等保2.0與大數(shù)據(jù)安全
網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式發(fā)布,這是繼2008年發(fā)布等保1.0十余年來繼網(wǎng)絡(luò)安全法實施后的一次重大升級。等保2.0在等保1.0的基礎(chǔ)上,更加注重全方位主動防御、安全可信、動態(tài)感知和全面審計。
等保與大數(shù)據(jù)安全
我們總結(jié)起來,在等保2.0下去做數(shù)據(jù)安全的建設(shè),
用戶行為鑒權(quán)(加強(qiáng)用戶行為的鑒權(quán))
數(shù)據(jù)訪問控制(有效地建立起對數(shù)據(jù)訪問控制機(jī)制)
敏感數(shù)據(jù)脫敏(對數(shù)據(jù)本身的一些使用和落盤的數(shù)據(jù)要做脫敏和加密)
業(yè)務(wù)/重要數(shù)據(jù)加密
從這張圖上的話想表達(dá)的是說構(gòu)建整個等保2.0下的數(shù)據(jù)安全,我們應(yīng)該考慮遵從一個比較科學(xué)的規(guī)范,也就是數(shù)據(jù)的生命周期要以一個全生命周期的方式去覆蓋去防御我們的生命數(shù)據(jù)。
防御數(shù)據(jù)和傳防御傳統(tǒng)的網(wǎng)絡(luò)安全有個最大差別是原來的網(wǎng)絡(luò)是有邊界的,但數(shù)據(jù)它相對是個無邊界的狀態(tài),我們要去遵從一個數(shù)據(jù)從生存到銷毀的自然生命周期,它覆蓋了創(chuàng)建存儲傳輸交換處理和銷毀這六個生命的自然節(jié)點。在不同的生命周期上,我們將通過不同的技術(shù)手手段去做我們的安全措施。
譬如說在數(shù)據(jù)創(chuàng)建的時候,我們要幫助用戶去梳理他的數(shù)據(jù)資產(chǎn),所謂的數(shù)據(jù)資產(chǎn)就是要告訴用戶你的數(shù)據(jù)有哪些,存在什么地方,以什么方式在存儲,以什么方式在讀取,數(shù)據(jù)本身有沒有做過基于安全屬性基于業(yè)務(wù)屬性的分級分類?有了這些數(shù)據(jù)的標(biāo)簽,這些對數(shù)據(jù)管理和流動性控制都是非常好的基礎(chǔ)。
存儲過程中我們會強(qiáng)調(diào)的數(shù)據(jù)落盤的存儲會通過偷TD加密或者動態(tài)加密的方式去幫助用戶在存儲和傳輸過程中做到安全的措施。
在傳輸跟交換過程中,我們會強(qiáng)調(diào)了用安全審計的方式去幫助用戶還原它的每一份數(shù)據(jù),每次請求所對應(yīng)用系統(tǒng)對數(shù)據(jù)系統(tǒng)是誰在什么時候訪問,對數(shù)據(jù)做了哪些操作行為,我們都會一一的記錄,以便事后的回溯以及事中的告警。
通過數(shù)據(jù)鑒權(quán),可以對用戶的訪問的身份做動態(tài)的識別。我們可以去對接用戶他里邊對里邊的一些應(yīng)用系統(tǒng)的默認(rèn)的一些管理的一些賬號體系,以及對每個用戶的終端去訪問應(yīng)用訪問數(shù)據(jù)的時候,對它的終端環(huán)境做一個畫像去鑒定環(huán)境此時此刻訪問的數(shù)據(jù)是否足夠安全,我們通過環(huán)境變量來判斷他的身份下的另外一種安全的一些狀態(tài),去判斷他能不能去安全去閱讀一份數(shù)據(jù)訪問一份數(shù)據(jù)獲取份數(shù)據(jù)。
最后,在它獲取到相應(yīng)的權(quán)限之后,真正地從數(shù)據(jù)源從數(shù)據(jù)庫里邊去獲取返回的時候,同樣的我們通過我們剛才說了對等保2.0提到的對數(shù)據(jù)的字段級別的表管控和標(biāo)簽,我們對他所返回的數(shù)據(jù)可以提供一份非常良好的一個保護(hù)措施,對敏感數(shù)據(jù)對業(yè)務(wù)重要數(shù)據(jù)做脫敏。