基于自适应安全架构(ASA)思想内核的数据安全态势感知运营 中心是用于指导整个数据安全体系建设的,应该具备六大安全能力。
(一)盘清家底:以数据资源为核心的资产管理中心
建立以数据资源为核心的资产管理中心,是数据安全运营的前提。 通过技术手段对企业自身拥有的数据资产进行全面的盘点,掌握数据 资产分布、数据资产类型、数据内容结构、数据资产归属、数据资产 使用状态等信息,最终的目标是构建“一棵既有业务属性也有安全属 性的数据资产目录树”。
数据资产发现是解决数据资产分布广泛问题的有效手段,通常是以主动发现与被动探测相结合的方式进行。数据资产主动发现是在安 全策略的配合下,通过主动嗅探的方式扫描全网地址,对潜在的数据 源建立连接并构造请求内容,解析响应内容从而收集数据源基本信息; 数据资产被动探测是通过镜像核心交换的流量来进行协议解析,根据 协议类型确定数据源类型,从而达到收集数据源基本信息的目的。通 过数据资产发现实现全网数据源的初步收集,从而建立数据资产顶层 目录。
数据资产扫描可丰富数据资产目录的“叶子”节点。在安全部门 的配合下,使用数据源的认证信息(通常只需可读权限)主动连接数 据源,对数据内容和数据结构进行扫描,进一步收集数据资产的结构、 内容等元信息,从而细化数据资产目录。为应对数据规模庞大且持续 增加的特点,数据扫描应具备定期增量式扫描的能力,减少扫描的时 间。
最后,在安全部门和业务部门的配合下,对数据资产的使用目的、 方式、范围以及管理归属等信息进行补充,最终形成完整的数据资产 目录树。
基于构建出来的数据资产目录,开展数据分类分级。结合相关行 业的分类分级标准和业务现状,数据安全专家、企业安全部门与业务 部门相互配合,定制化输出符合业务发展的数据分类分级模板,依据 模板落实分类分级工作。分类分级以数据识别技术为基础——在数据 扫描的过程中,通过关键字、正则表达式等匹配技术,结合上下文信
息对结构化数据进行识别;以机器学习、自然语言处理、光学字符识 别等智能化技术对非结构化或半结构化数据进行识别,辅助安全人员 落实数据资产分类分级。
(二)联防联控:以分类分级为核心的策略协同中心
数据的开发利用和数据安全防护往往是一对矛盾体,数据在没有 任务防护措施的情况下“裸奔”对数据的开发利用是最高效的;同样 的,通过物理手段、技术手段将数据层层“包围”起来不做任务开发 利用,则数据是最安全的,但两者均不利于组织整体业务健康地、可 持续的发展。数据安全建设应围绕分类分级的结果进行开展,对不同 类别、不同级别的数据资产进行差异化的防护能力建设和安全策略配 置,实现数据业务发展和安全管控的平衡。
将分类分级结果转化为业务知识,为数据资产提供安全防护建议, 并结合具体的数据安全防护组件,统一地下发安全策略,实现以分类 分级为核心的策略协同能力。例如针对核心级别的数据资产,采用加 密技术对数据进行保护;针对重要级别的数据资产,采取脱敏技术对 数据进行保护;而对普通数据,则采取审计技术对数据访问进行留痕。 同时,联动数据链路上数据安全措施,主要包括打通其策略配置通道 和日志、告警上报通道,及时感知防护能力的薄弱环节并自动调整策 略,实时监测数据的防护能力状态,从而构建一幅关系到“数据资产、 业务、安全策略”的安全业务视图。
(三)流动监测:以业务流程为核心的动态监测中心
通过数据资产梳理可以掌握数据资产的“静”态状况,而数据流 动监测则是为了掌握数据的“动”态状况。以“什么人”“什么时间” 对“什么数据”执行“什么操作”为基本监测原则,从时间、频率、 数量、类型、源信息、目的信息等多个维度进行统计分析,建立行为 基线和行为趋势图,将数据流动的情况进行动态测绘。
涉敏对象梳理。以数据为粒度,通过解析数据访问协议,对应用、 API、用户等涉敏对象进行梳理,形成应用清单、API 清单和用户清 单,为全局的数据业务视图提供“节点”信息。
敏感数据使用监测。基于梳理出来的涉敏对象,对应用、API、 用户的数据操作行为进行细粒度的审计,结合数据资产分类分级的知 识对操作行为打上不同的标签,并根据访问、归属等维度自动组织涉 敏对象之间的关联关系,为全局的数据业务视图提供“连线”信息。
构建数据流动地图。通过涉敏对象梳理提供的“节点”信息与敏 感数据监测提供的“连线”信息,结合数据资产目录,对数据源、应 用、API、用户之间的数据流动关系(流动方向、数据类型、数据量) 进行动态测绘;同时,在业务人员的配置下,根据实际业务场景细化 数据的使用目的、使用方式和管理组织等信息,实现数据流动视化。
通过数据流动监测,全局掌握企业数据的“动”态状况,从而构 建一幅关系到“数据资产、业务、主体”的全局数据业务视图。
(四)风险分析:以行为分析为核心的风险管理中心
数据安全违规行为是隐蔽的,数据泄漏事件的发现是滞后的,因 此及时发现数据风险并预警是数据安全运营的重要目标——建立以 行为分析为核心的风险管理中心,对数据的行为信息进行全面收集、 审计,结合数据资产分布状态、数据流动状态和分类分级结果进行智 能化分析,识别其中潜在的安全风险并及时告警与处置,遏制数据泄 漏事件的发生,防范于未然。
全面的行为日志采集与处理是数据安全风险检测的基础。行为 日志包括操作日志和告警日志,日志内容须细化到具体的数据粒度。 对部署在数据链路上的数据探针和安全产品的日志进行全面收集,按 照统一的日志标准进行格式化,从不同的维度对日志进行富化,从而 构建一个多源行为日志库,为数据安全风险分析提供基础素材。
集离线分析、实时分析、告警归并能力于一身的联合分析引擎 是检测隐蔽的数据违规行为、识别潜在的数据泄漏事件的利器。离线 分析能力强调的是准确性,通过对海量的行为日志进行大数据挖掘, 在海量的业务行为中准确地识别出数据违规行为;实时分析能力强调 的是时效性,通过对在时间和数量无限分布的一系列动态日志进行流 式计算,实现秒级响应,及时识别潜在的数据泄漏事件;告警归并是 强调告警的价值性,通过对大量的告警日志从不同维度进行聚合与统 计,并设置相应的穿透规则,将真正有价值的告警信息从大量的噪音 中过滤出来。
通过行为日志的采集、处理,以强大的联合分析引擎为技术基础, 辅以丰富的分析策略如传统的规则匹配、统计分析和基于智能学习方 法的多源关联挖掘、行为链分析、动态基线分析等模型,灵活的应对 不同场景下的数据安全风险检测,结合丰富的处置流程进行跟踪响应, 确保数据风险得到解决,真正实现可控的风险管理。
(五)安全评估:以安全合规为核心的安全评估中心
《数据安全法》中明确提出要求“重要数据的处理者应当按照规 定对其数据处理活动定期开展风险评估”,同时出于对自身数据保护 的需求,企业必须要开展的数据安全活动是定期开展数据安全评估。
以法律法规和行业监管部门的考核要求为基础,结合企业自身 的业务场景,定制化输出安全评估模板,以半自动化的方式开展数据 安全风险评估工作,形成电子化的风险评估报告。安全评估模板应至 少包含以下评价要素:
-
数据管理组织架构。应成立专门的数据管理组织,并以“一 把手”挂帅,结合业务场景设置不同的管理角色;同时将不 同的数据资产归属到该组织中的具体人,确保数据认责。
-
数据管理规章制度。数据管理制度是开展数据处理活动和落 实数据安全建设的指导思想,应由数据管理组织牵头将数据 管理制度成文并公告,明确数据管理责任与义务。
-
数据分类分级。分类分级既是合规要求,也是安全建设的基 础。基于资产管理中心提供的资产目录与分类分级结果,自动生成分类分级明细清单、统计分类分级完成度、并结合分 类分级有效期、分类分级管理制度等指标进行合理评价。
-
数据资产风险。基于风险管理中心提供的安全告警,结合数 据资产分类分级情况,对不同类别、不同级别的数据资产的 不同风险形成明细清单与统计图表,结合数据处理活动、联 防联控措施等指标进行合理评价。
-
数据权限管理。基于策略协同中心提供的安全业务视图和动 态监测中心提供的数据业务视图,自动生成数据权限现状图, 加上人工补充缺失的(如线下执行)权限明细,结合数据处 理活动进行合理评价。
-
数据操作审计。基于风险管理中心提供的多源行为日志库, 按操作时间等不同维度自动生成数据操作审计明细表与操 作热度统计表,结合分类分级结果和数据处理活动进行合理 评价。
-
应急响应。基于风险管理中心提供的风险告警与事件处置数 据,自动生成告警-事件-处置明细表,按分类分级、响应时 长等不同维度生成统计图表,结合数据处理活动进行合理评 价。 通过定期开展数据安全评估,帮助企业从宏观角度发现数据安全薄弱环节,提出整改建议,从而有的放矢地进行安全能力建设。
(六)持续运营:以态势感知为核心的安全运营中心
安全以“检测”为始,以“响应”为终,整个过程可称之为“持 续运营”。在数据违规行为对数据资产造成损害之前,及时制止损害 或降低损失是安全体系的最终防线,也是持续运营的目标。
全面的数据安全态势感知是安全运营的抓手。基于资产管理中 心提供的数据资产目录,通过对指定时间段内的数据资产分布、敏感 数据量、敏感数据类型等指标进行统计分析与趋势预测,自动生成敏 感数据分布态势图;基于策略协同中心提供的安全业务视图和动态监 测中心提供的数据业务视图,通过对安全策略变更和数据库、应用、 API 等涉敏对象的敏感数据量、敏感数据类型等指标进行统计分析与 趋势预测,自动生成敏感数据流动态势图;基于风险管理中心提供的 数据,对分布在不同位置、不同时间、不同类别、不同级别的数据资 产的安全告警、事件处置等指标进行统计分析与趋势预测,自动生成 数据安全风险态势图。三大安全态势围绕数据从分布、流动、风险三 个维度为运营人员构建了清晰的宏观视图。
灵活的风险溯源是提高安全运营效率的重要手段,是事件响应 处置必不可少的支撑工具。灵活的风险溯源工具应具备 2 个能力,即 “以数追人”和“以人追数”。“以数追人”强调的是在已知受到损 害的数据资产时,通过相应的数据资产片段进行溯源,按相关度的从 高到低列出可疑的“人”(账号、应用、API 等)及其相关日志证据; “以人追数”强调的是在已知可能涉事的“人” (账号、应用、API等)时,通过输入“人”的信息进行溯源,按相关度的从高到低列出 可能受到损害的数据资产及其相关日志证据。进一步可将将可疑的 “人”、“数”、证据等信息按时间顺序组织成为事件链,为运营人 员构建细致的微观视图。
便捷的响应处置工具是风险闭环的最后一步,也是必须的一步。 一旦发现了数据安全风险,可根据企业的安全管理办法设置相应的风 险处置流程并实时跟踪,确保风险得到妥善的处理。同时,处理的结 果可以及时反馈到策略协同中心,更新数据链路上数据安全措施,实 现立即止损的同时,确保同样的风险不会再发生。
通过掌握数据资产的宏观态势视图和微观风险视图,运营人员 可以及时处置相关风险,自适应地优化安全策略,高效开展持续运营 工作。
结语
从组织开展数据安全运营工作的现状来看,当前多数组织已形 成对数据安全运营必要性和重要性的充分认识,但面向海量、多源、 流转关系复杂的数据处理场景,并且由于数据本身又具有多样性、敏 感程度不一、关联关系复杂等特征,仍存在较大的安全挑战。下一阶 段,可以围绕以下几个方向为数据安全运营工作提供保障。
第一、战略层面明确数据安全工作的战略地位。组织需要明确数据安全对于组织生存发展的重要意义,从战略高度明确数据安全运 营的重要价值,对数据安全运营进行清晰规划与指导,在管理层面达 成一致共识,为数据安全运营工作提供资源保障。
第二、动态掌控全局数据安全。数据交互的复杂性和多样性对数 据安全运营工作提出了更大挑战,掌握数据流转关系是动态掌控全局 数据安全的重要前提,需要充分考虑数据资源的使用目的、方式和范 围,包括组织的部门架构关系,精准刻画的数据流转关系,才能够全 面发现数据处理活动中的潜在风险,实现对数据安全风险及时预警和 处置,支撑数据安全运营工作。
第三、建立内部监督评价机制。组织需要充分考量安全形势、合 规要求、业务需要等变化,对组织的数据安全工作开展情况进行审核 与监督,结合相关行业法律法规和监管部门的考核要求,数据安全成 熟度或者场景风险等,进行技术性比对评估或佐证。并根据评估结果 提供可落地的安全整改建议,从而帮助组织及时发现安全薄弱环节, 指导组织针对性的进行安全能力建设。文章来源:https://www.toymoban.com/news/detail-824553.html
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南文章来源地址https://www.toymoban.com/news/detail-824553.html
到了这里,关于网络安全态势感知运营中心建设解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!