《网络安全法》、《数据安全法》等法律法规,以及各行业各领域与数据安全相关的标准规范,几乎都涉及对数据进行分类分级保护的要求。数据安全始于分类分级,已成为毫无疑问的行业共识。
但现实中不少用户却止步在分类分级工作,“如何更进一步实现数据分类分级的成果转化?” 成为困扰所在。
一方面,许多用户往往采购数据分类分级和数据安全两套独立的产品体系,而受技术条件的限制,产品之间难以实现打通,导致数据安全分类分级与安全保护策略脱节,最终分类分级工程无法达成投资效益;
另一方面,目前市面上虽有数据安全产品具备数据发现与分类分级能力,但往往只内置基础的业务类型规则,数据识别和分类分级的准确率,难与专业分类分级产品媲美,导致保护对象无法准确覆盖,精细化、针对性的防护效果欠佳。
解决落地难题,打通分类分级应用的最后一公里,美创科技持续推动数据安全与数据分类分级产品体系的联动。
今天,我们以数据库防水坝为例,来详细剖析数据运维安全场景中,分类分级结果如何与安全策略自动、灵活匹配,达成1+1>2的精准化防护效果。
“分类分级结果”与“安全策略”自动匹配
实现更精准的安全防护体验
在信息化、数字化高度依赖的今天,各企业单位的开发测试人员、数据库运维人员经常使用各种数据库运维工具访问生产数据库,有时,企业还会因业务需要,将数据库的访问权限开放给第三方外包人员。
繁多的数据访问场景,复杂的人员角色构成,势必给企业的重要数据、敏感数据带来风险隐患。保护数据安全,且确保数据访问最小权限与数据便捷使用之间的平衡,以“数据”和“身份”为中心,基于最小化原则,进行细粒度授权和依据数据分类分级的管控,成为解决这一问题核心所在。
数据库防水坝作为一款能够保证敏感数据资产可管、用户访问行为可控、返回结果可脱敏的数据库运维安全管控产品“深谙此道”,数据库防水坝集成敏感数据快速发现与管理、多因素身份准入、动态访问控制、误操作恢复以及合规审计等核心能力,并已内置多样化业务类型和数据分级防护策略模版,帮助用户快速建立安全合规运维体系,在众多行业实践。
而数据库防水坝通过与数据分类分级产品的打通联动,则带来了更安全、高效、精细化的防护体验:
●分类分级成果自动同步:
数据库防水坝通过与暗数据发现与分类分级产品的深度对接,可自动、持续化的同步分类分级结果与归类敏感资产,进而依据需求划分形成不同等级的敏感资产集合,并基于资产集合实现安全策略的自动匹配与应用,践行一致性的安全策略。
图 : 防水坝接收数据分类分级结果示意图
●安全策略智能化匹配:
数据库防水坝内置数据分类分级结果与安全防护策略之间的关联规则,基于分类分级结果,可智能化配置安全策略,实现依据数据级别对不同身份的访问人员等进行细粒度授权和访问管控,同时也有效解决了手工配置防护策略效率低下、存在遗漏等问题,开箱即用。
图 : 数据分类分级产品与防水坝策略智能关联示例
典型应用举例:
◼︎ 基于分类分级结果配置访问权限策略
通过应用分类分级结果,数据库防水坝自动归类敏感资产,形成L1、L2、L3、L4四个级别的敏感资产集合,以最小化权限为原则,自动匹配该资产集合内置策略:L1、L2级别的资产支持查询、插入、更新操作,L3、L4级别的资产仅支持查询操作,支持根据用户需求进行灵活变化。
◼︎ 基于分类分级结果的动态脱敏策略
对不同级别的敏感资产集合,自动适用于该集合的脱敏策略:如L2、L3、L4级别的资产进行脱敏(半遮盖),安全人员全程无需进行策略关联配置,就能实现敏感数据访问的自动脱敏。
◼︎ 安全策略自适应进化:
随着业务动态变化,海量数据资产呈现多变不可见、实时持续扩展的特征,面对各类数据源的复杂变化,数据库防水坝可提供变更数据与安全防护策略的自动化调整,如当业务出现新的敏感字段时,防水坝可自动将其纳入安全防护体系,当由于业务变化导致的数据敏感等级发生变化时,防水坝的安全防护策略也能够进行自动降级调整,以实现安全防护能力的自由伸缩;确保系统可对特定场景供最佳的安全防护策略。
数据分类分级为数据安全采取更精细的保护措施提供了基础数据支撑,如《JRT 0223-2021 金融数据安全 数据生命周期安全规范》中提到,3级及以上的数据访问应实现多因素认证或二次授权,并应结合业务需要对数据采取脱敏和控制访问数据行数的技术措施,以满足最小化原则要求。敏感数据分类分级与数据库防水坝联动,让更细粒度的安全访问控制从此开始,美创科技也持续推动着以数据分类分级为起点的数据安全体系建设,让数据更安全,更有价值。