产品介绍:
动态数据脱敏系统(简称:DMS-D)是一款高性能、高扩展性的动态数据屏蔽和脱敏产品,在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他 IT 定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、运维人员、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。
在应用侧,脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据;在运维侧,对敏感数据进行遮蔽处理,既不影响正常运维工作,又能够保证数据安全。
DMS-D 支持 Oracle、SQL Server、MySql、DB2、Informix 等主流数据库,支持 Windows、Linux等多个主流数据库应用平台,提供灵活的脱敏规则配置及脱敏规则扩展。
DMS-D 产品广泛适用于银行、证券、保险等金融机构,在政府部门、涉密单位也有良好适用场景。产品在国家等级保护、分级保护等领域均具有很强的政策合规性,同时能够满足企业在运维侧和应用侧的数据安全需求。
产品特色:
1、敏感数据自动发现(智)
DMS-D通过敏感数据扫描,自动发现源数据里的敏感数据,帮助用户进行梳理源数据业务数据,确保敏感数据能够被发现,不被遗漏。发现敏感数据后同时对敏感数据进行自动分类。
2、脱敏规则自动匹配(准)
DMS-D通过内置的脱敏规则、算法,将自动扫描到的敏感数据进行规则、算法推荐,自动为敏感数据配置相应的规则。对于少数不太明确的复杂数据类型由人工进行复核,大大减少客户的操作难度。
3、丰富的敏感特征库(全)
系统针对电力、公安、社保、工商、税务、银行等多个行业的数据特征进行了详细的分析。有针对性的提供了丰富的敏感数据的识别规则,包含有:电子邮箱、中文地址、公司名称、单位名称、中文姓名、手机号、座机号、日期、税号、统一社会信用代码、身份证、金额、银行卡号、永久居住证、港澳通行证等几十种敏感数据特征。
4、脱敏规则灵活应用(灵)
数据仿真:对数据内容进行仿真,生成格式&语义正确,但已经不是真实的高仿数据。
数据遮蔽:使用特殊字符对数据的遮蔽内容进行替换,破坏数据的可读性。
随机字符串:对数据进行随机变化,使数据不保留原有的语义、格式。
重置固定值:对特定的数据列重置为固定的数字或者是字符串,比如密码列,可以重置为“88888888”。
字典映射:根据特征字典,将符合特征的数据替换为指定的值,比如可以将所有的“张三”统一替换为“李四”。
随机映射:根据特征字典,将符合特征的数据进行随机替换,比如可以将所有的“张三”替换为“李四、王五、赵六”当中的任意一个。
产品功能:
1、数据库自动发现
系统通过对数据库网络流量的采集和数据解析,利用各数据库类型私有通信协议各自特征,实现对不同类型数据库的自动识别,同时还可从协议内容获取到更为精确的数据库参数,比如数据库版本号、协议版本号、通信端口等信息。
2、敏感数据动态脱敏
动态数据脱敏通过灵活应用脱敏规则,脱敏规则包含了敏感数据特征以及对于这类数据的脱敏算法。当应用程序、维护、开发工具请求通过动态数据脱敏时,系统实时筛选请求SQL语句,依据数据库用户名、IP、客户端工具类型、访问时间,甚至业务用户身份等多重身份特征进行访问控制。
3、访问权限精细控制
动态数据脱敏对于数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括:用户、终端、对象、时间等元素。在控制操作中增加了Update Nowhere、delete Nowhere等高危操作;控制规则中增加返回行数和影响行数控制,从而避免大规模数据泄露和篡改。
4、风险行为操作审计
系统详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
5、高危入侵检测阻断
动态数据脱敏面对来自于外部的入侵行为,提供防SQL注入禁止和数据库虚拟补丁包功能;通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。通过对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断。
6、系统高可用设计保障
动态数据脱敏作为网络串接设备,对系统处理性能和可靠性有极高的要求,本产品采用高可靠性设计,支持多种高可靠性技术,包括网络bypass和双机热备等,充分保障系统运行稳定可靠,对客户现网和业务零影响。
产品价值:
1、满足业务需求
亿赛通动态数据脱敏系统针对每种敏感数据类型均提供了高度仿真的脱敏规则,保证脱敏后的数据不可逆、保持原有特征、语义,满足各类开发测试、大数据分析对数据真实性的需要。在避免敏感数据外泄的前提下,保证了各类业务的正常推进。
2、保护隐私数据
亿赛通动态数据脱敏系统内置了丰富的敏感数据发现规则,通过简单而灵活的配置即可对敏感数据进行扫描、脱敏。而且能够提供通用、定制要求的脱敏规则,在不需要投入更多的人力物力的基础上快速部署实施。
3、满足合规需求
通过使用亿赛通动态数据脱敏系统,可以有效防止企业内部的敏感数据随意导出,防止在敏感数据在未经处理的情况下从开放的环境中被复制、流出、泄露等。提高企业的敏感数据防护能力,提升企业整体的安全等级,满足合规性要求。
典型部署:
1、物理串联
这种部署模式是将动态脱敏系统串接在应用服务器与数据库之间,由于动态脱敏系统能在OSI二层上工作,不需要IP地址,对应用服务器与数据库服务器来说,都像原来一样访问各自的真实IP地址,动态脱敏系统通过协议解析分析出流量中的SQL语句来实现脱敏。部署网络拓扑如下图所示:
2、逻辑串联
动态脱敏系统常见的一种部署模式,逻辑上是旁路,物理上是串行的方式。原本应用系统与数据库建立连接,为了实现数据脱敏处理,应用系统的SQL数据连接请求转发到脱敏代理系统,由动态脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过动态脱敏系统后由脱敏系统返回给应用服务器。部署网络拓扑如下图所示:
