数据流动治理整体解决方案

数据流动治理整体解决方案目录01/需求背景分析概述03/平台解决方案04/平台优势亮点05/典型合作案例02/平台整体介绍01需求背景分析概述相关政策带来的数字化转型加速国家标准化管理委员会2023年初，下达2022年第四批推荐性国家标准计划，《数字化转型管理参考架构》《数字化转型管理能力体系建设指南》《数字化供应链体系架构》《数字化供应链成熟度模型》和《数字化供应链通用安全要求》5项国家标准正式获批立项。2024年的《政府工作报告》提出，实施制造业数字化转型行动，加快工业互联网规模化应用。各地各部门积极出台支持政策，在加快数字化转型中赋能经济社会发展，塑造高质量发展新动能新优势。2024年初广东省财政下达中小企业数字化转型资金7.74亿元，重点支持广州、珠海、汕头等14个省级中小企业数字化转型试点地市，推动中小企业在设计、制造、销售、服务、管理、安全等各环节数字化升级。数字化转型过程中，催生更多业务系统，数据流动更加频繁智慧化智能化数字化信息化数据化政府企业金融更多研发SVNGitPLM生产MESERPSCADA销售CRMWMSSCM管理OAHRMail其他BIEAMDB数字化转型加剧，导致数据交换、共享、开放、交频繁，数据在流动中才能产生价值，数据之间的交互80%以上以API方式实现。数据流动中的安全风险日益加剧Web、APP、小程序、本地应用、云原生应用功能和数据开发与风险暴露程度同步自动化攻击（BOTs）泛滥，漏洞探测、黑客、木马等规模化攻击，高价值数据单体应用防护产品和方案，复杂和高维护成本的困境，防护效率低API接口资产梳理不清；API风险导致敏感数据；无有效的API风险防护手段威胁入口扩大和分散攻击规模化、业务化防御手段简单低效API风险日益凸显APl(ApplicationProgrammingInterface)是一种接口，它让应用程序可以轻松地使用另一个应用程序的数据和资源。API就像数据流转的阀门，连接着各种服务、应用和终端。同时也链接着企业的职能部门、客户和合作伙伴，甚至整个商业生态。API成为数字化转型的连接器API安全风险与挑战分析API资产管理API敏感数据API异常访问API安全攻击防护API安全管控如何梳理API资产？API敏感数据识别与脱敏如何识别高频调用等异常访问？如何防护恶意攻击？如何实时阻断、限流等？安全法规和标准对数据流动安全治理提出具体要求

时间国家/地区政策2018年12月法国新修订《法国数据保护法》2018年7月印度《2018个人数据保护法(草案)》2018年6月美国加州《加州消费者隐私法案》

2018年5月欧盟《通用数据保护条例》(GDRP)2018年5月巴西《通用数据保护法》2015年9月俄罗斯《个人数据保护法》2015年5月日本《个人信息保护法案》我国陆续出台具有重大影响的数据安全法规国网《电力监控系统安全防护规定》《国网营销系统数据脱敏规范》医疗《信息安全技术健康医疗数据安全指南GB/T39725-2020》等网信和工信《某著名企业与互联网行业提升网络数据安全保护能力专项行动方案》《金融行业数据分级分类规范》《证券期货数据分级分类指引》《金融行业数据安全生命周期技术要求》等保2.0对数据安全提出具体要求各国快速推进数据安全立法公安《关于紧急排查整改重要数据和公民个人信息安全隐患的通知》(319整改方案)《教育直属机关数据安全管理办法》等银行教育监管机构和重要行业数据安全要求和措施传统方案串糖葫芦方式重繁难贵，同时无法解决API安全问题方案设计验证实施重设备厂商品类功能繁日常学习运维排障难商务采购使用更换贵02平台整体介绍平台架构概述引擎业务安全发布API安全治理数据流动安全总控配置管理数据可视统一监控商城WAF、访问控制、SSL卸载、脱敏安全与防护应用负载均衡优化与效率弱密码检测、防BOT机器人监控与分析更多插件...带宽控制、请求频率控制、流量镜像、流量编排控制与策略纯软件部署-虚拟化软硬一体机部署平台插件平台帮助客户实现业务安全发布、API风险监测、API安全治理、数据流动安全等目标,并通过加载插件，实现业务系统的安全强化、管控细化、性能优化，让业务更安全、更高效、更可靠地运行用户业务系统“平台+插件”的创新模式,让平台成为组织数据流动治理的首选方案API风险监测平台技术架构概述应用场景可视掌控API风险监测API资产梳理API弱点预警API可视API调用可视API资产详情API关系盘点API调用趋势业务可视业务状态可视业务调用排行业务健康检查访问量可视全局可视数据流动大屏API调用总览来访数据可视C/S排行趋势安全与防护ACL、WAF、SSL加密、防CC预处理高可用HA部署Cluster部署虚拟机VM软硬一体机华为DCS旁路镜像主机Agent代理模式灵活插件分析治理部署形态API安全治理未知API梳理敏感数据脱敏业务安全发布替代Nginx收缩暴露面业务安全发布传统方案补充数据安全防护更多场景护网重保爬虫撞库控制与策略流控、频率控制监控与分析防BOT、弱密查等优化与效率SLB、解压缩更多JWT、OAuth2风险可视风险弱点记录涉敏脱敏可视Web安全防护阻断降频记录配置管理统一配置下发监控运行状态集中存储日志复用公共策略梳理APIAPI审计记录API内容拆解API标签标定API关系梳理评估弱点OWASPTop10弱密码弱认证错误缺陷暴露命令注入伪造监测风险内容涉敏涉密行为高频异地质量耗时高错主动扫描漏洞处置问题阻断/重定向降频/验证码脱敏/换内容流控编排转发更多能力健康检查负载均衡Nginx平替代理转发数据采集南北向东西向3-7层协议识别RESTful、SOAPWebSockethttp/https内容发现键值文件账号凭证请求响应结构化内容标签性能指标协议特征存库入表导入库导出列表Syslog热装卸载平台介绍平台部署于业务系统前端,包含总控和引擎。总控统一管理多套引擎、采集各引擎的日志等运行数据、统一关联分析后以多种报表可视化呈现。商城的插件经总控加载至对应引警,实现3至7层数据包的识别、提取、处理、转发等,满足业务需求商城商城提供丰富的插件功能,已上架了WAF、负载均衡、SSL卸载、流量控制、脱敏等插件.客户按需试用和选购。客户、生态服务商及第三方开发者亦可自行开发插件上架至商城,获得积分或收益平台数据处理流程总控统一管理集中配置数据采集报表可视智能引擎高性能流量采集多模态流量匹配流量处理...3层4层7层API安全治理业务安全发布API风险监测流量编排OA1OA2商城财务ACLSLBBWCDLP引擎03平台解决方案介绍业务安全发布解决方案API风险监测解决方案API安全治理解决方案数据流动安全解决方案业务安全发布：业务统一代理发布、收缩暴露面收缩暴露面，一个IP发布多个业务系统业务经发布，隔离黑客等风险多种安全插件加持，增强业务安全能力优势亮点OAERP业务应用MES…内网用户门户网站第三方平台…公有云互联网用户分支机构平台做业务安全代理，仅发布**的IP和端口多套业务系统对应多个域名，用**一个IP发布搭建业务发布逻辑区，黑客等风险先触达**方案通过NAT发布业务，IP、端口直接暴露多套业务系统导致暴露面大且占用较多IP资源黑客等风险直接触达业务系统，缺少隔离防护现状不足ACL访问控制：细粒度管控访问权限、保障业务安全基于五元组的权限管控粒度过于粗放应用FW等ACL通常管控至协议域名URL缺失进一步细化的、针对API的管控现状不足支持基于请求头、路径等的访问控制策略支持深入HTTP协议的访问控制支持基于用户、角色、行为的访问控制**方案提供更细致、灵活的访问控制策略业务发布、用户来访管控更精准精细实现对API级的安全防护与访问控制优势亮点业务系统用户请求方法空格URL空格协议版本回车符换行符HTTP协议头部字段名称:值回车符换行符...头部字段名称:值回车符换行符空行(回车符或换行符)请求包体...TCP选项TCP协议...源端口号目的端口号...目的IPIP协议源IP...版本首部长度服务类型总长度即ACL颗粒度如下：源IP、目的IP目标端口、目标域名目标域名、URL、路径头部匹配：存在、包含、精准查询参数匹配：存在、包含、精准方法匹配：GET、POST、PUT等WAF防护：深入内容的安全防护传统WAF串接部署、无关流量也需处理现有WAF是否足够安全，不得而知通常只有处置模式，无监测、漏扫模式现状不足只有指定业务流量才经由WAF插件处理与原WAF配合使用、于业务边界处再防护扫描、监测、处置等工作模式，灵活选择**方案轻量：插件小而美，处理逻辑轻便简洁高效：按业务部署，其他业务无需处理灵活：多种工作模式，更容现状优势亮点业务系统用户工作模式主动扫描

被动监测

实时防护可视分析防御走势类型趋势流量走势处理分析攻击类型攻击TOP10防御次数放通次数安全防护BOT防范爬虫防范扫描防范协议防范配置属性日志令牌PHPIISAPI路径SQL注入WebShellSQLJAVAPHP漏洞XSS漏洞JAVA漏洞通用漏洞协议攻击表单攻击文件攻击命令执行WAF插件**引擎SESSL加密/卸载：提升业务安全、降低损耗智能引擎高性能流量采集多模态流量匹配流量编排转发…3层4层7层**引擎SESS**商城用户HTTP业务系统SSL据统计互联网80%以上的流量已加密明文HTTP发布业务不安全、暴露面多服务器处理SSL加解密、特别消耗性能现状不足SSL插件将服务器HTTP明文流量加密为HTTPS密文流量同时**能将SSL加密流量解密为明文流量**方案降低SSL加解密对服务器性能的损耗SSL加密后发布业务，暴露面大幅减少无需业务或服务器任何改造，实施简便优势亮点HTTPSDM数据脱敏：防止敏感数据业务系统A业务系统B姓名手机号邮箱姓名工号身份证号123456姓名手机号邮箱张*138****5678姓名工号身份证号李*1****644030020******1234传统静/动态脱敏作用于数据库，不灵活基于业务系统定制开发的脱敏，耗时耗力现状不足重写业务系统回传数据包内指定字段/内容针对指定API/页面/表单等

对指定用户脱敏**方案无需业务系统定制开发、省时省力快速简便提升业务数据性、改善业务系统灵活性优势亮点03平台解决方案介绍业务安全发布解决方案API风险监测解决方案API安全治理解决方案数据流动安全解决方案API风险监测解决方案主动API资产探测，获取API资产路径、参数、调用方式等；对探测到的API接口和相关参数进行类型识别和资产盘点API漏洞检测报告API弱点及风险告警API风险记录及趋势对API接口的请求和回传报文进行识别，识别手机号、身份证、银行卡号等敏感信息基于内置弱点规则、风险规则，对API资产清单进行自动弱点及风险识别可以选择对单个API或者业务系统调用下所有的API进行主动漏洞扫描，识别API漏洞API资产盘点API漏洞扫描API敏感信息检查API风险监测API检测报告API风险监测方案部署架构图运维管理区DMZ区服务器区**总控SE-M、Agent**总控SC互联网用户内网用户业务系统1业务系统2┈业务系统n业务系统1业务系统2业务系统3业务系统4业务系统n流量镜像SE镜像AgentAgent客户价值**引擎SE-M，连接在交换机的镜像端口上，接收镜像流量，识别API资产及API风险Agent软件部署在业务系统的操作系统里（含windows和Linux），将进出业务系统的流量复制后转发给SE-MSE-M将镜像流量中的API信息提取出来后，发给SC做综合分析与呈现一套**总控SC管控多套**镜像引擎SE-M、镜像Agent实现对API资产梳理、盘点、风险监测等API资产盘点，API漏洞扫描，API风险发现与监测流量镜像模式不能实时处置API风险03平台解决方案介绍业务安全发布解决方案API风险监测解决方案API安全治理解决方案数据流动安全解决方案API安全治理解决方案全方位记录API访问行为动态发现API资产并可视化呈现南北向、东西向全量的API识别识别API资产从内网访问、外网访问等多维度进行API调用关系盘点从不同系统之间相互调用维度对API调用盘点盘点API关系自动判断：API版本/用途/风险、是否涉及敏感数据内置各种API弱点、API风险规则，识别API风险及弱点发现API风险对API认证授权、访问控制等,阻止非法调用通过WAF插件对常见的API攻击进行有效防护通过脱敏插件对API敏感数据脱敏，防止处置API问题检视API风险记录：API资产/路径、风险等级等精准定位风险API、快速处置API风险、提升API成效检视API成效API名称响应方式访问业务状态码源IP请求大小地区响应大小内/外网响应结果请求方法流量请求参数响应时间路径访问时间风险规则频次正常低频中频高频耗时正常延迟长延迟卡顿错误率正常低错误率中错误率高错误率黑白名单网络安全行为安全内容安全定义风险处置风险识别风险检视成效请求URL请求内容请求方法接收内容响应内容识别API资产：审计API访问行为并结构化API发现规则涉敏API内/外网APIAPI用途API版本API分类分级规则请求方法请求参数请求路径响应方式响应状态码响应结果请求大小响应大小产生流量访问时间响应时间源IP源地理位置API名称目标虚拟服务用户业务系统针对来访的HTTP(及解密HTTPS)流量可自定义多种API过滤规则并组合使用API发现规则自动识别API敏感等级，支持自定义可按照API的功能自动定义标签判断版本，查询、新增、删除等用途判断API分类分级规则详细拆解API构成：源、目的、结果等审计记录API访问行为、并多维度呈现满足审计合规要求，为深度分析打下基础API访问记录盘点API关系：API资产分类盘点并拓扑化业务系统归属梳理被调用情况相互调用关系内网调用外网调用梳理出API归属的业务系统按业务系统视角查看API资产归属互联网调用，局域网调用(支持自定义)系统之间的API互相调用调用各业务系统相互调用API的关系图梳理同一业务系统的API接口关系图梳理关系图发现API风险：主动扫描API漏洞和弱点，自动识别API风险安全漏洞

默认账号配置错误

管理暴露信息

域名劫持物联网风险

常见漏洞...Web安全异常调用调用耗时主动扫描指定业务、指定API的漏洞风险扫描常见安全漏洞、管理/配置错误等漏洞主动扫描Web安全认证缺陷、身份认证缺陷等安全规范类缺陷如SQL注入等分析API弱点识别包含敏感数据信息的API调用行为IP高频爬取数据，账号超量访问等分析API风险处置API问题：灵活插件应对API风险简单化黑白名单：ACL内容防护：WAF防护、脱敏、弱密码行为管控：带宽管控BWC、频次控制RL、熔断控制、认证、鉴权、加密、API黑名单API白名单WAF防护数据脱敏弱密码检测熔断控制带宽控制频次控制只发布白名单API、或只阻断黑名单API(ACL插件实现)黑白名单JWT认证、OAuth2认证、SSL加密，基于身份的管理控制认证鉴权安全防护、数据防护、密码防护从内容层对发布的API进行防护内容防护管控流量、管控频次、熔断控制针对异常行为进行管控和限制行为管控检视API成效：API治理效果可视化展示来访用户、目标业务、API、访问行为、访问结果等大屏宏观可视**综合大屏、宏观概览指定API接口的访问量、(4xx、5xx)失败量、调用趋势等可视呈现API调用趋势、单API深究访问总量、(4xx、5xx)失败量、用户排行、API排行等整体掌握统计排行、整体把控业务应用的流量、连接数、数据包数、重传、安全日志等可视分析应用视角、多维分析API安全治理方案部署架构运维管理区DMZ区服务器区**总控**引擎边车Sidecar**引擎SE、边车引擎Sidecar**总控SC互联网用户内网用户业务系统1业务系统2┈业务系统n业务系统1业务系统2业务系统3业务系统4业务系统n边车Sidecar客户价值一套**总控SC支持管控多套**引擎SE、边车引擎Sidecar实现对引擎的管理和配置，插件的管理，策略的管理和下发，日志收取、存储、分析、报表、可视化展现等**引擎SE，反向代理模式部署在DMZ区（用于保护组织对外网发布的业务系统）、服务器区（用于办公区用户访问业务系统的防护）边车引擎Sidecar，安装到业务系统所在的操作系统里，对业务流量进行采集、处理并发送至**总控SC进行业务层面的分析API安全治理，处置API风险和问题业务安全发布，且多种插件保障业务安全可靠跨网、跨区的数据流动安全防护03平台解决方案介绍业务安全发布解决方案API风险监测解决方案API安全治理解决方案数据流动安全解决方案通过插件有效治理业务的数据流动根据业务需求，灵活选择所需插件响应时间短，资源消耗小，并发能力强一次拆包解包完成所有所需处理优化IT基础架构，提升安全效果用户BOT防护ACL管控RL频控WAF防护BWC流控SSL卸载流量镜像弱密码检测数据脱敏SSL加密请求缓存熔断控制负载均衡流量编排业务系统第三方全流量态感等第三方WAFFW等**平台统一的业务运行状态监控通过配置业务系统健康检查机制，可视化展现业务系统运行的健康状态，业务故障率，访问流量，成功访问总数等。业务稳定性及业务详情统一监控统一的数据流动安全治理根据业务系统的需求，灵活按需加载和配置插件来保障业务系统的安全、稳定、高效运行。业务系统加载插件应用后，通过可视化图表查看各插件应用的效果。04平台优势亮点**平台部署：灵活适配多种网络环境用户区服务器区oa用户业务应用**900OA①OA系统经过**平台代理发布后，将域名oa域名映射为**代理IP9，用户访问业务系统时流量经过**平台，**平台可提供相关分析、告警、处置的能力。业务代理模式用户区服务器区oa用户业务应用00OA②**平台接入交换机的镜像口，用户访问业务系统的流量通过镜像方式到**平台，由**平台进行相关的流量分析、日志分析、API资产梳理、风险告警等。流量镜像模式**

平台优势亮点优势亮点按需扩展通过插件灵活扩展，同时可以引入第三方产品能力，提供可视、管控、安全、优化、高效等能力,充分满足业务需求共创共赢开放插件开发规范及接口,可同服务商、独立开发者、客户等第三方共同开发各类插件,第三方插件上架**商城后，共享收益高效稳定一次拆包解包即完成所需处理,处理效率高;插件加载、版本升级等均不影响业务;控制面与数据面分离，保障高可靠性性价比高不必为传统安全产品固化但不需要的功能买单,只需针对业务需求购买所需插件简化结构“平台+插件”模式,简化传统安全“串糖葫芦”结构，插件丰富且持续更新，一个或多个插件即可实现传统安全设备同