数据安全产品

1. 数据安全产品

1. 1. 数据安全

   1.1 背景简介

        随着 《中华人民共和国数据安全法》的颁布，企业对数据安全的投入越来越多，对企业来说，就需重视数据的应用安全。

    《中华人民共和国数据安全法》中第三条，给出了数据安全的定义，通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。要保证数据处理的全过程安全，数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

这里面包含着两层含义，其一是数据防护的安全，采用现代化的技术手段对数据进行保护，这种手段体现在管理手段与技术措施两种。管理手段主要表现为数据保护体系的建立，组织架构与监控流程等；而技术手段则表现在数据保护的全过程，如数据的采集方面，个人信息数据，敏感数据等，数据的存储表现如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。

  第二层含义为数据的合法利用，数据能够在合规的条件下进行流转，使用，发挥数据的价值。

      1.2 数据安全的特点

数据安全的特点称为CIA三原则，即：Confidentiality, integrity, availability

保密性（Confidentiality）

通过限制对受信任和经过验证的方式的访问来保护数据。加密是帮助组织保持机密性的常用方法。

完整性（integrity）

确保数据在任何时候都不会被篡改、降级或删除。即使在写入、发送、存储或检索时，也必须如此。数字签名、不可擦除的审计跟踪和定期备份都是组织保护系统数据完整性的技术措施。

可用性（availability）

确保授权的用户能够对数据和资源进行及时和可靠的访问。

2. 数据安全相关产品

    单数据作为这种新型的生产要素，是实现业务价值的主要载体，只有在流动中才能体现价值，而流动的数据必然伴随风险，所以数据安全威胁伴随业务生产无处不在。 因此，凡是有数据流转的业务场景，都会有数据安全的需求产生。

      这样的建设思路和传统的网络安全的产品建设思路不一样，传统的网络安全是以防火墙、杀毒软件和入侵检测等“老三样”为代表的安全产品体系为基础，基于网络边界防护开展的产品构建及设计。而IT系统不可避免的存在缺陷，利用缺陷进行漏洞攻击或是网络安全永远的命题，攻防对抗视角的网络安全防护是过去主要的安全防护手段 ，但是随着云计算、移动互联网、物联网、大数据等新技术蓬勃发展，数据 高效共享、远程访问、云端共享，原有的安全边界被逐渐“打破”了。这样的情况下，由于数据的高流动性，且每一个数据均是包含的完整的生命周期，数据安全业界的思路是“以数据为中心的安全”的建设思路。

     而基于这个思路，由于数据生命周期的存在，数据安全产品全图是基于数据安全的产品思路梳理。数据生命周期分为数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁。

2.1 数据分析类产品

    随着汽车ISO21434 标准的颁布，TARA分析已经被越来越多的汽车相关企业应用， 而以TARA方法论为基础的分析工具针对汽车的信息安全，同样，对汽车的数据安全的分析也基于一定的方法论，当前这样的方法论并未有明确的标准，不过，GDPR给出了针对隐私数据的评估方法论，可以对其加以归类处理。

 2.2 数据采集类产品

数据分类分级产品：解决数据资产发现及识别的问题，一般通过扫描形式发现数据，通过内置规则库进行资产分类分级标签的识别 ，数据资产化能使企业从安全分级角度明确数据整体态势，利用数据分类分级的结果指导数据安全策略的部署与实施，实现数据安全治理。

敏感数据发现系统：通过扫描手段发现资产后，通过内置敏感数据规则，实现敏感资产流转监控；一般基于隐私保护与合规的数据安全治理技术框架，根据各行业的业务数据特征和分类分级规范，提供行业模板，通过自主创新研发的敏感数据识别技术，全面、快速、准确发现和定位敏感数据，构建持续更新的企业敏感数据分类分级目录。内置GDPR、网络安全法、PlI等合规知识库，结合敏感数据目录识别和量化数据安全风险，生成评估报告，驱动数据安全策略的落地，可以为数据安全工作的推进提供抓手。

2.3 数据传输类产品

动态及静态脱敏系统：可以帮助企业高效、合规、安全使用数据。需要支持的数据源类型，系统一般通过聚类分析自动分类，内置丰富规则，运用无监督机器学习模型，得到精准智能的识别结果。脱敏数据需要保持原有数据特征、关联性、一致性、可逆性，系统一般会实现对静态数据库、文件的脱敏，支持基于用户角色、访问物理身份、访问页面和敏感数据类型，提供敏感数据实时动态脱敏。如汽车的脱敏产品：车牌号，人脸处理组件等就是一种合规的应用级产品。

数据安全交换系统： 安全数据交换系统通常采用安全标记为核心的思路，解决传统边界仅能实现两域间隔离细度弱、策略复杂、工程设备中安全标记产品系列不齐全等问题。构成技术上简单、高效的一套具备隔离强度高、防护粒度细、控制力度大的产品系列和技术体系。

2.4 数据存储类产品

数据库加密系统：需要在保障业务系统透明访问的前提下，实现数据存储加密、访问控制增强、等保合规的数据安全设备。一般的数据库加密系统无需改造业务系统，通过加密引擎即可从根本上解决数据明文存储造成的敏感数据易因黑客拖库、越权访问、磁盘失窃等威胁被批量泄露的问题。

数据库容灾备份系统：容灾备份系统（数据防泄漏产品可以用来检测、保护和管理敏感数据，无论数据是在移动、存储或者使用的过程中，以深层内容分析技术为核心，以集中策略为基础，并通过一个统一的管理系统对数据进行各种处理并与其它安全技术联动。 Disaster Recovery）是为满足云环境和传统环境下的数据保护等多种场景下的备份需求。系统需要支持私有云、公有云、混合云环境下的虚拟机备份与恢复、数据库实时与定时备份、异地副本、文件备份、数据归档、灾难恢复演练等服务和解决方案，解决由于人为误操作、病毒攻击、逻辑错误、硬件故障和自然灾害等原因造成的数据丢失，为用户业务系统提供安全保障。

2.5 数据使用类产品

特权账号管理系统：简称PAM，是以数据的重要访问入口——账号口令安全为维度的数据安全产品，能够主动发现各类基础设施资源的账号分布、识别账号风险（包括弱口令、僵尸账号、幽灵账号、长期未改密账号，账号违规提权等）、管理账号使用，实现对各类基础设施资源账号的全生命周期管理，帮助客户提升账号安全的主动防御能力，降低因账号口令泄漏或被非法利用而造成的数据外泄风险。

API安全检测：主要通过对Web、APP、小程序、IoT等应用系统的流量分析，从而实现API数据暴露面的治理和对数据攻击行为持续发现。系统部署在企业互联网出口，实时监控企业API的数据暴露面以及被攻击情况。主要价值是对API进行梳理，避免企业安全管理盲区，降低API的数据泄露和合规风险。

隐私计算保护平台：隐私计算保护平台主要是保护数据在计算过程中可用不可见的痛点问题，一般是针对机器学习算法进行定制化的隐私保护改造，保证原始数据不出本地即可完成联合建模及数据使用，支持安全多方 PSI（隐私保护集合求交技术）、安全隐私查询、安全统计分析，通过该产品，数据使用各合作机构能保障数据安全，发挥数据最大价值，很好地解决业界数据孤岛的难题。

2.6 数据共享类产品

数据库防泄漏（DLP）：数据防泄漏产品是常见的数据安全产品，可以用来检测、保护和管理敏感数据，无论数据是在移动、存储或者使用的过程中，以深层内容分析技术为核心，以集中策略为基础，并通过一个统一的管理系统对数据进行各种处理并与其它安全技术联动；

数据水印系统：数据水印系统实现对数据文件进行自动读取、识别、增加水印的 措施，可自动发现源数据中的数据类型，对外发数据进行添加数据标记、自动生成水印、数据源追溯等功能，避免了内部人员外发数据泄露无法对事件追溯，自动对数据增加仿真性水印，产品可提高数据传递的安全性和可追溯能力，水印分为明水印和暗水印两种。

2.7 数据监控类产品

数据资产安全管理平台：全面盘点数据资产、实现数据动态跟踪、数据归类与生命周期监控、保障数据安全合规等为重点内容和目标的综合管理平台。可通过数据资产梳理规划、分级分类，帮助管理者全面了解核心数据资产，识别数据资产风险，完成数据资产类目构建与数据敏感信息归集等工作，从而不断优化和提升数据资产管理规范、安全规范，以及进行合规类证明。

2.8 数据销毁类产品

数据库安全审计系统：数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。