当前位置:首页 > 产品服务 > 数据安全管控平台
数据安全管控平台

       业务数据安全管控平台由三大组件组成,分别是业务数据追踪审计系统、业务系统安全准入网关和业务数据防扩散终端。三者是一个有机整体,既可协同工作,亦可独立工作。

业务数据追踪审计系统


       以第三方的审计视角详细记录对存放敏感信息的数据库的敏感操作。
       1. 本模块可以准确记录维护人员绕开业务系统,通过直连工具对数据库进行的维护操作;
       2. 本模块对于数据库敏感字段的新建、修改和删除操作进行实时的告警通知,并支持邮件、弹出窗口等多种告警方式;
       3. 本模块能提供详细的数据查询分析报告,对数据库中需保护数据的查询情况进行追踪,了解查询行为发生的时间和来源。

业务系统安全准入网关


       应用系统作为终端用户与数据库数据访问的桥梁,其安全防护的重点是根据访问来源的不同安全等级执行不同的安全准入策略,阻止有害和危险的访问。
       1. 本模块要求能不依赖应用系统的权限控制根据不同用户身份制定不同的安全准入条件,限制用户越权访问业务系统的模块;
       2. 本模块可以针对不同风险等级制定不同的安全策略,只有符合安全策略要求的用户身份和用户终端才能正常访问应用系统。

业务数据防扩散终端


       终端主机做为业务数据访问的主体,其安全防护的重点是实现对数据的防扩散控制。
       1. 本模块可以将应用生成的数据进行自动加密保护,并且不影响用户的操作体验,无需用户手动对受保护数据进行加密和解密;
       2. 本模块可以将客户端从业务系统上下载下来的数据,根据权限限制其可访问对象,非授权人员即便获得该数据,也无法正常访问。
       3. 本模块可以提供强制屏幕水印和强制打印水印等功能,防止拍照和打印等造成的信息泄漏。

系统架构图:



体系架构图

       业务数据安全管控平台从技术架构上一共一共分为6层,分别是事件采集层、协议识别层、策略模型层、事件响应层、应用接口层和展示层。
       事件采集层负责采集各个环节的事件信息,传递给协议识别层,通过协议识别还原,在提交给策略模型层,执行预先定义的策略,记录、通过和拦截。同时,通过数据交换总线,策略模型层,将触发事件交由事件响应层处理,最后通过应用程序接口,展示给用户。

部署说明:



拓扑示意图

       在每一个需要访问敏感数据的终端上部署业务数据防扩散终端;将业务系统安全准入网关以桥接或旁路的方式部署于业务系统之前,负责安全准入;将业务数据追踪审计系统接入到交换机的镜像端口,并配置交换机把所有访问后台业务数据库的访问,映射到该端口上。