文章目录[隐藏]
文档版本:
V0.1 beta
蔡文学
20240105
1、梳理整体文档框架;
2、初步完成中安星云的“数据资产管理”的功能,但核心逻辑流程未测试,后续根据测试情况,再行完善
一、分析背景与竞品选择
(一)竞品分析目的
行研在2023年初在NM政务分类分级项目中部署了中安星云的数据资产管理系统的产品,且基于本产品正在进行内部研发。
本分析报告目的在于分析中安星云分类分级产品核心业务逻辑和功能实现,为后续公司研发数据安全类产品收集资料,且试图从产品功能中梳理出数据分类分级的实施方法论。
(二)竞品选择
1、竞品选择
北京中安星云软件技术有限公司-数据资产管理系统
2、公司及其他产品介绍
北京中安星云软件技术有限公司是一家具有国资背景,专注于数据安全及可信计算技术的高新技术企业,总部设于北京,现旗下拥有北京研发中心、成都研发中心、数据安全研究院,分支覆盖华北、华东、华南、华中、西部等省市地区,目前全体系企业员工近200人。可以为用户提供涵盖数据全生命周期全场景的数据安全产品、服务和解决方案,能够满足云、大数据、信创等领域的数据安全需求。
数据库防火墙系统(DF2000-TS)
数据库防火墙系统是一种主动的数据库安全防御系统。它在线部署应用服务器与数据库服务器之间,具备SQL语句级的访问控制、数据库漏洞防护、数据库在线脱敏等多功能,实时监控、识别、阻断外部黑客攻击以及内部高权限用户的数据窃取行为,应对来自外部和内部的数据安全威胁。
数据库加密与访问控制网关(DTE3000-TS)
数据库加密与访问控制网关是北京中安星云基于多年的数据加密研究经验自主研发的数据库加密产品,具备敏感数据加解密、权限控制、完全透明、分权管理、安全审计等功能,能够防止来自内部高权限用户的数据窃取,外部攻击以及由于磁盘、磁带失窃等引起的数据泄密,保障数据的机密性和完整性。
大数据安全防护网关系统
中安星云大数据安全防护网关系统是一款针对于大数据平台中组件和数据提供安全防护的产品,能够同时支持数据发现、访问控制、安全审计等功能。通过数据发现功能协助用户完成数据分类分级,通过访问控制功能限制各个角色对组件和数据的操作权限,将非法用户或者异常操作造成的损失降到最小;通过安全审计功能对数据增删改查操作进行记录,并生成可读性强的报表,多位一体提高大数据平台的安全水平,保障大数据安全。
数据库审计系统
数据库审计系统具备性能高、数据库支持种类多、协议解析精确等优势,集多核多线程并行处理、精准协议解析、海量日志存储和检索等技术于一身,旁路部署在网络中,提供三层审计、入侵检测、日志脱敏等多功能并生成合规报告,便于事故追根溯源,提高数据资产安全。
数据库动态脱敏系统
中安星云数据库动态脱敏系统是对企业各类用户对数据库的访问行为进行动态脱敏的系统。该系统可以实时对数据库响应数据进行脱敏,针对人员角色、IP地址、帐号、时间等不同维度配置脱敏策略,对待脱敏数据可以进行替换、屏蔽等方式进行脱敏处理。确保业务用户、外包用户、运维人员、兼职雇员、合作伙伴、数据分析、研发团队及顾问能够恰如其分地访问生产环境的敏感数据。保护敏感信息,不被违规查询泄露,提升数据安全性。
信创数据安全防护产品
信创数据库审计及防护系统是由中安星云推出的国产数据库安全防护产品,它能够支持飞腾、华为国产硬件,结合自主研发的软件系统,能够提供数据库监控扫描、数据库防火墙、数据库安全审计等功能,能够对达梦、南大通用、人大金仓、神舟通用等国内外超过30种不同品牌的数据库进行审计和防护。
数据资产管理系统
数据资产管理系统是一款通过扫描嗅探分析技术,自动识别发现敏感数据,协助用户清晰掌握敏感数据分布、流转和使用情况,对数据资产进行不同类别和级别的划分,以便用户基于数据资产情况对敏感数据进行针对性防护。
数据库静态脱敏系统(DM3000-TS)
数据库静态脱敏系统是一款针对敏感数据进行抽取、转换、脱敏的数据安全产品。生产数据脱离生产数据库时,对其中敏感数据进行遮蔽、替换、加密等技术实现敏感数据防泄露的技术目标,并满足相关法律法规的防护要求。它能够满足金融、医疗、政府、运营商、电力能源等行业敏感数据保护的法规要求,能够在保障敏感数据安全的前提下,为测试、开发、培训、数据交换等工作提供高保真数据。
云数据库安全防护系统
中安星云自主研发的云数据库安全防护系统,包括云数据库监控扫描、云数据库防火墙、云数据库安全审计三个模块,是国内完善的云数据库安全防护系列产品,可部署在市场主流的虚拟化系统上,并能与第三方云平台对接,满足行业用户或私有云用户安全需求,也可部署在阿里云、腾讯云、华为云、青云等云服务提供商的系统上,保障云环境下核心数据的安全。
数据泄漏防护系统(DLP2000-GE)
数据泄漏防护(DLP)系统是一款采用智能化检测与内容识别技术的数据防泄漏产品,具备网络监控、网络保护、终端防护、应用防护、数据存储的防泄漏方向和种类,对企业网络、终端、应用、存储中的敏感数据进行发现、监控、保护,主要用于事业型和企业型单位。
中安星云日志审计分析系统
中安星云日志审计分析系统(简称:LAS),是一款智能的全网日志采集、分析、审计与安全威胁监测产品,LAS以大数据、机器学习技术为核心,快速全面的收集各类网络设备、安全设备、主机服务器、中间件、数据库以及业务系统等的日志信息,并进行日志全量存储、高级分析,及时有效的发现异常行为和安全事件,满足用户高效运维、安全分析及合规审计的需求。
中安星云安全运维管理系统(DF1000-TS)
为满足用户对加强内部运维安全日益迫切的需要,中安星云依托自身强大的研发能力,丰富的行业经验,研发了中安星云安全运维管理系统。该产品支持对企业运维人员在运维过程中进行统一身份认证、统一授权、统一审计、统一监控,消除了传统运维过程中的盲区,实现了运维简单化、操作可控化、过程可视化,是企业 IT 内控最有效的管理平台。
数据安全综合治理平台(增强版DSMP-E)
中安星云基于多年数据安全领域经验,自主研发国内领先的数据安全综合治理平台。该平台采用B/S架构,基于分布式大数据计算框架,搭载数据资产自动发现、资产架构智能扫描等核心技术引擎,帮助用户快速定位内部网络的数据服务、梳理各类数据资产情况,以及掌握敏感数据的分布、流转和使用情况,并可实施数据全生命周期的安全管控与运营能力。
二、产品定位
(一)产品定义
中安星云数据资产管理系统是一款集数据资产管理,资产分类分级,敏感资产扫描等为一体的数据资产管理系统。
在数据资产管理方面,可以以自定义的方式在系统中添加数据源,也可以通过任务扫描的方式自动发现网络上的数据源,支持对于数据库类型,文件系统类型和大数据类型数据源的扫描和添加。对于数据资产可以进行分类和分级的标记。通过资产的扫描可以发现敏感数据并进行梳理,对敏感数据进行分类分级。支持数据库账户权限的扫描,发现账户权限的分布及权限详情。
该平台提供了丰富的报表以及多维度的数据统计查询方式,通过“资产地图”大屏形象化的展示了所有的数据资产的统计信息,方便了日常查看和使用。
(二)产品价值
1、降低数据管理与合规成本
协助用户自动发现网络中存在的数据库系统以及数据库中存在的敏感数据,并提供数据库和敏感数据的分布报告,便于用户针对性的提供安全防护,降低人工梳理的复杂度和成本。
2、提高数据库服务的可用性
能够实时监控数据库的运行状态,包括硬件层面的内存、CPU使用率数据库软件的配置信息、响应性能、用户活动状态、表空间、数据库文件状态等十余种信息,及时发现数据库潜在的问题并协助进行数据库调优,提高数据库服务的可用性。
3、提升数据库安全系数
可以检测出数据库存在的弱口令、缺省配置、权限共享、SQL注入、权限提升、拒绝服务等风险和漏洞,并提出可行的修复建议,提高数据库安全的系数,降低数据库被黑客攻击的风险。
4、提升安全检测水平
能够满足多行业的数据库安全检测要求,为测试人员提供自动化的数据库安全测评工具,并能够生成专业的测评报告,实现数据库的安全合规。
(三)技术架构
(四)市场情况及目标用户
为政府、电力、运营商、金融、教育、医疗等1000+行业用户提供数据安全防护方案
终端用户:数据中心/信息中心数据管理部门的安全管理员、系统管理员、审计管理员
销售渠道:代理模式
三、产品功能
(一)业务场景
数据库监控风险扫描产品的部署方式非常灵活,可以部署与网络当中的任意节点,只需要与数据库之间路由可达即可。
(二)产品功能
1、访问地址
2、业务流程
核心流程
(1)添加数据源
以SecAdmin身份登录系统,进入“数据源管理”界面,添加数据源。
或者以SecAdmin身份登录系统(以下操作无特殊说明均默认SecAdmin身份登录系统),进入“数据资产”模块,“任务中心”->“数据源发现”界面,通过扫描的方式发现数据源,并将数据源加入到数据源管理列表中。
(2)架构扫描
进入“数据资产”模块,“任务中心”->“架构扫描”界面,单击数据源后面的【架构扫描】按钮,配置扫描任务完成对数据源的架构扫描。
(3)敏感资产扫描
进入“数据资产”模块,“任务中心”->“敏感资产扫描”界面,单击数据源后面的【敏感资产扫描】按钮,配置扫描任务完成对数据源的敏感资产扫描。
(4)敏感资产梳理
进入“数据资产”模块,“资产梳理”->“敏感资产梳理”界面,单击数据源后面的【敏感资产梳理】按钮,对需要进行梳理的资产完成梳理。
(5)资产分类分级
进入“数据资产”模块,“资产梳理”->“资产分类分级”界面,单击数据源后面的【资产梳理】按钮,对需要进行标记的资产完成标记。
(6)资产台账
进入“数据资产”模块,“资产台账”界面,单击数据源后面的【资产台账】按钮,可以查看数据源的详细资产信息。
(7)资产地图
进入“数据可视化”模块,“资产地图”界面,数据大屏上存在数据源的可视化资产信息。
敏感资产自动化标记分类分级标签
(1) 配置分类标签
以SecAdmin身份登录系统,进入“数据资产”模块,“配置管理”->“分类标签管理”界面,完成分类标签的配置。
(2)配置分级标签
进入“数据资产”模块,“配置管理”->“分级标签管理”界面,完成分级标签的配置。
(3) 配置特征项
进入“数据资产”模块,“配置管理”->“特征项管理”界面,完成特征项的配置,将所需特征项绑定分类分级标签。
(4)敏感资产扫描
进入“数据资产”模块,“任务中心”->“敏感资产扫描”界面,单击数据源后面的【敏感资产扫描】按钮,配置扫描任务完成对数据源的敏感资产扫描。
(5)资产台账
进入“数据资产”模块,“资产台账”界面,单击数据源后面的【资产台账】按钮,可以查看数据源的敏感资产信息标记情况。
见 “3、主要功能-(6)资产台账”部分的截图
3、主要功能
(1)数据源自动发现
通过数据服务扫描引擎,能够自动扫描、判断、识别网络内常见的数据库与文件系统服务。数据源自动发现模块无需数据源服务端的授权,即可发现常见的大多数数据库与文件系统类型,支持快速扫描和精准扫描两种模式。扫描结果以可视化的方式展示出企业内部已存在的数据库或文件系统相关信息。
(2)数据架构扫描
系统支持扫描数据库或文件系统的架构信息,数据库获取的信息包括模式(库)、表、列(字段)等元数据信息,以及数据库对象信息以及文件系统的信息(目录、文件、列(字段))通过这些架构信息,能够绘制出完整的数据结构关系图表,可以帮助用户快速发现并理解现有的数据结构。
(3)敏感数据自动识别
系统支持敏感数据自动识别,能从海量数据中精准定位不同类型敏感信息的数量和分布等信息,敏感数据识别引擎支持灵活的配置项(包括字段、数据、自定义函数、数据字典等),支持以高度自定义的方式实现对数据源的敏感信息的识别。
(4)账号权限扫描
系统支持快速的对数据库的账户进行扫描,获取其角色、对象等相关权限信息。通过账户权限扫描,直观的展示所拥有的权限,定位账户所拥有的高风险权限 以及实现对数据库账户进行管理。
(5)数据资产分类分级
数据资产分级是指按照数据资产的敏感等级(密级),对数据进行划分归类的操作,企业或部门可以使用其所属行业的数据分类分级标准,也可以根据所管理的数据资产的特点,定制分级标签。
数据资产分类是指用户可以给数据资产打上分类标签,让原本无法直接理解的数据,变得可阅读、易理解。进一步帮助企业了解资源使用状况,提供业务调整决策依据与数据支撑,合理利用数据资源。
(6)资产台账
系统支持在指定环境中扫描到的数据资产的所有信息,全面掌握数据资产的存储位置、资产目录结构、分级标签、分类标签,敏感特性项等信息。资产台账支持快速检索查看或者导出关注的资产信息。
(7)数据流向管理
系统支持通过数据流向管理功能清晰的洞察数据在不同资产模块之间的流转情况,准确定位数据资产的位置,持续跟踪数据资产动向。
(8)数据资产地图
系统支持大屏展示通过地图的形式展现可视化、全方位、多维度的企业数据资产分布情况。为企业构建支持图谱、财务数据资产全貌等,让数据生动形象起来,连接数据和应用场景,辅助企业的管理决策。
(9)报表管理
系统支持报表管理功能能够对数据库的结构分布、分类分级、敏感分布、资产分布、访问行为、风险分布、等信息生成多种报表并支持下载功能。
四、结构层与框架层分析
(一)产品功能架构图
(二)页面交互和体验
用户界面框架基于Element UI,页面交互继承了Element UI
值得学习的点有,从列表页进入详情页,不是传统的打开新页签,而是在列表页直接进入详情页,在详情页返回列表页时,提供了“返回”按钮。
五、视觉设计
主题色为蓝色,用户界面框架基于Element UI Element - 网站快速成型工具开发,符合B端产品UI平淡无奇、突出实用的特点。
六、总结
(一)产品优势
1、 支持的数据源种类多
支持数据库、文件系统、大数据组件多种数据源形式。其中数据库支持 ORACLE、SQL Server、MySQL、DB2、Informix、Sybase 等 10 余种国际主流数据库,并支持达梦、金仓、GBASE 等国产数据库,文件系统支持 FTP、NFS、Samba 三种文件系统类型,大数据组件支持 Hive、MongoDB、GreenPlum 等可以满足不同用户、不同场景的安全需求。
2、丰富的敏感特征库
产品内置近 30 种的敏感特征库,涵盖社会特征、个人证件、通讯信息、财产信息、企业信息、车辆信息等常见敏感信息项,如姓名、地址、电话、身份证、统一社会信用代码、银行卡号、日期、Email 等敏感信息。用户也可以通过自定义的方式构建企业所属行业的敏感信息特征模板。
3、数据资产可视化
通过资产地图提供数据资产可视化能力,展示网络中存在的数据库与敏感数据分布情况,展示资产的基本分布,让用户对数据资产安全现状一目了然。
4、数据资产管理全面
系统支持从发现数据资产到梳理数据资产再到管理数据资产使客户能够全方位 的掌控数据的情况,以及能够将数据分类分级的结果提供给其他安全设备使用。
