文章目录
总结
前言
数据安全平台(DSP)的“前世今生” 请看数据安全平台——DSP
数据安全平台能做什么 请看一文告诉你数据安全平台(DSP)能做什么
DSP是以数据安全为核心的保护方案,以数据发现和数据分类分级为基础,混合了多种技术来实现数据安全防护。例如:数据访问控制,数据脱敏,文件加密等,成熟的DSP也可能包含了数据活动监控和数据风险评估的功能。那么一个合格的数据安全平台产品集成了哪些安全能力单元呢?它的辅助数据安全基础设施有哪些类别?目前发展差距在哪里?本文重点介绍了DSP集成的安全产品(安全技术能力)和差距分析。
1、现阶段DSP发展差距分析
不断发展的数据安全性、合规性和数据共享需求要求组织机构的数据安全领导者具备数据安全运营的理念。
阻碍DSP 发展的重要差距包括:
- 数据安全孤岛——数据安全孤岛的现状根本无法扩展,也难以进行数字化转型。DSP 实施需要跨数据安全团队、合规人员和安全专家采用协调一致的方法。在某些大型政企机构,这些组织架构、预算流程和职责划分非常详细,DSP落地存在较大阻力。
- 敏感数据类型精细化识别和控制——大多数DSP业务厂家都具备数据发现功能,但仍然存在很大的差距,因为现有功能在扫描数据库中的数据时,并没有发现真正的敏感数据。例如,如果数据分类工具扫描到一个日期,那么它不知道它是出生日期、交易日期还是报纸文章的日期;敏感数据发现必须由 DSP 产品本地提供,并提供保护敏感数据的能力,例如数据脱敏或数据水印。
- 缺乏可集成的IT架构——单独的安全设备和云上产品需要迁移到可组合的 DSP 中。各个安全组件以可组合、可扩展、灵活和有弹性的方式部署在合适的地方,而不是每个安全工具都是独立的运行。使用云交付的 DSP 和数据安全即服务 (DSaaS) 提供的组件可能会影响某些业务的正常流程,基于云的部署模型可以显着降低业务系统复杂性、资金投入并提供更多的数据安全控制能力。
- 数据共享理念落后——安全政策要求保护数据安全,从而限制需要获取数据的员工的访问权限,然而数据只有在业务场景中充分共享时才有价值。在更广泛的共享范围内,需要更全面更先进的数据安全方法,例如 DSP 和数据安全治理。
- 建设思路落后——数据安全厂商只关注单个数据安全产品的使用周期,而不是将其产品组合重新构建为综合 DSP,缺乏数据安全持续运营的思维。
2、数据安全平台 (DSP)重要能力单元
2.1数据防泄漏 (DLP)
数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
2.2数据分类分级
通过数据梳理工具梳理全网数据资产清单、数据字典、敏感数据,形成知识库;对标行业标准,协助制定适合用户的数据分类分级标准;结合分类分级标准对全网数据资产自动进行类别、级别的识别,形成全网数据的分类分级清单,达到高效率、高准确度的数据资产分类分级。
该领域的大多数安全工具都是基于模式匹配和相对敏感级别来执行此操作的,然后将分类分级的结果记录在数据库中或打上标签对外共享。
2.3数据访问治理
这些产品专注于为非结构化数据实施数据安全访问策略。包含 DAG 的 DSP 通常提供以下安全能力:
- 数据资产扫描
- 数据分类分类
- 数据所有者识别
- 数据共享的活动监控和审计
部分安全产品能够收集用户和角色权限、敏感数据自动扫描以及监控选定关系型数据的数据库用户活动和配置。
2.4数据访问控制
结构化和非结构化数据的安全问题可以通过多种方式解决,但大多数问题的根源在于对数据的访问。例如,对数据访问的控制不当可能会导致数据泄露或通过勒索软件丢失数据,并且还会使DLP 等其他控制复杂化。此概念适用于结构化和非结构化数据,无论是位于云端还是本地。应该尽可能地实施最小特权原则,身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。
2.5数据活动监控
对审计和事务日志进行审查,从而跟踪各种对数据库操作的行为,主要记录对数据库的操作、对数据库的改变、执行该项操作的人以及其他的属性。这些数据被记录到数据库审计系统独立的平台中,并且具备较高的准确性和完整性。针对数据库活动或状态进行取证检查时,审计可以准确的反馈数据库的各种操作历史,对我们分析数据库的各类正常、异常、违规操作提供证据。
2.6数据脱敏
数据脱敏处理数据后,使其降低敏感级别,从而允许以合规的方式进行对外共享。DSP 将数据脱敏作为一种专用功能或作为标记化功能的一部分包含在内,其中可以将数据打上标签之后将数据脱敏对外使用。
数据静态脱敏系统(SDM)对敏感信息通过脱敏规则进行变形,实现敏感数据的可靠保护。数据静态脱敏系统支持数据库接口、文件接口、FTP方式脱敏。对真实数据进行改造并提供测试使用,脱敏系统具有流程化、自动化和作业复用等特点。
动态数据屏蔽 (DDM) 本质上是一种访问控制。当应用程序或人员访问数据时,DDM 会实时应用脱敏操作。原始数据驻留在数据存储库中,因此,DDM 仅为使用中的数据提供保护。当策略授权时,权限用户可以访问原始数据。相反,未授权访问敏感信息的实体将获得脱敏后的数据。非结构化/半结构化编辑 (USR) 可以通过数据编辑技术保护敏感的非结构化(PDF、Excel 文件、文本文件、日志文件等)和半结构化(XML、JSON 等)内容。
2.7数据风险分析
数据风险分析是一种数据安全方法,专注于数据以更好地配置主动安全措施。例如,数据分类标签、数据访问权限、行为数据以及数据存储的配置或漏洞可用于计算数据风险评分和其他可用于在数据泄露发生之前修复安全漏洞的数据风险指标。
DSP 可以在不同程度上具备数据风险分析能力。例如,部分DSP 有一个大屏展示,其中使用业务厂商自定义的方式计算数据风险,并以颜色区分或使用百分比分数显示。
总结
DSP理论上可以集成业务系统所需的所有安全功能,但是实际执行起来会比较麻烦,今天简单介绍的这几种安全能力单元,每个能力单元都是一个安全防护产品的缩影,后续我会详细介绍每一个产品的技术原理、使用场景、功能特性等内容。只有了解了每一个产品的功能特点和技术规范,你才会对DSP的概念更加深刻,同时数据安全运营的概念也会更加立体,从单个产品到数据安全平台,从技术工具到安全运营,数据安全的全生态场景才逐步向你展示。了解基础产品和相关思想概念之后,数据安全治理才能越做越好!
注:DSP的概念来源于Gartner的《2021数据安全技术成熟度曲线》,如有侵权,请联系我删除,以上分享仅供参考和学习, 感兴趣的的可以看看官网的分析研究2022年数据安全平台融合战略路线图
368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
