企业面临巨大应用安全风险

企业信息化发展要求更大范围的信息共享,以及多个应用系统之间互相集成,云计算的普及又使得IT基础设施从独占模式变成共享模式,这提高了企业信息化对业务的支持能力,但是也打破了原有安全边界和数据防护模式,进而带来了数据失控问题。因此企业面临一个巨大挑战:既要实施信息化升级以加强信息共享,同时也要掌握数据控制权。

以制造业为例,最核心的PLM系统中管理着一家制造型企业的所有产品全生命周期数据,比如二维图纸、三维数模、工艺信息等等十分重要的产品数据,在一款产品的设计、研制和生产过程中,会有大量人员在不同的业务流程中需要使用相关数据,还包括与外协工厂的协作,在这个过程中要确保信息严格按照业务规则进行查看,与其无关的部分数据无法查看,否则一旦发生产品信息泄露,势必给企业带来业务风险。

数据时代的企业应用安全建设方向

数据时代的企业应用安全建设方向

CipherGateway业务应用安全网关
把安全嵌入业务流程

CipherGateway业务应用安全网关把安全嵌入业务流程

炼石网络自主研发了首个基于委托式安全代理技术的CASB实现模式,提升CASB的适用性,使更多企业用户能够受益于CASB这一创新技术。作为部署在用户和应用服务之间的“经纪人”,CipherGateway能够将各种安全策略融入企业应用内部,通过整合身份认证、权限控制、数据加密、威胁检测等多种安全技术,对数据在应用中被访问的过程加以监控和保护。在此基础上,CipherGateway将应用系统中关键、重要、敏感数据加密,且使之仅能在此组件内解密, 以此来有效防御应用系统的外部攻击, 以及对应用的不正常访问导致的数据泄露风险。由于CipherGateway可以将防线聚焦到企业应用与字段级数据,并以数据为抓手在应用内实现安全控制,利用密码技术重构了安全防线,形成了无法被绕过的安全机制,对企业关键应用系统和业务数据进行有效保护。

CipherGateway产品亮点

支持国产商用密码算法,并独家获得CASB产品的国产商用密码型号(SJJ1717业务数据代理加密网关)

无需改造应用系统的用户端与服务端,对原有功能无影响

支持基于属性的访问控制,匹配请求者、环境和被访问数据三要素的属性信息

密钥管理安全可靠,主密钥不出安全芯片,由用户自己掌控

支持细粒度加密策略配置,进行字段级数据加密与令牌化,包括格式保留加密、部分加密等不同加密方式

良好的交互设计结合数据可视化,用户可以时刻掌握敏感数据的安全状况,并快速做出响应

未授权用户无法获取业务数据明文,有效防止数据被滥用、被泄露

提供云管理平台,一个入口即可管理多个CipherGateway设备与炼石云CASB服务

细粒度审计用户操作行为,时刻了解应用中的数据使用情况

提供硬件、虚拟化和SaaS等多种产品形态选择,满足用户多样化的使用环境与安全需求

与传统安全产品对比

与传统安全产品对比
 

CipherGateway方案

传统数据库安全方案

部署位置

应用服务器之前

应用服务器与数据库服务器之间

防范威胁范围

防范针对应用服务+数据库服务的威胁

只能防范针对数据库服务的威胁

是否与数据库品牌相关

无关

相关

加解密粒度控制

基于属性(访问者、访问环境和被访问数据对象)的细粒度(类比可到数据库行级、列级以及行列交叉点级)加解密

基于数据库表的列级加解密

是否支持密文检索

支持

不支持

用户访问控制

面向业务人员基于属性的访问控制

面向数据库运维人员的访问控制,无法控制来自业务层面的访问

安全审计内容

具有业务含义的应用操作行为

无业务含义,只是基于SQL语句的数据库操作行为

CipherGateway技术亮点

  • 委托式安全代理技术委托式安全代理技术
  • 数据加密技术数据加密技术
  • 基于属性的访问控制技术(ABAC)基于属性的访问控制技术(ABAC)
  • 委托式安全代理技术
  • 数据加密技术
  • 基于属性的访问控制技术(ABAC)

工程应用案例

产品白皮书下载