以“數(shù)據(jù)安全”為主題的安全牛CS6大會，分別在深圳與北京兩地成功舉辦。由于如今大量的數(shù)據(jù)泄露問題層出不窮，企業(yè)對于數(shù)據(jù)保護(hù)也需要從不同平臺（本地以及云端）、不同角度（來自內(nèi)部以及外部的威脅）、不同方式（接入訪問控制以及加密等）進(jìn)行多方位的防御。在這次CS6大會上，安華金和、志翔科技、聯(lián)軟科技、云安寶、天空衛(wèi)士、美創(chuàng)、思維世紀(jì)以及昂楷科技都帶來了自己對于企業(yè)數(shù)據(jù)保護(hù)的解決方案。

一、安華金和：數(shù)據(jù)庫縱深安全防御與治理體系

在安華金和看來，如今的數(shù)據(jù)庫面臨了四大問題：數(shù)據(jù)庫“安全底子”不統(tǒng)一、互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新帶來新風(fēng)險、數(shù)據(jù)去隱私化處理以及數(shù)據(jù)上云后的主管權(quán)問題。另一方面，安華金和強(qiáng)調(diào)：數(shù)據(jù)必須要在共享使用中，才能產(chǎn)生更大的價值。因此，對于數(shù)據(jù)的保護(hù)不應(yīng)該只是靜態(tài)的保護(hù)，而要注重流動數(shù)據(jù)的保護(hù)。而流動數(shù)據(jù)的保護(hù)則面臨了四大問題：數(shù)據(jù)資產(chǎn)與數(shù)據(jù)在哪，有多少？如何去隱私化？如何回溯？主管權(quán)在誰？

對此，安華金和提出了縱深防御的策略，對數(shù)據(jù)庫系統(tǒng)的3方面進(jìn)行4道程序4個過程的防護(hù)。3個方面分別是針對數(shù)據(jù)庫最重要的核心數(shù)據(jù)，然后是接入這些數(shù)據(jù)的訪問路徑，以及整個DBMS系統(tǒng)，進(jìn)行層層防護(hù)。而4道程序，則是以流程為邏輯，做到檢查預(yù)警、主動防御、底線防守以及事后追查。4個過程則是需要從組織建立、能力評估、制度設(shè)計以及治理技術(shù)四個過程對整個數(shù)據(jù)周期進(jìn)行保護(hù)。

在組織上，決策層要能把握整體的數(shù)據(jù)安全方向，控制層要能制定詳細(xì)的體系，最后落實在執(zhí)行層。在確保自己需要保護(hù)的數(shù)據(jù)范圍以及方式之后，要對自身現(xiàn)有的安全能力進(jìn)行評估，對比和目標(biāo)能力的差距，建立安全能力的提升路線。而在制度的建立上，需要基于自身的業(yè)務(wù)進(jìn)行。而最后需要使用治理技術(shù)，完成安全計劃的落地。

安華金和提出，對于事前的預(yù)警要做到威脅的發(fā)現(xiàn)以及對數(shù)據(jù)的梳理。安華金和從隱患來源以及數(shù)據(jù)庫自身的弱點，先找到數(shù)據(jù)庫的潛在攻擊威脅。另外，需要對不同的數(shù)據(jù)有不同的分類，通過對不同的規(guī)范、大數(shù)據(jù)保護(hù)指南、對企業(yè)自身業(yè)務(wù)的敏感性和價值等角度，對數(shù)據(jù)進(jìn)行不同的標(biāo)簽分類，從而對不同類型以及重要度的數(shù)據(jù)，進(jìn)行不同的保護(hù)措施。通過這樣，安華金和幫助用戶更有效、更低成本地對數(shù)據(jù)進(jìn)行事前的保護(hù)以及預(yù)警。

第二道防線的主動防御則有內(nèi)外兩部分組成。對于外部攻擊，安華金和著重針對了如今最廣泛的攻擊類型——SQL注入攻擊進(jìn)行了防御。安華金和通過對SQL或者noSQL注入的特征，對相關(guān)的訪問行為進(jìn)行監(jiān)測和保護(hù)。另外，安華金和采用了虛擬補(bǔ)丁，對整個數(shù)據(jù)庫進(jìn)行漏洞保護(hù)。安華金和同時強(qiáng)調(diào)了來自內(nèi)部的“攻擊”。由于人是操作的最后執(zhí)行者和系統(tǒng)的使用者，大量的問題都是出現(xiàn)在操作者端——無論是誤操作還是有意的攻擊。因此，安華金和對內(nèi)部進(jìn)行數(shù)據(jù)庫操作審批，做到內(nèi)部的數(shù)據(jù)可控。

第三層底線防守，確保在最壞情況下數(shù)據(jù)泄露，但是攻擊者依然無法獲取真實信息。由于企業(yè)對于數(shù)據(jù)很可能會進(jìn)行分析，或者在開發(fā)、測試環(huán)境中進(jìn)行利用，針對數(shù)據(jù)在第三方傳輸、使用中進(jìn)行脫敏處理就成了必要工作。安華金和對這些數(shù)據(jù)進(jìn)行隨機(jī)/部分替換以及掩碼處理，確保數(shù)據(jù)在離開數(shù)據(jù)庫進(jìn)行其他處理時不會泄露。針對在數(shù)據(jù)庫中的數(shù)據(jù)，進(jìn)行國密算法的加密，確保敏感但實效性不高的數(shù)據(jù)安全。

最后，在事件發(fā)生后，企業(yè)要能夠快速響應(yīng)并且在事后進(jìn)行分析追責(zé)。安華金和對整個數(shù)據(jù)庫的運(yùn)行提供審計、追溯以及分析的服務(wù)，確保能在事后通過詳細(xì)的數(shù)據(jù)庫行為日志確定事件源頭、識別定位風(fēng)險、分析業(yè)務(wù)系統(tǒng)中的bug以及故障。

安華金和從數(shù)據(jù)庫的覆蓋層面以及流程兩個角度，全方位、全周期地對數(shù)據(jù)庫進(jìn)行保護(hù)。安華金和已經(jīng)在省級政府、金融機(jī)構(gòu)以及教育部考試中心投入使用，并且有了出色的成果。

二、志翔科技：以數(shù)據(jù)為中心構(gòu)建企業(yè)整體安全體系

由于越來越多的企業(yè)將自己的業(yè)務(wù)、數(shù)據(jù)放到云端，網(wǎng)絡(luò)邊界逐漸模糊化，傳統(tǒng)的安全防護(hù)逐漸無法做到完全的保護(hù)。面對更多信息泄露的潛在場景，企業(yè)需要考慮找到新的解決方案。為此，志翔科技提出了以數(shù)據(jù)為中心的私有云閉環(huán)，開發(fā)了至安盾、至明安全探針以及至察盾的云數(shù)據(jù)安全體系。

至安盾提供了統(tǒng)一數(shù)據(jù)安全管控的平臺。至安盾的特點在于打破了傳統(tǒng)模式中用戶在不同職能的分組情況下分別與不同的硬件以及系統(tǒng)交互的情況，將至安盾置于內(nèi)網(wǎng)，做到所有接入都由至安盾成為統(tǒng)一的入口接入；從邏輯上將人與數(shù)據(jù)隔離，以身份權(quán)限為新邊界，保障安全的同時，使運(yùn)維、開發(fā)和業(yè)務(wù)外包更為容易。另外，用戶交互通過數(shù)據(jù)流的方式確保數(shù)據(jù)不落地，輔以審批審計功能，做到事前、事中、事后的全周期安全措施。至安盾適用于大型機(jī)構(gòu)的分布式安全接入/準(zhǔn)入場景，入金融機(jī)構(gòu)的外包服務(wù)以及大型企業(yè)研發(fā)管控。

至明安全探針在終端以及服務(wù)器全覆蓋，在不影響現(xiàn)有工作方式的情況下，對風(fēng)險進(jìn)行全面管控，對數(shù)據(jù)安全做到可視化管理。至明安全探針適用于金融機(jī)構(gòu)數(shù)據(jù)安全以及大型機(jī)構(gòu)知識產(chǎn)權(quán)的保護(hù)。

而至察盾則通過機(jī)器學(xué)習(xí)，對大量數(shù)據(jù)進(jìn)行分析，從態(tài)勢來察知“全路徑威脅”——對于入侵的不同階段和攻擊類型進(jìn)行識別、阻止和響應(yīng)。志翔科技指出，人擅長的是創(chuàng)造和直覺，而機(jī)器擅長的是處理和計算，需要讓機(jī)器幫助人變得更強(qiáng)大。所以，志翔科技認(rèn)為，需要人發(fā)現(xiàn)問題，而由機(jī)器來解釋解決問題。而至察盾就是分析海量信息，對用戶行為進(jìn)行分析，確保業(yè)務(wù)風(fēng)險管理，幫助業(yè)務(wù)運(yùn)營提升。

三、聯(lián)軟科技：輕量化、高效化進(jìn)行數(shù)據(jù)安全建設(shè)

聯(lián)軟科技認(rèn)為，對于數(shù)據(jù)安全保護(hù)的一大問題在于數(shù)據(jù)保護(hù)由于需要保護(hù)的面廣、程序復(fù)雜、管理內(nèi)容較多以及易用性差，使得企業(yè)和個人在數(shù)據(jù)保護(hù)措施的使用當(dāng)中無法完全讓保護(hù)的效果達(dá)到預(yù)期的效果。

聯(lián)軟科技提出要對數(shù)據(jù)安全進(jìn)行一個完善的安全平臺建設(shè)，從不同層面與不同的功能，縱橫雙向地幫助客戶搭建一個數(shù)據(jù)安全平臺。聯(lián)軟科技提到，對于他們而言，最需要解決的問題就是為用戶提供一個方便的安全平臺。聯(lián)軟科技平臺將安全平臺一體化建設(shè)，從而對用戶而言，只能看到兩個通道：安全接入通道以及安全共享通道。通過確保唯一通道的安全，確保數(shù)據(jù)的接入安全，而對用戶而言，可以免去繁瑣的安全措施和安全管理的制約，更輕松地在自己的權(quán)限里使用數(shù)據(jù)。

聯(lián)軟科技的產(chǎn)品經(jīng)理劉現(xiàn)磊表示：聯(lián)軟科技運(yùn)用多種技術(shù)解決問題的同時，也以用戶體驗為主，讓用戶在安全使用數(shù)據(jù)的同時感覺不到“安全”。

聯(lián)軟科技是中國最早、行業(yè)應(yīng)用最廣的網(wǎng)絡(luò)準(zhǔn)入廠商，擁有自主可控、業(yè)界領(lǐng)先的安全管控平臺，服務(wù)于中國最頂尖的六大交易所9年以上。

四、云安寶：建設(shè)中國特色的CASB

云安寶認(rèn)為，中國的云服務(wù)環(huán)境與國外有一個很大區(qū)別：國內(nèi)的云服務(wù)普遍性還不及國外，同時大量云服務(wù)都在私有云而非公有云上，因此國內(nèi)的CASB服務(wù)不能照搬國外的方式，需要有自己的特色。

云安寶提出了兩大自己的核心技術(shù)：瀏覽器文件透明加密以及加密云應(yīng)用。云安寶實時更新云加密特征庫，保證穩(wěn)定的加密，對敏感數(shù)據(jù)進(jìn)行脫敏加密。同時采用格式保全算法，在加密的過程中依然保證數(shù)據(jù)格式的一致性。云安寶同時使用差分隱私數(shù)據(jù)脫敏，確保攻擊者無法通過差分攻擊來獲取敏感數(shù)據(jù)。

而為了適應(yīng)如今的云辦公需求，云加密應(yīng)用幫助用戶保護(hù)云端應(yīng)用的數(shù)據(jù)安全。云安寶的云加密應(yīng)用已經(jīng)可以快速適配國內(nèi)任意一款云應(yīng)用，包括國內(nèi)主流的郵箱應(yīng)用、網(wǎng)盤應(yīng)用以及SaaS應(yīng)用。

五、天空衛(wèi)士：DLP與內(nèi)部威脅防護(hù)

如今企業(yè)面臨的數(shù)據(jù)威脅之一就是數(shù)據(jù)因各種原因泄露，而威脅來源包括APT攻擊、惡意文件以及——企業(yè)自身員工的工作失誤。而DLP的存在就是監(jiān)控數(shù)據(jù)，防止數(shù)據(jù)因各種原因?qū)е滦孤丁?/p>

天空衛(wèi)士為了簡化風(fēng)險評估的過程，在DLP網(wǎng)絡(luò)監(jiān)測服務(wù)器中只配置關(guān)鍵字、腳本、正則表達(dá)式及權(quán)重字典等技術(shù)；根據(jù)不同的數(shù)據(jù)敏感等級，采用不同的檢測方式。在未來的建設(shè)中，天空衛(wèi)士建議用指紋匹配技術(shù)（通過預(yù)先對原始的敏感數(shù)據(jù)的提取，DLP可以根據(jù)提取的信息，在其他位置精確發(fā)現(xiàn)相同的敏感數(shù)據(jù)，即使在數(shù)據(jù)文件格式變化或者內(nèi)容刪減以后）以及機(jī)器學(xué)習(xí)的檢測技術(shù)。通過在網(wǎng)關(guān)中加入DLP功能，防止員工因失誤受到外部的惡意鏈接攻擊或者內(nèi)部用戶因各種原因?qū)⒚舾袛?shù)據(jù)帶到外部網(wǎng)絡(luò)。同時，天空衛(wèi)士的終端DLP解決方案，防止用戶在終端通過非網(wǎng)絡(luò)方式以及網(wǎng)絡(luò)方式（QQ、藍(lán)牙等）將敏感數(shù)據(jù)復(fù)制轉(zhuǎn)移。

天空衛(wèi)士認(rèn)為，如今的企業(yè)，除了要應(yīng)對外部黑產(chǎn)的攻擊，同樣要重視自身內(nèi)部存在的惡意員工。因此，天空衛(wèi)士推出了內(nèi)部威脅防護(hù)（ITP）解決方案。ITP的核心理念是通過識別和管控企業(yè)內(nèi)部有威脅的人的行為，來降低數(shù)據(jù)泄露和其他風(fēng)險。天空衛(wèi)士的ITP通過對用戶行為的數(shù)據(jù)進(jìn)行采集和分析，使用異常風(fēng)險評分（ARS），以現(xiàn)有威脅數(shù)據(jù)為驅(qū)動的精準(zhǔn)威脅風(fēng)險評分（MRS），專家系統(tǒng)風(fēng)險評分（ERS）進(jìn)行針對性的評估，可以準(zhǔn)確預(yù)測員工的離職傾向/離職泄密風(fēng)險、主動泄密風(fēng)險、異常數(shù)據(jù)傳輸傾向等情況。

ITP的優(yōu)勢在于能更好地平衡誤報與檢出率之間的矛盾，在提高檢出率的同時，減少誤報帶來的問題。另外，ITP可以對加密過的內(nèi)容以及編碼逃脫內(nèi)容進(jìn)行檢測，增強(qiáng)了事件的回溯能力。同時，能對已知風(fēng)險模式進(jìn)行分析，同現(xiàn)有用戶行為進(jìn)行匹配。

天空衛(wèi)士如今有數(shù)十項針對國內(nèi)信息泄露風(fēng)險的獨有技術(shù)，也是國內(nèi)唯一具有軍隊產(chǎn)品銷售資質(zhì)的DLP產(chǎn)品。

六、美創(chuàng)：零信任保護(hù)數(shù)據(jù)

美創(chuàng)的安全解決方案基于零信任中心思想，即企業(yè)不自動信任任何內(nèi)部或者外部的人、事、物。針對內(nèi)部以及外部的情況，美創(chuàng)有分別有內(nèi)控數(shù)據(jù)安全以及“流動數(shù)據(jù)”安全兩套數(shù)據(jù)安全解決方案。

美創(chuàng)認(rèn)為，數(shù)據(jù)安全的第一步，是要將敏感數(shù)據(jù)進(jìn)行分類；確保哪些數(shù)據(jù)是敏感數(shù)據(jù)，將敏感數(shù)據(jù)作為數(shù)據(jù)庫的主要保護(hù)對象。而在數(shù)據(jù)庫的準(zhǔn)入機(jī)制上，美創(chuàng)不僅僅采用了普遍的賬號和密碼機(jī)制，同時加入了應(yīng)用工具、主機(jī)名、IP名、數(shù)字證書等相關(guān)因子，構(gòu)建多因素數(shù)據(jù)庫準(zhǔn)入，對數(shù)據(jù)庫訪問來源進(jìn)行更精準(zhǔn)的控制。

另一方面，在數(shù)據(jù)庫操作過程中，往往會因為誤操作，使得數(shù)據(jù)庫受損，美創(chuàng)針對誤操作的數(shù)據(jù)庫語句進(jìn)行了控制；同時，對批量的SQL語句操作等敏感操作進(jìn)行工單審批，避免誤操作產(chǎn)生的問題。

在流動數(shù)據(jù)方面，除了數(shù)據(jù)脫敏、數(shù)據(jù)防火墻和數(shù)據(jù)庫透明加密的功能，針對業(yè)務(wù)數(shù)據(jù)提供了業(yè)務(wù)安全的功能。美創(chuàng)的解決方案可以利用大數(shù)據(jù)進(jìn)行自學(xué)建模，針對業(yè)務(wù)資產(chǎn)以及業(yè)務(wù)操作的透視，做到基于業(yè)務(wù)的實時監(jiān)測，同時在事后可視化還原，協(xié)助用戶進(jìn)行回溯取證。

而對于從去年起爆發(fā)的勒索病毒，美創(chuàng)也專門設(shè)計了諾亞系統(tǒng)進(jìn)行防護(hù)。用戶可以指定保護(hù)的數(shù)據(jù)庫以及文件類型，對可信任程序進(jìn)行授權(quán)，只允許這些程序?qū)ξ募M(jìn)行修改，防止對數(shù)據(jù)的惡意加密。

七、思維世紀(jì)：四步保護(hù)業(yè)務(wù)數(shù)據(jù)

思維世紀(jì)對于數(shù)據(jù)的防護(hù)可以分為四個方面：識別分級、合規(guī)檢測、違規(guī)監(jiān)測以及追溯防護(hù)。

識別分級對思維世紀(jì)來說也是數(shù)據(jù)保護(hù)的第一步，要全面厘清數(shù)據(jù)資產(chǎn)家底，是數(shù)據(jù)安全管控的要素和必備條件。思維世紀(jì)運(yùn)用敏感數(shù)據(jù)識別模型以及分類分級處理模型，對企業(yè)數(shù)據(jù)進(jìn)行歸類分級，確認(rèn)需要保護(hù)的對象以及保護(hù)的方式。

之后，由思維世紀(jì)的合規(guī)檢測系統(tǒng)對數(shù)據(jù)進(jìn)行脫敏檢測、數(shù)據(jù)安全檢測、數(shù)據(jù)接口檢測、金庫模式安全檢測、大數(shù)據(jù)基線安全監(jiān)測以及大數(shù)據(jù)漏洞安全檢測。通過檢測的方式，對數(shù)據(jù)庫的各個使用場景進(jìn)行全方位的檢測，確保數(shù)據(jù)庫的功能和應(yīng)用上合規(guī)，安全。

思維世紀(jì)的業(yè)務(wù)數(shù)據(jù)安全常態(tài)化監(jiān)測平臺由“業(yè)務(wù)數(shù)據(jù)識別模型”、“業(yè)務(wù)數(shù)據(jù)違規(guī)訪問行為監(jiān)測模型”和“特征策略庫”（簡稱“兩模一庫”）提供技術(shù)支撐，保障平臺對敏感數(shù)據(jù)識別、行為分析與異常告警，對已知與未知的威脅進(jìn)行監(jiān)測。其中，業(yè)務(wù)數(shù)據(jù)識別模型能夠自動發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中含有敏感信息的業(yè)務(wù)，生成唯一的指紋標(biāo)識，并持續(xù)采樣驗證，最終形成精準(zhǔn)的敏感業(yè)務(wù)識別策略，納入實時監(jiān)測模型。做到對不同業(yè)務(wù)場景進(jìn)行監(jiān)測，基于正常的業(yè)務(wù)流程與情況，發(fā)現(xiàn)威脅。

在追溯防護(hù)方面，思維世紀(jì)對數(shù)據(jù)進(jìn)行數(shù)據(jù)血緣標(biāo)簽的處理。思維世紀(jì)表示：任何一個系統(tǒng)，本身既是數(shù)據(jù)的提供者，又是數(shù)據(jù)的接收者。而當(dāng)接收數(shù)據(jù)之后，接收方會根據(jù)自身業(yè)務(wù)發(fā)展需要，對接收的數(shù)據(jù)進(jìn)行再加工處理，產(chǎn)生新的數(shù)據(jù)，然后提供給新的需求者使用，在這個過程中，數(shù)據(jù)發(fā)生了本質(zhì)的變化，因此有必要通過血緣標(biāo)簽的方式將這種變化記錄下來，用以對“游離態(tài)數(shù)據(jù)”的身份進(jìn)行定位和追蹤；從而保證在數(shù)據(jù)生命周期過程中能對數(shù)據(jù)的修訂及使用可觀可控。

思維世紀(jì)的產(chǎn)品已在運(yùn)營商、能源和醫(yī)院有了實際的落地。

八、昂楷科技：人工智能在數(shù)據(jù)庫審計中的應(yīng)用

作為一家長期專注于數(shù)據(jù)庫審計的公司，昂楷科技則將人工智能帶入了數(shù)據(jù)庫審計。

昂楷表示，數(shù)據(jù)庫審計在數(shù)據(jù)庫安全建設(shè)體系中至關(guān)重要。數(shù)據(jù)庫審計不僅是揭示數(shù)據(jù)風(fēng)險的最佳手段，也是改進(jìn)數(shù)據(jù)安全現(xiàn)狀的有效途徑，更是滿足數(shù)據(jù)安全合規(guī)要求的有力武器。審計的目的，是要對整個數(shù)據(jù)周期進(jìn)行保護(hù)，防止以及檢測對數(shù)據(jù)的威脅；同時，審計的存在也能威懾到潛在的攻擊者，讓他們不敢輕舉妄動。

對于現(xiàn)在很多數(shù)據(jù)庫安全產(chǎn)品，存在著難以跟上多變的攻擊方式從而無法應(yīng)對各種新產(chǎn)生的威脅的問題；另一方面，警告的不準(zhǔn)確性會造成誤報影響業(yè)務(wù)、漏報產(chǎn)生泄露的問題。而在加入了機(jī)器學(xué)習(xí)以后，昂楷的數(shù)據(jù)庫審計系統(tǒng)能通過大量的威脅樣本學(xué)習(xí)減少誤報率，提升風(fēng)險識別能力，對未知的威脅也有了防御以及檢測的能力，更完善地對數(shù)據(jù)庫進(jìn)行防御。

另一方面，昂楷將數(shù)據(jù)庫安全的機(jī)器學(xué)習(xí)加入了自己的態(tài)勢感知系統(tǒng)，建立基于復(fù)雜網(wǎng)絡(luò)行為模型與模擬的安全分析與預(yù)測體系，進(jìn)而得出量化的或定性的數(shù)據(jù)庫安全態(tài)勢感知。

近年來的多個重大安全事件幾乎都是基于數(shù)據(jù)的——無論是數(shù)據(jù)泄露，還是對數(shù)據(jù)進(jìn)行刪除破壞的勒索病毒；因此，基于對數(shù)據(jù)的保護(hù)尤為重要。企業(yè)需要在數(shù)據(jù)的各個周期，從各個方面進(jìn)行保護(hù)——不僅僅是面臨來自外部的威脅，同時也有內(nèi)部的惡意員工以及因為各種失誤造成的數(shù)據(jù)受損。在數(shù)字時代里，企業(yè)的業(yè)務(wù)也是由數(shù)據(jù)驅(qū)動的，對數(shù)據(jù)的保護(hù)也是對企業(yè)業(yè)務(wù)發(fā)展的保障。

預(yù)告：CS7將以“移動安全解決方案”為主題，于7月中下旬在北京召開。