<big id="bdwsy"></big>

        1. <pre id="bdwsy"><del id="bdwsy"><menu id="bdwsy"></menu></del></pre>
        2. ?
          安華金和防護知名車企數據跨境安全
          作者:安華金和 發布時間:2020-04-27

          數據跨境場景

          隨著歐盟《通用數據保護條例》GDPR頒布以來,頻繁開出的巨額罰單賺足了全球觀眾眼球,也讓歐盟內企業對數據安全保護與管理愈發重視。數據只有在流動中才能創造其根本價值,而數據在流動中的非安全使用,也會為企業造成核心數據資產泄露的風險,甚至招來最高2000萬歐元或其全球營業額4%的罰款(以高者為準)。對一些中小企業來說,巨額罰款無異于滅頂之災,即便是亞馬遜這樣的科技巨頭,全球營業額的4%同樣是一筆堪稱天價的罰單。2017年,中國《網絡安全法》的正式施行,把對數據的使用要求上升到法律高度;同年《個人信息安全規范》的發布,也將對隱私數據的安全使用提升到了全新高度。

          隨著經濟全球化的持續發展,業務遍布世界各地已成為很多企業的常態。其中,德國某知名豪車企業耕耘中國市場超過20年,中國大陸已成為其在德國本土外最重要的業務陣地,尤其是中國區的汽車和金融業務在該集團業務中擁有舉足輕重的地位。嚴守“不觸碰法律紅線”這一準則,是其百年來得以持續穩步發展的重要基礎之一,而面對歐盟GDPR以及中國大陸相關法律的共同監管,如何確保在企業業務正常開展的同時滿足政策合規要求,就成為了該車企數據安全建設的首要任務目標。

          微信圖片_20200427161533 (1).jpg

          為此,四大咨詢公司的專業咨詢報告,為該車企制定了完善的數據安全建設方案;其中,針對“個人隱私數據的跨境訪問監管”這一首期建設內容,安華金和因連續2年入選Gartner數據安全領域技術成熟度曲線研究報告,成功入圍該項目的備選廠商;后經該車企對一眾候選廠商的多方面考量,安華金和最終憑借全方位的行業技術積累、扎實的已落地項目案例和持續穩定的售后服務能力等優勢因素勝出,成為該知名豪車企業數據庫安全項目的唯一供應商。由安華金和提供的,以數據庫安全預防為主、防治結合的縱深防御方案,得到該客戶的高度肯定并全部予以采納。

          客戶價值實現

          安華金和根據該車企現階段對數據安全建設的基本訴求,在客戶數據庫資產清單相對完善的情況下,制定了包括針對性主動檢查預警、運維過程中數據跨境的合規訪問、開發測試過程中合規使用生產型數據以及事后追溯在內的,由前到后的縱深防御體系,并實現以下價值效果:

          微信圖片_20200427161537 (1).jpg

          1、數據庫漏洞情況摸底排查

          客戶的IT過程管理相對規范,有完善的數據庫資產登記信息和日常管理制度;同時,業務系統以外購或現場定制開發居多,存在不同的供應商、多年不同階段的建設以及數據庫版本跨度較大等情況。DBA運維人員日常更多關注的是對業務系統的持續服務能力,主機安全人員更多關注的是數據庫主機安全,且兩組安全人員對數據庫漏洞情況的關注都比較少,而這些漏洞卻極有可能成為數據泄露或安全攻擊的突破點。針對以上問題,可通過安華金和數據庫安全評估系統(DSAS)對數據庫逐一進行掃描,主動發現當前版本存在的數據庫漏洞,評估漏洞可能影響的范圍并提出修復建議。

          2、跨境數據有效管控

          該車企在全球有多個分公司,遍布南非、北美、印度、英國、德國本土以及中國大陸等地區,根據業務的開展情況運維也由分散在這些分公司的員工分別完成,是真正24小時不間斷的多國團隊協作。在線上生產庫的日常運維及數據分析過程中,幾乎難以避免運維人員有意或無意接觸生產數據的情況,而此類數據含有大量個人敏感信息,這就成為數據跨境背景下最有可能的潛在泄露通道。

          通過部署在中國區數據中心的安華金和數據庫運維管理系統(DOMS),可對境外運維人員訪問存儲在中國境內數據的行為進行審核與管理。其中,對數據庫系統級的運維全部放行,由客戶現有的操作制度進行規范;對業務表的任何操作都需提交運維操作申請,并由業務主管及IT安全主管交叉審批通過后方可執行;對未經審核通過的業務運維操作,以及已審核通過但在非授權時間、非授權終端、非授權范圍的操作進行阻斷,從根本上杜絕運維側敏感數據泄露的可能。

          微信圖片_20200427161542 (1).jpg

          與此同時,系統內置的運維中敏感數據防泄露功能成為了客戶最意外的收獲:運維過程中會涉及到部分業務數據的校對,運維人員會看到其中的敏感數據,如手機號、身份證號、銀行卡號、車架號等信息,而通過預設的敏感數據保護策略,可將經過脫敏處理的數據返回給運維人員,從而在滿足日常運維需要的前提下,有效規避了無意識的敏感數據泄露。

          3、全鏈條審計數據庫訪問行為

          通過多種流量采集方式,將應用服務器、運維人員對數據庫的日常訪問流量進行解析、歸類、入庫,并對數據分類統計匯總,提供數據使用情況的分析;預設的非合規行為一旦命中規則即生成實時告警,并通知到安全管理人員。在對違規事件的事后追溯上,從風險維度開始,使用“一鉆到底”的操作方式,提供從風險到風險語句詳情、風險到語句模板(風險行為的抽象化)、風險到訪問源、風險到會話再到語句流水等多種追溯路徑,易于上手。

          此外,豐富的統計和報表功能為DBA對數據庫,以及業務人員對應用系統的優化提供參考,如數據庫語句和會話執行壓力情況,語句執行頻度Top分析,高耗時語句Top分析等。在滿足政策合規的同時,提供了數據庫管理的實用價值。

          4、提供有效的高仿真生產數據

          該車企業務系統主要由外包團隊駐場定制開發完成,在業務系統的持續開發過程中,需要生產庫的數據進行開發和模擬測試。生產環境真實業務數據會導出到本地,進行離線的二次數據分析,從而對企業經營戰略調整提供參考。雖然有線上和線下系統的邏輯層隔離,但從線上生產環境導出的數據不經過變形就直接交付給線下環境使用的話,很可能直接成為敏感數據泄露給第三方的通道。而傳統的腳本式脫敏不夠智能化和產品化,甚至脫敏后的數據無法保證其原有的格式和特征,失去了數據間的關聯關系,即使脫敏后也無法在開發測試或統計中實現正常的二次使用。此外,越多的人工介入越可能增大過程中的數據安全風險,對風險高度敏感的外資企業對過程中存在的數據安全風險的識別與規避尤為重視。

          方案中的安華金和數據脫敏系統(DMS),可為客戶提供一套自動化的數據脫敏方式。在對從線上獲取的數據源進行敏感數據識別后,經過靈活的脫敏算法變形,既保留了數據原有的格式和特征,也保留了數據間的關聯關系,令脫敏后的數據可安心用于開發環境或BI分析,而不必擔心生產庫敏感數據泄露。同時,通過定時任務進行全自動的脫敏過程,替代了原有繁瑣且容易出錯的人工手動脫敏,從而極大規避了數據離線使用過程中的傳輸與使用風險。

          技術特性支撐

          項目實施過程中,先后遇到了多個需要突破的技術點,安華金和交付團隊在充分論證方案可行性基礎上大膽嘗試了新的技術方案,其中具有代表性的技術點有:

          1、多樣化數據庫流量采集方式

          由于客戶IT系統建設的歷史原因,早期IT系統多以物理機為主,隨著虛擬化平臺的普及,后期的業務系統逐步向虛擬化平臺遷移,這為數據庫審計的流量獲取帶來挑戰——單一的物理交換機鏡像和探針采集都不能完整覆蓋到所有的數據庫業務流量。經過實施前的環境調研和分析,在實驗室環境模擬現場幾類部署場景,創造性的使用了物理交換機鏡像、虛擬化平臺vDS+GRE隧道方式、Agent探針三種方式混合采集流量的方式:

          (1)針對早期部署的數據庫物理機,采用物理交換機鏡像方式將流量聚合后導入數據庫審計DAS系統的鏡像接收網口,一次部署無需后期網絡維護。

          (2)部署在虛擬化平臺的數據庫主機,且虛擬化平臺具備虛擬交換機vDS功能,則在網絡層通過vDS將流量聚合,并在外層打上一層GRE隧道封裝后定向到DAS系統的指定IP上,一次部署無需后期網絡維護。

          (3)對于業務系統和數據庫集成部署在物理機上,以及虛擬化平臺不具備vDS和GRE隧道封裝能力的數據庫主機,在數據庫主機上部署輕量級探針方式采集數據庫訪問流量。

          微信圖片_20200427161548 (1).jpg

          2、通信鏈路加密下的數據庫行為管控

          在項目實施前,安華金和調研到客戶有約1/4的數據庫為Oracle,根據內部統一安全建設要求采用了Oracle Advanced Security通信鏈路層加密,這對整個數據庫串接類產品來說提出了巨大的挑戰,甚至在咨詢公司的技術調研和分析下,客戶已基本放棄了該類場景的適配。為此,安華金和專門建立了以數據庫攻防實驗室為主的技術攻關突破小組,深入分析Oracle通信加密機制,進行大膽猜測,并使用工程逆向方式逐步驗證猜想,去繁就簡挑選了Oracle通信加密方式的AES 256作為首先突破點,進一步破解其指紋信息在通信協商和加解密過程中對公鑰和私鑰的使用與交互流程,論證了在通信層鏈路加密條件下對數據庫訪問行為管控的可行性。這在業界都是首屈一指的關鍵核心技術突破,充分證明了安華金和在數據庫攻防領域的技術領先優勢。

          在可行性調研論證通過后,安華金和圍繞實現原理和實現效果向客戶進行了匯報,客戶了解技術復雜度后充分給予了安華金和信任和相對寬松的技術突破氛圍,終于在4個月內完成了從可行性調研、關鍵技術突破以及代碼化和產品化的過程,并在生產環境成功完成功能驗證與試運行。

          3、與集團安全管理業務體系無縫集成

          優秀且適合的產品應盡可能多的應用到日常業務使用中,以最大限度的減少使用成本。只有與集團安全管理業務體系無縫集成,才能讓安全管理日?;?。在了解到客戶內部使用了AD域賬戶一賬通后,安華金和在短時間內完成了產品與客戶SSO單點登錄系統的適配,使用日常辦公的域賬戶可以無縫登錄到數據庫安全系統。

          同時,安華金和數據庫運維管理系統強調多角色人員協作完成運維動作的申請和流程審批,以及日常的安全訪問控制規則,通過與域賬戶的打通,將AD域上的賬戶權限與本地數據庫運維管理系統進行綁定;使用一賬通登錄系統后,在用戶無感知的情況下即可自動分配用戶可見的操作權限和數據庫管理權限,將系統強大的賬號管理體系與業務深度融合,真正應用于日常業務。

          市場前景展望

          該項目的成功交付,說明在同時應對歐盟GDPR和中國《網絡安全法》、個人隱私敏感信息保護、數據跨境訪問等相關法律法規監管方面,安華金和的數據安全治理解決方案具備良好的可行性與可操作性。安華金和在業內多年的技術積累和在關鍵核心技術上的攻堅突破能力,成為方案能夠有效落地的堅實后盾。同時,該方案可作為駐華外資企業、合資企業等的通用解決方案,幫助更多客戶滿足政策法規對企業經營的要求,讓業務發展走得更穩、走得更遠。

          ?
          五月黄色网站456
            <big id="bdwsy"></big>

                1. <pre id="bdwsy"><del id="bdwsy"><menu id="bdwsy"></menu></del></pre>