芯盾时代数据安全产品体系，筑牢数据安全防线

芯盾时代数据安全治理（DSG）框架，以国家法律法规、行业监管标准、行业最佳实践为依据，从数据安全战略出发，以数据分类分级为支撑，构数据安全管理体系、数据安全技术体系、数据安全运营体系与数据安全监督评价体系的整体数据安全治理体系框架。芯盾时代在框架的指导下，围绕数据安全的全生命周期，通过数据分类分级、数据静态脱敏、动态脱敏、API 安全监测、数据安全态势感知等产品，为企业提供完善的数据安全解决方案和落地支撑，助力企业数据安全体系的建设。

数据分类分级（DCG）

芯盾时代数据分类分级（DCG）Data Classification and Grading，依据国家、地方或行业法律法规要求，基于用户的数据分级分类需求和现有数据资产状况，以人工咨询服务和自动化分类分级平台结合，开展数据分级分类融标工作，平台依靠数据资产智能挖掘和扫描技术为用户建立精准的数据资产台账，根据不同分类及重要程度进行分类分级打标处理，帮助金融行业客户一站式的解决管理、使用、统计、合规上的问题，为数据安全防护提供强有力支撑。

平台依据内置数据分类分级模块对已发现的数据，根据不同分类及重要程度进行分类分级打标处理，形成数据资产管理、账户管理、数据管理、数据流向、数据分布等可视化看板。

产品特色

行业模型丰富

平台内置金融行业数据分类分级模型，其中 700 多种银行常见敏感数据规则，可根据企业的差异化分类分级管控需求，自定义数据分类分级模型。

扫描方式丰富

平台设计数据扫描模板，敏感项与扫描算法一对多，实现一键扫描，自动匹配分级分类标签，方便操作，再次扫描无需再手工配置，提高效率；支持多种扫描方式组合，可按内容，按字段，按意义，精确匹配，模糊匹配；全量扫描，增量扫描，随机扫描，前后设计数量扫描，单线程，多线程，定时扫描，空闲扫描等多种方式可选。

可视化资产目录

扫描后形成敏感数据资产目录，在平台上清晰展现，形成可视化的敏感数据资产清单，也可导出共享或供合规检查。

策略和信息共享

敏感信息，分类分级规则，以及敏感信息结果都可进行数据导出，下发到各个数据安全平台共享策略，进行联动，也可下发给各需要的部门进行合规检查应用和数据治理补充。

应用场景

1. 数据库分类分级
2. 大数据平台分类分级
3. 数据资产管理
4. 分级状态定期评估

数据动态脱敏系统（DDMS） 

芯盾时代数据动态脱敏系统（DDMS）Data Dynamic Masking System，通过全代理技术实现了完全透明实时的敏感数据掩码能力，在不需要对数据库和业务系统进行任何改变的情况下，依据用户的角色、职责和其他 IT定义规则，动态的对业务系统返回的数据进行专门的屏蔽、加密、隐藏和审计，确保业务访问人员能够恰如其分地访问生产环境的敏感数据。在业务访问人员侧，脱敏后的数据可以保留原有数据的特征和分布，让业务人员完全无感知，实现了企业低成本、高效率、安全的使用生产隐私数据。

业务动态脱敏系统能够针对业务系统的页面以及接口实现实时动态的数据脱敏，并可以根据IP地址、用户账号和业务系统页面以及接口制定不同的脱敏策略，保障用户业务系统的敏感数据暴露面的最小化。

产品特色

无感知部署

能够在不改变业务系统架构（包括中间件和数据库）的情况下，实现动态脱敏系统的部署，并且部署不需要中断业务。动态脱敏整个部署过程，用户无感知，部署完成后，用户依然无感知。

DB兼容性更高

无论后台是传统的关系型数据库还是新型数据库，包括大数据平台，都不影响系统的部署和功能。用户将来在做业务变更时，不需要考虑动态脱敏产品对数据库的支持情况，具有优秀的扩展性。

自带丰富的脱敏算法

系统根据不同数据特征，内置了丰富高效的脱敏算法，可对常见数据如姓名、证件号、银行账户、金额、日期、住址、电话号码、Email 地址、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感数据进行脱敏。

策略配置灵活

能够支持针对业务系统的用户名进行策略设置，能够支持针对用户的 IP 地址进行策略设置，能够支持针对具体的业务系统页面进行策略设置，设置策略细致、灵活。

应用场景

1. API 脱敏
2. Web 系统脱敏

API安全监测平台（APISMS）

芯盾时代API安全监测系统（APISMS）API Security Monitoring System通过API 资产发现、脆弱性分析、异常行为分析、数据安全分析、安全防护等帮助用户梳理庞杂的应用及接口，为企业外部应用接入统一API入口，解决企业应用 API 资产难梳理、API 资产存在的安全隐患、API 访问和数据安全无有效监控手段等问题。同时，防重防攻击、请求过滤、SSL传输等机制可以全方位保护API调用安全。

系统持续对API资产进行自动化梳理，从API漏洞、API异常访问事件、敏感数据等不同维度分析绘制API画像，对访问API流量实时监控，实现自动识别流量中的风险行为。

产品特色

API资产全面梳理

自动发现公开的、私有的所有API并进行分类分级，包括影子API和僵尸API，形成API全量清单；自动识别暴露敏感数据的API ，并对暴露面进行分级，避免安全管理盲区，降低API数据泄漏与和合规风险。

API漏洞全面掌握

对API接口进行全面脆弱性评估，完整覆盖OWASP Top 10 ；针对暴露出的安全问题，提供对应的整改建议和风险证据样例。帮助企业快速整改。

异常行为持续监测

系统会采用机器学习技术主动对API接口进行攻击学习，发现针对具体API特性的攻击，识别暴力破解、弱密码登录、路径试探等攻击风险。

生命周期全面管理

自动并持续地发现内部、外部和第三方API，持续监测API的全生命周期，帮助企业实时掌握每一个API的活跃状态，包括API新增、失活、活跃等。对于不同类型的API资产进行相应的保护，实现对API的系统性管理。

应用场景

1. API资产梳理
2. API风险管理
3. API行为管理
4. API 访问溯源

数据安全态势感知（DSSA）

芯盾时代数据安全态势感知（DSSA）Data Security Situation Awareness专注于数据安全领域，它是一个综合展示和管理数据安全情况的平台，对数据流动和安全事件的实时监控和分析。平台通过全域流量一屏感知、数据流动安全基线、应用联动还原操作、数据访问落实到人和数据模型度量框架等手段，将数据安全管理形成闭环，从而全面提升金融行业的数据安全水平，减少潜在威胁和风险，更好地保护敏感信息和数据资产。

平台提供数据资产管理、分级分类、脱敏加密等安全能力融合，同时通过大数据技术进行数据分析，全面、精准的掌握数据安全状态，提升数据安全风险的主动预警能力、响应能力，形成数据安全监控的闭环。

产品特色

建立流量分析机制

保障数据安全，必须打破“数据孤岛”和“管理孤岛”，实现对数据流量的无死角监测，全面、精准的掌控全网的数据流动趋势，为识别异常行为奠定基础。

建立数据度量模型

应用大数据和AI技术，采用数据度量模型，精准的标识生产经营数据是行业的必然选择。

建立数据安全基线

通过整合应用白名单机制、数据流量阈值机制、场景化报警策略、应急预案，明确异常行为的判定标准，从而发现安全基线之上的异常事件，同时联动 IAM 等其他业务平台，依照应急响应预案，快速处理各种数据安全威胁。

提升IT策略可视度

针对IT策略与业务割裂的问题，基于零信任理念，建立以身份为核心的可视化监测平台。将数据安全防护体系与IAM联动后，能够将以往基于IP、token的数据安全规则升级为基于身份的访问控制策略，让业务人员能够以直观的方式感知到数据安全风险态势，赋予业务部门自行设定数据访问控制策略的能力，通过电子流的方式自动生产安全规则，让应用数据的人管理数据，实现IT策略与业务的对齐。

应用场景

1. 数据资产管控
2. 数据流向把控
3. 数据权限管控
4. 数据安全运营

数据库安全审计系统（DACS）

芯盾时代数据库安全审计系统Database Audit Cluster System（DACS），通过高效的策略引擎能够及时的发现各类针对数据库的越权访问和攻击的行为指纹，采用具有专利技术的并行存储引擎，能够轻松应对海量的SQL日志存储，结合特殊优化的索引技术，快速生成各类协议、访问行为特征的关键字索引。对超亿级的审计日志进行的关键字查询时，能够秒级返回查询结果。DACS能够真正帮助用户在面对各类数据库的行为审计时，做到：立即发现、立即告警、立即溯源。

DACS完全采用分布式集群架构，系统采用独有的智能解析引擎，能够对不同厂家的各个版本的数据库协议进行智能解析和识别，快速发现各类协议特征，无需单独设置。

产品特色

分布式集群架构

基于模块化、分布式的底层架构，具备横向扩展的集群化部署能力，可以根据业务规模的持续增长情况进行动态扩容。系统的主要功能模块均采用并行处理技术，极大的提高了单节点与整个集群的处理性能。

虚拟审计和业务隔离

DACS定义的群组可以是一个企业的部门，也可以是一个云上的租户，群组之间的安全审计业务相互隔离，不同群组的用户无法看到其他群组的配置和数据。

自适应的管理方式

DACS分布式审计集群的解析节点采用自适应的管理方式，新的节点部署后，只需要将流量牵引过来即可，无需额外配置。数据库的业务流量增加时，可以通过增加解析节点的方式提升审计集群的SQL解析能力。

敏感数据专项审计

DACS内置敏感数据分析引擎，能够自动对数据库内的数据进行扫描，发现各类敏感数据的存放位置，针对自动发现的结果可以由人工进行确认和梳理，确认无误后，可以一键生成敏感数据专项审计策略。

应用场景

1. 合规性审计
2. 敏感数据访问监控
3. 数据泄露溯源
4. 数据恢复与灾难恢复