网络流量敏感数据防护及分析趋势.docVIP

网络流量敏感数据防护 产品白皮书 成都思维世纪科技有限责任公司 2014年07月18日目 录 1 综述 - 3 - 1.1. 背景和概况 - 3 - 1.2. 敏感数据安全管理现状 - 3 - 2 产品功能目标 - 4 - 2.1. 数据资产的自动梳理 - 4 - 2.2. 敏感访问行为监测 - 5 - 2.3. 敏感违规访问告警/阻断 - 6 - 2.4. 数据库行为审计 - 6 - 2.5. 异常流量发现 - 7 - 2.6. 管理视图 - 7 - 2.7. 数据接口 - 8 - 3 设备型号及性能指标 - 8 - 4 设备部署 - 9 - 5 技术支持和服务 - 9 -  撰写 时间 审核 时间 批准 时间 归档 时间 注意 本文档以及所含信息（以下简称“文档”）仅用于为最终用户提供信息，思维世纪有权随时更改或撤销其内容。此处的最终用户定义为中国移动通信集团四川有限公司， 未经思维世纪公司的事先书面许可，不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。本文档是思维世纪公司的专有信息。 本文档以及本文档所提及的任何产品的使用均受适用的最终用户许可协议限制。。 本文档由思维世纪制作。思维世纪 保留所有权利。综述 背景和概况 当前全球信息化建设已进入云和大数据时代，大数据给企业带来了巨大的商机，但在“大数据”的商业开发中，如何界定和规避用户隐私？如何解决用户数据安全？面的挑战贯彻落实全国人大常委会《关于加强网络信息保护的决定》的需要进一步完善个人信息保护制度24号令的发布和执行，后续会组织客户信息安全专项检查工作并纳入相关考核。 思维世纪敏感数据防泄露解决方案将针对企事业单位、政府机关等拥有敏感数据的大型机构，从业务前台、后台及网络层面建立一套完善的敏感数据防护体系，对全网敏感数据存储、使用及传输进行安全监控和内容分析，对异常敏感信息访问行为进行风险分析、对违规行为实时告警及阻断，并进行溯源追踪找出责任人加强信息安全管理，避免敏感信息的泄漏安全事件的发生。 敏感数据安全管理现状 企业的敏感数据包括客户个人隐私或企业商业价值的信息的数据主要分布、存储在各个业务系统、数据库、文件中，用户访问敏感信息的途径涵盖了生产、运维及使用等环节。具体信息见附录。 从敏感数据访问、使用等角度，主要存在以下几个数据泄露环节： 开发环节，涉及集成商、第三方开发和测试人员、外围系统人员(包括应用开发环节、数据迁移、应用接口、应用测试等环节) 运维环节，涉及维护人员、代维厂商(包括主机管理、数据库管理、应用管理、安全管理、存储管理、网络管理等环节) 使用环节，涉及业务支撑部门以外的业务部门和人员、统计数据发布环节（审阅、传递、修改、浏览统计数据）。 产品功能目标 网络流量敏感数据防护产品（NET-BDLP）以硬件设备的形式，部署在数据库、文件服务器等目标设备的前端，防范用户访问数据库、文件等使用环节中，可能出现的敏感数据泄露情况。并对用户的访问数据库、文件的行为进行审计，对主机异常开放端口进行监测。 NET-BDLP通过旁路分光或镜像方式，实现对网络数据流的采集还原，对还原后的内容利用机器学习技术，智能识别敏感信息存在的表字段、文件及其包含的敏感信息类型。 在完成基础学习后，设备能够自动监测并记录用户访问这些表字段、文件的行为，并根据设置的批量策略识别出批量访问的行为，同时，结合学习到的访问规则，判断是否进行敏感数据的批量访问。对于识别出来的违规行为进行告警并可根据处置策略，进行自动阻断或人工阻断，达到保护的效果。 该设备内置识别策略，并能自动进行学习，因此，该设备一般都能在无需额外设置情况下，即可开始运行，自动进行监测。 网络流量敏感数据防护设备可根据流量大小支持多个数据库、文件的数据泄露防护。 数据资产的自动梳理 利用探针技术通过旁路对访问数据库、文件的网络流量进行采集，对数据包进行过滤、重组、还原，对还原出来的内容进行分析，识别数据资产。具体功能如下： 协议数据采集：对输入的网络数据包进行采集，并对采集到的数据包进行处理IP分片重组、隧道解封等处理，并过滤掉非数据库、FTP协议。 内容还原：对采集到的数据包进行内容还原，还原出用户进行数据库访问的请求、数据库服务器返回内容，同时提取网络5元组信息； 敏感识别策略库：设备根据行业内置多种的敏感内容识别策略，能够识别包括个人隐私信息、身份鉴权信息、客户通信信息等多项敏感内容，并可根据企业特点进行分析设置或定制化开发； 敏感内容精确判断：根据敏感识别策略，识别出表字段、文件内容中是否包括敏感内容及其包含的敏感内容类型，并利用机器学习技术进行分析，以提高敏感内容识别精度； 自动梳理数据资产：根据还原的会话信息，定位数据库与文件的所在目标服务器；根据还