半岛.综合体育(中国)官方网站 bandao sports

深度分析 | 以风险监测驱动数据安全治理的思考与建议
创建时间:2022-06-15 浏览次数:1217


01

行业背景及现状行业背景及现状


近年来,随着国家大数据发展战略加快实施,国内数字经济和信息产业蓬勃发展,5G、大数据、人工智能、区块链等技术不断落地应用,产业数字化和数字产业化成效明显。新业态新技术在推动经济转型升级的同时,数据规模不断扩大、流动愈发频繁,数据泄露、滥用等风险日益凸显,对数据安全提出了更高的新要求。


2021年9月1日《数据安全法》的颁布实施,数据安全正式进入法治化的强监管时代,首次从法律层面明确数据安全保护义务,为开展数据处理活动的组织和个人提供了行为指引,同时各部门、各行业也陆续出台了数据安全相关配套规范,积极促进落实国家政策和上位法精神,推进数据安全治理体系建设。


根据国内外不同安全治理框架体系,可将数据安全治理分为三个阶段:第一阶段以保障安全合规驱动安全能力建设阶段(被动式)、第二阶段以安全风险驱动安全能力建设阶段(被动式)、第三阶段以企业总体安全策略驱动安全能力建设(主动式)。


鉴于安全的投入产出比难以衡量,企业安全建设往往以被动式建设为主,安全建设大多停留在第一阶段,缺乏对合规安全防护状态及业务场景多变性、复杂性引入风险的持续感知,安全管控形成表面式、粗放式,安全管控能力优化滞后于业务发展,导致安全事件屡发不止。


02

风险监测需要达到的安全目标分析


为解决企业安全建设中所产生的问题,完善数据安全治理,可以自动化监测技术为核心,建设对业务核心系统和关键数据安全的,帮助安全人员有效识别数据安全风险,并结合企业已有安全防护能力进行自动或人工精准管控,实现安全事件闭环处置,形成数据安全防护能力持续改进与安全策略持续优化能力,不断提升企业数据安全治理水平。具体可实现的安全目标包括:


1)敏感数据脉络梳理:即对被监测业务系统及关键数据对象的识别与梳理,实现关键数据(涉敏数据或对象等)类型、分类分级、分布的统一集中管理和可视化呈现。


2)数据安全监测:对数据采集、传输、处理、共享等各环节中的安全进行风险识别、基线学习、行为画像与风险预警等。


a)、数据本体脆弱性:对网络中敏感数据未加密、未脱敏、伪脱敏、弱加密等影响数据保密性的安全风险进行识别与预警。


b)、数据流转轨迹异常:对网络中的数据流向、流量、跨越对象等影响数据可用、可控性的安全风险进行识别与预警。


c)、数据操作行为异常:对涉敏系统的业务模块、敏感数据的越权操作、数据批量操作、异常传导、木马植入、外挂爬取、漏洞利用等影响数据保密性、完整性、可用性、可控性安全风险进行识别与预警。


d)、数据访问身份异常:对涉敏系统的业务模块、敏感数据访问身份的爆破、认证绕行、频繁登录、多终端登录、跨域登录等影响数据可用性、可控性安全风险进行识别与预警。


3)、嫌疑用户跟踪:根据IP+端口、操作类型、操作时间、操作频次、连接次数、访问业务系统等违反合规性规则的异常行为,对嫌疑用户进行持续跟踪并记录其操作行为。


4)、安全事件告警:根据对用户访问流量的分析,结合业务之间关联关系等维度,从异常行为中识别出安全事件并告警,根据危害程度确定事件等级。


5)、安全事件处置:对安全监测识别的安全告警进行自动联动处置或提供处置建议,并根据处置结果自动优化预警处置模型。


6)、违规举证:依据安全事件告警因子展开关联分析,对其用户访问行为进行日志稽核,检索其操作行为过程;对嫌疑用户行为进行定位,并列举出违反的合规性规则及访问原始内容。


7)、日志留存:对重要业务或涉敏数据的操作过程日志及告警信息进行保存。


03

实践的思路与建议


可通过Agent、SDN引流、流量镜像等多种流量采集手段,覆盖业务应用前后端数据资源访问的网络流量,聚焦数据、人、行为的特征的合规性及潜在风险进行深度分析,形成数据全链路流转过程的安全监测与风险感知能力,系统包含数据采集能力、数据识别能力、风险识别分析能力、预警处置能力、溯源取证、安全策略管理能力等,并具备高度开放扩展能力,以联动安全防护能力或调动安全制度处理流程,实现安全事件的闭环处置。如图1所示。


图1解决方案架构示意图


1)全链路流量还原与分析


通过分光或镜像方式对核心域出口流量进行采集,对数据流转的全链路流量进行协议解析、内容还原、数据清洗,实现对业务系统会话流量特征、数据内容进行提取、标记,多维度统计分析,建立流量分析基线,形成流量异常分析模型,为后续数据安全泄露风险分析提供基础数据。


2)数据识别与分级分类


利用大数据技术建模、统计算法及数据特征分析相结合的手段,形成敏感数据识别模型,识别访问响应数据内容、定位数据来源,并根据敏感数据对象类型及安全重要程度等要素对敏感数据进行分类分级,建立敏感数据、重要数据、核心数据分类分级清单。


3)数据脉络梳理


将网络流量五元组信息、数据识别结果关联录入系统的业务系统或应用,建立数据资产目录清单、敏感数据清单、用户账号清单等,绘制各业务系统之间的访问关系以及业务系统之间的数据流向关系,梳理数据安全风险场景与治理方案,构建数据安全风险监测要素及规则库。


4)数据安全风险感知


通过数据脉络梳理形成的安全规则库对已知安全风险场景数据内容、数据访问/操作/流转情况等进行实时安全分析,感知数据安全合规状态;对未知安全风险场景的行为或操作,通过机器学习、统计分析、特征关联分析等方法建立实体(账号映射)、数据、行为动态模型,构建用户账号与账号群组、账号与行为、账号与范围界限、行为与权限安全基线,剖析数据安全中的异常因素,感知数据安全未知风险,并对触发专家规则、安全基线的行为进行告警,同时对实体行为进行偏好分析,从基础属性、违规属性、空间属性、时间属性、对象属性等多个方面绘制实体立体画像,指导数据安全治理方向。


5)安全事件处置


数据安全风险告警通过系统或接口采用自动或手动方式直接驱动已建设三方安全能力,对安全告警信息及时推送到相关工单系统或将处置指令发送到纳入联动的安全系统,对数据或风险行为进行自动防护或阻断处置。如:4A账号锁定、数据加密、数据脱敏等。


6)违规操作回溯与取证


根据违规操作行为分析告警,提取告警风险因子,自动检索风险关联的访问时间、所涉系统、涉敏对象、流转轨迹、访问量等要素,对泄露数据或违规者所有操作进行定位与展示,形成以时间为轴的访问轨迹,展示操作过程全部步骤与具体内容,直观呈现所涉问题。


7)数据安全态势呈现


对所监测的业务系统的互联关系、涉敏数据、数据流转情况进行综合分析,评估数据安全治理水平,动态展示数据资产分布及访问热度、数据安全风险状况、违规告警分布、风险趋势等综合指标,提供数据安全治理建议等。


04

总结


为推进新技术新业态的发展,提高数据要素流通的效率及安全性,解决数据安全管控工作的资产脉络梳理、数据处理/流转安全监测、安全事件闭环处置中的难题。需以全局化、体系化建设思路出发,以风险安全监测为抓手展开对数据安全防护、管控、运营技术能力建设工作的层层推进,稳步提升企业整体数据安全治理能力。并通过敏感数据集中可视化、动态网络指标可视化、动态异常行为分析、快速定位异常问题的监管模式,对业务系统数据进行安全监控,以符合国家监管需求,符合国家数据安全能力发展方向,帮助提升国家、社会和企业数据安全治理水平。


(本文作者:成都半岛.综合体育入口科技有限责任公司 辜建超)


CCIA数据安全工作委员会单位介绍

成都半岛.综合体育入口科技有限责任公司(简称:半岛.综合体育入口)成立于2001年,是国内数据安全、内容安全、安全服务的先导企业。公司立足成都,辐射全国,构筑“支撑监管机构、立足通信行业、拓展云端用户、面向头部企业”共“四位一体”的业务体系。
公司秉持“让数据更安全”愿景,承担“服务数据增值”使命,固守“服务为本” 理念和价值观,为数据要素安全保驾护航。公司坚持数据安全核心技术能力,坚守以服务效果为导向的理念,为客户提供“懂得起、信得过、靠得住“的数据安全能力支撑。