数据安全

详细讲解

一、数据安全中心(DSC)

数据安全中心(Data Security Center,简称DSC)为客户提供敏感数据自动识别、分级分类、大数据安全审计与数据脱敏等数据安全能力。

产品特点

  • 合规性:满足等保2.0二级"安全审计"与三级"个人信息保护"要求
  • 云原生:依托云原生优势,为云上数据源提供一体化保护
  • 智能化:运用大数据和机器学习能力,智能识别敏感数据
  • 可视化:提供敏感数据识别结果可视化能力

产品功能

  • 免代理一键授权接入:侵入度低,无需登录应用程序
  • 以敏感数据为中心的能力联动:异常行为告警自动关联敏感数据
  • 数据安全态势可视化管理:以资产/用户/事件为中心的审计报表

数据域管理

  • 支持企业管理员基于业务属性、组织架构、数据特征等维度对数据资产进行划分
  • 将具有相同特征的数据资产划分到同一个数据域

数据梳理

  • 敏感数据:客户资料、技术资料、个人信息等高价值数据
  • 支持结构化数据、非结构化数据和大数据产品
  • 内置超过200种文件类型、40+种敏感数据类型

安全审计

  • 原生日志采集:自动建立与对应产品的数据采集链路
  • Agent采集:通过部署Agent转发日志给DSC审计服务器

数据脱敏

  • 静态脱敏:使用脱敏算法对敏感数据进行遮盖、加密或替换
  • 动态脱敏:直接脱敏指定数据,每次小于2MB
  • 脱敏算法:哈希、洗牌、数据解密、遮盖、替换、加密、变换

数据泄露检测

  • 异常行为识别:及时告警并一键止血
  • 联动威胁情报:封禁恶意IP访问
  • 联动敏感数据识别:从海量告警中快速锁定高危风险
  • 数据明/暗水印:泄露事件溯源

二、密钥管理服务(KMS)

密钥管理服务KMS(Key Management Service)为应用提供符合国密要求的密钥服务及极简应用加解密服务。

功能组件

组件 说明
密钥服务 密钥的全托管和保护,支撑云原生接口的极简数据加密和数字签名
凭据管家 凭据托管加密、定期轮转、安全分发、中心化管理
证书管家 高可用、高安全的密钥和证书托管能力,以及签名验签能力
专属KMS 专属于用户的云上私有密钥管理服务

托管密码机

  • 硬件密码机(HSM)是执行密码运算、安全生成和存储密钥的硬件设备
  • 合规:国密检测认证、FIPS认证
  • 安全:硬件保护、密钥版本管理
  • 易运维:按量计费、自动密钥轮转

密钥轮转

  • KMS中的CMK支持多个密钥版本
  • 每一个密钥版本是独立生成的密钥
  • 通过生成新密钥版本实现自动轮转

凭据管家

  • 通用凭据:存储账号口令、访问密钥、OAuth密钥、API Key等
  • 动态RDS凭据:应用程序无需配置静态数据库账号口令
  • 动态RAM凭据:全自动定期轮换AccessKey
  • 动态ECS凭据:托管ECS实例登录凭据

三、加密服务

加密服务基于国家密码局认证的硬件加密机,提供了云上数据加解密服务。

加密机类型

类型 说明
通用服务器密码机 满足GM/T 0030要求,提供国际通用密码服务接口
金融数据密码机 满足GM/T 0045要求,用于金融支付领域
签名验签密码机 满足GM/T 0029要求,提供数字签名、验证签名运算

工作原理

  1. 通过云密码机产生加密密钥
  2. 使用加密密钥对应用数据明文进行加密产生密文
  3. 应用系统把密文数据存储到数据库

背诵版

数据安全中心DSC:敏感数据识别 + 分级分类 + 安全审计 + 数据脱敏

产品特点:合规(等保2.0) + 云原生 + 智能化 + 可视化

数据脱敏类型:静态脱敏 + 动态脱敏

KMS组件:密钥服务 + 凭据管家 + 证书管家 + 专属KMS

加密机类型:通用服务器密码机 + 金融数据密码机 + 签名验签密码机

密钥版本:CMK支持多版本,互不相关,自动轮转

动态凭据:RDS + RAM + ECS

速记版

DSC = 敏感数据识别 + 审计 + 脱敏

KMS = 密钥托管 + 极简加解密

凭据管家 = 托管 + 轮转 + 分发 + 管理

加密服务 = 国密认证 + 加解密 + 密钥管理

三种密码机 = 通用 + 金融 + 签名验签

测试题

选择题

  1. 数据安全中心DSC可以满足等保2.0几级的合规要求?

    • A. 一级
    • B. 二级和三级
    • C. 四级
    • D. 五级

  2. KMS凭据管家不支持哪种动态凭据?

    • A. 动态RDS凭据
    • B. 动态RAM凭据
    • C. 动态ECS凭据
    • D. 动态OSS凭据

  3. 密钥管理服务KMS中,CMK支持多少个密钥版本?

    • A. 1个
    • B. 2个
    • C. 多个
    • D. 不支持版本概念

  4. 以下哪种不是加密服务的云加密机类型?

    • A. 通用服务器密码机
    • B. 金融数据密码机
    • C. 签名验签密码机
    • D. 分布式密码机

  5. 数据安全中心的数据脱敏每次动态脱敏的数据量限制是?

    • A. 小于1MB
    • B. 小于2MB
    • C. 小于5MB
    • D. 小于10MB

判断题

  1. 数据安全中心支持对OSS、RDS、MaxCompute等云产品进行敏感数据识别。
  2. 静态脱敏是将数据脱敏后保存到目标位置,动态脱敏是直接脱敏指定数据。
  3. KMS的同一个CMK下的多个密钥版本在密码学上互不相关。
  4. 加密服务使用符合国家密码管理局要求的密码机,满足监管合规要求。
  5. 数据安全中心的原生日志采集模式存在额外采集费用。

答案

1.B | 2.D | 3.C | 4.D | 5.B
6.√ | 7.√ | 8.√ | 9.√ | 10.√