数据访问安全层 DASL(Data Access Security Layer)是位于访问数据的工具、应用与数据源之间的一层安全技术架构,用于实现数据源中敏感数据的访问控制和交付控制,旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。
DASL 提供的数据安全基础能力包括但不限于:敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据透明加密、数据安全审计、数据风险分析等。根据具体的业务场景和保护需求,通过对数据安全基础能力的灵活编排运用,保护敏感数据存储和使用的安全性与合规性,同时提高了敏感数据使用的可追溯性和可审计性。
为多角色人员提供统一协作的工作台,构造统一数据模型支撑细粒度的数据安全运营。
实时呈现受保护数据源的数据结构和安全分类分级结果,为数据保护措施提供必要依据。
以统一的策略模型提供访问控制/动态脱敏/权限管控/透明加密/安全审计等保护能力。
旁路模式采集数据访问流量,面向仅对数据访问行为实施审计和监督的场景可快速上线。
在应用侧捕获数据访问相关的上下文信息,为数据安全风险的监督和保护提供丰富依据。
主动发现分散异构的数据资产。基于主被动双引擎的全息识别技术,实时构建数据保护目录,自适应动态识别敏感数据类型。依据数据安全分类分级标准实施自动标注,结合人工稽核修正,形成结果清单。实时可视化呈现多维(数据源-数据位置-敏感数据类型-数量-业务-属主-消费-···)、模型可按需定义的敏感数据地图。
数据安全分类分级
敏感数据清单
敏感数据地图
基于用户认证代理技术,以原点用户映射真实数据访问主体,代替数据源真实账号口令, 缩窄数据源真实口令的暴露面,降低泄露风险。结合访问账号的主体属性,账号活动的权限、行为、环境、时间,数据的业务和安全属性等维度作为交叉结合观测指标,提升事前防范、事中监督和事后追溯的精准性和有效性。
用户代理
身份鉴别
最小权限
细粒度管控
依托数据访问策略模型,可即时扩展数据库防火墙类的访问控制(ACL)策略和交互式数据访问授权策略,支持策略级编排。提供流程授权的策略机制,保障业务连续性,包括被动式审批授权、主动式预授权、主动式申请预授权等。基于数据门户解耦管理者和使用者的工作视图,保障凭据的安全性和业务的高效协同。
数据库防火墙
数据访问控制
数据库运维安全管控
依托全息识别技术、认证代理技术和应用情景探针技术,面向数据的运维/分析/开发、数据服务和业务应用场景,提供免应用业务改造的数据交付保护策略,针对不同业务场景、数据敏感度、API访问路径等条件,实施数据动态脱敏、行级数据权限、数据使用量限制等保护动作,根据内外部监管变化即时编排响应。
动态数据脱敏
数据权限管控
数据库透明加密
全面记录数据访问路径和敏感数据上下文信息,动态构建由业务用户、业务应用、API路径、原点用户、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的流转轨迹,同时可呈现位置、时间、次数等关联信息。基于链路节点和上下文信息自定义敏感数据访问的监督看板,提升事中监督和事后溯源效能。
全链路追踪
数据库安全审计
API敏感数据审计保护
全方位服务化uDSP的安全能力投资。将uDSP功能性能参数,转化为安全保障水平参数。提高项目建设投资受益,显性化项目建设价值。通过指标监测与告警监测,调度常态化运营事务与突发性响应事件的安全保障工作开展。数据安全运营服务提供完善的安全保障水平与团队建设支持,涵盖巡检、应急响应、实战培训与演练等。
安全治理
风险监测
合规保障
价值呈现
-从数据技术架构上实现业务应用和数据安全措施的解耦
-为业务部门和安全部门从管理职责上实现解耦奠定了基础
-提供从敏感数据发现、识别、保护、监督到治理的一体化数据安全能力
-场景式编排数据保护策略,实现数据安全能力组件的协同
-天然具备自动化部署/运维/伸缩/恢复等高性能、高可用特性
-天然兼容云基础设施、云原生数据源和业务应用
-按需接入数据源实施保护,实现弹性成本支出
-产品配套数据安全运营服务,保障产品价值的持续输出
原点DAC产品组件分布式部署在多个公有云、行业云上,提供共享SaaS服务接入点,您在公有云上的业务和数据源通过简单地配置,就可以就近使用这些服务接入点,便捷的享受数据安全服务。
对于大型企业本地数据中心的私有云场景,原点安全也支持将一体化数据安全平台的全部组件部署到您的本地环境中。
如果您的数据源部署公有云/行业云上的私有VPC网络内部,或者部署在企业本地数据中心的私有云上,原点支持将DAC实例部署进您的私有VPC或本地私有云,安全管控中心仍采用SaaS模型,以节省您的IT和维护成本。
