数据安全治理——数据安全治理技术支撑框.docx

数据安全治理——数据安全治理技术支撑框.docx精品文档
精品文档
1
精品文档
数据安全治理技术支撑框
一. 数据安全治理的技术挑战
实施数据安全治理的组织，一般都具有较为发达和完善的信息化水平，数据资产庞大，涉及的数据使用方式多样化，数据使用角色繁杂，数据感数据是如何被业务系统访问的（时间、流量、操作类型、语句）；
敏感数据是如何被运维人员访问的（IP、用户、操作）。
3、数据状况的可视化呈现技术
通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化
的形式呈现；比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、敏感数据的范围权限图：
精品文档
精品文档
12
精品文档
精品文档
精品文档
8
精品文档
图数据资产分布图
精品文档
精品文档
9
精品文档
数据访问热度图
精品文档
精品文档
12
精品文档
敏感数据账号和授权状况概况图
4、数据资产的管理系统支撑
基于静态梳理、动态梳理和可视化展现技术，建立数据资产的登记、准入、准出和定期核查。
精品文档
精品文档
11
精品文档
以自动流量分析技术完成存量资产梳理图
精品文档
精品文档
12
精品文档

1、数据运维审批技术
堡垒机技术
堡垒机是当前最常用的进行运维管控的工具，包括对数据库的运维管控；堡垒机通过将运维工具集中到指定设备上，所有对数据库的运维操作都将在这个设备上完成。但堡垒机对数据库的运维大多仅能控制到库这个级别，无法控制到更细粒度的对象如表或列；同时对于图形化的运维工具无法作到控制，仅能作到录屏。
数据库专业运维管控技术
数据库的专业运维管控工具可以控制到表和列级，可以控制到各种数据
库操作；同时可以精确控制到具体的语句，控制语句执行的时间，控制执行的阈值；同时满足事前审批，事中控制的模式；满足金融或运营商行业所需要的金库模式，这将极大提高数据库运维管控的准确性：
数据库安全运维审批流程示意
2、防止黑客攻击的数据库防火墙技术
运维管控系统是对内部人员对敏感数据访问行为的管理；但敏感数据除了内部人员外，也要面临黑客的攻击和入侵，或者第三方外包人员利用黑客技术突破常规的权限控制；因此需要
通过数据库防火墙技术实现对于漏洞攻击的防御，包括SQL注入类的外部攻击，以及提权漏洞、缓冲区溢出漏洞和TNS漏洞等。
精品文档
精品文档
13
精品文档
数据库防火墙技术中最核心技术——虚拟补丁技术
3、数据库存储加密技术
数据库的存储加密是保证数据在物理层得到安全保障的关键，加密技术
的关键是要解决几个核心问题 ：
a)加密与权控技术的整合 ；
b)加密后的数据可快速检索：可考虑通过密文索引技术（但需要操作系统的兼容）或保序加密技术。
应用透明技术：数据加密后原有应用系统不需要改造，可选择的技术包括三层视图技术，或者保留格式加密技术。
4、数据库脱敏技术
数据库脱敏技术，是解决数据模糊化的关键技术；通过脱敏技术来解
决生产数据中的敏感信息在测试环境、开发环境和 BI分析环境的安全。
数据访问控制技术 -脱敏技术
精品文档
精品文档
14
精品文档
在脱敏技术中的关键技术包括 ：
精品文档
精品文档
12
精品文档
a)数据含义的保持：脱敏后的数据仍然具有原始数据类型所要求的格式、 内置关系，如身份证、
地址、人名脱敏后依然需要是身份证、地址、人名；
数据间关系的保持：需要不同表间相同数据、不同库间相同数据，在脱敏后依然是相同数据，保证数据间的映射关系；
增量数据脱敏：对于大规模数据的增量，能在原有数据的基础上持续性地快速脱敏，从而保障在某些测试或分析环境中数据相对的及时性；
可逆脱敏：在BI分析环境下，用户信息等关键性信息需要被脱敏；但在BI分析的结果，重点关注的用户，需要回到生产环境下时，可以还原为真实的用户信息，以进行行销；
动态脱敏：在一些环境下，需要保持数据共享的及时性，但又要避免数据的泄露；因此需要对在不将数据重新生成一份脱敏副本的情况下提供给第三方。需要针对不同的用户，根据数据的共享和安全需要，对不同的数据集进行脱敏；
f)大数据脱敏：随着MongoDB、Hadoop、Redis等大数据技术的使用，脱敏技术更多地被需要。