数据安全治理.docx

: .
数据安全治理技术支撑框数据安全治理的技术挑战实施数据安全治理的组织，一般都具有较为发达和完善的信息被运维人员访问的（IP、用户、操作）。
3、数据状况的可视化呈现技术通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化的形式呈现；比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、敏感数据的范围权限图：
资产分布Top
图数据资产分布图数据访问热度图
概况统计
mmw27个3720个ww5246个桂。*1955个
瞄炸
W63KP
欢中心篥F摩
制
142J
ISS
三童中「.榄
!11
10j6
28^6
129i
]f2IM1
$*0
mi
国K控
22
12J1
IVHUBM
m
1KQ
敏感数据账号和授权状况概况图4、数据资产的管理系统支撑基于静态梳理、动态梳理和可视化展现技术，建立数据资产的登记、准入、准出和定期核查。
教犀库环境
以自动流量分析技术完成存量资产梳理图
、数据运维审批技术(1)堡垒机技术堡垒机是当前最常用的进行运维管控的工具，包括对数据库的运维管控；堡垒机通过将运维工具集中到指定设备上，所有对数据库的运维操作都将在这个设备上完成。但堡垒机对数据库的运维大多仅能控制到库这个级别，无法控制到更细粒度的对象如表或列；同时对于图形化的运维工具无法作到控制，仅能作到录屏。
(2)数据库专业运维管控技术数据库的专业运维管控工具可以控制到表和列级，可以控制到各种数据库操作；同时可以精确控制到具体的语句，控制语句执行的时间，控制执行的阈值；同时满足事前审批，事中控制的模式；满足金融或运营商行业所需要的金库模式，这将极大提高数据库运维管控的准确性：
数据库安全运维审批流程示意2、防止黑客攻击的数据库防火墙技术运维管控系统是对内部人员对敏感数据访问行为的管理；但敏感数据除了内部人员外，也要面临黑客的攻击和入侵，或者第三方外包人员利用黑客技术突破常规的权限控制；因此需要通过数据库防火墙技术实现对于漏洞攻击的防御，包括SQL注入类的外部攻击，以及提权漏洞、缓冲区溢出漏洞和TNS漏洞等。
IM捋丁gBUS柘陀庭了T安全异，无需升孙映补丁，叩可防止通过已翻■用撤招库的段市,开橱咬防止Q0叩攻击.
坟由
.淑攫皆屋只理，查电为了修星鼠质湖财携致的W股
•
・全面Rfi洞题，N杜麻英型,也际氓闩区还出、西幡衣iff斩壬入爵数据库防火墙技术中最核心技术——虚拟补丁技术
3、数据库存储加密技术数据库的存储加密是保证数据在物理层得到安全保障的关键，加密技术的关键是要解决几个核心问题：
a）加密与权控技术的整合；b）加密后的数据可快速检索：可考虑通过密文索引技术（但需要操作系统的兼容）或保序加密技术。
c）应用透明技术：数据加密后原有应用系统不需要改造，可选择的技术包括三层视图技术，或者保留格式加密技术。
4、数据库脱敏技术数据库脱敏技术，是解决数据模糊化的关键技术；通过脱敏技术来解决生产数据中的敏感信息在测试环境、开发环境和BI分析环境的安全。
升岌际垸!
烈武压境
■Ji*■a^iILbKBkaJ
510Q3L19WOJ2532411317^32^2391369G20199204247828**********j110230**********X**********[51102319«60813106118SOQ185539143**********Z58221891L2J8735|W3811990031026231320??27715降酷f230029199311239734**********DB^aker
数据访问控制技术-脱敏技术
在脱敏技术中的关键技术包括内置关系，如身份证、
a）数据含义的保持：脱敏后的数据仍然具有原始数据类型所要求的格式、地址、人名脱敏后依然需要是身份证、地址、人名；b）数据间关系的保持：需要不同表间相同数据、不同库间相同数据，在脱敏后依然是相同数据，保证数据间的映射关系；c）增量数据脱敏：对于大规模数据的增量，能在原有数据的基础上持续性地快速脱敏，从而保障在某些测试或分析环境中数据相对的及时性；d）可逆脱敏：在BI分析环境下，用户信息等关键性信息需要被脱敏；但在BI分析的结果,重点关注的用户，需要回到生产环境下时