新闻动态

News information

《工业信息安全》杂志再刊登:六方云技术研究成果【3】

<<返回

2024年10月28日 16:00

02.

实现与验证

1、充当零信任代理的主机数据安全管控代理


主机数据安全管控代理在零信任框架中充当零信任代理,其功能逻辑结构如图6所示:

6.jpg

主机数据安全管理代理逻辑结构图



数据资产发现:根据平台的策略执行数据资产发现相关操作,发现软件应用、硬件设备、存储数据、内存数据、网络通信流量、外设、日志数据、敏感数据等资产;

数据安全威胁检测:外部隧道检测、应用程序检测、监控API、恶意文件检测、分析内存行为、数据泄漏通道监控、深度流量分析等;

数据保护:根据平台的策略执行数据保护相关操作,如数据脱敏、数据加密、水印溯源、数据协同过滤等;

信息审计:根据平台的策略执行信息审计相关操作,如审计网络外联、账号登录、文件流转、USB使用等信息;

合规管理:根据平台的策略执行合规管理相关操作,如网络准入、设备标准化、外设管控、上网行为管控等;

应急响应:处置报告、处置工具、处置方案、安全事件处置等。

2、 充当零信任网关的数据流转安全管控网关


数据流转安全管控网关在零信任框架中充当零信任网关,其功能逻辑结构如图7所示。


7.jpg

图7 数据流转安全管控网关逻辑结构图

数据资产发现:根据平台的策略执行数据资产发现相关操作,发现软件应用、硬件设备、文件、网络通信流量、敏感数据等资产;

数据安全威胁检测:外部隧道检测、应用程序检测、监控API、恶意文件检测、数据泄漏通道监控、深度流量分析等;

数据保护:根据平台的策略执行数据保护相关操作,如数据脱敏、数据加密、水印溯源、数据协同过滤等;

信息审计:根据平台的策略执行信息审计相关操作,如审计查询日志、文件、报文等信息;

3 充当零信任控制器的数据安全综合管控平台
数据安全综合管控平台在零信任框架中充当控制器的角色,数据安全综合管控平台主要功能包括:

(1)数据安全采集:资产设备发现和识别、资产设备指纹管理、网络接入异常监控、数据采集合规分析、流量行为监控、信令白名单检查、资产设备画像;

(2)数据资产梳理:数据资产发现、数据特征识别、数据图谱分析、数据分类分级策略集生成、主从表自动关联、数据分类分级知识库;

(3)敏感数据识别:敏感文件位置、敏感数据识别方式、敏感文件类型、敏感数据库类型、敏感API类型、API监测、网络流量敏感数据检测与审计;

(4)数据防泄漏:特殊人员标识、防数据泄漏管控策略、违规行为阻断、高效安全的数据交换通道;

(5)数据库加密:应用层加密、前置代理加密、后置代理加密、数据库透明加密、文件系统加密、磁盘加密;

(6)数据库安全运维:账号发现和启用、特权凭证管理、特权会话管理、机密管理、特权任务自动化、特权提升和委派、即时PAM方法、密码代填(密码桥)、运维访问防绕过、日志和报告;

(7)数据库防火墙:虚拟补丁、防护规则、防止敏感信息外泄、准确定位访问信息、防漏扫、关联分析追责溯源、实时告警及时处置;

(8)数据库审计:基于行为监测的数据库风险实时感知规则、数据库访问行为建模、基于流量自动识别数据库资产、海量日志多态存储、外发审计数据、本地审计、详细的审计信息、数据库解析、加密审计;

(9)数据脱敏:数据动态脱敏、数据静态脱敏;

(10)数据溯源:数据水印、回溯分发内容;

(11)数据资源安全运营:数据资产地图、敏感数据分布视图、数据资产热度视图、数据资产流向视图、数据资产账号应用视图;

(12)数据安全策略运营:安全策略集中设置、策略状态统计、安全策略核查;

(13)数据安全风险监测:全链路流转刻画、风险关联分析、用户行为分析、数据安全管控全景图、数据安全事件视图、数据安全风险趋势视图、数据安全态势评估、安全态势报告;

(14)数据安全事件监控:攻击规则库、数据安全响应处置;

(15)数据安全风险评估在线管理:评估项目管理、评估方案、评估知识库、评估模板;

(16)密码基础设施管理:密钥管理、数字证书管理、时间戳服务;

(17)统一身份认证:安全认证门户、身份管理子系统、访问管理子系统;

(18)相邻系统集成:支持灵活的连接器和集成框架。

04 .
小结

本文通过构建以数据为核心的零信任数据安全架构,从终端可信、身份可信、网络可信到数据可信,各个环节建立多层防线,打造面向用户的数据安全防护体系,并通过安全服务或安全运维人员开展持续威胁监测、威胁分析研判、事件及时通告、快速响应处置等保障措施,建立了围绕数据全生命周期的纵深安全防护体系,并有效地运营起来,从而发挥出整体安全保障体系的最大优势。数字化转型和信息化演进都是长期过程,不可能一蹴而就,其伴生的零信任体系建设也非一日之功,需要结合信息化演进规划、安全现状进行妥善规划,逐步建设。零信任架构的出现是安全思维和业务发展融合的必然,其建设路径结合业务发展现状和需求,将零信任架构与数据实体防护相结合,从而构建更易落地、更为有效的数据安全防护体系[10]。



参考文献

[1]国家市场监督管理总局,中国国家标准化管理委员会.信息安全技术 数据安全能力成熟度模型:GB/T 37988-2019[S].北京:国家标准化管理委员会,2019:6

[2]梅莉蓉, 郭晓黎, 张小琼. 基于密码的数据安全防护体系研究[J]. 信息安全与通信保密, 2022(9):48-56.

[3]孔嘉盟. 基于自适应差分隐私的联邦学习方法研究[D]. 大连:大连海事大学, 2023.

[4]范絮妍, 谈松, 余振京, 等. 政务数据端到端溯源技术研究与应用实践[J]. 信息安全研究, 2023, 9(07):655-661.

[5]金加和, 赵程遥, 求昊泽, 等. 基于多方安全计算的公共数据融合创新模式研究及应用[J]. 大数据, 2023, 9(06):15-27.

[6]杨光, 吴明芬. 多种技术融合的API接口数据采集策略[J]. 计算机科学与应用, 2020, 10(11):1927-1937.

[7]魏丽丽, 关昕健, 赵伟. 基于DSMM框架的数据安全运营实践[J].长江信息通信, 2023(09):207-209.

[8]朱琴琴. 基于信息化的企业数据安全管理体系构建研究[J]. 电脑知识与技术, 2024(17):95-97.

[9]郝杰. 工信部提出建立工业领域数据安全保障体系[J]. 纺织服装周刊, 2024(08):10.

[10]朱嶷东, 黄施宇, 马晓鹏,等. 证券行业基于零信任架构下的数据安全探索[J]. 网络安全技术与应用, 2023(10):124-126.






—【 THE END 】—