零知数据安全系统 产品概述
在政府、金融、公安、军队等机构的内部数据库或文件系统中,都存有大量关键数据信息,随着数据价值的不断凸显,人为的渗透攻击、非法获取和内部泄露让IT管理者防不胜防,正因为国内很多机构还没有意识到数据资产保护的重要性,导致我国大量关键数据被盗取后流入“暗网”等黑市贩卖。根据各地破获的案件,触目惊心的数据泄露已经给国家和很多机构造成了无法估量的巨大损失!据IBM 近期统计,全球两年内遭受数据泄露的机构,平均高达29.6%,我国数据泄露的比例更是大大高于全球平均值。
基于当前数据安全威胁的严峻挑战,我们推出了从前端到后端、从传输到存储、从认证到授权、从管理到审计的整体“零知数据安全系统”,该系统不但可对数据实现分类存储、分级管理、屏幕水印、外发监控和外发加密等安全保护,同时还可实现数据的碎化存储、碎化传输、碎化管理和碎化审计,以及在不改变用户使用习惯的前提下,将所有数据碎片只是通过“虚拟盘”实时映射在服务器或PC终端的内存中(确保完整数据永远不会落在硬盘)。
“零知数据安全系统”不但可以独立使用,还可以与其他传统DLP产品配合使用,以弥补传统DLP产品的短板,形成更加方便、高效、安全、易管理的整体数据防泄露体系。
服务器数据防泄露拓扑图:
PC终端数据防泄露拓扑图:
一个数据文件会被碎化成多个碎片,并存储在多个“碎片存储端”中,在单一的“碎片存储端”中,最小单位为“碎片”,多个“碎片”会放入一个“碎片组”,多个“碎片组”会组合成一个“碎片群”,几个“碎片存储端”的“碎片群”又可映射成一个“完整文件”,因此某时间段内,通过监控“碎片组”的读写频次和读写量,便可以精准、清晰、直观地看到该数据文件的使用情况。以下是某“碎片存储端”审计记录截屏:
被监测到的正常碎片访问:
被监测到的异常碎片访问:
| 碎片化 | 所有数据采用特殊方式碎化。 |
| 防泄露 | 前端后端均实现数据防泄露。 |
| 可扩展 | PB级容量随时在线增加空间。 |
| 低成本 | 简易设备便可随意并入系统。 |
| 高容错 | 多个设备同时宕机没有影响。 |
| 虚拟化 | 存储备份设备可以随意切换。 |
| 高并发 | 数据可被并行写入读取修改。 |
零知数据安全系统 产品功能
| 产品功能 |
数据安全:将硬盘和磁盘阵列中的数据抽取出来拆分碎化,然后将碎片实时同步在不同的存储域中,每个域都看不到使用者的真实有效数据。
内存映射:实现数据在网内的瞬间内存映射,被分享方只要网络可达,便可“高速”、“按需”提取相应数据。
多域管理:数据可地理分散存放、逻辑统一管理,节省大量从中心端调取数据的时间和带宽,同时中心端实现真正的非旁路管理。
数据审计:通过对使用者访问行为的分析,智能判断和多域对比什么是合法行为,什么是非法行为,有效阻止海量数据盗取和脱库等行为的发生。
|
| 操作系统及数据库 |
支持的操作系统及数据库类型
支持Windows、Linux操作系统
支持与Hadoop HDFS和Oracle、MySQL、HBase等数据库的无缝对接
|
零知数据安全系统 应用场景
- 服务器数据防泄露保护
- PC终端数据防泄露保护
- 视频图片安全保护
- 内部数据安全共享
“零知数据安全系统”可通过碎化虚拟盘直接对接单一或集群数据库服务器、代码服务器、大数据服务器等多类实时业务服务器,将以上服务器产生或读取的数据在该服务器内存中“直接”碎化或合并(区别于使用其他网关的“间接”碎化或合并方式),以做到根源级数据安全处理。
“零知数据安全系统”的工作方式是在不改变用户使用习惯的前提下,在用户服务器中虚拟出一块实时虚拟盘,虚拟盘会将收到或产生的数据进行实时碎化,并分存到后端多个“碎片存储端”中,再将被碎化文件的元数据和密钥存储在“元数据密钥端”,以防止数据从后端被获取或拷贝,同时为了防止数据丢失,增加“数据安全系统”的健壮性,还可配置冗余的“碎片存储端”和“元数据密钥端”。
该系统还能做到无论服务器读取什么内容,均为碎片在该服务器内存中的实时映射(确保完整数据不落在硬盘),并且只能被指定应用使用,且用完即释放。
“零知数据安全系统”不但会将数据碎化加密存储,同时还可对碎片数据进行实时审计,当服务器中的数据使用行为超出正常使用量时,多个审计端几秒后便会感知并同时报警,从而及时防止异常访问和拖库行为的发生。
传统DLP在PC终端数据的保护过程中,会导致三大问题:1、多个终端的数据无法统一存储和管理;2、数据无法用网内其他设备访问、使用或分享(比如笔记本和台式机共享数据);3、无法支持数据读写实时性高的应用。以上三个问题会导致已经安装传统DLP系统的用户,在存储、使用和管理数据时都很不方便。
“零知数据安全系统”的部署可以非常好地解决以上三个棘手的问题,增强DLP系统可以将数据碎化后直接存储在数据使用者的局域网内,同时还可将元数据和密钥通过广域网存储在远端的“中心管理节点”,这样既可以保障PC终端数据的完全加密、统一存储和多点数据共享,还大大提高了用户对数据的实时访问速度,同时又可实现中心端的统一管理和统一审计。
“零知数据安全系统”的运行过程,是在后端部署多个碎片存储端、元数据密钥端、防泄露管理端和审计端,再将碎化虚拟盘和终端防泄露组件安装在使用者的服务器或终端设备中,原有的数据可在分类后,将关键、重要、敏感的数据导入虚拟盘中,导入虚拟盘的数据将会被实时碎化到不同的碎片存储端中,同时将元数据和密钥存储在元数据密钥端。
无论任何一台终端,无论数据在中心端或是分支,只要使用者用相应的账号和密码在任意终端登录,所需的数据碎片便会实时映射到登录设备的内存中,确保数据绝不落盘,以防止任何人利用操作系统或硬件漏洞将完整数据导出,同时终端防泄露组件还可指定可以读取数据的应用,当数据被导出时,防泄露组件还将会对数据进行高强度加密。
除以上保护外,后端的审计系统还将实时监控各类设备对数据的读取行为,甚至对异常读取操作实现阻断和拦截。
“零知数据安全系统”首先将图片、视频数据碎化,然后分存到多个不同的碎片存储端,将 “数据碎化规则” 使用数据联网标准的密码算法加密后,再进行哈希表链化,并且将“碎化规则”存储在中心管理端,边缘存储节点的特点是成本低,距离图片、视频产生源近,还可以直接部署于任何网络可达的位置;内部云存储节点的特点是稳定性高,存储容量大,热温冷数据均可存储。
“零知数据安全系统”可以由使用者直接、个性化地在终端通过简单操作,便可控制数据的存储形式,可根据不同的用途选用不同的碎片存储端;不同的存储时间选用不同的碎片存储端;不同的用户选用不同的碎片存储端;不同的安全级别选用不同的碎片存储端;不同的区域选用不同的碎片存储端,还可以配置归档碎片存储端、分享碎片存储端、移动碎片存储端等等,所有碎片存储端都各具特点,各有所长,为使用者共享数据的安全保护提供强有力的支撑。
