数据安全治理.docx

数据忧兄tstss邀
敏碱据访问管控S邀
数据治理稽核挑战
索
数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。
当前数据安全治理面临的挑战
险发
现
数据安全治理技术支撑框
一. 数据安全治理出的信息以可视化 的形式呈现；比如敏感数据的访问热度、资产在组织内不同部门或业务系统 内的分布、系统的账号和权限图、敏感数据的范围权限图：
图数据资产分布图
納度分析
Me：
妙H
数据访问热度图
慨况统计
■：.-%
在:七r； 372 个 潮脚・
5246个
(Wai* 1955t
戢据庫
ten
册6阳苦卑
|p as址
iSVWP
对SR总15
处理叱奥悸磨
19216&
62B
1*123
S55
1^2 1G8 5J1
1D3&
2B5C
1293
支It 4=亡痒
&.&fi
逊
17G1
-
道畢骨种
?2
1223
»27
1649
1520
9%
敏感数据账号和授权状况概况图
4、数据资产的管理系统支撑
基于静态梳理、动态梳理和可视化展现技术，建立数据资产的登记、准入、
准出和定期核查。
数据自动绑计5怖
以自动流量分析技术完成存量资产梳理图
数据访问管控的技术支撑
1、数据运维审批技术
(1) 堡垒机技术 堡垒机是当前最常用的进行运维管控的工具，包括对数据库的运维管控； 堡垒机通过将运维工具集中到指定设备上，所有对数据库的运维操作都将在 这个设备上完成。但堡垒机对数据库的运维大多仅能控制到库这个级别，无 法控制到更细粒度的对象如表或列；同时对于图形化的运维工具无法作到控 制，仅能作到录屏。
(2) 数据库专业运维管控技术 数据库的专业运维管控工具可以控制到表和列级，可以控制到各种数据 库操作；同时可以精确控制到具体的语句，控制语句执行的时间，控制执行 的阈值；同时满足事前审批，事中控制的模式；满足金融或运营商行业所 需要的金库模式，这将极大提高数据库运维管控的准确性：
审批人貝
运堆人员
礪询＞9翰H脚)
椅用融轆气辭删”厮
肖咖贰申灌的时.
Wlt»iS,»fnis2ft6q59
l»ftas2ft6q59iW. ®Wt
数据库安全运维审批流程示意
2、防止黑客攻击的数据库防火墙技术 运维管控系统是对内部人员对敏感数据访问行为的管理；但敏感数据除了内部人员外，也要 面临黑客的攻击和入侵，或者第三方外包人员利用黑客技术突破常规的权限控制；因此需要 通过数据库防火墙技术实现对于漏洞攻击的防御， 包括 SQL 注入类的外部攻击，以及提权 漏洞、缓冲区溢出漏洞和 TNS 漏洞等。
2忡囲霸类型
尿据炭竝
开发師規
田I -32?OJ1987Ctu22rjCt>3
369020199204247828
I 51**********J1861
I ^130381199003102623
**********
132OO532&&3
1850D185539
1^202927715
DBWdske-r
51OG3119iJOT32i>32^1 11D23D1976O521764X 43129019B709125822 230325199311239734
131/^2^239
1388467^356
**********
**********
匚舟齐丁是在数据阵夕卜创建了 Y 盍全层r无霎开嘶貓补丁 .即 可防止16过已知疇对I狡囲的取 ?击°
扌缎漏洶改击
”及时更粽同闿”驗迪了储同翻丽升蘇頑殁的问题
**■爲据
•全面的尿:祠趣・©区葢出、視限把七 游棘注入爭
数据库防火墙技术中最核心技术——虚拟补丁技术
3、数据库存储加密技术 数据库的存储加密是保证数据在物理层得到安全保障的关键，加密技术 的关键是要解决几个核心问题 ：
加密与权控技术的整合 ；
加密后的数据可快速检索 ：可考虑通过密文索引技术(但需要操作系 统的兼容)或保序加密技术。
应用透明技术 ：数据加密后原有应用系统不需要改造，可选择的技术 包括三层视图技术，或者保留格式加密技术。
4、数据库脱敏技术
数据库脱敏技术，是解决数据模糊化的关键技术；通过脱敏技术来解 决