AI+安全
数据安全
数据基础设施
态势感知
云安全
基础安全
终端安全
商用密码
软件供应链安全
网络空间靶场
工业互联网安全
物联网安全
安全托管服务
运营管理服务
政府
GOVERNMENT
杭州市某区及绍兴市某县大数据局:区县级政务外网数据安全案例分享
|项目背景
杭州某区政数局合作厂商多,人员杂,管控体系还未完善,出事无法追责。
广州白云区数据局由于历史原因,杀毒软件、数据管理软件等防护能力相互不兼容,安全防护建设与业务产生严重冲突。杭州钱塘大数据由于行政划分,导致新老数据交接存在严重敏感数据泄露风险; 南通海门区大数据局终端环境复杂,是信创大批替换的关键阶段,信创防护是重点。
|客户需求
(1)人员身份及权限管理
需要对开发、运维人员的访问公共数据平台上数据库建立相应的身份认证策略,防止不合法的人进入以及合法的人做非法的事。
(2)终端违规接入带病访问
在运维测试人员通过终端接入业务网络进行操作的过程中,存在安全漏洞、违规外联、异地登录等巨大安全风险,成为政务应用和数据的安全暴露面。
(3)终端数据泄露隐患
将数据保存到本地、通过聊天软件发送数据等情况,更有通过手机等拍照设备获取数据截图的行为时有发生,需要对数据的流向进行管控。
|解决方案
(1)进不来
统一身份:将终端资产身份、网络准入身份、业务访问身份统一管理起来;
网络准入:通过认证则可以正常访问互联网、政务外网以及政务云平台;终端异常或退出时进行断网;
流量控制:访问政务云平台业务在通过身份认证后还要通过零信任网关鉴权;
(2)看不懂、改不了
零信任控制资源访问权限,DLP加密逻辑
认证通过后,对终端上网权限和访问内部业务权限进行细粒度管控。符合安全要求即可访问外网网站和应用。访问业务支撑单点登录,根据行为感知动态变化访问权限
(3)拿不走
非结构化敏感数据发现,分类分级
数据隔离技术
网络隔离技术
敏感数据外发管控
(4)赖不了
当终端发生文件泄漏时,一方面通过文件操作行为、流转行为进行审计,另一方面通过屏幕水印、截屏水印、窗口水印等不同显示方式的水印技术,可以对用户通过拍摄、截屏等方式进行的数据泄露行为形成强力威慑,并可以对泄露事件提供有效线索进行事件调查定位
|项目价值
(1)双重认证+双重准入机制
基于“身份认证+终端认证”的双重认证机制。
基于“网络准入+资源权限准入”的双重准入机制。
(2)化繁为简的终端一体化
整合零信任、数据防泄漏、防病毒、主机审计等安全能力,降低终端的资源占用率,避免终端安全软件不兼容的潜在风险,提高安全事件的解决效率和准确性。
(3)终端数据风险全面感知
通过采集终端安全数据,实现对政务人员、服务外包人员与终端设备的实时监测、异常识别和预测分析,实现告警信息的人与终端、终端与事件、事件处置情况的全流程闭环管理。
