icon企业管理意识形态驱动icon
icon网络安全不能代替数据安全icon

当前IT建设还是以网络安全为主,更多的关注于谁能不能进来的问题,但每一次的信任都是开一条通道,忽视了利用该通道访问、使用、传输的是什么内容,是否合规,是否存在泄漏行为。

icon业务风险与安全需求驱动icon

组织成员在办公过程中由于有意或无意等原因导致重要数据、文档泄漏;生产网或涉密网中的机密数据、文件可能会流入到低密级区域;运维人员从数据中心、数据中台、大数据平台批量查询、下载数据;数据治理过程中,治理人员对数据的访问、梳理、分析过程。业务系统中敏感数据导出、扩散风险;发到第三方的数据被扩散、滥用导致的商密泄密;个人电脑、邮箱里存有的机密数据、文档。

icon基于数据安全治理体系的数据安全解决方案整体框架icon

通过数据安全审计、数据脱敏、数据库加密等手段,保障不同行业用户的数据安全合规基本需求;通过数据安全治理,结合数据安全防护方案,保障行业用户的场景化数据安全管控需求;通过数据安全服务,结合数据安全治理和防护方案,满足行业用户数据资产整体安全治理需求。

icon数据安全治理服务体系——数据资产梳理icon
环境部署
由客户协调部署环境,实施方案完成数据资产梳理工具部署安装
参数配置
实施方在数据资产工具中配置数据源和扫描参数信息
产出物交付
工具自动对数据进行扫描识别,梳理结果以数据资产地图展现或《数据资产清单》产出,并阶段性更新
icon数据安全治理服务体系——数据分类分级整体实施步骤icon
一 基础调研
通过客户提供与工具梳理相结合的方式,获取分类分级工作所需基础信息
二 分类分级
将基础信息与工具内置分类分级规则进行匹配与数据打标
三 人工核验
人工核实分类分级匹配与打标结果,人工处理未匹配成功数据
四 打标应用
通过工具导出最终结果以及可视化应用,形成数据分类分级清单以及打标集成对接
icon数据安全治理服务体系——数据分类分级方案设计阶段icon
icon数据安全治理服务体系——数据资产安全风险评估icon

数据资产风险评估服务主要是依据国家、行业等有关数据安全技术与管理标准,从风险管理的角度,对数据资产的重要程度进行分析,确定重点评估对象,识别评估对象所涉及的各类应用场景,评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致的安全事件的可能性,分析计算数据资产的风险值,并结合组织实际情况,给出合理化数据资产风险处置建议。

icon数据安全治理服务体系——数据安全能力成熟度评估icon

数据安全能力成熟度评估服务主要是依据DSMM相关要求,首先确定客户数据安全能力的目标等级,然后通过人员访谈、文档审核、配置检查、工具测试等方式,摸清数据安全能力现状,确定客户数据安全能力整体等级,并进行差距分析,找出数据安全能力薄弱环节,给出数据安全能力建设合理建议。

icon数据安全治理技术体系——数据安全防护重点icon

数据安全防护是指平台保障数据在其全生命周期流转中,每一个环节所必须提供的安全功能,包括数据产生(收集)安全、数据传输安全、数据存储安全、数据使用安全、数据删除安全和数据销毁安全。

icon数据安全治理技术体系——数据安全底线(数据加密) 防护场景icon

场景1:满足法律法规以及行业监管要求:满足《数据安全法》、《网络安全法》、《等保2.0》中关于重要数据必须进行加密保存的要求。满足《密码法》中关于关键信息基础设施必须使用经过认证的商用密码进行保护的相关要求。

icon数据安全治理技术体系——数据安全底线(数据加密)方案分析icon

针对完整密评要求,需要在存储、传输、使用阶段满足数据加密需求,市场存在以下常见加密防护方案:

icon数据安全治理技术体系——数据安全底线(数据加密) 效果icon
icon数据安全治理技术体系——敏感数据防泄漏(静态脱敏) 方案icon
遮蔽脱敏
对敏感数据的全部或部分内容采用“*”或者“#”等字符进行遮蔽,导致敏感数据全部或部分不可见
随机脱敏
采用和原数据结构相同,内容相近的随机内容进行随机替换,确保数据格式不变
仿真脱敏
采用和原数据结构相同的数据进行替换,对相同的原数据,脱敏后数据也相同
置空处理
可以对特殊行数据进行置空处理以后不必同步到目标数据库或者目标数据文件上
icon数据安全治理技术体系——敏感数据防泄漏(静态脱敏)示例icon
icon数据安全治理技术体系——敏感数据防泄漏(动态脱敏)方案icon
icon数据安全治理技术体系——敏感数据防泄漏(动态脱敏)示例icon
icon数据安全治理技术体系——敏感数据防泄漏(DLP)典型场景1icon

用户单位核心业务系统,存在大量数据导出落地场景,包括运维、数据分析、数据上报、运营报表等,此类场景下文件需要严格控制操作权限和业务流转安全策略。以安全客户端为探针,适配各业务安全需要并对文档安全生命流程进行支撑,通过权限管理,内容防护,外发审批等方式,实现在线场景支撑和防护能力。优点:文件严格控制授权、安全域以及操作权限,流程化支撑文件权限精细化 管控全流程记录。弱点:需要客户端支撑,存在推广难的问题。

场景要点
一、权限集中式管理
1、针对授权文档进行细颗粒度的文件管控,防止越权泄密;
2、加强非授权用户文档使用权限控制,支持权限申请和授权人转授权操作。
二、数据内容使用安全加固
1、加强受控程序文档复制权限控制,限制用户单次复制的文字字数,保证业 务的正常安全进行;
2、新增窗口和屏幕浮水印功能,针对数据泄密事件进行有效的追溯审计。
三、数据导出防护
通过流程解密和制作外发管控包方式对内外部文档进行交互。
icon数据安全治理技术体系——敏感数据防泄漏(DLP)典型场景2icon

避免数据随便进出,对终端进行全局文档防泄漏管控,同时考虑工作效率,对不同密级敏感等级,外发途径实行精细化管控措施。方案建设核心:【DLP】可对文档进行分类分级智能化识别,并按照敏感管控策略进行针对性管控。【DLP】提供外发审批模块,实现业务和工作按需进行涉敏涉密文档外发的审批,而非简单一刀切的防护手段。【DLP】和【文档加密】联动,安全外发+例外阻断,杜绝核心数据在公司外部二次扩散。

涉敏终端外设阻断

涉密数据和涉敏数据从终端外设出去时,如拷贝、打印等,【DLP】按敏感数据管控策略进行 审计或阻断、终端用户可发起审批流程。

网络应用外发阻断

涉敏数据和涉敏数据从网络应用外发如共享传输,IM/邮件/HTTP外发等,【DLP】按照文档外 发管控策略进行审计或阻断,终端用户可按照预定义的审批规则发起审批流程。

外发包管控

按照管控策略的要求,审批人要求外发提供管控包进行权限控制的,包括打开次数、时间、 是否可编辑可打印等,等审批通过后会自动打包成管控包,提供用户进行外发。

icon数据安全治理技术体系——敏感数据防泄漏(DLP)方案组成icon
终端防泄漏
对终端的各种外泄行为进行识别、拦截
文档加密
使用加密技术对文档的权限进行管控
网络防泄漏
对网络流量进行识别、扫描、拦截
邮件防泄漏
对邮件服务器外发邮件进行识别、拦截
存储防泄漏
对数据资产进行敏感性检查、防护
icon数据安全治理技术体系——敏感数据防泄漏(DLP)内容识别能力icon

将人工智能技术引入到内容识别中,让识别准确度、效率和速度可以达到更准、更高、更快。相比普通关键字、正则表达式,智能识别算法识别更加准确、适应性更好。面对大数据量场景,智能识别算法能够更快、更便捷形成敏感数据特征。相比普通关键字、正则表达式,在达到相近的识别效果下,智能识别算法识别速度更快。

指纹计算
利用指纹的唯一性,对内容提取不可逆指纹来进行内容识别
中文分词
利用句法信息、语义信息和词组分割来处理歧义现象
文本聚类
采用自然语义算法对海量文档进行自动聚类、特征训练
文本分类
采用机器学习算法匹配分类特征匹配,实现新文档自动分类
神经网络
基于神经网络算法对图像进行特征匹配,如图章匹配
icon数据安全治理技术体系——敏感数据防泄漏(DLP)传输通道管控能力icon

对所有泄漏途径进行管控,阻止敏感数据在未经授权下离开数据安全域。

USB接口监控
阻止敏感文件通过USB接口流入移动硬盘、手机等设备
蓝牙监控
阻止敏感文件通过蓝牙协议流入手机、外部电脑等设备
刻录设备监控
阻止敏感文件通过刻录机方式离开安全区域
MTP通道监控
阻止敏感文件通过MTP方式流入手机等设备
应用监控
可以控制应用运行,监控文件访问、外发消息等内容
流量监控
阻止共享、文件传输、web 应用、邮件等协议外发敏感内容
打印监控
阻止打印敏感内容,或添 加文字、二维码、图片和隐写水印
屏幕监控
阻止截屏录屏敏感内容,可添加自定义明、暗水印
icon数据安全治理技术体系——敏感数据防泄漏(DLP)泄漏防护能力icon

提供多种防护能力,可以根据内容级别、人员权限、业务需求、所处环境实现灵活的等级防护能力。

加密流转
对传输的数据进行加密保护,实现数据流转同时解决传输安全
发起审批
自定义审批流程和审批模式,提供安全授信外发通道
直接阻断
直接拦截异常行为的发生,阻止敏感数据泄漏造成组织损失
安全提醒
通过实时水印、操作弹框等交互措施进行安全提醒和风险告知
邮件告警
自定义收件人,及时发现重要的泄漏事件,并进行挽救措施
事件审计
对泄漏现场进行事件记录,由安全人员或部门负责人完成审计
icon数据安全治理技术体系——外防内控(外防-数据库防火墙)方案icon
icon数据安全治理技术体系——外防内控(内控)传统堡垒机方案的不足icon

以堡垒机为代表的传统技术手段主要以“人员”和“资产”为颗粒度构建运维管理体系,对于运维人员针对数据库的具体操作行为无法有效管控。

icon数据安全治理技术体系——外防内控(内控-数据库运维管控)icon

数据库运维管控产品是一款专门针对数据库运维人员操作行为安全管控的数据安全产品。通过统一登录、权限管控、多因素认证、操作审批、动态脱敏等技术,可实现对于运维人员的最小化权限控制、动态脱敏、危险操作阻断以及行为审计。

icon数据安全治理技术体系——外防内控(内控-堡垒机+数据库运维管控)icon

堡垒机:支持包括MYSQL、ORACLE、MSSQL、SYBASE、INFORMIX以及DB2等多种数据库类型,并且内置的应用发布服务器(又称为跳板机)模板内置了多种数据库客户端工具,可以支持用户使用不同的客户端工具运维不同类型的数据库服务。数据库运维管控:实现运维人员通过堡垒机调用工具登录数据库后,在进行具体数据库访问操作时,能够根据不同的运维人员进行不同的数据库、表、字段级的细粒度访问控制。实现运维人员在PC端通过堡垒机调用数据库工具连接数据库执行操作时,需要能够定位到哪个人员在哪台PC上使用哪个数据库账号在什么时候执行了什么SQL语句。需具备精准的定位溯源功能。

icon数据安全治理技术体系——数据使用监测及溯源场景icon
icon数据安全治理技术体系——数据使用监测及溯源(数据库内部视角)icon

系统基于深度数据库协议解析技术,采用自动学习和智能分析模式,实现对数据库访问行为的全程监控、高危操作的实时告警和安全事件的审计追溯。

icon数据安全治理技术体系——数据使用监测及溯源(应用及API视角)icon

通过主动监听应用/API中的所有接口,并依据接口是否包含敏感数据,将接口自动分类为普通接口和敏感接口。对普通接口默认只记录不做安全监测;对敏感接口开启全文记录且开启智能监测,对敏感接口的异常访问行为智能告警。

icon数据安全治理技术体系——数据使用监测及溯源(数据水印)icon

系统包含通用的水印数据模板和水印规则与算法,如针对姓名、身份证号码、地址等类型特有的水印算法:身份证号码水印后同时保持部分数据特性,如年龄阶段、性别、所在地区等;数据水印通常是不可察的,它与原始数据紧密结合并隐藏其中,成为源数据不可分离的一部分,可经历一些 不破坏源数据使用价值或商用价值的操作而保存下来。包含以下方式:

伪行
按比例插入伪行假数据 (适用于查询、API对接场景)
伪列
插入伪列假数据 (适用于统计分析场景)
不可见字符
在中文数据中添加不可见的字符 (适用于业务使用场景)
替换字符
根据数据类型替换某几位字符 (适用于数据分析、合作方场景)
icon数据安全治理运营体系——数据安全一体化监管icon
icon数据安全治理运营体系——安全日志归集、分析研判、态势呈现icon

对接采集数据安全相关日志,通过静态、动态、对比、关联等方式进行数据分析和异常检测,感知和识别目标数据资产上发生的事件和行为,提炼和预测整体走向和趋势,帮助用户在数据泄露发生或入侵造成严重后果时及时采取行动。

icon数据安全治理运营体系——数据安全事件预警与应急响应icon

实现全网数据安全的安全风险的通报预警、数据安全知识管理、数据安全运营报告、数据安全风险评估、重大活动保障等数据安全运营活动的常态化、自动化。

统一告警中心
基于安全大数据分析,实现事件关联分析、 用户行为分析等发现深度威胁,实现数据风险的预警、告警。
关联事件调查
动态监控资产分级与保护措施情况,如重要数据、敏感数据是否加密、脱敏。
风险自动化处置
通过安全编排和自动化响应技术,实现风险 自动处置或风险措施处理建议。
icon数据安全治理运营体系——数据安全态势感知大屏icon
资产态势
资产综合态势
资产安全评分
敏感数据变化趋势
数据违规使用态势
数据资产应用热点态势
数据违规存储风险
风险态势
数据安全事件态势
数据泄漏风险信息
数据库资产漏洞风险信息
智能关联风险事件分析引擎规则
智能化事件逻辑关联风险信息
能化事件行为预测风险信息
攻击态势
攻击事件排行Top5
违规操作事件分析
高危操作事件统计
威胁情报调查
icon解决方案客户价值一:国家法规政策全面合规icon

以国家顶层法律为基线,结合行业监管政策为方向,构建以合规为导向,兼顾业务发展的数据安全方案体系。

icon解决方案客户价值二:可落地的数据安全治理体系建设icon
icon解决方案客户价值三:动态风险评估助推精准安全策略icon

围绕业务生命周期风险制定安全管控策略,并且结合动态变化的监管政策及业务发展,可灵活调整应对策略。

icon解决方案客户价值四:安全运营助推数据业务增值icon

支持对数据安全事件的运营管理,支持整体资产接入管理、数据安全监测、安全事件调查、安全报告输出等功能,为数据安全运营部门对整体告警、预警事件的快速响应处理提供保障。使数据业务得到增值。

icon国家应急管理部数据安全整体防护项目icon

国家应急管理部建设全国统一的应急管理平台,其中数据安全部分由闪捷信息参与顶层设计及两期项目的承建。

icon某省数字政府大数据中心数据安全建设项目icon
项目背景

随着政务数据共享开放的快速发展及数据访问行为的日趋复杂化,在数据共享、数据存储、数据使用等环节面临日益复杂的风险。

解决方案

通过数据安全管理系统、数据审计、数据加密、数据溯源、数据授权系统、重堡垒机等风险管控能力及配套的数据安全人工服务,进一步提升相关环节的安全水平。

客户价值

形成统一的数据安全识别、防护、监测、响应、预警体系。

icon某市智慧城市项目数据安全部分建设icon
项目背景

XXX是XXX新型智慧城市的内核,需要着重提升数据治理能力与数据共享交换支撑能力,完善安全保障体系。

解决方案

以数据管理与审计为基础,结合访问控制、数据加密、数据脱敏技术对不同角色用户的数据访问行为的管控、防护、审计、分析,基于“记录日常行为、发现异常行为、确定威胁行为”的思路,建设一套基于大数据平台的“大数据安全平台”解决方案。

客户价值

实现“进不来、攻不破、拿不走、读不懂、赖不掉”的“五不”目标。

icon某大型股份制商业银行数据防泄漏项目icon

围绕内容识别,从流转控制、全量审计、在线审批和邮件反查维度实现全面的外发邮件安全防护: 1. 利用策略工具,对样本文件进行分析,提取特征,形成防护策略; 2. 监控所有外发邮件,记录外发详情,对所有外发邮件进行存档; 3. 结合行内OA、微办公、邮件系统完成涉敏感邮件的在线审批流程; 4. 同时,提供历史邮件反查服务,可以实时利用最新策略对历史邮件进行泄漏检查。

icon某城市商业银行数据安全治理项目icon
项目目标

结合该银行业务发展需求以及核心资产的政策合规要求 1、对银行内部现状进行调研,完善贵阳银行敏感信息管理制度;2、对服务器、网络和终端中存储、流转的敏感数据进行资产盘点,并按照金融行业技术标准进行分级分类;3、满足网络安全法、数据安全法、个人信息保护法以及金融行业分类 分级及数据安全相关法律法规的要求。

项目范围

本次项目范围主要分为数据安全治理以及数据安全防护体系建设两部分。数据治理方面主要按照梳理识别--》风险评估--》防护建设--》体系推广的步骤进行建设。安全防护体系主要在终端、应用及文件服务器、数据中心这3方面进行整体的数据安全防护能力建设。

核心优势

以数据安全治理服务为体系,结合业内领先的资产梳理分类分级以及数据安全风险评估工具,可进行全维度、全过程的咨询服务,并通过闪捷数据安全防护体系自研产品线,进行一体化、智能化的防护体系建设。

icon国家电网XX省公司数据库审计icon

客户需求:需要对多个地域的数据库进行审计,要求审计到对数据库的不当操作和异常行为并告警,能够以集中的方式监控风险。解决方案:1.分布式部署;2.中心统一监控风险;3.各个节点自主管理;4.异常操作实时告警;5.数据库风险自识别。用户收益:1.敏感数据发现;2.异常行为分析;3误操作告警; 4.事故定位追溯;5.满足内控外审。

icon四川XXX医院项目(等保&灾备)icon

电子病历四级建设项目,其中分为三个分包:①医院信息平台及应用软件、②统一协同管理平台及手麻系统、③安全等级 保护2.0测评。闪捷参与了第三分包——等保测评分包

客户价值
• 多方位满足客户等保安全建设合规性要求
• 全面保障客户手麻系统、统一协同管理平台数据不丢失(数据备份)
• 极大程度减少病人的个人信息泄露风险(动态脱敏)
• 基于信息系统底层数据操作全面审计溯源 (数据库审计)
产品推荐 查看更多>>
    亿赛通终端数据泄露防护系统DLP

    亿赛通数据泄露防护系统(DLP),是一款融合机器学习、大数据分析、文档加密、访问控制、关联分析、数据标识等技术的综合性数据安全产品,可帮助用户对结构化和非结构化数据进行数据治理,为用户核心数据资产从终端网络、应用系统等全方位提供全生命周期保护。

    敏感数据检测与响应

    可信介质管理

    文档安全管理

    邮件敏感数据防控

    腾讯云隐私计算平台

    腾讯云隐私计算平台,基于密码学、联邦学习等技术,围绕数据的:使用安全与隐私保护打造通用性隐私计算平台。通过端到端的实现方式,实现数据合规流通与赋能。

    跨机构异步并行计算、海量数据计算

    多种容错机制,支持pipeline级别断点续训

    支持数据维度、项目维度等多颗粒的数据

    支持YARN、K8s等资源管理

    360企业安全云

    为助力中小微企业数字化转型,360集团为中小企业提供SaaS化的新一代安全云服务360企业安全云,助力中小微企业数字化转型。

    终端状态管理

    电脑批量管理

    usb及外设管控

    正版软件授权