基础防护类
数据库审计系统
数据资产管理系统
数据泄露防护系统
接口安全管理平台
x
在线咨询
您当前的位置:
安全产品 > 基础防护类
数达安全数据库安全审计系统(DS-AD)是一款由数达安全独立开发并完全拥有自主知识产权的、基于集群和多租户架构的数据库安全审计产品。DS-AD采用数达安全独有的智能解析引擎,能够对不同厂家的各个版本的数据库协议进行智能解析和识别,快速发现各类协议特征,无需单独设置。
↓ 资料下载
产品功能
产品优势
典型部署
产品价值
多群组和用户
数据库实例、数据库用户、操作系统用户、主机名、会话五元组、数据库MAC、客户端MAC、客户端工具类型、操作类型、操作对象、请求发生时间、请求SQL内容
分布式集群
为了应对大规模数据库集群的全流量审计场景,能够以分布式集群的方式进行部署和使用。SD-DAS将审计的主要服务进行了模块化的设计和实现,各个服务能够以单节点的方式运行,每个节点都能够独占所有的硬件资源,为审计服务提供全部算力。
全场景的审计/监控能力
具备多种获取数据库通信数据的技术手段,包括:交换机镜像和软件探针等多种方式。面对IDC下的数据库集群、虚拟化上的数据库资源池、云上数据库(包括自建库和RDS)等各式各样的使用环境,真正的实现了数据库全场景的审计和监控能力,为数据库的全面审计提供了完整的解决方案。
自动发现
产品的智能协议解析引擎在接入用户网络后,可以根据业务流量中的指纹特征自动发现网络中处于活动状态的数据库。
单/双向审计
采用智能协议解析引擎,通过交换机镜像或者软件探针的方式捕获数据库通信内容,然后对上行请求和下行应答进行会话重组,会话重组后,逐层识别和解析协议内容。智能协议解析引擎能够精准的提取会话和来源信息,识别访问者身份、访问对象和操作行为等全部的上行请求特征,以及响应状态、执行时长、影响行数、返回行数、返回的结果内容等下行应答特征。
运维协议审计
具备的智能协议解析引擎不仅能够精准的识别数据库通信协议,还能够对数据库运维环节常用的远程管理工具进行识别和解析,包括TELNET、SSH、VNC等协议类型。同时也能够对一些日常的办公场景中经常用到的应用环境进行审计,包括:FTP、POP3、IMAP、SMTP等。
异常行为和攻击检测
审计策略模块内置了各个数据库类型的异常访问、SQL攻击、缓冲区溢出、CVE漏洞等行为特征库,通过高效的策略匹配引擎能够及时发现针对数据库的各类越权访问、脱库、撞库等内部人员的违规操作,以及外部人员利用数据库漏洞发起的各类攻击和渗透行为,并通过日志外发和日志上报接口,立即向各类安全分析和检测平台发送告警日志。
日志检索与风险分析
采用具有专利技术的并行存储引擎能够快速的将海量SQL日志写入存储区域,同时利用特殊优化的索引技术,快速生成各类协议特征关键字供用户对审计日志进行查询和检索。能够做到在亿级日志中使用关键字进行精确查询时,秒级返回。
业务和敏感数据监控
状态监控模块在的基础功能之外,还提供了针对数据库运行环节的监控和风险评估功能,能够以图形化的方式展示数据库的各项资源使用情况,一目了然。漏洞扫描模块通过扫描数据库的配置信息,及时评估数据库的安全状况,并根据实际的配置给出改进和优化方案。还具备敏感数据识别功能,通过内置的敏感数据特征库,能够自动发现敏感数据的存放位置,包括库、表、字段以及敏感类型等信息。通过手工梳理后,可以一键生成专门针对敏感数据的审计策略,方便快捷。
智能翻译与业务数据遮蔽
智能协议解析引擎能够结合业务指纹特征库,对还原出来的SQL语句进行翻译显示,形成和人员操作相关联的业务行为日志。能够针对SQL语句中的不同位置出现的敏感数据内容进行遮蔽,以特殊符号的方式替换关键性的数据内容,在全量审计的场景下保护隐私数据,防止隐私数据被审计日志泄露。
丰富而全面的统计报表
依托于全面的协议解析和审计能力,提供了30多种统计报表模板,能够从各个维度对数据库的访问行为进行统计和分析,全方位的展示数据库的访问数量、访问来源、访问途径、操作对象、操作行为、操作结果、影响范围以及风险行为的分布情况。同时提供访问行为周报、月报等详细而全面的报告模板,并结合定时任务的方式自动将月报和周报发送至管理人员邮箱,方便快捷。
全新的分布式集群架构
SD-DAS对主要模块进行重新设计,开发并实现了适合集群方式部署的模块化、分布式的底层架构,具备了横向扩展的集群化部署能力,可以根据业务规模的持续增长情况进行动态扩容。
虚拟审计和业务隔离
SD-DAS定义的群组可以是一个企业的部门,也可以是一个云上的租户,多个群组的安全审计业务可以由安全管理员进行统一的添加和分配,也可以由各个群组的管理员或者群组下的用户自行配置,群组之间的安全审计业务相互隔离,不同群组的用户无法看到其他群组的配置和数据。
多重能力支撑的弹性扩展
分布式审计集群的管理节点通过多重监控手段,实时获取各个解析节点、存储节点的运行状态和资源消耗情况。当节点出现负载过高时,管理节点能够即时感知,并以实时告警信息的形式通知管理人员,由管理人员对各个节点的业务负载情况进行排查。分布式审计集群的解析节点采用自适应的管理方式,新的节点部署后,只需要将流量牵引过来即可,无需额外配置。数据库的业务流量增加时,可以通过增加解析节点的方式提升审计集群的SQL解析能力。需要存储更多的日志量或者需要日志存储的时间更长时,分布式审计集群可以通过增加硬盘的方式扩充存储节点的存储空间。需要更高的SQL实时入库能力时,分布式审计集群能可以通过增加新的存储节点的方式提升审计集群的日志实时存储能力。
Agent集中管理
SD-DAS具备软件探针集中管理能力,能够自动部署/卸载软件探针。SD-DAS的集中管理模块采用周期性的方式对探针的运行状态进行监测,获取探针自身和宿主机的资源使用情况。
数据库运行状态监控
SD-DAS提供以图形化的方式监控数据库运行时的各种状态信息,支持以图表的形式将数据库的运行状态导出,方便制作周报/月报。
敏感数据专项审计
SD-DAS内置了敏感数据分析引擎,能够自动对数据库内的数据进行扫描,发现各类敏感数据的存放位置,针对自动发现的结果可以由人工进行确认和梳理,确认无误后,可以一键生成敏感数据专项审计策略。
高性能的SQL处理能力
SD-DAS采用并行处理技术,结合集群化的部署方式,为大规模数据库集群的全流量审计提供高性能的解决方案。
适用于大规模数据中心的集群部署
SD-DAS的集群部署方式专门为大规模数据库集群设计,采用并行处理技术,多个节点之间采用动态调配算法,能够做到针对大规模数据库集群的峰值访问流量进行全部实时审计,并做到统一存储和索引。
SD-DAS的审计集群在通过前端部署的分流器设备,将核心交换镜像出来的数据库流量分割成多股适合单个节点处理的流量后,传输给解析节点,在解析节点上经过智能解析引擎和策略引擎处理后,将日志内容发送个后端的存储节点。
SD-DAS的审计集群在通过前端部署的分流器设备,将核心交换镜像出来的数据库流量分割成多股适合单个节点处理的流量后,传输给解析节点,在解析节点上经过智能解析引擎和策略引擎处理后,将日志内容发送个后端的存储节点。
适用于小型机房的单机部署
对于部署在小型机房内的单一数据库环境,SD-DAS提供高度集成化的一体机部署方式。通过交换机镜像,将数据库的流量转发给SD-DAS,对数据库进行审计。各个业务部门单独作为一个租户,只查看自己的数据。
适用于云环境和虚拟化资源池的软件部署
当数据库部署在虚拟化环境时,SD-DAS可以以软件的方式部署在相同的虚拟化环境上,将数据库的虚拟网卡和SD-DAS的虚拟网卡桥接在相同的虚拟交换机上,即可获取数据库的通信流量,对虚拟化数据库进行审计。
当虚拟网络较为复杂,无法将SD-DAS的虚拟网卡和数据库主机桥接在同一虚拟交换机上时,可以通过在数据库主机上安装软件探针的方式抓取数据库的访问流量,对数据库进行审计。
当虚拟网络较为复杂,无法将SD-DAS的虚拟网卡和数据库主机桥接在同一虚拟交换机上时,可以通过在数据库主机上安装软件探针的方式抓取数据库的访问流量,对数据库进行审计。
多用户/租户共享审计
SD-DAS的分布式审计集群部署时,可以通过群组+用户的方式为各个部门的租户提供专属的数据库安全审计服务。
灵活多变的部署方式
SD-DAS的采用的分布式审计集群架构,为用户提供了灵活多变的部署方案,能够完美适应单机、小型集群、大型化集群、虚拟化集群、云上RDS等数据库各式各样的使用场景。
高性能的数据库安全审计解决方案
SD-DAS的审计集群为大规模数据库集群提供了可扩展,没有性能瓶颈的安全审计解决方案,能够随着数据库集群的处理能力的提升而提升。
满足合规性要求
SD-DAS提供的全记录方式的审计策略,结合专利技术的压缩存储方案,能够有效降低审计日志和各类行为特征的存储开销,单T磁盘即可轻松存储6-12个月的审计日志,满足等保合规性检查要求。
数据库访问量分析
SD-DAS基于全面、全量的审计方案,SD-DAS能够对数据库的访问情况进行全面的统计和分析,让数据库的运行和使用情况一目了然。
数据资产管理系统(DS-DAM),是企业实现数据资产管理的基础服务平台,立足数据治理的起点和重要环节。以资产发现-资产梳理为核心,以资产可视-资产可管为目标,致力于提升企业对数据资产的整体管控能力和运维效率。
产品功能
产品优势
典型部署
产品价值
资产概览
将资产统计、资产变化趋势、涉敏资产变化、资产归属分布等多维内容,通过可视化手段进行直观地展示,对资产当前状态一目了然,助力数据综合治理能力的提升。
资产台账
资产台账通过资产清单、分类分级、资产归属三种展现维度,提升数据资产管理的可视化能力。同时提供数据接口,支撑数据资产的多渠道和多场景应用,如决策支持、离线查看、分析汇报等,最终实现数据资产价值的最大化。
资产分析
基于已发现的数据资产结构、敏感数据梳理结果、资产归属分布情况,结合可视化手段,对数据资产进行多维度的联合解读,便于掌握数据资产分布、不同维度关联关系。同时通过解析资产变化动态、分析僵尸资产和资产血缘的关系,有助于发现资产潜在风险,及时规避。
资产发现
通过流量解析、主动扫描和手动添加的组合方式,以最大程度实现资产管理无遗漏,提高未知资产的发现能力。同时可满足多种资产发现场景,简化传统的资产录入流程,提高效率。
资产认领
针对传统方式下资产权属混乱的现状,资产认领可对资产所有者进行权责归属确定,以实现资产管理分明,责任到人的目的。
资产梳理
资产梳理是对资产内部数据进行全面识别、解析的过程。结合不同行业的数据分类分级标准,能够实现对敏感数据的有效识别和分析,便于对敏感数据资产的安全监控和对相应业务的重点把控。
规则管理
系统提供敏感数据识别规则和分类分级标准的管理功能,支持自定义扩展,满足数据灵活识别以及各行业对数据分类分级的需求。
平台化
立足数据治理的起点和重要环节,采用优质架构,扩展性强。
可视化
多维度的分析报表,实现数据资产的直观可视、安全可控。
智能化
自动识别、智能分析,大大缩短数据管理周期,减少成本浪费。
系统以旁路方式部署,通过数据镜像实现旁路监听。如下图所示,设备在交换机上将访问数据库的网口镜像到系统的业务网口上,系统通过分析镜像链路传过来的数据通信包,实现数据资产的发现功能。此种模式可完全独立于数据库部署,不影响数据库的正常使用。设备的镜像口用于访问数据库流量的引入,通过部署审计节点将审计业务流量给到数据资产管理系统进行流量解析、资产梳理、查询报表等功能。
资产可视
避免数据资产不明导致的数据泄露、黑客攻击等安全问题。
资产可管
防止数据资产权责不明导致的违规操作、资产混乱等问题。
数据支撑
强大的数据接口支撑,支撑资产内部数据的多渠道和多场景应用。
数达安全数据泄露防护产品(DS-DLP)是一款融合机器学习、关联分析、密码技术、访问控制、数据标识等多种技术的综合性数据安全防护产品,该产品以数据为中心,分类分级为基础,为用户数据资产提供事前主动防御、事中实时监测、事后追踪溯源、全程态势感知,基于数据的全生命周期提供全方位、立体化防护。
产品功能
产品优势
典型部署
产品价值
用户分级管理
支持用户分部门/组管理,每个部门/组可以建立独立的策略组,策略组仅本部门/组可见。策略数据仅本部门/组可查看。
策略配置与管理
支持多种策略配置,包括正则表达式,关键字,协议,IP,邮件地址,账号,身份证,手机号,银行账号,文档指纹识别。此外策略内可以多种信息组合实现敏感数据识别。组合策略中的各个策略之间采用“与”的关系,帮助客户进一步缩小敏感数据范围,达到更精准的识别效果。产品对策略数据提供了一键式数据浏览和精细化数据查询,即方便了客户对数据粗看的省时省力也提供了客户详细查看数据的刚性需要。
全流量数据解析
支持全流量数据的数据分析获取,有效的解决了系统无有效策略、策略设置覆盖性差、策略制定不合理等问题,保证了在策略不合适的情况下也能对数据进行审计,保证敏感数据获取的完整性。
端口管控
端口管控可对端口进行实时管控,严防企业核心数据外泄,端口管控范围包含网口、蓝牙、光驱、串口/并口、USB接口、WIFI接口、调制解调器、红外设备等,帮助用户实时防护终端数据安全,降低数据安全风险。
移动存储介质管理
移动存储介质管理可通过介质认证的方式对介质进行管理控制,防止因非法介质接入造成数据外泄的风险,同时也可对认证介质做加密保护,帮助用户避免因主动或被动行为造成的泄密风险。
全磁盘加密
磁盘加密提供了对PC端磁盘存储区加密保护的功能,从源头保障终端数据存储的安全性,帮助用户解决因终端丢失、失窃、维修等意外情况造成数据泄露的风险。
数据安全防护
实现在不影响用户工作效率的同时保障用户数据资产安全。能够对用户数据资产进行智能分级保护,将数据防护焦点聚集在重要数据资产上,对不同重要程度数据资产施行不同强度的防护手段,帮助用户精准防护企业数据资产。同时支持用户对外发数据进行权限控制,保护脱离企业内网环境的数据文档安全可控,实现安全与效率共存,轻松保障数据资产安全。
敏感数据发现
数据发现可以对企业数据资产进行智能识别检测,可对PC终端、文件服务器、数据库进行智能检测,检测规则支持关键字、正则表达式、文档指纹、向量机等多种数据识别技术,帮助用户一键检查敏感数据违规存储,管理违规存储行为。
数据资产梳理
数据资产梳理可通过部署安全探针和扫描等基于监督式学习或非监督式学习的方式,实现对数据资产进行快速分类、统计并生成数据资产地图,帮助用户即时掌握企业核心数据资产数量及分布情况并提供可视化数据分析展示平台,数据资产情况一目了然。
一键报表
支持一键报表功能,客户只需要简单的选择时间段、策略、协议,是否报告阻断,是否关注总量等条件,即可生成全息报表,让工作报告变的简单容易。
态势感知与分析
对策略数据和海量数据进行多维度统计分析,按照应用协议类型维度、访问时间维度、数据分类维度、数据风险等级维度、附件类型维度、处置响应方式(全量审计/策略中标审计/阻断)等多维度可视化方式展示数据安全态势。
数据安全指标可视化,实时掌控数据安全态势
通过多维度、多渠道汇聚全网数据数据资产分布、敏感数据流转、敏感数据使用、数据泄漏事件、用户数据访问行为等数据安全信息,利用可视化技术进行呈现,全面掌握全网数据安全态势,达到“底数清、情况明”的应用效果,打造全域、全维、全时的数据安全态势感知能力。
基于数据分类分级理念,安全兼顾效率
可依据数据类别、级别有差别和针对性的防护,防止敏感信息的扩散,杜绝数据违规使用和被攻击的风险;通过为敏感、高价值业务数据赋予数字安全标签,为敏感和高价值业务数据使用过程中标签数据溯源提供责任依据,从而在保障数据安全的情况下,不影响用户工作效率或改变用户工作习惯。
基于数据全生命周期进行防护进行全方位防护
数据安全防护覆盖终端、网路、邮件数据的产生、存储、传输、使用等全生命周期过程,并可对数据进行事前主动防御、事中实时监测、事后追踪溯源、全程态势感知。
采用机器学习技术,智能化安全防护
产品采用先进机器学习技术,可对敏感信息数据进行智能识别及保护,同时可实时监测敏感信息流向,对违规行为、泄密行为进行实时防护,让用户数据安全防护更智能。
邮件DLP部署
单机串路部署
单机旁路部署模式
追根溯源
将所有网络信息、邮件信息等进行全量分析和存储,即使在策略配置不及时的情况下也会把历史邮件数据保存下来,客户可以随时对以往的数据进行分析查看,找出遗漏的数据传输泄漏的事件,达到事后追溯,违规行为可追溯的效果。全面记录用户对数据资产操作行为,结合屏幕监控技术,实时对敏感信息泄密行为进行拍照留存,形成完整事件证据链,确定相关责任人。
违规阻断
可实现敏感信息阻断功能,一旦发现客户认为严重的数据泄漏事件,系统自动会按照策略处置设置进行敏感数据的传输阻断操作,达到防患于未然。
日常数据安全监测
会对经过系统的网络流量、所有邮件数据进行7层协议分析,分析粒度达到内容级,在分析过程中实现对网络协议数据的内容敏感性匹配,满足内容级审计需求。审计数据长期保存,支持对数据的浏览,查看,统计分析,趋势分析,报表生成等。会对存储到文件服务器、数据库服务器上的数据进行周期新扫描检查,将数据的违规存储发现在当下,在日常工作中规范数据使用。扫描后的数据分析粒度达到内容级,在分析过程中实现对数据的内容敏感性匹配,满足内容级审计需求。审计数据长期保存,支持对数据的浏览,查看,统计分析,趋势分析,报表生成等。
接口安全管理平台(简称DS-ISM),是一款针对数据接口的管理平台,实现高效率的自动化数据接口识别;提供统一标准的数据对外合作报备和审批方案;能够依据数据对外合作备案结果对接口使用情况进行评估。同时数据接口安全管理还提供数据接口审计功能,保障数据安全合规的同时增强全方位安全侦测能力。
产品功能
产品优势
典型部署
产品价值
接口清单
接口清单梳理是接口安全建设的基础。如果在接口统计不完整、接口信息不准确的情况下开展接口安全防护,则会出现盲点,防护手段的价值不能充分发挥,甚至会影响安全方面人力、财力的决策。因此,在开展数据安全体系建设前,应先开展数据接口梳理工作。
敏感接口访问日志
数据分类管理包括标准分类数据的管理、分类词库的管理、处理规则的管理三大功能逻辑。将标准数据模型分类目录实时维护进入平台,可以对不同历史版本的数据分类目录进行管理和维护;分类词库可以实时动态进行扩充,逐步实现全方位的词义覆盖,提高智能标注标签的准确性;完成规范的处理规则定义和描述,形成统一的数据安全合规处理方案。
数据对外合作管理及监测
支持对不同场景下数据资产对外开放合作管理能力,通过数据对外开放审批备案内容、数据分类分级及流量分析结果,监测数据对外合规开放及违规使用的情况,提供正常对外开放日志和违规开放行为日志。将数据报备信息和流量流转信息做匹配,限制对外开放合作的输出方式、数据使用者、数据范围、数据敏感级别和使用期限等内容,并结合接口审计、数据泄露规则监测异常的数据流转行为。
接口还原与扩展
支持对内部接口管理分析,支持接口清单、接口使用情况、接口活跃度、接口敏感级别等统计与可视化展示的能力。支持对HTTP、FTP、SMTP等数据接口进行管理,通过对流量进行采集和还原,筛选出其中的数据接口流量。支持协议的扩展,可提供其他协议对数据接口内容还原的支持
集中管控与可视化分析
支持多维度的可视化展示能力,提供对各模块不同维度、不同层次、不同角度、不同关系结构的数据分析结果的可视化展示,内容包括数据接口清单、数据流转地图、数据接口风险级别、数据接口使用热度图、服务动态拓扑图、数据接口潜在风险等。
协议可扩展
落实各类数据标准、规范,为不同数据类型模型针对性制定相应的加密、去标识化等防护规则和策略,实现对数据的差异化安全防护。同时可动态管理、维护分类分级规则库,针对不同行业需求进行规则匹配实现对标准规范。保证规则库能随时应对新的数据安全风险和需求的变化。
支持可视化方案定制
提供各类加密策略和算法,包括国密SM2、SM3、业界目前最快实现的国密SM4加解密等功能保障各类数据的安全性,插件式迁入原有系统对业务不会产生影响。
丰富的接口识别与异常监测策略
拥有泛化策略、统计策略、假名策略、抑制策略等丰富的去标识化策略,可以满足不同业务场景需求。
部署灵活简易
部署灵活简易,采用模块化部署,无需改变原有系统的架构。
接口安全管理平台部署简单,仅需接入目的系统镜像流量,无需改变系统原有架构,无需进行复杂配置,部署灵活简易。
清查数据接口,以实现整体情况的全面了解
企业内部的诸多业务系统下,面对庞大数量的应用和接口时,可用本系统进行自动发现和梳理,并对发现梳理的涉敏应用和接口列入资产中,进行重点监测。通过自动识别应用系统的接口,按照各种特征进行组合分类,让企业明晰到底有哪些接口、重要程度如何、流动什么样的数据,及时了解API接口的新增、变更、失活等情况并进行必要性和安全性评估。并能识别暴露API接口或其他敏感数据的API ,形成数据暴露面清单,并对暴露面进行分级,方便企业对API数据暴露面进行安全管理,有效缩减攻击面和数据暴露面。
敏感数据接口识别,实现敏感数据精准防护
根据企业和行业相关规定,对数据接口中的敏感数据进行识别,对传输敏感数据的接口进行重点关注。通过分析流量梳理数据接口资产的同时,会对流量中流动的敏感数据资产进行识别和提取,如:个人信息数据识别、个人敏感信息数据识别、流动数据分类分级。以管理视角重点突出流动涉敏和非涉敏数据资产访问情况、涉敏数据资产分布在哪些应用系统和接口情况、涉敏数据资产流转分布情况、数据资产整体的涉及的安全风险情况,对外的暴露面及存在的安全风险情况,让安全运营者和管理者能够看清涉敏资产的需要重点关注的以及重点处置的情况提供管理抓手工具。
及时发现数据流动风险,宏观掌握数据流动态势
能够对接口生命周期各环节进行有效的监测,可以实时发现API接口鉴权失效、敏感信息展示不当、过量数据暴露风险、第三方通过API违规留存数据等风险问题,及时采取处置措施,保护日常数据处理活动的安全、合规、有效。并提供安全风险以风险规则和告警主体2个视角的风险统计,展示企业普世性安全风险弱点,为企业安全建设工作提供数字化运营依据。
安全合规自查
通过API资产生命周期管理避免在监管机构(银监、网监等机构)安全检查时发现未知的API接口及其它安全问题,免遭通告批评或者罚款。
Copyright © 重庆数达信息安全技术有限公司 渝ICP备2022011801号-1 技术支持:Wanhu