产品介绍：全链路数据流动安全管理平台，采用旁路方式部署在内网核心交换机及办公网出口，用于统一管理数据库资产、Web应用资产、文件资产及邮件资产。发现企业内数据库流动，发现数据从Web应用、FTP、Email、数据库之间的数据流动关系。从而实现透视敏感数据的流动关系，发现业务数据流动的风险。支持进行策略的下发及单点能力系统的统一管理，有效解决公司当前阶段现有数据库安全体系中，单个产品只解决单点问题，并识别整体数据流动的风险。配合公司加快信息化建设及融合，打通数据安全监测全链路流程，防止数据安全孤岛出现，整合单点数据安全能力，整体提升数据安全能力体系等问题，提升数据安全监测与管控能力。

产品应用情况：

现今数据安全的防护已不仅限于针对静态数据库存储安全进行防护，不是把数据关在笼子里，需要监测并守护业务数据在整个流转过程中的安全。

因此在这个过程中，首先需要识别当前业务数据流转的现状，基于当前现状分析业务流转及暴露面的业务合规性，并通过监测手段识别流转过程中的业务数据风险，通过内部治理应对后，通过平台下发阻断及脱敏策略，及时遏制风险蔓延，并持续监测风险收敛态势，帮助安全运营人员提升业务整体安全性。

全链路数据流动安全管理平台，使用网络流量分析技术，可以对企业内部的结构化日志进行分析记录，发现用户行为风险，遇到数据泄漏问题时可以有据可查。

应用案例：

爱音乐企业数据安全建设项目为了响应信通院及其集团检查要求，落实“数据资产扫描识别”、“接口安全管理能力”、“数据分级分类”等数据安全技术能力的同时，能够在开展数据安全评估且有效减少投入的内部人力成本，因此急需一款半自动化数据安全评估工具帮助其自动生成报告，减少人力投入。并且对现有数据分级分类建设效果不满意，仅能进行查看和展示，系统无法提供第三方能力或接口进行二次开发或与其他安全产品联动，希望最终能够统一管理数据库资产、Web应用资产、文件资产及邮件资产，发现企业内数据库流动，发现数据从Web应用、FTP、Email、数据库之间的数据流动关系。从而实现透视敏感数据的流动关系，发现业务数据流动的风险。支持进行策略的下发及单点能力系统的统一管理，有效解决公司当前阶段现有数据库安全体系中，单个产品只解决单点问题，并识别整体数据流动的风险。配合公司加快信息化建设及融合，打通数据安全监测全链路流程，防止数据安全孤岛出现，整合单点数据安全能力，整体提升数据安全能力体系等问题，提升数据安全监测与管控能力。

技术突破：全链路产品通过接入应用和数据库的旁路流量的方式，实现了对客户系统的应用和数据库资产的识别，并且通过分析应用流量和数据库库流量中的数据关联度，生成了数据调用链路关系。在实现该功能的同时遇到了以下几个技术难点。

一、各类客户环境的应用系统和数据库系统具有数量多、部署点分散、部署方式差异大的特点，需要解决客户环境流量接入的问题，要求尽可能减小对客户系统的侵入性，减少流量接入成本，能够灵活快速地接入客户流量。
本产品采用旁路流量的方式接入客户流量，该方案不需要对客户已有的系统进行改造，只需要在核心交换机上接入镜像流量、或者在客户应用系统或数据库系统的服务器上安装Agent的方式采集流量即可。实现了对客户系统的零侵入，并且本产品的处理过程不会影响客户系统的正常业务，客户可放心接入。
二、部分大客户的系统流量比较大，为控制整体的硬件和部署成本，需要通过智能化采样的方式筛选出重要的流量进行三层关联，要求在不影响整体关联覆盖度的前提下，能够尽可能地减小系统负载和硬件成本。
本产品会自动根据当前流量大小进行采样策略的调整，当流量较小时，会尽可能多地让原始流量命中采样策略，供三层关联算法进行分析；当流量较大时，产品会根据接口URL、敏感标签、访问域、时间关联度等维度对原始流量进行采样，该策略会保证能够尽可能覆盖更多的应用、接口或数据库，同时减小同类流量的采样概率，以减小对三层关联算法的性能压力。
三、在对“用户/IP-应用-数据库”、“用户/IP-接口-表”进行三层关联时，需要通过内容匹配算法进行关联，要求该算法能够满足达到一定的准确率和覆盖率
本产品会对应用流量和数据库流量进行特征提取，提取内容包括时间、敏感内容、字段名、SQL模板等特征，将应用和数据库流量通过自研的时序内容匹配算法进行关联分析。算法还会计算关联置信度，通过后续流量不断修正置信度，当置信度满足特点阈值后，会生成三层关联关系，从而为客户提供核心的数据关联分析能力。