隨著國家提出大數(shù)據(jù)促進(jìn)經(jīng)濟(jì)社會(huì)轉(zhuǎn)型發(fā)展的戰(zhàn)略思路,大數(shù)據(jù)平臺(tái)建設(shè)目前已經(jīng)是政務(wù)信息化建設(shè)中的焦點(diǎn)內(nèi)容�����,各省級(jí)政府依托強(qiáng)大的信息化體系率先做出嘗試���。大數(shù)據(jù)平臺(tái)業(yè)務(wù)系統(tǒng)搭建之初���,作為整個(gè)平臺(tái)穩(wěn)定、持續(xù)運(yùn)行的基礎(chǔ)��,安全建設(shè)方案會(huì)是整個(gè)平臺(tái)項(xiàng)目中重要的一環(huán)����。
大數(shù)據(jù)平臺(tái)整體安全建設(shè),從數(shù)據(jù)采集到數(shù)據(jù)資產(chǎn)的梳理����,再到平臺(tái)的訪問安全管控和數(shù)據(jù)存儲(chǔ)安全,以及數(shù)據(jù)共享分發(fā)過程中的版權(quán)保護(hù)�����,整個(gè)安全方案如何形成數(shù)據(jù)訪問和使用過程的閉環(huán),并且能夠?qū)崿F(xiàn)安全策略的統(tǒng)一下發(fā)和協(xié)同配合����,是擺在平臺(tái)建設(shè)方面前的棘手問題,本文以某大數(shù)據(jù)平臺(tái)安全建設(shè)方案為參考�,拋磚引玉,共同探討行之有效的安全建設(shè)思路����,該方案已經(jīng)初步得到建設(shè)方認(rèn)可,具備可落地基礎(chǔ)����。
安全建設(shè)完整思路
1、信息資源梳理建設(shè)
業(yè)務(wù)需求:數(shù)據(jù)梳理
在進(jìn)行安全建設(shè)之初���,針對(duì)需要保護(hù)的信息資源���,需要先進(jìn)行狀況摸底:
1)提供對(duì)部門的組織結(jié)構(gòu)、業(yè)務(wù)角色�����、信息資源類別、信息化系統(tǒng)等的管理和維護(hù)功能���;
2)能夠?qū)I(yè)務(wù)流程圖和數(shù)據(jù)流程圖進(jìn)行管理����,能夠識(shí)別協(xié)同關(guān)系和信息共享需求��,能夠明確職責(zé)���、挖掘、整合數(shù)據(jù)資源����、規(guī)范數(shù)據(jù)表示;
3)能夠?qū)?shù)據(jù)庫的主題庫�、邏輯實(shí)體、實(shí)體關(guān)系圖���、數(shù)據(jù)映射圖�、數(shù)據(jù)元標(biāo)準(zhǔn)�����、信息分類編碼進(jìn)行管理����。
技術(shù)實(shí)現(xiàn):數(shù)據(jù)庫漏掃��、數(shù)據(jù)資產(chǎn)梳理
數(shù)據(jù)庫漏掃:實(shí)現(xiàn)對(duì)數(shù)據(jù)庫系統(tǒng)的自動(dòng)化安全評(píng)估���,能夠有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題,對(duì)數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控�����。利用數(shù)據(jù)庫漏掃產(chǎn)品覆蓋傳統(tǒng)數(shù)據(jù)庫漏洞檢測(cè)項(xiàng)����;實(shí)現(xiàn)弱口令掃描、敏感數(shù)據(jù)發(fā)現(xiàn)����、危險(xiǎn)程序掃描、滲透測(cè)試等高端檢測(cè)能力�;通過預(yù)定義安全策略、自定義安全策略���,實(shí)現(xiàn)高效����、有針對(duì)性的安全狀況掃描檢測(cè),和通過各種角度�����、各種專題�����、詳略不一的報(bào)表直觀呈現(xiàn)數(shù)據(jù)庫系統(tǒng)的安全狀況樣貌����。
數(shù)據(jù)資產(chǎn)梳理:實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的“靜態(tài)+動(dòng)態(tài)”梳理
靜態(tài)梳理:實(shí)現(xiàn)數(shù)據(jù)庫自動(dòng)嗅探:自動(dòng)搜索企業(yè)中的數(shù)據(jù)庫���,可指定IP段和端口的范圍進(jìn)行搜索�,自動(dòng)發(fā)現(xiàn)數(shù)據(jù)庫的基本信息��;按照敏感數(shù)據(jù)的特征或預(yù)定義的敏感數(shù)據(jù)特征對(duì)數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別�,持續(xù)發(fā)現(xiàn)敏感數(shù)據(jù);根據(jù)不同數(shù)據(jù)特征��,對(duì)常見的敏感數(shù)據(jù)進(jìn)行分類��,然后針對(duì)不同的數(shù)據(jù)類型指定不同的敏感級(jí)別。
動(dòng)態(tài)梳理:對(duì)平臺(tái)數(shù)據(jù)庫系統(tǒng)中不同用戶��、不同對(duì)象的權(quán)限進(jìn)行梳理并監(jiān)控權(quán)限變化�����。監(jiān)控?cái)?shù)據(jù)庫中用戶的啟用狀態(tài)�、權(quán)限劃分、角色歸屬等基本信息��;歸納總結(jié)用戶訪問情況��,尤其針對(duì)敏感對(duì)象�,能夠著重監(jiān)測(cè)其訪問權(quán)限劃分情況。數(shù)據(jù)流轉(zhuǎn)梳理��,對(duì)數(shù)據(jù)應(yīng)用程序���、運(yùn)維工具���、腳本等程序和人員對(duì)敏感數(shù)據(jù)的操作進(jìn)行監(jiān)控和分析,形成敏感數(shù)據(jù)內(nèi)部流轉(zhuǎn)路線圖����,展示敏感數(shù)據(jù)是如何被處理和流轉(zhuǎn)的�;監(jiān)控異常流轉(zhuǎn)情況�,及時(shí)發(fā)現(xiàn)數(shù)據(jù)違規(guī)使用風(fēng)險(xiǎn)。
綜上����,通過安全風(fēng)險(xiǎn)掃描、檢測(cè)和資產(chǎn)梳理可以明確信息資源的出口�、入口,數(shù)據(jù)間關(guān)系����,摸清各部門的業(yè)務(wù)需求、數(shù)據(jù)需求和集成需求�,能夠提供信息資源的文檔的自動(dòng)化生成(數(shù)據(jù)庫設(shè)計(jì)文檔��、信息資源目錄��、實(shí)體關(guān)系圖等)�����,以及通過思維導(dǎo)圖等方式展示信息資源�。
2、政務(wù)����、互聯(lián)網(wǎng)數(shù)據(jù)采集
業(yè)務(wù)需求:采集過程中的數(shù)據(jù)共享
各政府職能單位信息匯聚采集(公安�、民政���、人社等)�、互聯(lián)網(wǎng)入口公眾信息采集(政府網(wǎng)站���、微信�、社會(huì)學(xué)術(shù)庫�����、企業(yè)信息等場(chǎng)景需求下�,需要共享數(shù)據(jù),但敏感數(shù)據(jù)不能全部開放��。
技術(shù)實(shí)現(xiàn)1:動(dòng)態(tài)脫敏
將動(dòng)態(tài)脫敏系統(tǒng)部署在數(shù)據(jù)的共享����、交換、應(yīng)用�����、運(yùn)維區(qū),與數(shù)據(jù)庫之間����;形成自動(dòng)化的敏感數(shù)據(jù)匿名化邊界,防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下從數(shù)據(jù)區(qū)流出�����。
提供基于數(shù)據(jù)庫訪問來源IP����、數(shù)據(jù)庫應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)賬戶�����、時(shí)間等因素的策略�,對(duì)需要共享的敏感數(shù)據(jù)��,可根據(jù)數(shù)據(jù)的敏感級(jí)別和應(yīng)用的需要����,靈活的配置動(dòng)態(tài)脫敏策略,從而實(shí)現(xiàn)外部應(yīng)用能夠安全可控的使用共享的敏感數(shù)據(jù)����,防敏感數(shù)據(jù)泄露����。根據(jù)不同數(shù)據(jù)特征���,內(nèi)置豐富高效的動(dòng)態(tài)脫敏算法����,包括屏蔽���、變形���、替換、隨機(jī)���;支持自定義脫敏算法�����,用戶可按需定義���。
技術(shù)實(shí)現(xiàn)2:數(shù)據(jù)脫敏(靜態(tài))
數(shù)據(jù)脫敏(靜態(tài)):利用對(duì)數(shù)據(jù)的靜態(tài)脫敏技術(shù)�����,有效防止大數(shù)據(jù)平臺(tái)內(nèi)部對(duì)隱私數(shù)據(jù)的濫用���,防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下流出。既滿足隱私數(shù)據(jù)保護(hù)��,又滿足開發(fā)���、測(cè)試����、模型訓(xùn)練等業(yè)務(wù)對(duì)數(shù)據(jù)的需求�����,同時(shí)也保持監(jiān)管合規(guī)�����,滿足企業(yè)合規(guī)性�����。
3����、大數(shù)據(jù)平臺(tái)管控(基礎(chǔ)、服務(wù))
業(yè)務(wù)需求:大數(shù)據(jù)平臺(tái)的統(tǒng)一資源管控
大數(shù)據(jù)平臺(tái)的數(shù)據(jù)使用管控需要實(shí)現(xiàn)資源管理�、安全管理、運(yùn)維管理��、集群部署及監(jiān)控�����、任務(wù)調(diào)度等功能�����,同時(shí)配備友好的管理界面��。
技術(shù)實(shí)現(xiàn):數(shù)據(jù)庫審計(jì)�、數(shù)據(jù)庫防火墻、安全運(yùn)維管控
數(shù)據(jù)庫審計(jì):通過對(duì)訪問數(shù)據(jù)庫的所有網(wǎng)絡(luò)流量進(jìn)行采集��、解析����、過濾���、分析和存儲(chǔ),全面的審計(jì)所有對(duì)數(shù)據(jù)庫的處理行為��,滿足大數(shù)據(jù)平臺(tái)對(duì)數(shù)據(jù)處理進(jìn)行監(jiān)控��、收集和記錄的需求��。
數(shù)據(jù)庫防火墻:將數(shù)據(jù)庫防火墻部署在應(yīng)用系統(tǒng)和數(shù)據(jù)庫之間��,能夠防護(hù)由于WEB應(yīng)用漏洞����、應(yīng)用框架漏洞等原因造成的黑客攻擊數(shù)據(jù)庫,竊取敏感數(shù)據(jù)����;確保大數(shù)據(jù)平臺(tái)核心數(shù)據(jù)資產(chǎn)的共享安全。
數(shù)據(jù)庫安全運(yùn)維系統(tǒng):基于角色管理的細(xì)粒度的數(shù)據(jù)庫運(yùn)維控制功能�����,精確到SQL語句����,確保核心數(shù)據(jù)資產(chǎn)的合規(guī)使用���;針對(duì)不同的數(shù)據(jù)庫用戶�,提供操作權(quán)限、訪問控制��,限制NO WHERE更新和刪除����,避免大規(guī)模數(shù)據(jù)泄露和篡改;提供雙因素鑒別和登錄控制能力����,防止數(shù)據(jù)庫賬戶泄漏和濫用;提供用戶權(quán)限細(xì)粒度管理���,對(duì)敏感數(shù)據(jù)的操作進(jìn)行嚴(yán)格管控���;控制和審計(jì)動(dòng)作、全面精細(xì)審計(jì)分析���,提供實(shí)時(shí)訪問統(tǒng)計(jì)圖�。
4、大數(shù)據(jù)存儲(chǔ)安全加固
業(yè)務(wù)需求:存儲(chǔ)安全
對(duì)于落地到大數(shù)據(jù)平臺(tái)的數(shù)據(jù)資源����,除了訪問管控,需要對(duì)其中高密級(jí)數(shù)據(jù)增加存儲(chǔ)加固手段��,作為數(shù)據(jù)安全防護(hù)的底線����。
技術(shù)實(shí)現(xiàn):數(shù)據(jù)庫加密
強(qiáng)化大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全,實(shí)現(xiàn)整體數(shù)據(jù)安全加固����,防止數(shù)據(jù)外泄。加強(qiáng)對(duì)敏感數(shù)據(jù)的加密訪問和存儲(chǔ)�,敏感數(shù)據(jù)呈現(xiàn)中對(duì)關(guān)鍵字段進(jìn)行加密。安華金和的數(shù)據(jù)庫加密產(chǎn)品DBCoffer可以針對(duì)表空間實(shí)現(xiàn)表空間級(jí)加密����,對(duì)表空間內(nèi)的所有數(shù)據(jù)全部進(jìn)行加密,增強(qiáng)數(shù)據(jù)安全性�;支持表級(jí)加密,增強(qiáng)安全的同時(shí)又兼具靈活性���;在不影響數(shù)據(jù)庫本身權(quán)限的同時(shí)�,系統(tǒng)增強(qiáng)了權(quán)限控制,分別從數(shù)據(jù)庫用戶���,客戶端IP��,應(yīng)用系統(tǒng)等不同層面對(duì)權(quán)限增強(qiáng)���,全面防止越權(quán)訪問��,防止數(shù)據(jù)泄露�����;安全服務(wù)組件實(shí)現(xiàn)對(duì)密鑰的管理���,讓用戶自己掌握密鑰��,即使數(shù)據(jù)被盜也無法查看明文��。
5����、大數(shù)據(jù)運(yùn)維分析
業(yè)務(wù)需求:支撐大數(shù)據(jù)分析運(yùn)算
通過從運(yùn)維端進(jìn)行大數(shù)據(jù)分析���,實(shí)現(xiàn)對(duì)海量數(shù)據(jù)提供高效的分析和計(jì)算����。數(shù)據(jù)分析挖掘引擎支持并行化統(tǒng)計(jì)算法和機(jī)器學(xué)習(xí)基礎(chǔ)算法庫,支持的并行化基礎(chǔ)算法���,能夠處理大數(shù)據(jù)集�。具體功能要求包括查詢�、關(guān)聯(lián)分析、統(tǒng)計(jì)分析�����、報(bào)表展示�、數(shù)據(jù)挖掘以及二次開發(fā)等。
技術(shù)實(shí)現(xiàn):數(shù)據(jù)脫敏(靜態(tài))
針對(duì)海量數(shù)據(jù)進(jìn)行分析計(jì)算����,是典型的數(shù)據(jù)庫脫敏系統(tǒng)面臨的分析場(chǎng)景,在此場(chǎng)景下對(duì)將生產(chǎn)數(shù)據(jù)中的部分敏感數(shù)據(jù)進(jìn)行脫敏處理�����,有效防止大數(shù)據(jù)平臺(tái)內(nèi)部對(duì)隱私數(shù)據(jù)的濫用�,防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下流出�����。針對(duì)數(shù)據(jù)分析這一應(yīng)用場(chǎng)景�,支持對(duì)目標(biāo)數(shù)據(jù)庫中部分?jǐn)?shù)據(jù)進(jìn)行脫敏����,可根據(jù)指定的過濾條件對(duì)數(shù)據(jù)來源進(jìn)行過濾篩選形成數(shù)據(jù)子集。在脫敏產(chǎn)品的使用過程中����,面對(duì)生產(chǎn)環(huán)境中數(shù)據(jù)或數(shù)據(jù)結(jié)構(gòu)頻繁發(fā)生變化的場(chǎng)景��,及時(shí)調(diào)整脫敏策略���,防止敏感數(shù)據(jù)“漏網(wǎng)”現(xiàn)象�����,引發(fā)敏感數(shù)據(jù)泄露�。
6�、大數(shù)據(jù)展現(xiàn)
業(yè)務(wù)需求:政務(wù)部門的公開下載和服務(wù)
提供政務(wù)部門可公開各類數(shù)據(jù)的下載與服務(wù),為企業(yè)和個(gè)人開展政務(wù)信息資源的社會(huì)化開發(fā)利用提供數(shù)據(jù)支撐����,推動(dòng)信息資源增值服務(wù)業(yè)的發(fā)展以及相關(guān)數(shù)據(jù)分析與研究工作的開展�����。
技術(shù)實(shí)現(xiàn):數(shù)據(jù)脫敏(動(dòng)����、靜)��、數(shù)據(jù)水印
數(shù)據(jù)脫敏:使用動(dòng)態(tài)+靜態(tài)數(shù)據(jù)脫敏技術(shù)���,實(shí)現(xiàn)對(duì)外數(shù)據(jù)公開下載以及開發(fā)利用等服務(wù)過程中的數(shù)據(jù)安全���。
數(shù)據(jù)水印:通過系統(tǒng)外發(fā)數(shù)據(jù)行為流程化管理�,對(duì)數(shù)據(jù)外發(fā)行為事前數(shù)據(jù)發(fā)現(xiàn)梳理、申請(qǐng)審批����、事中添加數(shù)據(jù)標(biāo)記、自動(dòng)生成水印���、事后文件加密�、外發(fā)行為審計(jì)、數(shù)據(jù)源追溯等功能�����,避免外發(fā)數(shù)據(jù)泄露無法對(duì)事件追溯����,提高了數(shù)據(jù)傳遞的安全性和可追溯能力。系統(tǒng)通過智能自動(dòng)發(fā)現(xiàn)功能輔助用戶發(fā)現(xiàn)敏感數(shù)據(jù)完成外發(fā)數(shù)據(jù)梳理�����;通過對(duì)原數(shù)據(jù)添加偽行�����、偽列�、對(duì)原始敏感數(shù)據(jù)脫敏并嵌入標(biāo)記等方式進(jìn)行水印處理��,保證分發(fā)數(shù)據(jù)正常使用�����。水印數(shù)據(jù)具有高可用性�、高透明無感�、高隱蔽性不易被外部發(fā)現(xiàn)破解����。一旦信息泄露第一時(shí)間從泄露的數(shù)據(jù)中提取水印標(biāo)識(shí),通過讀取水印標(biāo)識(shí)���,追溯數(shù)據(jù)流轉(zhuǎn)過程�����,精準(zhǔn)定位泄露單位及責(zé)任人��,實(shí)現(xiàn)數(shù)據(jù)溯源追責(zé)���。
整個(gè)大數(shù)據(jù)平臺(tái)的安全建設(shè)工作,不是簡(jiǎn)單的安全產(chǎn)品的堆砌����,它需要基于專業(yè)的安全建設(shè)思路來建立完整的數(shù)據(jù)安全防護(hù)體系,滿足業(yè)務(wù)需求的同時(shí)��,兼顧安全需求�。
產(chǎn)品咨詢:4000 258 365 
