數(shù)據(jù)安全作為大數(shù)據(jù)平臺安全保障體系的重要組成部分，在提供業(yè)務便利性的同時，對大數(shù)據(jù)平臺安全保障體系的落實起著重要的作用。數(shù)據(jù)安全解決方案，應立足于數(shù)據(jù)全程的保護，降低數(shù)據(jù)運行過程中的風險，保證數(shù)據(jù)在存儲、傳輸和運行過程中的安全。

某部委大數(shù)據(jù)平臺數(shù)據(jù)安全解決方案，圍繞數(shù)據(jù)的全生命周期安全進行設計和實施，通過建設數(shù)據(jù)資產(chǎn)安全管控系統(tǒng)，對數(shù)據(jù)資產(chǎn)的分布、流動進行態(tài)勢呈現(xiàn)，對數(shù)據(jù)安全風險進行建模分析，對數(shù)據(jù)泄露、濫用、誤用等情況進行追蹤溯源，實現(xiàn)對數(shù)據(jù)安全的設備進行協(xié)同處理。

數(shù)據(jù)安全解決方案目標
大數(shù)據(jù)平臺數(shù)據(jù)安全解決方案的目標是提升在應用層、數(shù)據(jù)資源層、網(wǎng)絡層和基礎平臺層等各個層面上的數(shù)據(jù)安全縱深防御能力，保障數(shù)據(jù)和服務的可靠性、可用性、真實性、有效性和私密性。

通過建設數(shù)據(jù)資產(chǎn)安全管控系統(tǒng)，對數(shù)據(jù)資產(chǎn)的分布、流動進行態(tài)勢呈現(xiàn)，對數(shù)據(jù)安全風險進行建模分析，對數(shù)據(jù)泄露、濫用、誤用等情況進行追蹤溯源，實現(xiàn)對數(shù)據(jù)安全的設備進行協(xié)同處理。

數(shù)據(jù)安全解決方案實施步驟：兩步一平臺。
第一步：數(shù)據(jù)安全管理咨詢與數(shù)據(jù)資產(chǎn)梳理
數(shù)據(jù)安全合規(guī)分析
數(shù)據(jù)安全風險分析
數(shù)據(jù)安全管理制度
數(shù)據(jù)資產(chǎn)梳理
數(shù)據(jù)資產(chǎn)動態(tài)梳理

第二步：數(shù)據(jù)資產(chǎn)安全管控
數(shù)據(jù)授權與訪問控制
數(shù)據(jù)存儲安全
數(shù)據(jù)共享與分發(fā)安全
網(wǎng)絡與終端數(shù)據(jù)防泄漏

一平臺：是指建立數(shù)據(jù)資產(chǎn)安全管控平臺
數(shù)據(jù)安全管控平臺用于集中管理數(shù)據(jù)安全產(chǎn)品，可提供全網(wǎng)數(shù)據(jù)安全產(chǎn)品實時狀況的監(jiān)控、報警、報表信息的集中展現(xiàn)、各系統(tǒng)“一窗式”運維管理、系統(tǒng)的快速定位，以及高安全冗余備用方案。

數(shù)據(jù)安全解決方案中體現(xiàn)的主要能力
1、數(shù)據(jù)資產(chǎn)梳理
數(shù)據(jù)資產(chǎn)梳理，從業(yè)務戰(zhàn)略和風險分析出發(fā)，對數(shù)據(jù)資產(chǎn)進行梳理，進行分類分級，確定數(shù)據(jù)優(yōu)先級后再結合數(shù)據(jù)風險制定安全管理策略，并將其貫徹到數(shù)據(jù)全生命周期。數(shù)據(jù)資產(chǎn)梳理的對象又分為結構化數(shù)據(jù)梳理和非結構化數(shù)據(jù)梳理。

2、數(shù)據(jù)授權與訪問控制
針對結構化政務數(shù)據(jù)使用安全，使用數(shù)據(jù)安全網(wǎng)關進行數(shù)據(jù)級的訪問控制，同時引入數(shù)據(jù)審計系統(tǒng)和數(shù)據(jù)庫運維系統(tǒng)，對于數(shù)據(jù)庫操作進行全程監(jiān)控和告警，同時提供事后現(xiàn)場還原和追溯的能力。

數(shù)據(jù)庫安全網(wǎng)關能夠實現(xiàn)對進出數(shù)據(jù)庫的雙向訪問流量進行高效精準的解析、訪問控制和攻擊特征檢測，根據(jù)系統(tǒng)內置的各種漏洞攻擊特征、策略以及自定義策略，可以實時的對數(shù)據(jù)庫的請求進行精準處理。

數(shù)據(jù)庫審計系統(tǒng)能夠將訪問數(shù)據(jù)庫（包括傳統(tǒng)數(shù)據(jù)庫和大數(shù)據(jù)組件如Hbase，MongoDB，ElasticSearch等）的流量導流或復制到數(shù)據(jù)庫審計系統(tǒng)上，通過對訪問數(shù)據(jù)庫的數(shù)據(jù)包進行解析，對業(yè)界主流數(shù)據(jù)庫進行深度解析與審計分析，可以實現(xiàn)數(shù)據(jù)庫全業(yè)務運行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯。

數(shù)據(jù)庫運維系統(tǒng)能夠實現(xiàn)數(shù)據(jù)庫運維人員通過訪問統(tǒng)一路徑來實現(xiàn)原有分散運維帶來的管理與技術風險。能夠通過數(shù)據(jù)庫運維系統(tǒng)，對周期性的數(shù)據(jù)庫運維操作和突發(fā)性的數(shù)據(jù)庫運維操作都能遵循事先設定好的安全策略。避免越權訪問、誤操作等情況的發(fā)生。

3、數(shù)據(jù)存儲安全
數(shù)據(jù)庫透明加密系統(tǒng)能夠通過加密算法和密鑰將明文轉變?yōu)槊芪模乐姑魑拇鎯σ鸬臄?shù)據(jù)內部泄密、高權限用戶的數(shù)據(jù)竊取，并防止敏感數(shù)據(jù)泄漏等。
（1）滿足數(shù)字資產(chǎn)等級化的安全防護要求，有選擇性的保護數(shù)據(jù)庫內部敏感數(shù)據(jù)的安全性，通過在數(shù)據(jù)庫管理系統(tǒng)的內核中嵌入自主研發(fā)的安全防護系統(tǒng)，通過字段級別的加密來達到對敏感數(shù)據(jù)的防護目的；
（2）敏感數(shù)據(jù)以亂碼的形式存在，保證存儲介質丟失和數(shù)據(jù)庫文件被非法復制的情況下，數(shù)據(jù)的機密性；
（3）通過授權實現(xiàn)訪問控制，非授權用戶（包含DBA）查看到的數(shù)據(jù)為空或者亂碼，從而在一定程度上削弱DBA的權利，降低DBA權限外泄帶來的危險；

4、數(shù)據(jù)共享與分發(fā)安全
通過制定脫敏規(guī)則及策略進行數(shù)據(jù)的變形，實現(xiàn)數(shù)據(jù)庫中敏感信息的可靠保護，進而滿足生產(chǎn)數(shù)據(jù)面向測試、開發(fā)、培訓和數(shù)據(jù)共享場景的數(shù)據(jù)安全需求。

能夠支持靜態(tài)脫敏和動態(tài)脫敏兩種模式，支持替換、截斷、屏蔽、隨機、加密、隱藏等脫敏算法和策略，支持刪除、編輯等高危操作禁止，限制返回行數(shù)等動態(tài)訪問控制策略。能夠解決大多數(shù)用戶針對合規(guī)性滿足以及敏感數(shù)據(jù)泄露防護等場景的業(yè)務需求。

5、網(wǎng)絡與終端數(shù)據(jù)防泄漏
網(wǎng)絡數(shù)據(jù)防泄漏能夠通過正則表達式、數(shù)據(jù)標識符、數(shù)據(jù)指紋、機器學習等 方式自動識別、發(fā)現(xiàn)外泄敏感數(shù)據(jù)。網(wǎng)絡數(shù)據(jù)防泄露網(wǎng)關主要用于旁路安裝在網(wǎng)絡出口處，通過監(jiān)聽網(wǎng)絡數(shù)據(jù)，識別數(shù)據(jù)分類并形成風險事件上傳至安全運營管理中心。

終端數(shù)據(jù)泄露系統(tǒng)主要用于安裝在員工筆記本或臺式機上，負責掃面發(fā)現(xiàn)這些終端上敏感數(shù)據(jù)，并監(jiān)視這些終端上敏感數(shù)據(jù)的操作使用，對于高風險數(shù)據(jù)的復制、USB拷貝、打印刻錄等行為進行風險提醒和阻斷保護。

6、數(shù)據(jù)資產(chǎn)安全管控平臺
數(shù)據(jù)資產(chǎn)安全管控平臺用于集中管理數(shù)據(jù)安全產(chǎn)品，可提供全網(wǎng)數(shù)據(jù)安全產(chǎn)品實時狀況的監(jiān)控、報警、報表信息的集中展現(xiàn)、各系統(tǒng)“一窗式”運維管理、系統(tǒng)的快速定位，以及高安全冗余備用方案。為信息部門領導提供及時、全面、準確的全網(wǎng)數(shù)據(jù)安全管理的量化分析和數(shù)據(jù)安全的決策依據(jù)。