实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。
数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。
数据安全状况梳理技术挑战
组织需要确定敏感性数据在系统内部的分布情况,其中的关键问题在于如何在成百上千的数据库和存储文件中明确敏感数据的分布;组织需要确定敏感性数据是如何被访问的,如何掌握敏感数据在被什么系统、什么用户以什么样的方式访问;组织需要迅速确定当前的账号和授权状况,清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况,明确当前权控是否具备适当的基础。
在敏感数据访问和管控技术方面,细分至五个方面的挑战:
(1)如何将敏感数据访问的审批在执行环节有效落地
对于敏感数据的访问、对于批量数据的下载要进行审批制度,这是数据治理的关键;但工单的审批若是在执行环节无法有效控制,访问审批制度仅仅是空中楼阁。
(2)如何对突破权控管理的黑客技术进行防御
基于数据库的权限控制技术,在基于漏洞的攻击的基础上将很容易被突破。
(3)如何在保持高效的同时实现存储层的加密
基于文件层和硬盘层的加密将无法与数据库的权控体系结合,对运维人员无效;如何实现存储加密、权限控制和快速检索的整体解决,是这一问题的关键,只有这样的存储加密才能保证安全的同时数据剋用。
(4)如何实现保持业务逻辑后的数据脱敏
对于测试环境、开发环境和bi分析环境中的数据需要对敏感数据模糊化,但模糊化的数据保持与生产数据的高度仿真,是实现安全有可用的基础。
(5)如何实现数据提取分发后的管控
数据的共享是数据的基本使用属性,但数据的复制是没有痕迹的;数据分发后如何保证数据不回被流转到失控的环境,或者被复制后可溯源,这是数据提取分发管理的关键。
1、如何实现对账号和权限变化的追踪
定期地对账号和权限变化状况进行稽核,是保证对敏感数据的访问在既定策略和规范内的关键;但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪的关键。
2、如何实现全面的日志审计
在新的网络安全法出台后全面的数据访问审计要求,日志存储要求6个月;在新的等保中要求,云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑,1000亿数据以上的存储、检索与分析能力上,均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中没切实落地的关键。
3、如何快速实现对异常行为和潜在风险的发现与告警
数据治理中,有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模,在海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。
只有深刻了解数据安全治理过程中所面临的一系列技术难题和挑战,我们才能针对这些问题不断寻求应对方法,做到对症下药。我们将在后续文章中,重点针对这些技术关卡给出相应的技术支撑思路。
试用申请