首页 > 其他分享 >如何让数据安全管理工作化繁为简?uDSP 十问十答

如何让数据安全管理工作化繁为简?uDSP 十问十答

时间:2023-05-19 17:04:58浏览次数:59  
标签:安全 十问 访问 uDSP 数据安全 敏感数据 数据 化繁为简

数据安全管理工作与国家数据安全、企业资产保护以及个人信息保护工作息息相关。复杂、多元、流通的数据也给数据安全带来了更多的威胁和挑战,如数据资产管理、分类分级问题,数据安全集中管控问题,数据共享与流通问题等。原点安全一体化数据安全平台 uDSP 致力于帮助企业将繁琐、繁重的数据安全管理工作变得简单高效,化繁为简。


Q1 原点安全的 uDSP 是什么?与 Gartner 提出的 DSP 有什么关联?

uDSP (unified Data Security Platform),是原点安全采用云原生技术栈构建的一体化数据安全平台产品与服务。2020年,原点安全提出“数据访问安全层”技术理念,即在访问数据的工具、应用和数据源中间构建一层“数据访问安全层”,将保护数据所需的安全能力汇总在这一层去实现,以敏感数据保护为核心,将跨多种数据类型、存储系统和生态系统的数据保护所需的安全能力整合在一起,即一体化数据安全平台 uDSP。

2021年,Gartner发布了《2021 安全运营技术成熟度曲线》的报告,即《Hype Cycle for Security Operations, 2021》,正式提出 DSP 概念。DSP(Data Security Platform)数据安全平台被定义为以数据发现和识别技术为核心特征的产品和服务,旨在为跨多种数据类型、存储系统和生态系统的数据所需的安全需求提供一体化协同的集成方式。具备敏感数据的一致可见性、数据安全能力高度集成、策略平面与控制对象分离、多维角色协作的流水线、简化高效的部署和运维等重要安全能力。这点与原点安全基于数据访问安全层构建的产品能力不谋而合。

原点安全所打造的 uDSP 能够从敏感数据发现、识别、保护、监督到治理的一体化技术保护措施和协同机制,符合当下技术发展趋势与行业实际所需。

Q2  一体化数据安全平台 uDSP 具备哪些能力?

敏感数据目录是原点 uDSP 的核心产品功能,基于敏感数据智能识别引擎,自动识别和标注敏感数据类型和安全级别,帮助用户从安全视角梳理敏感数据资产,支持实现数据访问控制、访问认证代理、数据自助授权、数据动态脱敏、数据流转轨迹、数据安全审计等诸多功能。

● 数据访问控制

针对自定义的数据集以及用户/用户组,配置并执行访问控制策略, 能够允许、拒绝或告警特定用户对特定数据集的访问;支持根据敏感数据类型、 控制动作、访问类型、有效时间、主体位置、执行路径配置访问控制策略。

● 访问自助授权

提供预授权、审批授权等自助模式,对于临时发起的数据访问请求, 通过访问权限自动化配置,实现审批即授权、承诺即授权;通过数据访问权限配置的流程化、 自动化,极大降低数据运维人员的手工作业量。

● 访问认证代理

通过虚拟账号口令代替数据源真实账号口令的用户访问认证代理机制, 降低数据源口令的泄露风险;可实施细粒度到人的即时管控,以及监管高危特权,同时,在遵从安全合规制度的要求定期更换数据源口令时,不会对数据业务造成任何影响。

● 动态数据脱敏

数据安全人员按应用场景配置脱敏算法和脱敏规则组合,根据用户、有效时间、主体位置、执行路径、数据集合、敏感数据类型等条件配置数据交付策略;实现应用前端展示的敏感数据动态脱敏,无需修改应用程序代码,进行业务应用改造。

● 数据访问审计

全面审计数据访问活动,详细记录应用用户访问数据的日志, 包括时间戳、应用用户、应用访问路径、数据库用户、数据源、 数据位置、访问类型、SQL 请求、数据量、敏感数据等相关信息。支持云数据库审计日志和平台日志的自动融合。

● 数据访问轨迹

全面精准地记录应用层数据活动的上下文信息, 自动构建端到端、全链路的敏感数据流动轨迹;可视化呈现 “用户->应用->数据位置->敏感数据类型”的数据流转路径、 访问行为习惯和敏感访问热度,支持钻取式分析,为进一步的安全审计和风险分析建立基础信息。


Q3  uDSP 是如何实现敏感数据发现、识别、保护、监督到治理的一体化的?

原点安全认为解决复杂问题需要创新的数据技术架构,而传统单点产品技术能力已不足以应对。为了保护数据安全,应该尽可能贴近数据源,以提高数据识别准确度和保护效果的直接性。同时,应该具备分层解耦的能力,将数据安全与业务应用解耦,使跨部门与组织的协同更容易实现。显而易见,该技术应该能力集成,实现多种数据安全能力以满足多种业务需求。

正是基于这样的思考,原点安全首创的技术架构理念“数据访问安全层”(DASL,Data Access Security Layer),用于实现数据源中敏感数据的访问控制和交付控制,旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。

DASL 提供的数据安全基础能力包括但不限于:敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等;并能够根据具体的业务场景和需求,通过合适的安全策略编排这些数据安全基础能力,保护敏感数据的安全性和合规性,同时提高了敏感数据的可追溯性和可审计性,能够更好地监控敏感数据的访问和使用情况。


Q4 uDSP 目前支持哪些数据库类型?不同数据源能否实现统一安全管控?

uDSP 支持 MySQL、PGSQL,传统的 Oracle、SQL Server,Hadoop 大数据系统,国产数据库系统等;无论这些数据库系统部署在公有云上,还是部署在本地数据中心;无论是云端自建的数据库系统,还是云原生的数据库服务。

同时,针对当前各种孤岛式建设、异构、跨生态系统的数据库现状。使用  uDSP 可以实现不同的数据源使用相同的管控策略。通过配置统一的数据集合、数据交付策略,数据访问策略达到对不同数据源的统一安全管控。

uDSP 平台能够将这些安全策略整合为统一的数据安全策略,一条策略就能够编排不同的安全控制功能,形成协同联动的能力。


Q5 uDSP 对于数据访问是如何管控的?

企业客户当下往往面临各种孤岛式、异构、跨生态系统的数据库以及愈加细分的安全场景,以往分散的数据保护措施难以实现统一的策略编排。通过 uDSP 产品的一体化数据安全保护策略编排,将各种核心能力整合为一个整体,满足各种应用场景下的数据保护需求。

uDSP 支持事前预防、事中管控、事后审计的全链路敏感数据管控,如事前的权限管控配置,事中监督记录敏感数据访问流转轨迹,事后基于数据监督结果,不断调整数据保护措施与运营策略。动态构建由业务用户、业务应用、API 路径、原点用户、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的流转轨迹,同时可呈现位置、时间、次数等关联信息。基于链路节点和上下文信息自定义敏感数据访问的监督看板,提升事中监督和事后溯源效能。

例如,面对数据查询人员对返回数据做限制问题,uDSP 能够通过数据交付策略,数据访问策略达到对用户行为的管控。或限制某个部员只能访问某些类型的数据,能够访问的数据是否脱敏,限制一次查询返回的行数等。

Q6 对外报送数据或通过 API 接口对外提供数据时,uDSP 能否做到相应的管控?

数据访问安全层(DASL),能够统一对数据访问和数据交付实施安全合规管控。因此,无论是通过工具导出数据,还是通过 API 调用获取数据都会经过 DASL,uDSP 可根据访问者、访问数据的敏感类型、访问的数据对象等属性作为策略执行的控制条件。

此外,针对 API 接口外发数据的场景,uDSP 可以审计到调用者的身份标识、API URL 等上下文信息,同时可作为策略执行的控制条件,实施精准、场景化的保护策略。


Q7 能否列举一个典型的数据保护场景?

案例:某险企数据分析人员数据访问合规治理


业务场景

  • 本地数据中心建设数据仓库和数据中台,数据分析业务应用和 BI 工具场景十分复杂,内部自研了 10+ 套分析类业务系统,还有采购的商业化 BI 工具多套;
  • 数据分析工程师和业务人员 300+,访问数据的人员数量多,变化较为频繁;


需求痛点

  • 需满足安全合规部门提出的敏感数据脱敏、数据安全审计要求敏感数据资产不清,脱敏规则配置复杂低效;
  • 数据权限的精细化管控依赖不同的数据库系统、BI 工具和业务应用自身的授权机制,无法统一管理,变更困难;
  • 维护“行权限”数据视图需要大量手工作业,难以满足自助式交互数据分析的时效需求,部分 BI 工具不支持“行权限;


原点解决方案

为数据团队提供了一体化数据安全平台 uDSP,与数据权限审批流程集成,在实现数据持续保护和安全合规的同时,赋能数据管理和数据使用部门,实现“自助式”数据访问服务,提升数据提供的便捷性,提高工作效率。


Q8 uDSP 可以适用于哪些数据安全治理场景? 

uDSP 产品的应用场景可能来自于很多部门。例如,合规部门要做个人信息保护,数据出境安全评估;安全部门对研发运维进行数据库运维的安全管控;数据部门要对数据分析应用进行敏感数据的前端界面展示脱敏……以下安全场景都可以使用原点的一体化数据安全平台 uDSP 产品进行实现:


如何让数据安全管理工作化繁为简?uDSP 十问十答_数据安全


在业务系统免改造的情况下,uDSP 可以帮助数据团队满足企业敏感数据动态脱敏、人员权限精细化控制、详尽日志审计等需求;帮助合规团队提供“一站式”服务端敏感个人信息保护与合规方案;助力安全团队帮助企业高效解决数据库运维场景下的安全管控难题,让企业管理人员可以快速了解整个系统的安全状况,为企业数据安全决策提供重要的参考依据。


Q9 使用原点安全 uDSP,是否需要修改应用代码或更换数据库客户端工具?

对于应用系统保护时,uDSP 有两种模式:仅审计;审计+保护,均不需要修改应用程序的业务代码。

  • 审计:仅需在数据库服务器部署 agent 客户端即可,应用无感。
  • 保护:应用程序仅需将连接数据库的 URL 替换为 uDSP 的代理地址。

在研发运维安全管控时,基于用户认证代理技术,可实现数据访问人员无需更改在用的数据库工具。


Q10 uDSP 支持哪些部署模式?

原点安全的 uDSP 产品提供多种灵活的产品部署模式,以适应不同企业的需求。


如何让数据安全管理工作化繁为简?uDSP 十问十答_uDSP_02


01 共享服务

原点 DAC 产品组件分布式部署在多个公有云、行业云上,提供共享 SaaS 服务接入点,您在公有云上的业务和数据源通过简单的配置,就可以就近使用这些服务接入点,便捷地享受数据安全服务。


02 实例托管

如果您的数据源部署在公有云/行业云上的私有 VPC 网络内部,或者部署在企业本地数据中心的私有云上,原点支持将 DAC 实例部署进您的私有 VPC 或本地私有云,安全管控中心仍采用 SaaS 模型,以节省您的 IT 和维护成本。


03 本地部署

对于大型企业本地数据中心的私有云场景,原点安全也支持将一体化数据安全平台的全部组件部署到您的本地环境中。


想要了解 uDSP 更多功能,不妨直接预约 demo 体验吧!


标签:安全,十问,访问,uDSP,数据安全,敏感数据,数据,化繁为简
From: https://blog.51cto.com/OriPoint/6313949

相关文章

  • ChatGPT 再遭禁用 | 人工智能时代下数据安全如何保障
    近日,三星电子宣布禁止员工使用流行的生成式AI工具,原因在于4月初三星内部发生的三起涉及ChatGPT误用造成的数据泄露事件。报道称,三星半导体设备测量资料、产品良率等内容或已被存入ChatGPT学习资料库中。去年11月上线以来,ChatGPT一直是科技领域的焦点。上线短短5天,注册用户数......
  • 互联网医院系统源码:数据安全与隐私保护问题如何解决?
    当下,互联网医院系统源码已经走进了很多人的视野中,它的作用和好处小编就不用强调了,今天我们来聊另一个话题——隐私与数据安全。在智慧医疗行业,安全问题更是重中之重,这也自然而然成为了老生常谈的一个问题。本文小编将从互联网医院系统源码的数据安全与隐私保护的意义、当前面临的挑......
  • 多线程解决数据安全问题
      只需要再引发安全问题的部分加lock就行。加锁的话其他进程不能访问的。 ......
  • 数字中国|闪捷信息受邀出席,全栈数据安全能力广受关注
    4月27日,由国家网信办、国家发改委、工信部、福建省人民政府主办的第六届数字中国建设峰会在中国福州举办。该峰会旨在通过政策发布、经验交流、成果展示等方式,推动交流互鉴,促进开放合作。闪捷信息受邀出席本届峰会发表主题演讲,全面展示全栈数据安全技术与服务能力。 01主题展区本......
  • 原点安全携“一体化数据安全平台uDSP”亮相2023中国国际金融展
    4月25日,2023中国国际金融展在北京首钢会展中心如期盛大开幕。作为我国金融业最大的全国性展览平台,本次展览以“荟萃金融科技成果,展现数字金融力量,谱写金融服务中国式现代化新篇章”为主题,全面展示金融业为完善科技创新体系、加快实现高水平科技自立自强、持续提升金融服务水平、助......
  • 防患于未然,华为云数据灾备解决方案保护企业数据安全
    失去服务能力、影响业务,而不论是电力中断、网络故障、硬件故障,还是人为操作失误或恶意破坏,以及自然灾害等都有可能导致这一“灾难”的发生,所以为了保证数据库稳定运行、损失降到最低,提前进行容灾备份是十分有必要的。 你可能会问,什么是容灾?什么又是备灾?事实上,容灾指的是当灾害发生......
  • 华为云数据灾备方案,解决数据安全痛点
    随着互联网经济的不断发展,企业生产运营需要海量数据做支撑,但同时也面临着数据安全和稳定性的挑战。如果因为突发情况导致系统宕机或者数据损失,轻则影响企业正常经营,重则导致政策监管风险增加,甚至会面临品牌价值缩水,用户信任损失等等。如何保护数据不受损失,保证业务正常进行就成为很......
  • 华为云数据灾备方案,为数据安全铸造铜墙铁壁
    信息化时代,数据毫无疑问扮演着越来越重要的角色,甚至可以说是每一个企业的生存之本。一旦发生意外而导致数据丢失,对于任何规模的企业来说,都是绝对的灾难性事件。美国明尼苏达大学甚至专门对这个问题展开过长期的追踪调查。他们的研究结果表明:在所有意外遭遇灾难导致数据丢失的企业中......
  • 一体化数据安全平台-解决方案-数据访问权限治理与合规保护
    随着分析型数据管理技术的发展,数据分析类业务在企业中的应用越来越广泛,例如BI应用、风控系统、精准营销、实时报表等。除了数据库运维人员和研发人员,诸如数据分析人员、数据工程师等许多其他岗位的人员也能够使用各种业务应用直接访问数据中台、数据仓库中的数据,以完成自己的工作任......
  • 一体化数据安全平台-解决方案-数据API监控审计
    企业的数据团队通常基于数据中台提供各种类型的数据API,供企业其他部门的业务应用系统使用和集成。在某些业务场景下,这些数据API还会提供给企业外部的合作伙伴,用于合作伙伴应用系统的集成,进行数据共享和交换。数据API的滥用或不当使用、不法分子针对暴露在互联网的数据API的注入攻击......