三位一体，丰富数据活动过程中的风险监测手段

安华金和 2023-05-08

814

区别于传统以安全技术能力建设为主要目标的数据安全平台方案，安华金和数据安全运营平台（DSOP）将数据安全的管理体系以及运营体系提升至与安全技术能力建设同等重要的高度。对于一个综合性的数据安全平台，参与到相关数据安全建设中的角色也必然是多样的；除传统意义上利用技术工具来执行操作的数据使用人员之外，数据安全的管理方和运营监督方也要具备相应的手段来完成自身角色所承担的任务，使得“管理、技术、运营”三个体系相辅相成，共同将整体解决方案落地。

安华金和数据安全运营平台DSOP从资产的盘点和梳理出发，确定目标管理范围的重点资产和重点数据并对其进行实时监测，通过对数据活动中资产的访问记录进行分析，识别可能发生的安全风险，进入到数据安全风险清单研判流程；经过研判分析后认定为安全风险事件的，可以联动安全管控的技术手段，对违规的行为根据场景化制定不同的安全防护策略进行控制，实现识别-分析-研判-处置-控制的闭环管理。

风险识别技术手段概述

DSOP提供三种技术手段来

实现安全风险的识别

1. 规则命中识别

规则命中识别是比较传统和常规的技术手段，其主要技术特点是预设一些列元素的组合作为条件规则，借助规则引擎实时分析流量过程中识别与匹配，当满足规则预设的条件后即命中规则，形成安全风险。

2. 行为备案基线

该手段为DSOP运营过程中基于业务备案信息而产生的数据安全基线，在数据活动过程中与基线进行核实，如果有偏离安全基线的行为，则会产生安全风险。

3. 行为模型分析

系统内置行为分析模型，借助大数据组件构建的流数据分析引擎，以接近准实时的方式识别并分析终端行为（UEBA），以及基于资产维度、历史流水数据动态滑窗统计、历史安全事件的二次分析，输出疑似的数据安全风险。

以上三种技术方案根据场景差异而不同，进一步丰富了数据活动中的潜在安全风险识别手段，能够将识别出的安全风险统一进入到安全风险清单，进行后续的风险研判流程。

技术与场景相结合

详解DSOP安全风险识别能力

监测批量涉敏数据违规使用场景

该场景为DSOP典型的对重要与敏感数据使用的定向监测：

1. 安全管理专家组织自身的数据特点以及业务数据使用活动牵头制定适合组织内部的数据分类分级标准，以及制定涉敏数据使用的流程、管理办法、管控要求；

2. 安全管理员根据分类分级标准完成数据的分类和分级；

3. 安全管理员根据数据使用管理制度，确定某些特定分类的数据、某些级别数据属于重点监测使用范围，将这一类数据生成涉敏数据集，如“个人信息和重要数据下的个人身份信息”；

4. 安全管理员根据涉敏数据集中的数据类型特征，以及涉敏数据管控要求，设置数据监测的安全策略，如“个人身份信息数据监测预警策略”；

5. 数据作业方的资产管理员根据业务场景的特点，创建“个人身份信息数据监测规则”，选定本次需要监测的涉敏数据集，同时选定安全策略手段为监测预警，完成涉敏数据使用制度对安全策略的管理指导；

6. 将规则关联至需要监测的资产，即可完成安全策略的技术手段落地，实现对重要和涉敏数据的监测管理要求。

借助DSOP对涉敏数据集的预编译机制，单个监测引擎可轻松实现10万级别超大涉敏数据的监测要求，极大扩展了传统安全行业安全监测规则利用关键字匹配技术只能配置少批量监测对象的数量上限。

案例

某国有大型商业银行数据中心根据内部对重点业务数据的使用监控管理要求，借助该技术方案完美实现对50万+重要金融数据违规使用的实时监测预警，一旦有违规使用，触发预警规则并发送到告警中心。

某省大数据中心汇集了超过60个委办局的各类政务数据，每个委办局基于行业不同数据对敏感数据的定义不尽相同，面对各委办局采集来的高敏感级数据在大数据中心内的加工、处理、使用以及对中心以外共享过程中的监测要求，借助DSOP灵活的规则配置能力，在安全管理制度的监测管控策略指导下，针对不同委办局类型数据制定特定的监测规则，实现对60+委办局共计超过10w字段数据的实施监测，既满足了监管层面对安全策略管理落地的要求，同时兼顾了技术落地过程中的差异化和灵活性。

数据安全风险监测典型场景

DSOP的数据业务活动备案机制，以数据为对象，从业务视角对数据的处理活动行为进行报备，明确数据的提供方、使用方，以及数据使用行为，审核通过后既完成了数据使用监管的管理要求，同时报备中的一些信息也成为安全基线。DSOP内置的安全基线校验引擎，通过提取业务数据使用报备清单中的关键元素形成安全基线，结合业务活动的日志，当发现有超出备案基线的活动行为，形成安全风险。

上图为DSOP在某国有独资大型企业集团的信贷企业典型应用场景，通过完整的“生产运维越权访问数据风险监测”的过程来分析其实现机制：

1. 解析引擎对采集的流量和日志进行解析，并提取其中的重要数据，包括：访问源IP、登录账户（root）、访问的对象（A库/CRM表/TEL字段）、操作时间等；

2. 通过分类分级，在已经形成的敏感数据清单中，A库/CRM表/TEL字段是电话号码这一敏感数据；在数据资源业务活动报备结果中，提取的处理类资源的备案信息中包含了IP地址（10.211.12.33）、账户（root）、备案的操作数据权限为身份证号、姓名、住址；

3. 备案基线风险监测引擎根据这些数据进行分析比对，得到“A库/CRM表/TEL字段”是“电话号码”，属于敏感数据；与处理类备案数据比对，发现备案的信息中只有操作“身份证、姓名、住址”的权限，而实际的操作是“电话号码”这一敏感数据，得到监测结果：“越权操作敏感数据”风险。

从这个完整的例子，我们可以看到一个典型的以资产管理为对象，借助备案安全基线到风险识别的场景化应用。

数据安全风险模型分析典型场景

DSOP数据安全模型分析引擎通过对数据的历史访问行为进行自我学习，结合系统内置的业务化场景模型，识别潜在的、异于历史规律的风险，进入到风险研判流程，根据研判后的结果修正部分需要修正的模型参数，不断地优化模型的场景实用性和精确度。

DSOP的安全模型分析案例

大数据中心异常业务访问异常风险事件

【风险现象】

某大数据局风险运营监控中心发现基础库短时间有超出以往常态业务倍数的数据连接会话异常风险，同时伴随有大量失败连接数据库的异常行为；边界网关WAF同时发现大量短会话重连异常，疑似受到攻击。

【事件追溯】

该业务场景使用kettle工具每2小时去一体化平台基础库抽取健康码、场所码记录，同步到地市；应安全要求每周更换一次账户密码，但DBA变更密码后业务系统未及时同步更新密码，导致连接失败；工具多线程重连机制会在失败/超时后自动重连，导致大量会话失败且以倍数堆积。

【研判处置】

业务方未及时按照要求及时更新同步的数据同步密码，疏于流程管理与执行，予以警告。

大数据中心异常业务访问异常风险事件

【风险现象】

中国电信某省公司数据中心发现某个用于月结数据分析的账号突然有数据访问行为，且该账号不在常规运维终端登录，疑似账号被窃取。

【事件追溯】

业务场景在每月初固定时间对数仓中上月历史数据进行分类汇总统计，但在月中某天夜间访问业务数据，与业务规律不符；登录用的终端不是月结业务所在的服务器，与历史终端规律不符。

【研判处置】

运维人员因临时运维需要，未申请权限情况下使用自己负责月结的业务账号在自己办公终端上临时访问业务库；申报流程不符合安全制度要求，滥用账户违规访问数据，对其通报批评，并采取相应的防护安全策略，绑定月结业务所在服务器为唯一操作终端。

通过以上案例分析看出，数据安全的风险具备场景化、差异化的特点，与业务形态具有较强的关联性，而每种技术手段又会根据其技术特点适用于不同的业务场景。

安华金和数据安全运营平台的三种安全风险识别技术手段能够充分发挥技术路线特点，三位一体，丰富数据活动中风险的监测与识别手段，帮助客户及时、全面的发现单位内的潜在数据安全风险，为数据有序流动、安全使用保驾护航。

往期推荐

相聚江苏，共话医疗数据安全治理

【预告】第六届中国数据安全治理高峰论坛主论坛及医疗分论坛议程公布

第六届中国数据安全治理高峰论坛定于5月18日开幕（附报名通道）

第六届数字中国建设峰会 | 刘晓韬：强化数据基础安全防护保障

大数据数据安全技术风险信息安全基线

文章转载自安华金和，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

三位一体，丰富数据活动过程中的风险监测手段

评论

相关阅读