等保2.0时代，数据安全如何合规

控制项

分析和应对

相关产品

8.1.4.1  身份鉴别（三级）

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

当采用进口数据库和大数据产品时，自身没有多因子身份鉴别能力。可以通过部署数据库防火墙或者大数据防火墙，对IP、MAC等进行认证，实现额外的二次认证系统，从而增强对数据访问的身份鉴别。

数据库（大数据）防火墙

7.1.4.2  访问控制（二级）

d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

8.1.4.2  访问控制（三级）

d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

对于数据库和大数据系统，通过部署数据库防火墙或者大数据防火墙、脱敏、加密等产品，将原有超级管理员权限分为系统管理员、安全管理员和审计管理员。其中安全管理员可以通过角色或者标记来设置细粒度的访问控制，粒度可以到表一级甚至是字段、行、语句级。从而实现最小操作权限，限制DBA等超级管理员权限，实现分权分离。

数据库（大数据）防火墙、

数据库（大数据）脱敏、

数据库（大数据）加密等

7.1.4.3  安全审计（二级）

8.1.4.3  安全审计（三级）

a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

对数据的访问是最重要的安全事件，需要被审计。对于数据库和大数据系统，通过部署数据库审计产品或者大数据审计产品实现审计。包含并不仅限于重要命令，重要行为等对数据库的所有操作，操作所访问到的数据或者执行的结果。

数据库（大数据）审计

7.1.4.4  入侵防范（二级）

8.1.4.4  入侵防范（三级）

e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

对于数据库和大数据系统的存在的已知漏洞，需要及时修复。对于数据库和大数据系统，通过漏洞扫描产品定期对系统进行漏洞扫描发现可能存在的已知漏洞。并通过部署数据防火墙实现对漏洞的外部修复。

漏洞扫描产品、数据库（大数据）防火墙

8.1.4.8  数据保密性（三级）

b) 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

对于数据库和大数据系统，可通过部署加密产品，实现按列、按行、按记录方式进行加密。

数据库（大数据）加密

7.1.4.10  个人信息保护（二级）

8.1.4.11  个人信息保护（三级）

a) 应仅采集和保存业务必需的用户个人信息；

b) 应禁止未授权访问和非法使用用户个人信息。

部署数据脱敏产品在数据采集过程中实现对个人信息的脱敏操作，防止未授权访问和非法使用个人信息；部署数据库（大数据）加密产品、防火墙产品、脱敏产品，实现精细的访问控制，从根本上禁止非法使用用户个人信息。

数据库（大数据）防护墙、数据库（大数据）脱敏、数据库（大数据）加密

控制项

分析和应对

相关产品

8.2.4.4  镜像和快照保护（三级）

c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

可通过部署数据库（大数据）加密产品，对敏感数据进行加密。

数据库（大数据）加密、

7.2.3.3  安全审计（二级）

8.2.3.3  安全审计（三级）

b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

通过部署独立的数据库（大数据）审计系统，确保拥有独立于云服务商的第三方审计能力，确保云服务商在对云服务客户数据操作被系统全部审计。

数据库（大数据）审计

7.2.4.3  数据完整性和保密性（二级）

b) 应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；

8.2.4.5  数据完整性和保密性（三级）

b) 应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；

d)应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。

通过部署数据库（大数据）加密系统对云计算环境中数据进行加密，该加密系统可以调用云服务商提供的KMS系统。在云服务客户系统中部署访问控制节点，实现数据库访问控制能力，防止云服务商和第三方在未取得授权的情况下管理数据库。

数据库（大数据）加密、

数据库（大数据）防火墙等

8.2.5.1  集中管理（三级）

c)应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计。

通过在云服务提供商和云服务客户两端分别部署数据库（大数据）审计系统，该审计系统必须支持集中日志分析能力。

数据库（大数据）审计

控制项

分析和应对

相关产品

H4.3 安全计算环境（二级）

H4.3 安全计算环境（三级）

f) 大数据平台应提供静态脱敏和去标识化的工具或服务组件技术。

在大数据系统中部署大数据脱敏节点，实现系统可以根据不同业务场景，选择全部替换、部分替换、部分遮蔽等脱敏方案进行脱敏，同时保证脱敏数据之间的一致性、关联性。

数据库（大数据）脱敏

H4.3 安全计算环境（二级）

H4.3 安全计算环境（三级）

g) 对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理。

在大数据系统中部署大数据访问控制和脱敏节点，实现数据库访问控制能力。控制对象包括不局限于时间、IP、命令、语句影响范围等。

数据库（大数据）防火墙

H4.3 安全计算环境（三级）

h) 大数据平台应提供数据分类分级安全管理功能，供大数据应用针对不同类别级别的数据采取不同的安全保护措施。

在大数据系统中部署大数据访问控制和脱敏节点，根据数据分类分级结果，实现数据库访问控制能力。

数据库（大数据）防火墙、

数据库（大数据）脱敏

H4.3 安全计算环境（三级）

i) 大数据平台应提供设置数据安全标记功能，基于安全标记的授权和访问控制措施，满足细粒度授权访问控制管理能力要求；

在大数据系统中部署大数据访问控制和脱敏节点，根据数据安全标记结果，实现数据库访问控制能力。

数据库（大数据）防火墙、

数据库（大数据）脱敏

H4.3 安全计算环境（三级）

j) 大数据平台应在数据采集、存储、处理、分析等各个环节，支持对数据进行分类分级处置，并保证安全保护策略保持一致。

通过部署数据安全态势集管平台，使大数据系统具备数据梳理能力，支持数据分类分级，为设定安全防护策略提供依据，并保持安全防护策略一致。

数据安全态势集管平台

H4.3 安全计算环境（三级）

m) 应跟踪和记录数据采集、处理、分析和挖掘等过程，保证溯源数据能重现相应过程，溯源数据满足合规审计要求。

通过部署数据安全态势集管平台使大数据平台具备跟踪和记录数据采集、处理、分析和挖掘等过程全部数据操作记录，实现数据使用、分发的溯源能力。

数据安全态势集管平台

H4.3 安全计算环境（三级）

n) 大数据平台应保证不同客户大数据应用的审计数据隔离存放，并提供不同客户审计数据收集汇总和集中分析的能力。

通过部署大数据审计节点实现不同客户分别审计不同数据库的能力和集中分析展示能力，实现不同客户的数据库审计数据分别隔离存放。

数据库（大数据）审计

H4.5 安全运维管理（三级）

b) 应制定并执行数据分类分级保护策略，针对不同类别级别的数据制定不同的安全保护措施。

通过部署数据安全态势集管平台实现数据资产的分级分类功能；部署大数据访问控制和脱敏节点实现数据分类保护策略，根据不同级别数据，选择不同数据防御方案。

数据安全态势集管平台、

数据库（大数据）防火墙、

数据库（大数据）脱敏等

H4.5 安全运维管理（三级）

c) 应在数据分类分级的基础上，划分重要数字资产范围，明确重要数据进行自动脱敏或去标识的使用场景和业务处理流程。

通过部署数据安全态势集管平台实现数据资产的分级分类功能，通过部署脱敏节点实现根据不同业务场景，选择全部替换、部分替换、部分遮蔽和数据仿真等脱敏方案。

数据安全态势集管平台、

数据库（大数据）脱敏

H4.5 安全运维管理（三级）

d)应定期评审数据的类别和级别，如需要变更数据的类别或级别，应依据变更审批流程执行变更。

通过部署数据安全态势集管平台实现定期对重要数据进行梳理和定位工作便于配合数据评审工作的开展。

数据安全态势集管平台

产品

满足等保2.0中的要求项

中安威士数据库（大数据）审计

l  满足等保2.0通用安全要求中的访问控制要求，实现管理用户的权限分离；

l  满足等保2.0通用安全要求对安全审计的要求，对所有用户的重要的用户行为和重要安全事件进行审计，包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

l  满足等保2.0云计算安全扩展要求中安全审计要求，保证云服务商对云服务客户系统和数据的操作可被云服务客户审计；

l  满足等保2.0云计算安全扩展要求中集中管理要求，根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；

l  满足等保2.0大数据应用场景中的安全计算环境要求，保证不同客户大数据应用的审计数据隔离存放。

中安威士数据库（大数据）防火墙

l  满足等保2.0通用安全要求中的身份鉴别要求，实现两种以上组合的鉴别技术对用户进行身份鉴别；

l  满足等保2.0通用安全要求中对访问控制的要求，实现管理用户的权限分离和高细粒度的访问控制以及安全标记功能。

l  满足等保2.0通用安全要求中对于入侵防范的要求，内置漏洞扫描功能，拥有发现可能存在的已知漏洞能力；

l  满足等保2.0云计算安全扩展要求中数据完整性和保密性要求，确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；

l  满足等保2.0大数据应用场景中的安全计算环境要求，实现平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理等要求；

l  满足等保2.0大数据应用场景中的安全计算环境要求，实现针对不同类别级别的数据采取不同的安全保护措施，满足细粒度授权访问控制管理能力要求。

中安威士数据库（大数据）加密

l  满足等保2.0通用安全要求中的访问控制要求，实现管理用户的权限分离；

l  满足等保2.0通用安全要求中的数据保密性要求，采用密码技术保证重要数据在存储过程中的保密性；

l  满足等保2.0通用安全要求中的个人信息保护要求，禁止未授权访问和非法使用用户个人信息；

l  满足等保2.0云计算安全扩展要求中快照和镜像保护要求，采取密码技术防止虚拟机镜像、快照中可能存在的敏感资源被非法访问；

l  满足等保2.0云计算安全扩展要求中数据完整性和保密性要求，支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。

中安威士数据库（大数据）脱敏

l  满足等保2.0通用安全要求中的访问控制要求，实现管理用户的权限分离；

l  满足等保2.0通用安全要求中的个人信息保护要求，禁止未授权访问和非法使用用户个人信息；

l  满足等保2.0大数据应用场景中的安全计算环境要求，提供静态脱敏和去标识化的工具或服务组件技术；

l  满足等保2.0大数据应用场景中的安全计算环境要求，提供数据分类分级安全管理功能；

l  满足等保2.0大数据应用场景中的安全运维管理要求，实现在数据分类分级的基础上，划分重要数字资产范围，明确重要数据进行自动脱敏或去标识的使用场景和业务处理流程。

中安威士数据安全态势集管平台

l  满足等保2.0大数据应用场景中的安全计算环境要求，在数据采集、存储、处理、分析等各个环节，支持对数据进行分类分级处置;

l  满足等保2.0大数据应用场景中的安全计算环境要求,提供数据安全标记功能，基于安全标记的授权和访问控制措施，满足细粒度授权访问控制管理能力要求；

l  满足等保2.0大数据应用场景中的安全计算环境要求,以数据分级分类为标准，通过集管平台保证安全保护策略保持一致；

l  满足等保2.0大数据应用场景中的安全运维管理要求，根据数据分级分类，对数据进行自动脱敏或去标识；

l  满足等保2.0大数据应用场景中的安全运维管理要求，跟踪和记录数据采集、处理、分析和挖掘等过程，保证溯源数据能重现相应过程；

l  满足等保2.0大数据应用场景中的安全运维管理要求，定期通过集管平台评审数据的类别和级别。