美创科技携手中国联通某省分公司,构筑数据安全防护体系
中国联通某省分公司拥有覆盖全省、通达世界的现代通信网络,近年来,围绕经济社会发展对新一轮数字化革命的迫切需求,该公司加快全面数字化转型步伐,发力新基建,打造云网一体新生态,硬核上线“云展厅”“云课堂”“云法庭”,努力实现公益直播带货和全渠道数字化转型,充分发挥了信息通信对产业链和经济社会发展的带动拉动融通作用。
近年来,随着信息技术的快速发展及联通公司各类核心业务的高速扩张,该公司数据库系统内汇聚了大量高价值的客户及企业核心敏感数据。虽然当前已经构建了完善的边界安全防御体系,并逐步制定和完善了一系列规章制度,但如何在利用数据资源实现数字化转型的过程中体系完整地保护敏感及隐私信息安全,依然面临着严峻的挑战。
为落实《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》等法律法规和主管部门的各项规定,切实加强个人及企业数据的全生命周期保护,现开展数据安全防护体系建设,建设目标如下:
1、数据安全体系化防护
完成体系化的数据安全保护,实现数据全生命周期防护,包含:程序缺陷和漏洞修复、敏感数据分类分级、外部攻击入侵防御、内部风险操作管控、数据流动下的安全防护、数据访问的全面和精确审计留痕等,以确保数据不会面临恶意泄露、篡改或毁损、删库等状况的发生,确保各场景下数据使用及访问的安全合规。
2、合规遵循
数据安全应达到安全合规标准,应满足《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《中华人民共和国数据安全法》(草案)等法律法规及主管部门的对电信行业的各项规定。
3、智能化管理
降本增效,按照要求提供运维报告,对危险事件进行实时告警和通知,便于紧急事件处理;实时进行数据操作监控,定期对日志进行分析,基于数据安全风险态势对整体数据管理提供优化建议,最终实现数据的智能化安全管理。
该省联通经过实际调研,最终选择美创科技完整参与项目整体建设,依托美创数据库防水坝、数据库防火墙、数据脱敏系统、数据库安全审计等产品搭建全面的数据安全风险防护体系,在现有网络安全防御体系下,完善内部风险操作管控、外部攻击入侵防御、数据流动各场景下的数据安全保护、全面精确审计留痕及高效溯源等技术防护手段。
部署示意图
依托美创数据库防火墙系统,基于业内领先的机器学习技术、SQL解析技术、完善的SQL注入攻击特征库及漏洞特征库,实时检测和阻断外部攻击行为,主动防御撞库、拖库和SQL注入攻击;同时提供虚拟补丁功能,检测并阻断利用数据库漏洞发起的攻击行为,有效避免了因打补丁造成数据库重启失败的可能;再加上基于身份授权下的敏感SQL操作管理,有效保证了不中断连接会话下业务流的智能安全管控。
通过美创数据库防水坝,以敏感数据发现和分级分类管理为基础,完善现有4A管理平台,利用身份管理、行为授权等机制对运维人员进行准入合规管理,实现运维操作场景下数据即时动态脱敏、防范敏感数据的高危风险操作、限制特权账户随意访问和修改敏感数据、防直连登陆数据库等,同时,借助账号工单管理和免密登陆、基于全面风险分析报告及监控大屏,协助该省联通信息安全部实现运维人员身份管控,防止核心数据库资产账号密码泄露、提升运维数据安全监控及处置效率等。
依托美创数据脱敏系统,结合各种应用场景的需求,比如:开发环境、测试环境、数据开放共享环境、数据分析场景、不同部门间数据流转环境等等,通过内置的丰富脱敏规则自动发现和梳理敏感数据,基于丰富的脱敏算法和不同的脱敏场景需求,实现敏感数据变形,漂白和替换,同时保持脱敏后数据的业务一致性;同时针对不同类别的脏数据提供智能化报表分析,进而优化和提升数据质量,辅助数据管理。另外,数据脱敏系统支持丰富的数据库、大数据平台、文件等作为数据源,加之增量脱敏等特点,也为该省联通未来更多的场景提供了可预见性的应用可能。
依托美创数据库安全审计系统,以数据资产安全访问合规为出发点,包含直连访问流量在内,以入库流量的精确审计、全面审计及大数据引擎检索为基础,致力于数据库安全审计的日常化运营、可疑分析和安全报告,全面管理起整个数据库安全事件的生命周期,满足电信行业的相关合规要求。
1、合规遵循
2、数据资产驱动安全体系提升
真正实现以敏感数据资产为核心来完善信息安全防御体系,并统一进行资产管理和风险管理,建立了数据安全能力指数、数据安全评价指标、数据安全风险库等评价体系。
3、访问控制辅助安全运营
基于三权分立机制,构建了完善的身份体系,彻底解决特权账户问题、各种非授权访问、越权访问和权限滥用等问题,并基于风险展示、风险评分、态势感知和风险告警搭建完成数据安全运营系统。
4、数据安全能力资源池
基于敏感数据发现及分类分级、身份体系认证、数据水印技术、数据脱敏技术、防SQL注入/拖库、虚拟补丁、防直连控制、工单管理、字段级别的访问控制技术、威胁溯源及全面审计、生态安全能力API,构筑数据安全能力资源池,为更多应用做数据安全赋能。
5、全场景下的数据安全体系
从基础设施层、数据资源层、应用支撑层和业务应用层等场景构建防护体系,满足合规要求的同时实现基于敏感数据资产为主体的全场景防护的安全目标。