-
分类分级建设落后:目前爱音乐的数据分类分级建设只实现了基于数据库的分类分级,缺乏基于流量的数据分类分级,对API资产0掌握;此外,分类分级结果只能查看不能共享,无法支持动态的数据分类分级保护。 -
数据风险评估繁琐:爱音乐各业务模块的需求变化快,但缺乏统一的数据安全风险评估框架,导致风险评估流程繁琐、难度高;此外,其数据安全风险评估覆盖面不全,对个人信息风险、数据出境等安全风险评估不足
-
数据风险监测不足:当前爱音乐仅支持基于数据安全日志的安全审计及风险监测,覆盖率低、应用配合改造工作量大且信息链不够完整,缺乏对应用层数据安全风险监测和审计能力。
-
制度建设存在差距:虽然爱音乐现有的管理制度及技术运营体系建设取得了长足进步,但是跟相关法律法规以及行业标准要求还有一定差距,未能覆盖数据全生命周期。
-
产品运营人效低下:虽然爱音乐具备主动的数据安全意识,但其数据安全防护技术体系建设产品不全,效率低下,整体环节仍需加强打通,以发挥内部管理和技术人员最大的能效性。
-
建设全域资产识别管理能力:实现全域资产识别,基于一个平台完成应用资产、数据库资产、邮件资产、文件资产梳理,同时结合分类分级结果对全域数据资产进行统一标记与管理。 -
建设数据安全风险评估能力:全面评估应用接口、数据库脆弱性,识别现存的口令认证类、访问权限类、数据暴露类等风险,了解系统数据安全脆弱性现状;采用数据安全评估工具优化数据安全评估流程,减少人力投入。 -
建设风险行为实时监测能力:从实际业务场景出发,采用UEBA的设计思路,沉淀符合业务安全的风控模型,包括数据异常访问风险、数据泄露风险、越权访问风险等风险场景。 -
建设数据安全态势感知能力:设计数据安全风险模型和度量指标体系,完善数据安全态势场景覆盖面。
-
数据识别和发现:部署数据分类分级系统,自动探测用户所在网段的数据服务,通过扫描IP端设备流量信息来检测数据资产,发现数据库分布,数据级别可以为服务实例-数据库-表-字段,最终探测到的数据资产以数据目录的形成在对应模块中呈现。 -
敏感数据自动识别:对探测到的数据进行自动化识别,发现敏感数据;通过正则表达式、js脚本等方式对敏感数据的识别,实现对业务敏感数据的非通用型数据的自动化识别,快速、精准地梳理能源大数据中心业务敏感数据和重要数据。 -
数据流量采集和分析:通过并联采集(镜像或分光)或串联采集的方式,在不影响正常网络通信的前提下将进出流量发送至采集服务器,对视频彩铃生产区网络出入口的数据及重要敏感信息存储服务器的网络汇聚层的数据进行采集。 -
数据流动监测体系:以流量构成入手,以流量流转情况为核心,结合大数据处理技术,对海量流量进行流量分析、性能分析、协议分析和流动分析,提供数据流动监测能力。
-
数据接口安全管理和分析识别:根据接口流量分析、识别数据流量接口并统计、对敏感数据交互进行分析监测,对于违规或非法调用数据的接口发送告警,对业务系统所关联的接口通过网络流量画像进行识别。 -
数据接口流量分析和监测:对HTTP、FTP、SMTP等数据接口进行管理,通过对流量的采集和还原,筛选出数据接口流量,并结合数据敏感级别划分规则库,提供对接口敏感数据传输情况的监测能力;通过对数据资产分类分级结果及接口流量抽样分析,监测出数据对外开放情况,发现数据异常流转及违规开放安全事件。 -
全链路的数据安全能力统一展示:对接数据流动监测子平台、数据安全防护设备,接入4A系统、数据流动监测子平台、数据安全防护设备等外部系统或设备的数据资产管理、数据脱敏管理、访问和操作行为审计管理、接口安全管理的日志,实现对敏感数据资产分布等进行动态展示和分析。
往期推荐