数据安全产品部署全景图

关注公众号“数安烂笔头”，回复“标准” 可获取数据安全标准集合下载链接

---

十四届全国人大一次会议为了协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，国家成立国家数据局，由国家发展和改革委员会管理。构建以数据为关键要素的数字经济则数据要素价值要充分释放，数据开放共享成为必要前提，而数据开放共享需以安全为基础。

根据数据安全产品的用途、特性、及部署属性，业界通常把这些产品或防护措施归为事前、事中、事后三个阶段中，今天就把这些产品和主要功能特性根据自己的浅薄理解进行了一个整理总结，不当之处还望各位读者大佬指正。

关注公众号“数安烂笔头”，回复“20230310” 可获取原图

• 事前：

事前阶段主要是对资产进行梳理和漏洞扫描，做到知根知底，并进行有针对性的加固，提升敏感数据的运行环境安全性，起到预防的作用。

• 漏洞扫描：

可通过对操作系统、数据库、应用系统、网络设备、第三方插件进行扫描发现所存在的漏洞，形成扫描结果，结合漏洞风险等级、影响范围以及安全加固建议等形成风险评估报告。安全人员可根据评估报告进行评估及修复。

• 数据梳理：

通过对数据库、数据等数据资产进行识别、归类、统计、梳理，识别发现敏感数据，并根据相关的国家/行业相关标准，通过一系列技术手段自动对数据进行归并类别、统计数量、标注敏感级别，厘清系统中有哪些数据、数据的类别及级别、被哪些访问者访问、如何被应用/共享，形成数据地图，为数据的防护筑牢基础。

---

• 事中：

数据的生命周期阶段的防护措施，筑起牢固的防御系统，让数据安全而自由的使用。

• API网关：

通过采用身份识别、权限识别、身份传递、健康监控、流量管控、通道安全等技术，接管所有API服务访问请求，实施动态的访问者身份识别和权限识别，并对API服务的健康状态进行实时检查，使得API服务在自身尽量无需改造的情况下，实现安全加固，管理员能够通过统一的策略对API的访问控制进行调整；同时，API安全代理网关还提供API访问审计等功能

• 零信任应用网关

通过采用网络隐身、身份识别、权限识别、身份传递、流量管控、国密算法等技术，前置于应用系统，从而隐藏应用真实位置，并对所有受保护应用的访问请求实施动态的身份识别和权限识别，解决应用安全访问场景下的访问控制问题；同时，零信任应用网关还可提供应用单点登录登出、应用访问审计等功能

• 终端DLP

以数据智能识别和发现为基础，通过授权控制、智能隔离、安全流转、审计追溯等手段，保护企业业务系统和终端上的业务数据，保证数据的高效传输、分享和交换。

• 网络DLP

监控网络出口镜像流量，对流量内容进行内容分析识别，针对通过网络途径外发敏感数据内容的行为进行审计，一旦监测到敏感数据的外发行为，将迅速生成审计/阻断事件并上传至管理平台，由管理平台集中展示及告警通知，供管理者全面了解事件信息，提供完备的事后追溯证据

• 数据库防火墙/网关/动态脱敏

采用数据库协议分析与控制技术，基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计，【运维审批】当进行某些危险性操作或者访问敏感数据时，需安全审批后方可进行操作防止误操作或越权操作。【动态脱敏】可根据用户权限实现不同用户对敏感数据访问时的即时脱敏

• 静脱脱敏

根据内置敏感数据发现规则对数据资产内容进行随机抽样敏感字段的发现和识别，实现源数据的敏感数据识别打标功能，然后通过固定值替换、置空、乱序、统计特征保留、数据溯源等，以数据库到数据库、数据库到文件、文件到文件、文件到数据库等方式输出到目的端。

• 密钥管理系统

提供密钥全生命周期管理,包括密钥的生成、存储、使用、导入/导出、更新、备份/恢复、归档和销毁等

• 数据库加密

针对数据库中敏感数据以数据列/表/库/文件等维度进行存储加密，并在敏感数据存储加密的基础上增加独立的增强的访问授权机制，任何访问被加密数据的人或应用事先必须经过授权，拥有合法访问权限才能访问加密数据，非授权用户访问加密数据只能看到密文或者无效内容。

---

• 事后：

对数据操作进行记录审查，具有独立性和监督职责，不仅可以起到事后追责或问题溯源的作用，更应及时的发现恶意或违规操作，即时告警通知。

• UEBA

从数据安全日志或在线流量中抽取关键信息，并以用户操作行为汇总建模，同时对严重偏离模型的行为进行告警或阀值控制，帮助管理员发现数据泄密、数据违规访问、误操作的威胁。

• 数据库审计

通过对数据库镜像流量进行基于对数据库传输协议深度解析的基础上进行风险识别和告警通知。具有对数据库访问行为进行实时审计、对数据库的恶意攻击、数据库违规访问等行为识别的能力。

---

• 统一平台

除了单个节点的防护，更应有一套将整体串起来，统一管理、统一展示的平台，使得各个节点的防护能够联动起来，相互协助，提高协作效率，降低运营成本

• 数据安全管理平台

进行数据安全集中化、标准化、规范化、常态化管理，全面掌握全域敏感数据资产分类、分级及分布情况，有效监控敏感数据流转路径和动态流向，通过接口对接数据安全技术设备，集中化对数据安全管控策略统一管理，实现数据分布、流转、访问过程中的态势呈现和风险识别。

👉原文公众号链接👈