-->
 
 
 学校主页  中心首页  部门概况  规章制度  网络基础建设  信息化建设  网络安全  党建园地 
 
站内检索:
 
 
信息化建设行业动态  
当前位置: 中心首页>>信息化建设>>信息化建设行业动态>>正文
 
 
 
数据安全发展态势及相关技术
2017-09-05     (浏览次数:)

2017年6月1日正式实施的《网络安全法》第十条要求“建设、运营网络或者通过网络提供服务,应当采取技术措施和其他必要措施,维护网络数据的完整性、保密性和可用性。”我们可以把这个要求看成是当前数据安全的正式定义。

广义的数据安全技术是指一切能够直接、间接地保障数据的完整性、保密性、可用性的技术。这包含的范围非常广,比如传统的防火墙、入侵检测、病毒查杀、数据加密等,都可以纳入这个范畴。正因为如此,很多传统的安全厂家都给自己贴上“数据安全厂家”的标签。

而狭义的数据安全技术是指直接围绕数据的安全防护技术,主要指数据的访问审计、访问控制、加密、脱敏等方面。而这里的数据,则可以粗略地分为两类:一类是非结构化的数据,例如图片、文件、图纸等;另一类是结构化的数据,主要存储于数据库中。当然非结构化的数据很大一部分也存储于数据库中,尤其是现在的各种NoSQL数据库,就是专门针对非结构化数据设计的。而相应的数据安全技术,也可以粗略地划分为针对非结构化数据的安全技术和针对结构化数据的安全技术。

本文聚焦于狭义的数据安全。对于非结构化的数据安全,主要采用数据泄露防护(Data leakage prevention,DLP)技术。DLP技术发展相对成熟,国外比较具有代表性的有Symantec的DLP产品,国内也有不少类似产品。而对于结构化的数据安全技术,国外发展比国内早5~10年。个别产品,如数据库审计、数据库防火墙,以及数据库脱敏,现在国外进入产品和市场的成熟期,代表性厂家有Imperva、IBM Guardium、Infomatica等,而国内企业目前勉强有产品能够进行替代,实际差距还比较大。在针对云环境和大数据环境的安全方面,国内刚刚起步。以下逐个盘点。

数据泄露防护DLP

调查显示,在文档类泄密事件中,97%都是因内部员工有意或无意泄露而造成。其主要原因为核心数据大多以文件为载体,零散分布在员工电脑及移动介质中,且以明文存储,不受管控。文档的使用者可任意编辑、拷贝、转发、打印等,文档处在“裸奔”状态,存在巨大的安全隐患。数据泄露防护(DLP)基于文档加密,进而控制其解密权限,从根源上防止数据外泄。

DLP的核心技术在于如下几点:

1.动态透明加解密,用户无感知,在不影响用户办公习惯的前提下,有效控制使用者对文档的读取、存储、复制、输出的权限,防止数据泄密。

2.文档分级管控,根据文档流转范围,对文档进行多级别分级管理,确保文档接收者只能做权限范围内的操作。

3.文档外发管理,对受控的外发文件进行加密和权限设定,防止第三方泄密。

4.系统集成拓展,可与文档安全网关、邮件安全网关等系统整合,实现对单位应用系统的安全集成及对核心数据载入载出的安全保护。

由于国外产品Symantec曾经被审查出后门程序,以及国内密码管理政策原因,目前国内的DLP产品主要采用国内自主研发为主,并且由国内公司研发生产,目前通过应用层及驱动层加密相互配合,可实现任意文档类型的加密处理,并且没有文档大小及类型的限制,文档处理效率几乎不受影响,技术已基本成熟。

数据备份与容灾

需要确保数据备份和容灾系统通过建立数据的备份以及远程的容灾备份来确保在发生灾难性事件时,数据能够被正常地恢复,从而提升数据的可用性。

数据容灾备份的关键技术在于:

1.数据变化的捕捉,将差异变化以最小的代价传送到备份端。

2.恢复技术,需要在最短的时间甚至是零时间内将备份数据恢复到生产系统中。

目前数据与容灾的市场和技术都相对成熟,国内厂家较多,产品的可选择余地较大,基本可以完全替代国外产品。

数据库审计/防火墙

数据库审计是最基础的数据库安全手段。由于数据库是个“黑盒子”,对来自内网、外网的用户和系统对核心数据的访问情况,尤其是违规访问情况缺乏可视化。数据库审计通过分析访问数据库的网络流量,对数据的访问情况进行展示,并进一步地识别敏感数据的窃取和破坏行为,比如对SQL注入攻击、后门程序等进行识别。而数据库防火墙则更进一步的,设置对核心数据的访问规则,阻止来自内网用户的越权访问和误操作。并且这种访问规则是独立于数据库系统自身的访问控制。

数据库审计/防火墙的核心技术在于如下几点:1.高效的数据包获取、分析和转发技术;2.完整、准确的数据库协议解析和SQL协议解析;3.灵活有效的访问控制规则系统;4.自动学习能力,能够自主地学习用户对数据的访问模型,并基于该模型进行访问控制;5.高效的日志存储和查询性能;6.灵活的部署方式,能够部署于多种应用环境。

国外知名的数据库审计/防火墙厂家有Imperva和IBMGuardium,它们的产品前几年在国内大型IT系统中部署较多。现在国内一些公司的产品在界面、功能、性能等方面逐步接近国外产品,基本能够替代。

上一条:数据安全全过程管理——以大连理工大学为例
下一条:“纵深防护”打造高校数据安全
关闭窗口
 
 
中心办公室:0597-2793169   网络部:2793160    信息部:2793189
           地址:龙岩学院同心楼靠近大榕树三楼