今天我們要談的內容是：

對於資料安全建設而言，

一個好的開始有多重要？

隨著資料洩露事件的頻發，企業和組織的安全意識逐漸建立起來，但在提出資料安全建設需求的時候，又往往對自身的資料資產狀況不甚瞭解。因此，保護資料安全，不能簡單粗暴的上各種安全產品，在此之前應

首先

將自家的資料資產狀況梳理清楚。

資料資產梳理系統是資料安全治理整體解決方案的“開局利器”

，能夠幫助使用者自動發現數據資產、提供資料敏感級管理、分類分級管理、動態監控敏感資料使用情況，從而掌握“資料家產”的現狀，並理清資料安全建設的思路。

本文將從靜態梳理、動態梳理和客戶價值三方面，介紹安華金和資料資產梳理系統。

安華金和資料資產梳理系統（簡稱DACS）

是一款透過指定IP段和埠範圍，自動搜尋網內資料庫，以授權方式進行敏感資料發現的資料庫安全檢查系統；能夠幫助使用者發現網內資料庫和其中的敏感資料，並對資料資產進行不同類別和密級的劃分，以便實現對敏感資料有差別和針對性的防護。

系統可實現靜態和動態兩種梳理模式：

靜態梳理

能夠對當前網路環境中的資料庫進行定位，並透過定期自動化搜尋網內資料庫等功能，為資料庫安全管理提供準確的依據。針對資料庫安全要求較高的客戶，DACS系統可實現資料庫許可權梳理，避免過多賬戶有權訪問重要的敏感資料，每個賬戶能訪問哪些表，資訊保安政策中有最小授權原則，這個許可權梳理的功能可以配合檢查，知悉範圍。

1

先進的資料庫自動嗅探與識別技術

資料資產梳理系統支援對資料庫的全網自動搜尋，也可指定 IP 段和埠範圍搜尋，自動發現數據庫的埠號、型別、伺服器 IP 地址等資訊。

2

快速發現敏感資料，保護核心資料資產

一般應用的後臺資料庫都有成千上萬張表，要保護您的核心資料資產，首先要了解核心資料資產在什麼地方。DACS系統能夠從海量資料中快速發現敏感資料，定位敏感資料的儲存與分佈情況，統計敏感資料的量級；並透過敏感資料發現功能對個人敏感資訊、信用卡賬戶資訊、企業敏感資訊等的表和列進行掃描，也支援使用者自定義敏感物件的搜尋關鍵字功能。

3

資料分類分級

支援依據自身業務特點對生產、採集、加工、使用的資料進行分類管理；支援以資料分類為基礎，採用規範、明確的方法區分資料的重要性和敏感度差異，進行分級管理。

4

資料庫賬戶許可權梳理

定期檢查資料庫許可權，滿足最小授權原則。對於資訊保安政策要求嚴格的單位，DACS系統採用持續的資料庫許可權狀況監控功能，突破傳統產品僅作為資料庫安全檢查工具的限制，能有效體現使用者及許可權變更等安全狀況，並建立安全基線，實現安全變化狀況分析報告與定性、定量相結合的評估模型。

動態梳理

針對應用系統執行、開發測試、對外資料傳輸和前後臺操作等使用環節的資料流轉、儲存與使用進行監控；對應用側、內部運維側及開發測試的訪問行為及敏感資料的訪問頻次進行熱度分析；並動態監聽應用與運維側敏感資料的使用情況，及時發現敏感資料是否被濫用，從而為核心資料安全管控提供依據。

1

資料流向分析

敏感資料流向是透過網路流量偵聽、精細sql語句解析等技術，結合sql語句的操作模型共同完成的流向分析；系統會對敏感資料的訪問情況進行實時學習，並針對敏感資料的流入與流出兩部分，動態的實現資料流向管理。

2

訪問源分析

能夠對訪問源進行分析，包括訪問資料庫的使用者資訊、訪問資料庫的應用資訊、訪問資料庫的主機資訊、訪問資料庫的客戶端資訊等，並能夠根據分析結果，繪製出資料庫的日常訪問拓撲圖。

3

訪問行為分析

能夠對訪問資料庫及敏感資料的操作行為進行分析統計，包括SELECT（查詢）、DML、DCL、DDL型別的操作。

4

訪問熱度分析

能夠對資料庫的日常訪問流量進行分析，並按照語句、會話等不同維度彙總出資料庫的訪問熱度統計圖。

5

靜默資產梳理

能夠週期性統計沒有被訪問的資料庫，幫助企業完成對系統使用與實際業務流程長期脫節、功能可被其他系統替代、所佔用資源長期處於空閒狀態、執行維護停止更新服務，以及使用範圍小、頻度低的“殭屍資料庫”進行清查。

客戶價值

1

滿足安全檢測標準規範

GB/T 22080-2-8即《資訊科技/安全技術——資訊保安管理體系要求》中規定：為適應不同組織或其部門的需要而定製的安全控制措施的實施要求，分為定量和定性的資訊保安風險評估方法。

2

實時全面的資料庫安全檢查

DACS系統負責在客戶指定的網路環境中，可以選擇不同網段的網絡卡，透過自動和手動選擇網段和埠這兩種方式，幫助客戶尋找到暴露在網路中的資料庫。

3

資料庫的敏感資料定位

諸多使用者在敏感資料洩露事件發生後，才開始追查並分析具體原因；然而，作為複雜的資料庫，針對敏感資料和許可權等的管理資訊通常數量巨大，手工追查、分析的工作方式複雜繁瑣。DACS系統可提供對資料庫敏感資料的持續監控能力，同時結合人工判斷方式定位敏感資料，以實現對敏感資料的實時報告。

4

資料分類分級，促進資料安全共享

在重要的資訊系統中，使用者敏感資料的規模往往十分龐大，並呈現出分散、不集中的狀況。DACS系統以業務活動為主線，關注資產對組織的重要性或其敏感程度的定性分析，同時考慮保密性、完整性和可用性三方面受損可能引發的後果， 從隱私安全與保護成本的角度出發，對資料資產進行分類與等級劃分，進而根據不同需要對資料資產進行重點防護，等級定義一般可分為如下幾種：

· 敏感資料：

透過該類資料可直接識別特定使用者，是與使用者生活緊密相關的資料；

· 重要資料：

透過該類資料可以得知產品商業價值等，是需謹慎使用的使用者相關資料、產品核心資料；

· 一般資料：

支撐業務邏輯及執行的資料，透過統計、分級、加工不會對使用者或公司利益產生影響。

安華金和資料資產梳理系統（DACS）

能夠幫助企業有效開展資料資產安全狀況摸底及資料資產管理相關工作；提高企業進行資料資產梳理工作的效率，保證資料資產梳理工作的質量。目前，DACS已廣泛適用於銀行、證券、保險等金融機構，同時在政府部門、涉密單位也有良好適用場景；在國家等級保護、分級保護等領域均具有很強的政策合規性，從制度與技術有效結合等方面為企業提供了具有創新優勢的可靠支撐。