隐私数据治理

江南科友—您的信息安全专家

你的数据安全吗？

数据是信息时代最大的资产，可视为21世纪的石油，用好数据不仅可以提高企业自己的产品和服务，还有可观的经济效益。但若是没有守好数据，那么很有可能成为下一个负面信息的主角，上半年Facebook的数据泄露已是人尽皆知，我们一起来回顾层出不穷的数据泄露事件。

数据泄露层出不穷

1

12306：2014年12月泄露数据达131653 条，包括用户账号、明文密码、身份证和邮箱等多种信息，共约14M数据。

2

UBER：2016年10月，黑客攻击事件，导致全球5000万名Uber乘客的姓名、电邮地址和手机号码泄露。

3

Yahoo：2017年10月公布，在一段时间内，由于黑客攻击，造成30亿用户信息泄露。

4

A站：2018年6月13日，弹幕视频网A站（AcFun）发布公布表示，网站受到黑客攻击，近千万条用户数据外泄。

N

……

数据泄露每天都在发生……

为什么没防住？

我们不禁会发问，已采取的安全防护措施如边界防护解决方案、DLP、数据库加密等等，但重要数据失控、敏感数据泄露怎么还会发生呢？

原因是数据在使用过程中无处不在，而数据的生命周期包括“产生、传输、处理、存储、访问、展现”。任意环节存在的一丝风险，黑客、DBA、越权访问者都有可能通过若干种手段把你的数据拿走。

防护方案分析

这是一个互联，且不断保持“在线”的社会，用户不共享自己的数据几乎是不可能的事情，提前设置好边界、做好规则，将是企业发展中最重要的一步。

在部署数据防护的方案时，通常有下面几种解决方法：

1.基于网络和传输的控制，主要解决数据在网络中的边界防护。如数据防泄露（DLP）、内网管控器等；

2.基于数据库协议的方法，解决数据存储安全性问题。如数据库网关、数据库加密插件等；

3.基于应用层主动加密的方法，解决数据生命周期的安全性。如加密机解决方案等；

当数据加密处理在堆栈的更高层次实现时，安全性会增加，但部署将更加复杂。

技术方案对比：

江南科友基于应用层防护解决方案

江南科友隐私数据治理平台（PDGP）与业务系统紧密集成， 从“让数据的权属回归应用”为出发点，脱离数据库系统或者数据库管理员的权限控制。在数据生命周期的各个环节，都建立与之匹配的防护措施；另外，通过大数据分析，对隐私数据处理的过程进行监控和分析，来不断完善隐私数据防护体系。

01

隐私数据治理平台（PDGP）部件组成

Ø处理策略及配置管理模块

策略及配置管理模块是PDGP的核心组件。提供以集中的方式管理策略和密钥的功能。包括数据的处理策略、展现策略、密钥管理策略，以及数据脱机场景下导入导出的处理策略配置。

Ø加密机（HSM）

加密机是隐私数据治理平台（PDGP）加解密运算的支撑，符合国家密码局相关要求的加密设备。

Ø函数库文件

隐私数据治理平中（PDGP）提供一个开放的函数库。函数库通过安全通道与PDGP通讯。

02

安全模型—职责分离

职责分离是一种可靠的安全方法来降低数据泄露的风险。通过这种方法，企业可以限制任何一个管理员所拥有的权限，并帮助防止任何个体进行数据窃取、破坏密钥或执行其它恶意活动。通过该方案，角色可被分为以下三组：

ØPDGP管理员

Ø数据库管理员（DBAs）

Ø应用程序开发者

03

数据加密及处理方法

隐私数据治理平台（PDGP）通过与加密机（HSM）的连接具备硬加密能力。支持常用的3DES/AES/SM4/RSA/SM2等算法以及支持模糊查询的算法（保留格式和长度）。

考虑到不同的数据形态，不同的应用场景，以及对数据的可用性、数据关联关系、业务规则关系、数据分布、易用性和可定性的要求，提供多种数据处理规则，包括替换、重排、截断、掩码、偏移取整、标记化等。

04

特点

1. 数据的安全性完全由应用控制，屏蔽传统数据库数据泄露的风险；

2. 提供数据产生、传输、处理、存储、访问、展现各个环节的保护；

3. 结合丰富的策略模板，实现不同数据类型个性化的处理策略；

4. 支持数据型和文件型的原始数据处理；

5. 全链路防护，支持 iOS、Android 及主流浏览器；

6 支持国家商用密码算法；

7. 完善的密钥管控体系；

江南科友

应用层加密是最安全的加密方法，因为它在技术栈的顶部运行。隐私数据治理平台（PDGP）通过使用解决方案中的API，企业可以很容易地将应用加密集成到现有的库中。消除了实现内部加密和密钥管理解决方案的复杂性和风险。

江南科友立足于企事业单位的多样化需求，提供的隐私数据治理平台（PDGP）安全解决方案，面对各种已知和未知的威胁，我们能做到守护！

-end-