一切都必须从明确保护对象入手。通过华安星数据安全监管系统,可以精确梳理数据资产情况及其责任权益人,监控敏感数据资产的变更情况,动态刻画数据业务态势,分析数据资产存在的风险,实现全面的数据资产监管;还可以帮助用户构建数据资产底账,监管数据资产变更,梳理存在风险的数据资产,规范化运维操作流程。
●数据资产梳理
利用主动扫描和被动流量监听技术,从实例、库、表、字段和存储过程等多个对象构建数据资产底账,建立时间节点的资产快照。利用智能分析算法,挖掘业务数据中存放有哪些个人信息数据和业务敏感数据,并精准刻画其分布情况,动态刻画数据安全边界,明确数据的使用者、责任者和所有者,为发现数据资产的风险,建立行之有效的防护体系,提供重要的信息基础支撑。
●数据资产变更监控
数据产生的链路或者路径以图谱形式展现,可以看出数据的变化影响和数据的产生源头,还可以清晰刻画出表与表之间的关系。同时记录了每一次数据库操作的输入与输出,从表级和字段两个粒度入手,描述多表间的关系,为数据库中的元数据勾勒出一幅完整的数据流动变化关系图谱,使用户能更全面地掌握数据,从而把握数据的变化。
●数据资产风险分析
基于建立的数据资产底账,辅以人工刻画管理域边界,通过对数据访问行为的分析,动态侦测数据资产的变化情况,发现系统中存在的僵尸资产、复用资产、未知资产、高频资产、失踪资产、销毁资产和不明资产等,帮助用户快速刻画指定责任范围内具有风险的数据资产。例如通过僵尸资产监测,可以帮助用户知道哪些数据不再使用,可以删除。一般情况下,用户关注的重点大都是业务生产数据。由于备份或升级等原因,会导致大量僵尸数据的产生,而且僵尸数据中还可能包括敏感信息,用户容易疏于防范,一旦泄露,其责任是相同。对于无用的僵尸数据库账号,同样容易疏于管理而被非法利用,导致数据篡改和泄露的事件发生。通过复用资产监测,可以明确哪些数据向多个业务系统开放,对其的防范能力需要同步建设,以避免短板的出现。通过高频资产监测,可以帮助用户发现哪些数据是频繁使用的,需要重点防护。
●数据库运维监管
随着信息系统的不断增加和建设,需要大量第三方人员的协助运维。而随着时间的推移,很容易发生失控的情况,无法得知他们到底做了什么、管理是否规范、有没有获取不应碰触的数据。通过对数据库运维的监控,可以帮助用户了解“当前哪些终端通过什么账号、使用哪个工具对数据库进行了什么操作”等信息。能够完整刻画出每个数据库账号的使用范围、使用方式和使用权限。
彻底从被动审计上升为主动防御!
实践案例分析
在某项目案例中,通过华安星数据安全监管系统,实现了有效的数据资产梳理与风险发现。
项目实施前:
用户表示有1个数据库实例、4套业务系统、40多个数据库,几百张表十几个数据库账号,都通过堡垒机进行远程运维。系统中涉及的个人信息都存放在1张大表中,进行统一调用,并通过接口的方式,提供数据给外单位使用。外单位的IP地址是固定的。
项目实施后:
发现用户有1个数据库实例、85个数据库、6741张数据表、5773张僵尸表(其中1101张表涉及个人信息)、数据库账号168个(其中7个弱口令),各业务系统间存在大量数据复用和调用的情况,还有大量不通过堡垒机运维操作的情况,甚至有在应用系统上直接使用数据库工具操作的情况存在。
小结:
从该案例中,不难看出用户对自身的数据资产底账不清晰、敏感信息的分布情况不明确、数据边界模糊、运维管理混乱等情况。通过项目的实施,帮助用户构建数据资产底账、监管数据资产变更、梳理存在风险的数据资产,规范化运维操作流程,具有显著的效果。