數(shù)據(jù)安全態(tài)勢感知運營中心建設(shè)桔皮書-奇安信-202201

數(shù)據(jù)安全態(tài)勢感知運營中心建設(shè)桔皮書奇安信科技集團(tuán)股份有限公司2022年1月版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、圖片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均為奇安信集團(tuán)（指包括但不限于奇安信科技集團(tuán)股份有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、北京網(wǎng)康科技有限公司）所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機(jī)構(gòu)未經(jīng)奇安信集團(tuán)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片段。

前言進(jìn)入21世紀(jì)以來，全球科技創(chuàng)新進(jìn)入空前活躍時期，新一代技術(shù)的不斷涌現(xiàn)驅(qū)動著數(shù)字經(jīng)濟(jì)的高速發(fā)展。2020年我國數(shù)字經(jīng)濟(jì)規(guī)模已達(dá)到39.2萬億元，占GDP比重達(dá)38.6%。受新冠疫情的影響，個性化醫(yī)療、在線教育、遠(yuǎn)程辦公等全面融入人們的日常工作與生活，數(shù)字經(jīng)濟(jì)發(fā)展進(jìn)一步加速，并成為我國經(jīng)濟(jì)高質(zhì)量發(fā)展的強大動力。數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)最核心生產(chǎn)要素，規(guī)模也呈爆發(fā)式增加。據(jù)著名咨詢機(jī)構(gòu)IDC預(yù)測，2025年全球數(shù)據(jù)量將高達(dá)175ZB。其中，中國數(shù)據(jù)量增速最為迅猛，預(yù)計2025年將增至48.6ZB，占全球數(shù)據(jù)圈的27.8％，平均每年的增長速度比全球快3％。這標(biāo)志著我國社會正在從IT時代邁進(jìn)DT時代。數(shù)據(jù)在推動數(shù)字經(jīng)濟(jì)高速發(fā)展的同時，數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全事件頻繁發(fā)生，數(shù)據(jù)安全風(fēng)險日益凸顯，數(shù)據(jù)安全問題受到國家和社會的高度重視。近年來，我國陸續(xù)發(fā)布了一系列數(shù)據(jù)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，明確了企業(yè)和組織在數(shù)據(jù)開發(fā)利用活動中的責(zé)任與義務(wù)，強調(diào)了數(shù)據(jù)安全建設(shè)的重要性與必要性。DT時代的數(shù)據(jù)環(huán)境是隨著業(yè)務(wù)發(fā)展而動態(tài)變化的，數(shù)據(jù)安全建設(shè)不是一蹴而就、一成不變的，更不是靠單一的技術(shù)就能達(dá)成的，因此數(shù)據(jù)安全領(lǐng)域提出了數(shù)據(jù)安全運營的理念，將技術(shù)、流程和人有機(jī)的結(jié)合，體系化的進(jìn)行數(shù)據(jù)安全建設(shè)。目錄TOC\o"1-3"\h\u一、 DT時代要以安全運營理念建設(shè)數(shù)據(jù)安全 頁，共16頁DT時代要以安全運營理念建設(shè)數(shù)據(jù)安全數(shù)據(jù)安全上升到國家戰(zhàn)略高度數(shù)據(jù)規(guī)模的不斷擴(kuò)大，對經(jīng)濟(jì)和社會的發(fā)展產(chǎn)生了深刻的影響，數(shù)據(jù)安全已經(jīng)與國家安全緊密相連。2021年9月1日，《數(shù)據(jù)安全法》正式頒布實施，由國家統(tǒng)籌數(shù)據(jù)要素發(fā)展和安全，推動數(shù)據(jù)安全建設(shè)。安全法的頒布將“數(shù)據(jù)安全”上升到了我國國家安全戰(zhàn)略高度，該法明確了國家層面建立數(shù)據(jù)分類分級、數(shù)據(jù)風(fēng)險評估、數(shù)據(jù)安全應(yīng)急處置和數(shù)據(jù)安全審查制度，全面加強重要數(shù)據(jù)保護(hù)，降低數(shù)據(jù)安全風(fēng)險，并要求數(shù)據(jù)處理者建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取數(shù)據(jù)安全技術(shù)研發(fā)、數(shù)據(jù)安全風(fēng)險檢測、定期數(shù)據(jù)安全風(fēng)險評估等措施，保障數(shù)據(jù)安全。同年11月1日，《個人信息保護(hù)法》正式頒布實施，將合法、正當(dāng)、必要與最小必要、透明公開、安全保障作為個人信息活動的基本原則，明確個人信息跨境處理要求，充分保障用戶對個人信息處理的知情權(quán)和控制權(quán)，賦予用戶刪除、查詢、更正、補充個人信息等權(quán)利，明確個人信息處理者應(yīng)當(dāng)遵循告知、個人信息分類、個人信息安全加密、敏感個人信息事前影響評估等義務(wù)，保障用戶個人信息安全。接連發(fā)布的數(shù)據(jù)安全法律法規(guī)，凸顯了數(shù)據(jù)安全的重要性，數(shù)據(jù)安全儼然上升到國家戰(zhàn)略高度。數(shù)據(jù)安全監(jiān)管力度持續(xù)擴(kuò)大數(shù)據(jù)的加速流轉(zhuǎn)促進(jìn)各行各業(yè)的信息互通，數(shù)據(jù)安全問題也變得越來越復(fù)雜，行業(yè)監(jiān)管部門密集開展數(shù)據(jù)安全和個人信息保護(hù)專項工作。2019年1月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國家市場監(jiān)督總局聯(lián)合在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理活動，對App運營者收集使用用戶信息行為進(jìn)行監(jiān)督管理，嚴(yán)格查處違法違規(guī)收集使用個人信息行為。2021年7月，國家網(wǎng)信辦連續(xù)發(fā)布了對多家互聯(lián)網(wǎng)公司實施網(wǎng)絡(luò)安全審查的公告，審查期間，所有APP停止新用戶注冊。被進(jìn)行網(wǎng)絡(luò)安全審查的幾家企業(yè)都掌握大量用戶隱私數(shù)據(jù)，并且業(yè)務(wù)與關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)。針對運營商行業(yè)，工信部根據(jù)《國務(wù)院國有資產(chǎn)監(jiān)督管理委員會關(guān)于開展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見》，自2019年起連續(xù)三年制定《省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點與評分標(biāo)準(zhǔn)》和《基礎(chǔ)電信企業(yè)專業(yè)公司網(wǎng)絡(luò)與信息安全工作考核要點與評分標(biāo)準(zhǔn)》，對基礎(chǔ)電信企業(yè)及其專業(yè)公司的數(shù)據(jù)安全工作進(jìn)行考核評估。以數(shù)據(jù)安全運營理念持續(xù)保障數(shù)據(jù)安全DT時代下，數(shù)據(jù)在創(chuàng)造巨大經(jīng)濟(jì)價值的同時，國家高度重視數(shù)據(jù)安全，行業(yè)的監(jiān)管力度也不斷加碼，企業(yè)和組織落實數(shù)據(jù)安全建設(shè)已經(jīng)迫在眉睫，但如何下手，從哪兒開始成為了最大的問題。由于數(shù)據(jù)環(huán)境是隨著業(yè)務(wù)發(fā)展動態(tài)變化的，數(shù)據(jù)在流動過程中各環(huán)節(jié)都可能面臨不同的安全風(fēng)險，依賴單一的安全根本無法解決。比如數(shù)據(jù)共享環(huán)節(jié)中，數(shù)據(jù)訪問控制技術(shù)能解決單一組織范圍內(nèi)的授權(quán)管理問題，卻無法解決跨組織的數(shù)據(jù)流向追蹤問題，導(dǎo)致無法實現(xiàn)對數(shù)據(jù)接收方的數(shù)據(jù)處理活動進(jìn)行實時監(jiān)控和審計，極易造成數(shù)據(jù)濫用的風(fēng)險。同時，由于數(shù)據(jù)本身結(jié)構(gòu)的多樣性，使得在特定場景下數(shù)據(jù)安全風(fēng)險難以被檢測。比如在數(shù)據(jù)外發(fā)的場景中，通過內(nèi)容檢測可以輕松的發(fā)現(xiàn)外發(fā)的文本文件中是否存在敏感信息，但如果將文件進(jìn)行壓縮或者拍照外發(fā)，則可能輕易繞過內(nèi)容檢測，導(dǎo)致敏感數(shù)據(jù)泄漏。而且數(shù)據(jù)關(guān)聯(lián)關(guān)系復(fù)雜、敏感程度不一，單一的數(shù)據(jù)項可能無法形成敏感內(nèi)容，但是多個數(shù)據(jù)項進(jìn)行組合就可能推導(dǎo)出敏感信息?！叭恕蓖前踩w系中最薄弱的一環(huán)，因為“人”是技術(shù)的建設(shè)者，更是流程的執(zhí)行者，一旦“人”的安全意識不到位，再好的技術(shù)和流程都是空談。惡意的內(nèi)部人員利用自身的合法訪問權(quán)限進(jìn)行數(shù)據(jù)違規(guī)操作的事件比比皆是，例如影響惡劣的微盟“刪庫”事件；浙江某農(nóng)商銀行由于內(nèi)部員工違規(guī)泄漏客戶信息被銀保監(jiān)會罰款30萬。面對復(fù)雜多變的數(shù)據(jù)安全威脅，應(yīng)以安全運營的理念落實，將技術(shù)、流程、人進(jìn)行有機(jī)結(jié)合，根據(jù)數(shù)據(jù)安全態(tài)勢、技術(shù)發(fā)展和業(yè)務(wù)流程等的不斷變化演進(jìn)式地完善數(shù)據(jù)安全體系建設(shè)。DT時代下數(shù)據(jù)安全運營面臨的主要挑戰(zhàn)數(shù)據(jù)資產(chǎn)難梳理，分類分級難落地隨著數(shù)字化的持續(xù)推進(jìn)，各行業(yè)對數(shù)據(jù)感知、存儲、傳輸、處理等能力提出了更高要求。隨著企業(yè)對大數(shù)據(jù)技術(shù)的大規(guī)模采用，數(shù)據(jù)量呈PB級迅速激增，且業(yè)務(wù)的持續(xù)擴(kuò)大與數(shù)據(jù)應(yīng)用的不斷裂變，往往存在這樣的現(xiàn)象——大量的老數(shù)據(jù)存儲在不同的、分散的中小型結(jié)構(gòu)化數(shù)據(jù)庫中，同時持續(xù)在建的數(shù)據(jù)倉庫或數(shù)據(jù)中臺則承擔(dān)了大量新業(yè)務(wù)的數(shù)據(jù)存儲職能，這就造成了數(shù)據(jù)的分布廣泛且規(guī)模龐大的特點。同時，企業(yè)不斷推出的新業(yè)務(wù)也推動著數(shù)據(jù)形態(tài)特點不斷演進(jìn)——海量、多元和非結(jié)構(gòu)化成為數(shù)據(jù)發(fā)展新常態(tài)，數(shù)據(jù)環(huán)境呈現(xiàn)多樣化、復(fù)雜化特征，使得大量文本、圖片、視頻等非結(jié)構(gòu)化數(shù)據(jù)被產(chǎn)生、存儲和使用。例如，在智慧城市場景中，各類傳感設(shè)備采集的數(shù)據(jù)從單一內(nèi)部小數(shù)據(jù)形態(tài)向多元動態(tài)大數(shù)據(jù)形態(tài)發(fā)展。海量、分布廣泛、結(jié)構(gòu)各異的數(shù)據(jù)給企業(yè)對自身數(shù)據(jù)資產(chǎn)的梳理造成了困難，而建立在數(shù)據(jù)資產(chǎn)梳理基礎(chǔ)之上的分類分級工作的實施則更無從談起。數(shù)據(jù)流動難監(jiān)測，聯(lián)防聯(lián)控難實施新一代信息技術(shù)的快速發(fā)展，企業(yè)的運行效率不斷被優(yōu)化和提升，企業(yè)新生業(yè)務(wù)對數(shù)據(jù)流動性要求日益增加，由此帶來的是微服務(wù)架構(gòu)的盛行，對數(shù)據(jù)變化則是調(diào)用鏈變得更長了。單體應(yīng)用架構(gòu)下數(shù)據(jù)只經(jīng)過單個服務(wù)的處理就流向了終端（人），而在微服務(wù)架構(gòu)下，服務(wù)的職能被切分的更加細(xì)致，數(shù)據(jù)可能需要經(jīng)過幾個甚至十幾個服務(wù)的處理才會流向終端（人）；而云和容器技術(shù)的廣泛采用，南北向與東西向交叉的數(shù)據(jù)的調(diào)用鏈甚至能織成一張數(shù)據(jù)流動“網(wǎng)”。同時，中大型企業(yè)的數(shù)據(jù)業(yè)務(wù)變得更加開放，數(shù)據(jù)的訪問可能來源于企業(yè)內(nèi)部，也可能來自于分支結(jié)構(gòu)，甚至是外部的第三方合作伙伴；訪問的客戶端也從PC更多的轉(zhuǎn)向各種手持設(shè)備，因此數(shù)據(jù)的訪問來源也變得更加復(fù)雜。面對數(shù)據(jù)調(diào)用鏈長，訪問來源多的場景，進(jìn)行全面的業(yè)務(wù)梳理往往需要投入大量人力，而且安全部門與業(yè)務(wù)部門之間往往存在配合難問題，企業(yè)想建立清晰的數(shù)據(jù)流動監(jiān)測視圖非常困難。由于企業(yè)對數(shù)據(jù)流動視圖處于“失明”狀態(tài)，導(dǎo)致數(shù)據(jù)安全建設(shè)時只能采取傳統(tǒng)的堆砌式的數(shù)據(jù)安全單品防護(hù)，實現(xiàn)“頭痛醫(yī)頭腳痛醫(yī)腳”，而體系化的聯(lián)防聯(lián)控只能淪為紙上談兵。數(shù)據(jù)風(fēng)險難發(fā)現(xiàn)，安全評估難進(jìn)行數(shù)據(jù)安全與網(wǎng)絡(luò)安全最大的不同在于，數(shù)據(jù)安全的違規(guī)行為往往隱藏在正常的辦公行為中，甚至很多事件是已授權(quán)的用戶、應(yīng)用、API等對象非法操作導(dǎo)致的。例如水滴泄密——企業(yè)內(nèi)部員工利用自身合法權(quán)限每天進(jìn)行少量敏感數(shù)據(jù)下載，積累到一定程度后加密壓縮外發(fā)到個人網(wǎng)盤；數(shù)據(jù)API濫用——數(shù)據(jù)API按業(yè)務(wù)需求開放后，可能有具備權(quán)限的第三方服務(wù)沒有按約定場景使用，或長時間沒有使用形成暴露在外的幽靈API等。由于從業(yè)務(wù)視角短期來看這些行為都屬于正常行為，但實際上已成為潛在的數(shù)據(jù)安全風(fēng)險。同時，對數(shù)據(jù)泄漏事件的檢測與識別也變得更加困難，據(jù)IBM發(fā)布的《2021年數(shù)據(jù)泄漏成本報告》顯示，2021年識別一起數(shù)據(jù)泄漏事件平均需要212天，遏制一起數(shù)據(jù)泄漏事件平均需要75天，總生命周期為287天。由此可見，惡劣數(shù)據(jù)泄漏往往是由一系列“微小”的可疑操作組成的，混淆在正常行為中，導(dǎo)致企業(yè)難以及時發(fā)現(xiàn)其中的數(shù)據(jù)安全風(fēng)險，而有效的風(fēng)險檢測能力的缺少注定其定期開展的數(shù)據(jù)風(fēng)險評估是“失真”的，不可靠的。數(shù)據(jù)安全態(tài)勢感知是安全運營的前提DT時代下，數(shù)據(jù)資產(chǎn)的分布是廣泛的，數(shù)據(jù)流動的路徑是復(fù)雜的，數(shù)據(jù)違規(guī)的風(fēng)險是隱蔽的，這導(dǎo)致數(shù)據(jù)泄漏事件成因復(fù)雜交織，既有外部攻擊，也有內(nèi)部威脅；既有技術(shù)漏洞，也有管理缺陷；既有新技術(shù)新模式觸發(fā)的新風(fēng)險，也有傳統(tǒng)安全問題的持續(xù)觸發(fā)，因此單純依靠傳統(tǒng)的被動式的防御措施根本無法抵御蓄謀已久的數(shù)據(jù)安全攻擊行為，任何基于“單點”防御的體系都難以避免被欺騙或繞過。因此，Gartner提出的自適應(yīng)安全架構(gòu)（AdaptiveSecurityArchitecture）強調(diào)了“防御、檢測、響應(yīng)、預(yù)測”的重要性?！胺烙笔侵敢幌盗胁呗约?、產(chǎn)品和服務(wù)可以用于防御攻擊，關(guān)鍵目標(biāo)是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作；“檢測”是用于發(fā)現(xiàn)那些逃過“防御”措施的攻擊，關(guān)鍵目標(biāo)是降低威脅造成的“停擺時間”以及其他潛在的損失；“響應(yīng)”是用于高效調(diào)查和補救被檢測分析功能(或外部服務(wù))查出的事務(wù)，以提供風(fēng)險來源分析，并產(chǎn)生新的“防御”措施來避免未來事故；“預(yù)測”使系安全體系可從持續(xù)監(jiān)測的風(fēng)險中學(xué)習(xí)，以主動鎖定對現(xiàn)有系統(tǒng)和信息具有威脅的新行為，該行為被將反饋到“防御”和“檢測”功能，從而構(gòu)成整個處理流程的閉環(huán)。面對日益增長的數(shù)據(jù)安全威脅，DT時代的數(shù)據(jù)安全體系建設(shè)需要不斷演進(jìn)，基于自適應(yīng)安全架構(gòu)（ASA）的思想內(nèi)核，數(shù)據(jù)安全態(tài)勢感知顯得尤為重要，只有切切實實地對數(shù)據(jù)安全風(fēng)險做到“可感知”，才能實現(xiàn)數(shù)據(jù)安全的“可運營”，因此建立一套全局的數(shù)據(jù)安全態(tài)勢感知運營中心來指導(dǎo)數(shù)據(jù)安全體系建設(shè)，是解決問題之道。數(shù)據(jù)安全態(tài)勢感知運營中心的關(guān)鍵舉措基于自適應(yīng)安全架構(gòu)（ASA）思想內(nèi)核的數(shù)據(jù)安全態(tài)勢感知運營中心是用于指導(dǎo)整個數(shù)據(jù)安全體系建設(shè)的，應(yīng)該具備六大安全能力。盤清家底：以數(shù)據(jù)資源為核心的資產(chǎn)管理中心建立以數(shù)據(jù)資源為核心的資產(chǎn)管理中心，是數(shù)據(jù)安全運營的前提。通過技術(shù)手段對企業(yè)自身擁有的數(shù)據(jù)資產(chǎn)進(jìn)行全面的盤點，掌握數(shù)據(jù)資產(chǎn)分布、數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)內(nèi)容結(jié)構(gòu)、數(shù)據(jù)資產(chǎn)歸屬、數(shù)據(jù)資產(chǎn)使用狀態(tài)等信息，最終的目標(biāo)是構(gòu)建“一棵既有業(yè)務(wù)屬性也有安全屬性的數(shù)據(jù)資產(chǎn)目錄樹”。數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)是解決數(shù)據(jù)資產(chǎn)分布廣泛問題的有效手段，通常是以主動發(fā)現(xiàn)與被動探測相結(jié)合的方式進(jìn)行。數(shù)據(jù)資產(chǎn)主動發(fā)現(xiàn)是在安全策略的配合下，通過主動嗅探的方式掃描全網(wǎng)地址，對潛在的數(shù)據(jù)源建立連接并構(gòu)造請求內(nèi)容，解析響應(yīng)內(nèi)容從而收集數(shù)據(jù)源基本信息；數(shù)據(jù)資產(chǎn)被動探測是通過鏡像核心交換的流量來進(jìn)行協(xié)議解析，根據(jù)協(xié)議類型確定數(shù)據(jù)源類型，從而達(dá)到收集數(shù)據(jù)源基本信息的目的。通過數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)實現(xiàn)全網(wǎng)數(shù)據(jù)源的初步收集，從而建立數(shù)據(jù)資產(chǎn)頂層目錄。數(shù)據(jù)資產(chǎn)掃描可豐富數(shù)據(jù)資產(chǎn)目錄的“葉子”節(jié)點。在安全部門的配合下，使用數(shù)據(jù)源的認(rèn)證信息（通常只需可讀權(quán)限）主動連接數(shù)據(jù)源，對數(shù)據(jù)內(nèi)容和數(shù)據(jù)結(jié)構(gòu)進(jìn)行掃描，進(jìn)一步收集數(shù)據(jù)資產(chǎn)的結(jié)構(gòu)、內(nèi)容等元信息，從而細(xì)化數(shù)據(jù)資產(chǎn)目錄。為應(yīng)對數(shù)據(jù)規(guī)模龐大且持續(xù)增加的特點，數(shù)據(jù)掃描應(yīng)具備定期增量式掃描的能力，減少掃描的時間。最后，在安全部門和業(yè)務(wù)部門的配合下，對數(shù)據(jù)資產(chǎn)的使用目的、方式、范圍以及管理歸屬等信息進(jìn)行補充，最終形成完整的數(shù)據(jù)資產(chǎn)目錄樹?；跇?gòu)建出來的數(shù)據(jù)資產(chǎn)目錄，開展數(shù)據(jù)分類分級。結(jié)合相關(guān)行業(yè)的分類分級標(biāo)準(zhǔn)和業(yè)務(wù)現(xiàn)狀，數(shù)據(jù)安全專家、企業(yè)安全部門與業(yè)務(wù)部門相互配合，定制化輸出符合業(yè)務(wù)發(fā)展的數(shù)據(jù)分類分級模板，依據(jù)模板落實分類分級工作。分類分級以數(shù)據(jù)識別技術(shù)為基礎(chǔ)——在數(shù)據(jù)掃描的過程中，通過關(guān)鍵字、正則表達(dá)式等匹配技術(shù)，結(jié)合上下文信息對結(jié)構(gòu)化數(shù)據(jù)進(jìn)行識別；以機(jī)器學(xué)習(xí)、自然語言處理、光學(xué)字符識別等智能化技術(shù)對非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)進(jìn)行識別，輔助安全人員落實數(shù)據(jù)資產(chǎn)分類分級。聯(lián)防聯(lián)控：以分類分級為核心的策略協(xié)同中心數(shù)據(jù)的開發(fā)利用和數(shù)據(jù)安全防護(hù)往往是一對矛盾體，數(shù)據(jù)在沒有任務(wù)防護(hù)措施的情況下“裸奔”對數(shù)據(jù)的開發(fā)利用是最高效的；同樣的，通過物理手段、技術(shù)手段將數(shù)據(jù)層層“包圍”起來不做任務(wù)開發(fā)利用，則數(shù)據(jù)是最安全的，但兩者均不利于組織整體業(yè)務(wù)健康地、可持續(xù)的發(fā)展。數(shù)據(jù)安全建設(shè)應(yīng)圍繞分類分級的結(jié)果進(jìn)行開展，對不同類別、不同級別的數(shù)據(jù)資產(chǎn)進(jìn)行差異化的防護(hù)能力建設(shè)和安全策略配置，實現(xiàn)數(shù)據(jù)業(yè)務(wù)發(fā)展和安全管控的平衡。將分類分級結(jié)果轉(zhuǎn)化為業(yè)務(wù)知識，為數(shù)據(jù)資產(chǎn)提供安全防護(hù)建議，并結(jié)合具體的數(shù)據(jù)安全防護(hù)組件，統(tǒng)一地下發(fā)安全策略，實現(xiàn)以分類分級為核心的策略協(xié)同能力。例如針對核心級別的數(shù)據(jù)資產(chǎn)，采用加密技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)；針對重要級別的數(shù)據(jù)資產(chǎn)，采取脫敏技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)；而對普通數(shù)據(jù)，則采取審計技術(shù)對數(shù)據(jù)訪問進(jìn)行留痕。同時，聯(lián)動數(shù)據(jù)鏈路上數(shù)據(jù)安全措施，主要包括打通其策略配置通道和日志、告警上報通道，及時感知防護(hù)能力的薄弱環(huán)節(jié)并自動調(diào)整策略，實時監(jiān)測數(shù)據(jù)的防護(hù)能力狀態(tài)，從而構(gòu)建一幅關(guān)系到“數(shù)據(jù)資產(chǎn)、業(yè)務(wù)、安全策略”的安全業(yè)務(wù)視圖。流動監(jiān)測：以業(yè)務(wù)流程為核心的動態(tài)監(jiān)測中心通過數(shù)據(jù)資產(chǎn)梳理可以掌握數(shù)據(jù)資產(chǎn)的“靜”態(tài)狀況，而數(shù)據(jù)流動監(jiān)測則是為了掌握數(shù)據(jù)的“動”態(tài)狀況。以“什么人”“什么時間”對“什么數(shù)據(jù)”執(zhí)行“什么操作”為基本監(jiān)測原則，從時間、頻率、數(shù)量、類型、源信息、目的信息等多個維度進(jìn)行統(tǒng)計分析，建立行為基線和行為趨勢圖，將數(shù)據(jù)流動的情況進(jìn)行動態(tài)測繪。涉敏對象梳理。以數(shù)據(jù)為粒度，通過解析數(shù)據(jù)訪問協(xié)議，對應(yīng)用、API、用戶等涉敏對象進(jìn)行梳理，形成應(yīng)用清單、API清單和用戶清單，為全局的數(shù)據(jù)業(yè)務(wù)視圖提供“節(jié)點”信息。敏感數(shù)據(jù)使用監(jiān)測。基于梳理出來的涉敏對象，對應(yīng)用、API、用戶的數(shù)據(jù)操作行為進(jìn)行細(xì)粒度的審計，結(jié)合數(shù)據(jù)資產(chǎn)分類分級的知識對操作行為打上不同的標(biāo)簽，并根據(jù)訪問、歸屬等維度自動組織涉敏對象之間的關(guān)聯(lián)關(guān)系，為全局的數(shù)據(jù)業(yè)務(wù)視圖提供“連線”信息。構(gòu)建數(shù)據(jù)流動地圖。通過涉敏對象梳理提供的“節(jié)點”信息與敏感數(shù)據(jù)監(jiān)測提供的“連線”信息，結(jié)合數(shù)據(jù)資產(chǎn)目錄，對數(shù)據(jù)源、應(yīng)用、API、用戶之間的數(shù)據(jù)流動關(guān)系（流動方向、數(shù)據(jù)類型、數(shù)據(jù)量）進(jìn)行動態(tài)測繪；同時，在業(yè)務(wù)人員的配置下，根據(jù)實際業(yè)務(wù)場景細(xì)化數(shù)據(jù)的使用目的、使用方式和管理組織等信息，實現(xiàn)數(shù)據(jù)流動視化。通過數(shù)據(jù)流動監(jiān)測，全局掌握企業(yè)數(shù)據(jù)的“動”態(tài)狀況，從而構(gòu)建一幅關(guān)系到“數(shù)據(jù)資產(chǎn)、業(yè)務(wù)、主體”的全局?jǐn)?shù)據(jù)業(yè)務(wù)視圖。風(fēng)險分析：以行為分析為核心的風(fēng)險管理中心數(shù)據(jù)安全違規(guī)行為是隱蔽的，數(shù)據(jù)泄漏事件的發(fā)現(xiàn)是滯后的，因此及時發(fā)現(xiàn)數(shù)據(jù)風(fēng)險并預(yù)警是數(shù)據(jù)安全運營的重要目標(biāo)——建立以行為分析為核心的風(fēng)險管理中心，對數(shù)據(jù)的行為信息進(jìn)行全面收集、審計，結(jié)合數(shù)據(jù)資產(chǎn)分布狀態(tài)、數(shù)據(jù)流動狀態(tài)和分類分級結(jié)果進(jìn)行智能化分析，識別其中潛在的安全風(fēng)險并及時告警與處置，遏制數(shù)據(jù)泄漏事件的發(fā)生，防范于未然。全面的行為日志采集與處理是數(shù)據(jù)安全風(fēng)險檢測的基礎(chǔ)。行為日志包括操作日志和告警日志，日志內(nèi)容須細(xì)化到具體的數(shù)據(jù)粒度。對部署在數(shù)據(jù)鏈路上的數(shù)據(jù)探針和安全產(chǎn)品的日志進(jìn)行全面收集，按照統(tǒng)一的日志標(biāo)準(zhǔn)進(jìn)行格式化，從不同的維度對日志進(jìn)行富化，從而構(gòu)建一個多源行為日志庫，為數(shù)據(jù)安全風(fēng)險分析提供基礎(chǔ)素材。集離線分析、實時分析、告警歸并能力于一身的聯(lián)合分析引擎是檢測隱蔽的數(shù)據(jù)違規(guī)行為、識別潛在的數(shù)據(jù)泄漏事件的利器。離線分析能力強調(diào)的是準(zhǔn)確性，通過對海量的行為日志進(jìn)行大數(shù)據(jù)挖掘，在海量的業(yè)務(wù)行為中準(zhǔn)確地識別出數(shù)據(jù)違規(guī)行為；實時分析能力強調(diào)的是時效性，通過對在時間和數(shù)量無限分布的一系列動態(tài)日志進(jìn)行流式計算，實現(xiàn)秒級響應(yīng)，及時識別潛在的數(shù)據(jù)泄漏事件；告警歸并是強調(diào)告警的價值性，通過對大量的告警日志從不同維度進(jìn)行聚合與統(tǒng)計，并設(shè)置相應(yīng)的穿透規(guī)則，將真正有價值的告警信息從大量的噪音中過濾出來。通過行為日志的采集、處理，以強大的聯(lián)合分析引擎為技術(shù)基礎(chǔ)，輔以豐富的分析策略如傳統(tǒng)的規(guī)則匹配、統(tǒng)計分析和基于智能學(xué)習(xí)方法的多源關(guān)聯(lián)挖掘、行為鏈分析、動態(tài)基線分析等模型，靈活的應(yīng)對不同場景下的數(shù)據(jù)安全風(fēng)險檢測，結(jié)合豐富的處置流程進(jìn)行跟蹤響應(yīng)，確保數(shù)據(jù)風(fēng)險得到解決，真正實現(xiàn)可控的風(fēng)險管理。安全評估：以安全合規(guī)為核心的安全評估中心《數(shù)據(jù)安全法》中明確提出要求“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估”，同時出于對自身數(shù)據(jù)保護(hù)的需求，企業(yè)必須要開展的數(shù)據(jù)安全活動是定期開展數(shù)據(jù)安全評估。以法律法規(guī)和行業(yè)監(jiān)管部門的考核要求為基礎(chǔ)，結(jié)合企業(yè)自身的業(yè)務(wù)場景，定制化輸出安全評估模板，以半自動化的方式開展數(shù)據(jù)安全風(fēng)險評估工作，形成電子化的風(fēng)險評估報告。安全評估模板應(yīng)至少包含以下評價要素：數(shù)據(jù)管理組織架構(gòu)。應(yīng)成立專門的數(shù)據(jù)管理組織，并以“一把手”掛帥，結(jié)合業(yè)務(wù)場景設(shè)置不同的管理角色；同時將不同的數(shù)據(jù)資產(chǎn)歸屬到該組織中的具體人，確保數(shù)據(jù)認(rèn)責(zé)。數(shù)據(jù)管理規(guī)章制度。數(shù)據(jù)管理制度是開展數(shù)據(jù)處理活動和落實數(shù)據(jù)安全建設(shè)的指導(dǎo)思想，應(yīng)由數(shù)據(jù)管理組織牽頭將數(shù)據(jù)管理制度成文并公告，明確數(shù)據(jù)管理責(zé)任與義務(wù)。數(shù)據(jù)分類分級。分類分級既是合規(guī)要求，也是安全建設(shè)的基礎(chǔ)?；谫Y產(chǎn)管理中心提供的資產(chǎn)目錄與分類分級結(jié)果，自動生成分類分級明細(xì)清單、統(tǒng)計分類分級完成度、并結(jié)合分類分級有效期、分類分級管理制度等指標(biāo)進(jìn)行合理評價。數(shù)據(jù)資產(chǎn)風(fēng)險。基于風(fēng)險管理中心提供的安全告警，結(jié)合數(shù)據(jù)資產(chǎn)分類分級情況，對不同類別、不同級別的數(shù)據(jù)資產(chǎn)的不同風(fēng)險形成明細(xì)清單與統(tǒng)計圖表，結(jié)合數(shù)據(jù)處理活動、聯(lián)防聯(lián)控措施等指標(biāo)進(jìn)行合理評價。數(shù)據(jù)權(quán)限管理?；诓呗詤f(xié)同中心提供的安全業(yè)務(wù)視圖和動態(tài)監(jiān)測中心提供的數(shù)據(jù)業(yè)務(wù)視圖，自動生成數(shù)據(jù)權(quán)限現(xiàn)狀圖，加上人工補充缺失的（如線下執(zhí)行）權(quán)限明細(xì)，結(jié)合數(shù)據(jù)處理活動進(jìn)行合理評價。數(shù)據(jù)操作審計?；陲L(fēng)險管理中心提供的多源行為日志庫，按操作時間等不同維度自動生成數(shù)據(jù)操作審計明細(xì)表與操作熱度統(tǒng)計表，結(jié)合分類分級結(jié)果和數(shù)據(jù)處理活動進(jìn)行合理評價。應(yīng)急響應(yīng)?；陲L(fēng)險管理中心提供的風(fēng)險告警與事件處置數(shù)據(jù)，自動生成告警-事件-處置明細(xì)表，按分類分級、響應(yīng)時長等不同維度生成統(tǒng)計圖表，結(jié)合數(shù)據(jù)處理活動進(jìn)行合理評價。通過定期開展數(shù)據(jù)安全評估，幫助企業(yè)從宏觀角度發(fā)現(xiàn)數(shù)據(jù)安全薄弱環(huán)節(jié)，提出整改建議，從而有的放矢地進(jìn)行安全能力建設(shè)。持續(xù)運營：以態(tài)勢感知為核心的安全運營中心安全以“檢測”為始，以“響應(yīng)”為終，整個過程可稱之為“持續(xù)運營”。在數(shù)據(jù)違規(guī)行為對數(shù)據(jù)資產(chǎn)造成損害之前，及時制止損害或降低損失是安全體系的最終防線，也是持續(xù)運營的目標(biāo)。全面的數(shù)據(jù)安全態(tài)勢感知是安全運營的抓手。基于資產(chǎn)管理中心提供的數(shù)據(jù)資產(chǎn)目錄，通過對指定時間段內(nèi)的數(shù)據(jù)資產(chǎn)分布、敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計分析與趨勢預(yù)測，自動生成敏感數(shù)據(jù)分布態(tài)勢圖；基于策略協(xié)同中心提供的安全業(yè)務(wù)視圖和動態(tài)監(jiān)測中心提供的數(shù)據(jù)業(yè)務(wù)視圖，通過對安全策略變更和數(shù)據(jù)庫、應(yīng)用、API等涉敏對象的敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計分析與趨勢預(yù)測，自動生成敏感數(shù)據(jù)流動態(tài)勢圖；基于風(fēng)險管理中心提供的數(shù)據(jù)，對分布在不同位置、不同時間、不同類別、不同級別的數(shù)據(jù)資產(chǎn)的安全告警、事件處置等指標(biāo)進(jìn)行統(tǒng)計分析與趨勢預(yù)測，自動生成數(shù)據(jù)安全風(fēng)險態(tài)勢圖。三大安全態(tài)勢圍繞數(shù)據(jù)從分布、流動、風(fēng)險三個維度為運營人員構(gòu)建了清晰的宏觀視圖。靈活的風(fēng)險溯源是提高安全運營效率的重要手段，是事件響應(yīng)處置必不可少的支撐工具。靈活的風(fēng)險溯源工具應(yīng)具備2個能力，即“以數(shù)追人”和“以人追數(shù)”?！耙詳?shù)追人”強調(diào)的是在已知受到損害的數(shù)據(jù)資產(chǎn)時，通過相應(yīng)的數(shù)據(jù)資產(chǎn)片段進(jìn)行溯源，按相關(guān)度的從高到低列