CS6:一口气看完八家安全公司的数据安全解决方案(收藏版)
作者: 日期:2018年06月29日 阅:47,279

以“数据安全”为主题的安全牛CS6大会,分别在深圳与北京两地成功举办。由于如今大量的数据泄露问题层出不穷,企业对于数据保护也需要从不同平台(本地以及云端)、不同角度(来自内部以及外部的威胁)、不同方式(接入访问控制以及加密等)进行多方位的防御。在这次CS6大会上,安华金和、志翔科技、联软科技、云安宝、天空卫士、美创、思维世纪以及昂楷科技都带来了自己对于企业数据保护的解决方案。

一、安华金和:数据库纵深安全防御与治理体系

在安华金和看来,如今的数据库面临了四大问题:数据库“安全底子”不统一、互联网业务创新带来新风险、数据去隐私化处理以及数据上云后的主管权问题。另一方面,安华金和强调:数据必须要在共享使用中,才能产生更大的价值。因此,对于数据的保护不应该只是静态的保护,而要注重流动数据的保护。而流动数据的保护则面临了四大问题:数据资产与数据在哪,有多少?如何去隐私化?如何回溯?主管权在谁?

对此,安华金和提出了纵深防御的策略,对数据库系统的3方面进行4道程序4个过程的防护。3个方面分别是针对数据库最重要的核心数据,然后是接入这些数据的访问路径,以及整个DBMS系统,进行层层防护。而4道程序,则是以流程为逻辑,做到检查预警、主动防御、底线防守以及事后追查。4个过程则是需要从组织建立、能力评估、制度设计以及治理技术四个过程对整个数据周期进行保护。

在组织上,决策层要能把握整体的数据安全方向,控制层要能制定详细的体系,最后落实在执行层。在确保自己需要保护的数据范围以及方式之后,要对自身现有的安全能力进行评估,对比和目标能力的差距,建立安全能力的提升路线。而在制度的建立上,需要基于自身的业务进行。而最后需要使用治理技术,完成安全计划的落地。

安华金和提出,对于事前的预警要做到威胁的发现以及对数据的梳理。安华金和从隐患来源以及数据库自身的弱点,先找到数据库的潜在攻击威胁。另外,需要对不同的数据有不同的分类,通过对不同的规范、大数据保护指南、对企业自身业务的敏感性和价值等角度,对数据进行不同的标签分类,从而对不同类型以及重要度的数据,进行不同的保护措施。通过这样,安华金和帮助用户更有效、更低成本地对数据进行事前的保护以及预警。

第二道防线的主动防御则有内外两部分组成。对于外部攻击,安华金和着重针对了如今最广泛的攻击类型——SQL注入攻击进行了防御。安华金和通过对SQL或者noSQL注入的特征,对相关的访问行为进行监测和保护。另外,安华金和采用了虚拟补丁,对整个数据库进行漏洞保护。安华金和同时强调了来自内部的“攻击”。由于人是操作的最后执行者和系统的使用者,大量的问题都是出现在操作者端——无论是误操作还是有意的攻击。因此,安华金和对内部进行数据库操作审批,做到内部的数据可控。

第三层底线防守,确保在最坏情况下数据泄露,但是攻击者依然无法获取真实信息。由于企业对于数据很可能会进行分析,或者在开发、测试环境中进行利用,针对数据在第三方传输、使用中进行脱敏处理就成了必要工作。安华金和对这些数据进行随机/部分替换以及掩码处理,确保数据在离开数据库进行其他处理时不会泄露。针对在数据库中的数据,进行国密算法的加密,确保敏感但实效性不高的数据安全。

最后,在事件发生后,企业要能够快速响应并且在事后进行分析追责。安华金和对整个数据库的运行提供审计、追溯以及分析的服务,确保能在事后通过详细的数据库行为日志确定事件源头、识别定位风险、分析业务系统中的bug以及故障。

安华金和从数据库的覆盖层面以及流程两个角度,全方位、全周期地对数据库进行保护。安华金和已经在省级政府、金融机构以及教育部考试中心投入使用,并且有了出色的成果。

二、志翔科技:以数据为中心构建企业整体安全体系

由于越来越多的企业将自己的业务、数据放到云端,网络边界逐渐模糊化,传统的安全防护逐渐无法做到完全的保护。面对更多信息泄露的潜在场景,企业需要考虑找到新的解决方案。为此,志翔科技提出了以数据为中心的私有云闭环,开发了至安盾、至明安全探针以及至察盾的云数据安全体系。

至安盾提供了统一数据安全管控的平台。至安盾的特点在于打破了传统模式中用户在不同职能的分组情况下分别与不同的硬件以及系统交互的情况,将至安盾置于内网,做到所有接入都由至安盾成为统一的入口接入;从逻辑上将人与数据隔离,以身份权限为新边界,保障安全的同时,使运维、开发和业务外包更为容易。另外,用户交互通过数据流的方式确保数据不落地,辅以审批审计功能,做到事前、事中、事后的全周期安全措施。至安盾适用于大型机构的分布式安全接入/准入场景,入金融机构的外包服务以及大型企业研发管控。

至明安全探针在终端以及服务器全覆盖,在不影响现有工作方式的情况下,对风险进行全面管控,对数据安全做到可视化管理。至明安全探针适用于金融机构数据安全以及大型机构知识产权的保护。

而至察盾则通过机器学习,对大量数据进行分析,从态势来察知“全路径威胁”——对于入侵的不同阶段和攻击类型进行识别、阻止和响应。志翔科技指出,人擅长的是创造和直觉,而机器擅长的是处理和计算,需要让机器帮助人变得更强大。所以,志翔科技认为,需要人发现问题,而由机器来解释解决问题。而至察盾就是分析海量信息,对用户行为进行分析,确保业务风险管理,帮助业务运营提升。

三、联软科技:轻量化、高效化进行数据安全建设

联软科技认为,对于数据安全保护的一大问题在于数据保护由于需要保护的面广、程序复杂、管理内容较多以及易用性差,使得企业和个人在数据保护措施的使用当中无法完全让保护的效果达到预期的效果。

联软科技提出要对数据安全进行一个完善的安全平台建设,从不同层面与不同的功能,纵横双向地帮助客户搭建一个数据安全平台。联软科技提到,对于他们而言,最需要解决的问题就是为用户提供一个方便的安全平台。联软科技平台将安全平台一体化建设,从而对用户而言,只能看到两个通道:安全接入通道以及安全共享通道。通过确保唯一通道的安全,确保数据的接入安全,而对用户而言,可以免去繁琐的安全措施和安全管理的制约,更轻松地在自己的权限里使用数据。

联软科技的产品经理刘现磊表示:联软科技运用多种技术解决问题的同时,也以用户体验为主,让用户在安全使用数据的同时感觉不到“安全”。

联软科技是中国最早、行业应用最广的网络准入厂商,拥有自主可控、业界领先的安全管控平台,服务于中国最顶尖的六大交易所9年以上。

四、云安宝:建设中国特色的CASB

云安宝认为,中国的云服务环境与国外有一个很大区别:国内的云服务普遍性还不及国外,同时大量云服务都在私有云而非公有云上,因此国内的CASB服务不能照搬国外的方式,需要有自己的特色。

云安宝提出了两大自己的核心技术:浏览器文件透明加密以及加密云应用。云安宝实时更新云加密特征库,保证稳定的加密,对敏感数据进行脱敏加密。同时采用格式保全算法,在加密的过程中依然保证数据格式的一致性。云安宝同时使用差分隐私数据脱敏,确保攻击者无法通过差分攻击来获取敏感数据。

而为了适应如今的云办公需求,云加密应用帮助用户保护云端应用的数据安全。云安宝的云加密应用已经可以快速适配国内任意一款云应用,包括国内主流的邮箱应用、网盘应用以及SaaS应用。

五、天空卫士:DLP与内部威胁防护

如今企业面临的数据威胁之一就是数据因各种原因泄露,而威胁来源包括APT攻击、恶意文件以及——企业自身员工的工作失误。而DLP的存在就是监控数据,防止数据因各种原因导致泄露。

天空卫士为了简化风险评估的过程,在DLP网络监测服务器中只配置关键字、脚本、正则表达式及权重字典等技术;根据不同的数据敏感等级,采用不同的检测方式。在未来的建设中,天空卫士建议用指纹匹配技术(通过预先对原始的敏感数据的提取,DLP可以根据提取的信息,在其他位置精确发现相同的敏感数据,即使在数据文件格式变化或者内容删减以后)以及机器学习的检测技术。通过在网关中加入DLP功能,防止员工因失误受到外部的恶意链接攻击或者内部用户因各种原因将敏感数据带到外部网络。同时,天空卫士的终端DLP解决方案,防止用户在终端通过非网络方式(打印、闪存盘等)以及网络方式(QQ、蓝牙等)将敏感数据复制转移。

天空卫士认为,如今的企业,除了要应对外部黑产的攻击,同样要重视自身内部存在的恶意员工。因此,天空卫士推出了内部威胁防护(ITP)解决方案。ITP的核心理念是通过识别和管控企业内部有威胁的人的行为,来降低数据泄露和其他风险。天空卫士的ITP通过对用户行为的数据进行采集和分析,使用异常风险评分(ARS),以现有威胁数据为驱动的精准威胁风险评分(MRS),专家系统风险评分(ERS)进行针对性的评估,可以准确预测员工的离职倾向/离职泄密风险、主动泄密风险、异常数据传输倾向等情况。

ITP的优势在于能更好地平衡误报与检出率之间的矛盾,在提高检出率的同时,减少误报带来的问题。另外,ITP可以对加密过的内容以及编码逃脱内容进行检测,增强了事件的回溯能力。同时,能对已知风险模式进行分析,同现有用户行为进行匹配。

天空卫士如今有数十项针对国内信息泄露风险的独有技术,也是国内唯一具有军队产品销售资质的DLP产品。

六、美创:零信任保护数据

美创的安全解决方案基于零信任中心思想,即企业不自动信任任何内部或者外部的人、事、物。针对内部以及外部的情况,美创有分别有内控数据安全以及“流动数据”安全两套数据安全解决方案。

美创认为,数据安全的第一步,是要将敏感数据进行分类;确保哪些数据是敏感数据,将敏感数据作为数据库的主要保护对象。而在数据库的准入机制上,美创不仅仅采用了普遍的账号和密码机制,同时加入了应用工具、主机名、IP名、数字证书等相关因子,构建多因素数据库准入,对数据库访问来源进行更精准的控制。

另一方面,在数据库操作过程中,往往会因为误操作,使得数据库受损,美创针对误操作的数据库语句进行了控制;同时,对批量的SQL语句操作等敏感操作进行工单审批,避免误操作产生的问题。

在流动数据方面,除了数据脱敏、数据防火墙和数据库透明加密的功能,针对业务数据提供了业务安全的功能。美创的解决方案可以利用大数据进行自学建模,针对业务资产以及业务操作的透视,做到基于业务的实时监测,同时在事后可视化还原,协助用户进行回溯取证。

而对于从去年起爆发的勒索病毒,美创也专门设计了诺亚系统进行防护。用户可以指定保护的数据库以及文件类型,对可信任程序进行授权,只允许这些程序对文件进行修改,防止对数据的恶意加密。

七、思维世纪:四步保护业务数据

思维世纪对于数据的防护可以分为四个方面:识别分级、合规检测、违规监测以及追溯防护。

识别分级对思维世纪来说也是数据保护的第一步,要全面厘清数据资产家底,是数据安全管控的要素和必备条件。思维世纪运用敏感数据识别模型以及分类分级处理模型,对企业数据进行归类分级,确认需要保护的对象以及保护的方式。

之后,由思维世纪的合规检测系统对数据进行脱敏检测、数据安全检测、数据接口检测、金库模式安全检测、大数据基线安全监测以及大数据漏洞安全检测。通过检测的方式,对数据库的各个使用场景进行全方位的检测,确保数据库的功能和应用上合规,安全。

思维世纪的业务数据安全常态化监测平台由“业务数据识别模型”、“业务数据违规访问行为监测模型”和“特征策略库”(简称“两模一库”)提供技术支撑,保障平台对敏感数据识别、行为分析与异常告警,对已知与未知的威胁进行监测。其中,业务数据识别模型能够自动发现业务系统中含有敏感信息的业务,生成唯一的指纹标识,并持续采样验证,最终形成精准的敏感业务识别策略,纳入实时监测模型。做到对不同业务场景进行监测,基于正常的业务流程与情况,发现威胁。

在追溯防护方面,思维世纪对数据进行数据血缘标签的处理。思维世纪表示:任何一个系统,本身既是数据的提供者,又是数据的接收者。而当接收数据之后,接收方会根据自身业务发展需要,对接收的数据进行再加工处理,产生新的数据,然后提供给新的需求者使用,在这个过程中,数据发生了本质的变化,因此有必要通过血缘标签的方式将这种变化记录下来,用以对“游离态数据”的身份进行定位和追踪;从而保证在数据生命周期过程中能对数据的修订及使用可观可控。

思维世纪的产品已在运营商、能源和医院有了实际的落地。

八、昂楷科技:人工智能在数据库审计中的应用

作为一家长期专注于数据库审计的公司,昂楷科技则将人工智能带入了数据库审计。

昂楷表示,数据库审计在数据库安全建设体系中至关重要。数据库审计不仅是揭示数据风险的最佳手段,也是改进数据安全现状的有效途径,更是满足数据安全合规要求的有力武器。审计的目的,是要对整个数据周期进行保护,防止以及检测对数据的威胁;同时,审计的存在也能威慑到潜在的攻击者,让他们不敢轻举妄动。

对于现在很多数据库安全产品,存在着难以跟上多变的攻击方式从而无法应对各种新产生的威胁的问题;另一方面,警告的不准确性会造成误报影响业务、漏报产生泄露的问题。而在加入了机器学习以后,昂楷的数据库审计系统能通过大量的威胁样本学习减少误报率,提升风险识别能力,对未知的威胁也有了防御以及检测的能力,更完善地对数据库进行防御。

另一方面,昂楷将数据库安全的机器学习加入了自己的态势感知系统,建立基于复杂网络行为模型与模拟的安全分析与预测体系,进而得出量化的或定性的数据库安全态势感知。

近年来的多个重大安全事件几乎都是基于数据的——无论是数据泄露,还是对数据进行删除破坏的勒索病毒;因此,基于对数据的保护尤为重要。企业需要在数据的各个周期,从各个方面进行保护——不仅仅是面临来自外部的威胁,同时也有内部的恶意员工以及因为各种失误造成的数据受损。在数字时代里,企业的业务也是由数据驱动的,对数据的保护也是对企业业务发展的保障。

预告:CS7将以“移动安全解决方案”为主题,于7月中下旬在北京召开。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章