网络流量敏感数据防护产品白皮书成都思维世纪科技有限责任公司.docVIP

网络流量敏感数据防护 产品白皮书 成都思维世纪科技有限责任公司 2014年07月18日 目 录 1 综述 - 3 - 1.1. 背景和概况 - 3 - 1.2. 敏感数据安全管理现状 - 3 - 2 产品功能目标 - 4 - 2.1. 数据资产的自动梳理 - 4 - 2.2. 敏感访问行为监测 - 5 - 2.3. 敏感违规访问告警/阻断 - 6 - 2.4. 数据库行为审计 - 6 - 2.5. 异常流量发现 - 7 - 2.6. 管理视图 - 7 - 2.7. 数据接口 - 8 - 3 设备型号及性能指标 - 8 - 4 设备部署 - 9 - 5 技术支持和服务 - 9 - 撰写 时间 审核 时间 批准 时间 归档 时间 注意 本文档以及所含信息（以下简称“文档”）仅用于为最终用户提供信息，思维世纪有权随时更改或撤销其内容。此处的最终用户定义为中国移动通信集团四川有限公司， 未经思维世纪公司的事先书面许可，不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。本文档是思维世纪公司的专有信息。 本文档以及本文档所提及的任何产品的使用均受适用的最终用户许可协议限制。。 本文档由思维世纪制作。思维世纪 保留所有权利。 综述 背景和概况 当前全球信息化建设已进入云和大数据时代，大数据给企业带来了巨大的商机，但在“大数据”的商业开发中，如何界定和规避用户隐私？如何解决用户数据安全？成为摆在企业面前的巨大挑战。 据国家信息安全职能部门统计近三年来，由于客户信息产生的巨大的经济利益驱使，客户信息泄露安全事件呈逐年上升趋势，大有越演越烈之势。。 目前，工信部鉴于运营商客户信息泄露的严重程度，出台了24号令《电信和互联网用户个人信息保护规定》，其目的就是贯彻落实全国人大常委会《关于加强网络信息保护的决定》的需要，进一步完善个人信息保护制度。后续为配合和落实24号令的发布和执行，后续会组织客户信息安全专项检查工作并纳入相关考核。 思维世纪敏感数据防泄露解决方案将针对企事业单位、政府机关等拥有敏感数据的大型机构，从业务前台、后台及网络层面建立一套完善的敏感数据防护体系，对全网敏感数据存储、使用及传输进行安全监控和内容分析，对异常敏感信息访问行为进行风险分析、对违规行为实时告警及阻断，并进行溯源追踪找出责任人加强信息安全管理，避免敏感信息的泄漏安全事件的发生。 敏感数据安全管理现状 企业的敏感数据包括客户个人隐私或企业商业价值的信息的数据主要分布、存储在各个业务系统、数据库、文件中，用户访问敏感信息的途径涵盖了生产、运维及使用等环节。具体信息见附录。 从敏感数据访问、使用等角度，主要存在以下几个数据泄露环节： 开发环节，涉及集成商、第三方开发和测试人员、外围系统人员(包括应用开发环节、数据迁移、应用接口、应用测试等环节) 运维环节，涉及维护人员、代维厂商(包括主机管理、数据库管理、应用管理、安全管理、存储管理、网络管理等环节) 使用环节，涉及业务支撑部门以外的业务部门和人员、统计数据发布环节（审阅、传递、修改、浏览统计数据）。 产品功能目标 网络流量敏感数据防护产品（NET-BDLP）以硬件设备的形式，部署在数据库、文件服务器等目标设备的前端，防范用户访问数据库、文件等使用环节中，可能出现的敏感数据泄露情况。并对用户的访问数据库、文件的行为进行审计，对主机异常开放端口进行监测。 NET-BDLP通过旁路分光或镜像方式，实现对网络数据流的采集还原，对还原后的内容利用机器学习技术，智能识别敏感信息存在的表字段、文件及其包含的敏感信息类型。 在完成基础学习后，设备能够自动监测并记录用户访问这些表字段、文件的行为，并根据设置的批量策略识别出批量访问的行为，同时，结合学习到的访问规则，判断是否进行敏感数据的批量访问。对于识别出来的违规行为进行告警并可根据处置策略，进行自动阻断或人工阻断，达到保护的效果。 该设备内置识别策略，并能自动进行学习，因此，该设备一般都能在无需额外设置情况下，即可开始运行，自动进行监测。 网络流量敏感数据防护设备可根据流量大小支持多个数据库、文件的数据泄露防护。 数据资产的自动梳理 利用探针技术通过旁路对访问数据库、文件的网络流量进行采集，对数据包进行过滤、重组、还原，对还原出来的内容进行分析，识别数据资产。具体功能如下： 协议数据采集：对输入的网络数据包进行采集，并对采集到的数据包进行处理IP分片重组、隧道解封等处理，并过滤掉非数据库、FTP协议。 内容还原：对采集到的数据包进行内容还原，还原出用户进行数据库访问的请求、数据库服务器返回内容，同时提取网络5元组信息； 敏感识别策略库：设备根据行业内置多种的敏感内容识别策略，能够识别包括个