)源數(shù)據(jù)中的敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)按需進(jìn)行漂白、變形、

遮蓋等處理，避免敏感信息泄露。同時(shí)又能保證脫敏后的輸出數(shù)據(jù)能夠保持?jǐn)?shù)據(jù)的一致性和業(yè)務(wù)

的關(guān)聯(lián)性。

數(shù)據(jù)脫敏技術(shù)可以滿足為開發(fā)環(huán)境、測(cè)試環(huán)境、培訓(xùn)環(huán)境等提供脫敏后的生產(chǎn)數(shù)據(jù)，也可于

為數(shù)據(jù)交易、數(shù)據(jù)交換、數(shù)據(jù)分析等第三方數(shù)據(jù)應(yīng)用場(chǎng)景提供適用的敏感信息泄露防護(hù)作用。

門戶網(wǎng)站

脫或后數(shù)據(jù)I

138****9214

135?…4325

136….4991

各種業(yè)務(wù)系統(tǒng)動(dòng)態(tài)脫敏

脫敝后數(shù)據(jù)

數(shù)據(jù)脫敏系統(tǒng)

靜態(tài)脫敏

業(yè)務(wù)開發(fā)測(cè)試

各種數(shù)據(jù)庫(kù)EaZM

SQLServerMYSQLOracle

以防止數(shù)據(jù)泄漏為核心點(diǎn)，最大限度的保證脫敏后數(shù)據(jù)的特征、結(jié)構(gòu)、邏輯及各類數(shù)據(jù)間的

關(guān)聯(lián)性、連續(xù)性、業(yè)務(wù)性。通過(guò)對(duì)客戶業(yè)務(wù)數(shù)據(jù)的深度了解，保證整個(gè)業(yè)務(wù)系統(tǒng)正常運(yùn)行。

4.3.4主機(jī)數(shù)據(jù)安全防護(hù)

當(dāng)前無(wú)紙化辦公己經(jīng)普遍應(yīng)用，辦公環(huán)境中每位員工都擁有獨(dú)立的辦公終端，企業(yè)的研發(fā)源

代碼，財(cái)務(wù)、政券信息，運(yùn)營(yíng)資料，人資等敏感數(shù)據(jù)以不同的文件形式存在于每個(gè)人的終端電腦

及存儲(chǔ)服務(wù)器中，員工通過(guò)辦公終端接入網(wǎng)絡(luò)，連接到各種業(yè)務(wù)系統(tǒng)、各類服務(wù)器進(jìn)行數(shù)據(jù)的使

用與交換，很難對(duì)敏感數(shù)據(jù)進(jìn)行準(zhǔn)確的定位和分析發(fā)現(xiàn)。

數(shù)據(jù)在辦公環(huán)境中的類型多種多樣，大體可分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)

據(jù)，還可按形態(tài)分為存儲(chǔ)中的靜態(tài)數(shù)據(jù)和使用中的動(dòng)態(tài)數(shù)據(jù)。

對(duì)數(shù)據(jù)的操作包括：創(chuàng)建、復(fù)制、編輯、剪切、截屏、保存、另存為、刪除等。

數(shù)據(jù)傳輸途徑包括：USB、打印、刻錄、共享、網(wǎng)絡(luò)上傳、郵件、論壇、微博、聊天工具、

網(wǎng)盤，還有其他外設(shè)。

當(dāng)前無(wú)論是終端，網(wǎng)絡(luò)還是管理方面，都對(duì)敏感數(shù)據(jù)的泄漏存在有很大的風(fēng)險(xiǎn)。因此，需要

采取相應(yīng)的措施來(lái)消除這些威脅，降低整體安全風(fēng)險(xiǎn)，確保內(nèi)部辦公環(huán)境下的數(shù)據(jù)安全，具體防

護(hù)方案可以歸納為以下幾個(gè)方面：

4.3.4.1終端風(fēng)險(xiǎn)統(tǒng)一管控

實(shí)現(xiàn)全網(wǎng)終端的病毒查殺、攻擊防御、漏洞修復(fù)、軟件管理、行為管控、外設(shè)管理、流量管

控、遠(yuǎn)程維護(hù)等管理。

持續(xù)威脅跟蹤，詳細(xì)日志審計(jì)，云、界、端立體式防御框架及與第三方無(wú)逢聯(lián)動(dòng)對(duì)接，讓隱

藏的APT攻擊一鑒無(wú)余。

勒索病毒主動(dòng)防御機(jī)制，漏洞一鍵全網(wǎng)修復(fù)，嚴(yán)格外設(shè)管控，郵件、下載及共享等邊界實(shí)時(shí)

監(jiān)控，有效防范勒索病毒及其變種威脅。

惡意代碼實(shí)時(shí)防御，規(guī)范內(nèi)網(wǎng)終端使用，外設(shè)嚴(yán)格管理，保證內(nèi)網(wǎng)環(huán)境安全，降低數(shù)據(jù)泄漏

及破壞、業(yè)務(wù)中斷風(fēng)險(xiǎn)。

4.3.4.2終端檢測(cè)與響應(yīng)

以端點(diǎn)檢測(cè)與響應(yīng)技術(shù)為核心，實(shí)時(shí)檢測(cè)未知威脅并快速響應(yīng)。適用于服務(wù)器、云主機(jī)、移

動(dòng)/智能終端、工控主機(jī)、物聯(lián)網(wǎng)終端等設(shè)備，支持Windows.Linux及國(guó)產(chǎn)操作系統(tǒng)，能輕松適

應(yīng)各種規(guī)模和IT架構(gòu)的企業(yè)，大大提升用戶的安全主動(dòng)防護(hù)能力。

我們熟知針對(duì)終端的網(wǎng)絡(luò)威脅有很多種，如APT攻擊、勒縈病毒、挖礦木馬、Oday漏洞利

用。這種攻擊行為我們很難預(yù)知，但是只要終端遭到入侵后，其系統(tǒng)內(nèi)部狀態(tài)或環(huán)境肯定會(huì)發(fā)生

變化，這種變化包括文件的創(chuàng)建修改、進(jìn)程的運(yùn)行、系統(tǒng)函數(shù)及接口的調(diào)用、配置的修改、用戶

及權(quán)限、網(wǎng)絡(luò)連接、系統(tǒng)資源的變化等。綠盟終端檢測(cè)與響應(yīng)系統(tǒng)通過(guò)可信特征管理、綜合行為

檢測(cè)、基線橫向分析和安全沙箱等方式對(duì)用戶的行為進(jìn)行分析。通過(guò)上述4層檢測(cè)機(jī)制的逐級(jí)分

析，可有效發(fā)現(xiàn)已知和未知的威脅。為保證檢測(cè)行為的準(zhǔn)確性和可控性，在提供自動(dòng)化分析處理

機(jī)制外，系統(tǒng)也提供了便于管理員進(jìn)行人工輔助干預(yù)的接口，可人工定義信任或威脅的文件和行

為，從而對(duì)自動(dòng)化判定篩選后的結(jié)果進(jìn)行微調(diào)。并對(duì)這些行為進(jìn)行采取記錄、阻斷、隔離、清除

等響應(yīng)措施。

自適應(yīng)策略管理|態(tài)勢(shì)可視化|人工輔助干預(yù)

檢測(cè)子系統(tǒng)響應(yīng)子系統(tǒng)

4.3.4.3數(shù)據(jù)訪問(wèn)安全

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對(duì)于企業(yè)具

有特別重要的意義。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型

的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主

要是指信息的完整性、可用性、保密性和可靠性。但是，對(duì)于不同的企業(yè)和行業(yè)來(lái)說(shuō)，其對(duì)信息

安全的要求和重點(diǎn)卻是有區(qū)別的。最重要的問(wèn)題是不能在對(duì)非法（非授權(quán)）獲?。ㄔL問(wèn)）不加防

范的條件下傳輸信息。

對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，往往有許多內(nèi)部資源需要開放，但是又擔(dān)心數(shù)據(jù)安全問(wèn)題。安全認(rèn)證網(wǎng)

關(guān)服務(wù)能提供對(duì)API、WEB資源的訪問(wèn)保護(hù)，使其在訪問(wèn)時(shí)需經(jīng)過(guò)身份驗(yàn)證才可獲取資源。

統(tǒng)一身份系統(tǒng)就是用來(lái)規(guī)范保護(hù)用戶賬號(hào)信息的關(guān)鍵技術(shù)環(huán)節(jié)，也是未來(lái)邊界安全新定義。

通過(guò)單點(diǎn)登錄一次一密的會(huì)話機(jī)制，使用戶的賬號(hào)信息從根源上防范不被竊取，從而保護(hù)用戶數(shù)

據(jù)信息的安全。

無(wú)論是員工、合作伙伴還是客戶，可以在任何時(shí)間、任何地點(diǎn)，通過(guò)任何終端設(shè)備，都可以

借助我們的安全認(rèn)證網(wǎng)關(guān)和統(tǒng)一身份認(rèn)證平臺(tái)，對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行認(rèn)證防護(hù)。

云平臺(tái)

VPC

Web

WEB

訪問(wèn)鏈路加密單點(diǎn)登錄

P一口地址隱藏認(rèn)證授權(quán)Web

安全認(rèn)證統(tǒng)一身份

網(wǎng)關(guān)認(rèn)證平臺(tái)

堡壘機(jī)Web防火墻數(shù)據(jù)庫(kù)審計(jì)

安全管理子網(wǎng)

4.3.4.4數(shù)據(jù)外發(fā)途徑防護(hù)

基于敏感信息識(shí)別技術(shù)的防護(hù)對(duì)辦公終端的數(shù)據(jù)泄露途徑進(jìn)行全面的監(jiān)控。

可管理通過(guò)終端泄漏敏感數(shù)據(jù)的多個(gè)途徑，如打印，u盤拷貝，硬盤對(duì)拷，藍(lán)牙/紅外發(fā)送

文件,光盤刻錄，文件共享，IM發(fā)送聊天內(nèi)容/傳送附件，如QQ,RTX等，郵件客戶端發(fā)送郵

件，如OUTLOOK,FOXMAIL。

可自定義設(shè)置終端PC外設(shè)端口的開啟和關(guān)閉，當(dāng)端口關(guān)閉后，端口將不可工作，不可進(jìn)行

信息的傳輸，如，USB,光盤驅(qū)動(dòng)設(shè)備，串口驅(qū)動(dòng)設(shè)備，并口驅(qū)動(dòng)設(shè)備，藍(lán)牙驅(qū)動(dòng)設(shè)備，紅外驅(qū)動(dòng)

設(shè)備等。

4.3.4.5關(guān)鍵數(shù)據(jù)加密使用防護(hù)

在不影響本地原有明文文檔的情況下，無(wú)障礙使用密文文檔。敏感數(shù)據(jù)在加密前后對(duì)于數(shù)據(jù)

合法使用者無(wú)任何差異，不增加用戶負(fù)擔(dān)、不改變?nèi)魏喂ぷ髁鞒碳笆褂昧?xí)慣。文件的保存加密、

打開解密完全由后臺(tái)加解密驅(qū)動(dòng)內(nèi)核自動(dòng)完成，對(duì)用戶而言完全透明、無(wú)感知。

可根據(jù)文檔密級(jí)按照組織架構(gòu)（部門、用戶、項(xiàng)目組等）對(duì)文件進(jìn)行密級(jí)標(biāo)識(shí)及授權(quán)管理，

只允許合法授權(quán)用戶根據(jù)分配權(quán)限受控使用；非授權(quán)用戶即使獲取到數(shù)據(jù)也將無(wú)法查閱。

對(duì)文檔設(shè)置只讀、打印、修改、再次授權(quán)、閱讀次數(shù)及生命周期等權(quán)限，授權(quán)用戶只能按照

規(guī)定好的權(quán)限進(jìn)行使用，無(wú)法通過(guò)屬性修改、內(nèi)容復(fù)制、副本另存等方式越權(quán)使用。

登》zsFauus

通過(guò)內(nèi)容復(fù)制/粘貼、拖拽、副本另存為、截屏/錄屏、打印等方式對(duì)文檔內(nèi)容進(jìn)行移植及轉(zhuǎn)

儲(chǔ)，需要對(duì)用戶上述操作行為進(jìn)行安全控制。

4.3.4.6數(shù)據(jù)離網(wǎng)交換安全

當(dāng)數(shù)據(jù)需要與第三方進(jìn)行合作編輯，或交由第三方審閱時(shí)，為了保證數(shù)據(jù)在交互中不會(huì)被泄

露，應(yīng)采取全面的數(shù)據(jù)隔離機(jī)制來(lái)達(dá)到安全的效果。

利用沙盒技術(shù)與透明加解密相結(jié)合，創(chuàng)建一個(gè)完全隔離的安全空間，再將需要交換的數(shù)據(jù)放

入此空間，只有擁有密鑰和權(quán)限的人員才能打開此空間。

認(rèn)證方式包括：口令、KEY、機(jī)器碼、口令+機(jī)器碼。

權(quán)限包括：只讀、編輯、拷屏、打印、水印、限時(shí)、限次、自動(dòng)銷毀。

4.3.4.7用戶上網(wǎng)行為監(jiān)管

上網(wǎng)行為管理主要解決內(nèi)部員工上網(wǎng)帶來(lái)的工作效率低下、帶寬濫用、惡意軟件感染、內(nèi)部

信息泄漏以及法律合規(guī)等問(wèn)題。

員工通過(guò)網(wǎng)絡(luò)可以查找資料、溝通交流和從事電子商務(wù)等，但是相應(yīng)的多種問(wèn)題伴隨而生，例

如：

?與工作無(wú)關(guān)的P2P和在線視頻等應(yīng)用占用帶寬；

?與工作無(wú)關(guān)的聊天、炒股、游戲、博客和在線購(gòu)物等活動(dòng)影響工作效率；

?員工隨意在網(wǎng)絡(luò)上發(fā)帖和傳輸文件導(dǎo)致機(jī)密泄露；

?員工上網(wǎng)容易受到病毒、木馬和蠕蟲等攻擊和感染；

?員工通過(guò)網(wǎng)絡(luò)從事一些黃賭毒等違法活動(dòng)；

?員工瀏覽和發(fā)布不良言論導(dǎo)致企業(yè)面臨法律風(fēng)險(xiǎn)。

為解決以上一系列的問(wèn)題，綠盟科技憑借在應(yīng)用識(shí)別庫(kù)和網(wǎng)絡(luò)安全等全方面的多年積累，可

實(shí)現(xiàn)員工上網(wǎng)行為的管理、帶寬的限制和確保員工上網(wǎng)安全等，可以極大提高員工的辦公效率和

帶寬利用率，防止機(jī)密數(shù)據(jù)泄密和員工通過(guò)網(wǎng)絡(luò)從事違法活動(dòng)。

4.3.4.8網(wǎng)絡(luò)數(shù)據(jù)外發(fā)監(jiān)控

支持多協(xié)議的敏感信息識(shí)別與監(jiān)控能力?？梢员O(jiān)控包含附件的SMTP,包含上傳下載文件的

HTTP,FTP,還有包含上傳文件的NNTP。還能夠監(jiān)控主流的IM協(xié)議(QQ,RTX),可正確分辨HTTP

隧道中的IM流量。

在一個(gè)事件產(chǎn)生時(shí)，系統(tǒng)可以自動(dòng)的發(fā)送郵件警告給用戶、用戶經(jīng)理，IT管理員。郵件的

主題，信體等內(nèi)容均可以定制。

全流量采集安全流量

IP/協(xié)議I

4分析/應(yīng)用

分析

HTTP

FTP

文件

SMTPGM