前言
1、现阶段DSP发展差距分析
2、数据安全平台 (DSP)重要能力单元
2.1数据防泄漏 (DLP)
2.2数据分类分级
2.3数据访问治理
2.4数据访问控制
2.5数据活动监控
2.6数据脱敏
2.7数据风险分析
总结
数据安全平台(DSP)的“前世今生” 请看数据安全平台——DSP
数据安全平台能做什么 请看一文告诉你数据安全平台(DSP)能做什么
DSP是以数据安全为核心的保护方案,以数据发现和数据分类分级为基础,混合了多种技术来实现数据安全防护。例如:数据访问控制,数据脱敏,文件加密等,成熟的DSP也可能包含了数据活动监控和数据风险评估的功能。那么一个合格的数据安全平台产品集成了哪些安全能力单元呢?它的辅助数据安全基础设施有哪些类别?目前发展差距在哪里?本文重点介绍了DSP集成的安全产品(安全技术能力)和差距分析。
不断发展的数据安全性、合规性和数据共享需求要求组织机构的数据安全领导者具备数据安全运营的理念。
阻碍DSP 发展的重要差距包括:
数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
通过数据梳理工具梳理全网数据资产清单、数据字典、敏感数据,形成知识库;对标行业标准,协助制定适合用户的数据分类分级标准;结合分类分级标准对全网数据资产自动进行类别、级别的识别,形成全网数据的分类分级清单,达到高效率、高准确度的数据资产分类分级。
该领域的大多数安全工具都是基于模式匹配和相对敏感级别来执行此操作的,然后将分类分级的结果记录在数据库中或打上标签对外共享。
这些产品专注于为非结构化数据实施数据安全访问策略。包含 DAG 的 DSP 通常提供以下安全能力:
部分安全产品能够收集用户和角色权限、敏感数据自动扫描以及监控选定关系型数据的数据库用户活动和配置。
结构化和非结构化数据的安全问题可以通过多种方式解决,但大多数问题的根源在于对数据的访问。例如,对数据访问的控制不当可能会导致数据泄露或通过勒索软件丢失数据,并且还会使DLP 等其他控制复杂化。此概念适用于结构化和非结构化数据,无论是位于云端还是本地。应该尽可能地实施最小特权原则,身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。
对审计和事务日志进行审查,从而跟踪各种对数据库操作的行为,主要记录对数据库的操作、对数据库的改变、执行该项操作的人以及其他的属性。这些数据被记录到数据库审计系统独立的平台中,并且具备较高的准确性和完整性。针对数据库活动或状态进行取证检查时,审计可以准确的反馈数据库的各种操作历史,对我们分析数据库的各类正常、异常、违规操作提供证据。
数据脱敏处理数据后,使其降低敏感级别,从而允许以合规的方式进行对外共享。DSP 将数据脱敏作为一种专用功能或作为标记化功能的一部分包含在内,其中可以将数据打上标签之后将数据脱敏对外使用。
数据静态脱敏系统(SDM)对敏感信息通过脱敏规则进行变形,实现敏感数据的可靠保护。数据静态脱敏系统支持数据库接口、文件接口、FTP方式脱敏。对真实数据进行改造并提供测试使用,脱敏系统具有流程化、自动化和作业复用等特点。
动态数据屏蔽 (DDM) 本质上是一种访问控制。当应用程序或人员访问数据时,DDM 会实时应用脱敏操作。原始数据驻留在数据存储库中,因此,DDM 仅为使用中的数据提供保护。当策略授权时,权限用户可以访问原始数据。相反,未授权访问敏感信息的实体将获得脱敏后的数据。非结构化/半结构化编辑 (USR) 可以通过数据编辑技术保护敏感的非结构化(PDF、Excel 文件、文本文件、日志文件等)和半结构化(XML、JSON 等)内容。
数据风险分析是一种数据安全方法,专注于数据以更好地配置主动安全措施。例如,数据分类标签、数据访问权限、行为数据以及数据存储的配置或漏洞可用于计算数据风险评分和其他可用于在数据泄露发生之前修复安全漏洞的数据风险指标。
DSP 可以在不同程度上具备数据风险分析能力。例如,部分DSP 有一个大屏展示,其中使用业务厂商自定义的方式计算数据风险,并以颜色区分或使用百分比分数显示。
DSP理论上可以集成业务系统所需的所有安全功能,但是实际执行起来会比较麻烦,今天简单介绍的这几种安全能力单元,每个能力单元都是一个安全防护产品的缩影,后续我会详细介绍每一个产品的技术原理、使用场景、功能特性等内容。只有了解了每一个产品的功能特点和技术规范,你才会对DSP的概念更加深刻,同时数据安全运营的概念也会更加立体,从单个产品到数据安全平台,从技术工具到安全运营,数据安全的全生态场景才逐步向你展示。了解基础产品和相关思想概念之后,数据安全治理才能越做越好!
注:DSP的概念来源于Gartner的《2021数据安全技术成熟度曲线》,如有侵权,请联系我删除,以上分享仅供参考和学习, 感兴趣的的可以看看官网的分析研究2022年数据安全平台融合战略路线图