綠盟數(shù)據(jù)安全解決方案

登》zsFauus

綠盟數(shù)據(jù)安全

解決方案

綠盟科技

登》zsFauus

目錄

第1章安全現(xiàn)狀.....................................................2

1.1數(shù)據(jù)安全現(xiàn)狀.............................................................2

1.2建設(shè)數(shù)據(jù)安全體系的必要性..................................................2

1.3建設(shè)目標(biāo)..................................................................2

第2章需求分析.....................................................3

2.1數(shù)據(jù)安全建設(shè)的合規(guī)需求...................................................3

2.2數(shù)據(jù)的分級防護(hù)需求.........................................................3

第3章現(xiàn)狀及風(fēng)險分析...............................................4

3.1數(shù)據(jù)采集風(fēng)險.............................................................4

3.2數(shù)據(jù)存儲風(fēng)險..............................................................4

3.3數(shù)據(jù)傳輸風(fēng)險..............................................................4

3.4數(shù)據(jù)處理風(fēng)險..............................................................4

3.5數(shù)據(jù)交換風(fēng)險..............................................................4

3.6數(shù)據(jù)銷毀風(fēng)險..............................................................5

第4章系統(tǒng)解決方案.................................................5

4.1數(shù)據(jù)安全解決方案建設(shè)思路..................................................5

4.2數(shù)據(jù)安全解決方案建設(shè)流程..................................................6

4.2.1業(yè)務(wù)數(shù)據(jù)梳理...........................................................6

4.2.2定義與識別敏感數(shù)據(jù)....................................................6

4.2.3數(shù)據(jù)全生存周期安全風(fēng)險評估............................................6

4.2.4數(shù)據(jù)安全縱深防護(hù)......................................................7

4.2.5敏感數(shù)據(jù)監(jiān)察分析......................................................7

4.2.6優(yōu)化改進(jìn)與持續(xù)運營....................................................7

4.3數(shù)據(jù)安全解決方案應(yīng)用場景..................................................8

4.3.1數(shù)據(jù)梳理與風(fēng)險評估......................................................9

4.3.2運維數(shù)據(jù)安全防護(hù).......................................................10

4.3.3業(yè)務(wù)數(shù)據(jù)安全防護(hù).......................................................12

4.3.4主機(jī)數(shù)據(jù)安全防護(hù).......................................................14

4.3.5數(shù)據(jù)可視化展現(xiàn)........................................................19

4.4核心技術(shù).................................................................19

第5章數(shù)據(jù)安全解決方案優(yōu)勢.......................................20

5.1.1滿足合規(guī)要求..........................................................20

5.1.2權(quán)限劃定清晰..........................................................20

5.1.3數(shù)據(jù)生命周期全面掌控.................................................20

5.1.4降低數(shù)據(jù)泄露風(fēng)險......................................................20

5.1.5提高數(shù)據(jù)使用者的安全意識.............................................20

第6章數(shù)據(jù)安全解決方案能力清單...................................21

第1章安全現(xiàn)狀

1.1數(shù)據(jù)安全現(xiàn)狀

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能等新技術(shù)的發(fā)展，網(wǎng)絡(luò)邊界被不斷打破，

數(shù)字雙生、敏捷創(chuàng)新、安全合規(guī)驅(qū)動快速轉(zhuǎn)型，社會和企業(yè)都在面臨數(shù)字化的轉(zhuǎn)型帶來的數(shù)據(jù)安

全風(fēng)險。

數(shù)據(jù)安全已經(jīng)與關(guān)鍵信息基礎(chǔ)設(shè)施一并成為影響國家穩(wěn)定、民生安全及社會安全的關(guān)鍵因

素。

1.2建設(shè)數(shù)據(jù)安全體系的必要性

一直以來，我國政府積極探索和研究云計算在電子政務(wù)中的應(yīng)用，也鼓勵黨政部門使用云計

算進(jìn)行服務(wù)模式創(chuàng)新，并開展了一系列試點示范工作?，F(xiàn)在，政務(wù)云已經(jīng)在全國范圍內(nèi)建設(shè)和普

及，為我國政府進(jìn)行職能轉(zhuǎn)變，構(gòu)建為民務(wù)實高效政府，落實厲行節(jié)約工作，發(fā)揮了積極作用。

目前，我國電子政務(wù)進(jìn)入了改革的深水區(qū)，正在加快落實“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，數(shù)據(jù)交換和信息

共享已經(jīng)是信息化建設(shè)重點，各領(lǐng)域的政務(wù)信息系統(tǒng)和政務(wù)數(shù)據(jù)、公民個人信息，已經(jīng)或正在遷

移至政務(wù)云平臺上，加強網(wǎng)絡(luò)和信息安全保護(hù)工作已經(jīng)成為必然。

我國于2017年6月1日正式施行《中華人民共和國網(wǎng)絡(luò)安全法》，規(guī)定了公民使用網(wǎng)絡(luò)服務(wù)

需要實名認(rèn)證，任何網(wǎng)絡(luò)侵入、干擾和竊取網(wǎng)絡(luò)數(shù)據(jù)都是違法的，個人信息安全得到真正的法律

保護(hù)，從此確立了公民個人信息保護(hù)的基本法律制度，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展。

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第三十一條，闡明了保護(hù)范圍是國家對公共通信和信息

服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破

壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

保護(hù)方法為在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實施重點保護(hù)。重點保護(hù)的對象及關(guān)鍵信息基礎(chǔ)

設(shè)施，包括設(shè)施保護(hù)、數(shù)據(jù)保護(hù)、產(chǎn)品和服務(wù)保護(hù)，而數(shù)據(jù)保護(hù)的對象為“個人信息”與“重要

數(shù)據(jù)

以《中華人民共和國網(wǎng)絡(luò)安全法》為核心，我國就數(shù)據(jù)安全依法出臺多項新政策，就包括已

提請審意草案的《數(shù)據(jù)安全法》，對外征求意見的《數(shù)據(jù)安全管理辦法》《個人信息出境安全評估

辦法》，已發(fā)布的有《信息安全技術(shù)個人信息安全規(guī)范》《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《網(wǎng)絡(luò)安全

等級保護(hù)制度》2.0,所有新政的數(shù)據(jù)保護(hù)核心對象依然都是“個人信息”和“重要數(shù)據(jù)”。

從上述內(nèi)容可以看出國家在數(shù)據(jù)安全保護(hù)層面的力度，以及對數(shù)據(jù)安全保護(hù)的重視。

1.3建設(shè)目標(biāo)

建設(shè)完善的數(shù)據(jù)安全體系，有效保護(hù)數(shù)據(jù)在全生命周期過程中的安全，及采集、存儲、傳輸、

處理、交換、銷毀六個階段，達(dá)到合法采集、合理利用、靜態(tài)可知、動態(tài)可控的防護(hù)目標(biāo)。

>合法采集：利用大數(shù)據(jù)分揀技術(shù)，使企業(yè)在法律約束范圍內(nèi)合法采集敏感數(shù)據(jù)；

>合理利用：通過建立數(shù)據(jù)模型，以及對數(shù)據(jù)的敏感級別進(jìn)行劃分，設(shè)立不同的訪問層級，

在數(shù)據(jù)被開發(fā)利用前做好防護(hù)措施，杜絕非法濫用；

>靜態(tài)可知：對存儲中的靜態(tài)數(shù)據(jù)進(jìn)行掃描發(fā)現(xiàn)，并展示數(shù)據(jù)的分布；

>動態(tài)可控：對流動的數(shù)據(jù)進(jìn)行監(jiān)控，防止數(shù)據(jù)在交互、共享中有意無意的泄露。

第2章需求分析

2.1數(shù)據(jù)安全建設(shè)的合規(guī)需求

在符合國家要求的同時，也要符合行業(yè)要求，因此合規(guī)需求是非常關(guān)鍵的?，F(xiàn)在環(huán)境很多，云

計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等等環(huán)境中都存在的各類要求中提到的個人信息和重要數(shù)據(jù)，

個人信息和重要數(shù)據(jù)應(yīng)該如何追蹤、如何防護(hù)，就成為我們強烈的需求點。

2.2數(shù)據(jù)的分級防護(hù)需求

想更好的做到數(shù)據(jù)安全，就應(yīng)該對數(shù)據(jù)進(jìn)行分級，針對不同級別的數(shù)據(jù)進(jìn)行有針對性的防范

措施，從而實現(xiàn)數(shù)據(jù)的分級防護(hù)。由于數(shù)據(jù)的種類繁多，也要根據(jù)業(yè)務(wù)的不同對數(shù)據(jù)做好分類，

將數(shù)據(jù)的分類與分級進(jìn)行有效的關(guān)聯(lián)，就可以讓數(shù)據(jù)安全達(dá)到最優(yōu)的效果，難度顯而易見，需要

科學(xué)的方法來解決此問題。

第3章現(xiàn)狀及風(fēng)險分析

依據(jù)國標(biāo)《數(shù)據(jù)安全能力成熟度模型》中定義的數(shù)據(jù)生存周期來看，數(shù)據(jù)的生命存期周期為采集、

存儲、傳輸、處理、交換、銷毀，對數(shù)據(jù)生存周期風(fēng)險有了全面的了解，有利于構(gòu)建數(shù)據(jù)安全方

案體系，基于數(shù)據(jù)的全生命周期各個環(huán)節(jié)的風(fēng)險及管理辦法如下所示，為了解決數(shù)據(jù)安全的風(fēng)險，

就應(yīng)該有管理上的制度和原則來約束和處置，也需要有技術(shù)手段來監(jiān)督與保護(hù)。

3.1數(shù)據(jù)采集風(fēng)險

非法獲取、數(shù)據(jù)偽造：利用爬蟲類工具對數(shù)據(jù)進(jìn)行非法獲取，為了獲取利潤，甚至對數(shù)據(jù)進(jìn)

行偽造，直接發(fā)送數(shù)據(jù)到各種平臺中，用來對受害人進(jìn)行誘騙，對社會和國家造成不良影響。

應(yīng)對此風(fēng)險應(yīng)對明確數(shù)據(jù)采集責(zé)任人，加強數(shù)據(jù)外送管理，開展常態(tài)化審計工作，禁止直接

發(fā)送采集數(shù)據(jù)。

3.2數(shù)據(jù)存儲風(fēng)險

非法訪問、非法竊?。和獠亢诳蜁寐┒垂?、木馬注入、弱配置、APT等攻擊行為對系統(tǒng)

進(jìn)行入侵，從而盜取數(shù)據(jù)，甚至對數(shù)據(jù)進(jìn)行偽造，更有嚴(yán)重的會對數(shù)據(jù)造成不可修復(fù)的破壞。

應(yīng)對此風(fēng)險應(yīng)加強訪問控制、記錄和審計，建立容災(zāi)備份與恢復(fù)機(jī)制，關(guān)鍵級數(shù)據(jù)要加密存

儲，重要級數(shù)據(jù)按需模糊化脫敏處理。

3.3數(shù)據(jù)傳輸風(fēng)險

網(wǎng)絡(luò)監(jiān)聽、數(shù)據(jù)竊?。簮阂馊藛T利用工具對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行竊聽，從而竊取保密數(shù)據(jù)，

從而利用竊取到的數(shù)據(jù)，不正當(dāng)獲利。

應(yīng)對此風(fēng)險應(yīng)對重要數(shù)據(jù)需加密傳輸，限制違規(guī)設(shè)備接入，保留日志記錄以備審計、禁止采

用移動介質(zhì)傳輸數(shù)據(jù)。

3.4數(shù)據(jù)處理風(fēng)險

數(shù)據(jù)濫用：在數(shù)據(jù)處理的階段會產(chǎn)生數(shù)據(jù)濫用的問題，數(shù)據(jù)沒有進(jìn)行分級管控，人員也沒有

做好權(quán)限的規(guī)范。

應(yīng)對此風(fēng)險應(yīng)遵循“誰使用，誰負(fù)責(zé)”原則，建立數(shù)據(jù)使用審核機(jī)制，測試環(huán)境與運營環(huán)境

隔離，盡量使用線上方式操作數(shù)據(jù)。

3.5數(shù)據(jù)交換風(fēng)險

明文交互、隱私侵犯：在數(shù)據(jù)交換的環(huán)節(jié)上，隨著數(shù)據(jù)被共享交換的次數(shù)越來越多，讓數(shù)據(jù)

價值也變得越來越高，個人信息與重要數(shù)據(jù)也包含在交換的數(shù)據(jù)中，為個人、企業(yè)，甚至國家都

帶來了極大的風(fēng)險，因此要做好防范，杜絕明文數(shù)據(jù)交換，防止隱私被侵犯。

應(yīng)對此風(fēng)險應(yīng)對外提供數(shù)據(jù)需嚴(yán)格審核，內(nèi)部傳輸數(shù)據(jù)需評估風(fēng)險，數(shù)據(jù)共享遵循最小化原

則。

3.6數(shù)據(jù)銷毀風(fēng)險

違規(guī)恢復(fù)、偽刪除：數(shù)據(jù)的生命周期最后一個環(huán)節(jié)是數(shù)據(jù)銷毀，在此環(huán)節(jié)會存在已刪除數(shù)據(jù)

被非法違規(guī)恢復(fù)的現(xiàn)象，在業(yè)務(wù)系統(tǒng)中銷毀數(shù)據(jù)時也存在頁面上看到是數(shù)據(jù)已刪除狀態(tài)，但在存

儲中原始數(shù)據(jù)依然存在的現(xiàn)象，及偽刪除。

應(yīng)對此風(fēng)險應(yīng)對銷毀數(shù)據(jù)確保徹底清除,離線數(shù)據(jù)副本確保無法還原，杜絕數(shù)據(jù)偽刪除現(xiàn)象。

第4章系統(tǒng)解決方案

4.1數(shù)據(jù)安全解決方案建設(shè)思路

在數(shù)據(jù)安全建設(shè)體系上我們提出“一個中心，四個領(lǐng)域，五個階段"的頂層設(shè)計。一個中心

是指以數(shù)據(jù)安全防護(hù)為中心。四個領(lǐng)域是指的數(shù)據(jù)安全建設(shè)的四個領(lǐng)域：組織建設(shè)、制度流程，

技術(shù)工具和人員能力。五個階段是指的數(shù)據(jù)安全建設(shè)的五個階段：業(yè)務(wù)梳理，分級分類，策略制

定，技術(shù)管控，優(yōu)化改進(jìn)。

在數(shù)據(jù)安全建設(shè)體系中，組織建設(shè)、制度流程，技術(shù)工具，人員能力，四個領(lǐng)域都需要同步

開展建設(shè)工作，組織層面，決策層、管理層、執(zhí)行層必須在數(shù)據(jù)安全建設(shè)領(lǐng)域達(dá)成一致，數(shù)據(jù)安

全建設(shè)工作必須得到組織高層的支持。組織高層在數(shù)據(jù)安全領(lǐng)域的戰(zhàn)略目標(biāo)應(yīng)該能夠被管理層和

執(zhí)行層實現(xiàn)。

我們?nèi)粘Ｋf的“三分技術(shù)七分管理”也好“七分技術(shù)三分管理”也罷，都是在表明，管理

是技術(shù)的運營依據(jù)、技術(shù)是管理的落地保障。所以兩者要相輔相成，跳一不可。

合

規(guī)

需

求

流程發(fā)展方針管理制度流程.規(guī)范計劃、表格

&制度組織戰(zhàn)略管理規(guī)范指南、標(biāo)準(zhǔn)報告、日志

業(yè)

技術(shù)分級數(shù)據(jù)泄露數(shù)據(jù)權(quán)限

務(wù)

分類保護(hù)防護(hù)標(biāo)準(zhǔn)管理審批

需工具

求

數(shù)據(jù)全生存周期

數(shù)據(jù)采集數(shù)據(jù)存儲數(shù)據(jù)傳輸II數(shù)據(jù)處理11數(shù)據(jù)交換11數(shù)據(jù)銷毀

數(shù)據(jù)安全建設(shè)體系

在這里，我們借鑒了Gartner的數(shù)據(jù)安全治理框架，定義了數(shù)據(jù)安全建設(shè)的五個階段。形成

了綠盟的數(shù)據(jù)安全方法論?？偨Y(jié)起來就是五個字“知”、“識”、“控”、“察”、“行

>知：分析政策法規(guī)、梳理業(yè)務(wù)及人員對數(shù)據(jù)的使用規(guī)范，定義敏感數(shù)據(jù)；

>識：根據(jù)定義好的敏感數(shù)據(jù)，利用工具對全網(wǎng)進(jìn)行敏感數(shù)據(jù)掃描發(fā)現(xiàn)，對發(fā)現(xiàn)的數(shù)據(jù)進(jìn)

行數(shù)據(jù)定位、數(shù)據(jù)分類、數(shù)據(jù)分級。

>控：根據(jù)敏感數(shù)據(jù)的級別，設(shè)定數(shù)據(jù)在全生命周期中的可用范圍，利用規(guī)范和工具對數(shù)

據(jù)進(jìn)行細(xì)粒度的權(quán)限管控。

>察：對數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)察，保障數(shù)據(jù)在可控范圍內(nèi)正常使用的同時，也對非法的數(shù)據(jù)行

為進(jìn)行了記錄，為事后取證留下了清晰準(zhǔn)確的日志信息。

>行：對不斷變化的數(shù)據(jù)做持續(xù)性的跟蹤，提供策略優(yōu)化與持續(xù)運營的服務(wù)。

4.2數(shù)據(jù)安全解決方案建設(shè)流程

4.2.1業(yè)務(wù)數(shù)據(jù)梳理

在組織與制度設(shè)計方面，傳統(tǒng)網(wǎng)絡(luò)安全均由n,部門負(fù)責(zé)，隨著數(shù)據(jù)治理工作的深入開展，業(yè)

務(wù)部門要深入?yún)⑴c數(shù)據(jù)資產(chǎn)梳理以及分級分類工作之中，因為只有業(yè)務(wù)部門是最了解數(shù)據(jù)價值與

重要性的。因此需要自上而下形成高層牽頭，橫跨業(yè)務(wù)部門與安全部門的組織架構(gòu)。由信息安全

管理團(tuán)隊和數(shù)據(jù)業(yè)務(wù)管理團(tuán)隊共同商討建立數(shù)據(jù)安全制度流程體系。制定好制度體系應(yīng)該以文檔

化的方式進(jìn)行落地管理。從最高級的方針戰(zhàn)略，到最細(xì)節(jié)的表格日志，都應(yīng)該由不同層級的團(tuán)隊

負(fù)責(zé)進(jìn)行文檔化的落地，并嚴(yán)格執(zhí)行。在相應(yīng)的業(yè)務(wù)組織與管理制度指導(dǎo)下，企業(yè)才能更好的開

展后續(xù)建設(shè)工作。

4.2.2定義與識別敏感數(shù)據(jù)

開展數(shù)據(jù)安全治理的第一步就是：定義什么是敏感數(shù)據(jù)，基于業(yè)務(wù)特點進(jìn)行數(shù)據(jù)的識別、數(shù)

據(jù)分類、數(shù)據(jù)分級。數(shù)據(jù)分類分級的準(zhǔn)確清晰，是后續(xù)數(shù)據(jù)保護(hù)的基礎(chǔ)。由于數(shù)據(jù)類型不同，對

企業(yè)影響不同，我們建議根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》要求對個人信息和重要數(shù)據(jù)分開進(jìn)

行評估與定級，再按照就高不就低的原則對數(shù)據(jù)條目進(jìn)行整體定級。

4.2.3數(shù)據(jù)全生存周期安全風(fēng)險評估

完成敏感數(shù)據(jù)分類分級后，就要到風(fēng)險識別的步驟：發(fā)現(xiàn)哪里有敏感數(shù)據(jù)，并對敏感數(shù)據(jù)進(jìn)

行梳理與風(fēng)險評估。敏感數(shù)據(jù)發(fā)現(xiàn)與數(shù)據(jù)風(fēng)險評估的工作要結(jié)合人工服務(wù)和專業(yè)工具共同完成。

數(shù)據(jù)安全風(fēng)險評估可以從數(shù)據(jù)的生存周期角度逐個考慮，這里引用國標(biāo)GB/T37988-2019《信

息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》DSMM架構(gòu)圖中的數(shù)據(jù)生存周期安全的步驟：數(shù)據(jù)采集安

全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全。

數(shù)據(jù)生存周期安全風(fēng)險評估

綠盟科技研發(fā)了敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險評估系統(tǒng)，可以實現(xiàn)智能數(shù)據(jù)分類分級、全網(wǎng)數(shù)據(jù)資產(chǎn)

測繪、實時數(shù)據(jù)流轉(zhuǎn)測繪、大數(shù)據(jù)平臺風(fēng)險掃描的能力。結(jié)合上綠盟的數(shù)據(jù)安全評估服務(wù)，從數(shù)

據(jù)生存周期各個階段評估數(shù)據(jù)安全風(fēng)險，應(yīng)該可以幫助您解決很大部分的敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險評

估問題。

4.2.4數(shù)據(jù)安全縱深防護(hù)

針對數(shù)據(jù)安全的風(fēng)險，應(yīng)以數(shù)據(jù)為中心，向外對業(yè)務(wù)、網(wǎng)絡(luò)、設(shè)備、用戶采取“零信任”的

態(tài)度，既然每個環(huán)節(jié)都不可信，那么管控手段就要覆蓋全部環(huán)節(jié)，任意環(huán)節(jié)失信后都能實現(xiàn)熔斷

保護(hù)。

用戶側(cè)、終端側(cè)、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)側(cè)，以及數(shù)據(jù)中心，都要做好安全防護(hù)措施，外向內(nèi)防攻擊

防入侵防篡改，內(nèi)向外防濫用防偽造防泄露。最關(guān)鍵的是，要對全部縱深防護(hù)環(huán)節(jié)進(jìn)行整體控

制，實現(xiàn)環(huán)境感知，可信控制和全面審計。整合多層次的縱深防御，及時發(fā)現(xiàn)問題，及時阻止安

全問題。總之我們的防護(hù)宗旨是認(rèn)證好人并允許其通過，識別壞人并阻斷其訪問。

4.2.5敏感數(shù)據(jù)監(jiān)察分析

敏感數(shù)據(jù)監(jiān)察分析、發(fā)現(xiàn)安全問題與異常事件?？梢钥紤]從用戶、資產(chǎn)和數(shù)據(jù)的行為模式出

發(fā)，利用5W1H分析模型來進(jìn)行敏感數(shù)據(jù)行為分析，基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件。也就是我們

常說的UEBAo

基于歷史的可信訪問行為提取訪問規(guī)則，利用各類算法進(jìn)行行為聚類，形成可劃分的訪問行

為簇并可視化呈現(xiàn)。通過這種圖譜分析與可視化展示讓管理者對于敏感數(shù)據(jù)訪問情況，由一無所

知轉(zhuǎn)變?yōu)榭梢暱晒堋?/p>

4.2.6優(yōu)化改進(jìn)與持續(xù)運營

當(dāng)我們具備“知識控察”的能力后，不代表我們的數(shù)據(jù)是安全的。業(yè)務(wù)是在變的，數(shù)據(jù)也是

在變的。因此我們的安全也是要不斷變化的。為了應(yīng)對變化，我們在“知識控察”的基礎(chǔ)上提出

了“行”，這是一個動詞，代表著對數(shù)據(jù)安全的優(yōu)化改進(jìn)與持續(xù)運營。

登》zsFauus

在大的層面，合規(guī)要求指導(dǎo)安全策略的設(shè)置，安全策略支撐合規(guī)治理要求的落地，二者相輔

相成，配合上持續(xù)優(yōu)化改進(jìn)運營的“知識控察行”體系，實現(xiàn)持續(xù)自適應(yīng)的數(shù)據(jù)安全防護(hù)能力。

業(yè)務(wù)梳理

數(shù)據(jù)分類

數(shù)據(jù)分級

敏感數(shù)據(jù)發(fā)現(xiàn)

數(shù)據(jù)資產(chǎn)測繪

識

4.3數(shù)據(jù)安全解決方案應(yīng)用場景

綠盟數(shù)據(jù)安全解決方案，圍繞著數(shù)據(jù)安全合規(guī)性管理、個人信息安全保護(hù)、重要數(shù)據(jù)安全保

護(hù)來設(shè)計多種安全應(yīng)用場景。

?最上層為展示層，主要通過數(shù)據(jù)安全管控平臺進(jìn)行數(shù)據(jù)安全的四種視圖展示，分別為數(shù)

據(jù)資產(chǎn)視圖、數(shù)據(jù)流轉(zhuǎn)視圖、數(shù)據(jù)風(fēng)險視圖、數(shù)據(jù)事件視圖。

?中間層為管理層，從綠盟數(shù)據(jù)安全方法論的角度出發(fā)，通過數(shù)據(jù)安全管控平臺做數(shù)據(jù)安

全管理層面的集成，分別為數(shù)據(jù)梳理、數(shù)據(jù)識別、數(shù)據(jù)安全防護(hù)、風(fēng)險分析與事件監(jiān)測、

數(shù)據(jù)安全運營。

?最底層為能力層，通過各種產(chǎn)品能力來解決數(shù)據(jù)安全生存周期中的各種安全問題。

管理層制定統(tǒng)一的管理策略下發(fā)給能力層，由能力層來實現(xiàn)安全效果的落地，而能力層會將

收集到的各類日志信息輸送給管理層，從而實現(xiàn)全面的數(shù)據(jù)分析，再通過展現(xiàn)層及時的進(jìn)行可視

化展示與告警。

數(shù)據(jù)安全合規(guī)性管理

個人信息安全保護(hù)■重要數(shù)據(jù)安全保護(hù)

4.3.1數(shù)據(jù)梳理與風(fēng)險評估

>數(shù)據(jù)系統(tǒng)基礎(chǔ)調(diào)研：對關(guān)鍵數(shù)據(jù)及用戶敏感信息的數(shù)據(jù)系統(tǒng)進(jìn)行初步調(diào)研；

>關(guān)鍵數(shù)據(jù)定義及分級：對各系統(tǒng)中關(guān)鍵數(shù)據(jù)及用戶敏感信息等數(shù)據(jù)進(jìn)行定義，并對關(guān)鍵

數(shù)據(jù)、用戶敏感信息按重要性進(jìn)行分類、分級；

>數(shù)據(jù)生命周期梳理：從數(shù)據(jù)的采集、存儲、傳輸、處理、共享、銷毀等環(huán)節(jié)入手，覆蓋

人員、設(shè)備、系統(tǒng)三要素，梳理各系統(tǒng)在各數(shù)據(jù)生命周期環(huán)節(jié)中相關(guān)網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)詳情；

>數(shù)據(jù)安全合規(guī)性檢測：從數(shù)據(jù)安全制度管理、數(shù)據(jù)安全運營管理、數(shù)據(jù)安全生命周期管

理等緯度梳理數(shù)據(jù)合規(guī)性安全現(xiàn)狀；

>業(yè)務(wù)安全合規(guī)性檢測：對網(wǎng)絡(luò)數(shù)據(jù)與用戶數(shù)據(jù)集中的業(yè)務(wù)應(yīng)用進(jìn)行金庫模式安全性、批

量數(shù)據(jù)違規(guī)獲取、身份認(rèn)證安全性、敏感信息模糊化、系統(tǒng)授權(quán)管理、防撞庫攻擊安全

性等多方面業(yè)務(wù)安全合規(guī)性檢測；

>數(shù)據(jù)安全管理制度建設(shè)：在安全管理制度的制定、落實和審查的三個環(huán)節(jié)上形成可持續(xù)

完善的機(jī)制；

>網(wǎng)絡(luò)數(shù)據(jù)泄露防護(hù):通過采用DLP等網(wǎng)絡(luò)數(shù)據(jù)泄漏技術(shù)監(jiān)測手段,及人工主動干預(yù)方式，

對疑似泄漏渠道進(jìn)行分析驗證，對風(fēng)險點進(jìn)行識別、發(fā)現(xiàn)和處理；

>數(shù)據(jù)保護(hù)審計策略制定：對系統(tǒng)制定相關(guān)數(shù)據(jù)保護(hù)審計制度及詳細(xì)審計策略，包括網(wǎng)絡(luò)

數(shù)據(jù)安全保護(hù)審計、業(yè)務(wù)符合性審計等；

>數(shù)據(jù)保護(hù)安全審計服務(wù)：從數(shù)據(jù)的采集、存儲、傳輸、處理、共享、銷毀等環(huán)節(jié)入手，

建立、健全相關(guān)審計機(jī)制，并定期開展專項審計工作；

>安全檢查支撐服務(wù)：針對上級單位安全檢查、重大活動期間專項保障等期間提供支撐服

務(wù)。

數(shù)據(jù)梳理與風(fēng)險評估服務(wù)企業(yè)帶來的價值主要體現(xiàn)在：

>形成全局?jǐn)?shù)據(jù)分布情況，奠定分級分類管理基礎(chǔ)

>全方位了解數(shù)據(jù)安全現(xiàn)狀與所面臨的安全威脅

登》zsFauus

＞提供專業(yè)整改建議，促進(jìn)系統(tǒng)整改

＞建立標(biāo)準(zhǔn)化、規(guī)范化、專業(yè)化數(shù)據(jù)安全管理體系

＞提升數(shù)據(jù)安全技術(shù)防護(hù)水平

＞針對性地、有序地進(jìn)行各項日常數(shù)據(jù)安全工作和開展數(shù)據(jù)安全建設(shè)

4.3.2運維數(shù)據(jù)安全防護(hù)

隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大、設(shè)備數(shù)量激增，建

設(shè)重點逐步從網(wǎng)絡(luò)平臺建設(shè)，轉(zhuǎn)向以深化應(yīng)用、提升效益為特征的運行維護(hù)階段，IT系統(tǒng)運維

與安全管理正逐漸走向融合。信息系統(tǒng)的安全運行直接關(guān)系企業(yè)效益，構(gòu)建一個強健的IT運維

安全管理體系對企業(yè)信息化的發(fā)展至關(guān)重要，對運維的安全性也提出了更高要求。

巴

日常工作監(jiān)管法律法規(guī)遵循事后追溯

通過對運維數(shù)據(jù)安全防許多企業(yè)和單位需要滿足通過事后畝計信息可

護(hù)可以對運維人員和合國家或者行業(yè)監(jiān)管部門的以對發(fā)生的安全事件

作伙伴的日常操作情況法律法規(guī)要求（如等級保護(hù)、進(jìn)行追溯，保留一份

做防護(hù)和記錄，方便監(jiān)企業(yè)內(nèi)控制度等）.不能修改不可刪除的

管。

4.3.2.1運維統(tǒng)一監(jiān)管

堡壘機(jī)做為專業(yè)的運維監(jiān)管系統(tǒng)，提供了先進(jìn)的運維安全管控與審計能力，是運維數(shù)據(jù)防護(hù)

的第一道防線，其目標(biāo)是幫助企業(yè)轉(zhuǎn)變傳統(tǒng)IT安全運維被動響應(yīng)的模式，建立面向用戶的集

中、主動的運維安全管控模式，降低人為安全風(fēng)險，對運維數(shù)據(jù)的訪問行為實現(xiàn)全面的審計，滿

足合規(guī)要求，保障企業(yè)效益。

堡壘機(jī)通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人-＞主賬號（堡壘機(jī)用戶賬號）授權(quán)-＞從

賬號（目標(biāo)設(shè)備賬號）-＞目標(biāo)設(shè)備”的管理模式；在此模式下，通過基于唯一身份標(biāo)識的集中賬

登》zsFauus

號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接，實現(xiàn)集中精

細(xì)化運維操作管控與審計。

堡壘機(jī)為企業(yè)帶來的價值主要體現(xiàn)在：

>可幫助企業(yè)建立面向用戶的集中、有序、主動的運維安全管控平臺；

>通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連

接，實現(xiàn)集中精細(xì)化運維操作管控與審計；

>對運維數(shù)據(jù)實時監(jiān)控，日志+錄屏雙重審計，保障運維數(shù)據(jù)行為安全；

>降低人為安全風(fēng)險，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

4.3.2.2數(shù)據(jù)庫審計與防護(hù)

近年來，隨著數(shù)據(jù)篡改、泄密等事件的頻繁爆發(fā)，行業(yè)用戶已經(jīng)普遍意識到數(shù)據(jù)庫訪問疏于

監(jiān)管所帶來的巨大危害，數(shù)據(jù)庫審計與防護(hù)產(chǎn)品受到空前關(guān)注。其中就包括數(shù)據(jù)庫審計和數(shù)據(jù)庫

防火墻。

數(shù)據(jù)庫審計是通過對數(shù)據(jù)庫網(wǎng)絡(luò)流量的采集，利用數(shù)據(jù)庫協(xié)議解析與還原技術(shù)，實現(xiàn)對數(shù)據(jù)

庫所有訪問行為的監(jiān)控和審計、對其中的危險操作進(jìn)行多種方式的告警、對數(shù)據(jù)庫訪問行為進(jìn)行

多維度的統(tǒng)計并進(jìn)行圖形化展現(xiàn)。

數(shù)據(jù)庫防火墻是利用數(shù)據(jù)庫協(xié)議分析與控制技術(shù)，基于主動防御機(jī)制，實現(xiàn)數(shù)據(jù)庫的訪問行

為控制、危險操作阻斷、可疑行為審計。

數(shù)據(jù)庫防火墻數(shù)據(jù)庫

將數(shù)據(jù)庫審計與數(shù)據(jù)庫防火墻結(jié)合使用，就實現(xiàn)了具有集數(shù)據(jù)庫IPS、IDS和審計功能為一體

的綜合安全防護(hù)能力。

現(xiàn)如今正處于一種多環(huán)境數(shù)據(jù)共享的時代，如傳統(tǒng)環(huán)境、云環(huán)境、大數(shù)據(jù)環(huán)境等，因此對數(shù)

據(jù)庫的審計與防護(hù)產(chǎn)品就需要做適配變化，傳統(tǒng)環(huán)境依然采用傳統(tǒng)硬件部署，云環(huán)境應(yīng)滿足虛擬

化要求實現(xiàn)軟件化部署或者探針模式部署，大數(shù)據(jù)環(huán)境一般都應(yīng)滿足分布式部署的要求，最終可

以通過集中管控形成統(tǒng)一監(jiān)管的模式。

數(shù)據(jù)庫監(jiān)控平臺

數(shù)據(jù)庫審計與防護(hù)為客戶價值帶來的價值包括:

>防止外部黑客攻擊;

>防止內(nèi)部高危操作;

>防止敏感數(shù)據(jù)泄漏;

>審計追蹤非法行為。

4.3.2.3大數(shù)據(jù)安全運維

大數(shù)據(jù)的思想及其初步應(yīng)用已經(jīng)惠及人們的日常生活，與大數(shù)據(jù)相互依存的云計算技術(shù)、物

聯(lián)網(wǎng)、智慧城市等新的應(yīng)用模式同時印證了其在信息化時代的重要地位。隨著數(shù)據(jù)的價值越來越

重要，大數(shù)據(jù)的安全穩(wěn)定也逐漸被重視，在大數(shù)據(jù)時代，無論對于數(shù)據(jù)本身的保護(hù)，還是對與由

數(shù)據(jù)而演變的一些信息的安全，都對大數(shù)據(jù)環(huán)境提出了更高的要求。雖然大數(shù)據(jù)安全與大數(shù)據(jù)業(yè)

務(wù)是相對應(yīng)的，但對于業(yè)務(wù)和環(huán)境的維護(hù)將更為重要，大數(shù)據(jù)安全運維將包含風(fēng)險檢查、控制防

護(hù)、審計監(jiān)控三個方面。

>風(fēng)險檢查：可以發(fā)現(xiàn)大數(shù)據(jù)組件漏洞與配置威脅、定位大數(shù)據(jù)中的敏感數(shù)據(jù)，讓運維人

員對大數(shù)據(jù)環(huán)境中的數(shù)據(jù)風(fēng)險了如指掌。

>控制防護(hù)：通過實時獲取請求者、環(huán)境和被訪問數(shù)據(jù)三要素的屬性信息，觸發(fā)相應(yīng)的訪

問控制策略，從而實現(xiàn)訪問控制的動態(tài)管理，降低企業(yè)的管理和運營成本。

>審計監(jiān)控：針對大數(shù)據(jù)環(huán)境中的各個組件的數(shù)據(jù)調(diào)用與交互，準(zhǔn)確的對數(shù)據(jù)進(jìn)行審計、

回溯、風(fēng)險控制、職權(quán)分離、操作過程回話等功能，同時生成訪問日志，為運維人員提

供可分析的有效數(shù)據(jù)。

大數(shù)據(jù)安全運維為客戶價值帶來的價值包括：

>大數(shù)據(jù)組件風(fēng)險全面監(jiān)控；

>準(zhǔn)確定位敏感數(shù)據(jù)的安全風(fēng)險，快速預(yù)警；

>敏感數(shù)據(jù)訪問動態(tài)管理，權(quán)限明確，風(fēng)險可控；

>日志全面完整，為事后回溯提供有利數(shù)據(jù)支撐。

4.3.3業(yè)務(wù)數(shù)據(jù)安全防護(hù)

隨著信息技術(shù)日新月異的發(fā)展，近些年來，企業(yè)利用計算機(jī)網(wǎng)絡(luò)技術(shù)與各重要業(yè)務(wù)系統(tǒng)相結(jié)

合，可以實現(xiàn)無紙辦公。有效地提高了工作效率，如外部門戶網(wǎng)站系統(tǒng)、內(nèi)部網(wǎng)站系統(tǒng)、辦公自

動化系統(tǒng)等。然而信息化技術(shù)給我們帶來便利的同時，各種網(wǎng)絡(luò)與信息系統(tǒng)安全問題也逐漸暴露

出來，業(yè)務(wù)數(shù)據(jù)泄露事件頻發(fā).因此要對業(yè)務(wù)系統(tǒng)進(jìn)行安全防護(hù)，保障業(yè)務(wù)系統(tǒng)中的靜態(tài)數(shù)據(jù)、

動態(tài)數(shù)據(jù)的安全。

Web服務(wù)器旗件漏洞防護(hù)

Webil用防護(hù)

（SQCS入信令注入）防崢站入

非法下載限制

法上傳防護(hù)

Webshell防護(hù)

敏感信息過濾

網(wǎng)絡(luò)層訪問控制（信用卡、身份證號等）

URL訪問控制：限制敏感路暴力破解防護(hù)

徑的訪問，對數(shù)據(jù)庫文件.

格的訪問控制.

密碼文件、管理員賬戶嚴(yán)格敏感信息防泄漏

策略

限制HTTP訪問權(quán)限.

4.3.3.1WEB應(yīng)用數(shù)據(jù)防護(hù)

Web應(yīng)用防火墻（簡稱WAF）將客戶資產(chǎn)作為組織Web安全解決方案的依據(jù)，用黑、白名單機(jī)

制相結(jié)合的完整防護(hù)體系，通過精細(xì)的配置將多種Web安全檢測方法連結(jié)，并整合成熟的DDoS攻

擊抵御機(jī)制，能夠抵御各類Web安全威脅和拒絕服務(wù)攻擊，并以較低的運營成本為各種機(jī)構(gòu)提供

透明在線部署、路由旁路部署、鏡像部署和云部署，能方便快捷的部署上線，保衛(wèi)您的Web應(yīng)用

數(shù)據(jù)免遭當(dāng)前和未來的安全威脅。

根據(jù)典型的業(yè)務(wù)數(shù)據(jù)泄露事件可分為五種防護(hù)場景：

>網(wǎng)站訪問控制：不僅可以達(dá)到權(quán)限控制的效果，還可以做到誤報糾正；

>網(wǎng)頁篡改在線防護(hù)：提供事中防護(hù)以及事后補償?shù)脑诰€防護(hù)；

>敏感信息泄漏防護(hù)：可以識別并防護(hù)敏感數(shù)據(jù)泄漏，滿足合規(guī)與審計要求；

>虛擬站點防護(hù)：能對一個IP對應(yīng)多個不同域名的虛擬站點場景進(jìn)行防護(hù)。

4.3.3.2業(yè)務(wù)數(shù)據(jù)脫敏

數(shù)據(jù)脫敏技術(shù)可實現(xiàn)自動化發(fā)現(xiàn)源數(shù)據(jù)中的敏感數(shù)據(jù)，并對敏感數(shù)據(jù)按需進(jìn)行漂白、變形、

遮蓋等處理，避免敏感信息泄露。同時又能保證脫敏后的輸出數(shù)據(jù)能夠保持?jǐn)?shù)據(jù)的一致性和業(yè)務(wù)

的關(guān)聯(lián)性。

數(shù)據(jù)脫敏技術(shù)可以滿足為開發(fā)環(huán)境、測試環(huán)境、培訓(xùn)環(huán)境等提供脫敏后的生產(chǎn)數(shù)據(jù)，也可于

為數(shù)據(jù)交易、數(shù)據(jù)交換、數(shù)據(jù)分析等第三方數(shù)據(jù)應(yīng)用場景提供適用的敏感信息泄露防護(hù)作用。

門戶網(wǎng)站

脫或后數(shù)據(jù)I

138****9214

135?…4325

136….4991

各種業(yè)務(wù)系統(tǒng)動態(tài)脫敏

脫敝后數(shù)據(jù)

數(shù)據(jù)脫敏系統(tǒng)

靜態(tài)脫敏

業(yè)務(wù)開發(fā)測試

各種數(shù)據(jù)庫EaZM

SQLServerMYSQLOracle

以防止數(shù)據(jù)泄漏為核心點，最大限度的保證脫敏后數(shù)據(jù)的特征、結(jié)構(gòu)、邏輯及各類數(shù)據(jù)間的

關(guān)聯(lián)性、連續(xù)性、業(yè)務(wù)性。通過對客戶業(yè)務(wù)數(shù)據(jù)的深度了解，保證整個業(yè)務(wù)系統(tǒng)正常運行。

4.3.4主機(jī)數(shù)據(jù)安全防護(hù)

當(dāng)前無紙化辦公己經(jīng)普遍應(yīng)用，辦公環(huán)境中每位員工都擁有獨立的辦公終端，企業(yè)的研發(fā)源

代碼，財務(wù)、政券信息，運營資料，人資等敏感數(shù)據(jù)以不同的文件形式存在于每個人的終端電腦

及存儲服務(wù)器中，員工通過辦公終端接入網(wǎng)絡(luò)，連接到各種業(yè)務(wù)系統(tǒng)、各類服務(wù)器進(jìn)行數(shù)據(jù)的使

用與交換，很難對敏感數(shù)據(jù)進(jìn)行準(zhǔn)確的定位和分析發(fā)現(xiàn)。

數(shù)據(jù)在辦公環(huán)境中的類型多種多樣，大體可分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)

據(jù)，還可按形態(tài)分為存儲中的靜態(tài)數(shù)據(jù)和使用中的動態(tài)數(shù)據(jù)。

對數(shù)據(jù)的操作包括：創(chuàng)建、復(fù)制、編輯、剪切、截屏、保存、另存為、刪除等。

數(shù)據(jù)傳輸途徑包括：USB、打印、刻錄、共享、網(wǎng)絡(luò)上傳、郵件、論壇、微博、聊天工具、

網(wǎng)盤，還有其他外設(shè)。

當(dāng)前無論是終端，網(wǎng)絡(luò)還是管理方面，都對敏感數(shù)據(jù)的泄漏存在有很大的風(fēng)險。因此，需要

采取相應(yīng)的措施來消除這些威脅，降低整體安全風(fēng)險，確保內(nèi)部辦公環(huán)境下的數(shù)據(jù)安全，具體防

護(hù)方案可以歸納為以下幾個方面：

4.3.4.1終端風(fēng)險統(tǒng)一管控

實現(xiàn)全網(wǎng)終端的病毒查殺、攻擊防御、漏洞修復(fù)、軟件管理、行為管控、外設(shè)管理、流量管

控、遠(yuǎn)程維護(hù)等管理。

持續(xù)威脅跟蹤，詳細(xì)日志審計，云、界、端立體式防御框架及與第三方無逢聯(lián)動對接，讓隱

藏的APT攻擊一鑒無余。

勒索病毒主動防御機(jī)制，漏洞一鍵全網(wǎng)修復(fù)，嚴(yán)格外設(shè)管控，郵件、下載及共享等邊界實時

監(jiān)控，有效防范勒索病毒及其變種威脅。

惡意代碼實時防御，規(guī)范內(nèi)網(wǎng)終端使用，外設(shè)嚴(yán)格管理，保證內(nèi)網(wǎng)環(huán)境安全，降低數(shù)據(jù)泄漏

及破壞、業(yè)務(wù)中斷風(fēng)險。

4.3.4.2終端檢測與響應(yīng)

以端點檢測與響應(yīng)技術(shù)為核心，實時檢測未知威脅并快速響應(yīng)。適用于服務(wù)器、云主機(jī)、移

動/智能終端、工控主機(jī)、物聯(lián)網(wǎng)終端等設(shè)備，支持Windows.Linux及國產(chǎn)操作系統(tǒng)，能輕松適

應(yīng)各種規(guī)模和IT架構(gòu)的企業(yè)，大大提升用戶的安全主動防護(hù)能力。

我們熟知針對終端的網(wǎng)絡(luò)威脅有很多種，如APT攻擊、勒縈病毒、挖礦木馬、Oday漏洞利

用。這種攻擊行為我們很難預(yù)知，但是只要終端遭到入侵后，其系統(tǒng)內(nèi)部狀態(tài)或環(huán)境肯定會發(fā)生

變化，這種變化包括文件的創(chuàng)建修改、進(jìn)程的運行、系統(tǒng)函數(shù)及接口的調(diào)用、配置的修改、用戶

及權(quán)限、網(wǎng)絡(luò)連接、系統(tǒng)資源的變化等。綠盟終端檢測與響應(yīng)系統(tǒng)通過可信特征管理、綜合行為

檢測、基線橫向分析和安全沙箱等方式對用戶的行為進(jìn)行分析。通過上述4層檢測機(jī)制的逐級分

析，可有效發(fā)現(xiàn)已知和未知的威脅。為保證檢測行為的準(zhǔn)確性和可控性，在提供自動化分析處理

機(jī)制外，系統(tǒng)也提供了便于管理員進(jìn)行人工輔助干預(yù)的接口，可人工定義信任或威脅的文件和行

為，從而對自動化判定篩選后的結(jié)果進(jìn)行微調(diào)。并對這些行為進(jìn)行采取記錄、阻斷、隔離、清除

等響應(yīng)措施。

自適應(yīng)策略管理|態(tài)勢可視化|人工輔助干預(yù)

檢測子系統(tǒng)響應(yīng)子系統(tǒng)

4.3.4.3數(shù)據(jù)訪問安全

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于企業(yè)具

有特別重要的意義。信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型

的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主

要是指信息的完整性、可用性、保密性和可靠性。但是，對于不同的企業(yè)和行業(yè)來說，其對信息

安全的要求和重點卻是有區(qū)別的。最重要的問題是不能在對非法（非授權(quán)）獲?。ㄔL問）不加防

范的條件下傳輸信息。

對于一個企業(yè)來說，往往有許多內(nèi)部資源需要開放，但是又擔(dān)心數(shù)據(jù)安全問題。安全認(rèn)證網(wǎng)

關(guān)服務(wù)能提供對API、WEB資源的訪問保護(hù)，使其在訪問時需經(jīng)過身份驗證才可獲取資源。

統(tǒng)一身份系統(tǒng)就是用來規(guī)范保護(hù)用戶賬號信息的關(guān)鍵技術(shù)環(huán)節(jié)，也是未來邊界安全新定義。

通過單點登錄一次一密的會話機(jī)制，使用戶的賬號信息從根源上防范不被竊取，從而保護(hù)用戶數(shù)

據(jù)信息的安全。

無論是員工、合作伙伴還是客戶，可以在任何時間、任何地點，通過任何終端設(shè)備，都可以

借助我們的安全認(rèn)證網(wǎng)關(guān)和統(tǒng)一身份認(rèn)證平臺，對業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行認(rèn)證防護(hù)。

云平臺

VPC

Web

WEB

訪問鏈路加密單點登錄

P一口地址隱藏認(rèn)證授權(quán)Web

安全認(rèn)證統(tǒng)一身份

網(wǎng)關(guān)認(rèn)證平臺

堡壘機(jī)Web防火墻數(shù)據(jù)庫審計

安全管理子網(wǎng)

4.3.4.4數(shù)據(jù)外發(fā)途徑防護(hù)

基于敏感信息識別技術(shù)的防護(hù)對辦公終端的數(shù)據(jù)泄露途徑進(jìn)行全面的監(jiān)控。

可管理通過終端泄漏敏感數(shù)據(jù)的多個途徑，如打印，u盤拷貝，硬盤對拷，藍(lán)牙/紅外發(fā)送

文件,光盤刻錄，文件共享，IM發(fā)送聊天內(nèi)容/傳送附件，如QQ,RTX等，郵件客戶端發(fā)送郵

件，如OUTLOOK,FOXMAIL。

可自定義設(shè)置終端PC外設(shè)端口的開啟和關(guān)閉，當(dāng)端口關(guān)閉后，端口將不可工作，不可進(jìn)行

信息的傳輸，如，USB,光盤驅(qū)動設(shè)備，串口驅(qū)動設(shè)備，并口驅(qū)動設(shè)備，藍(lán)牙驅(qū)動設(shè)備，紅外驅(qū)動

設(shè)備等。

4.3.4.5關(guān)鍵數(shù)據(jù)加密使用防護(hù)

在不影響本地原有明文文檔的情況下，無障礙使用密文文檔。敏感數(shù)據(jù)在加密前后對于數(shù)據(jù)

合法使用者無任何差異，不增加用戶負(fù)擔(dān)、不改變?nèi)魏喂ぷ髁鞒碳笆褂昧?xí)慣。文件的保存加密、

打開解密完全由后臺加解密驅(qū)動內(nèi)核自動完成，對用戶而言完全透明、無感知。

可根據(jù)文檔密級按照組織架構(gòu)（部門、用戶、項目組等）對文件進(jìn)行密級標(biāo)識及授權(quán)管理，

只允許合法授權(quán)用戶根據(jù)分配權(quán)限受控使用；非授權(quán)用戶即使獲取到數(shù)據(jù)也將無法查閱。

對文檔設(shè)置只讀、打印、修改、再次授權(quán)、閱讀次數(shù)及生命周期等權(quán)限，授權(quán)用戶只能按照

規(guī)定好的權(quán)限進(jìn)行使用，無法通過屬性修改、內(nèi)容復(fù)制、副本另存等方式越權(quán)使用。

登》zsFauus

通過內(nèi)容復(fù)制/粘貼、拖拽、副本另存為、截屏/錄屏、打印等方式對文檔內(nèi)容進(jìn)行移植及轉(zhuǎn)

儲，需要對用戶上述操作行為進(jìn)行安全控制。

4.3.4.6數(shù)據(jù)離網(wǎng)交換安全

當(dāng)數(shù)據(jù)需要與第三方進(jìn)行合作編輯，或交由第三方審閱時，為了保證數(shù)據(jù)在交互中不會被泄

露，應(yīng)采取全面的數(shù)據(jù)隔離機(jī)制來達(dá)到安全的效果。

利用沙盒技術(shù)與透明加解密相結(jié)合，創(chuàng)建一個完全隔離的安全空間，再將需要交換的數(shù)據(jù)放

入此空間，只有擁有密鑰和權(quán)限的人員才能打開此空間。

認(rèn)證方式包括：口令、KEY、機(jī)器碼、口令+機(jī)器碼。

權(quán)限包括：只讀、編輯、拷屏、打印、水印、限時、限次、自動銷毀。

4.3.4.7用戶上網(wǎng)行為監(jiān)管

上網(wǎng)行為管理主要解決內(nèi)部員工上網(wǎng)帶來的工作效率低下、帶寬濫用、惡意軟件感染、內(nèi)部

信息泄漏以及法律合規(guī)等問題。

員工通過網(wǎng)絡(luò)可以查找資料、溝通交流和從事電子商務(wù)等，但是相應(yīng)的多種問題伴隨而生，例

如：

?與工作無關(guān)的P2P和在線視頻等應(yīng)用占用帶寬；

?與工作無關(guān)的聊天、炒股、游戲、博客和在線購物等活動影響工作效率；

?員工隨意在網(wǎng)絡(luò)上發(fā)帖和傳輸文件導(dǎo)致機(jī)密泄露；

?員工上網(wǎng)容易受到病毒、木馬和蠕蟲等攻擊和感染；

?員工通過網(wǎng)絡(luò)從事一些黃賭毒等違法活動；

?員工瀏覽和發(fā)布不良言論導(dǎo)致企業(yè)面臨法律風(fēng)險。

為解決以上一系列的問題，綠盟科技憑借在應(yīng)用識別庫和網(wǎng)絡(luò)安全等全方面的多年積累，可

實現(xiàn)員工上網(wǎng)行為的管理、帶寬的限制和確保員工上網(wǎng)安全等，可以極大提高員工的辦公效率和

帶寬利用率，防止機(jī)密數(shù)據(jù)泄密和員工通過網(wǎng)絡(luò)從事違法活動。

4.3.4.8網(wǎng)絡(luò)數(shù)據(jù)外發(fā)監(jiān)控

支持多協(xié)議的敏感信息識別與監(jiān)控能力?？梢员O(jiān)控包含附件的SMTP,包含上傳下載文件的

HTTP,FTP,還有包含上傳文件的NNTP。還能夠監(jiān)控主流的IM協(xié)議(QQ,RTX),可正確分辨HTTP

隧道中的IM流量。

在一個事件產(chǎn)生時，系統(tǒng)可以自動的發(fā)送郵件警告給用戶、用戶經(jīng)理，IT管理員。郵件的

主題，信體等內(nèi)容均可以定制。

全流量采集安全流量

IP/協(xié)議I

4分析/應(yīng)用

分析

HTTP

FTP

文件

SMTPGM