加密软件_文件加密_文档加密_云办公软件-sesoffice企业安全领导者

15928854043

大数据终端安全解决方案 (基于AI的零信任无边界终端访问控制系统ZTAC)


一、大数据安全现状

      随着互联网络的发展,大数据越发成为我国社会与经济发展的重要因素,国家层面已将大数据的发展上升到战略高度,大数据的私密数据 泄露和敏感信息窃取等信息安全提出了更大的挑战。由于大数据往往是开放性网络环境,终端用户非常多,且受众类型复杂,极易受黑客木马攻击。大数据所存储的数据非常巨大,一旦黑客攻击成功,往往造成极其严重的安全事件;病毒木马对数据的破坏,也将是灾难性的。大数据安全仍继承传统数据安全保密性、完整性和可用性三个特性,必须保证服务端、传输通讯和终端三个环节上形成安全闭环。大数据海量、多源、异构、动态的特征导致大数据系统存储结构复杂、开放性、分布式计算和高效精准的服务,这些特殊需求传统安全措施解决不了。

二、大数据安全的主要问题是终端信息泄漏

      纵观当前各种大数据安全解决方案,服务端和传输通讯上的安全措施比较到位,而大数据的终端普遍存在信息泄露风险,没有真正形成安全闭环。终端信息泄漏主要表现在:

1617093679850604.png

1、大数据平台的信息泄露风险在对大数据进行数据采集和信息挖掘的时候,要注重用户隐私数据的安全问题,在不泄露用户隐私数据的前提下进行数据挖掘。需要考虑的是在分布计算的信息传输和数据交换时保证各个存储点内的用户隐私数据不被非法泄露和使用是当前大数据背景下信息安全的主要问题。

2、个人隐私安全问题。在现有隐私保护法规不健全、隐私保护技术不完善的条件下,互联网上的个人隐私泄露失去管控,微信、微博、QQ等社交软件掌握着用户的社会关系,监控系统记录着人们的聊天、上网、出行记录,网上支付、购物网站记录着人们的消费行为。但在大数据传输时代,人们面临的威胁不仅限于个人隐私泄露,还在于基于大数据传输对人的状态和行为的预测。近年来,国内多省社保系统个人信息泄露、12306账号信息泄露等大数据传输安全事件表明,大数据传输未被妥善处理会对用户隐私造成极大的侵害。因此,在大数据传输环境下,如何管理好数据,在保证数据使用效益的同时保护个人隐私,是大数据传输时代面临的巨大挑战之一。

3、跨境数据流动。在现在这个时代,数据的流动很重要。全球性购物促销活动多个国家都参与其中,数据的跨境流动是大数据的一个特殊属性。在法律制度、数据服务外包、打击网络犯罪方面保护跨境数据的安全是很重要的。

4、外部非授权人员对信息系统进行恶意入侵,非法访问隐私数据;数据具有易复制性,发生数据安全事件后,无法进行有效的追溯和审计;大数据有流动、共享的需求,大量数据的汇聚加大了数据泄露的风险。

5、应用访问控制愈加复杂。在数据库时代应用访问控制通过数据库的访问机制解决。每一个用户都要注册,注册完才能访问到数据库。但是到了大数据时代,存在大量未知的用户和大量未知的数据,有很多的用户不知道他的身份,虽然他注册了也不知道他是谁,所以预先设置角色和预先设置角色的权限都做不到。

三、大数据终端安全解决方案

    针对当前大数据安全解决方案存在的主要问题是终端信息泄漏,没有形成安全闭环,因此需要加强终端对大数据的安全访问控制。我们采用基于AI的零信任无边界大数据终端安全访问控制系统(ZTAC)来达到目标。

1、将AI 用于网络安全

      随着网络攻击的数量和复杂性不断增加,人工智能(AI)提早知道威胁,快速做出响应。通过人工智能持续学习、自我进化能力实现无特征检测,真正洞察威胁本质,能够更有效的鉴定未知病毒。利用深度学习训练数千维度的算法模型,多维度的检测技术,应用高检出率和低误报率的算法模型,并使用线上海量大数据的运营分析,用特征训练不断完善算法。与此同时,辅以信誉库加上行为分析、基因特征等技术,构建完善的防御体系,全面预防、有效检测。

2、零信任无边界终端访问控制系统

      零信任无边界终端访问控制系统(Zero Trust Access Control system,ZTAC)依赖可信终端、可信身份、可信应用三大核心能力,实现终端在任意网络环境中安全、稳定、高效地访问大数据资源。

(1)何谓“零信任”——内外兼防

      将信息安全的边界“终端设备”延伸至终端设备的使用者“人”,实现了对“人”的信息使用全过程的安全防护,解决了一个世界性技术难题——信息使用者“人”的安全性问题。信息安全是一个多层次的全方位的立体防御的系统工程,包括法规制度、管理教育、环境安全、实体安全、网络安全、终端安全、系统安全、应用安全和数据安全等。在以往,信息安全的重点是防外不防内,管物不管人;重在防外部入侵,疏于防内部失泄密;重在硬件设施的安全防护,疏于信息使用过程的安全防护。

       然而“人”恰恰是最不可控的因素,一切基于“默认内部人员皆为好人”的设计路线都是不安全的。据统计,大部分泄密事件是内部泄密,即所谓“家贼难防”“堡垒最容易在内部攻破”。世界上最难防的莫过于“人”,而ZTAC不仅防外部黑客木马窃密和病毒破坏,更是防内部人窃密,达到“内外兼防”的效果。

(2)何谓“无边界”——完全开放环境

      在信息安全解决方案中,为了达到信息安全的目标,往往采用“封堵”和“隔离”的方法,限制了计算机的功能,造成用户使用不方便,影响工作效率。ZTAC不限定使用何种终端设备,不设定网络边界,采用“疏导”的技术路线,在完全开放环境里,构建一个全封闭的安全容器,在安全容器里登录大数据服务器,对大数据资源进行采集、挖掘、提取和使用,而数据不会被泄漏到安全容器外面。

终端安全.png

(3)何谓“安全容器”

      安全容器是一个隔离的全封闭的环境,包括存储隔离、通讯隔离、应用隔离、访问隔离、操作隔离、端口隔离、外设隔离、网络隔离,同时又可以特许访问涉密信息系统服务器和数据库。其特点:

①强制集中存储:数据强制集中存储在(云)服务器,数据只进不出,本地不留数据,文件未经许可无法出去。

    ②内外兼防——既防外部黑客木马窃密,又防内部人员无意泄密或有意窃密;既能防范病毒破坏,又能防范勒索软件入侵。

③全程防护——对文件全生命周期进行全过程保护。从文件创建、编辑、保存、传输、流转、拷贝、外发、归档、销毁的每一个环节都进行防护,达到“文件不落地、本地不留痕”的安全防护效果。

(4)终端安全管理

      通过安全管控、合规准入、威胁感知、数据防泄漏等安全能力,全方位保护终端对大数据资源的安全访问和使用。

(5)可信身份验证

      在对用户授予企业应用的访问权限之前,提供包括企业微信扫码、Token 双因子认证在内的多种身份验证方式,验证所有用户的身份,以防止网络钓鱼和其他访问威胁。 

(6)可信设备安全

      在设备接入内网之前以及接入运行后,通过终端安全管理模块,持续检查设备安全状态,限制任何不符合安全要求的设备对内网的访问。

 (7)可信应用访问

     根据特定用户/用户组的职能以及需求授予访问权限,确保用户在接入内网后只能访问到权限内的应用和数据,实行最小权限原则,更好地保护敏感生产环境的访问安全。

(8)高级威胁检测与告警

     透视全网终端安全态势,秒级发现入侵隐患,云端联动最新威胁情报,对于高级威胁事件即时产生告警、快速响应并极速处置收敛风险。

 (9)多维度狙击信息泄露

     从外设、文件、存储等多维度多层面保护大数据资产,对终端用户的泄密行为进行记录、告警、阻断,并对终端用户行为进行审计,提高用户的保密意识。


侧栏导航