| 产品分类 | 通用软件 | 行业分类 | 信息传输、软件和信息技术服务业 |
|---|---|---|---|
| 产品服务商 | 上海观安信息技术股份有限公司 | 上架时间 | 2022-11-08 14:26:35 |
| 所属领域 | 其他安全生产科技创新公共安全 | ||
| 产品简介 | 观安全链路数据流转监测与分析系统(以下简称“EFM”),基于旁路全链路流量模式下,自动识别出应用、数据库等业务资产产生的敏感流量,并对资产主体产生的敏感流量进行业务审计、风险监测、溯源分析等,从而建立一站式数据安全监测体系,帮助用户完成“事前事中事后”三个阶段的日常数据安全运营工作,达到数据安全治理目的。 EFM系统作为单系统而言,可以作为全链路全流量的审计类型系统,对网络传输流量的抓取、解析、识别,将流量中敏感数据进行提取,同时根据敏感数据识别规则或敏感场景识别策略,对传输过程中包含的敏感内容或敏感文件进行区分和梳理。对流量中存在的风险行为,进行预防性检测和定位。进而在发生泄漏等安全事故时,进行数据线索溯源。 | ||
| 应用场景 | 一体化数据安全运营、数据流通/流转监测、应用接口安全监测与审计、数据泄漏监测、合规 | ||
| 产品优势介绍 | 1、全链路协议双向解析:系统支持应用协议类型和数据库协议类型,并支持请求和响应体的双向解析能力。 (1)应用协议类型支持:HTTP、FTP、SMTP、IMAP4、POP3、Telnet等。 (2) 数据协议类型支持: Oracle、SqlServer、Sysbase、DB2、Teradata、MySql、PostgreSQL、达梦(DM)、人大金仓(Kingbase)、神州通用(Oscar)、IFX、CacheDB、南大通用(Gbase)、Hbase、MogoDB、Redis、Es、Hana等。 2、流量分层分流采集提炼 在网络拓扑上支持流量定向、定时采集; 在应用层协议流量采集过程中,支持按照应用类协议类型和数据库协议类型进行流量分层处理; 在具体流量识别解析过程中,对流量进行无效流量、资产非涉敏流量、资产涉敏流量等进行进一步分层处理,自动过滤无价值流量,保留业务所需的资产敏感流量; 在资产敏感流量中,根据企业业务和安全治理需要,进一步细分为对外流量、跨境跨省流量、异常流量、风险流量、文件下载流量等多维度多层次流量,为数据安全治理提供精耕细作的基础。 3、荧光标记流转测绘技术 EFM利用荧光标记测绘技术,支持对涉敏流量的流向和流转路径进行自动测绘,并以可视化形式进行展示。帮助安全人员快速掌握敏感数据动态流转情况,厘清不同业务应用接口和数据库的敏感数据分布。为敏感资产和流量的管理及事后溯源,提供了强大的支撑和依据。 4、基于项目沉淀的开箱即用能力 EFM根据公司多年积累的项目经验,沉淀出诸多贴近企业业务使用情况的内置能力,帮助安全部门人员正在做到开箱即用,降低运营成本。开箱即用能力包括: (1)内置接口类型识别能力,可识别对外接口、文件下载接口、登录接口、跨境访问接口等接口类型; (2)内置应用账号提取能力,可对部分应用账号进行自动识别和提取,自动获取应用账号信息; (3)内置杂质流量过滤能力,自动对杂质流量、服务之间调用流量等无效无价值流量进行过滤; (4)内置流量分类标识能力,通过内置审计策略,可对涉敏流量进行自动分类和打标,帮助用户快速获取所关注的流量信息; (5)内置近40种常见敏感数据类型,常见敏感类型无需额外配置,系统初始化后便自动进行识别; (6)内置风险因子识别能力,内置了非法时间访问、非法地点访问、涉敏过频访问、涉敏过量访问等十多种 | ||
| 通用软件介绍 | 1.全链路涉敏概览 全链路涉敏概览,主要为日常运营的应用场景。可供用户关注日常所需监测的涉敏资产(如应用、接口、账号)、流量数据、异常风险访问情况、访问基线情况等。具体有以下特点: (1)动态监测:支持实时或指定自动数据更新;其中对外接口等高敏高频业务产生的涉敏流量流出情况,采用动态实时监测,不随指定时间更新而更新,确保高敏高频数据的监测时效性。 (2)定量监测:对已监测的资产及资产下各类涉敏数据量、活跃应用、活跃接口、活跃账号/IP、活跃数据库及活跃的文件、邮件服务资产等,采用同比统计定量检测,可以一目了然的观测到活跃资产的同比增加、减少情况。 (3)热度监测:用户可在全链路涉敏概览中,以涉敏资产访问热度的视角,来第一时间了解到应用、接口、账号、数据库等的访问热度情况,根据高热度访问的资产或账号,进一步查看对应的资产涉敏访问情况和异常风险访问情况。 2.业务资产被动发现与管理 本系统采用旁路镜像流量采集的方式,以全链路流量出发,对接入流量的数据库协议和应用协议类型的流量进行了实时动态的资产发现及梳理工作。确保对动态流量资产的梳理,做到无死角精确提取,从而提供一站式的数据安全监测分析能力。全链路流量下业务资产识别发现能力具体包括: (1)全链路协议类型识别解析: 应用协议类型:HTTP、SMTP、POP3、IMAP4、FTP等; 传统数据库协议类型:Oracle、MySQL、Redis、SQLServer、DB2、Postgresql等; 国产数据库协议类型:Oscar、Hana、CacheDB、DM等; 大数据库协议类型:Hive、Hbase、Gbase、Sybase等; 解析的内容包括Request Body与Response Body,并通过规则引擎,将所需的应用域名/Hosts、API/URL、访问账号、数据库及库表字段等资产信息,进行结构化提取,并形成固定的资产格式进行沉淀。 (2)业务资产发现与管理: 支持基于业务系统和业务账号的业务应用资产关联,从业务系统和业务用户视角,自动过滤掉外网等杂质应用,发现并梳理出对应的包含涉敏新的应用服务、邮件服务、文件服务、数据库服务;以资产列表清单的形式,梳理出各个主从资产,通过对业务系统和业务账号的关联,形成业务视角下的流动资产地图。 (3)自动生成资产画像: 在资产清单形成后,为了帮助用户进一步了解资产内容,系统会自动对应用接口、应用账号、数据库账号生成画像信息,描述应用接口、应用账号和数据库账号的基础信息、基线异常信息、时间和资产访问集中度信息、访问的时间轨迹信息和流转轨迹信息。 (4)应用账号自动提取: 系统可以通过账号提取引擎,实现自动查找应用账号token所在位置,进而根据token来查找对应的访问账号信息,并进行识别和提取。系统内置自动提取规则的同时,也支持手动配置应用账号提取规则,根据不同应用接口的设计情形,灵活识别和提取应用账号信息。 (5)接口类型自动识别: 在现实业务中,同一应用下,根据业务使用情况,存在各种各样的接口类型。常见的接口类型包括登录接口、服务接口、文件下载接口、外发接口等。EFM系统根据各个业务系统的现实业务情况,提炼出了通用的接口类型,并内置到系统当中,形成自动识别不同接口类型的能力。 (6)资产热度分布: 针对应用、应用接口、应用账号、数据库、库/表、数据库账号等,会按照资产访问热度,来统计其高敏高热资产的分布状况。帮助用户第一时间了解涉敏资产的重点访问对象,从而开展日常数据安全运营工作。 3. 重点业务审计策略 审计策略,在基于敏感资产的全量涉敏流量审计的基础上,可对敏感流量进行业务资产视角和风险日常运营监测视角,进行流量分层和标识,提供用户切身关注的资产/异常风险产生的涉敏流量。审计类型包括全量审计、异常风险审计、跨境跨域审计、重点关注审计四大类;同时内置十多种审计策略,开箱即用的同时,也支持自定义配置审计策略。 4. 异常与风险识别监测 EFM针对传统风险审计出现的误报率过高、风险告警情况与业务现实严重不符等问题,进行了细颗粒度的甄别和处理,形成了以风险因子为涉敏异常行为判断、以风险场景为涉敏风险行为判断,并主动预警的二层堆叠预警机制。同时EFM的异常与风险识别监测体系,避免传统审计偏离业务实际,以及盲目堆叠大量风险策略规则导致的高维护和运营成本的问题,从业务实际视角出发,从业务所需的如访问时间、访问频次、访问量等最小和最细颗粒度出发,有机的预置出各类风险因子,从而根据业务场景聚合成对应的风险场景,帮助用户快速、精准的发现业务场景下的风险访问行为。 5. 全链路流转监测审计 全链路流转监测,采集并解析了从客户端-应用-数据库全链路协议流量,以业务资产为出发点,围绕敏感流量来进行数据的流向、流转路径和流转事件的全面监测。期间,采用了正则表达式、关键字匹配等多种敏感数据识别策略,可低性能高精准识别40多种敏感数据类型;同时,观安独有的荧光标记测绘技术,可精确标识敏感数据的流向流转路径;同时提供了强大的全量检索能力,帮助用户一键检索到所关注的数据或资产。 6. 全链路溯源反演 本系统的全链路反演溯源,从用户使用场景的闭环逻辑出发,构建了发起溯源任务、溯源结果输出、溯源结果分析、溯源结果报告输出的完整应用场景。其中: 7. 实时探针及流量管理 动态流量采集监控。本系统为了确保接入的流量真实完整,提供了全量流量监控的策略;包括对流量探针自身的性能监控和探针接入流量的丢包率、解析率等情况的监控。其中,流量探针自身性能监控,支持对内存、CPU、磁盘阈值告警;流量接入监控,可对实时流量、流量包的峰谷值进行监测;支持流量的解析率、丢包率的趋势进行统计和监控。同时也可查看当前流量中,已识别出来的协议类型及当日整点流量趋势。
| ||
| 产品附件 | |||
