等保2.0与大数据安全
网络安全等级保护是国家网络安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式发布,这是继2008年发布等保1.0十余年来继网络安全法实施后的一次重大升级。等保2.0在等保1.0的基础上,更加注重全方位主动防御、安全可信、动态感知和全面审计。
等保与大数据安全
我们总结起来,在等保2.0下去做数据安全的建设,
用户行为鉴权(加强用户行为的鉴权)
数据访问控制(有效地建立起对数据访问控制机制)
敏感数据脱敏(对数据本身的一些使用和落盘的数据要做脱敏和加密)
业务/重要数据加密
从这张图上的话想表达的是说构建整个等保2.0下的数据安全,我们应该考虑遵从一个比较科学的规范,也就是数据的生命周期要以一个全生命周期的方式去覆盖去防御我们的生命数据。
防御数据和传防御传统的网络安全有个最大差别是原来的网络是有边界的,但数据它相对是个无边界的状态,我们要去遵从一个数据从生存到销毁的自然生命周期,它覆盖了创建存储传输交换处理和销毁这六个生命的自然节点。在不同的生命周期上,我们将通过不同的技术手手段去做我们的安全措施。
譬如说在数据创建的时候,我们要帮助用户去梳理他的数据资产,所谓的数据资产就是要告诉用户你的数据有哪些,存在什么地方,以什么方式在存储,以什么方式在读取,数据本身有没有做过基于安全属性基于业务属性的分级分类?有了这些数据的标签,这些对数据管理和流动性控制都是非常好的基础。
存储过程中我们会强调的数据落盘的存储会通过偷TD加密或者动态加密的方式去帮助用户在存储和传输过程中做到安全的措施。
在传输跟交换过程中,我们会强调了用安全审计的方式去帮助用户还原它的每一份数据,每次请求所对应用系统对数据系统是谁在什么时候访问,对数据做了哪些操作行为,我们都会一一的记录,以便事后的回溯以及事中的告警。
通过数据鉴权,可以对用户的访问的身份做动态的识别。我们可以去对接用户他里边对里边的一些应用系统的默认的一些管理的一些账号体系,以及对每个用户的终端去访问应用访问数据的时候,对它的终端环境做一个画像去鉴定环境此时此刻访问的数据是否足够安全,我们通过环境变量来判断他的身份下的另外一种安全的一些状态,去判断他能不能去安全去阅读一份数据访问一份数据获取份数据。
最后,在它获取到相应的权限之后,真正地从数据源从数据库里边去获取返回的时候,同样的我们通过我们刚才说了对等保2.0提到的对数据的字段级别的表管控和标签,我们对他所返回的数据可以提供一份非常良好的一个保护措施,对敏感数据对业务重要数据做脱敏。