Big-Data-Berechtigungen und Sicherheit

Big-Data-Berechtigungen und Sicherheit

1. Übersicht der Berechtigungen

1.1. Aktueller Stand der Berechtigungsverwaltung und -kontrolle auf Big-Data-Plattformen

Die Verwaltung und Kontrolle von Berechtigungen war schon immer eines der problematischsten Probleme bei Big-Data-Plattformen. Bei einer strikten Verwaltung läuft das Geschäft nicht reibungslos ab und die Benutzer sind unzufrieden. Bei einer lockeren Verwaltung ist die Sicherheit nicht gewährleistet. Darüber hinaus verfügt die Big-Data-Plattform über viele Komponenten und Dienste; die Architektur und Prozesse sind komplex; manchmal sind Sie möglicherweise nicht in der Lage, sie zu verwalten, selbst wenn Sie sie verwalten möchten.

Die Berechtigungskontrolle, wie viel zu tun ist, wie es zu tun ist und wie viel es kostet, hängt vom Ausgangspunkt des Ziels ab. Das Ziel der Berechtigungskontrolle besteht darin, den Umfang des regulären Geschäftsverhaltens der Benutzer zu begrenzen, sensible Daten zu kontrollieren und Geschäftslogik und -prozesse einzuschränken; durch die Reduzierung unnötiger Berechtigungen für Benutzer wird der Opferbereich verringert, mögliche Geschäftsrisiken verringert und auch Klarheit geschaffen. Rechte und Pflichten des Benutzers.

1.2. Technische Lösungen für die Behördenverwaltung und -kontrolle

Zu den technischen Lösungen gehören Kerberos, LDAP, Ranger, Sentry und ACL, einschließlich der Berechtigungsverwaltungs- und Kontrolllösungen für jede Komponente und der Ziele der Berechtigungskontrolle.

1.3. Berechtigungsverwaltungs- und Kontrollschritte

Bei der Berechtigungsverwaltung gibt es zwei Schritte: Authentifizierung und Autorisierung. Ersterer authentifiziert die Identität und letzterer gewährt Berechtigungen basierend auf der Identität.

Wie lässt sich im Autorisierungsprozess eine zentralisierte und einheitliche Berechtigungsverwaltung durchführen? Wie können Benutzer Berechtigungen unabhängig beantragen? Wie kann die Berechtigungsverwaltung an bestimmte Unternehmensleiter statt an Plattformadministratoren übergeben werden? Wie kann zwischen verschiedenen Komponenten unterschieden werden? Richten Sie Berechtigungsbeziehungen zwischen Benutzern ein.

Im Prozess der Benutzeridentitätsauthentifizierung ist es erforderlich, die aktuellen Schlüsselzielprozesse der Berechtigungskonstruktion zu analysieren und geeignete Lösungen für die Berechtigungstechnologie auszuwählen.

2. Berechtigungsschema

2.1. Überblick über technische Lösungen zur Rechteverwaltung

Die Arbeit im Zusammenhang mit der Berechtigungsverwaltung kann in zwei Teile unterteilt werden:

• Verwalten von Benutzeridentitäten, d. h. Benutzeridentitätsauthentifizierung (Authentifizierung)
• Zuordnungsbeziehungsmanagement von Benutzeridentitäten und Berechtigungen, also Autorisierung (Autorisierung)

Für die Authentifizierung der Benutzeridentität ist Kerberos+LDAP eine gängige Open-Source-Lösung im Hadoop-Ökosystem; für die Autorisierung gehören zu den gängigen Lösungen Ranger, Sentry usw. sowie Lösungen wie Knox, die Gateway-Proxy-Dienste verwenden.

2.2、Kerberos

Kerberos ist das am weitesten verbreitete zentralisierte, einheitliche Benutzerauthentifizierungsmanagement-Framework im Hadoop-Ökosystem.

2.2.1. Arbeitsablauf

Stellen Sie einen zentralen Authentifizierungsserver bereit. Verschiedene Hintergrunddienste authentifizieren die Identität des Benutzers nicht direkt, sondern über den Drittanbieterdienst Kerberos. Die Identität und Schlüsselinformationen des Benutzers werden einheitlich im Kerberos-Service-Framework verwaltet. Auf diese Weise müssen verschiedene Hintergrunddienste diese Informationen nicht verwalten und sich authentifizieren, und Benutzer müssen ihre Identitäts- und Passwortinformationen nicht auf mehreren Systemen registrieren.

2.2.2. Prinzip

1. Kerberos implementiert die Identitätsauthentifizierung basierend auf Tickets statt auf Passwörtern. Wenn der Client den lokalen Schlüssel nicht zum Entschlüsseln des vom KDC zurückgegebenen verschlüsselten Tickets verwenden kann, schlägt die Authentifizierung fehl.
2. Der Client interagiert nacheinander mit dem Authentifizierungsdienst, dem Ticketgewährungsdienst und dem Zieldienst, insgesamt also drei Interaktionen.
3. Wenn der Client mit anderen Komponenten interagiert, erhält er zwei Informationen, von denen eine mit dem lokalen Schlüssel entschlüsselt werden kann und die andere nicht entschlüsselt werden kann.
4. Der Zieldienst, auf den der Client zugreifen möchte, interagiert nicht direkt mit dem KDC, sondern wird dadurch authentifiziert, ob die Anfrage des Clients korrekt entschlüsselt werden kann.
5. Die KDC-Datenbank enthält die Passwörter aller Prinzipale.
6. Die Informationsverschlüsselungsmethode in Kerberos ist im Allgemeinen eine symmetrische Verschlüsselung (kann als asymmetrische Verschlüsselung konfiguriert werden).
   

2.2.3. Kernidee

Die Kernidee von Kerberos ist ein schlüsselbasierter Konsens. Nur der zentrale Server kennt die Schlüsselinformationen aller Benutzer und Dienste. Wenn Sie dem zentralen Server vertrauen, können Sie den vom zentralen Server bereitgestellten Authentifizierungsergebnissen vertrauen.

2.2.4. Anwendungsschwierigkeiten

Kerberos ist im Prinzip solide, allerdings ist die Implementierung und Implementierung umständlich.

• Alle Hintergrunddienste müssen gezielt an das Kerberos-Framework angebunden werden und auch alle Clients müssen angepasst werden. Ein Hintergrunddienst ist erforderlich, um das entsprechende Client-Zugriffskapselungs-SDK bereitzustellen. Andernfalls muss der Client geändert werden, um ihn an den Kerberos-Authentifizierungsprozess anzupassen.
• Damit die Authentifizierung der Benutzeridentität tatsächlich implementiert werden kann, muss eine vollständige Authentifizierung und Bereitstellung der gesamten Geschäftsverbindung erreicht werden. Für den Client stellt die direkte Verbindung mit einem einzelnen Dienst kein großes Problem dar. Im Szenario des hierarchischen Proxys des Big-Data-Plattformdienstes und der Bereitstellung des Clusters mit mehreren Knoten ist die Verbindungsserienverbindung, die eine Authentifizierung der Benutzeridentität erfordert, nicht so einfach .
• Der Benutzer übermittelt eine Hive-Skriptaufgabe über die Entwicklungsplattform. Die Aufgabe wird zunächst von der Entwicklungsplattform an das Planungssystem und dann vom Planungssystem an den Hive-Server übermittelt. Der Hive-Server übermittelt sie dann zur Ausführung an den Hadoop-Cluster . Jede Upstream-Komponente muss Benutzer gegenüber Downstream-Komponenten authentifizieren.
• Für eine MR-Aufgabe, die auf einem Hadoop-Cluster ausgeführt wird, muss diese Authentifizierungsbeziehungskette weitergegeben werden. Wenn jeder Link die Kerberos-basierte Authentifizierung unterstützen möchte, muss er entweder die Übertragung des geheimen Schlüssels korrekt verarbeiten oder den Proxy-Mechanismus des Benutzers implementieren.
• Probleme mit der Zeitüberschreitung bei der Identitätsauthentifizierung, der Speicherung wichtiger Informationen und der Vertraulichkeit usw. Was soll ich beispielsweise tun, wenn die MR-Aufgabe zur Hälfte abgeschlossen ist und der Schlüssel oder das Token abgelaufen ist? Die Aufgabe kann nicht unterbrochen werden.
• In Bezug auf Leistungsprobleme bedeutet die zentrale Verwaltung bis zu einem gewissen Grad einen einzigen Punkt. Wenn jede RPC-Anfrage den Kerberos-Benutzerauthentifizierungsprozess abschließen muss, sind Antwortverzögerung, Parallelität und Durchsatzfunktionen ein relativ großes Problem.

2.2.5. Nutzungsszenarien

Im Allgemeinen ist Kerberos derzeit das effektivste und vollständigste Framework zur einheitlichen Identitätsauthentifizierung. Wenn es jedoch vollständig implementiert werden soll, sind die Kosten hoch. Die Authentifizierung der Benutzeridentität stellt nur einen kleinen Teil des Rechteverwaltungsprozesses dar. Obwohl sie technisch schwierig ist, sind angesichts der tatsächlichen Auswirkungen in der Regel ein vernünftiges Rechtemodell und standardisierte Verwaltungsprozesse der Schlüssel zur Datensicherheit.

• Benutzerauthentifizierung und Single Sign-On in Unternehmensnetzwerken.
• Implementieren Sie eine domänenübergreifende Benutzerauthentifizierung und -autorisierung in verteilten Systemen.
• Sorgen Sie für eine sichere Kommunikation zwischen Benutzern und Diensten in Cloud-Umgebungen.

2.3、Ranger

2.3.1. Übersicht

Apache Ranger bietet ein zentralisiertes Sicherheitsmanagement-Framework und befasst sich mit Autorisierung und Prüfung. Es kann eine feinkörnige Datenzugriffskontrolle für ökologische Hadoop-Komponenten wie HDFS, Yarn, Hive, Hbase usw. durchführen. Durch die Bedienung der Ranger-Konsole können Administratoren ganz einfach Richtlinien konfigurieren, um Benutzerzugriffsberechtigungen zu steuern.

2.3.2. Ranger-Architektur

Ranger besteht hauptsächlich aus den folgenden drei Komponenten

• Ranger Admin: Ranger Admin ist das Kernmodul von Ranger. Es verfügt über eine integrierte Webverwaltungsseite. Benutzer können Sicherheitsrichtlinien über diese Webverwaltungsschnittstelle oder REST-Schnittstelle formulieren.
• Agent Plugin: Das Agent Plugin ist ein Plug-in, das in die ökologischen Hadoop-Komponenten eingebettet ist. Es ruft regelmäßig Richtlinien von Ranger Admin ab und führt sie aus, während es Betriebsdatensätze für die Prüfung aufzeichnet.
• Benutzersynchronisierung: Benutzersynchronisierung synchronisiert die Berechtigungsdaten von Betriebssystembenutzern/-gruppen (Benutzer/Gruppen) mit der Ranger-Datenbank.
  

2.3.3. Ranger-Workflow

2.3.4. Nutzungsszenarien

1、HDP

Apache Ranger, im Lieferumfang der Hortonworks Data Platform enthalten, bietet mithilfe von Richtlinien eine detaillierte Zugriffskontrolle und Prüfung für Hadoop-Komponenten wie Hive, HBASE und HDFS.

2、Apache Ranger

Die offizielle Website von Apache Ranger ist eine Quellpaketversion und stellt kein binäres Installationspaket bereit. Sie muss daher von Maven kompiliert und selbst bereitgestellt und installiert werden.

2.4、Wachposten

2.4.1. Übersicht

Apache Sentry ist eine von Cloudera veröffentlichte Hadoop-Open-Source-Komponente. Sie bietet feinkörnige, rollenbasierte Autorisierung und ein mandantenfähiges Verwaltungsmodell.
Sentry bietet die Möglichkeit, präzise Berechtigungsebenen für Daten für authentifizierte Benutzer und Anwendungen in einem Hadoop-Cluster zu steuern und durchzusetzen. Sentry funktioniert derzeit mit Apache Hive, Hive Metastore/HCatalog, Apache Solr, Impala und HDFS (nur Hive-Tabellendaten).

2.4.2. Rollen in Sentry

• Objekt: geschütztes Objekt
• Privileg: Zugriffsrechte auf das Objekt
• Rolle: Sammlung von Privilegien
• Benutzer: Benutzer
• Gruppe: Sammlung von Benutzern
  

2.4.3. Nutzungsszenarien

1、CDH

2.5、Knox

2.5.1. Übersicht

Apache Knox Gateway ist ein Anwendungsgateway für die Interaktion mit der REST-API und der Benutzeroberfläche von Apache Hadoop-Bereitstellungen. Knox Gateway bietet einen einzigen Zugriffspunkt für alle REST- und HTTP-Interaktionen mit dem Apache Hadoop-Cluster.

2.5.2. Erbrachte Dienstleistungen

Knox bietet drei Sätze benutzerorientierter Dienste:

• Proxy-Dienst: Das Hauptziel des Apache Knox-Projekts besteht darin, durch Proxying von HTTP-Ressourcen Zugriff auf Apache Hadoop bereitzustellen.
• Authentifizierungsdienst: Authentifiziert den USTAPI-Zugriff sowie den WebSSO-Fluss für UIS. LDAP/AD, Header-basiertes PROAUTH, Kerberos, SAML, OAUTH sind alle verfügbaren Optionen.
• Kundenservice: Die Client-Entwicklung kann per Scripting über DSL oder direkt mit Knox-Shell-Klassen als SDK erfolgen.
  

2.5.3. Nutzungsszenarien

• Die Rest/HTTP-Anfragen aller Benutzer an den Cluster werden über den Knox-Proxy weitergeleitet. Da es sich um einen Proxy handelt, können während des Weiterleitungsprozesses einige Arbeiten zur Verwaltung der Identitätsauthentifizierung und Berechtigungsüberprüfung durchgeführt werden. Da dies nur für Rest/HTTP-Dienste gilt, ist dies der Fall ist kein vollständiges Rechteverwaltungs-Framework.
• Die Verwendung des Gateway-Modells weist große Einschränkungen auf, z. B. hinsichtlich Einzelpunkt, Leistung, Prozess usw., kann jedoch als geeignet für Rest-/HTTP-Szenarien angesehen werden. Sein Vorteil besteht darin, dass es die topologische Logik des Hadoop-Clusters verbergen kann, indem es die Eingänge zu Hadoop-bezogenen Diensten schließt. Darüber hinaus kann Gateway für Dienste, die die Berechtigungsauthentifizierungsverwaltung nicht unterstützen, auch eine eigene Ebene der Berechtigungskontrolle überlagern.

3. Berechtigungsmodell

3.1. Übersicht

• Berechtigungskontrolle kann als Machtbeschränkung verstanden werden, das heißt, verschiedene Personen können unterschiedliche Dinge sehen und nutzen, weil sie unterschiedliche Befugnisse haben. Entsprechend einem Anwendungssystem kann ein Benutzer über unterschiedliche Datenberechtigungen (sichtbar) und Betriebsberechtigungen (verwendet) verfügen.
• Unabhängig von der Art des Berechtigungsverwaltungsmodells können im Wesentlichen drei Grundelemente abstrahiert werden: Benutzer (Benutzer), System/Anwendung (System/Anwendung) und Richtlinie (Richtlinie).
• Gängige Berechtigungsmodellkonzepte in Open-Source-Projekten: RBAC/ACL/POSIX/SQL-Standard.

3.2. RBAC-Modell

3.2.1. Übersicht

Die Berechtigungslogik der „Benutzerrollenberechtigung“ ist das in der Branche häufig verwendete RBAC-Berechtigungsmodell (Role-Based Access Control). Sein Kern besteht darin, das Konzept von Rollen einzuführen und Rollen als Vermittler zu verwenden, um die Benutzer- und Berechtigungskonfiguration flexibler zu gestalten.

3.2.2. Anwendung des RBAC-Modells

• RBAC ist eine rollenbasierte Zugriffskontrolle, die die Zugriffskontrolle auf Systemressourcen durch die Zuordnung von Benutzerrollen zu Berechtigungen implementiert.
• RBAC bietet die Vorteile von Flexibilität, Skalierbarkeit und Sicherheit, ist jedoch schwierig zu implementieren und erfordert von Administratoren ein hohes technisches Niveau.
• Bei der Implementierung von RBAC muss es auf der Grundlage von Rollen, Berechtigungen, Ressourcen, Zugriffskontrollrichtlinien usw. definiert und gemäß den Spezifikationen angewendet werden.
  

3.3. POSIX-Modell

3.3.1. Übersicht

Das POSIX-Berechtigungsmodell ist ein dateibasiertes Berechtigungsmodell, ähnlich den Dateisystemberechtigungen von Linux-Systemen. Das heißt, eine Datei verfügt über einen entsprechenden EIGENTÜMER und eine GRUPPE und kann nur das Festlegen der Berechtigungen von EIGENTÜMER, GRUPPE und anderen Benutzern unterstützen. Die autorisierten Berechtigungen umfassen nur Lese-, Schreib- und Ausführungsberechtigungen.

3.3.2. Anwendung des POSIX-Modells

Dieses Modell ist nicht für Unternehmensbenutzer geeignet. Ein offensichtlicher Nachteil besteht darin, dass es nur eine Gruppe hat und keine verschiedenen Gruppen implementieren kann, um unterschiedliche Berechtigungen zu erhalten, und auch keine verfeinerte Berechtigungsverwaltung erreichen kann. Es kann nur auf Dateiebene autorisiert werden Auch die autorisierten Berechtigungen sind begrenzt: Nur Lese-, Schreib- und Ausführungsberechtigungen.

3.4. ACL-Modell

3.4.1. Übersicht

Die Zugriffskontrollliste ACL (Access Control List), ein Zugriffskontrollmechanismus, enthält hauptsächlich drei Schlüsselelemente: Benutzer (Benutzer), Ressource (Ressource) und Betrieb (Operate). Wenn ein Benutzer den Betrieb einer Ressource anfordert, wird die Berechtigungsliste der Ressource überprüft. Wenn die Betriebsberechtigung des Benutzers in der Berechtigungsliste der Ressource vorhanden ist, ist sie zulässig, andernfalls wird sie verweigert.

3.4.2. Anwendung des ACL-Modells

ACL steht für Access Control List. Das ACL-Berechtigungsmodell kann die Mängel des POSIX-Berechtigungsmodells ausgleichen und eine verfeinerte Berechtigungsverwaltung erreichen. Durch das Festlegen einer Zugriffskontrollliste können Sie einem Benutzer mehrere Berechtigungen erteilen oder verschiedenen Benutzern unterschiedliche Berechtigungen erteilen. ACL weist jedoch auch offensichtliche Mängel auf: Wenn die Anzahl der Benutzer groß ist, wird die ACL-Liste groß und schwer zu pflegen. Dieses Problem tritt besonders in großen Unternehmen auf.

3.5. SQL-Standard-Berechtigungsmodell

3.5.1. Übersicht

Das SQL-Standardmodell ist eines der Hive/Spark-Nutzungsberechtigungsmodelle. Es verwendet im Wesentlichen die SQL-Autorisierungssyntax zur Verwaltung von Berechtigungen. Das Berechtigungsmodell in Hive basiert ebenfalls auf dem ACL- und RBAC-Modell, was bedeutet, dass einzelne Benutzer direkt oder über Rollen autorisiert werden können.

3.5.2. Anwendung des SQL-Standardmodells

Aus Modellsicht unterscheidet sich das SQL-Standardberechtigungsmodell nicht grundlegend vom ACL-Modell. Es imitiert lediglich die Standardautorisierungssyntax in herkömmlichen Datenbanken wie MySQL, um mit Benutzern in einem System mit SQL-ähnlicher Syntax zu interagieren.

4. Datensicherheit

4.1. Risiken und Belastungen im Zusammenhang mit der Datensicherheit

4.1.1. Interne Aufsicht über Unternehmen

Derzeit mangelt es Unternehmen an technischen Mitteln und wirksamen Managementsystemen für die Datensicherheit, was das Risiko von Datenlecks erhöht.
Ein weiterer Grund ist der Verlust von Dateninformationen aufgrund unzureichenden Sicherheitsbewusstseins bei internen Mitarbeitern.

4.1.2. Externe rechtliche und Compliance-Anforderungen

Da in- und ausländische Regierungen und Industrien der Informationssicherheit große Bedeutung beimessen, haben sie entsprechende gesetzliche Vorschriften und Managementsysteme erlassen, die ständig eine verbesserte Datensicherheit und detailliertere Sicherheitsanforderungen erfordern. Beispielsweise trat das „Cybersicherheitsgesetz der Volksrepublik China“ meines Landes offiziell im Juni 2017 in Kraft, die „Allgemeine Datenschutzverordnung“ der EU (als DSGVO bezeichnet), die im Mai 2018 in Kraft trat, und Chinas GB/T 35273 „Informationssicherheitsgesetz“, das im Mai 2018 in Kraft trat. Technische Spezifikationen zur Sicherheit personenbezogener Daten“ usw.

4.1.3. Risiko von Datenlecks

Während sich die IT-Technologie immer weiter entwickelt, nehmen die Risikopfade, die zu Datenlecks führen, weiter zu, wodurch sich das Risiko von Datenlecks erhöht.
Ein Aspekt ist auch die zunehmende Gefahr böswilliger Angriffe.

4.1.4. Status und Probleme der Datensicherheit

Analysieren Sie einige der Sicherheitsprobleme, mit denen verschiedene Branchen und Unternehmen im Hinblick auf die Datensicherheit konfrontiert sind.

1. Probleme bei der Verwaltung von Datenbeständen

Probleme bei der Verwaltung von Datenbeständen spiegeln sich hauptsächlich in den folgenden drei Aspekten wider:

• Vermögensstatus unklar
• Zugriffsstatus unklar
• Berechtigungsstatus unklar

Das Sortieren von Datenbeständen ist ein kontinuierlicher Prozess, und Daten und Unternehmen ändern sich ständig. Daher sind automatisierte Tools für die Verwaltung von Datenbeständen erforderlich. Die genaue Erfassung des Sicherheitsstatus von Datenbeständen ist die Grundvoraussetzung für den Aufbau eines Datensicherheitssystems. Zum Beispiel: Lagerort, Manager, Abteilung, Klassifizierung, Klassifizierung usw.

2. Fragen der Datenverwaltungsverantwortung

Fragen der Datenverwaltungsverantwortung spiegeln sich hauptsächlich in den folgenden zwei Aspekten wider:

• Datenbestände sind nicht rechenschaftspflichtig
• Verschwommene Grenzen der Führungsrollen

Die Aufgaben des Datensicherheitsmanagements werden im Allgemeinen vom Personal in Forschung und Entwicklung, Betrieb und Wartung, Sicherheit und Betrieb wahrgenommen. Es gibt kein unabhängiges Team oder virtuelles Team, was zu unklaren Rechten und Verantwortlichkeiten führt, was der allgemeinen Verbesserung der Datensicherheitsschutzfunktionen nicht förderlich ist. Es ist von entscheidender Bedeutung, Rollen für das Datensicherheitsmanagement einzurichten: Datenbestände-Administratoren, Datenbankadministratoren, Sicherheitsprüfer, Sicherheitserkennungsingenieure, Datenbetriebs- und -wartungsingenieure, Berechtigungsadministratoren usw.

3. Das Problem eines unvollständigen Datensystems

Das Problem unvollständiger Datensysteme spiegelt sich hauptsächlich in den folgenden zwei Aspekten wider:

• Systemvorgaben sind nicht oder nur schwer umsetzbar
• Fehlende Prüfmittel

Das Datenmanagementsystem legt durch die Planung der Datensicherheitsberatung eine Reihe praktischer Systemspezifikationen fest und formuliert Datensicherheitskontrollmaßnahmen und SLA-Bewertungsindikatoren, um zu vermeiden, dass die Datensicherheitsmanagementabteilung aufgrund fehlender Prüfungen den Implementierungsstatus nicht rechtzeitig erfassen kann Methoden.

4. Das Problem der verwirrenden Datenaustauschverwaltung

Das Problem der chaotischen Datenaustauschverwaltung spiegelt sich hauptsächlich in den folgenden zwei Aspekten wider:

• Austausch- und Sharing-Methoden und -Schnittstellen sind nicht Standard
• Der Datenverwaltungs- und Kontrolldruck auf das Betriebs- und Wartungspersonal sowie die Anwendungssystemmanager ist hoch

Daten werden extern, intern und mit Partnern ausgetauscht und geteilt. Da immer mehr offene Schnittstellen geöffnet werden, werden Austauschbeziehungen immer komplexer. Durch die Standardisierung der Methoden und Schnittstellen für den Austausch und die gemeinsame Nutzung werden Doppelfunktionen, komplexe Aufrufe und Mehrfachaufrufe vermieden Klicken Sie auf Login und andere Phänomene haben keinen Einfluss auf die Entwicklung von Datenanwendungen.

5. Vereinzelte sicherheitstechnische Maßnahmen

Die verstreuten Fragen sicherheitstechnischer Maßnahmen spiegeln sich vor allem in den folgenden zwei Aspekten wider:

• Datensicherheitsprodukte haben fragmentierte Funktionen
• Insel der Sicherheitsfähigkeit

Der Aufbau von Datensicherheitsfunktionen wird auch auf organisatorischer Basis erfolgen, um den verstreuten Aufbau verschiedener Organisationen zu vermeiden und ein Abwehrsystem aus dem einheitlichen Datenlebenszyklus aufzubauen.

6. Unzureichende Möglichkeiten zur Datenprüfung

Das Problem unzureichender Datenprüfungsmöglichkeiten spiegelt sich hauptsächlich in den folgenden zwei Aspekten wider:

• Unterschiede in der Wirksamkeit von Sicherheitsvorschriften
• Illegale Dinge und konforme Vorgänge werden nicht geprüft

Durch die Prüfung der operativen Spuren und Muster von Angriffen können Sicherheitsrisiken entdeckt und entsprechende dynamische Vertrauensmechanismen eingerichtet werden.

4.2. Risikopunkte in der Datensicherheit

4.2.1. Risikopunkte der Datensicherheit

4.3. Lebenszyklusmanagement der Datensicherheit

4.3.1. Lebenszyklusmanagement der Datensicherheit

4.4. Datensicherheits-Lebenszyklus-Fähigkeitsmodell

4.4.1. Modell der Datensicherheits-Lebenszyklusfähigkeit

4.5. Datensicherheits-Governance

4.5.1. Mehrdimensionale Datensicherheits-Governance

• Organisationsmanagementaufbau

  Definieren Sie ausgehend von der Organisationsstruktur Ihres eigenen Unternehmens die relevanten Zuständigkeiten von Management, Fachabteilungen, Umsetzungsabteilungen, Compliance-Überwachungs- und Revisionsabteilungen, Betriebsabteilungen etc. von oben nach unten.

• Standardsystem- und Spezifikationskonstruktion

  Erstellen oder verbessern Sie die Gesamtstrategie, Managementmethoden, Notfallmethoden und spezifische Betriebsverfahren zur Verhinderung von Datenlecks. Unterstützen Sie die Arbeit des institutionellen Systems zur Verhinderung von Datenlecks.

• Technischer Werkzeugbau

  Nutzen Sie professionelle und ausgereifte Technologie, implementieren Sie detaillierte, vom Management genehmigte Strategien, erkennen Sie Datenlecks über die Plattform und zeichnen Sie Datenlecks auf, warnen Sie und blockieren Sie sie. Erreichen Sie technisch das Ziel, Leckagen zu verhindern.

• Gesamtimplementierung der Kerntechnologien

  Verwaltung von Datenbeständen, Klassifizierung und Klassifizierung, Verwaltung und Prüfung von Datenrechten, KMS+CA, Zero Trust, Datensicherheits-Gateway, Datenprofilierung, DLP, Blockchain-Datenschutz, Wasserzeichen, TEE, föderiertes Lernen, homomorphe Verschlüsselung.

4.5.2. Datensicherheitsplattform

Definieren Sie ausgehend von der Organisationsstruktur Ihres eigenen Unternehmens die relevanten Zuständigkeiten von Management, Fachabteilungen, Umsetzungsabteilungen, Compliance-Überwachungs- und Revisionsabteilungen, Betriebsabteilungen etc. von oben nach unten.

• Standardsystem- und Spezifikationskonstruktion

  Erstellen oder verbessern Sie die Gesamtstrategie, Managementmethoden, Notfallmethoden und spezifische Betriebsverfahren zur Verhinderung von Datenlecks. Unterstützen Sie die Arbeit des institutionellen Systems zur Verhinderung von Datenlecks.

• Technischer Werkzeugbau

  Nutzen Sie professionelle und ausgereifte Technologie, implementieren Sie detaillierte, vom Management genehmigte Strategien, erkennen Sie Datenlecks über die Plattform und zeichnen Sie Datenlecks auf, warnen Sie und blockieren Sie sie. Erreichen Sie technisch das Ziel, Leckagen zu verhindern.

• Gesamtimplementierung der Kerntechnologien

  Verwaltung von Datenbeständen, Klassifizierung und Klassifizierung, Verwaltung und Prüfung von Datenrechten, KMS+CA, Zero Trust, Datensicherheits-Gateway, Datenprofilierung, DLP, Blockchain-Datenschutz, Wasserzeichen, TEE, föderiertes Lernen, homomorphe Verschlüsselung.

4.5.2. Datensicherheitsplattform