任興

摘要：信息時代進入數據時代，數據的價值正在進一步的凸顯和被挖掘。同時，數據已經成為企業(yè)的核心資產。相應的以數據為目標的網絡攻擊已經成為數據時代新的安全威脅。企業(yè)的信息安全需求已經從基本的網絡安全防護升級為對數據的安全防護，就要了解數據資產分布、數據流動狀況、數據風險的預警以及能夠對數據安全事件的溯源。

關鍵詞：數據安全;數據資產;風險預警;溯源

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）22-0025-04

開放科學（資源服務）標識碼（OSID）：

1 前言

數據作為生產資料的屬性，在流動和融合創(chuàng)造新價值。兼顧數據流動增值需求的數據安全體系，絕對不是對數據進行籠子式的靜態(tài)保護體系能解決的，一定是一個動態(tài)對風險感知，必要時才對數據使用和流動做出保護干預的動態(tài)風險感知分析和風險控制的體系。

通過感知數據安全整體態(tài)勢、將風險點可視化、對風險量化，從而形成數據安全的全局視野。進一步的，根據態(tài)勢指導數據安全建設和風險響應，實現資源最大化利用、跟進緊急優(yōu)先程度調度任務、安全效果的可量化比較、新風險的及時發(fā)現與處置以及系統(tǒng)不斷回饋與改進進化。

2 數據安全監(jiān)控需求分析

目前，大部分的數據安全監(jiān)控手段是通過局部的日志篩選和分析，如數據庫的操作日志匹配方式。這種方式只能記錄對數據庫的訪問請求，不能記錄訪問請求的詳細結果，更不能掌握敏感數據分布、流動狀況、數據風險、對數據安全事件的溯源。

2.1 數據安全風險可視化

（1）了解數據資產的分布

需要自動發(fā)現數據庫服務器、敏感數據的分布情況，為后續(xù)安全加固明確目標。

（2）實時掌握數據庫系統(tǒng)的可用性

要求能對數據庫運行狀態(tài)進行實時監(jiān)控，在狀態(tài)異常時進行預警，提前防止業(yè)務癱瘓，保障業(yè)務系統(tǒng)的連續(xù)可用性。

（3）實時掌握數據庫存在的風險狀況

能通過掃描的方式，靜態(tài)的評估企業(yè)數據庫系統(tǒng)的風險，掃描內容包括：弱口令檢測、系統(tǒng)漏洞、配置風險等。

（4）需要進行數據活動監(jiān)控

實時監(jiān)控數據活動情況，記錄數據訪問行為，尤其是對敏感數據的訪問行為。要求能實現對數據庫的直接訪問和通過Web和應用對數據庫的間接訪問進行全面監(jiān)控。

2.2 數據安全風險可控化

（1）需要進行數據活動保護

在數據活動監(jiān)控的基礎上，提供訪問控制規(guī)則，對違規(guī)的數據訪問進行阻止。要求系統(tǒng)能夠自動學習應用系統(tǒng)對數據的訪問行為模式，并生成不同粒度的訪問規(guī)則。

（2）需要進行數據庫攻擊檢測和保護

在系統(tǒng)內置攻擊檢測規(guī)則，能夠實時檢測和阻止針對數據庫協議、SQL注入和緩沖區(qū)溢出等多種攻擊，同時詳細地記錄攻擊的詳細信息。

2.3 數據安全管理合規(guī)化

國家和各行業(yè)的監(jiān)管機構越來越重視數據的安全管理，相繼出臺了《加強網絡信息保護的決定》《信息安全等級保護管理辦法》等幾十項法規(guī)和標準，并開展以數據安全管理為重點的安全評測和檢查。數據安全監(jiān)控需要能夠幫助企業(yè)經濟快速地滿足合規(guī)審計要求。

3 數據安全監(jiān)控方案設計

3.1 數據安全監(jiān)控流程設計

（1）摸清數據資產分布

當數據在存儲狀態(tài)時，數據是一種資產，我們希望全面了解自己的資產分布，尤其是高價值資產，以便于做出統(tǒng)一的分類分級以及相關的安全保護措施，避免未知的數據安全風險。通過數據資產地圖的構建，幫助企業(yè)管理者對數據現狀有全方位的了解。同時為基于數據分類分級的數據管理提供基礎服務，為更加精準用戶行為分析和異常檢測提供基礎能力。

（2）掌握數據流動情況

當數據被使用和流動時，我們要了解它在什么時候以什么方式流出到什么地方。應用數據安全網關，可以從流量中分析出敏感數據在流動過程中的時間，路徑，流動方向，流向環(huán)境等多個數據流動中核心要素，幫助企業(yè)管理者看清數據如何流動和被使用?；谶@些信息，數據安全審計系統(tǒng)可以進一步提供內部數據使用合規(guī)審計、案件的溯源分析能力。

（3）掌控數據安全風險

當數據在流動過程中產生了數據安全風險時，我們要有靈活的控制能力，給誰，給哪些字段，字段用什么脫敏手段，給多少量級，是否增加一些噪聲和指紋數據等。應用數據安全網關提供了靈活的賬號，IP粒度的動態(tài)脫敏和風險數據流動阻斷控制能力。

（4）數據態(tài)勢監(jiān)控

以數據地圖、數據的使用和流動信息為基礎，整合更多內部系統(tǒng)日志、人員數據、外部數據安全情報，通過數據安全風險分析系統(tǒng)，可以形成更大維度的數據風險分析和感知體系，利用機器學習算法，快速發(fā)現各類數據安全風險，提供及時處置的能力。

3.2 數據安全監(jiān)控設計原則

3.2.1 科學規(guī)劃原則

方案設計符合相關政策和標準規(guī)范要求。以實際業(yè)務需求為導向，對數據安全監(jiān)控方案進行科學規(guī)劃、有效指導，保證數據安全監(jiān)控方案設計進的有效性和規(guī)范性。

3.2.2 先進性原則

方案設計中所有的組成要素均充分地考慮其先進性，滿足不斷提升的信息化建設與應用的要求，保證其在相當長的時間內具有技術優(yōu)勢。

3.2.3 擴展性原則

系統(tǒng)預留相應的接口以便擴充之用，控制部件（軟、硬件）采用模塊式結構，可以方便靈活進行擴充，保證未來的適應性;為以后的升級預留空間，充分考慮結構設計的合理、規(guī)范對系統(tǒng)的維護可以在短時間內完成。

4 數據安全監(jiān)控解決方案

4.1 數據安全監(jiān)控邏輯框架

第一步：通過交換機旁路，或者在數據庫上服務器上部署軟件探針的方式，獲取到數據訪問的通信內容，經過IP/登錄名/應用程序名等過濾，區(qū)別出機器訪問行為和用戶訪問行為，將所需要的流量數據進行轉發(fā)。

第二步：對通信內容解析后，并匹配黑名單、白名單等規(guī)則，并將結果寫入到存儲日志庫中。

第三步：統(tǒng)計分析工作站對日志進行統(tǒng)計分析，生成報表，并將報表寫入到報表結果庫中。

第四步：檢索工作站接受查詢和人機交互請求，輸出結果。

4.2 數據清洗及全面日志分析

4.2.1 全面日志數據采集

通過敏感表識別，通過解析通信流量中的訪問指令的返回結果，并將其與預置的敏感信息策略相匹配，從而實時判斷識別敏感信息操作，并結合上行訪問指令的解析，識別敏感信息表。

除自身審計日志外，采用了多審計源校驗，查漏補缺。使用包括網絡流量日志、堡壘采集日志、繞行日志相結合，相互交叉檢驗，確保數據訪問日志更加全面、準確、可靠。

（1）安全監(jiān)控系統(tǒng)支持的日志收集協議包括：

Syslog （UDP and TCP）

JDBC/ODBC

SNMP Version 1，2，3

Log File copy （SCP，SFTP，FTP）

SDEE

OPSEC/LEA

（2）日志采集方式包括：

l 軟件探針：運行與數據庫主機，將訪問數據庫的行為和結果過濾后，發(fā)送給審計系統(tǒng)。

l 端口鏡像：配置交換機，將訪問數據庫的行為和結果鏡像轉發(fā)給審計系統(tǒng)。

l 接收或獲取已有日志數據。

（3）采集日志的信息包括：

? 主體信息：數據庫用戶、客戶端IP、客戶端端口、客戶端MAC、主機名、系統(tǒng)用戶名、源程序名

? 對象信息：數據庫IP、數據庫端口、數據庫MAC、數據庫名、數據庫對象

? 命令信息：操作類型、操作語句

? 其他信息：發(fā)起時間、執(zhí)行時間

（4）數據庫運維日志

數據庫運維日志包括上行的SQL操作命令和下行的數據查詢結果。通過旁路或者軟件探針的方式，采集到運維人員對數據庫的操作日志。對發(fā)起訪問主體的信息和被訪問對象的信息，以及訪問命令執(zhí)行結果均可完整詳細記錄。

在數據庫所在服務器上，以一種基于主機的嗅探模式，獲取對數據庫的訪問，并對數據進行初步解析，從而實現根據數據訪問來源的過濾，例如根據IP地址、DB用戶名、程序名、操作系統(tǒng)名等等的過濾。

（5）日志甄別分類

現有系統(tǒng)只能識別人員操作命令，審計工作量大，審計效果差。此方案從訪問操作結果數據為角度，通過建立模型進行分析，自動識別機器操作和用戶合規(guī)操作，建立操作行為模型，有效甄別用戶操作合規(guī)性，減少審計日志量。

對現有日志進行甄別，自動識別并分類出人為或機器的訪問行為，并可以有選擇的只保留人為或者機器的訪問行為日志?？纱蟠鬁p緩大量數據下的分析壓力，提高實時分析效率。

4.2.2 日志數據處理存儲

安全監(jiān)控系統(tǒng)中日志數據處理與存儲建立日志數據庫，存儲系統(tǒng)收集到的數據庫訪問日志，以及數據庫返回的結果。分析平臺底層的存儲系統(tǒng)除了支撐起大數據分析平臺的實時、近線、離線計算之外，還具備數據備份和歸檔的功能。自動對非活躍數據進行壓縮歸檔，以提升整體資源利用率;同時具備對歸檔數據的快速恢復的能力，方便用戶對歷史數據進行分析和事件回溯。

分為三個層次，包括數據接口層、數據匯集層、數據ETL層。每個層次各執(zhí)其能，松度耦合，為上層平臺和下層防護提供數據功能，每個層的描述如下：

數據接口層，主要承擔數據的傳遞接口，支持對中類型的數據接口類型，滿足不同平臺的對接。

數據匯集層，主要承擔數據存儲，在數據傳遞、計算、存儲過程中都有可能用到此層，保證對數據的有效利用;針對不同的數據使用場景，提供不同的存儲方式。

數據ETL層，主要承擔對數據清洗＼過濾、標準化、信息補全和標簽化等工作。

對采集到的日志數據進行存儲，并對數據分析模塊提供數據檢索展示。數據存儲分為兩個部分，一部分仍然需要繼續(xù)進行分析的數據，稱為熱數據，存儲于實時分析數據庫中。 一部分已經超過審計規(guī)則最大時間周期要求，但又沒有超過6個月的強制保存要求的數據，稱為冷數據，歸檔到系統(tǒng)存儲空間。

4.3 敏感數據分類管理

人工方式無法完整梳理敏感信息表，新業(yè)務不斷涌現，新模型新功能的上線，不斷增加敏感信息表，但無法及時更新審計策略，造成審計策略及時性問題，原有的審計策略容易出現漏洞。基于堡壘機記錄而非流量的日志易出現缺漏。本安全防控體系的技術實現通過對敏感數據的識別和標記，能夠完整跟蹤記錄敏感數據行為，為行為分析、操作合規(guī)性數據建模、數據溯源等功能提供基礎

（1）敏感數據的分類

依據2017年6月1日正式實施的《網絡安全法》第21條第四款之規(guī)定：采取數據分類，重要數據備份和加密等措施。可以根據數據屬性、個人信息、用戶信息、業(yè)務信息等維度來將數據進行分類。同時也可以采取屬性+數據量的方式來對業(yè)務進行分級。

一般可由公司總部制定《敏感數據定級標準》，根據數據的屬性和數據總量，以獨立的數據庫或者文件集合為單位進行敏感性單獨定級。

定級的標準可參考《網絡安全等級保護制度》《個人信息安全規(guī)范》的有關標準，更能量化。

參考等?？蓪祿拿舾行苑譃槿墸阂话忝舾?、敏感、非常敏感，對應等保二、三、四級。

（2）敏感數據識別

從日志結果中，自動識別出敏感數據信息，在不需要數據庫口令的情況下，掌握敏感數據的流動情況。

敏感數據識別算法對所有字段級的數據進行機器學習智能分析，自動發(fā)現包含指定敏感數據。支持企業(yè)自定義敏感數據，通過用戶定義的規(guī)則來識別敏感數據，也可以通過用戶提交學習樣本到學習引擎中，形成新的敏感數據識別模型。具體而言，通過人工和規(guī)則手段標記和分類大量的樣本數據。然后對于構建的樣本數據，利用傳統(tǒng)NLP技術，進行一系列的文本數據清理。最后采用前沿的深度學習模型對樣本數據進行訓練得到敏感數據識別模型。

（3）敏感數據標記

在防控系統(tǒng)中標記出敏感數據，并進一步地設置溯源規(guī)則。

對于個人信息，《個人信息安全規(guī)范》定義了個人信息的范疇和分類，但對個人數據的分級還沒有統(tǒng)一的定義。結合中國移動行業(yè)具體數據分級分類要求，系統(tǒng)將內置個人信息的分級建議作為參照，幫助數據安全管理人員對個人信息字段進行標記。

4.4 建模自動分析操作行為

從訪問操作結果數據為角度，可以從更多維度建立模型進行分析。這類以數據行為為基礎的審計監(jiān)控，可以拋開依賴現有平臺技術的缺陷，應對今后的大數據、nosql、云等新技術更加有效。由于現有系統(tǒng)只能識別人員操作命令，很難識別操作是否異常，無法建立模型自動識別。導致審計工作量大，審計效果差。本方案從訪問操作結果數據為角度，可以從更多維度建立模型進行分析，通過人工智能分析自動識別用戶合規(guī)操作，建立操作行為模型，有效甄別用戶操作合規(guī)性，減少審計日志量。

（1）用戶行為自動分析

為了精準的識別數據流動過程中的風險，采用UEBA的方法來對數據流動日志進行深入分析。自動分析訪問數據類型分布、訪問行為類型分布、訪問行為趨勢、訪問數據趨勢等有用數據。

圍繞用戶主體（包括賬號，IP等）的數據訪問行為，從訪問的數據類型，訪問的數據量，訪問數據時間，訪問數據方式，訪問數據頻次，訪問數據的環(huán)境等多個維度，利用傅立葉變化，統(tǒng)計分位數等數據量化方式來描述用戶主體的數據訪問畫像。

基于分布式實時流計算，細粒度、多維度行為基線建模，基于機器學習算法的行為預測，插件式行為檢測模板。

（2）數據被訪問情況分析

自動分析數據流動情況總覽、流動數據類型分布、數據流向TOP IP/TOP 用戶等有用數據。圍繞數據訪問行為，從被訪問數據應用系統(tǒng)，用戶信息，數據量，訪問時間，訪問數據方式等多個維度來描述數據被訪問情況分析。

根據數據之間的關聯分析規(guī)則，基于源，目標， 協議，事件類型的特征以及預定義的關聯規(guī)則等進行分析。

（3）甄別運維行為合規(guī)性

基于訪問規(guī)則（如：黑白名單）識別運維操作的合規(guī)性。自動篩選異常訪問行為和違規(guī)操作。

（4）操作行為白名單識別

通過多維度模型分析，自動識別和發(fā)現用戶對數據的操作類型的白名單。

（5）黑名單、白名單管理

對數據訪問行為的黑名單和白名單進行管理：查看、檢索、修改、添加、刪除。可以有效甄別用戶操作。

4.5 索引分析溯源追蹤

由于沒有操作結果數據的記錄，無法進行數據流動分析，更無法對已知數據分析，進行溯源追蹤。本方案中，通過對操作結果數據的記錄和分析，可以掌握敏感數據的流向情況，建立數據溯源模型，實現對已知數據的溯源追蹤，真正解決安全源頭問題。

（1）數據訪問情況索引

對特定或異常數據訪問情況進行索引，以便于快速檢索查找，分析情況。提供搜索引擎方式的原始的安全威脅數據搜索入口，可實現快速的海量數據檢索。

（2）數據泄露追蹤模型

建立數據相似度計算模型，基于該模型，可以根據輸入的泄漏的數據，輸出可能的泄露事件。

安全事件溯源分析在確定攻擊事件后會回溯所有攻擊相關的數據包，對系統(tǒng)近期的所有行為進行串聯，確定攻擊事件的整個事件周期，展示整個攻擊事件的所有攻擊路徑，結合終端用戶行為審計模塊確定攻擊者的身份。

l 能根據用戶身份數據進行反查，關聯出該攻擊的身份信息，至少包含該常用登陸地址以及常用訪問信息等數據。

l 能對該訪問者的訪問軌跡進行關聯聚合取證，方便運維人員快速定位安全事件和訪問者的身份。

l 按時間周期統(tǒng)計，周期包括：24小時（日）、7天（周）、30天（月）以及任意自定義時間等。

l 精準查詢，用戶可以在溯源平臺上通過多種類型的精細過濾條件對歷史事件進行精確查詢，完整還原數據訪問鏈路。

l 批量溯源，通過批量輸入待溯源的線索，平臺自動對查詢結果進行關聯、匯總，方便用戶通過關聯度、集中度等特性定位數據風險點。

5 總結

本文總結了目前新形勢下數據安全監(jiān)控的主要需求，并提出了對應的解決方案，以數據為焦點，以數據訪問行為的結果為導向，對數據安全事件進行監(jiān)控，提高預警能力，在事件嚴重化之前及時告警，并能夠對數據安全事件進行溯源跟蹤，實現讓數據按業(yè)務需要流動產生價值。

【通聯編輯：代影】