网安一哥 数据安全态势感知运营中心建设桔皮书 学习笔记

声明

本文是学习数据安全态势感知运营中心建设桔皮书. 下载地址 http://github5.com/view/471而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

数据安全态势感知是安全运营的前提

DT时代下，数据资产的分布是广泛的，数据流动的路径是复杂的，数据违规的风险是隐蔽的，这导致数据泄漏事件成因复杂交织，既有外部攻击，也有内部威胁；既有技术漏洞，也有管理缺陷；既有新技术新模式触发的新风险，也有传统安全问题的持续触发，因此单纯依靠传统的被动式的防御措施根本无法抵御蓄谋已久的数据安全攻击行为，任何基于“单点”防御的体系都难以避免被欺骗或绕过。因此，Gartner提出的自适应安全架构（Adaptive Security Architecture）强调了“防御、检测、响应、预测”的重要性。“防御” 是指一系列策略集、产品和服务可以用于防御攻击，关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作；“检测”是用于发现那些逃过 “防御”措施的攻击，关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失；“响应”是用于高效调查和补救被检测分析功能(或外部服务)查出的事务，以提供风险来源分析，并产生新的 “防御”措施来避免未来事故；“预测”使系安全体系可从持续监测的风险中学习，以主动锁定对现有系统和信息具有威胁的新行为，该行为被将反馈到“防御”和 “检测”功能，从而构成整个处理流程的闭环。

面对日益增长的数据安全威胁，DT时代的数据安全体系建设需要不断演进，基于自适应安全架构（ASA）的思想内核，数据安全态势感知显得尤为重要，只有切切实实地对数据安全风险做到 “可感知”，才能实现数据安全的“可运营”，因此建立一套全局的数据安全态势感知运营中心来指导数据安全体系建设，是解决问题之道。

数据安全态势感知运营中心的关键举措

基于自适应安全架构（ASA）思想内核的数据安全态势感知运营中心是用于指导整个数据安全体系建设的，应该具备六大安全能力。

盘清家底：以数据资源为核心的资产管理中心

建立以数据资源为核心的资产管理中心，是数据安全运营的前提。通过技术手段对企业自身拥有的数据资产进行全面的盘点，掌握数据资产分布、数据资产类型、数据内容结构、数据资产归属、数据资产使用状态等信息，最终的目标是构建“一棵既有业务属性也有安全属性的数据资产目录树”。

数据资产发现 是解决数据资产分布广泛问题的有效手段，通常是以主动发现与被动探测相结合的方式进行。数据资产主动发现是在安全策略的配合下，通过主动嗅探的方式扫描全网地址，对潜在的数据源建立连接并构造请求内容，解析响应内容从而收集数据源基本信息；数据资产被动探测是通过镜像核心交换的流量来进行协议解析，根据协议类型确定数据源类型，从而达到收集数据源基本信息的目的。通过数据资产发现实现全网数据源的初步收集，从而建立数据资产顶层目录。

数据资产扫描 可丰富数据资产目录的“叶子”节点。在安全部门的配合下，使用数据源的认证信息（通常只需可读权限）主动连接数据源，对数据内容和数据结构进行扫描，进一步收集数据资产的结构、内容等元信息，从而细化数据资产目录。为应对数据规模庞大且持续增加的特点，数据扫描应具备定期增量式扫描的能力，减少扫描的时间。

最后，在安全部门和业务部门的配合下，对数据资产的使用目的、方式、范围以及管理归属等信息进行补充，最终形成完整的数据资产目录树。

基于构建出来的数据资产目录，开展数据分类分级 。结合相关行业的分类分级标准和业务现状，数据安全专家、企业安全部门与业务部门相互配合，定制化输出符合业务发展的数据分类分级模板，依据模板落实分类分级工作。分类分级以数据识别技术为基础——在数据扫描的过程中，通过关键字、正则表达式等匹配技术，结合上下文信息对结构化数据进行识别；以机器学习、自然语言处理、光学字符识别等智能化技术对非结构化或半结构化数据进行识别，辅助安全人员落实数据资产分类分级。

联防联控：以分类分级为核心的策略协同中心

数据的开发利用和数据安全防护往往是一对矛盾体，数据在没有任务防护措施的情况下“裸奔”对数据的开发利用是最高效的；同样的，通过物理手段、技术手段将数据层层“包围”起来不做任务开发利用，则数据是最安全的，但两者均不利于组织整体业务健康地、可持续的发展。数据安全建设应围绕分类分级的结果进行开展，对不同类别、不同级别的数据资产进行差异化的防护能力建设和安全策略配置，实现数据业务发展和安全管控的平衡。

将分类分级结果转化为业务知识，为数据资产提供安全防护建议，并结合具体的数据安全防护组件，统一地下发安全策略，实现以分类分级为核心的策略协同能力。例如针对核心级别的数据资产，采用加密技术对数据进行保护；针对重要级别的数据资产，采取脱敏技术对数据进行保护；而对普通数据，则采取审计技术对数据访问进行留痕。同时，联动数据链路上数据安全措施，主要包括打通其策略配置通道和日志、告警上报通道， 及时感知防护能力的薄弱环节并自动调整策略，实时监测数据的防护能力状态，从而构建一幅关系到“数据资产、业务、安全策略”的安全业务视图。

流动监测：以业务流程为核心的动态监测中心

通过数据资产梳理可以掌握数据资产的“静”态状况，而数据流动监测则是为了掌握数据的“动”态状况。以“什么人”“什么时间”对“什么数据”执行“什么操作”为基本监测原则，从时间、频率、数量、类型、源信息、目的信息等多个维度进行统计分析，建立行为基线和行为趋势图，将数据流动的情况进行动态测绘。

涉敏对象梳理 。以数据为粒度，通过解析数据访问协议，对应用、API、用户等涉敏对象进行梳理，形成应用清单、API清单和用户清单，为全局的数据业务视图提供“节点”信息。

敏感数据使用监测 。基于梳理出来的涉敏对象，对应用、API、用户的数据操作行为进行细粒度的审计，结合数据资产分类分级的知识对操作行为打上不同的标签，并根据访问、归属等维度自动组织涉敏对象之间的关联关系，为全局的数据业务视图提供“连线”信息。

构建数据流动地图。 通过涉敏对象梳理提供的“节点”信息与敏感数据监测提供的“连线”信息，结合数据资产目录，对数据源、应用、API、用户之间的数据流动关系（流动方向、数据类型、数据量）进行动态测绘；同时，在业务人员的配置下，根据实际业务场景细化数据的使用目的、使用方式和管理组织等信息，实现数据流动视化。

通过数据流动监测，全局掌握企业数据的“动”态状况，从而构建一幅关系到“数据资产、业务、主体”的全局数据业务视图。

风险分析：以行为分析为核心的风险管理中心

数据安全违规行为是隐蔽的，数据泄漏事件的发现是滞后的，因此及时发现数据风险并预警是数据安全运营的重要目标——建立以行为分析为核心的风险管理中心，对数据的行为信息进行全面收集、审计，结合数据资产分布状态、数据流动状态和分类分级结果进行智能化分析，识别其中潜在的安全风险并及时告警与处置，遏制数据泄漏事件的发生，防范于未然。

全面的行为日志采集与处理 是数据安全风险检测的基础。行为日志包括操作日志和告警日志，日志内容须细化到具体的数据粒度。对部署在数据链路上的数据探针和安全产品的日志进行全面收集，按照统一的日志标准进行格式化，从不同的维度对日志进行富化，从而构建一个多源行为日志库，为数据安全风险分析提供基础素材。

集离线分析、实时分析、告警归并能力于一身的联合分析引擎 是检测隐蔽的数据违规行为、识别潜在的数据泄漏事件的利器。离线分析能力强调的是准确性，通过对海量的行为日志进行大数据挖掘，在海量的业务行为中准确地识别出数据违规行为；实时分析能力强调的是时效性，通过对在时间和数量无限分布的一系列动态日志进行流式计算，实现秒级响应，及时识别潜在的数据泄漏事件；告警归并是强调告警的价值性，通过对大量的告警日志从不同维度进行聚合与统计，并设置相应的穿透规则，将真正有价值的告警信息从大量的噪音中过滤出来。

通过行为日志的采集、处理，以强大的联合分析引擎为技术基础，辅以丰富的分析策略如传统的规则匹配、统计分析和基于智能学习方法的多源关联挖掘、行为链分析、动态基线分析等模型，灵活的应对不同场景下的数据安全风险检测，结合丰富的处置流程进行跟踪响应，确保数据风险得到解决，真正实现可控的风险管理。

安全评估：以安全合规为核心的安全评估中心

《数据安全法》中明确提出要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”，同时出于对自身数据保护的需求，企业必须要开展的数据安全活动是定期开展数据安全评估。

以法律法规和行业监管部门的考核要求为基础，结合企业自身的业务场景，定制化输出安全评估模板，以半自动化的方式开展数据安全风险评估工作，形成电子化的风险评估报告。安全评估模板应至少包含以下评价要素：

• 数据管理组织架构 。应成立专门的数据管理组织，并以“一把手”挂帅，结合业务场景设置不同的管理角色；同时将不同的数据资产归属到该组织中的具体人，确保数据认责。
• 数据管理规章制度 。数据管理制度是开展数据处理活动和落实数据安全建设的指导思想，应由数据管理组织牵头将数据管理制度成文并公告，明确数据管理责任与义务。
• 数据分类分级 。分类分级既是合规要求，也是安全建设的基础。基于资产管理中心提供的资产目录与分类分级结果，自动生成分类分级明细清单、统计分类分级完成度、并结合分类分级有效期、分类分级管理制度等指标进行合理评价。
• 数据资产风险 。基于风险管理中心提供的安全告警，结合数据资产分类分级情况，对不同类别、不同级别的数据资产的不同风险形成明细清单与统计图表，结合数据处理活动、联防联控措施等指标进行合理评价。
• 数据权限管理 。基于策略协同中心提供的安全业务视图和动态监测中心提供的数据业务视图，自动生成数据权限现状图，加上人工补充缺失的（如线下执行）权限明细，结合数据处理活动进行合理评价。
• 数据操作审计 。基于风险管理中心提供的多源行为日志库，按操作时间等不同维度自动生成数据操作审计明细表与操作热度统计表，结合分类分级结果和数据处理活动进行合理评价。
• 应急响应 。基于风险管理中心提供的风险告警与事件处置数据，自动生成告警-事件-处置明细表，按分类分级、响应时长等不同维度生成统计图表，结合数据处理活动进行合理评价。

通过定期开展数据安全评估，帮助企业从宏观角度发现数据安全薄弱环节，提出整改建议，从而有的放矢地进行安全能力建设。

持续运营：以态势感知为核心的安全运营中心

安全以“检测”为始，以“响应”为终，整个过程可称之为“持续运营”。在数据违规行为对数据资产造成损害之前，及时制止损害或降低损失是安全体系的最终防线，也是持续运营的目标。

全面的数据安全态势感知 是安全运营的抓手。基于资产管理中心提供的数据资产目录，通过对指定时间段内的数据资产分布、敏感数据量、敏感数据类型等指标进行统计分析与趋势预测，自动生成敏感数据分布态势图；基于策略协同中心提供的安全业务视图和动态监测中心提供的数据业务视图，通过对安全策略变更和数据库、应用、API等涉敏对象的敏感数据量、敏感数据类型等指标进行统计分析与趋势预测，自动生成敏感数据流动态势图；基于风险管理中心提供的数据，对分布在不同位置、不同时间、不同类别、不同级别的数据资产的安全告警、事件处置等指标进行统计分析与趋势预测，自动生成数据安全风险态势图。三大安全态势围绕数据从分布、流动、风险三个维度为运营人员构建了清晰的宏观视图。

灵活的风险溯源 是提高安全运营效率的重要手段，是事件响应处置必不可少的支撑工具。灵活的风险溯源工具应具备2个能力，即“以数追人”和“以人追数”。“以数追人”强调的是在已知受到损害的数据资产时，通过相应的数据资产片段进行溯源，按相关度的从高到低列出可疑的“人”（账号、应用、API等）及其相关日志证据；“以人追数”强调的是在已知可能涉事的“人” （账号、应用、API等）时，通过输入“人”的信息进行溯源，按相关度的从高到低列出可能受到损害的数据资产及其相关日志证据。进一步可将将可疑的“人”、“数”、证据等信息按时间顺序组织成为事件链，为运营人员构建细致的微观视图。

便捷的响应处置工具 是风险闭环的最后一步，也是必须的一步。一旦发现了数据安全风险，可根据企业的安全管理办法设置相应的风险处置流程并实时跟踪，确保风险得到妥善的处理。同时，处理的结果可以及时反馈到策略协同中心，更新数据链路上数据安全措施，实现立即止损的同时，确保同样的风险不会再发生。

通过掌握数据资产的宏观态势视图和微观风险视图，运营人员可以及时处置相关风险，自适应地优化安全策略，高效开展持续运营工作。