中安威士大数据安全平台(VS-BDSG)专注于为大数据生态圈的数据资产提供数据审计、访问控制、数据加密、数据脱敏等保护措施及管控,对数据的收集、加工、存储、应用等全生命周期的各个环节进行自动监测和实时保护。提供数据在事前、事中、事后的安全应对方案和处理机制,形成事前能预测,事中有方法,事后可追踪的安全闭环。
中安威士大数据安全加固系统,提供了数据审计、数据访问控制、数据加密、数据脱敏等安全功能。能够穿透企业生产系统,只针对企业数据资产实施安全防护,不需要更改和对接已有的系统便可完成部署并独立运行。更精细化、系统性地保护了数据资产的安全。
• 策略模型成熟稳定,处理性能高效
• 数据安全防护手段、方法丰富且实用
• 自动安装部署,无需人工在大数据集群节点进行操作
• 功能齐套,集成简易,可快速构建数据安全网
• 模块化设计,灵活定制和组装,适应各类场景需求
• 支持多种大数据组件,如:HDFS、HIVE、HBASE、ES、KAFKA、STORM、SOLR、IMPALA等组件
• 支持多家大数据厂商大数据平台的数据安全防护,例如:HADOOP、HORTONWORKS、CLOUDERA以及国内厂商
• 支持处理PB级数据量
一、 背景介绍
高校网络中的数据一般包括网站数据、教学资源、图书资源、教务管理数据、办公资源、财务管理数据等,如教职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容。学校的招生就业、财务、资产数据等等都是不可外泄且不容篡改的数据,作为核心数据载体——数据库,一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改,都将造成巨大的损失,必定会给学校和社会造成重大影响,因此,作为保存着大量人员信息的数据库,需要加强数据安全管理,除了及时完善,有效的处理漏洞,重要的是杜绝再次发生类似的攻击事件,而能做到这一点的最有力手段就是灵活并有针对性的数据库安全保护措施。
二、 需求分析
a) 政策需求
2016年11月7日,出台网络安全法中涉及到的数据包括一般网络数据(第21条),并且单独对信息基础设施数据(第34条)、用户信息和个人信息(第42条),进行重点保护:
1、对数据访问日志进行审计,且日志留存时间不低于6个月(第21条);
2、对数据进行分类,将敏感数据与普通数据区别化对待(第21条);
3、对重要数据进行备份,容灾(第21、34条);
4、对重要数据进行加密(第21、31条);
5、对个人信息进行脱敏(第42条)。
数据安全建设是等级保护2.0建设的核心内容之一,根据新计算环境和业务场景对数据安全保护能力做出了更贴合实际情况的明确要求,下面分别是二级,三级的具体要求:
等保2.0二级要求:
1、应授予管理用户所需的最小权限,实现管理用户的权限分离(7.1.4.2-访问控制(二级));
2、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等(7.1.4.2-安全审计(二级));
3、应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息(7.1.4.10个人信息保护(二级));
等保2.0三级要求:
等保三级在安全审计及个人信息保护这两块与等保二级要求的内容相同,额外的,等保三级在访问控制及数据保密性增加了相关要求,具体如下:
1、应配置访问控制策略,访问控制策略规定主体对客体的访问规则;访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级(8.1.4.2-访问控制(三级));
2、应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等(8.1.4.8数据保密性(三级));
为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,教育部办公厅发布《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函[2010]80号)。2017年2月20日,教育部网络安全和信息化领导小组办公室下发了《关于印发教育部网络安全和信息化领导小组第二次会议纪要的通知》的通知,会议强调了加快推进网络安全等级保护工作。
b) 业务需求
信息系统网络安全建设的目的,是依照国家有关信息安全建设的一系列法规和政策,建立体系完整、安全功能强健、系统性能优良的网络安全系统,从而有效保障各项信息业务的正常运行,保护网络内敏感数据信息的安全。具体高校的数据安全建设的业务需求如下:
1、系统众多,数据形成分散的孤岛,管理效率低效;
2、安全人员缺失,人员管理工作繁重;
3、财务、师生隐私信息等核心信息资产的破坏和泄漏;
4、高校财务数据被非法篡改导致的资金流失;
5、在开发、测试环境中,第三方外包人员、应用开发人员可能存在的数据泄露风险;
6、传统高校信息化数据库防护存在缺陷。
三、 解决方案
为了解决上述高校业务需求,同时满足通过高校信息化等级保护测评,网安等建设工作,需要建立并完善数据库安全防护。通过环境中部署数据库审计,加密,防火墙,脱敏系统,提高数据库的安全水平。
目前高校的数据安全现状主要呈现为以下3种形式:
1. 已经完成数字校园建设,校内已经建成一站式平台实现校园业务通办。校内建成集中式数据中心,各项业务正在由数字校园向智慧校园进行升级,数据中心已经部署了基本的数据库审计设备。
2. 正在进行数字校园建设,尚未投入使用,各业务系统分离。正在进行数据中心建设,提取各个老旧系统的存量数据。拓扑结构复杂,尚未划分安全域。
3. 依然使用原有系统,数字校园处于项目规划阶段和预算阶段,想同步进行应用系统迭代建设和数据安全建设。
根据前文所述3类数据安全现状,分别采取3种不同的技术手段进行安全防护。
1. 已经完成数字校园建设的高校,实行全面数据治理。部署数据安全态势感知平台,对校内大融合数据中心内海量数据进行分类分级,完善访问控制规则,同时增补各个安全节点,实现数据审计、访问控制、脱敏和加密。
2. 尚未完成数据中心建设的高校,采取数据安全分步建设的方案。首先进行基础数据安全配置,根据项目进度再进行高级配置,最终平滑无缝升级到数据安全态势感知平台,无需大量更新设备即可实现全面的数据安全建设。
闪捷终端文件安全监测整体解决方案主要有安全监测系统和容灾备份两个系统组合而成,一方面通过应用主机端文件安全监测系统在业务主机阻止病毒勒索行为,另一方面通过容灾备份系统保存业务历史数据,提供恢复到正常时刻的能力。
文档防勒索
数据库防勒索
哑终端防勒索
联软科技终端一体化安全通用解决方案全网零信任方案,构建企业网络安全边界,确保接入终端可信。面向企业可落地、有效果、安全和效率统一的方案,确保数据可控。基于强大的网络可视化能力,自动发现并识别全网设备,确保资产可视。结合终端主动防御、EDR+杀毒实现立体式防入侵(勒索),实现终端可防。
事件响应
行为管控
策略管理
补丁管理
天清汉马USG防火墙采用多核硬件架构和一体化的软件设计,集防火墙、VPN、内容过滤、上网行为管理、IPv6/IPv4双协议栈、抗拒绝服务攻击(Anti-DoS)等多种安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能,高性能、绿色低炭。
安全防护
安全可靠
功能完备
领先的企业数字化服务平台
客服电话:400-0972-788
