随着数据泄露事件的频发，企业和组织的安全意识逐渐建立起来，但在提出数据安全建设需求的时候，又往往对自身的数据资产状况不甚了解。因此，保护数据安全，不能简单粗暴的上各种安全产品，在此之前应首先将自家的数据资产状况梳理清楚。

数据资产梳理系统是数据安全治理整体解决方案的“开局利器”，能够帮助用户自动发现数据资产、提供数据敏感级管理、分类分级管理、动态监控敏感数据使用情况，从而掌握“数据家产”的现状，并理清数据安全建设的思路。本文将从静态梳理、动态梳理和客户价值三方面，介绍安华金和数据资产梳理系统。

安华金和数据资产梳理系统（简称DACS）是一款通过指定IP段和端口范围，自动搜索网内数据库，以授权方式进行敏感数据发现的数据库安全检查系统；能够帮助用户发现网内数据库和其中的敏感数据，并对数据资产进行不同类别和密级的划分，以便实现对敏感数据有差别和针对性的防护。系统可实现静态和动态两种梳理模式：

一、静态梳理

能够对当前网络环境中的数据库进行定位，并通过定期自动化搜索网内数据库等功能，为数据库安全管理提供准确的依据。针对数据库安全要求较高的客户，DACS系统可实现数据库权限梳理，避免过多账户有权访问重要的敏感数据，每个账户能访问哪些表，信息安全政策中有最小授权原则，这个权限梳理的功能可以配合检查，知悉范围。

1、先进的数据库自动嗅探与识别技术

数据资产梳理系统支持对数据库的全网自动搜索，也可指定 IP 段和端口范围搜索，自动发现数据库的端口号、类型、服务器 IP 地址等信息。

2、快速发现敏感数据，保护核心数据资产

一般应用的后台数据库都有成千上万张表，要保护您的核心数据资产，首先要了解核心数据资产在什么地方。DACS系统能够从海量数据中快速发现敏感数据，定位敏感数据的存储与分布情况，统计敏感数据的量级；并通过敏感数据发现功能对个人敏感信息、***账户信息、企业敏感信息等的表和列进行扫描，也支持用户自定义敏感对象的搜索关键字功能。

3、数据分类分级

支持依据自身业务特点对生产、采集、加工、使用的数据进行分类管理；支持以数据分类为基础，采用规范、明确的方法区分数据的重要性和敏感度差异，进行分级管理。

4、数据库账户权限梳理

定期检查数据库权限，满足最小授权原则。对于信息安全政策要求严格的单位，DACS系统采用持续的数据库权限状况监控功能，突破传统产品仅作为数据库安全检查工具的限制，能有效体现用户及权限变更等安全状况，并建立安全基线，实现安全变化状况分析报告与定性、定量相结合的评估模型。

二、动态梳理

针对应用系统运行、开发测试、对外数据传输和前后台操作等使用环节的数据流转、存储与使用进行监控；对应用侧、内部运维侧及开发测试的访问行为及敏感数据的访问频次进行热度分析；并动态监听应用与运维侧敏感数据的使用情况，及时发现敏感数据是否被滥用，从而为核心数据安全管控提供依据。

1、数据流向分析

敏感数据流向是通过网络流量侦听、精细sql语句解析等技术，结合sql语句的操作模型共同完成的流向分析；系统会对敏感数据的访问情况进行实时学习，并针对敏感数据的流入与流出两部分，动态的实现数据流向管理。

2、访问源分析

能够对访问源进行分析，包括访问数据库的用户信息、访问数据库的应用信息、访问数据库的主机信息、访问数据库的客户端信息等，并能够根据分析结果，绘制出数据库的日常访问拓扑图。

3、访问行为分析

能够对访问数据库及敏感数据的操作行为进行分析统计，包括SELECT（查询）、DML、DCL、DDL类型的操作。

4、访问热度分析

能够对数据库的日常访问流量进行分析，并按照语句、会话等不同维度汇总出数据库的访问热度统计图。

5、静默资产梳理

能够周期性统计没有被访问的数据库，帮助企业完成对系统使用与实际业务流程长期脱节、功能可被其他系统替代、所占用资源长期处于空闲状态、运行维护停止更新服务，以及使用范围小、频度低的“僵尸数据库”进行清查。

三、客户价值

1、满足安全检测标准规范

GB/T 22080-2-8即《信息技术/安全技术——信息安全管理体系要求》中规定：为适应不同组织或其部门的需要而定制的安全控制措施的实施要求，分为定量和定性的信息安全风险评估方法。

2、实时全面的数据库安全检查

DACS系统负责在客户指定的网络环境中，可以选择不同网段的网卡，通过自动和手动选择网段和端口这两种方式，帮助客户寻找到暴露在网络中的数据库。

3、数据库的敏感数据定位

诸多用户在敏感数据泄露事件发生后，才开始追查并分析具体原因；然而，作为复杂的数据库，针对敏感数据和权限等的管理信息通常数量巨大，手工追查、分析的工作方式复杂繁琐。DACS系统可提供对数据库敏感数据的持续监控能力，同时结合人工判断方式定位敏感数据，以实现对敏感数据的实时报告。

4、数据分类分级，促进数据安全共享

在重要的信息系统中，用户敏感数据的规模往往十分庞大，并呈现出分散、不集中的状况。DACS系统以业务活动为主线，关注资产对组织的重要性或其敏感程度的定性分析，同时考虑保密性、完整性和可用性三方面受损可能引发的后果， 从隐私安全与保护成本的角度出发，对数据资产进行分类与等级划分，进而根据不同需要对数据资产进行重点防护，等级定义一般可分为如下几种：

敏感数据：通过该类数据可直接识别特定用户，是与用户生活紧密相关的数据；

重要数据：通过该类数据可以得知产品商业价值等，是需谨慎使用的用户相关数据、产品核心数据；

一般数据：支撑业务逻辑及运行的数据，通过统计、分级、加工不会对用户或公司利益产生影响。

安华金和数据资产梳理系统（简称DACS）能够帮助企业有效开展数据资产安全状况摸底及数据资产管理相关工作；提高企业进行数据资产梳理工作的效率，保证数据资产梳理工作的质量。目前，DACS已广泛适用于银行、证券、保险等金融机构，同时在政府部门、涉密单位也有良好适用场景；在国家等级保护、分级保护等领域均具有很强的政策合规性，从制度与技术有效结合等方面为企业提供了具有创新优势的可靠支撑。