首页 > 其他分享 >Defensor 4.5:构建数据资产为中心的安全运营体系

Defensor 4.5:构建数据资产为中心的安全运营体系

时间:2024-07-10 12:53:55浏览次数:14  
标签:Defensor 4.5 网关 策略 安全 构建 数据安全 数据

5月31日“向星力”未来数据技术峰会上,星环科技重磅发布数据安全管理平台 Defensor 4.5版本。新版本引入了以数据资产为中心的数据安全运营体系,通过智能化大模型技术,帮助企业快速、精准地识别核心重要资产;建设全局的数据安全策略中心,通过多维度访问控制、策略地图、策略巡检和智能策略,实现对敏感资产的精细防控和策略配置的全面监控,解决事前策略配置不合理的问题;基于资产链路刻画技术构建资产流转链路,通过从各应用与工具日志的收集与分析,实现敏感资产风险和异常行为识别与监控,利用策略推荐技术,下发安全处置策略,实现资产安全风险预警以及应急响应。

 

数据安全智能化,一键完成数据资产分类分级

Defensor 4.5 在前序版本实现的大模型智能化分类分级基础上,通过业务知识库大幅提升了模型识别能力,并内置了更多的行业模型,包括金融、水利、医疗、快消以及个人信息通用模型等,便于各行各业企业一键完成数据资产分类分级。Defensor 首先基于行业标准训练的行业模型,在业务知识库内注入行业预置标注,当经过企业生产运营实践后,通过人工确认结果强化知识转换工具,并通过新的标注生成新的行业模型,提升行业模型分类分级准确率。

 

企业级数据安全策略中心,实现精细敏感数据访问控制

数据安全策略中心是数据安全防护的全局策略中心,支持多维度的访问控制策略,提供基于分类分级的访问策略,行列访问控制策略,防精准查询、阻断策略等,实现精细的敏感数据访问控制。同时,数据安全策略中心提供策略地图模块,帮助安全实施人员掌握当前所有数据资产的策略配置情况,获取策略防护统计信息,并可通过策略检索定位特定资产的安全防护策略现状。

其中策略巡检模块用于及时洞察资产的安全防护策略现状和潜在风险,通过巡检任务识别敏感数据资产是否配置了策略,配置的策略是否合理。同时,为了帮助安全实施人员调整策略有据可依,支持智能策略推荐,基于企业对敏感资产防护的规范和标准,推荐相应的防护策略,由人工确认后下发生效。数据安全策略中心通过多维度访问控制、策略地图、策略巡检和智能策略推荐,实现对敏感资产的精细防控和策略的合规评估,解决事前策略配置不合理的问题。

 

基于数据资产链路的全生命周期防护,实现资产安全精准防控

在传统业务系统中,数据血缘记录存在不完整或缺失等问题,难以描绘数据资产的完整流转链路,导致无法及时定位、追溯和处置风险事件,数据资产安全难控难防。为了解决这一问题,Defensor 从数据库、安全网关、工具等基础组件获取日志,并结合血缘、相似度、数据身份、安全评分模型等技术刻画了数据资产全生命周期的安全防护现状,不仅记录了数据的流向,还详细记录了数据变更内容、操作人以及链路上每个节点的安全防护现状。

基于智能分析引擎,可以对收集到的日志进行深入分析,识别潜在的安全威胁。利用智能研判技术,基于事件类型和特征、管理范围、风险等级、发生时间段等因素明确事件策略,确保对安全事件的精准识别和评估,当链路上某个节点出现安全风险时,可以更快速、准确地定位问题根源,追踪数据变更历史,并进行责任划分。与此同时,对出现风险的节点进行关联性排查,检查链路上下游其他节点是否也存在潜在风险,举一反三。

最后,结合策略智能推荐系统,根据安全事件的类型和特点智能生成并下发推荐处置策略,如访问阻断、权限降级、访问频率限制、数据动态脱敏和数据水印等多种措施,并调动各个安全组件高效执行处置策略,实现安全事件的快速响应和处理,形成整体的风险监测和数据防护能力,实现数据全生命周期全面的风险管控。

 

基于安全网关嵌入式防控,业务侵入小

Defensor 通过安全网关构建 SQL 与 API 的事中访问控制体系,在访问用户和数据对象之间建立的安全防护处理方法,包括脱敏、抑制和水印等,为不同业务和访问用户提供差异化的数据安全防护。

 

在即席查询场景中,SQL 网关基于安全策略对访问行为进行动态脱敏、拦截、阻断等防护措施,达到实时防护效果。同时,网关特有的临时表血缘感知技术,能自动将主表的敏感性和策略继承到临时表,确保临时表使用安全合规。

 

防精准查询是数据安全防控典型场景之一。例如,业务人员通过 SQL 统计房产数量大于 2 的用户数量,因不涉及个人信息,可以成功返回查询结果。当用户查询特定用户的房产数量时,由于个人敏感字段会出现在过滤条件中,且在 like,in,= 后面带上常量的查询,会视为个人指向性查询,在日常分析中需要禁止此类查询行为,避免泄漏个人隐私。通过 SQL 安全网关 Quark 可以基于安全策略中心的防护策略对识别到的指向性查询进行动态脱敏、拒绝访问等处置,防止精准查询。

 

精细化防控也是数据安全保护的常见场景。对各下级辖区汇聚的大宽表进行业务分析时,通过 SQL 安全网关 Quark,可以限制各个区的业务人员只能访问分析对应区以及区下级行政机构的数据,禁止访问其他辖区数据,实现数据精细化访问控制。

 

在 API 数据分享场景中,API 网关基于安全策略实现 API 动态脱敏、拦截、限流等处置。例如,在公共数据运营开发时,各委办部门,数据服务开发商,Web 类应用,外部数据需求方会通过 API 调用公共数据。API 接口中可能流动了敏感数据,比如个人隐私信息,机密单位地址。为了确保敏感信息不外流,需要对 API 安全网关 Midgard 下发动态脱敏策略,使得返回的参数脱敏访问。

 

同时,通过 API 子路径的细粒度权限控制,实现特定系统应用与账号调用特定接口子路径,并指定调用时间、IP 白名单、调用频率等,实现 API 细粒度权限和使用控制。

 

敏感数据明文传输异常事件的定位与处置

通过 Defensor 构建的以数据资产为中心的安全运营体系,可以轻松应对敏感数据明文传输风险事件的定位和处置。某用户通过 SQL 查询表内数据, SQL 网关处理查询操作时,发现某表的身份证字段返回明文结果,疑似泄露个人隐私,平台立即发出告警。通过链路溯源分析,C 节点 SQL 网关处身份证字段的脱敏策略未生效,继续回溯发现该表的身份证字段配置了明文访问策略。同时通过关联性分析发现 D 节点有相同问题。基于部门安全规范,需要在所有出口节点都设置脱敏策略,当前策略配置不合理。此时,智能策略推荐系统生成策略组合,向 C、D 相关节点下发动态脱敏策略,完成应急处置从而实现敏感数据明文传输异常事件的快速识别、分析、处置,防止泄漏。

 

Defensor 作为一款数据安全管理平台,通过大模型、资产链路刻画等技术的集合,将帮助用户构建以数据资产为中心的安全运营体系,解决企业数据安全合规问题。Defensor 自推出以来,广受客户认可,截至目前Defensor 已经在金融、交通、政府、医疗、高校等多个领域有落地案例。在银行业,某银行基于 Defensor 实现数据分类分级。行内的生产数据需要定期导入到测试环境,依靠 Defensor 的静态脱敏能力,实现大批量数据高性能脱敏到测试环境。针对数据探索与分析场景,安全人员基于 Defensor 的数据安全访问策略,配合 SQL 网关与应用 API 网关,实现数据动态脱敏,确保企业使用敏感数据安全合规。

 

标签:Defensor,4.5,网关,策略,安全,构建,数据安全,数据
From: https://www.cnblogs.com/Transwarp/p/18293830

相关文章

  • 利用BLIP和BLIP-2进行图像与文本特征提取:如何构建一个多模态搜索引擎
    来源网址:https://medium.com/@enrico.randellini/image-and-text-features-extraction-with-blip-and-blip-2-how-to-build-a-multimodal-search-engine-a4ceabf51fbe结合ViT和LLM的力量进行图像-文本检索任务引言图像与语言看似属于两个不同的领域,以及与之相关的常见问题。......
  • 构建高效指标体系:应对挑战与优化策略
    原文:https://mp.weixin.qq.com/s/rvwI91a0n22UNjmau8s2Nw构建高效指标体系健全的指标体系是企业决策的基石。然而,在实际操作中,指标体系的构建和维护往往面临诸多挑战。本文将详细介绍构建指标体系中存在的难点以及指标域的划分,并提供系统化的解决方案,助力企业建立更加精准、高......
  • 使用Terminal.Gui构建功能强大的.NET控制台应用
    前言前段时间分享了一个库帮你轻松的创建漂亮的.NET控制台应用程序-Spectre.Console的文章教程,然后就有小伙伴提问:.NET控制台应用需要应对强交互性的场景,有什么好的解决方案?,今天大姚给大家分享一款适用于.NET的跨平台终端UI工具包,帮助大家快速构建功能强大的.NET控制台应......
  • LAMP万字详解(概念、构建步骤)
    目录LAMPApache起源主要特点软件版本编译安装httpd服务器编译安装的优点操作步骤准备工作编译安装优化执行路径添加服务守护进程配置httpd查看Web站点的访问情况虚拟主机类型部署基于域名的虚拟主机为虚拟主机提供域名解析(两个域名)不同ip访问不同的内容......
  • 使用Python Flask快速构建一个api server
    使用flask快速构建一个apiserver代码如下:fromflaskimportFlask,jsonify,requestapp=Flask(__name__)#定义一个路由,当访问根路径时返回欢迎信息@app.route('/')defhome():return'Hello,thisisasimpleAPI!'#定义一个路由,接受GET请求并返回JSON响......
  • APICloud+ cosClient快速构建APP
    APICloud简介APICloud是一个移动低代码开发平台,对于不同的需求场景提供了不同的功能模块,并快速构建企业级应用。cosClient模块简介cosClient是腾讯云对象存储(COS)针对APICloud平台桥接原生SDK封装的模块,可以使用cosClient快速接入并使用COS的功能,目前支持Android、iOS。在APIC......
  • 构建高可用性的淘客返利系统架构设计
    构建高可用性的淘客返利系统架构设计大家好,我是微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天和大家分享的是如何构建一个高可用性的淘客返利系统架构。一、系统架构设计概述构建一个高可用性的淘客返利系统,需要从系统架构的多个层面考虑,包括前端展示......
  • 4.5 共享库之钉钉消息推送
    起因:执行完流水线后进行一定程度的消息推送,所以选择钉钉进行jenkins构建结构的消息推送下载配置相关依赖插件相关环境:Jenkins2.277.3,安装文档见上篇DingTalk插件2.4.3builduservarsplugin插件1.7在Jenkins中安装钉钉插件DingTalkopeninnewwindow⚠️请确保......
  • 5.1 构建发布工具集成
    安装完成后,配置管理工具安装并配置gityum-yinstallgit 编辑git环境变量为/usr/bin/git安装并配置mavenwgethttps://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gztar-xvfapache-maven-3.6.3-bin.tar.gzm......
  • 构建 Qt 项目
    使用qmake构建Qt项目源代码创建一个Qt项目文件(.pro文件)和一个源文件:MyQtProject.pro:QT+=coreguiCONFIG+=c++11SOURCES+=main.cpp#如果你有UI文件或头文件,也可以添加到这里。#HEADERS+=mainwindow.h#FORMS+=mainwindow.uimain.cpp:#inc......