以人為中心,基于行為場景的數據安全治理體系

發布時間 2020-02-19

即將召開的2020年RSA大會

吸引著全球網絡信息安全行業的目光

“Human Element”(人的因素)

作為今年的主題詞

是意料之外也在情理之中



傳統安全建設中

往往忽視了人這一重要環節

密碼再復雜,防不住記在本子上

邊界再安全,防不住內部搞破壞

.........



縱觀國內外數據泄露事件,所有的安全事件中數據都是人泄露的,其中80%的數據泄露事件是內部人員造成,這也是最難防護、影響最大的。IT系統中人員是IT身份(賬號),人員通過各種行為場景操作使用數據,處處充滿了數據泄露的安全隱患。



數據是企業最核心的資產

人員是安全最薄弱的一環

因此

管好人是整個數據安全建設的關鍵點








啟明星辰集團數據安全建設新思路——以身份為中心


基于行為場景的數據安全治理體系



對各種行為場景建立數據安全防護策略保障數據安全,數據安全策略的制定以數據為基礎,根據數據類別和使用場景制定,分步驟建設數據安全治理體系。





對數據進行發現



發現IT系統中有哪些敏感數據及敏感數據位置,并對數據進行分級分類。而分級分類當前缺乏統一指導標準,需要企業根據業務情況定義。





梳理業務場景



數據業務場景分為運維操作、業務訪問、數據導出三大類,對各類場景進行細分和人員匹配。





針對行為場景 建立數據安全防護策略



? 業務訪問場景數據安全防護策略



針對通過業務系統在線查看數據,對頁面內容進行動態脫敏和水印標識,降低敏感信息泄露擴散的范圍,防止業務人員或第三方人員拍照和錄像,也可對發生的信息泄露事件展開有效追溯。



針對應用下載數據的場景,采用“零下載”(虛擬網絡文件夾)功能對下載文件進行管控。一方面降低文件下載的頻度和范圍;另一方面對下載的文件內容進行必要的防護,比如文件加密、設置文檔水印等。



? 數據庫后臺訪問場景安全防護策略



針對數據庫后臺訪問場景,對操作過程實行強審計,并采用金庫模式(二次授權模式)對重要操作進行二次授權管理;加強運維操作的審批管,對運維操作返回結果動態實時脫敏,防止數據外泄、杜絕大批量信息查詢行為的發生。



針對內部人員通過后臺下載數據文件,采用“零下載”功能對下載文件進行管控。



? 數據導出場景數據安全防護策略



針對測試人員因為測試需要把生產環境的數據導出到測試環境中或導出用于數據分析,采用靜態脫敏技術對導出數據進行脫敏處理。



方案涉及安全產品清單:


1、4A統一安全管控平臺

2、應用安全管控系統ASCG

3、核心信息管控系統VBH

4、運維安全網關OSM

5、統一身份認證系統UIAM

6、數據庫脫敏系統DBMasking