DCAP是資料安全治理過程中的重要技術組成。DCAP（Data Centric Audit and Protection）是以資料為中心的審計與安全防護技術的統稱，這些技術能夠集中監控和管理使用者與特定資料集相關的行為。

一.  核心功能

資料分類和發現

資料安全治理的前提是對組織的資料進行分級分類，資料分類和發現是實現資料分級分類的技術支撐。目前大多資料分類和發現產品都附帶符合相關政策的內建字典或搜尋演算法，如PCI，HIPAA或GDPR。但是，不同產品的搜尋能力有所不同，例如速度和準確性。在特定DBMS，檔案型別，Hadoop或雲平臺搜尋的能力將因廠商而異。如果打算將產品與DBMS一起使用，需要搜尋到列/表元資料或欄位。此外，需要檢查是否可以在資料庫中的二進位制大物件（BLOB）或字元大物件（CLOB）中搜索資料。一些產品只能在非結構化檔案中進行搜尋，並通過將元資料附加到每個檔案進行標記。

資料安全策略管理 

資料安全治理中的資料安全策略管理是實現資料使用安全的基礎。資料安全策略管理需要提供統一管理控制檯的能力，可以控制所有資料儲存倉庫的安全策略。大多數產品會分拆這些功能，使用者需要分別購買不同的產品，但同時也需要通過單一的軟體或管理控制檯進行統一管理。將角色和責任在資料安全治理過程中統一起來的功能非常重要。策略的應用通常基於通過第三方產品（如（AD）或LDAP）進行身份驗證（使用者身份和業務角色）。策略管理人員定義對特定資料的訪問策略，甚至需要授予多個使用者組訪問多個數據單元的多對多的能力。如果應用程式通過使用連線池來提供更高效的資料訪問帳戶，那麼在應用程式的級別識別業務使用者的就是很重要的能力要求。有時可以通過與Kerberos等身份驗證協議與應用程式進行通訊，但並不是所有應用程式都提供此功能。其他產品可能會使用應用層的代理程式來收集使用者身份，從應用程式工具中關聯日誌，或者使用代理技術攔截和分析來自應用程式或Web伺服器的網網路通訊。以應用層為中心的工具將不具有資料層使用者訪問許可權的檢視。應該注意，還有其他控制措施來解決這個問題，例如額外的代理監控代理軟體或資料層的加密軟體。

監控使用者許可權和資料訪問行為 

資料安全治理中的使用者許可權監控和訪問行為管理是實現資料安全使用的手段。制訂安全策略來管理和監視所有可訪問特定資料集的應用使用者和管理許可權。監控AD成員資格的變化或個別許可權的更改是非常重要的，以確保它們符合業務角色、資料型別或資料儲存位置相關的要求。檢測資料修改、許可權提升和更改安全警報的功能，對於檢測潛在的惡意內部人員或外部***活動以及滿足合規性，但是並不是所有的產品都在儲存層執行，並且它們可能無法評估資料庫管理員，系統管理員或開發人員等特權使用者的能力。因此，產品能夠攔截各種管理員在資料和應用層的訪問也很重要。產品需要在伺服器峰值載入或網路通訊擁擠時持續執行。如果在基礎架構高度負載的情況下需要進行密集監控，則必須考慮網路架構和產品的能力要求。否則，可能導致延遲或在極端情況下不能監視某些行為。

審計和報表 

資料安全治理中的審計和報表技術是保證資料安全使用在既定規範內的關鍵。隨著資料分析要求的不斷增長，對報表功能的需求也將增長。在各種監管環境中的審計員需要有能力在歷史日誌的基礎上對使用者行為的進行洞察，這可能需要至少一個月的可訪問資料。合規性還將需要各種監控功能的審計跟蹤，例如異常使用者行為，資料更改，違反政策或更改許可權。在發生違規或安全事件的情況下，重要的是能夠進行審計日誌分析來追溯所有行為，包括資料訪問、修改或許可權更改。

行為分析，警報和阻斷 

資料安全治理中的行為分析和告警和阻斷是實現資料安全使用的技術保障。基於預先選擇的監控條件建立安全警報的能力至關重要，這可能導致不同級別的警報範圍從政策違規到訪問資料的可疑行為。警報機制，包括控制檯顯示器的告警、對關鍵安全人員、資料所有者或業務人員的自動訊息傳遞。也可以啟用其他功能，例如自動阻斷訪問或刪除行為。極端的反應可能包括在大規模資料下載情況下關閉訪問。未來的產品甚至能夠通過一些關聯分析來檢測異常行為。分析歷史訪問趨勢的能力將提供越來越重要的洞察力以檢測不適當的行為。產品的不同之處在於管理控制檯介面的易用性，可以管理和報告安全警報，以及不同資料儲存平臺內的報告的粒度。例如：關於資料庫審計行為，需要在可以檢測的命令數量與軟體/硬體處理能力以及結果集進行分析的能力之間進行權衡。如果伺服器或網路通訊已經嚴重載入，並且本地監視代理程式處理大量日誌的能力受到限制，則可能會發生這種情況。可以根據資料內容和組成員資格或許可權阻止資料訪問。當控制檯通過具有下發的策略管理或不同監視功能的代理或軟體來監督多個數據物件時，可能會有不同的檢測結果。

資料保護 

資料安全治理中的資料保護技術是實現資料安全的核心手段。一些供應商通過加密，令牌化或資料脫敏提供獨立的資料保護工具，而其他廠商不提供這些工具，這樣使用者需要獨立購買相關產品。在這兩種情況下，這些防護產品可能不會整合到單個管理控制檯中，並且需要與資料安全策略的仔細協調。選擇這些工具需要仔細評估每種可能提供的威脅和風險。例如，實現透明的資料庫加密可以防止系統管理員的訪問，但資料庫管理員仍然可以訪問。通過資料庫伺服器上的代理應用資料動態脫敏，並通過AD連結，可以用於防止資料庫管理員訪問。然而，儲存時資料不受保護；它仍然可以由系統管理員訪問。加密或令牌化欄位可以保護正在活動或儲存的資料元素，但必須注意這不會影響應用程式的操作。

相關技術

當前的Gartner對DCAP的研究覆蓋四個細分市場：資料庫審計和保護（DAP）；資料訪問管理（DAG）；雲訪問安全代理（CASB）；和資料保護（DP），其中包括加密，令牌化和資料脫敏（DM）。不同的進化軌跡，意味著不同的產品在其產品路線圖中具有不同的目標和基本功能。雖然沒有一款產品完全符合DCAP的要求，但這些產品在每種類別中都在完成跨資料處理物件的相容能力：

DAP

這些產品已經開發了多年，用於實施資料安全策略，資料分類和發現，特權訪問管理，資料活動監控或行為分析，審計和資料保護。以前，專注於RDBMS和資料倉庫，某些產品開始相容Hadoop和非結構化檔案共享以及DBaaS。

DAG

這是 有時被稱為以檔案為中心的審計和保護（FCAP）。通常，這些產品專注於實施檔案資料的安全訪問策略，資料分類和發現，以及檔案儲存庫和目錄服務（如SharePoint）的活動監視和審計。這些產品與身份和訪問管理（IAM）密切相關。一些產品也開始包含雲SaaS應用的功能。

CASB

在SaaS應用程式或雲端儲存環境（如Microsoft Office 365，Salesforce，ServiceNow，Box和Dropbox）中保護資料的能力正在通過多種產品快速增長。這些產品具備跨越DCAP，資料丟失防護（DLP）和使用者實體行為分析（UEBA）等能力的資料安全控制。CASB正在不斷髮展資料分類和發現，訪問控制，活動監控，審計和阻斷，改寫，加密，標記化和隔離等方面的不同組合。這些產品通常是獨立的，一些CASB可以從企業DLP產品匯入策略，但它們的管理並不與內部部署DLP整合。

DP

這些產品傳統上側重於通過多個數據倉庫（RDBMS，資料倉庫，非結構化大資料和一些基於雲的企業檔案同步和共享[EFSS]工具）的加密，標記化或遮蔽來保護資料。但是，通過新增實時警報，活動監控和審計功能，幾項產品已經創新發展。DAP和DAG產品可以提供對檔案或資料庫中所有資料的訪問的監視和審計，但這些DP產品通常只關注敏感資料型別。

產品可以使用各種技術通過應用層和/或資料層進行連線。通過需要應用層代理，介面或與特權管理工具的整合，穿透隱藏了身份標識的連線池，從而對來自應用層的個人訪問進行控制。