产品简介

中安威士大数据安全平台(VS-BDSG)专注于为大数据生态圈的数据资产提供数据审计、访问控制、数据加密、数据脱敏等保护措施及管控,对数据的收集、加工、存储、应用等全生命周期的各个环节进行自动监测和实时保护。提供数据在事前、事中、事后的安全应对方案和处理机制,形成事前能预测,事中有方法,事后可追踪的安全闭环。

产品功能
大数据安全审计
本系统支持大数据HDFS、HBASE、HIVE、KAFKA、STORM、SOLR等组件的数据安全审计功能,提供可视化、向导式、多层次的策略配置管理。丰富灵活的规则体系,能够适应不同场景需求,允许用户量身定制审计维度和范围。通过细粒度的审计和智能的风险告警,更精准地剖析了企业数据资产的微观运动,任何风险异常一目了然
 
大数据访问控制
以白名单、黑名单、灰名单为主单元,逻辑视图清晰,配置灵活简单。可基于角色、组、用户等不同层级进行授权管理,自动同步数据环境中已经存在的权限信息并实现转换兼容。支持大数据生态圈中的HDFS、HBASE、HIVE、KAFKA、STORM、SOLR等组件的访问控制,支持精细化可控制到HDFS的路径权限,HBASE表、列簇、列权限以及实现HIVE的数据库、表、列权限等
 
大数据加密
性能优异,可支持PB级的数据批量加密和解密,能极大满足上游应用端的数据供给。提供公开加密算法:3DES、AES,以及国家批准的国密算法。加密策略能够细化到数据列级别,加密范围和粒度可自由组合配置。提供密钥统一管理中心,为保护敏感数据提供了更为严谨的安全保障
 
 
大数据脱敏
采用动态脱敏方式,对访问结果的敏感数据进行实时脱敏。采用完全自主的规则引擎和策略模型,性能与场景覆盖率领先国内同类大数据安全产品。可同时支持PB级别数据的脱敏处理,并能依据不同的角色、用户、用途、场景等实现不同层级和范围的脱敏处理
应用场景
特性优势

中安威士大数据安全加固系统,提供了数据审计、数据访问控制、数据加密、数据脱敏等安全功能。能够穿透企业生产系统,只针对企业数据资产实施安全防护,不需要更改和对接已有的系统便可完成部署并独立运行。更精细化、系统性地保护了数据资产的安全。
 

• 策略模型成熟稳定,处理性能高效
• 数据安全防护手段、方法丰富且实用
• 自动安装部署,无需人工在大数据集群节点进行操作
• 功能齐套,集成简易,可快速构建数据安全网
• 模块化设计,灵活定制和组装,适应各类场景需求
• 支持多种大数据组件,如:HDFS、HIVE、HBASE、ES、KAFKA、STORM、SOLR、IMPALA等组件
• 支持多家大数据厂商大数据平台的数据安全防护,例如:HADOOP、HORTONWORKS、CLOUDERA以及国内厂商
• 支持处理PB级数据量

实施案例

一、 背景介绍
高校网络中的数据一般包括网站数据、教学资源、图书资源、教务管理数据、办公资源、财务管理数据等,如教职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容。学校的招生就业、财务、资产数据等等都是不可外泄且不容篡改的数据,作为核心数据载体——数据库,一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改,都将造成巨大的损失,必定会给学校和社会造成重大影响,因此,作为保存着大量人员信息的数据库,需要加强数据安全管理,除了及时完善,有效的处理漏洞,重要的是杜绝再次发生类似的攻击事件,而能做到这一点的最有力手段就是灵活并有针对性的数据库安全保护措施。

 

二、 需求分析
a) 政策需求
2016年11月7日,出台网络安全法中涉及到的数据包括一般网络数据(第21条),并且单独对信息基础设施数据(第34条)、用户信息和个人信息(第42条),进行重点保护:
1、对数据访问日志进行审计,且日志留存时间不低于6个月(第21条);
2、对数据进行分类,将敏感数据与普通数据区别化对待(第21条);
3、对重要数据进行备份,容灾(第21、34条);
4、对重要数据进行加密(第21、31条);
5、对个人信息进行脱敏(第42条)。
数据安全建设是等级保护2.0建设的核心内容之一,根据新计算环境和业务场景对数据安全保护能力做出了更贴合实际情况的明确要求,下面分别是二级,三级的具体要求:
等保2.0二级要求:
1、应授予管理用户所需的最小权限,实现管理用户的权限分离(7.1.4.2-访问控制(二级));
2、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等(7.1.4.2-安全审计(二级));
3、应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息(7.1.4.10个人信息保护(二级));
等保2.0三级要求:
等保三级在安全审计及个人信息保护这两块与等保二级要求的内容相同,额外的,等保三级在访问控制及数据保密性增加了相关要求,具体如下:
1、应配置访问控制策略,访问控制策略规定主体对客体的访问规则;访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级(8.1.4.2-访问控制(三级));
2、应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等(8.1.4.8数据保密性(三级));
为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,教育部办公厅发布《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函[2010]80号)。2017年2月20日,教育部网络安全和信息化领导小组办公室下发了《关于印发教育部网络安全和信息化领导小组第二次会议纪要的通知》的通知,会议强调了加快推进网络安全等级保护工作。

 

b) 业务需求
信息系统网络安全建设的目的,是依照国家有关信息安全建设的一系列法规和政策,建立体系完整、安全功能强健、系统性能优良的网络安全系统,从而有效保障各项信息业务的正常运行,保护网络内敏感数据信息的安全。具体高校的数据安全建设的业务需求如下:

 

1、系统众多,数据形成分散的孤岛,管理效率低效;
2、安全人员缺失,人员管理工作繁重;
3、财务、师生隐私信息等核心信息资产的破坏和泄漏;
4、高校财务数据被非法篡改导致的资金流失;
5、在开发、测试环境中,第三方外包人员、应用开发人员可能存在的数据泄露风险;
6、传统高校信息化数据库防护存在缺陷。

 

三、 解决方案
为了解决上述高校业务需求,同时满足通过高校信息化等级保护测评,网安等建设工作,需要建立并完善数据库安全防护。通过环境中部署数据库审计,加密,防火墙,脱敏系统,提高数据库的安全水平。

 

目前高校的数据安全现状主要呈现为以下3种形式:
1. 已经完成数字校园建设,校内已经建成一站式平台实现校园业务通办。校内建成集中式数据中心,各项业务正在由数字校园向智慧校园进行升级,数据中心已经部署了基本的数据库审计设备。
2. 正在进行数字校园建设,尚未投入使用,各业务系统分离。正在进行数据中心建设,提取各个老旧系统的存量数据。拓扑结构复杂,尚未划分安全域。
3. 依然使用原有系统,数字校园处于项目规划阶段和预算阶段,想同步进行应用系统迭代建设和数据安全建设。
根据前文所述3类数据安全现状,分别采取3种不同的技术手段进行安全防护。
1. 已经完成数字校园建设的高校,实行全面数据治理。部署数据安全态势感知平台,对校内大融合数据中心内海量数据进行分类分级,完善访问控制规则,同时增补各个安全节点,实现数据审计、访问控制、脱敏和加密。
2. 尚未完成数据中心建设的高校,采取数据安全分步建设的方案。首先进行基础数据安全配置,根据项目进度再进行高级配置,最终平滑无缝升级到数据安全态势感知平台,无需大量更新设备即可实现全面的数据安全建设。

产品推荐 查看更多>>
    闪捷信息 数据安全防护统一平台

    数据安全防护统一平台用于集中管理数据安全系列产品,可提供数据安全产品统一认证、账户审计、授权管理、设备管理、状态检测、敏感数据标准统一和特征库共享下发等,实现安全组件的实时状况监控、报警/报表信息的集中展现。实现“一窗式”运维管理、设备的快速定位,以及高安全冗余备用方案。

    统一认证

    账户审计

    授权管理

    设备管理

    闪捷数据安全治理整体解决方案

    闪捷数据安全治理整体解决方案,通过数据安全审计、数据脱敏、数据库加密等手段,保障不同行业用户的数据安全合规基本需求;通过数据安全治理,结合数据安全防护方案,保障行业用户的场景化数据安全管控需求;通过数据安全服务,结合数据安全治理和防护方案,满足行业用户数据资产整体安全治理需求。

    数据安全审计

    数据脱敏

    数据库加密

    数据安全合规

    联软科技电信行业数据交换通道安全平台

    联软科技电信行业数据交换通道安全平台利用虚拟化隔离技术,阻隔网络层协议传输,文件传输过程中剥离数据包头信息。数据由客户端到服务端间由ssl加密保障传输安全 。用户文件传输至UniNXG后,系统自动加密数据,保障非法获取数据也无法解密。文件在传输过程中经过多次唯一性校验,防止文件窃取替换发生 。

    文件安全检查

    追溯能力

    虚拟化隔离

    传输通道加密