1、数据安全体系数据绿洲建设指南内部使用版(2022-2023)前言FOREWORD党的二十大报告指出,必须坚定不移贯彻总体国家安全观,确保国家安全和社会稳定,并明确数据安全作为国家安全保障体系的重要组成部分。数据安全法个人信息保护法施行以来,我国数据安全体系化建设快速发展,数据安全保障作为信息化建设的重要组成部分尤为重要。启明星辰信息技术有限公司作为国内信息安全领域的领头企业,全面落实总体国家安全观,统筹发展与安全,始终把安全发展贯穿于信息化建设各领域和全过程。本文以国家法律法规和政策������要求为基础,全面分析了当前数据安全领域发展特点,落实数据安全建设体系,结合项目实践经验和能力基础,提出“安全规划
2、、分类分级、风险识别、安全建设、安全运营”五步走的数据安全实施路径。数据安全体系【数据绿洲】建设指南指导专家(按姓氏拼音排序,排名不分前后)毕亲波、鲍启凡�����、陈建、韩明畅、潘柱廷、乔鹏、赵呈东参编人员(按姓氏拼音排序,排名不分前������后)程顺川、何文兵、张妮、吕波、刘雅丹、司文、王超、杨显兵、张黔荣特别感谢数据安全体系【数据绿洲】建设指南版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,部分来自网络,如有疑问,请联系北京启明星辰信息安全技术有限公司。方案内容未经北京启明星辰信息安全技术有限
3、公司书面同意,任何人不得以任何形������式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京����启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:100093电话:传真:您可以访问启明星辰网站:获得最新技术和产品信息。数据安全
4、体系【数据绿洲】建设指南目录CONTENTS01方案概述/背景1.1.数据安全上升国家战略1.�����2.数据安全技术发展趋势1.3.数据安全风险与需求0105060102数据安全体��������系框架2.1.设计原则2.2.设计目标2.3.总体框架07080907数据安全体系【数据绿洲】建设指南2.4.实施路径 1003数据安全管理体系建设方案163.1.数据安全组织建设3.2.数据安全制度建设161804214.1.数据安全治理管控平台4.2.数据流通安全管控平台4.3.隐私计算平台 4.4.全生命周期管控 2159758805数据安全运营体系建设方案1165.1.运营目标5.2.运营内容5.3.能力支撑116
5、117122数据安全体系【数据绿洲】建设指南061256.1.数据安全治理场景6.2.数据开发运维安全场景6.3.业务访问安全场景6.4.数据流转监测场景 6.5.数据库存储加密场景 6.6.数据��������共享安全场景3158161数据安全典型场景解决方案071177.1.无锡市大数据管理局 7.2.智慧蓉城数据安全治理170174数据安全项目案例081798.1.附录1:数据绿洲数据安全全景图8.2.附录2:数据安全能力清单179180附录数据安全体系【数据绿洲】建设指南01数据安全解决方案总册01当前,数据作为新型生产要素,正深刻影响着国家经济社会的发展。数据安全保障能力是国家
6、竞争力的直接体现,数据安全是国家安全的重要方面,也是促进数字经济健康发展、提升国家治理能力的重要议题。第一、数据安全保障能力是国家竞争力的直接体现习近平总书记在中央网络安全和信息化领导小组第一次会议上指出,“信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志”,强调了数据对于提升国家竞争力的重要价值。数据作为新������型生产要素,促进了数字基础设施的发展与产业的迭代升级,使得数字经济成了我国经济高质量发展的新引擎。同时,随着大数据广泛应用于治理领域,国家治理能力与治理水平也得到了有效提升。数据对于国家发展的重要意义早已不言而喻,能否始终确保数据作为助力经济社会发展的
7、正面因素,规避因为�������数据方案概述/背景1.1.数据安全上升国家战略数据安全体系【数据绿洲】建设指南数据安全解决方案总册02安全问题带来的安全隐患,是国家数据安全保障工作的重要关切。数据安全保障能力是确保数据发展优势的重要前提,也是国家竞争力的直接体现。围绕数据安全保障能力������建设,“十三五”规划中明确提出了要强化信息安全保障,加快数据资源安全保护布局。如建立大数据管理制度、实行数据分类分级管理,加强数据资源在采集、存储、应用和开放等各环节的安全保护,加强公共数据资源和个人数据保护等。近些年,我国更是加快了在数据安全领域的立法工作,相继颁布实施了中华人民共和国网络安全法中华人民共和国个人信息保护法中华
8、人民共和国数据安全法。目前,世界一些主要经济体和大国均发布了以发展数字经济、保护数据安全为核心的数据战略,如欧盟的通用数据保护条例(2018)、欧盟数据战略(2020),美国的联邦数据战略与2020年行动计划(2019)、数据战略(2020)等。数据安全保障能力正成为������国家发展数字经济、维护数据安全的主要能力,多个国家都在积极进行数据安全保障领域的立法与战略规划,数据安全保障能力也成为评价国家竞争力高低的重要指标。第二、数据保护与安全是国家安全的重要方面数据安全体系【数据绿洲】建设指南2015年,国务院发布促进大数据发展行动纲要,提出了“数据已成为国家基础性战略资源”的重要判断。2016年,习近
9、平总书记在网络安全和信息化工作座谈会上指出,“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全”。2017年,习近平总书记在中共中央政治局第二次集体学习时强调,“要切实保障国家数据安全”。数据安全与国家安全联系密切,保护数据安全这一任务随着数������据的激增而日渐紧迫。据相关数据显示,20182025年,预计中国数据总量的年平均增长速度将达到30%,超过全球平均水平,2025年,中国数据圈将增至48.6ZB,占全球数据总量的27.8%,成为世界最大数据圈。随着数据量激增和数据跨境流动日益频繁,有力的数据安全防护和流动监管将成为国家安全的重要保
10、障。数据与国家数据安全解决方案总册03的经济运行、社会治理、公共服务、国防安全等方面密切相关,一些个人隐私信息、企业运营数据和国家关键数据的流出,将可能造成个人信息曝光、企业核心数据甚至是国家重要信息的泄露,给国家安全带来各种隐患。除此之外,在全球范围内,以数据为目标的跨境攻击也越来越频繁,并成为挑战主权国家安全�������的跨国犯罪新形态。我国高度重视数据安全,中华人民共和国数据安全法明确了数据安全保护的法律责任,为保障数据安全,更好地促进数据的开发与利用,保护��������公民、组织的合法权益,以及维护国家主权、安全和发展利益等方面夯实了法治根基。党的十九届五中全会审议通过的中共中央关于制定国民经济和社会发展第十四
11、个五年规划和二三五年远景目标的建议,更明确了未来我国将更加注重“保障国家数�����据安全,加强个人信息保护”。中国从国家战略高度审视数据安全问题,将之置于当下发展和未来建设的重要位置,数据安全已经成为国家安全的重要组成部分。�������第三、数据安全有序是数字经济健康发展的基础随着新一轮科技革命和产业变革的加快推进,数字经济为各国经济发展提供了新动能,并且已经成为世界各国竞争的新高地。在新冠肺炎疫情的冲击下,世界经济陷入低迷,传统商贸及国际贸易均遭受了巨大打击,保障数字经济的健康发展对世界经济复苏意义重大。当前,我国的数字经济获得了新的发展空间,并深刻融入到了国民经济的各个领域。比如,直播带货、在线游戏、在线教育
12、和在线办公等新业态迅速成长,数字经济显示了拉动内需、扩大消费的强大带动效应,促进了我国经济的复苏与增长。据国家统计局数据显示,2020年我国前三季度GDP同比增长了0.7%,而同期信息消�������费规模达到3.6万亿,同比增长6.5%,有效拉动了经济涨势。数字经济不仅助力经济复苏,还催生了新机遇,创造了新的就业岗位和个人发展机会,保障了经济社会在疫情中的正常运转。而在数字经济蓬勃发展的过程中,数据安全是关键所在。除了数据本身的安全,对数据的合法合规使用也是数据安全的重要组数据安全体系【数据绿洲】建设指南数据安全解决方案总册04成部分。滥用数据或进行数据垄断,不合法合规地使用数据,将大大削弱数字经济的发展
13、活力与动力。因此,如何进一步保障数据安全及其合法有序流动将成为我国数字治理的施策重点。2021年2月�������,国务院反垄断委员会制定出台了国务院反垄断委员会关于平台经济领域的反垄断�����指南,其中多处提及了数据的安全和合法使用问题,为预防和制止平台经济领域垄断行为,引导平台经济领域经营者依法合规经营,促进线上经济持续健康发展指明了方向。数据安全是数字经济健康发展的基础,我们要确保数据安全及其合法有序流动,促进以数据为关键要素的数字经济持续蓬勃发展。第四、数据安全是国家数字治理的重要议题数据安全体系【数据绿洲】建设指南数字治理涉及政府部门、互联网企业、数据交易平台、信息使用者等多个主体。如何统筹协调多个主体,
14、在数据安全风险评估的基础上,进一步规范数字确权、开放、流通、交易各个环节,建立相应的法治和管理机制,综合运用政策、监管、法律多种手段确保数据安全和有序流动,是数字治理的关键环节。作为新的治理领域,数字治理应注重因跨境数据流动带来的安全问题。2020年9月8日,中国发起全球数据安全倡议,秉持发展和安全并重的原则,倡导各方在相互尊重基础上,加强沟通交流,深化对话与合作,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系。数据安全越来越成为中国多边外交的重要议题,也是中国参与全球数字治理的重要方面。全球数据安全倡议的提出,充分展现了中国对全球数字治理的积极态度和共同构建和平、安全、开放��������、合
15、作、有序的网络空间命运共同体的理念。中国将为加强数据安全有序流动,促进全球数字经济发展,制定全球数字治理规则,贡献更多中国智慧和中国方案。数据安全解决方案总册数据资产与业务存在强相关性,需要根据业务的流���程和特点,面向数据资产价值及防护诉求不同,针对数据流转的风险暴露面,确定合适的数据安全防护技术手段。突破传统的基于网元的一刀切������式防护手段,构建动态、按需的体系化技术防护框架。(2)单点技术向融合化平台发展围绕数据全生命周期,在周期各阶段节点的单点防护技术手段已日益健全,但基于安全木桶效应,数据流转需要体系化防护,建立集中化、联动化的安全防护平台,实现面向数据安全风险的动态、纵深防御已成业内共识,
16、零信任平台,隐私计算平台、安全监测平台、安全运营平台等平台化技术蓬勃发展,在数据收集、存储、使用、加工、传输等场景广泛应用。(3)密码应用成为热点1.2.数据安全技术发展趋势05数据安全体系【数据绿洲】建设指南数据作为数字经济关键要素,实施�������数据战略、保障数据安全逐步成为全球共同的战略选择。由于数据具备广泛性、分散性、多样性、复杂性等特性,构建系统的数据安全体系、增强数据保护能力、提升数据治理水平,成为各行各业的迫切需求,也激发了人工智能、数据共享和数字生态等一系列技术手段在数据安全方面的应用。(1)场景化防控手段体系化从数据安全的角度来看,保护数据完整生命周期的安全,其根本目的是确保数据在“使
17、用”时是真实可信的,对数据进行“加工”所获得的价值是有效的。随着“数据可用用不可见见”的理念不断普及,同态加密、联邦学习、安全多方计算、数据匿名等基于密码技术的快速发展,为数据安全、个人隐私保护等提供新思路,有效支撑先进产品在各个领域的落地实施。(4)AI技术�����融合愈加成熟数据安全解决方案总册随着企业数字化转型进程加快,非结构化数据快速增长,单纯依赖传统的基于人工设定规则/策略的防护技术,在处理效率、准确性、全面性等方面已经无法满足日趋复杂的数据安全防护需求,通过引入自然语言处理(NLP)、用户异常行为分析(UEBA)、知识图谱(KG)等人工智能技术,与传统的安全技术进行有效融合并实用�����化,已较好
18�������、的推进了智能化数据分类分级、智能化风险分析的进展,赋能数据安�������全行业,提升数据安全防护水平。结合法律法规、国家政策要求和风险应对建议,为有效应对数据安全挑战,我们梳理形成数据安全责任、制度、人员、技术、运营等方面的需求,如图2所示。1.3.数据安全风险与需求06数据安全体系【数据绿洲】建设指南02数据安全解决方案总册07在坚持统筹发展与安全,坚持国家总体安全观的基础上,数据安全体系框架设计坚持以下原则:(一)坚持依法合规遵守数据安全法个人信息保护法等国家法律法规和政策要求,依法依规开展数据安全的规划、建设、评估等全流程工作,规范数据安全保障体系建设,促进落实数据安全主体责任及各项技术和管理举措。
19、(二)坚持优化创新积极�������借鉴大数据、云计算、隐私计算等先进理念和技术,助推数据安全管理业务创新、技术创新和服务模式创新,完善数据安全管理体系、技术防护体系和运营体系。数据安全体系框架2.1.设计原则数据安全体系【数据绿洲】建设指南数据安全解决方案总册08(三)坚持稳步推进严格遵守“同步规划、同步实施、同步运营”三同步原则,坚持数据安全规划的可行性,结合实际的网络环境和业务环境等现状,对数据安全进行统一规划,分步骤、分阶段有序推进、平滑落地、持续运营。基于GRC(Governance,Risk&Compliance;企业治理,风险管理&合规遵从)风险合规管理理论,构建布局合理、管理协同、风险可控、
20、安全可靠、合法合规的数据安全保障体系,推动实现全场景、全流程、全链路的数据安全保障。(一)健全数据安全管理制度以数据为核心,以数据分类分级、动态管理为基础;围绕数据业务场景,以身份认证、动态授权、脱敏、加密为手段;������构建数据安全治理、数据安全监测、数据安全处置全覆盖的全生命周期纵深 防御体系,通过技术能力建设加强数据安全风险防控。(三)深化数据安全持续运营2.2.设计目标数据安全体系【数据绿洲】建设指南以国家总体安全观为统领,深入贯彻落实国家法律法规和政策要求,构建从管理制度、管理组织、人员管理、建设管理、运维管理、应急保障管理等维度维度和技术有机衔接的制度体系,明确责任划分和监督问责机制。(二
21、)提升数据安全技术保障2.3.总体框架数据安全解决方案总册09坚持构建“人机结合、持续监测”的数据安全运营工作体系,建立数据安全应急处置机制,落实数据安全风险评估、报告、信息共享、监测预警、管理边界、职责及责任落实工作,通过控制运营过程中的不合规风险点保障安全合规。数据安全体系【数据绿洲】�������建设指南围绕“构建全方位数据安全体系、筑牢安全防线”的总体目标,坚持“实战化、体系化、常态化”理念,以网络安全法�����、数据安全法、密码法等国家法律为依据,基于“统筹规划、统一策略、分级建设”的原则,从管理、技术、运营三个方面,构建一体化数据安全保障体系,将数据安全能力贯穿于建设的各领域和全过程,实现数据安全可管可
22、控可溯可视。数据安全体系由数据安全管理体系、数据安全技术能力体系、数据运营体系三部分组成。总体框架如下:数据安全解决方案总册10(1)数据安全管理体系数据安全管理体系主要是通过构建符合数据安全相关法律政策和业务发展所需要的管理组织、管理制度和人员能力等。制定切实可行、覆盖全面的制度规范,明确角色和职责,以保障数据安全技术体系和运营体系的管理和执行。(2)数据安全技术体系数据安全运营体系是数据安全管控工作常态化构建,运用适当的安全技术和管理手段整合人、技术、流程实现数据安全策略持续动态调整和安全积极防御,提供�����数据安全评估、主动风险监测、数据资产运营、智能风险感知、事件预警追溯、应急响应及处置、安
23、全评估教育等服务。2.4.实施路径数据安全体系【数据绿洲】建设指南基于数据安全体系框架和项目实践经验,我们总结形成数据安全保障体系建设的“五步走”实施路径,即数据安全规划、数据分类分级、数据风险识别、数据安全建设及数据安全运营。数据安全技术体系是数据安全体系建设的核心支撑,由数据安全治理管控层和数据安全能力层组成。通过数据安全治理管控平台向上为运营服务提供支撑,向下驱动各类数据安全能力实现数据安全管控,提�����升数据安全的管控能力和防护防护能力。具体建设可根据实际数据和业务场景、安全需求以及现状选择相应的安全能力。(3)数据安全运营体系数据安全解决方案总册11数据安全体系建设是一项需要多方联动的复合
24、型工作,合理的组织建设是����推动在数���据安全体系建设工作顺利推进中的关键。在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。并且,需要根据部门职责建立不同的数据安全角色以满足数据安全建设需求。2.4.1.数据安全规划数据安全体系【数据绿洲】建设指南前期的数据安全组织结构体系建设为后续数据安全建设提供了角色支撑,接下来需要从管理制度手段上进行梳理。数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需求求及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。数据安全解决
25、方案总册12通过数据安全治理专家团队,从业务角度出发,调研相关的数据安全规范、现存的服务范围内的业务内容及业������务流程、数据存储和数据使用等情况,形成数据资产清单,根据资产清单及数据安全规范,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。2.4.2.数据分类分级数据安全体系【数据绿洲】建设指南数据风险识别与评估是数据安全技术能力建设的前提。数据安全风险评估工作需通过数数据安全解决方案总册据安全治理专家������团队,从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找
26、出主要业务所面临的管理、技术及运营风险。结合数据资产清单,基于业务场景梳理数据操作过程中的主体、客体、过程等属性;以角色控制为视角,明确被审计用户的类型、角色;根据业务使用权限����内容,建立符合业务最小够用的安全策略模型。2.4.3.数据风险识别13数据安全体系【数据绿洲】建设指南不同安全级别的数据,按照数据全生命周期原则进行数据安全建设。具体保护要求及措数据安全解决方案总册施,可参照国家相关法律、法规、标准及自身的业务应用数据安全相关管理制度、规范、标准执行。数据安全能力按照基础安全能力、增强安全能力、扩展安全能力三类进行划分,分类建议如表1。2.4.4.数据安全建设142.4.5.数据安全运营
27、分类基础安全能力增强安全能力扩展安全能力数据资源发现、数据分类分级、数据资源识别、数据加密、数据脱敏、身份认证、数据防泄漏、数据溯源数据资产处理、数据资产标记、数据销毁、数据容灾备份、数据水印、安全审计、数据流转监测、数据安全态势感知数字签名、用户实体行为分析、多方安全计算、联邦学习、可信执行环境数据安全能力数据安全体系【数据绿洲】建设指南数据安全运营运营体系因其业务的持续性,需要进行长期性、常态化服务,包括制度规范完善、日常巡检自查、应急响应、告警管理、资源协调、数据使用状况的检控等,建立完善��������的数据安全运营团队是必然选择。通过运营团队的建设,有效应对数据变化和使用状况变化而产生的风险。15数
28、据安全体系【数据绿洲】建设指南数据安全解决方案总册03数据安全管理体系建设方案3.1.数据安全组织建设���决策层管理层(数据安全管理团队)执行层(数据安全运营、技术团队)监督层(审计)员工、合作伙伴16数据安全体系【数据绿洲】建设指南数据安全组织是数据安全体系建设的前提条件。通过建立专门的数据安全组织,落实数据安全管理责任,明确数据安全治理的政策、监督执行情况,确保数据安全相关工作能够持续稳定贯彻与执行。按照决策层、管理层、执行层、员工员�����工/合作合作伙伴伙伴、监督层的组织架构,设计数据安全的组织架构,赋予已有安全团队与其它相关部门数据安全的工作职能。整体组织架构分为:(1)决策层数据安全体系项目决
29、策层是数据安全管理工作的决策机构,建议领导担任,能参与到组织的业务发展决策,因为业务的发展和数据安全是密不可分。(2)管理层管理层是数据安全组织机构的第二层,基于组织决策层给出的策略,对数据安全实际工作制定详细方案,做好业务发展与数据安全之间的平衡。在组织中承上启下,做好数据安全全面落地工作,是组织内开展数据安全工作最核心的部门或岗位,部分工作可能需要组������织外部专业资源共同来履行。(3)监督层数据安全监督层负责定期监督审核管理小组、执行小组,员工和合作伙伴对数据安全政策和管理要求的执行情况,并且向决策层进行汇报,监督层人员必须具备独立性,不能与其它管理小组、执行小组等人员共同兼任,建议由组织内部
30、的审计部门担任。(4)执行层执行层与管理层是紧密配合的关系,其职责主要聚焦每一个数据安全场景,对设定的流程进行逐个实现。执行层主要包括数据安全专职人员和各业务部门的数据安全接口人员、风险管理人员、数据owner等。(5)员工、合作伙伴主要是组织内部人员和有合作的第三方的人员,须遵守并执行组织内对数据安全的要求,特别是共享敏感数据的第三方,从协议、办公环境、技术工具方面等������做好约束和管理。17数据安全体系【数据绿洲】建设指南3.2.数据安全制度建设数据安全解决方案总册在进行数据安全管理制度和规范的设计时,范围应覆盖数据的全生命周期,各单位可以参考区域内政务数据安全保障的地方性法规、顶层设计以及标准
31、规范等,从而建立单位内部制度规范去约束和规范相关人员开展日常工作,并赋予管理人员监督管理职责。制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重������复或矛盾。一般按照分为四级:一级文件:包含方针、策略、基本原则和总的管理要求;18方针、总则管理制度、管理方法操作流程、规范、作业指导书、模板等计划、表格、报告、各种记录、日志文件等数据安全管理组织数据安全体系【数据绿洲】建设指南二级文件:包含安全管理制度和办法;三级文件:包含操作流程、规范、作业指导书或指南及配套模板文件等;四级文件:包含表格、报告、各种运行/检查记录、
32、日志文件等。(1)制度体系一级文件方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等,主要内容包括但不限于:1、数据安全管理的目标、愿景、方针,如:XX数据安全总体策略等;2、数据及数据资产定义:比如定义组织内数据包含哪些内容和类别,信息系统载体,如:XX系统重要数据管理摘要等;3、数据安全管理基本原则:比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策,如XX单位数据分类分级指导意见等;4、数据生命周期阶段划分和整体������策略,比如:数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁,如XX数据(流转)管理办法等;5、数据安全违规处理:比如
33、违规事件及其等级定义,相应处罚规定,如XX数据泄漏处罚办法等。(2)制度体系二级文件数据安全管理制度和办法,是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求,比如:1、通用安全域:数据资产管理、数据质量管理、数据安全合������规管理、系统资产管理,19数据安全体系【数据绿洲】建设指南如XX数据安全管理制度等。2、数据生命周期各阶段:数据采集安全管理、数据存安全管理、数据传输安全管理、数据交换安全管理、数据使用安全管理、数据销毁安全管理,以及某个安全域的安全管理要求等。(3)制度体系三级文件数据安全各生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南,配套模板文件,
34、如数据安全处置流程等。在保证生命周期和安全域覆盖完整的前下,可以根据实际情况整合流程和规范的文档数量,不一定每个安全域或者每个生命周期阶段都单独建立流程和规范。数据安全操作指导书或指南,是对数据安全管理流程和规范的解释和补充,以及案例说明等文档,以方便执行者深入理解和执�����行;并非强制执行的制度规范仅供参考。数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档,以确保执行一致性,以及数据或信息的汇总统计等。(4)制度体系四级文件四级文件主要为执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等,如果实现自动化,大部分可通过技术工具收集到,形成相应的量化分析结果,也
35、是数据的一部分。20数据安全体系【数据绿洲】建设指南数据安全解决方案总册0421数据安全技术体系建设方案4.1.数据安全治理管控平台数据安全体系【数据绿洲】建设指南数据安全治理管控平台通过通过集中化的数据安全标准化、规范化、常态化管理,全面掌握全域敏感数据资产分类、分级及分布�������情况,有效监控敏感数据流转路径和动态流向,通过集中化数据安全管控策略管理、全生命周期管理,实现数据分布、流转、访问过程中的态势呈现和风险识别;为数据安全的安全管控和数据的����安全监控提供能力保障,为数据安全运营提供技术能力支撑平台。数据安全解决方案总册22数据安全治理展示中心包含数据资产梳理视图、策略中心管理视图、能力中心组件
36、视图、风险中心监测视图、全生命周期视图。数据安全治理核心功能数据资产管理:包含敏感数据定义、敏感数据识别、敏感数据规则、服务器扫描、数据库扫描、敏感数据分布、敏感数据分布视图、数据索引标记等功能。安全策略管理:包含敏感数据分级分类、访问控制策略、数据DLP策略、敏感数据脱敏策略、数据加密策略����、数据审计等策略管理。主要实现对发现的敏感数据分级分类,以及对数据安全技术手段的策略定义、任务下发、策略分析等工作。对数据安全的策略���������进行能力应用,提供数据资产发现、数据脱敏、数据加密、数据水印等多种能力API接口,提供能力集中调度和能力输出。数据安全体系【数据绿洲】建设指南数据安全解决方案总册23对外接口监
37、控:包括接口流量分析、对外接口管理、数据交互统计功能。实现对接口进行检测和分析。数据风险监测:包括数据安全风险分析、数据流转监控管理、数据泄露溯源管理、数据泄露场景建模分析。是一个敏感数据泄露的综合分析功能,通过采集到的日志进行关联分析以及可视化的场景建模,通过数据流转和水印实现溯源分析及泄露分析。生命周期管理:通过场景化的防护管理思路,梳理全生命周期包括:数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁各个阶段的业务场景。针对不同场景针对性的进行数据安全防护能力组件的部署,有效实现数据全生命周期数据安全防护。数据安全运营:包括安全运������维流程、数据安全合规、数据安全态势等功能。通过合理
38、的数据安全运营,为数据发现、数据管控策略等进行合理性管理。数据安全能力组件数据安全安全������防护能力包括:堡垒机、应用安全网关、运维安全网关、数据静态脱敏系统、数据动态脱敏系统、页面水印、文档水印数据水印系统、数据库审计、数据库访问网关、数据防泄漏等安全能力组件。安全能力组件和数据安全运营平台平台对接,并实现信息采集、引擎控制两大功能。主要实现对数据安全技术手段的上报信息的采集,以及对数据安全技术手段的接口配置,方便上层进行事件存储、分析、策略管理等。数据安全体系【数据绿洲】建设������指南4.1.1.数据资产管理24建立数据资产字典,绘制数据资产图谱,对敏感数据进行定义,提供全网敏感数据进行自动扫描发现能
39、力,对扫描的敏感数据进行索引标记。提供敏感数据分级分类能������力,对敏感数据进行分级分类标识,建立敏感数据资产分布视图,实现敏感数据的可发现,可展示、可稽核,全面掌控业务数据核心资产。4.1.1.1.数据发现识别敏感数据发现与识别是以协议解析、内容识别和语义分词为核心的深度内容识别系统,主要由管理中心、分级分类工具、敏感数据引擎等不同组件构成,各模块相互配合,构建敏感数据发现与识别体系。数据安全体系【数据绿洲】建设指南数据安全解决方案总册254.1.1.2.智能识别模块4.1.1.3.安全管理引擎资产自动发现:支持通过IP和端口自动扫描出数据库资产,操作功能包含自动扫描的任务的添加、删除、修改、详情
40、查看等;数据识别模块内置姓名、手机号码、身份证号码、中文地址、银行卡号、公司名称、固定电话、电子邮箱、组织机构代码、社会统一信用代码等敏感内容的自动识别算法,识别过程中无需管理员人工指定,即可自动识别敏感数据。通过分布式样本数据采集,系统获取最完整样本信息,并且通过数据深度分析,能够有效识别各种复合类型的敏感数据,比如:15位和18位身份证、16位和19位������银行卡号、中文姓名+公司名称、身份证+组织机构代码、手机号+座机号等。敏感数据自动发现:支持敏感数据类型自动发现,可覆盖政府、金融、学校、企业等多个行业相关的敏感数据类型。包括但不限于:姓名、地址、身份证号、手机号、银行卡号、Email、车牌
41、号、道路运输许可证号、护照、车架号、驾驶证编号、座机号、公积金编号、军官证、军密认证号、医师执业证书编号、营业执照、开户许可证号、税务登记证号、组织机构名称、组织机构代码、邮政编码、日期、字符串、社会信用代码、永久居住证号、台湾同胞大陆通行证号、港澳通行证号、IP地址等。除此以外,数据识别模块支持自定义敏感信息发现规则,发现规则支持基于正则表达式、基于字段名、关键字匹配等方式。数据安全体系【数据绿洲】建设指南4.1.1.4.数据发现规则数据安全解决方案总册26数据库数据安全管理引擎内置姓名、手机号码、身��������份证号码、中文地址、银行卡号、公司名称、固定电话、电子邮箱、组织机构代码、社会统一信用代码等
42、敏感内容的自动识别算法,通过远程扫描的方式实现敏感数据的发现。通过配置数据库的IP、端口、登录帐号(具备Select权限)、扫描时间和扫描数据类型范围,主动完成数据库敏感数据的发现,并将敏感数据分布情况上报给管理中心。通过分布式样本数据采集获取最完整样本信息,并且通过数据深度分析,能够有效识别各种复合类型的敏感数据,比如:15位和18位身份证、16位和19位银行卡号、中文姓名+公司名称、身份证+组织机构代码、手机号+座机号、护照号码、中文地址等。支持通过样本数据自���定义敏感类型,如基于自然语言处理、统计模型等分类模型��������进行敏感类型的扩充和识别。对内部核心数据库进行扫描,利用数据库数据安全管理引擎对
43、敏感信息�������的定义和识别,扫描数据库中是否存在敏感数据。采用无代理方式使用查询权限帐号进行扫描,将包含敏感数据的库、表、列的位置、样本反馈至服务器,形成数据库敏感数据资产分布报表及分布图,便于针对数据库中的敏感数据库进行进一步管控,如数据库审计、数据库脱敏等。支持常用主流数据库:MySQL、DB2、Oracle、SqlServer、PostgreSql等。根据敏感数据的定义,制定敏感数据发现�������规则,对于数据扫描的目标、时间、周期等元素进行定义。为了不影响业务的正常运行,可通过规则来对于扫描的时间、周期及目标服务数据安全体系【数据绿洲】建设指南27器等进行定义。服务器扫描根据定义的敏感数据发现规则,手
44、动或者自动(按照预定的时间、周期)对于服务器(文件存储、邮件服务器、应用服务器等)进行数据扫描发现,并且将扫描的结果形成日志记录统一记录到管理服务器上,供后续绘制分布图使用。数据库扫描根据定义的敏感数据发现规则,在不停机的情况下,自动(按照预定的时间、周期)对于现有的数据库(SQL、Oracle、MySQL等)进行在线数据扫描发现,并且将扫描的结果形成日志记录统一记录到管理服务������器上,供后续绘制分布图使用。为�������了避免对于业务造成影响,所以在对于数据进行扫描发现时,数据库不能下线、停机,要求在线进行扫描;并且支持增量、完整等多种扫描方式。敏感数据发现规则由文件服务器扫描规则、数据库、大数据扫描规则组
45、成,对于数据扫描的目标、时间、周期等元素进行定义。敏感数据发现规则由数据库发现规则和服务器发现规则组成,可定义数据库/服务器扫描任务并展示规则所对应的数据库/服务器等详细信息。通过定义扫描条件(按照预定的时间、周期、资产信息)对数据库/服务器(关系型、非关系型数据库�����,文件目录)结合安全策略,形成敏感数据发现规则。数据安全体系【数据绿洲】建设指南4.1.1.5.数据识别技术数据安全解决方案总册28根据敏感数据的定义,使用内容识别手段(关键字、正则表达式、字典等),对于数据进行内容识别和检测。敏感数据的识别,是实现数据的索引、标记及数据发现、审计等工作的前提条件,通过技术手段区分普通数据和敏感数据
46、。文件指纹技术“文件指纹”可确保准确检测以非结构化数据存储的数据,例如MicrosoftWord与PowerPoint文件、PDF����文档、财务、并购文档,以及其他敏感或专有信息。通过收集样本上传至服务器创建文档指纹特征,以检测原始文档、数据库的已检索部分、草稿或不同版本的受保护文档。文档指纹首先要进行敏感文件的学习和训练,拿到敏感内容的文件时,采用语义分析的技术进行分词,然后进行语义分析,提出来需要学习和训练的敏感信息文档的指纹模型,然后利用同样的方法对被测的文档或内容进行指纹抓取,将得到的指纹与训练的指纹进行比对,根据预设的相似度去确认被检测文档是否为敏感信息文档。这种识别方法具备极高的准确率
47、与较大的扩展性。自然语言处理与机器学习高效的中文分词算法,无需词库也能解析词语。分词时支持去除干扰符号,支持去除词语中的干扰词,能将“法#论功”、“工资xx明细”等模式进行正确分��������词支持英文词组分词,可以匹配如“Salarydetail”等英文词组。通过对样本文档进行学习和训练,采用语义分析的技术进行分词,然后进行语义分析提数据安全体系【数据绿洲】建设指南取来������匹配判断是否包含敏感数据。文件属性检查与图像识别支持doc、docx、xls、xlsx、ppt、pptx、rtf、pdf、txt、html、xml、C/C+、perl、shell、rar、zip、tar、gzip、7z、iso等常见的文档类
48、型解析和内容提取。对于不带扩展名或修改扩展名的文件,同样能根据其文件特征识别其文件类型。支持对压缩加密文件、office加密文件、pdf加密文件的类型识别。图像识别(OCR)主要对图片、打印文件等提取文字并执行安全策略检查,无论是网络、邮件、还是存储通道。进行光学字符识别内容分析,特别适用于网络传输、数据发现以及打印服务器的信息泄露。提取图片甚至视频中的文字敏感信息,打印文件中的文字敏感信息识别截屏(截图)等行��������为进行监控分析,对于红头文件扫描件、传真页、票据,表单等也能解析和识别。正则表达式与模式匹配对于符合某种规则的内容,可以抽象出正则表达式,然后按正则表达式对文字内容进行检查。产品应提供常
49、见的正则表达式,如手机号码、身份证号码、银行卡号、信用卡号等预置模式;支持通过校验方式检验模式串的有效性。关键字与字典权重支持关键字内容检测,包含中文简体、繁体、英文,支持繁体自动识别。支持关键词模糊匹配,关键词中可以用*号代替不确定的词,如“工资*明细”。关键字对之间用英文星号(*)连接,多个关键字或关键字对之间以英文逗号隔开系统根据不同业务属性需求,内置关键字(字典)。数据安全解决方案总册29数据安全体系【数据绿洲】建设指南4.1.1.6.服务器扫描数据安全解决方案总册30支持配置权重模式配置,优先检测权重值高的内容。嵌套及多层压缩识别能够识别常见�����的office嵌套文件(如Word里嵌套e
50、xcel),并提取嵌套文件内容,识别能力支持多层压缩文件解析和无限层内容提取。防逃逸与加密识别对于不带扩展名或修改扩展名的文件,同样能根据其文件特征识别其文件类型。支持对压缩加密文件、office加密文件、pdf������加密文件的类型识别。敏感数据识别模型包含:关键字、正则表达式、文件MDS、文档指纹、文件大小、文件类型、机器学习与自然语言处理等识别算法,由上至下。越向下,识别的准确率越高。敏感数据识别模块包含:关键字、正则表达式、文件MDS、文档指纹、文件大小、文件类型、机器学习与自然语言处理等识别算法。敏感数据识别策略结合匹配算法对数据文件进行深层的内容分析。根据定义的敏感数据发现规则,自动(按照
51、预定的时间、周期)对于服务器(文件存储、邮件服务器、应用服务器等)进行数据扫描发现,并且将扫描的结果形成日志记录统一记录到管理服务器上,供后续绘制分布图使用;数据安全治理平台配置敏感数据发现规则,通过服务器扫描模块下发扫描任务,采用SSH远程登录方式到用户配置的文件服务器上面进行扫描,基于CDE检测引������擎对扫描数据数据安全体系【数据绿洲】建设指南4.1.1.7.数据库扫描数据安全解决方案总册31实现规则匹配和事件上报。服务器扫描任务模块由敏感数据发现规则,扫描类型、优先级和扫描方式组成。实现对文件服务器远程扫描。根据定义的敏感数据发现规则,在不停机的情况下,自动(按照预定的时间、周期)����对于现有的
52、数据库(SQL、Oracle、MySQL等)进行在线数据扫描发现,并且将扫描的结果形成日志记录统一记录到管理服务器上,供后续绘制分布图使用。为了避免对于业务造成影响,所以在对于数据进行扫描发现时,数据库不能下线、停机,要求在线进行扫描;并且支持增量、完整等多种扫描方式。数据安全治理平台配置敏感数据发现规则,通过数据库扫描模块下发扫描任务,数据库/大数据组件扫描模块基于JDBC、ODBC协议,远程连接并遍历查询数据库中的数据。数据库扫���描任务模块由敏感数据发现规则,扫描数据类型和扫描方式组成。实现对关系型、非关系型数据库扫描。4.1.1.8.资产盘点支持自动和手动的进行资产的盘点,并生成盘点报告,
53、盘点内容包括自动发现资产、资产风险情况扫描、资产网络连通性扫描、资产保护情况扫描。数据安全体系【数据绿洲】建设指南提供对采集上来的资产的审核和确认功能;展示待确认,已�������确认、确认不通过的资产列表,并提供关键字搜索;支持对待确认资产的一键审核,对已确认资产的一键添加到资产管理支持自定义资产分类分级支持多层次资产分类支持对资产进行自动扫描后汇总分类分级扫描结果,独立页面展示数据分类分级扫描结果包含资产IP、资产类型、数据库实例、表名、字段名、分类信息、分级信息������、敏感类型、状态等内容;支持对分类分级结果进行确认,确认的内容在后续扫描作业不进行变更处理,支持一键确认,单挑数据确认;支持对分类分级结果进行
54、导出操作。数据安全策略管理中心对数据安全策略能够进行集中控制、展示和管理,对数据安全的行为、防护能力进行集中控制管理,支持策略增加、删除、修改等操作。安全人员通过安全策略管理模块,实现对数据安全合规安全策略基线、业务针对数据安全要求的策略基线的维护和管理,同时根据数据安全分级与保护规范的防护要求,生成数据保护策略。数据安全策略管理中心包含敏感数据分级分类������、访问控制策略、数据DLP策略、敏感数据脱敏策略、数据加密策略、数据审计、数据访问控制、数据安全运维等策略。4.1.1.9.资产确认324.1.1.10.资产分类分级4.1.2.安全策略管理(联防联控)数据安全体系【数据绿洲】建设指南策略管理支
55、持场景化管理能力,根据人员、数据的分类分级,数据的业务场景,对数据的全生命周期场景策略进行管控。支持对下级设备数据库状态监控、数据�������库审计、数据库漏扫、日志审计进行数据采集和统一管理,支持下发指令到级联设备,应对用户操作、数据库状态的安全威胁行为进行预警,应对用户高危行为操作、数据库攻击行为进行联动阻断。平台内内置相应的决策模型或者知识库,以辅助工作人员快速实现数据安全防护决策。安全人员负责安全策略的管理工作。可以进行安全策略基线配置、业务针对性安全新策略定义和维护,生成新的数据保护策略。平台内根据国家相关法律法规内置相应决策模型或者知识库、安全策略,以辅助工作人员快速实现数据安全防护决策。数据
56、安全策略管理中心包含敏感数据分级分类、访问控制策略、数据DLP策略、敏感数据脱敏策略、数据加密策略、数据审计、数据访问控制、数据安全运维等策略。4.1.2.1.安全策略类型33通过数据安全治理平台敏感数据扫描模块发现结果,依照����相关分级分类管理办法�������,标识敏感数据的数据类型、敏感数据位置等,并支持敏感数据分类分级结果的导出功能。敏感数据分类可根据行业要求进行指定,比如用户身份和鉴权信息、用户数据及服务内容信息、用户服务相关信息企业运营管理数据组成。通过采用不同识别手段,识别不同类型数据,由此进行敏感数据的分类。4.1.2.1.1.数据分类策略数据安全体系【数据绿洲】建设指南根据敏感数据扫描发现结果
57、,依照相关数据分级分类管理办法,标识敏感数据的敏感级别、敏感数据位置等,并支持敏感数据分类分级结果的导出功能。敏感�������数据分级模块可根据行业要求进行定义,比如由极敏感级、敏感级、较敏感级、低敏感级组成。敏感数据分级模块展示内容包括:级别、编号、包含的数据分类范围等信息。根据不同的数据分类关联数据分级来实现敏感数据�������分级。4.1.2.1.2.数据分级策略34数据安全体系【数据绿洲】建设指南访问控制策略为全域数据提供了统一数据访问策略统计、分析、稽核和展示,包括对所有上层应用的访问进行细粒度授权,通过限制对数据资产的访问操作,防止非法用户的侵入、用户越权、合法用户的不慎操作而造成的数据泄露、篡改、损毁,
58、保证数据资产受控地、合法地使用。访问控制策略能够对目录、关系型、非关系型数据库中的表进行细粒度的授权策略定义;能够对数据库或文件系统的不同操作(如查询、增删、创建等)进行授权策略定义;能够对业务系统的界面操作权限进行细粒度授权策略定义。驱动DLP设备为全域数据提供了统一的数据泄露防护策略的管理。数据泄露防护策略主要包含了检测文档类型、解析协议、数据敏感级别、数据风险监测规则、数据处置动作等内容。4.�������1.2.1.3.访问控制策略354.1.2.1.4.数据防泄漏策略数据安全体系【数据绿洲】建设指南DLP策略能够按照相关法律、法规、标准以及业务要求准确定义敏感信息。系统可按关键字、正则表达式、数据
59、����标识符、文件名称、文件大小、文件名、文件指纹、结构化数据指纹等信息采用逻辑与、或、非的方式进行敏感数据定义;系统还提供了机器学习智能敏感数据定义,智能数据分类等功能。系统提供了丰富的常用默认规则,包括姓名、身份证、地址、手机号、银行卡号、邮箱、工商注册号、护照、军官证、座机号、纳税人识别号、企业组织机构代码、统一社会信用代码等发现规则。以协议解析、语义分词为核心的深度内容识别能力,不同组件相互配合,实现对采集、使用、流转、存储、数据进行实时发现和监控构建数据安全闭环。脱敏策略实现统一的数据脱敏策略管理功能。脱敏策略包括动态脱敏和静态脱敏策。动态脱敏策略主要通过定义数据访问场景、访问帐号角色、需
60、要脱敏的内容、脱敏算法等来完成策略的定义;静态脱敏策略主要通过定义资产对象、脱敏内容、数据脱敏算法来完成批量数据脱敏策略。4.1.2.1.5.数据脱敏策略36数据安全策略管理中心����对数据安全策略能够进行集中控制、展示和管理,对数据安全的行为、防护能力进行集中控制管理,支持策略增加、删除、修改等操作。1)策略创建安全策略可以通过人工录入方式创建。4.1.2.2.策略集中管理数据安全体系【������数据绿洲】建设指南2)策略执行根据策略适用范围说明,选择策略执行的具体资产对象。检查策略的执行状态及结果,可以按照一种或多种维度组合查询策略执行情况。3)策略变更因安全管理对象和内容发生变化,对相关安全策略进行变更
61、。策略变更管理包括策略修订、策略注销等功能。数据安全策略管理中心提供数据安全防护能力输出和数据安全防护策略的任务下发。可以实时将数据发现、动态脱敏、数据库监控、数据库防火墙、数据加密、数据脱敏等安全策略下发给数据安全运营平台平台对接的各类数据安全能力组件,并执行该策略。4.1.2.3.安全策略下发37数据安全体系【数据绿洲】建设指南收集各安全产品的风险情况,实现安全威胁实时分析、秒级预警、防护策略的下发、安全事件取证,以及超大规模数据管理和快速查询,对�������各设备的运行情况进行每日统计。4.1.2.4.设备状态的监控38数据安全运营平台对外接口管控中心通过HTTP协议解析,还原HTTP事件请求和返回
62、内容,可记录操作后的页面返回信息。通过建立API接口清单并识别敏感数据暴露面,避免安全管理盲区,降低数据泄露和合规风险。4.1.2.5.对外接口管控支持对API接口监控授权工作访问时间设置、支持访问阈值(单位时间)设置、支持敏感数据规则设置。支持按时间单位设置访问页面/接口的阈值,监测一定时间阈值内,尝试登录次数的行为。4.1.2.5.1.监控细粒度1)访问行为监控:依据预先定义的时间规则,通过数据解析去发现流量中判定非工作时��������间的访问行为。4.1.2.5.2.监控类型数据安全体系【数据绿洲】建设指南391)访问行为监控:依据预先定义的时间规则,通过数据解析去发现流量中判定非工作时间的访问行为。
63、2)页面访问频次监控:监测一定时间阈值内,尝试登录次数的行为。3)敏感信息访问监控:依据预先定义的敏感数据规则,通过数据解析去发现流量中未脱敏的信息,形成监控日志。4.1.2.5.2.监控类型数据安全体系【数据绿洲】建设指南风险评估分析模块是指通过对数据相关事件内容进行集中分析,包含:日志采集、日志范式化、人物行为画像分析、数据流转地图、数据泄露行为分析建模、数据异常行为告警、数据风险展示、数据日志展示、数据多维度查询多个功能。本次在汇集各类数据资产和数据安全相关信息的技术上,建立数据安全风险评估模型,提供对数据的重要性、存在的泄露风险及面临的违��������规操作等各种维度安全状态进行量化评估手段。基于模
64、型应用和安全专家人工分析相结合的方式,对数据安全进行态势分析:识别敏感数据安全状态及趋势变化;掌握数据违规操作和泄漏风险分布,包括从业务系统、数据类别、各安全域等多维度统计分析;提供动态的数据安全可视化展��������现,并定期输出安全态势分析报告;提供数据风险威胁溯源分析管理。数据安全风险评估提供行为画像能力,泄露场景的建模能力、异常告警能力。自动采集数据安全能力组件的事件,通过与历史数据和群组画像进行比对,生成画像信息。按照不同的群组,生成群组画像并作为群组成员的基线。通过画像模型对行为进行分析,对异常进行告警。对共享数据接口进行画像分析,对异常频次、异常事件的内容进行告警。并提供多种维度的统计分析方式
65、,可为安全专家提供多种数据����安全态势,满足日常工作需要。支撑运营人员对数据泄露场景进行建模分析,支持各类场景的配置。配置内容为检测时间间隔、上限数、黑白名单等。包括:高频访问场景配置,越权访问场景配置,高风险指令场景配置,敏感数据外发场景配置,异常访问场景配置,暴力破解场景配置。识别敏感数据安全状态及趋势变化;掌握数据违规操作和泄漏风险分布,包括从业务系统、数据类别、各安全域等多维度统计分析;提供动态的数据安全可视化展现,并定期输出4.1.3.数据风险监测40数据安全体系【数据绿洲】建设指南安全态势分析报告。以数据为中心������建立数据流转视图,以时间维度对数据进行梳理,以数据文件为单元,建立数据流转视
66、图。数据泄露行为建模:建立数据泄露场景模型,对数据泄露行为进行建模分析。数据溯源:以时间维度展现,通过数据流转视图,展现数据泄露场景。对敏感数据操作相关行为进行集中收集和存储。数据安全管控平台通过接口采集各种不同数据安全类设备产生的日志,采集的方式包括:SyslogODBC4.1.3.1.日志采集41日志展示异常行为告警数据风险展示数据多维度查询建模模型管理溯源结果展示数据溯源数据泄露行为建模数据流转地图人物行为画像日志采集日志采集网络DLP4A/堡垒机数据库审计业务合规性审计日志范式化动态流转视图人物画像展示展示数据分析������数据采集数据采集源数据安全体系【数据绿洲】建设指南FTP定制接口等支持K
67、afka、等方式接收日志能通过自定义正则规则规整日志,支持对现有数据库安全设备的接入能力,如数据库审计,同时支持本次项目中其它数据库安全设备接入,对新接口要具备快速开发响应能力。对于所有采集上来的日志,系统自动进行范式化处理,将各种类型的日志格式转换成统一的格式。系统提供的范式化字��������段包括日志接收时间、日志产生时间、用户名称、源地址、敏感数据表或文件、操作、目的地址、目的端口、日志的事件名称、设备地址、设备名称、设备类型等。(根据网络DLP、终端DLP、数据库审计、数据库防火墙、堡垒机、动态脱敏、加密的日志考虑)4.1.3.2.日志范式化数据安全解决方案总册42通过建立人员行为基线,针�����对人员基于
68、数据访问建立行为“画像”。4.1.3.3.人物画像数据安全体系【数据绿洲】建设指南以数据为中心基于时间轴展现数据的相关行为,包括用户运维操作行为、业务访问行为、终端操作行为。基于时间节点,对数据的流转行为进行刻画。4.1.3.4.数据流转分析数据安全解决方案总册43数据安全体系【数据绿洲】建设指南数据访问异常是根据人员画像为支撑,对敏感数据的访问行为进行异常访问分析,�������对异常行为进行告警和展示。数据流转视图4.1.3.5.数据访问异常数据安全解决方案总册44数据安全体系【数据绿洲】建设指南行为比对从帐号行为操作的维度,以分、时、天、周、月、年等时间周期分析统计操作类型和次数。从地理位置维度,对源
69、IP、资产、类型、次数进行分析统计。异常告警异常时间、异常地点、异常操作顺序、异常频次等。数据安全解决方案总册45数据安全体系【数据绿洲】建设指南编号批量查询下载违规接入外部设备批量查询下载次数纬度通过终端DLP获取用户违规接入外部设备数据库操作偏离基线数据库操作偏离基线应用操作偏离基线应用操作偏离基线事件级别敏感数据访问时间级别统计日志时间123456日志生����成时间名称说明敏感数据泄露事件分析场景的创建及展示是对数据泄露检测的结果数据进行多维度统计分析,数据来源异常访问、暴力破解、越权访问、高风险指令、高频访问、敏感数据外发等分析方法从数据行为时间的维度,以分、时、天、周、月、年等时间周期分析
70、统计数据泄露风险场景。从地理位置维度,对源IP、数据资产、数据类型、数据行为频次进行分析统计。从资产维度,对数据类型,数据数量及数据行为次数进行分析统计。数据输出4.1.3.6.数据泄露建模数据安全解决方案总册46表异常行为分析输出数据安全体系【数据绿洲】建设指南高风险指令多次高风险指令命中次数统������计原始日志日志的原始日志记录时间时、日、月、年等纬度进行统一展现源IP源IP目的ip/url目的IP/url涉敏数据操作中涉及的原始敏感数据789101112表异常行为分析输出数据安全解决方案总册47编号异地访问越权访问批量查询下载次数纬度越权访问高频次访问高敏感数据库、数据的多次高风险操作频次事件级
71、别敏感数据访问时间级别统计操作用户操作帐号日志时间123456原始日志日志的原始日志记录源IP源IP目的ip/url目的IP/url涉敏数据操作中涉及的原始敏感数据78910日志生成时间名称说明数据安全体系【数据绿洲】建设指南批量查询/下载违规接入外部设备数据库操作偏离基线应用操作偏离基线表数据泄露分析数据安全解决方案总册48敏感数据批量下载敏感数据过量外�������������发敏感数据批量下载高敏感数据批量外发频次敏感数据操作时间异常高敏感数据操作时间异常频次等事件级别敏感数据访问时间级别统计日志时间1234敏感内容未模糊化应用系统、服务器传输数据、文档未合理进行模糊化56非工作时间访问多次非工作时间访问统计原始
72、日志日志的�������原始日志记录源IP源IP目的ip/url目的IP/url78910涉敏数据操作中涉及的原始敏感数据11日志生成时间编号名称说明数据安全体系【数据绿洲】建设指南水印管理包括文档水印管理、页面水印管理和数字水印管理,为数据泄露溯源提供支撑。文档水印管理支持PDF、word、EXCEL文档的水印标识能力,水印包括访问时间、使用人员等。页面水印管理对页面进行水印标识能力,水印包括访问时间、访问人员、人员所在单位等。数字水印管理数字水印管理是对数据进行水印标识,支持伪行伪列、不可见字符、数据指纹。4.1.3.7.水印管理高风险指令异地访问绕行访问越权访问高频次访问敏感数据过量外发敏感内容未模糊
73、化数据安全解决方案总册49数据安全体系【������数据绿洲】建设指南数据溯源是对数据泄露的源头进行定位。数据溯源指的是基于数据水印和数据指纹技术,对共享出去的数据加水印或做指纹留存,一旦发生数据泄露,可以基于泄露的数据进行数据溯源,追溯数据泄露的源头。提供安全风险趋势展示,可按照时间维度进行展现,最少包含24小时、48小时、72小时、7天、1个月、1年维度。支持应用、账号维度的总量展示。提供高活跃账号/应用视图,按照账号/应用�����使用频率、重要度等对热度分析展示Top10的高热度账号/应用。提供低热度账号/应用视图,按照账号/应用使用频率、重要度等对热度分析展示Top10的低热度账号/应用。可展示高热/低热
74、资产账号/应用,并可按照时间维度进行展现,最少包含24小时、48小时、72小时、7天、1个月、1年维度,展示内容包含名称、数量�����、时间戳等信息。可针对同一类型数据进行数据域管理,并根据数据特征进行相应的识别规则制定,识别规则包含元数据识别、关键字识别、指纹识别等。4.1.3.8.数据溯源4.1.4.数据安全态势分析4.1.4.1.数据资产态势分析提供安全策略展示功能,可根据数据安全策略进行相应的安全策略设计,并按照级别、类别进行细化策略功能展现,并可根据数据生命周期制定相应的安全策略进行统一展现。可4.1.4.2.数据风险态势分析数据安全解决方案总册50数据安全体系【数据绿洲】建设指南4.1.4
75、.3.风险概览针对同一类型数据进行数据域管理,并根据数据特征进行相应的识别规则制定,识别规则包含元数据识别、关键字识别、指纹识别等,并进行分类展现。提供数据安全事件的集中展示,收集数据库审计、数据库访问控����制系统、网络DLP等系统的日志数据,提供事件级别的定义,支持重要数据安全事件的告警。提供数据安全全生命周期管理能力展示,包括每个阶段的场景、场景下的数据、安全防护能力、数据安全事件、数据安全状态。提供数据安全态势集中展示,包括批量下载、批量下询、越权访问、异常访问等相关数据安全态势内容。提供数据安全组件状态展示,可对纳入管控的数据安全设备进行全局管理,包含状态、安全域、设备类型、IP地址等,并
76、可根据设备属性进行虚拟标签管理,通过大��������屏展示进行展现。支持资产风险趋势分析,展示资产风险指标,风险类型以及试试威胁详情等内容,使用纵坐标及横坐标风险整体展示,分析及展示响应行为分布,整体展示数据库资产整体风险趋势情况及处置情况。4.1.4.4.风险处置支持管理员对风险事件进行处理,应可选择处理全部或处理当前选择,标记事件行为状态为正常或异常,异常行为和陌生人闯入事件类型应可以加入模型中,批处理应可加入白名单,应可填写处理意见描述。数据安全解决方案总册51数据安全体系【数据绿洲】建设指南依托场景化的解决思路,从数据采集、数据传输、数据存储、数据处理/使用、数据交换/共享等阶段对数据资产进行全生命
77、周期管理,对各个阶段的数据、事件、防护能力进行全方位监测和管理,为全生命周期管理能力提供支撑。数据生命周期管理包括数据采集阶段监控审计、数据传输阶段监控审计、数据存储阶段监控审计、数据使用阶段、数据交换/共享阶段监控审计。全生命周期管理是对生命周期各个阶段的数据使用情况进行分析、展现管理。4.1.5.全生命周期管理524������.1.6.数据安全运营数据安全体系【数据绿洲】建设指南数据安全合规管理支撑相关部门合规检查要求和单位内部合规检查要求,具备对合规目录管理,基础性评估、生命周期评估和技术评估相关的合规文件新增、修改、删除和下载等管理功能。4.1.6.1.数据安全合规管理53数据安全运营的核心定岗
78、定责,责任到人,可验证、可追溯。贯穿安全监测、安全分析、安全处置、安全运维流程,全面覆盖安全运营工作。不同类型、不同等级安全事件的监测、分析、响应、处置流程。4.1.6.���2.安全运维流程数据安全预警是对数据安全分析结果异常行为事件进行相关预警,包括如下方面内容:异常访问暴力破解越权访问高风险指令高频访问敏感数据外发4.1.6.3.数据安全预警数据安全体系【数据绿洲】建设指南以数据为中心动态展示相关数据态势信息。数据安全解决方案总册数据资产态势展示数据的存储和分布情况,内容包含:数据表总量、按类型统计数据库总数等。直观数据访问态势动态展示数据的业务访问行为和敏感数据����访问行为,以时间段,以访问命令
79、、数据的载体动态展示数据访问行为数据流转趋势以折线图的方式展示近七天内正常数据和敏感数据的流转趋势等。数据风险事件态势实时展示数据风险分析中心最新发现的敏感数据泄露风险告警事件,内容包含:敏感内容、敏感级别、访问帐号、业务系统等。包括:越权访问事件、高频访问事件、异常�������操作、异常访问事件。4.1.6.4.数据安全态势54数据安全体系【数据绿洲】建设指南态势预测支持从整体上对安全事件进行风险预测,包括:展现出数据资产的风险情况,包括展示数据库量、事件总数、访��������问数量、风险数量、风险资产Top10、用户IP风险Top10、风险类型TopN、响应行为分布、告警曲线趋势、实时威胁分析等模块,呈现整体系统的
80、安全总体态势。应急响应分析根据数据安全事件的动态数据,汇总数据安全事件相关信息,分析可能的影响程度、影响范围,对数据安全事件进行综合分析,形成能够支撑应急指挥的基础数据。资源调度可对特定的负责人派发工单,针对网络、系统、安全系统等进行资源调度,协调必要的处置措施。4.1.6.5.事件流程管理1、数据库量:连接的数据库总量,直观展现用户的数据库资产数量。2、事件总数:连接的所有设备的事件数量总和,包括风险事件与非风险事件。3、访问数量:�������连接的所有数据库被访问的数量总和。4、风险数量:根据规则识别出所连接安全设备的风险事件的数量总和5、风险资产Top10:发生风险事件数量最多的十个数据库资产。6、
81、用户IP风险Top10:发生风险事�����件数量最多的十个用户IP。7、安全响应行为分布。55数据安全体系【数据绿洲】建设指南通过对数据资产视图,实现资产敏感数据总量、资源数量、数据库、服务器、大数据组件、资产扫描等信息的汇总。并且通过数据分类分级管理视图和敏感数据分布视图实现数据资产的整体监控。建立级联的数据资产底账,并以可视化的方式展示数据的存储位置。提供多维度的数据资产统计分析和图形、图像化呈现,实现对数据资产按照类别级别、安全域、系统等维度方式的可视化。对形成的静态数据资产信息,可提供多维度的数据资产统计分析和图形化图像化展示,展示数据的存储位置。实现对数据资������产按照类别级别、安全域、系统等维度
82、方式的可视化展现,以饼图、热图、趋势、柱图等多种展示形式。4.1.7.数据安全视图4.1.7.1.数据资产视图通�������过策略中心管理视图,结合策略分类视图、策略与各能力组件关系视图,实现策略总条数、数据分级策略数、数据类型策略数、敏感数据发现策略数、敏感数据管控策略数、敏感数据监控策略数等策略的统一管理。4���.1.7.2.策略中心管理视图通过能力中心组件视图,不仅可以直观了解平台依赖的各能力组件情况,包括能力组件总数、已建设能力组件、待建设能录组件、异常能力组件、正常能力组件,而且可以看见数4.1.7.3.能力中心组件视图56数据安全体系【数据绿洲】建设指南通过数据风险监测视图,实现数据风险可视化,包
83、含数据资产当前�������的风险等级、风险事�������件总量、已处理事件、未处理事件等。并且直观统计出数据资产的异常访问、暴力破解、越权访问、高频访问、敏感数据外发等风险行为。4.1.7.4.数据安全态势视图通过生命周期视图,实现采集、传输、存储、使用、共享、销毁数据应用场景,通过场景化方式解决全生命周期管理问题。数据资产梳理、数据分级分类、数据安全管控、统一指挥调度、数据审计溯源、态势预测展示等。包括每个阶段的场景、场景下的数据、安全防护能力、数据安全事件、数据安全状态。提供数据安全态势集中展示,包括批量下载、批量下询、越权访问、异常访问等相关数据安全态势内容。4.1.7.5.全生命周期视图实现数据的全生命周期的
84、审计,并可根据业务要求,自定义审计目标及审计内容。平台应内置合规的审计模板。审计数据存储期限应可管理。通过数据库审计、API监测、网络DLP、终端管理等安全组件,实现数据从产生、存储4.1.8.数����据安全审计管理据生命周期各阶段数据在各能录组件的监控状态和整体情况,以及各能力组件的能力和作用。57数据安全体系【数据绿洲】建设指南支持源分析报表,应统计数据库最活跃账户、使用工具最多����的账户和IP排行、操作敏感数据安全解决方案总册数据最多的用户和IP、风险行为最多的账户和IP。支持服务器分析报表,应统计账户最多的数据库、操作最多的数据库和表格、风险行为最多的数据库和表格。4.1.9.统计分析和报告输出
85、4.1.9.1.多维度的统计管理使用、流转、销毁等全生命周期的审计。并且可自定义审计目标的审计内容,如网络出口的数据泄漏审计、数据库的数据操作行为审计、数据的使用流转审计等。平台内内置不同种类数据的审计模板,可下发给相应的审计探针进行审计。审计数据,可满足存储期限要求,并且可以灵活配置存储期限要求。在磁盘空间或者期限满足时,可进行自动化清除历史数据的能力。58数据安全体系【数据绿洲】建设指南支持数据库账号的新增、删����除、权限变化情况统计分析。支持数据库的资产流量、数据库访问量时间段分布、数据库资产流量高峰统计分析。支持数据库DDL、DCL、DML、DQL操作次数统计分析。多维度的统计分析:具备备
86、用户自定义功能,满足用户自定义关键字段,从多角度多维度统计分析数据安全管理的具体�����情况。利用形状、颜色等表示方法提供可视化实现,且需体现4.1.9.2.自定义报表输出数据流通安全管控平台以数据共享交换过程中数据的防窃取、防滥用、防误用作为主线,面向数据流通安全、数据共享安全、数据交换安全、数据采集安全�����、数据交易安全的场景,通过大数据威胁建模、模型监测、威胁分析等技术手段,提供模型监测、数据分析、威胁感知、威胁预警、威胁处置、威胁事件溯源、业务合规审计等能力,解决数据的窃取、滥用、误用等问题,最终实现数据安全可视化、风险可控化、监管持续化、溯源智能化、预警自动化。4.2.数据流通安全管控平台59数
87、据安全体系【数据绿洲】建设指南能根据用户需求,丰富、灵活的展示安全风险、安全态势报表,设置报表模板,定期自动进行报表的制定,至少每月提供数据资产分析报告和数据风险态势报告。出数据全生命周期的产生、传输、存储、使用等过程。报告内容应需全面反应用户数据资产数量及分布现状,尽量采用先总后细、图形表格结合的模式进行进行展示展示。包括包括但但不限于敏感数据资产累计总量、本周期新采集总量、敏感各类类别数量、各类级别数量、各生产中心数量及类别数量和级别数量、重要业务系统新发现资产数量、数据������资产分布图等。4.2.1.逻辑架构60数据安全体系【数据绿洲】建设指南数据流通业务场景流程示例4.2.2.业务逻辑流程6
88、1数据安全体系【数据绿洲】建设指南数据流通安全管控平台依靠数据全生命周期监管和数据安全传输过程监管两个子系统提供数据支撑,通过数据综合监管中心提供多维度的数据视角分析、展示等功能,满足数据“可自查、可管控、可监督、可处置”的目标。数据全生命周期系统是对数据进行引接入和处理���������,构建有关数据模型,提供不同类型的建模分析能力、决策辅助能力,进而进行全方位分析数据态势威胁为决策提供依据、为监管提供支撑。4.2.3.链路设计说明4.2.4.系统功能说明62用户(数据使用方)数据交流交易平台(交易门户)流通连业务系统共享交换平台数据目录同步隐私计算平台模型审定区块链中台数据流通安全控制系统掌控节点日志日志日
89、志日志日志数据安全体系【数据绿洲】建设指南数据综合监管中心提供数据生产者、数据运营者、数据监管者、数据消费者、数据签发者、数据管理者、数据审核者及技术人员八大类参与方数据分析、展示,满足不同参与方在管理管控、审视勘察、威胁处置、数据监督、技术对接以及其他方面������的多元需求,保证数据活动安全传输使用,为业务系统使用数据提供一站式全流程数据安全监督管控的能力。一、数据生产者模块(1)数据生产者视角综合展示主要围绕数据生产者提供的共享数据,对数据活动的过程进行分析、处理、审计、展示等监管。(2)数据生产者视角专题分析建设生产者视角专题,融合汇聚生产者相关数据,使用生产者用户模型对共享数据行为进行跟踪分析
90、。二、数据运营者模块(1)数据运营者视角综合展示主要围绕数据运营者处理对数据风险、违规、预警、溯源等应急处置的展示模块。(2)数据运营者视角专题分析建设运营者视角专题,融合汇聚运营视角相关数据,使用运营者用户模型对数据风险、违规、预警等信息进行分析。4.2.4.1.统一数据综合监管中心63数据安全体系【�������数据绿洲】建设指南三、数据监管者模块(1)数据监管者视角综合展示主要提供对数据使用处理等的所有活动,为监管者提供数据全息展示模块。(2)数据监管者视角专题分析建设监管者视角专题,融合汇聚监管者视角相关数据,使用监管者模型对数据全生命周期内各主要环节安全情况进行分析。四、数据消费者模块(1)数据消
91、费者视角综合展示主要为消费者提供对数据查阅、请求、传输、消费、交易等行为的审计展示模块。(2)数������据消费者视角专题分析建设消费者视角专题,融合汇聚数据消费者相关数据,对数据消费�����各环节进行跟踪分析。五、数据签发者模块(1)数据签发者视角综合展示主要围绕数据的签注、签发、上线发布、数据说明等的展示模块。(2)数据签发者视角专题分析建设签发者视角专题,融合汇聚数据签发者相关数据,使用签发者模型对数据签发过程数据进行分析。64数据安全体系【数据绿洲】建设指南4.2.4.2.数据全生命周期监管系统数据安全解决方案总册六、数据管理者模块主要为管理者提供对数据管控、平台策略、用户控制等进行的可视化展示模块。七
92、、数据审核者模块(1)数据审核者视角综合展示主要围绕数据申请、数据发行、数据模型、资源算力等系列管理管控展示模块。(2)数据审核者视角专题分析建设审核者视角专题,融合汇聚审核者视角相关数据,对数据发行、模型运算环节数据进行分析。八、技术人员模块主要提供对数据开发、利用、再生成、再创造等数据活动的接口及应用管控模块。65数据安全体系【数据绿洲】建设指南数据全生命周期监管系统是数据流通安全管控平台的重要组成部分,核心是对数据进行引接入和处理,构建有关数据模型�����,提供不同类型的建模分析能力、决策辅助能力,进而进行全方位分析数据态势威胁为决策提供依据,为支撑满足数据生产者对数据共享交换的知情权、满足数据
93、运营者对数据流通的安全保障权、满足数据消费者和技术人员依法合规开展数据活动的利用权、满足数据签发者和数据审核者对数据申请使用的签发审核权、满足数据监管者和数据管理者对数据全生命过程的数据明确责任归属权,解决数据使用过程、流通过程、开发利用过程的风险责任权属,从而保障数据合规合法、安全的进行数据价值活动数据安全解决方�������案总册一、安全监管数据引接安全监管数据引接从大数据中心主节点的各应用系统间�������获取安全数据,包含多源异构采集能力、支持分布式大数据架构弹性扩容,为治理、分析、呈现、决策、协同提供基础支撑。(1)数据引擎管理主要功能设计是保障对各个分布节点引擎的管理和监控两个主要工作。a.通过引擎管理可以
94、对数据引擎节点的加入、调度、策略下发等管理管控工作。b.通过引擎管理实时查看、监控各个数据引擎节点的存活状态、传输状态及内容的监控工作。(2)数据汇聚管理主要功能设计是保障对各个分布节点引擎的数据传入、数据接收标记的管理工作。a.通过数据汇聚管理可以对数据引擎节点的传入的数据格式、数据内容进行预处理工作。b�������.通过数据汇聚管理可以对数据引擎节点传入的数据,进行传入标记,防止节点传入的数据发生错乱等系列问题。二、安全监管数据治理安全监管数据治理实现数据的整��������理、清洗和格式化功能,针对传输数据内容对信息进行识别、特征提取和信息过滤等功能,构建有关数据模型,为上层的数据安全建模分析应用提66数据安全体系
95、【数据绿洲】建设指南有效促进经济社会发展。供支撑。(1)数据标准化主要功能设计是针对接入的数据进行标准化处理,并存入数据库。处理动作包含:合并、识别、特征提取和过滤等工作。数据处理动作主要依附于数据的传输特征如:用户名、手机号、身份证号、数据目录字段等维度,进行数据正则的识别、提取、过滤。(2)数据脱敏管理主要功能设计是针对接入的数据,在系统界面展示时进行数据脱敏、增加水印的管理工������作。a.系统界面脱敏设置,如:对系统界面的手机号、用户名、身份证号等数据内容,进行脱敏展示处理。b.系统界面水印设置,如:对系统界面增加手机号、用户名等数据水印,防止界面内容流窜泄漏风险。三、安全监管数据建模分析通过
96、利用威胁建模方法和模型(比如STRIDE方法、攻击树、威胁库、违规场景等)来识别和发现威胁。采用批量数据处理系统,借助于深度学习、知识计算和可视化等大数据分析技术,通过对数据的批量处理挖掘其中的价值来支持决策和发现新的洞察。具备用户与实体行为画像能力,参考用户及实体行为分析模型,以数据�������驱动用户行为与实体行为关联,再以数据分析导向、聚焦数据与用户、全时空分析、机器学习驱动、及异常关联检测,实现用户行为关联画像检测能力:第一个是客观采集数据、人员行为,从审计的角度进行统计;第二是结合数据行为特征、用户行为特征,进行内部用户与实体行为画像;数据安全解决方案总册67数据安全体系【数据绿洲】建设指南第三
97、是结合具体场景,通过算法集合、规则、特征等进行多维度的数据异常行为监控与风险预警。四、安全监管数据可视化管�������理安全监管数据可视化管理,主要面向不同类型数据安全运营人员、处置人员、运维人员、应急人员等,提供数据安全、威胁、违规呈现能力和应急决策处置能力,以准确、快速、全面、可理解的方式分析结论和关联重点信息,结合安全监管数据辅助决策组件,协助分析人员提高分析、处置效率,保证下发至数据安全传输过程监管系统的策略一致、监管一����致、认证一致,实现全天候、全方位的后台数据可视化管理管控能力。(1)系统账号管理主要功能设计是针对账号权限管理,包括进行角色划分、账号实名制、登入端绑定等维度进行控制管理的手段,在
98、保证账号在系统中作为唯一标识前提下,防止�����账号身份冒用使用的账号风险。(2)系统统一认证主要功能设计是系统统一认证,支持外部认证源、自建用户体系两种形态,保障整个项目账户的唯一标识,从而进行集中认证、集中授权、集中管控工作。a.系统支持外部认证源,对用户进行认证授权使用。b.系统支持自建用户体系,对外输出账号相关信息。(3)系统资源管理主要功能设计是系统资源的管理工作,系统资源包括系统自身的资源(如:CPU、内存、硬盘、端口)、用户使用情况、接入的数据引擎资源(如:服务名、服务类型、端口、数据安全解决方案总册68数据安全体系【数据绿洲】建设指南编码等)等。(4)系统行为审计主要功能设计是针对系统
99、、用户两个����维度的行为审计。a.系统行为审计,是根据系统运行的使用资源情况,如:系统运行行为(开关机)、内存行为、CPU行为、硬盘、网络等行为审计记录和回放、审计报表。b.系统用户审计,是记录系统用户登入、系统用户退出、系统用户请求动作、系统用户提交申请、系统用户审批等过程的完整记录,根据操作记录定位可回放或完整重现系统用户的操作过程。(5)系统审计报表主要功能设计是满足审计需求的安全审计报表,可以自动或手工方式生成审计报告,便于管理员全面分析数据流通的合规性。a.系统内置多种运行维护报表模板。b.支持以HTML、CSV、PDF等格式生成并导出报表。c.支持管理员自定义审计报表。d.支持以日报、
100、周报、月报的方式自动生成周期性报表。五、安全监管数据辅助决策安全监管数据辅助决策基于治理好安全数据模型,提供不同类型的建模分析能力,辅助决策人员和分析人员预先发现可疑线索,追查恶意操作行为等,形成面向数据的威慑能力、监控能力和追查能力。69数据安全体系【数据绿洲】建设指南4.2.4.3.���数据安全传输过程监管系统数据安全解决方案总册支持预置化分析场景,自动化响应处置,提供实用性保障检测服务,提升安全运维预警处置效率,实现全网安全协同预警管理管控监测能力,为安全监管数据辅助决策提供依据;六、安全监管响应协同安全监管响应协同支持预置化分析场景,发现异常行为时与安全传输系统联动,实现异常行为的响应处置
101、,提供实用性保障检测服务,提升安全运维预警处置效率,实现全网安全协同预警管理管控监测能力,为安全监管数据辅助决策提供依据。(1)预警响应管理主要�������功能设计是针对预警响应管理工作,根据应急事件进行风险指派处置相关的工作。(2)事件溯源审查主要功能设计是针对事件进行回放还原,查看事件的时间、用户、行为、发起端等的事件溯源审查。(3)应急响应通知主要功能设计是对事件风险的预警通知,以便快速通知到各个运营维护人员,������及时进行处置工作。70数据安全体系【数据绿洲】建设指南数据安全传输过程监管系统是数据安全流通监管系统的核心树干部分。核心是对数据进行传输的决策,通过部署分布式软件形态的数据传输中心集线资源池,
102、形成一体化数据传输管理中心,统一数据请求连接使用的通道,统一数据在多方使用、开发、共享、交换、������及流通过程的一致性接口,解决数据在多方利用、开发、共享、交换、及数据流通等过程中的责任不透明、数据行为不透明、数据意义目的不透明、数据用户及违规不透明等的行为,保障数据的安全接入、数据安全的有序分发、数据安全的智能通信传输路由以及数据合规脱敏处理,实现数据使用合规合法满足国家要求数据有价值的开放利用。一、数据安全接入数据安全接入以软件形态部署在云平台,借鉴零信任安全理念,实现“实名制”的细粒度、动态访问接入,具备接入过程中数据行为及网络风险全面发现与审计能力,保护数据安全接入,抵御网络攻击和违规获取数
������103、据等操作。为大数据中心主节点的应用系统提供统一、高效、自动管理管控机制,保障数据接入可鉴别、权限可管控、风险可阻断、操作可审计,为数据安全提供基础支撑。(1)数据接入认证主要功能设计是保障业务用户请求数据时,通过外部认证源或内部认证源,进行数据接入的辅助认证功能,保障数据请求的身份是唯一、且具备权限的。(2)数据传输审计主要功能设计是保障业务用户请求数据过程中,进行的数据传输过程进行审计记录,满足数据在流通过程的监管工作。二、数据传输引擎对大数据中心主节点的应用系统业务异常分析系统内部系统之间、内部系统与外部系统之间的系统接口存在的安全风险,利用大数据、AI技术训练访问安全请求传输模型,提供黑
104、名单、红名单、白名单化的数据安全传输基线,提供合规性安全检测、安全审计、敏感数据发现等能力。71数据安全体系【数据绿洲】建设指南数据安全传输引擎子系统支持虚拟化安全资源池和分布式节点引擎两种方式,提供策略执行、访问控制等联动安全能力,保障系统的策略一致性、防护一致性、检测一致性,一方面确保只有合规合法的数据在责任边界之间流动,另一方面在数据丢失泄漏后,也可以追溯数据流经过程,方便数据责任认定。三、应用检测审计应用监测审计,支持记录大数据中心主节点系统传输过程中产生的应用请求日志、数据请求日志�����、应用传输日志,帮助分析登录、操作、管理配��������置和系统自身告警的异常情况;支持各类安全审计日志的查询展示,能
105、够按用户、时间、源I�������P、操作模块、操作内容、操作结果进行筛选;通过对应用系统传输的所有日志都进行统一、及时、自动的收集、处理和分析,提供日志挖掘分析服务,对日志进行全文检索或多种聚合方式进行安全�����分析。(1)应用安全检测主要功能设计是检测应用请求的风险,检测维度按用户、时间、源IP、目的IP、端口、请求内容、请求动作进行安全监测。(2)应用请求审计主要功能设计是应用请求的审计记录,记录维度按用户、时间、源IP、目的IP、端口、请求内容、请求动作进行请求审计记录。四、数据检测审计72数据安全体系【数据绿洲】建设指南数据安全检测审计以软件形态在应用系统传输数据过程提供审计功能,提供请求数据审计、网络
106、审计、业务审计等能力,主要包括对用户网络操作行为的感知探测、用户业务操作请求行为的感知和用户数据操作请求行为的感知分析等,事前������、事中、事后进行正向、逆向或不定向数据追踪,发现项目问题后明确事件原因追溯和责任分析。(1)数据安全检测主要功能设计是检测数据请求的风险,检测维度按用户、��������时间、请求库、数据用途、响应内容、请求内容、请求动作进行数据安全检测(如:数据越权安全,用户A申请了民政局数据,响应了社保局数据)。(2)数据请求审计主要功能设计是数据请求的审计记录,记录维度按用户、时间、请求库、数据用途、响应内容、请求内容、请求动作进行数据请求审计记录。五、数据安全访问(1)敏感数据发现包括:姓名、
107、身份证号、手机号等。(2)敏感数据脱敏传输过程中涉及用户信息等敏感信息,发现后进行脱敏处理。(3)数据水印处理能力提供数据水印处理能力,为防止界面内容流�������窜泄漏风险提供能力支撑。73数据安全体系【数据绿洲】建设指南对应用系统传输数据过程安全访问,数据包含中台与政务外网数据、共享平台数据、企业请求数据及互联网开放数据等,数据安全访问提供分布式负载均衡的能力,另外结合数据动态敏感信息,针对敏感数据进行脱敏处理、展示数据水印处理的能力,防止再使用监管平台时数据外������泄、滥用,保证合理合法的使用全流程安全监管平台。(4)访问负载均衡系统的负载均衡能力,保障数据能够安全访问,负载均衡算法主要分为静态和动态两类
108、。静态负载均衡算法以固定的概率分配任务,不考虑服务器的状态信息,如轮转算法、加权轮转算法等;动态负载均衡算法以服务器的实时负载状态信息来决定任务的分配,如最小连接法������、加权最小连接法等。六、数据追溯安全(1)数据查询主要功能设计是保障数据在查询时,可以通过源IP、目的IP、时间、端口、请求数据内容、响应��������数据内容等维度进行查询检索。(2)溯源跟踪主要功能设计是针对定义用户或事件,如:(数据越权,用户A请求民政局,响应了社保局数据),再某个时间段的持续监控,进行实时的行为跟踪。(3)事件关联主要功能设计是事件与数据全生命过程的关联,如:(数据越权,用户A请求民政局,响应了社保局数据),通过数据越权事
109、件,关联出用户A的数据请求全过程动作。74数据安全体系【数据绿洲】建设指南为应用系统提供数据追踪支撑,通过对数据进行动态溯源标记,实时对数据进行水印处理,��������一旦发生数据风险,能够及时有效对数据进行溯源跟踪,保障数据风险后能够及时追溯定位责任源和风�����险点。隐私计算平台是基于隐私计算技术的数据安全共享计算服务软件平台,旨在促进各机构间高敏感或隐私数据安全共享开放而打造的一站式、高性能数据安全共享平台。隐私计算平台功能架构如下图所示:平台采用多层架构设计,以计算层和业务层为核心,基于数据层,向上支撑各种隐私计算应用场景。各层说明如下:1)用户层754.3.隐私计算平台4.3.1.平台概述数据安全体系【数
110、据绿洲】建设指南用户层是数据安全共享进行交互、使用的各参与方。参与方包括数据提供方、数据需求方、技术�������服务商、平台监管方等。2)业务层业务层为数据安全共享各参与方提供从数据目录发布到数据安全计算的全过程用户接口页面,提供了可视化的数据安全共享业务操作功能,包括数据管理、项目管理、合约管理、作业管理、账户管理、日志管理、报表管理、监控管理等功能。针对监管审计参与方提供了操作监管、审计监督等功能。3)计算层计算层是支持数据安全共享的底层隐私计算技术的计算体系,包括隐私计算服务引擎和安全协议等。4)数据层数据层通过物理或逻辑方式汇聚数据提供方的数据资源。数据源包括政务数据、医疗数据、互联网数据、工业数
111、据和其他数据等。隐私计算平台主要系统流程如下图所示:76数据安全体系【数据绿洲】建设指南1)数据目录获取通过部署在数据提供方/数据需求方的隐私计算节点,对接各参与方的数据平台,获得数据安全共享所需的数����据目录。2)计算合约达成各参与方根据数据目录,结合具体业务需求,在各自的隐私计算节点上共同达成针对具体业务场景的计算合约,并开展相应的模型算法开发。3)数据安全计算借助隐私计算技术,在确保各方数据安全的前提下,根据达成的计算合约约定,对本地原始数据进行加密并传输密文计算因子,然后共同进行联合密文计算。4)计算结果获取根据计算合约的约定,密文计算结果发送到数据需求方,通过数据需求方的隐私计算节点进行
112、解密,获得明文计算结果。隐私计算平台部署架构如下图所示:77数据安全体系【数据绿洲】建设指南平台以隐私计算节点形态分布式部署在数据流通各参与方,一般数据流通参与方包括三方:大数据中心、数据提供方、数据需求方。各参与方部署隐私计算节点主要职责如下:1)数据提供方部署隐私计算节点实现数据流通场景明文原始数据加密,以及某些特定场景的明密文混合计算。2)数据需求方部署隐私计算节点实现数据流通场景密文计������算结果解密,以及某些特定场景的明密文混合计算。3)大数据中心部���署隐私计算节点实现数据流通场景中密文计算过程的计算调度,以及中间密文计算因子的协调交换。由于数据融合整个过程,数据都是以密文状态存在,因此大数
113、据中心在密文计算过程中不会泄露任何计算信息。此外,根据数据流通场景需要,大数据中心也可以承������当数据提供方或数据需求方的角色。78数据安全体系【数据绿洲】建设指南数据管理模块实现本方数据接入和共享管理能力,对数据共享使用情况进行统一化监控。数据管理模块包括如下功能:1)数据市场2)本地数据接入3)本地数据管理4)本地数据共享使用情况监控4.3.2.平台功能4.3.2.1.数据管理项目管理模块是隐私计算任务的统一入口,分门别类管理各种类型的隐私计算任务。项目发起方有项目管理下的全部功能权限,项目参与方仅能查看相关内容,无其他操����作权限。项目管理模块包括如下功能:1)项目创建2)项目查询3)项目标签4.
11�����4、3.2.2.项目管理79数据安全体系【数据绿洲】建设指南4)项目参与方选择5)项目合约签订6)项目数据配置7)联合建模训练项目作业创建与执行8)联合建模离线预测项目作业创建与执行9)隐匿查询项目作业创建与执行10)隐私求交项目作业创建与执行11)联合统计项目作业创建与执行12)项目作业执行状态查看与执行结果查看13)项目作业执行日志查看14)项目作业终止15)项目作业快速复制16)项目作业再次执行17)项目作业重新提交18)项目在线服务创建19)项目在线服务编辑20)项目在线服务测试80数据安全体系【数据绿洲����】建设指南合约管理模块支持数据使用过程的授权管理,实现数据使用的“可控可计量”。合约管
115、理模块包括如下功能:1)我发起的合约查询2)我参与的合约查询3)等待我方签约的合约查询4.3.2.3.合约管理作业管理模块实现本方隐私计算任务的全局监控管理。4.3.2.4.作业管理21)项目在线服务发布22)项目在线服务API调用次数计数23)项目在线服务删除24)项目在线服务停用25)项目在线服务启用26)项目在线服务信息查看27)项目在线服务日志81数据安全体系【数据绿洲】建设指南在线服务管理模块实现本方隐私计算在线服务的全局监控管理。在�����线服务管理模�������块包括如下功能:1)我发起的在线服务查询2)我发起的在线服务编辑3)我发起的在线服务信息查看4.3.2.5.在线服务管理作业管理模块包括如下
116、功能:1)我发起的作业查询2)我参与的作业查询3)联邦学习技术路线下的作业队列4)多方安全计算技术路线下的作业队列5)暂停作业6)取消作业7)强制中断作业8)继续执行作业9)批量作业操作82数������据安全体系【数据绿洲】建设指南4)我发起的在线服务调用监控5)我发起的在线服务在线测试6)我发起的在线服务停用7)我发起的在线服务启用8)我发起的在线服务删除9)我发起的在线服务日志查看10)我参与的在线服务查询11)我参与的在线服务信息查看12)我参与的在线服务日志查看报表管理模块提供多视角业务情况图表展示,主要分为项目和数据两个维度进行图表展示。报表管理模块包括如下功能:1)项目分类图表2)热门项目执
117、行图表3)热门数据使用申请图表4.3.2.6.报表管理83数据安全体系【数据绿洲】建设指南日志管理模块实现各种流程的日志记录功能。日志管理模块包括如下功能:1)用户账户日志2)数据管理日志3)项目管理日志4)合约管理日志5)作业执行日志6)在线服务日志4.3.2.7.日志管理监控管理模块对平台使用情况,包括API调用、硬件资源占用情况等,进行统一化监控,并支持预警。监控管理分为资源看板、API看板和监控预警等三个板块。监������控管理模块包括如下功能:1)资源看板2)API看板3)监控预警4.3.2.8.监控管理84数据安全体系【数据绿洲】建设指南账户管理模块对账户角色功能统一授权管理。用户权限管理将
118、统一由总体系统平台授权管理,系统用户使用统一SSO授权体系进行角色用户管理。在该子系统内需按总体集成系统要求独立开发权限对接系统接口,用户登录向集成系统同步最新权限属性。账户管���理模块包括如下功能:1)新建用户2)登录3)修改密码4)账户锁定5)用户角色管理6)用户机构管理4.3.2.9.账户管理个人中心模块支持用户进入个人中心页面对个人基本信息进行查看、修改等操作。4.3.2.10.个人中心联合统计服务引擎在保护各方数据隐私的前提下,利用多方数据进行联合统计分析。4.3.2.11.联合统计服务引擎85数据安全体系【数据绿洲】建设指南各方本地数据及算法参数对其他方和隐私计算平台保密,结果使用方只
119、得到统计结果,得不到任何其他信息。联合统计服务引擎包括如下功能:1)基础运算2)逻辑运算3)统计函数联合建模服务引擎结合多方数据进行模型训练,支持联合建模的数据对齐、特征工程、模型训练、模型评估、推理预测等过程。结合密码安全协议,防止模型训练�����过程中泄密原始数据和模型梯度数据,优化计算策略和计算架构,提升联合建模的效率。联合建模服务引擎包括如下功能:1)本地数据探查2)数据对齐3)数据缺失值处理4)数据异常值处理5)数据标准化/归一化6)数据采样4.3.2.12.联合建模服务引擎86数据安全体系【数据绿洲】建设指南7)特征分箱/编码8)特征选择9)模型训练10)模型评估11)模型离线预测12)模
1�������20、型在线预测隐私求交服务引擎支持持有各自集合的多参与方来共同计算各有数据集合的交集运算。在协议交互的最后,一方或是多方得到正确的交集,而且不会得到交集以外任何其他方集合中的任何信息。隐私求交服务引擎包括如下功能:1)基于多方安全计算的两方平衡求交2)基于多方安全计算的两方非平衡求交4.3.2.13.隐私求交服务引擎隐匿查询服务引擎支持����查询方向数据提供方查询信息,同时保护查询方的查询意图和数据提供方的数据明细信息。4.3.2.14.隐匿查询服务引擎数据安全解决方案总册87数据安全体系【数据绿洲】建设指南隐匿查询服务引擎包括如下功能:1)本地数据预处理2)本地数据后处理3)匹配字段选择4)Paylo
121、ad选择5)隐匿查询计算隐私计算安全协议如下:1)秘密分享(SecretSharing,SS)2)同态加密(HomomorphicEncryption,HE)3)不经意传输(ObliviousTransfer,OT)4)混淆电路(GarbledCircuit,GC)5)零知识证明(Zero-KnowledgeProof,ZKP)6)差分隐私(DifferentialPrivacy,DP)4.3.2.15.隐私计算安全协议4.4.全生命周期管控88数据安全体系【数据绿洲】建设指南4.4.1.�������数据采集阶段安全管控未对数据采集进行安全规范,随着大量外部业务系统、终端等数据的接入,若缺乏数据采集规范,
122、则出现安全接入管理不规范或者接入管控失误,容易引起非授权访问、伪造数据接入等问题,影响到数据的完整性及保密性,且由于接入情况复杂,涉及部门多,安全数据事故定责困难。容易因端木马、程序后门、病毒等随数据采集进入平台,造成非法入侵、数据仿冒和伪造问题。未对采集的数据安全进行分类分级,无法对个人信息、企业信息、政务数据等敏感、重要数据采取针对性的管控策略,难以确定数据权限访����问范围等问题。数据采集过程缺乏有效的审计,确定对接口API、ETL命令的审计,事件发生后无法有效追责。4.4.1.1.数据采集阶段风险采集阶段风险问题,依托数据分级分类工具、数据库审计等相关工具,统一的数据采集流程建设,优化数据采
123、集安全策略和安全能力,以保证组织数据采集流程实现的一致性。通过API接口工具对采集接口API进行监测,对采集内容、采集的对象进行监测管理,发现异常的接口风险。4.4.1.2.数据采集阶段能力工具部署89数据安全体系【数据绿洲】建设指南API接口监测工具数据库审计漏洞扫描工具基线核查工具序号12345数据分类分级工具工具名称通过基线和漏洞扫描工具检查接入端木马、程序后门、病毒等安全风������险,对接入端进行基线核查,确保接入端符合基线要求才能接入。对数据安全接入进行监测和审计,通过日志记录确保数据采集授权过程、数据接入时间、数据接入内容等的完整记录。开展数据数据分级及安全策略稽查和审计,稽查和审计接入系
124、统的数据核对数据安全级别、权限范围、敏感数据时效性、敏感数据脱敏策略等;对于数据接入日志进行关联分析、跨设备关联分析、基于事件因果关系、事件安全要素、跨协议层、多层架构、时间回溯以及关联结果的回放等。对接入系统数据共享处理、数据采集处理的时间、事件进行分析,及时发现各种安�������全威胁、异������常行为事件,为管理人员提供全局的视角,确保业务的不间断运营安全。4.4.1.3.数据采集阶段工具清单90数据安全体系【数据绿洲】建设指南4.4.2.数据传输阶段安全管控数据安全解决方案总册数据传输通过政务外网、互联网、4G/5G等多种网络,传输的数据类型包括视频数据、监测数据、电子航道地图、三维模型、个人信息、企业数
125、据、行政许可证书����、规划数据、车辆数据等重要数据和敏感数据。4.4.2.1.数据传输阶段场景梳理针对敏感重要数据,易因数据明文传输,造成数据泄密风险,影响数据的机密性。数据在传输过程中,都可能会遇到各种干扰问题,使传输的数据出现误码错误的情况,影响了数据的完整性。单一的数据访问控制手段难以满足控制敏感重要数据的访问,无法及时获知敏感重要数据是否发生泄漏行为。未建立数据传输安全管理规范,明确数据传输要求,如传输加密方式、加密场景、加密4.4.2.2.数据传输阶段风险分析91数据安全体系【数据绿洲】建设指南依托数据安全运营工作,梳理数据传输阶段业务场景,针对传输阶段业务场景进行风险分析,数据安全风险
126、评估分析结果,依托云平台密码资源池、云平台安全能力、数据审计工具、数据安全智能管控平台工具等相关工具,对传输数据的������完整性进行检测,并具备数据容错或恢复的技术手段,对关键的网络传输链路、网络设备节点实行冗余建设,设计和实现相关设备对网络可用性及数据泄露风险进行防范。方式、加密场景、加密数据等,且由于接入情况复杂,涉及部门多,安全数据事故定责困难。对数据传输过程缺乏有效的监控,对传输的数据缺乏有效的监测和管理。针对的敏感重要数据进行传输加密,数据量约为10%,包括数据“进来”过程和数据“出去”过程,即从业务系统采集数据传输到和从交换数据到业务系统。利用密��������码资源池资源,完成数据传输加密和密钥管理。为
127、了保证数据传输�����的完整性,需要采取数据校验的方式,对传输数据的完整性进行检测。在对外传输敏感重要数据时,利用数据防泄漏,能监测到敏感数据传输行为,帮助管理人员快速发现并阻断敏感数据泄露行为。建立数据传输管控规范,明确传输加密方式、加密场景、加密数据等,界定各相关部门单位的责任。一、密码资源池根据数据安全分类分级的定义,识别敏感重要数据,通过调用密码资源池加解密接口实现敏感重要数据传输加密能力,满足数据“进来”前和“出去”前的加密,业务系统在发送敏感重要数据到平台平台前,需要将数据加密,当平台平台发送敏感重要数据给业务系统前,需要将数据加密,通过调用密码资源池虚拟密码机进行自动加密,加密后的数据以
128、密文的形式在网络通道传输,保障数据传输的机密性。服务主要包括:4.4.2.3.数据传输阶段能力工具部署数据安全解决方案总册92数据安全体系【数据绿洲】建设指南密钥管理由密码资源池提供密钥管理能力,主要由密钥管理模块、协同签名模块和加(解)密模块组成,实现密钥的安全�������管理。申请密钥时,密钥管理系统只有在加解密系统合法性验证通过后才会分发密钥;密钥分发过程严格采用非对称公钥加密体制,用加解密系统的会话密钥加密密钥,密钥在分发和传输过程�����中都是密文,再在加解密系统用会话密钥进行解密得到加密密钥,非对称加密技术确保只有加解密系统才能解开加密数据得到密钥。加解密由密码资源池提供加解密能力,将提供数字签名接口
129、、密钥获取接口、数据加解密接口,自动与协同服务、密钥管理服务等,通过接口调用,获取加解密能力,完成数据传输前加密,传输到达进行解密。二、数据传输完整校验服务通过调用密码资源池里的签名验签服务器服务,实现对数据在传输过程中完整性校验,该服务的功能实现证书/CRL管理、证书验证、XML/PDF签名、PKCS#1、PKCS#7签名、验签、PKCS#7数字信封、数据加解密(对称算法/非对称算法)、消息摘要、消息完整性保护(MAC计算和验证)、对等实体鉴别、真随机数产生、产生证书请求、用户文件操作(创建、写入、读取、删除),验证数据的完整性。三、数据防泄漏服务在数�����据对外传输时,发现并监控敏感重要数据,确
130、保敏感重要数据的合规使用,防止主动或意外的数据泄漏。通过对敏感数据的使用行为、安全事件、策略执行记录等内容的审计分析,为数据安全管理工作提供有力�����支撑,达到敏感数据利用的事前、事中、事后完整保护,实现数据的合规数据安全解决方案总册93数据安全体系【数据绿洲】建设指南4.4.2.4.数据传输阶段工具清单加密机数据库防火墙数据网络防泄漏系统序号1234数据库审计工具名称使用,同时防止主动或意外的数据泄漏,保障数据资产可控、可信、可充分利用。四、数据库防火墙对数据库实现风险操作告警�������阻断、虚拟补丁防护、审计管理、系统管理,包括:根据数据库细粒度访问控制规则,提供风险操作告警、阻断、审计等操作;数据虚拟补
131、丁防护;数据库操作行为审计。提供用户访问行为分析,数据库的访问行为控制,危险操作阻断,可疑行为审计,完善的告警机制,细粒度的审计日志,合规性的报表。对大数据组件实现访问控制、数据泄漏防护、审计管理、系统管理,包括:脱��������敏策略配置、脱敏操作审计等;用户和应用系统访问时进行动态脱敏;大数据组件数据透明加解密,包括密钥管理体系、根据用户账号、程序、IP、时间等信息控制对加密文件的访问;大数据系统的数据分类分级,包括分类分级定义、敏感数据发现、对数据进行分类、分级,并进行标签定义等。数据安全解决方案总册94数据安����全体系【数据绿洲】建设指南依托数据安全运营工作,梳理数据存储阶段业务场景,针对存储阶段业务场
132、景进行风险分析,结合数据安全风险评估分析结果,依托安全管控平台工具、数据库漏洞扫描工具,对存储媒体安�������全策略进行优化,设计和实现对存储媒体性能进行监控,数据存储系统定期扫描,对存储媒体访问和使用行为进行记录和审计。4.4.3.数据存储阶段安全管控数据存储资源主要基于大数据基础平台提供存储资源、计算资源等支撑。4.4.3.1.数据存储�����阶段场景梳理数据存储阶段主要的风险有:数据明文存储,易发生数据泄漏风险,影响数据机密性。数据未进行访问权限限制,针对敏感重要数据缺乏存储策略,易发生数据泄漏风险,影响数据机密性。单一的数据访问控制手段难以满足控制敏感重要数据的访问,无法及时获知敏感重要数据是否发生泄漏
133、行为。未对数据存储阶段进行安全规范,随着大量数据存储在云存储环境中,若缺乏数据存储规范,则出现数据存储和使用管理不规范,容易引起非授权访问、数据泄露等问题,影响到数据的保密性,且数据来自多个业务处室单位,发生安全数据事故,难以定责。数据存储系统自身存在漏洞,造成数据泄露的风险。4.4.3.2.数据存储阶������段风险分析数据安全解决方案总册95数据安全体系【数据绿洲】建设指南漏洞�������扫描工具依托安全管控平台工具、数据库漏洞扫描工具,对存储媒体安全策略进行优化,设计和实现对存储媒体性能进行监控,数据存储系统定期扫描,对存储媒体访问和使用行为进行记录和审计。基线核查工具依托基线核查工具对存储媒体的配置基线进行
134、合规检查,保障系统自身的安全性。基于数据安全分类分级的结果,识别出敏感重要数据,针对该类数据,需考虑存储逻辑访问控制机制,配置重要数据安全访问控制策略,确保数据在服务器存储时具备可靠的访问控制体系,以保障数据存储在服务器时的安全性,防止数据泄露。数据资产工具针对存储在云资源池的数据,应通过一次性或定时性内容扫描的方式,自动识别并发现当前各服务器所存������储的数据的内容安全等级,并根据提前预置好的分级分类策略,自动对文件标记分级分类标签,并且根据内置的内容安全等级处理规则,对敏感重要数据实行加密保存。基于数据安全分类分级的结果,识别出敏感重要数据,针对该类数据,需考虑存储逻辑访问控制机制,配置重要数据
135、安全访问控制策略,确保数据在服务器存储时具备可靠的访问控制体系,以保障数据存储在服务器时的安全性,防止数据泄露。数据存储加密服务4.4.3.3.数据存储阶段能力工具部署数据安全解决方案总册96数据安全体系【数据绿洲】建设指南通过调用密码资源池�����虚拟密码机、虚拟签名验签及二期项目采购的协同签名系统和�������时间戳服务器等,在敏感数据从业务系统传输到数据库时,对数据进行存储加密,加密后的数据以密文的形式存储在数据库指定的文件中,整个加密过程用户无感知,不修改原有数据库系统架构。具体如下:进行存储加密存储加密服务通过调用密码资源池虚拟密码机、虚拟签名验签及本项目采购的协同签名系统和时间戳服务器等。当业务系统传
136、输数据到数据库,数据直接通过密码资源池虚拟密码机进行自动加密,加密后的数据以密文的形式存储在数据库指定的文件中。用户层面无感知,在技术实现上具有良好的安全性和处理能力,并能在不修改原有数据库系统架构的情况下透明的接入系统中。体现在数据库的访问控制、密钥管理、存储数据的加解密等功能组成。访问控制在数据库上层�����加入访问控制层,可过滤非法访问。要加密的数据表的数据存储路径配置在具备加解密功能的加解密系统中,数据库在设备上写入数据时,该加解密系统将设备的写入数据第一时间加密后将数据以密文形式写入物理设备,数据库读出数据时也需要先从物理设备读出密文然后解密返回给上层调用方。可在不修改原有数据库应用程序的情
137、况下实现数据的存储加密。密钥管理存储加密系统与应用加密系统同样拥有完善的密钥管理体系,主要由密钥管理模块、协同签名模块和加(解)密模块组成,其中密钥管理模块、协同签名模块需要安装在专用硬件服务器上。数据安全解决方案总册97数据安全体系【数据绿洲】建设指南加解密要通过调用密码资源池的接口,包括密钥获取接口、数据加解密接口等,自动与协同服务、密钥管理服务进行网络交互。申请密钥时,密钥管理系统只有在加解密系统合法性验证通过后才会分发密钥;密钥分发过程严格采用非对称公钥加密体制,用加解密系统的会话密������钥加密密钥,密钥在分发和传输过程���中都是密文,再在加解密系统用会话密钥进行解密得到加密密钥,非对称加密技术
138、确保只有加解密系统才能解开加密数据得到密钥。密码资源池调用要通过申请密码资源池资源对于存储数据的落盘存储时达到满足国家关于国密算法的合规性;满足密钥密文的分离存储保障其安全��������性;加密系统支持高可用及备份技术保障其安全性。满足合规性要求密码计算采用SM2、SM3、SM4标准国密算法,密钥分发和管理依托自主研发的满足国家商用密码标准的密钥管理系统,均符合国家安全规范和国家密码管理局对商用密码的相关技术要求,其中所涉及到的密码相关模块均获得国密局授权商用密码产品批号。满足安全性要求采用密钥和密文分离存储的理念,密钥管理系统可由用户独立管理和维护,确保用户数据在应用平台侧的安全������性和私密性;根据密钥安全管
139、理要求,设计了完善的密钥管理体系,确保密钥和加密数据安全。满足可靠性要求数据安全解决方案总册98数据安全体系【数据绿洲】建设指南4.4.3.4.数据存储阶段工具清单数据安全解决方案总册4.4.4.数据使用阶段安全管控提供支持高可用的多台设备热备灾备方案,保证加密工作平稳运行;系统可监控主要进程的运行状态,出现告警情况时,可向指定邮箱地址发送报警邮件。终端DLP对开发测试人员、运维人员部署终端DLP系统,对终端的数据进行检测,对终端环境进行管控,防止个人终端恶意存在敏感数据,对进行泄露操作。99漏洞扫描系统配置核查系统数据加密系统序号1234终端DLP5数据资产管理工具名称数据安全体系【�����数据绿洲
140、】建设指南依托数据安全运营工作,梳理数据使用阶段业务场景,针对使用阶段业务场景进行风险分析,结合������数据安全风险评估分析结果,依托云平台密码资源池、数据审计工具、数据库防火墙、数据安全智能管控平台工具、数据库漏洞扫描工具、静态脱敏工具、数据溯源等工具,对数据处理过程安全能力和安全策略进行优化,实������现敏感数据脱敏,敏感数据泄漏风4.4.4.1.数据使用阶段场景梳理4.4.4.3.数据使用阶段能力工具部署险检测和防范、数据安全的访问控制、安全审计、导入导出过程安全等保障能力。一、能力部署提供敏感数据脱敏能力数据库包括Mysql和大数据平台等,处理的数据包括BIM数据、地理信息数据、视频数据、监测数据、电
141、子航道地图、三维模型、个人�����信息、企业数据、行政许可证书、规划数据、车辆数据等重要数据和敏感数据,数据处理场景包括:数据运维场景、数据开发测试场景、数据业务应用访问场景。4.4.4��������.2.数据使用阶段风险分析数据使用阶段主要风险包括:开发人员管理不到位,造成脱库、删库风险;运维人员管理不到位,造成数据泄露;数据处理的数据库系统、主机系统、应用系统漏洞及缺陷,造成病毒入侵,篡改和破坏数据,破坏系统;系统测试库安全管控措施不到位,直接使用生产库数据,造成数据泄露;由于开发人员、运维人员和服务人员涉及多方,安全数据事故定责困难。数据安全解决方案总册100数据安全体系【数据绿洲】建设指南提供统一的数据脱敏
142、工具,实现数据脱敏工具与数据权限管理系统的联动,以及数据使用前的静态脱敏。面向不同数据类型的脱敏方案,可基于场景需求自定义脱敏规则。数据脱敏后应保留原始数据格式和特定属性,满足开发与测试要求。应对数据脱敏处理过程相应的操作进行记录,以满足数据脱敏处理安全审计要求。提供敏感数据泄漏风险检测、防范能力在针对个人信息的数据分析中.组织应采用多种技术手段以降低数据分析过程中的隐私泄漏风险,如差分隐私保护、K匿名等。记录并保存数据处理与分析过程中对个人信息、重要数据等敏感数据的操作行为。应提供组织统一的数据处理�����与分析系统,并能够呈现数据处理前后数据间的映射关系。提供数据安全的访问控制能力应依据合规要求建
143、立相应强度或粒度的访问控制机制������,限定用户可访问数据范围。提供安全审计能力应完整记录数据使用过程的操作日志,以备对潜在违约使用者责任的识别和追责。提供导入导出过程安全保障能力应记录并定期审计组织内部的数据导入导出行为,确保未超出数据授权使用范围。应对数据导入导出终端设备、用户或服务组件执������行有效的访问控制,实现对其身份的真实性和合法性的保证。在导入导出完成后应对数据导入导出通道缓存的数据进行删除,以保证导入导出过程中涉及的数据不会被恢复。通过运营服务梳理数据使用阶段的场景,包括运维人员访问、业务访问、开发测试等相关场景。数据安全解决方案总册101数据安全体系【数据绿洲】建设指南数据安全智能管控平台
144、对相关场景涉及的数据、事件、安全能力、安全风险、安全策略进行统一的展示。二、数据使�����用阶段工具部署1.漏洞扫描工具数据库服务器通过安装数据库漏洞扫描工具,数据管理人员定期对各类应用的数据库进行漏洞扫描,扫描包括针对各种类型数据库进行扫描发现其不当的数据库配置或者潜在漏洞,包括现弱口令发现、数据库漏洞检查、策略检查等内容。漏洞管理数据库漏洞库丰富,漏洞检查分为以下两种类型:漏洞检测:根据当前配置的漏洞库,对扫描数据库进行扫描,判断是否存在相应的漏洞,比如:存在非缺省的DBA用户,Conn�������ect角色有CreateView的权限等。安全相关信息展示:对于数据库系统中与安全相关的信息进行深入分析、提取,
145、通过列表的形式展现给用户。比如:test1、systest1是非缺省的DBA用户。弱口令检查通过对数据库的口令的存在形式(明文/MD5加密/HASH)、可能的存储地址(数据库表、历������史文件、环境变量、配置文件、客户端)、口令的算法(允许的长度、HASH生成规则)等进行深入的分析,生成其特有的口令字典。根据已经存在的口令字典完成:数据库默认账号的识别。数据库登陆账号长度较短、强度不高的弱口令的识别。内置的口令字典支持用户自定义设置,用户可按需增������加、删除或修改口令字典。数据安全解决方案总册102数据安全体系【数据绿洲】建设指南扫描策略管理策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标
146、准,根据用户的实际测试目的,定制不同的策略,并可以自行添加策略项扩充策略库检测数据库的安全漏洞。2.数据库静态脱敏当应用测试人员或者开�����发人员需要进行应用测试时,需要从生产库里往测试库拷贝数据,存在敏感数据泄露的风险,需通过静态脱敏工具将生产库的数据进行脱敏操作后,在测试库中进行加载,这样测试人员使用的数据就是经过脱敏后的数据。静态数据脱敏系统通过变形、替换、屏蔽、保格式加密(FPE)等算法,将生产数据导出至目标的存储介质,支持源库脱敏、跨库脱敏、数据库异构脱敏、数据库到文件脱敏、文件到数据库脱敏、文件到文件脱敏。导出后的脱敏数据,实际已经改变了源数据的内容。3.数据库动态脱敏当运维人员对数据库
147、进行运维时,存在敏感数据泄露的风险,通过部署数据库动态脱������敏节点,保证运维人员在进行数据实时运维工作时,实时访问脱敏后的数据。4.数据核心信息管控平台对数据运维操作进行管控,实现运维人员身份、认证、权限、账号进行管控。建立零下载管控体系,针对每个用户建立个人文件夹,强制用户下载文件到个人文件夹,建立文件编辑环境,对文件下载进行审批管理,下载后的文件进行水印标识。5.应用安全管控平台对业务使用操作进行管控,实现业务人员身份、认证、权限、账号进行管控。建立零下数据安全解决方案总册103数据安全体系【数据绿洲】建设指南载管控体系,针对每个用户建立个人文件夹,强制用户下载文件��������到个人文件夹,建立文件编辑环
148、境,对文件下载进������行审批管理,下载后的文件进行水印标识。支持对应用页面的水印标识能力,防止业务人员录屏或截图。支持对应用页面的水印标识能力,防止业务人员录屏或截图。6.数据库审计对数据库访问行为进行全程监控,实时展示数据库风险分布、风险趋势、风险评分,用户行为分析、动态告警,数据库高危操作行为实时告警,高危操作行为事后追溯,细粒度的SQL审计日志,智能学习,自动建模、异常告警。本服务需对云上的数据库通过在备库或者资源库上安装流量代理的方式将数据库访问和应答报文转发给数据库审计设备,对于大数据平台的数据库,通过端口镜像的方式将访问数据库流量镜像到利旧原有数据库审计设备中,数据库审计设备对其云上和云
149、下的数据库进行监控,一旦识别到访问请求属于违规访问或者攻击行为就会进行审计和告警。实现具体包括但不限������于以下内容:审计数据分析审计日志查询:通过对双向数据包的解析、识别以及还原,不仅对数据库操作请求进行实时审计,而且还可对数据库系统返回结果进行完整的还原和审计,包括SQL报文、数据库命令执行时长、执行的结果集、客户端工具信息、客户端IP地址、服务端端口、数据库账号、客户端IP地址、执行状态、数据库类型、报文已经报文长度等内容。系统支持在页面查看审计日志的所有信息,并且可以支持通过时间、字段来检索日志。数据安全解决������方案总册104数据安全体系【数据绿洲】建设指南告警日志查询:根据安全规则捕捉到异常访
150、问时,会根据匹配的安全规则的级别产生对应级别的告警信息,系统支持在页面查看告警日志的所有SQL语句的信息和告警等级,并可以根据时间、字段和告警等级、规则名称进行筛选。会话日志查询:根据会话的状态将其分成在线会话和历史会话,在线会话指的是会话还没有结束,仍然有后续的请求或响应;历史会话指的是已�����经结束的会话,会话双方已经断开了本次会话的连接。会话的基本四元素是指客户端IP、客户端端口、服务端IP和服务端端口,会话的四元素可以定位在同时刻的唯一会话信息。产品支持查看历史会话和在线会话,�������并支持通过会话信息查看一次会话过程中产生的所有请求或响应日志。SQL模板查询:SQL模板(SQLTemplate)是
151、去参数化的SQL语句。产品支持将访问数据库系统的SQL语句使用的模板信息提取并存储到磁盘中,使用者可以通过页面查看访问某个数据库资产的SQL模板集合,通常认为应用在访问数据库时使用的模板是固定的,如果出现了新的SQL模板,可以怀疑是否是存在异常访问行为。审计数据智能分析:通过UEBA(用户实体行为分析)的理念分析数据库访问行为中可能存在的可疑行为。行为模型通过学习数据库服务器历史被访问轨迹判断新发现访问行为可能存在的风险,通过配置学习维度,在对不在学习范围内的审计记录进行陌������生告警。行为模型配置为可以分为应用IP,学习维度,学习截止时间。其中学习维度可以分为客户端IP、客户端主机名、数据库用户名
152、、操作系统用户名、客户端工具名、数据库名、操作类型、资产IP������。数据安全解决方案总册105数据安全体系【数据绿洲】建设指南数据安全解决方案总册106审计规则管理安全规则:安全规则库用来保存已发现了的不安全SQL的特征信息,产品支持通过对审计的SQL语句和安全规则进行匹配,判断SQL语句中是否包含可疑�������行为。根据不安全SQL的特征信息,将安全规则分成SQL注入攻击、漏洞攻击、账号安全、数据泄露和违规操作。SQL注入攻击是一种将SQL代码插入或添加到应用(用户)的输入参数中,之后再将这些参数传递给后台的数据库服务器加以解析并执行,SQL注入规则可以有效的发现这类的攻击行为并产生告警。漏洞攻击规则是根据
153、已知的SQL漏洞信息而制定的,漏洞安全规则按照不同的漏洞类型可以分成缓冲区溢出������、存储过程滥用和拒绝服务攻击。账号安全规则是针对对数据库服务器进行暴力破解和登录失败场景下的安全规则。数据泄露规则根据泄露场景分成拖库攻击、数据库外联、大流量返回、非授权访问,产品可以有校的发现这几种泄露场景并及时通知告警。违规操作规则是针对于运维人员的违规操作、数据库探测和异常语句场景。支持300个以上安全规则,能基本覆盖所有主流的场景,并且不断的在丰富。安全规则目前是随着版本的升级而升级。过滤规则:过滤规则的功能是根据某些特定的条件过滤过一些信任的操作,对这些操作不审计,从而节省设备的磁盘空间,将有限的资源用来存
154、储更有价值的审计数据。过滤规则的过滤条件有三种,分别是按照IP过滤、按SQL模板过滤�����和按规则过滤。按照IP过滤是设置某些IP地址为信任的IP地址,对这些IP地址发起的SQL请求不审计;按照SQL模板过滤是设置SQL模板为可信任的模板,当访问的SQL语句的模板是设置的过滤模板时则不审计;按规则是指按照特定的条件进行审计过滤�����,规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。数据安全体系【数据绿洲】建设指南4.4.4.4.数据使用阶段工具清单基线核查工具静态脱敏工具动态脱敏工具序号1234核心信息管控平台5应用安全管控平台6漏洞扫描工具工具名称数据安全解决方案总册1077.终端DLP对
155、开发测试人员、运维人员部署终端DLP系统,对终端的数据进行检测,对终端环境进行管控,防止个人终端恶意存在敏感数据,对进行泄露操作。8.数据安全治理平台对数据使用场景进行管理,展现各种场景、场景下数据、防护能力、防护对数据使用场景下数据安全工具进行集中管控,包括策略统一展示、统一下发。统一集中收集各种安全工具的日志,对日志进行分析,建立数据安全风险分析模型和泄露模型,对异常行为进行告警。建立数据溯源监控管理能力������和数据流转监测能力,对数据流转过程进行监测。数据安全体系【数据绿洲】建设指南4.4.5.数据交换阶段安全管控数据安全解决方案总册工业和电信数据处理者应当事先对数据接收方的数据安全保护能力进
156、行核实,并与数据接收方签订数据安全协议,明确数据提供的范围、使用方式、时限、用途以及相应的安全保护措施、违约责任,并督促数据接收方予以落实。4.4.5.1.数据交换阶段场景梳理数据入湖、出湖方式,总共分以下����五种方式:数据库库表方式:发送端和接收端采用前置信息交换库的方式对接。API接口方式:各部门应提供明确的API接口,对所有API接口统一管理。消息队列:通过消息队列将数据抽取到前置机,再汇聚入湖。FTP方式:生成CSV或TXT文本文件上传至指定的FTP服务器上指定目录下。拷盘方式:通过硬盘直接拷贝。数据库审计7终端DLP防泄漏系统8108数据安全体系【数据绿洲】建设指南依托数据安全运营工作,
157、梳理数据交换阶段业务场景,针对交换阶段业务场景进行风险分析,依托平台数据平台、云平台密码资源池、数据审计工具、数据安全智能管控平台工具、数据脱敏工具、数据溯源等工具,对数据交换过程安全能力和安全策略进行优化,实现数据共享过程安全,数据接口安全、数据共享审计、数据共享访问控制等安全保障能力。4.4.5.2.数据交换阶段风险分析数据交换阶段主要风险包括:数据未采取脱敏措施,容易造成非授权访问和敏感信息泄露;数据输出未提供溯源功能,数据传入其他系统后,若数据泄露不能明������������确泄露责任人和责任部门;容易因共享交换客户端木马、程序后门等造成数据非法接入;容易因共享交换客户端病毒入侵,造成数据篡改和破坏;由于安
158、全共享交换管理不规范或者接入管控失误,造成非授权访问、伪造数据共享交换等问题,影响到数据的完整性及保密性,且共享交换情况复杂,涉及部门多,安全数据事故定责困难。4.4.5.3.�������数据交换阶段能力工具部署一、能力部署数据共享过程安全保障能力。采取措施确保个人信息在委托处理、共享、转让等对外提供场景的安全合规.如数据脱敏、数据加密、安全通道、共享交换区域等。对共享数据及数据共享过程进行监�����控审计,共享的数据应属于共享业务需求且没有超出数据共享使用授权范。明确共享数据格式规范,如提供机器可读的格式规范。数据接口安全保障能力。具备对接口不安全输入参数进行限制或过滤能力,为接口提供异常处理能力。数据安全解决
159、方案总册109数据安全体系【数据绿洲】建设指南具备数据接口访问的审计能力,并能为数据安全审计提供可配置的数据服务接口。对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施。二、数据服务总线系统工具BSS数据脱敏服务针对输出数据的安全级别和数据脱敏要求,调用敏感数据域和数据脱敏算法,实现共享数据动态脱敏。数据溯源服务针对输出数据的安全级别和数据溯源要求,调用敏感数据域和数据脱敏算法,实现共享数据中重要数据和敏感数据的溯源。预计本服务期内有脱敏需求的接入系统约为24个,针对重要、敏感文件导出、API导出、ETL工具导出等方式进行水印打标处理。数据交换认证对接入共享交换服务和系统进行�������识
160、别和安全认证,确保共享交换服务和系统接入的安全可控。交换日志分析对于数据共��������享交换日志进行关联分析、跨设备关联分析、基于事件因果关系、事件安全要素、跨协议层、多层架构、时间回溯以及关联结果的回放等。及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保业务的不间断运营安全。交换系统的数据溯源水印打标数据溯源水印打标针对数据订阅审批流程增加数据溯源安全审批流程。数据安全解决方案总册110数据安全体系【数据绿洲】建设指南数据安全交换管理针对每个接入系统,需要实现数据共享的每条数据制定数据安全交换策略,完成安全策略开通审批,完成数据安全交换策略配置实现。制定数据安全事故责任界定规范,明确数
161、据共享各类安全事件的网络安全责任。服务接入安全通道管理数据安全应用通道服务,当平台与下属单位等组织机构进行数据交换时,数据安全应用通道服务提供敏感数据稽查能力,保障数据交换安全,涉及的内容包括服务接入安全通道管理和通道数据源安全管理。以服务资源共享应用为目的,按照服务资源目录编制规范要求,及时发布和更新服务资源目录。在应用接入方面,提供Rest、API等应用接入适配方法,便于服务请求方与服务总线对接。同时在API中根据于各类服务资源的标准规范,开发服务调用的适配器功能,实现各类服务资源快速访问的接入;在服务接口接入方面,支持WebServie服务(SOAP协议),增加了�����Rest、Servlet
162、等协议开发的服务。不同的业务系统可能会使用不同的协议传递消息,平台提供不同的接口类型以适应不同的入口协议或者出口,协议转换由平台内部自行封装完成��������,不需原有接入系统做相关接口改造。该平台支持的协议包括WEBSERVICE、HTTP等。通道数据源安全管理满足在本级平台的不同应用系统业务间协同调用的需求,也满足在跨区域业务协同的时调用的需求。因此系统需要确保所有服务访问过程的安全,确保只有指定的应用系统,以特定的用户身份才可以访问某个业务服务。系统从用户和权限访问控制、网络和消息安全控制数据安全解决方案总册111数据������安全体系【数据绿洲】建设指南数据安全解决方案总册112来确保跨区域、跨应用的服务之间
163、访问过程的安全性。数据共享通道监测服务所有接入的服务系统都统一资源目录管理,每个服务都有对应的目录分类管理,便于管理服务,不同的服务对应不同的分类目录。所有接入系统中的服务单独管理,包括服务的发布、运行、停止。服务请求方针对需要,可以发起申请调用发布的服务,系统通过授权审批,通过后,下发动态密钥,请求方必须 携 带 动 态 密 钥 方 可 进 行 服 务 调 用。系 统 通 过 统 一 封 装 接 入 的 服 务,按 照HTTP/HTTPS/SOAP协议对外提供服务,请求方通过服务目录服务发现并提交申请,调用响应服务。系统管理包括系������统字典管理、服务导出、用户管理、部门管理、角色管理、菜单管理、
164、目录管理等。通道服务监测分析系统支持监控每个发布服务的近24小时和近一月的访问趋势,对服务分析提供了依据。系统监控中心有服务监控和集群监控,服务监控展示的服务的统计信息,包括注册服务数、服务成功/失败数,请求方数,服务分布、服务访问量、服务访问趋势等。集群监控展示的是节点服务器的状态信息,包括包括CPU系统使用率、内存、硬盘、GC的实时/近24小时/近1月的信息。数据源检测分析对于已经接入到安全服务总线系统中的各个数据源,系统会统一汇总成为资源池,在资源池内具化到单表资源,为后续资源服务注册做好前提准备工作。服务日志分析数据安全体系【数据绿洲】建设指南数据安全解决方案总册113分析������安全服务总线
165、系统有两部分的审计日志,一是用户操作日志,二是服务访问日志。对发现异常情况,及时处置。用户操作日志是用户登录到系统后产生的操作痕迹;服务访问日志是用户访问服务后的访问痕迹,按照公安应用日志安全审计规范的相关要求,以此为基础提供日志查询、统计分析功能,为总线的运行维护提供数据支持。请求安全机制保护服务资源不被随意完全调用,对所有接入总线的服务设置了请求安全机制:1、黑、白名单控制-通过设置黑、白名单,在黑名单内的用户即使是合法用户,也无法调用该服务资源。2、频率控制-通过设置请求频率机制,保护每个�����服务资源的安全性和稳定性、在一定时间内可以访问,超过阈值后,则无法调用。3、IP地������址控制-通过限制I
166、P地址,达到避免随意IP的访问危险。4、响应过滤-通过设置请求响应结果的筛选屏蔽,有效的保护了服务资源的部分信息不被访问到。数据接口安全保障能力。具备对接口不安全输入参数进行限制或过滤能力,为接口提供异常处理能力。具备数据接口访问的审计能力,并能为数据安全审计提供可配置的数据服务接口。对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施。三、数据接�������口API监测系统基于旁路监管的方式,对接口进行API监测,对接口协议进行解析,建立接口行为画像,分析接口异常时间连接、异常频次连接、异����常地址连接,对异常行为进行告警。数据安全体系【数据绿洲】建设指南4.4.5.4.数据交换阶段工具清单4
167、.4.6.数据销毁阶段安全管��������控接口API监测工具数据库审计数据分级分类工具序号1234数据服务总线系统工具BSS工具名称数据安全解�����决方案总册114四、数据库审计基于旁路监管的方式,对ETL等数据共享行为进行监测,发现行为异常,对行为进行告警。五、数据安全治理平台对数据共享交换场景进行管理,展现各种场景、场景下数据、防护能力、防护策略。对数据使用场景下数据安全工具进行集中管控,包括策略统一展示、统一下发。统一集中收集各种安全工具的日志,对日志进行分析,建立数据安全风险分析模型和泄露模型,对异常行为进行告警。建立数据溯源监控管理能力和数据流转监测能力,对数据流转过程进行监测。数据安全体系【数据绿洲
168、】建设指南数据安全解决方案总册115针对销毁阶段的风险和问题,依托管理策略、云平台数据清除、物理消磁工具等,实现数据的有效清除和销毁。针对需要清除的数据,梳理数据销毁对象及清单,通过多人操作采用文件数据粉碎工具处理,重点需要清除的数据,处理后考虑释放对应存储空间,利用平台的剩余信息保护能力,确保资源得到完全清除。本地机房相关系统的数据,可采用先后存储媒体销毁工具,包括但不限于物理销毁、消磁设备等工具,实现对各类数据存储介质的有效销毁。数据安全体系【数据绿洲】建设指南05数据安全解决方案总册116数据安全运营体系建设以保障数�������据安全为核心目标,主要通过数据安全管理建设及优�����化、数据安全梳理、数据安全
169、管控、数据安全监测、数据安全评估等各类手段,构建以管理运营为抓手、技术保障为支撑、监测预警为核心、协同响应����为目标的数据安全体系,数据安全运营服务贯穿数据安全管理体系和技术体系全过程。(一)实现数据分类分级管理根据相关要求制定数据安全分级分类管理规范,梳理类数据资源,并确定数据安全属性,在数据采集、处理、存储、共享交换各环节上进行安全管控,确保数据安全传输、安全存储、安全使用,做到数据上“管得住”。(二)实现数据安全风险事件处置闭环数据安全运营体系建设方案5.1.运营目标数据安全体系【数据绿洲】建设指南数据安全解决方案总册117通过对数据安全工具产生的安全日志进行全面分析监测,发现数据在流转过程
170、中的是否存在安全缺陷或者其他漏洞,并且形成安全应急处置机制,形成数据安全事件处置闭环。数据安全运营服务,主要以安全运营咨询服务为抓手,建立数据安全管理组织和管理规范;以风险评估为检查手段,发现业务建设过程中存在的安全风险,明确数据安������全技术体系的部署位置;以梳理服务为辅助手段,梳理数据安全资源权限、数据资产摸底,将梳理的结果在数据安全技术体系上进行安全策略的管控;以安全监测分析服务为支撑,及时进行安全事件处置闭环,并优化安全事件处置流程和数据安全事件场景及规则;最后再以数据安全赋能服务进行知识转移,从组织结构职责权限、制度流程的运转、技术工具的使用、安全意识的提升等方面全面提升数据安全能力。(一
171、)数据安全管理建设及优化5.2.运营内容数据安全体系【数据绿洲】建设指南数据安全解决方案总册118通������过安全运营服务团队,基于等级保护2.0管理要求、DSMM数据安全能力成熟度模型、政务数据共享技术要求、个人信息保护法等,结合用户������实际情况,通过咨询完善用户数据安全管理组织,定制用户数据安全制度流程等管理内容,填补数据安全管理方面的空白。数据安全管理建设不是一次性服务,在信息化不断发展及实际工作过程需要不断进行优化。(二)数据安全梳理1.数据安全规划根据国家下发的相关数据安全法律法规如网络安全等级保护基本要求、中华人民共和国网络安全法等对于数据安全管控的具体落地部署的实施要求,结合实际的安全组织现
172、状、网络安全现状、业务安全防御现状,进行数据安全部署优化。2.数据资产发现发现网络环境内数据资产主机,采用数据探针,探测到数据资产的内部结构,如数据库的表、字段;大数据内部的表、列族、XML、属性;文件系统的目�������录结构、文件等。发现和梳理的数据资产形成数据资产视图。3.数据分类分级梳理基于前期敏感数据的梳理和定位,根据法律法规与行业标准对敏感数据按照“就高不就低”的原则进行分类分级,形成敏感数据规则,并对业务权限管理进行优化。数据安全体系【数据绿洲】建设指南梳理网络安全架构、安全管理组织,结合客户现有的业务和安全需求,参考数据安全管理规范的要求,按照数据安全最佳落地部署方式,提供数据安全网络架构
173、部署优化意见、提供合理的安全域划分建议、采用更完善的网络架构,配合更优秀的技术手段、形成更落地的安全保护策略,为客户的安全管理进行保驾护航。数据安全解决方案总册1194.重要数据识别梳理通过参考相关法律法规以及行业规范,依据业务需求对敏感信息进行定义,对包含敏感数据的U������RL、库表、文件等进行定位,通过专业的技术人员与安全工具共同作用,梳理出敏感信息的基本定位。(三)数据安全评估敏感数据确定并准确定位后则进行数据安全的评估,风险评估同样采用基础技术工具和专业的人员共同发挥作用����来完成。对风险的认识和评估则进行两个方向的检测,一是对安全管理是否合规进行初步检测,二是对业务系统进的关键节点检测,来完成
174、基本的数据安全建设。1.数据安全成熟度差距分析收集服务对象的相关数据安全管理制度,安全管理组织结构、技术防护体系、与由现阶段国家下发以及行业最佳实践形成的数据安全管理条例进行对标差距分析,通过访谈数据安全管理组织,了解人员能力以及人员对于业务流程、数据安全的了解程度,根据业务方提供的技术材料,登录相关的系统工具平台,检查配置是否与材料保持一致,对文档审核内容进行核实。根据之间的差异,与现有的业务系统相结合,制定有针对性的数据安全改进方案及整体提升计划,指导组织后期数据安全建设的方向。2.数据安全风险评估服务数据安�����全体系【数据绿洲】建设指南5.数据权限梳理基于业务运维场景、数据使用场景、数据导出
175、场景、终端业务等多类场景进行业务账号权限的梳理,通过主动对业务系统的模拟点击,发现预设流程范围内权限与模拟业务异常操作等核查账号权限。数据安全解决方案总册120利用适当的数据安全风险评估工具针对计算��������机病毒、黑客攻击、信息传递风险、网络风险、用户权限控制、其他信息安全进行定期的数据安全相关风险分析,包括数据安全相关系统风险分析、数据系统脆弱性识别、威胁识别、敏感数据定位、数据价值分析、系统及数据业务平台风险分析。(四)数据安全监测1.场景化数据安全风险监测对敏感数据的流转场景如敏感信息未脱敏化、无认证访问行为、参数篡改访问、低权访问高权业务、跨区域非法办理业务以及账号复用、批量且高频的访问敏感信
�����176、息等场景进行监测和审计,若违反预设监测模型的场景发生异常访问行为则进行告警及通报。2.深度数据安全风险分析基于异常行为规则和敏感信息访问规则并结合UEBA技术,实现用户异常行为及敏感信息访问分析、异常访问、操作行为。结合前序、后续页面操作提升给予证据的准确性,可协助定位安全事件,发现安全事件责任人,发现共享数据泄露源,协助用户进行业务止损。3.数据安全事件响应和处置业务系统遭受黑客入侵攻击窃取敏感数据�����资产时,第一时间对入侵事件进行分析、抑制、还原、处理,查找入侵来源并恢复系统正常运行,完成后给出对应的应急响应报告。(五)数据安全管控数据安全体系【数据绿洲】建设指南为达到在业务系统中良好的安全管
177、控,通过统一化的管控手段进行策略的下发,即形成统一的资源池,进行技术集中化管理,极大程度的减少技术落实困难等不可控场景的发生,将安全管理和安全技术真正������实现交叉互融,确保安全保障措施的落实。数据安全解决方案总册121在集中化的管控下,对数据传输安全、数据库防护安全、数据终端安全等进行重点保护,通过安全产品或工具的执行效果进行策略的优化、安全事件的审查、安全管理以及安全时间报告等,加大安全设备的最佳运营能力,实现资源的统一调度、管控的集中完成,提升运营服务效果。(六)数据安全赋能服务安全意识和安全技能是保障数据安全的软实力,安全意识不强甚至没有安全意识不仅容易造成人员对数据的重视程度不够而发生内部
178、人员对数据直接或间接泄露的情况,而且会给正常的数据安全体系建设工作带来很大程度的阻碍,因此,需要对人员进行数据安全意识的普及,提升整体的安全认知水平与基本安全技能的掌握程度。1.��������数据安全意识培训进行全面的员工数据安全意识普及和教育所设,针对的是最一般性的工作所需,目的是提高整个组织普遍的安全意识和人员数据安全防护能力,使组织员工充分了解既定的安全策数据安全体系【数据绿洲】建设指南数据安全运营体系的建设,需要顶层化的战略设计同时也离不开专业的����人员和技术支撑,即完成体系的建设,这也是区别于单一技术建设的根本。以下是数据安全运营服务的五大支撑能力,五大支撑相互作用、相互配合形成完整的安全体系并驱动安
179、全建设水平的提升。5.3.能力支撑数据安全解决方案总册122路。培训中强调分析典型案例、记取经验教训、培养安全习惯、提升企业整体的安全认知水平。2.数据安全技能培训安全技术培训偏重于数据安全治理的技术实现,主要有安全技术体系,常用的加密算法,身份认证,日志审计,安全配置略策,代码安全,数据保护技术,网络访问控制,漏洞/威胁分析�����方法,风险评估方法等。3.数据安全标准宣贯数据安全标准宣贯主要根据国家下发的一系列数据安全�����法律法规和制度标准如数据安全保护法、个人信息安全保护法、数据安全成熟度模型等,提供数据安全标准的解读和宣贯,使数据安全组织成员更好的理解数据安全需要建设的内容。(七)数据态势感知数据
180、的资产分布情况以及安全保障能力的实施以及安全状态的监测和健康程度等均需要一定的展现方式进行呈现。而因各类场景和视角不同,展示内容不同,需要运营人员通过专业的可视化系统进行设计和优化,以达到安全运营视图������的即时展示。数据安全体系【数据绿洲】建设指南数据安全解决方案总册123(一)顶层化策略顶层化的策略制定时对数据安全管理的意图、期望以及指导方向进行的具体说明,安全策略的制定既要符合业务场景的具体摸底情况,同时也要符合相应的法律法规和行业规范。策略的下发是关�����键一步,而策略的落实则是重要一步。通过落实策略并进行不断的执行反馈,找到当前体系的最优解,并不断优化。(二)专业化人员秉承“专业的人做专业的事”
181、原则,按照支撑数据安全建设体系的开展分为六角色:业务数据工程师、数据安全风险评估工程师、数据安全产品工程师、数据安全运营工程师、数据安全咨询师、数据安全培训师。从不同的方向来完成对数据安全的全方位人员覆盖。如安全风险评估工程师完成对风险进行测评以及合规性调整、安全培训师完成对数据安全的意识普及和安全技能培训等,真正发挥人员的最大的作用。(三)可优化流程数据安全体系【数据绿洲】建设指南数据安全解决方案总册124没有一套完整的数据安全管理规范,人员的管理以及技术的开展都不能有效进行��������,可优化的流程便是数据安全运营体系开展工作的参考标准和执行规范,是保证数据安全事件责任到人、事件闭环处置管理、安全事件
182、标准化处置规范的重要依据。通过前期的资产发现及资产的分布定位,进行全局性的安全体系框架的建设,再借助管理和技术的双管齐下,深入贯彻落实体系架构,进入到管控措施的具体落实和下发阶段,而后根据安全监测、安全审计等进行摸底排查,确保体系的建设效果,根据反馈效果对数据安全运营体系进行调整,确保整套的流程是符合用户的真实业务发展。(四)多样化工具(五)定制化平台数据安全体系【数据绿洲】建设指南数据安全是个相对复杂的场景,往往标准化产品并不能完美切����合整体数据安全防护需求。在安全运营体系实际落地过程中,产生的切实需求,可通过定制化能力驱使平台优化,更加切合数据安全组织成员及数据安全运营团队成员的实际使用。数
183、据安全运营覆盖面广,从数据的生命周期到数据的使用场景,时间和空间维度均有保护措施的落实,因此在进行体系建设时,更加要考虑到真实业务场景对工具的需求,根据不同的场景配置对应的产品或工具。针对此,形成数据安全产品资源池,对不同需求均可调用资源池的工具资源进行支撑,保障数据安全运营工作高效高质开展和相关保障措施真实有效落地。06数据安全解决方案�������总册125数据安全运营体系建设以保障数据安全为核心目标,主要通过数据安全管理建设及优化、数据安全梳理、数据安全管控、数据安全监测、数据安全评估等各类手段,构建以管理运营为抓手、技术保障为支撑、监测预警为核心、协同响应为目标的数据安全体系,数据安全运营服务贯穿数
184、据安全管理体系和技术体系全过程。数据资产不清由于业务系统逐步建设,业务中涉及敏感数据越来越多,当前工作中对数据资产家底缺乏有效的梳理,如数据库中敏感数据的内容、数据类型、数据的位置等,由于数据业务系统众多人工梳理无法满足当前管理的需求,缺乏自动化梳理手段,对数�����据进行有效的梳理。数据安全典型场景解决方案6.1.数据安全治理场景6.1.1.安全风险数据安全体系【数据绿洲】建设指南数据安全解决方案总册126内部人员利用正常操作窃取数据,造成泄露数据安全和网络安全在具体的攻击方式上还存在一定的差异,网络安全大多都是外部攻击者所为,而������数据安全经过业界的分析统计基本符合2/8法则,即20%的攻击来自于外部
185、,而80%的数据泄露来自于内部,这对数据安全的防护造成了新的挑战。数据共享给第三方后,第三方防护不当造成隐患数据安全体系【数据绿洲】建设指南为有效防止数据泄漏,除了建立完善的审计机制外,还要加强对用户行为的分析,通过比对用户历史上的行为变化和同类型用户的���行为区������别,来判断是否存在行为异常,从而及时发现问题。和外部攻击利用漏洞等恶意行为方式相比,内部的数据泄露往往更加隐蔽、更难发现。比如,运维人员在运维时将数据打包下载,操作人员在正常业务查询中高频查询泄露信息,开发和测试人员在开发测试中将接触到的数据带走等等,此类数据泄漏事件一旦发现可能已经造成影响。例如,银行、保险、证券等金融机构实施大数据项目
186、,请第三方应用服务商挖掘分析数据,提高金融运营效果。在这里,金融机构是数据生产者,它每天会产生成百上千的数据,但由于数据分析技术的壁垒,没有能力进行数据分析。而第三方应用服务商是数据消费者,它主要对数据生产者的数据进行分析,挖掘数据价值。这种情况下,如果第三方应用服务商发生个人信息的泄露、窃取、篡改、毁损、非法使用等情况,对用户造成了损失的,数据生数据安全管理办法征求意见稿中在第三十条规定了,网络运营者对接入其平台的第三����方应用,需督促监督第三方应用运营者加强数据安全管理。如果第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。注意这������里的措
187、词是“应当”,意味着一旦第三方应用发生数据安全事件对用户造成损失,网络运营者就要承当过错责任。数据安全解决方案总册127产者就要承担责任。数据大集中后,数据安全面临的风险更大DT时代的显著特点是数据变得越来越重要,而这些重要的数据往往需要集中在一起进行分析碰撞才能产生更大价值,而这给数据安全带来的风险则变的更大。数据安全体系【数据绿洲】建设指南这种情况是一方为数据生产者,另一方为数据消费者。但现实生活中,更多是既是数据生产者,又是数据消费者的情况。IT时代基本上还是一个强调数据生产的时代,建设了����大量的信息系统,每个信息系统都有对应的独立的数据库,这时的数据风险是分散的,就算发生数据泄露也是一个
188、库。要想获取更多库的数据,则需要花费更多的努力,一个一个库去攻破。而现在进入了数据消费者时代,将多个数据库的数据汇聚在一起,联合进行分析。甚至很多场景需将多个行业的数据汇聚在一起,才能更好的建立模型,进行人工智能等高阶应用。像大数据局的智慧城市、公安行业的智慧公安、政府的“只跑一次”等都是数据高度集中的项目,������面临的风险就会更大。一是数据集中后,黑客和内部人员的犯罪意愿将会加大,只需攻击一次就可以拿到所有数据,不用像以往一样攻城拔寨式的付出;二是数据集中后,IT设施的复杂度增加,原本只需一个关系型数据库就搞定,现在变成要上大数据平台,有的甚至要上�������云,这就对运营和安全的提出更高要求,稍有不慎出现疏
189、忽就会导致严重后果。例如,大数据局进行智慧城市建设,需要从工商���部门获取工商数据,从金融办获取金融数据,从医疗部门获取医疗数据,从房管部门获取房屋数据,从交管部门获取交通数据,这里大数据局扮演着数据消费者的角色。但大数据局打通各部门之间的“数据孤岛”,建立数据中台后,为相关部门提供数据,这里大数据局扮演了数据生产者的角色。这种情况下,如果个人信息出现泄露、窃取、篡改、毁损、�����非法使用等情况,对用户造成损失,大数据局需承担责任。6.1.2.解决方案6.1.2.1.管理体系建设数据安全解决方案总册128因此对于数据高度集中的政府机构和行业企业,数据安全的重要性就不言而喻了。个人隐私数据泄露造成的不良影
190、响,导致监管机构监管力度加大大量个人隐私数据泄�����露事件导致了公众的强烈不满,从FaceBook数据泄露后扎克伯格接受美国国会问询就可见一斑。随着欧盟GDRP等一系列数据保护条例的出台,国内也在加快数据安全法的立法进程。2019年5月28日,国家互联网信息办公室发布了关于数据安全管理办法(征求意见稿)公开征求意见的通知;2019年6月13日国家互联网信息办公室就个人信息出境安全评估办法(征求意见稿)向社会公开征求意见。根据意见稿,个人信息出境应进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。这些举措都表明政府监管机构对个人隐私数据和
191、重要数据的监管力度再加大,将对和数据相关的行业造成深远影响。对数据的安全防护可能会成为一个网络运营者(包括网络的所有者、管理者和网络服务提供者)开������展业务的先决条件,不做好数据的安全防护,可能意味着无法开展业务。数据安全防护缺乏统一的监控和管理目前系统通过部署数据安全设备进行安全防护,�������如堡垒机、数据库脱敏、数据加密、数据库防火墙、数据库审计等,各种防护能力缺乏统一的监控和管理,如安全策略的统一管理、访问能力的统一监控和分析。对整个数据安全的态势缺乏统一的分析和展现。数据安全管理体系建设主要包括安全组织建设和制度规范建设。数据安全体系【数据绿洲】建设指南6.1.2.2.运营体系建设129数据安全组
192、织建设:设计数据安全的组织架构时,可按照决策层、管理层、执行层、供应商/服务商、监督层的组织架构设计。在具体执行过程中,组织也可赋予已有安全团�������队与其它相������关部门数据安全的工作职能,或寻求第三方专业团队等形式开展工作。制度流程规范建设:在进行数据安全管理制度和规范的设计时,范围应覆盖数据的全生命周期,各单位可以参考区域内政务数据安全保障的地方性法规、顶层设计以及标准规范等,从而建立单位内部制度规范去约束和规范相关人员开展日常工作,并赋予管理人员监督管理职责。数据安全运营体系支撑的目标是以“安全工具+专家智慧”为依托,结合有效情报数据,以用户现场部署的技术堆栈为本地操作环境,由数据专职分析团队提供数
193、据安全治理服务,提升运营者对自身数据情况的了解。完整的数据治理服务包含了对于数据的梳理、数据安全事件的分析、数据安全风险评估、以及数据安全运营服务等内容。体系建设咨询服务:根据国家下发的相关数据安全法律法规如网络安全等级保护基������本要求、中华人民共和国网络安全法、数据安全分类分级实施指南等对于数据安全管控要求,结合服务范围内数据敏感程度和重要程度进行数据安全体系建设及优化。数据梳理服务:对服务范围内的系统、业务资产及数据等关键资产,根据其对业务系统的影响程度、数据丢失后对企业的影响程度和数据的业务属性、数据敏感级别、数据类型、使用权限等相关纬度,对资产进行发现、梳理、敏感数据识别、分级分类的服务。
194、数据安全分析服务:根据收集到的数据安全信息,整理分析后形成规则项识别每个监控数据安全体系【数据绿洲】建设指南6.1.2.3.技术支撑体系建设��������数据安全解决方案总册130对象探测到的数据安全事件威胁来源、影响和重要性,综合分析所有监控对象探测到的数据安全事件及系统产生告警日志,形成数据安全分析报告并定期报告给用户,并且将分析经验形成自动化安全分析和定制化安全模型建设,不断增加情报信息模块中的安全模型,达到疏而不漏的目的。数据安全评估服务:业务安全评估服务旨在发现信息系统隐藏的合规性与脆弱性。评估的成果由评估人员录入至运营支撑系��������统进行流转,以二线评估人员审核机制实现多人深度参与评估工作,从而最大化挖
195、掘系统脆弱性,同时完成脆弱性信息的结构化处理,扭转传统评估成果难以积累,无法重复利用的问题,支撑实现覆盖全类型脆弱性的复现监测。数据资产管理建立数据资产字典,绘制数据资产图谱,对敏感数据进行定义,提供全网敏感数据进行自动扫描发现能力,对扫描的敏感数据进行索引标记。提供敏感数据分级分类能力,对敏感数据进行分级分类标识,建立敏感数据�������资产分布视图,实现敏感数据的可发现,可展示、可稽核,全面掌控业务数据核心资产。安全策略管理DSMP平台安全策略管理中心主要实现对发现的敏感数据分级分类,以及对数据安全技术手段的策略定义、任务下发、策略分析等工作。对数据安全的策略进行能力应用,提供数据资产发�����现、数据脱敏、
196、数据加密、数据水印等多种能力API接口,提供能力集中调度和能力输出。数据安全体系【数据绿洲】建设指南数据安全解决方案总册131对外接口管控DSMP对外接口管控中心通过HTTP协议解析,还原HTTP事件请求和返回内容,可记录操作后的页面返回信息。通过建立API接口清单并识别敏感数据暴露面,避免安全������管理盲区,降低数据泄露和合规风险。数据风险监测风险评估分析模块是指通过对数据相关事件内容进行集中分析,包含:日志采集、日志范式化、人物行为画像分析、数据流转地图、数据泄露行为分析建模、数据异常行为告警、数据风险展示、数据日志展示、数据多维度查�������询多个功能。全生命周期管理依托场景化的解决思路,从数据采集、数
197、据传输、数据存储、数据处理/使用、数据交换/共享等阶段对数据资产进行全生命周期管理,对各个阶段的数据、事件、防护能力进行全方位监测和管理,为全生命周期管理能力提供支撑。数据生命周期管理包括数据采集阶段监控审计、数据传输阶段监控审计、数据存储阶段监控审计、数据处理阶段、数据交换/共享阶段监控审计。全生命周期管理是对生命周期各个阶段的数据使用情况进行分析、展现管理。数据安全运营数据安全合规管理支撑相关部门合规检查�������要求和单位内部合规检查要求,具备对合规目录管理,基础性评估、生命周期评估和技术评估相关的合规文件新增、修改、删除和下载等管理功能。数据安全运营的核心定岗定责,责任到人,可验证、可追溯。贯穿
198、安全监测、安全分数据安全体系【数据绿洲】建设指南析、安全处置、安全运维流程,全面覆盖安全运营工作。不同类型、不同等级安全事件的监测、分析、响应、处置流程。数据安全预警是对数据安全分析结果异常行为事件进行相关预警,包括如下方面内容:异常访问暴力破解越权访问高风险指令高频访问敏感数据外发数据安全视图通过对数据资产梳理视图,实现资产敏感数据总量、资源数量、数据库、服务器、大数据组件、资产扫描等信息的汇总。并且通过数据分类分级管理视图和敏感数据分布视图实现数据资产的整体�������监控。安全能力组件:DSMP平台支持统一管理并接入各类数据安全能力组件,并实现信息采集、引擎控制两大功能。主要实现对数据安全技术手段的
199、上报信息的采集,以及对数据安全技术手段的接口配置,方便上层进行事件存储、分析、策略管理等。数据安全安全防护能力包括:应用安全网关、运维安全网关、数据静态脱敏系统、数据动态脱敏系统、页面水印、文档水印数据水印系统、数据库审计、数据库访问网关、数据防泄漏等安全能力组件。数据安全解决方�����案总册132数据安全体系【数据绿洲】建设指南近些年,信息化的不断发展,导致业务系统不断增多,各类设备越来越多,而这些设备和系统都需要不同的运维人员进行维护。而内部运维人员或者第三方运维人员而导致的数据安全问题也逐渐显现,企业发现,单单依靠文字版本的制度规范已经无法真正的抑制此类数据安全问题的发生,借助技术手段才能从源头
200、改善问题。6.2.数据开发运维安全场景数据安全解决方案总册133运维账号被滥用无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统帐号完成系统级别的认证即可进行维护操作。随着系统的不断庞������大,运维人员与系统帐号之间的交叉关系越来越复杂,一个帐号多个人同时使用,是多对一的关系,帐号不具有唯一性,系统帐号的密码策略很难执行,密�������码修改要通知所有知道这个帐号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。敏感操作无法及时获悉管理员总是试图定义各种操作条例,来规范内部员工的数据访问行为,但是除了在造成恶性后果后追查责任
201、人,甚至不能在敏感操作过程中发现行为,而事后追责,只能是亡羊补牢。运维人员误操作,导致数据删除或篡改运维人员在进行系统或数据库运维过程,经常需要进行数据操作,而人的操作无法保证����万无一失,企业经常因运维人员错误操作,因没有有效拦截措施,导致重要数据删除和篡6.2.1.安全风险数据安全体系【数据绿洲】建设指南改,造成严重后果。无法划分数据权限,运维及研发人员数据访问权限过大�������由于运维及研发人员需要对系统及数据库进行维护,往往其维护账号操作权限较大,无论是有意还是无意,都大大增加了敏感数据泄漏风险。数据一旦泄漏,事后追查都很难挽回损失。运维人员随意对敏感数据进行下载外发运维人员操作终端使用多样,因未对
202、其终端进行管控,对运维人员下载后文件无法管控追踪,敏感文件及数据泄漏后,溯源难度高,无法定位泄漏人员。数据安全解决方案总册134定期对运维开发人员进行数据安全培训,提高数据安全意识,引发思考及重视,强调数据安全重要性、�������数据泄漏危险性、数据外发严重性;做到敏感数据不查看,敏感操作不进行,敏感权限谨慎用,个人账号不外借。数据安全意识培训强调分析典型案例、记取经验教训、培养安全习惯、提升企业整体的安全认知水平。单点登录:运维用户只需经过运维堡垒机系统一次认证,通过返回的授权列表,直接访6.2.2.解决方案6.2.2.1.数据安全意识培训6.2.2.2.运维堡垒机数据安全体系【数据绿洲】建设指南问目标
203、资源,无须二次输入帐号和密码。运维用户只需要记住自己的系统登录帐号、密码即可,无需记忆繁多的目标资源IP、帐号和密码信息。身份认证:在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)帐号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。系统为每一个运维人员创建唯一的运维帐号(主帐号),运维帐号是获取目标设备访问权利的唯一帐号,进行运维操作时,所有设备帐号(从帐号)均与主帐号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任������人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决帐号共用问题。访问授权:系统通过基于角色的权限访问控制,实现细粒度授
204、权与策略控制。管理员可根据目标资源设置不同角色;支持时间、命令、审批规则制定,并可与资源角色关联,实现不同运维用户访问资源遵������从不同的控制策略;支持限制RDP访问使用剪贴板、磁盘映射功能。密码托管:系统支持对目标资源帐号的密码维护托管功能,支持类型:Linux、Unix、Windows(采用RPC方式)、AIX以及数据库Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix、SYBASE。密码管理支持以下功能:针对不同资源制定不同改密分组;设定自动改密周期或者一次性改密;支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略;数据安全解决方案总册135
205、数据安全体系【数据绿洲】建设指南账号统一管理:主账号管理支持主账号的组管理功能,提供对主账号生命周期的管理,6.2.2.3.核心信息管控改密结果自动发送至密码管理员邮箱;改密结果高强度加密保护功能。协议审计:系统能够对运维人员登录目标设备上进行的操作进行全程记录,包括�������字符协议(SSH、TELNET)、文件传输协议(FTP、SFTP)、数据库协议的所有操作命令的完整详细记录,图形协议(RDP、VNC)的完整操作图形记录。系统能够以回放的形式重现运维人员对目标设备的整个操作过程,从而真正实现对操作内容的完全审计。二次审批:支持命令审批:支持根据需求对特殊指令操作进行二次审批功能,运维人员操作过程中
206、触发命令策略,需要得到审批员的审批后才能继续执行后续操作。支持登录审批:可定制审批规则与资源角色关联,对运维人员访问资源制定登录审批策略,需要得到审批员的���审批后才能继续执行后续操作。帐号稽核:提供支持僵尸、幽灵、孤儿帐号分析,以降低企业安全风险。检测僵尸帐号:没有使用或者使用频率较低的运维用户、资源账号。检测幽灵帐户:通过智能采集自动发现资源上没有被堡垒机托管的账号。检测孤儿帐户:没有建立授权关系的用户帐号、资源帐号。自动运维:面向运维人员提供网络资源配置自动备份、命令自动执行功能数据安全解决方案总册136数据安全体系【数据绿洲】建设指南包括建立、修改、锁定、删除等功能;可对主账号属性的管理,
207、用于对账号的多种属性进行管理,包括账号认证方式、时效性和其他属性的管理;可以通过主账号口令策略加强主账号的安全性。从账号管理支持对设备账号的密码维护托管功能,系统支持自动定期修改windows、Linux、Unix、cisco、huawei设备的账号密码。改密策略可针对不同设备制定不同改密计划;设定改密计划的自动改密周期;支持随�������机不同密码、随机相同密码、手工指定密码等新密码设定策略。多种认证方式支持多种认证方式及认证组合,包括:静态口令认证USB硬件令牌认证手机短信口令认证动态口令卡认证吉大正元电子证书北京CA此外,还支持多种第三方外部认证:Windows ADLDAP数据安全解决方案总册13
208、7数据安全体系【数据绿洲】建设指南Radius工具集中发布与管理:可提供一个工具发布平台,在这个平台上集中发布被用户许可的运维工具;所有的运维人员只能使用在这个发布平台上安装、发布的运维工具。系统不但提供了运维工具的集中管理和发布,同时将运维工具的使������用权限与访问者的身份关联起来,从而实现了:只有被授权的用户可以使用对应的运维工具,登录到相应的后台主机(服务)进行运维操作。金库模式:在操作过程中提供符合规范的双人操作的金库模式。授权方式是操作命令控制策略,指使用任意从账号进行高风险操作时(例如更改特定表、删除特定文件等)触发规则。目前触发方式分为时间段授权和实时授权两种,并且实现金库管理组合。指
209、默认情况下采用实时授权方式,当用户操作时,VBH系统侦测到正在进行的操作需要金库授权时弹出相应金库策略的对话框进行操作授权;此外,用户可以根据操作时间,预先选择需要执行的操作规则进行操作申请,当审批通过后,在一段时间内可任意使用相关操作命令。可扩展接口:系统提供了标准接口与第三方系统实现同步与数据交互。资源&用户信息同步接口:基于WebService可从第三方系统(如4A系统)获取用户身份信息、资源信息、认证信息、权限信息等。审计传输接口:基于Syslog协议的实时接口。应用调用接口:通过Webservice接口实现运维工具的调用并完成代填。SSO单点登录接������口:用户只需要在第三方系统中登录一次
210、,就可以通过单点登录到堡垒机系统,登录到堡垒机系统不需要再次认证。数据安全体系【数据绿洲】建设指南数据安全解决方案总册138数据安全体系【数据绿洲】建设指南数据安全解决方案总册139统一认证管理:基于R������adius、Tacacs、Ldap协议,接管资源的认证,为资源提供统一身份认证服务,所有对资源发起的认证请求都将指向UIAM进行校验。UIAM支持多种强认证方式,并支持多种强认证方式组合,包括:说明:认证端设备或软件,需要另行采购与适配。认证策略支持自定义设置用户访问策略,设置用户��������访问资源时采用的强认证方式,可勾选一种或多种强身份认证方式,并可设置校验顺序,默认第一层为静态密码校验。认证策略中可
211、选择的认证�������方式需先进行适配(非默认支持的,如短信、人脸、指纹、证书等),并由授权文件进行控制。国密算法支持基于国密算法生成口令和对数据进行加密,保证数据安全的同时,满足规范要求。统一账号管理:6.2.2.4.统一身份认证数据安全体系【数据绿洲】建设指南数据安全解决方案总册140支持对用户身份实现集中统一管理,可增删改查用户基本信息,包括用户名、中文名、认证凭据(如令牌密钥)、手机号、邮箱等。支持手动创建、离线导入、在线同步等方式创建用户信息,支持用户与强认证因素绑定,并进行用户-帐号的实体级访问授权,当用户使用授权帐号登录资源时,将采用与用户绑定的强认证因素进行强身份认证。口令策略:支持用户口
212、���令策略和资源口令策略设置,提升用户密码和账号密码安全,并定期自动更新密码,避免弱口令存在。账号稽核:支持对纳管的资源账号进行稽核,发现僵尸账号、幽灵账号、异常登录账号等,并及时删除或停用。数据库审计系统是针对数据库操作行为进行细粒度审计,将源数据提取转换和同步整合给目标数据的能力的管理系统。它通过各类数据库访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部行为监管、促进核心资产的正常运营。通过对运维人员数据库访问、操作进行记录,对高危敏感操作及时告警,及时发现安全事件,并进行溯源追踪。6.2.2.5.数据库审计通
213、过静态脱敏,形成脱敏库,防止开发测试人员直接访问敏感数据库;识别功能:DBMasking内置姓名、手机号码、身份证号码、地址、银行卡、公司名称、工作单位、固定电话、存折账号、������邮编、电子邮箱、护照号码、营业执照号码等内容的6.2.2.6.数据库静态脱敏数据安全体系【数据绿洲】建设指南数据安全解决方案总册141自动识别算法,无需人工即可自动识别。通过分布式样本采集获取完整的样本数据,并采用深度扫描技术,对于用户数据中常见的复合类型数据,如中文姓名+公司名称、身份证+组织机构代码、手机+座机等敏感数据类型,DBMasking也能自动、准确的发现。脱敏功能:内置大量国通用的的敏感数据模型的漂白规则与算
214、法。不仅可以设定被脱敏数据表的范围,还可以灵活自定义的漂白算法,如针对姓名、身份证号码、地址等类型特有的�������漂白算法:身份证漂白后同时保持部分数据特性,如年龄阶段、性别、所在地区等。能保证脱敏结果的唯一性,保证数据脱敏前后的关联关系并且可以保证脱敏之后字段间的运算关系。异构功能:产品支持各类数据库之间的异构脱敏,如从Oracle数据库脱敏到mysql数据库。整个过程无需操作人员进行任何额外操作,全自动化将字段类型进行映射和转换。通过使用DBMasking数据异构功能以在不同类型的关系数据库间复制数据,从而帮助导出并装载脱敏数据,避�������免手工在不同数据库之间进行卸装和装入,DBMasking异构将使得不
����2��������15、同类型数据库之间的数据抽取和脱敏工作变得更加容易和便捷。审批功能:产品具备详细的用户角色和权限分级管理,可以针对不同角色、不同用户、不同资源进行权限设置,在生产数据库提取数据、自动发现数据中的敏感信息、对敏感信息进行转换变形、脱敏后的数据回写到测试数据库的各个流程阶段的每个关键节点都引入了分级审批、审核的机制。监控功能:产品可随时察看各种脱敏任务的进度和状态,并可根据需要随时暂停或终止正在运行的任务和作业,并且对其所管理的生产数据库、测试数据库的连通性、可用性具备监控和展现的功能。数据安全体系【数据绿洲】建设指南数据防泄露(DLP)。它可以帮助管理者了解:敏感数据在哪里?被如何使用?有没有泄密
216、风险?帮您发现、�������监控并且保护企业敏感信息,包括:事前预警:通过每日呈现的曲线图,提示安全人员应该关注的异常事件;事中阻断:如果设置阻断泄密操作,可以中止用户的泄密操作;事后追查:通过分析文件内容、拥有者、流转过程追溯泄密源头。主要功能包括:1.终端敏感文件扫描2.敏感信息外发管控3.文件审核4.敏感外发告警5.敏感文件外发上传备份6.屏幕水印6.2.�����2.7.DLP6.3.业务访问安全场景数据安全解决方案总册142如有失败的任务或者不能连通的资源,在创建任务或查看资源状态时系统将给予用户提示。另外产品还具备对自身CPU、内存、进程、任务异常状态的检测和通知功能。数据安全体系【数据绿洲】建设指南数
217、据安全解����决方案总册143随着信息化不断发展,会建设各种应用系统来方便企业管理和承载企业业务,而应用系统的推广使用,虽然方便了企业管理,但也存在问题,每个应用系统都有自己的一套应用帐号,对帐号的新建、修改、授权、删除等一系列操作都需要在不同应用上操作完成,管理工作十分不便;另外,对用户而言,在使用多个应用系统时,需要记忆多个应������用帐号和密码,为了便于使用和记忆,用户可能会将这些帐号和密码记录在醒目的地方提醒自己,亦或者干脆将所有应用帐号设置同一个密码方便记忆,使得这些应用帐号容易被他人窃取盗用,由此导致应用帐号安全隐患。与应用帐号管理一样,各个应用系统都会有自己的一套帐号认证体系,有的可能只有静态
218、密码,有的可能还要短信认证,有的或者是动态口令认证等等,那么在实际管理中,则会带来诸多不便,对管理员而言,在新建应用帐号时需要根据当前应用系统认证方式去收集相关信息,工作量不小。在应用系统中,除了应用帐号之外,使用比较频繁的应该就是权限管理了,对于不同应用帐号要进行不同访问操作权限的配置与关联,�������单个应用系统尚觉繁杂,更别说每个应用系统还各自一套,工作量可想而知;此外,对于个别应用系统可能还根本就没有权限控制或者权限������控制不够细,从而导致应用帐号访问应用系统时无权限划分一路畅通,亦或者权限划分不够精细,产生混乱,可能会出现低权限应用帐号能访问到高权限的菜单,或者高权限的应用帐号无法访问自己想看的页
219、面等情况。在日常工作中,难以避免会出现用户所查询的信息是敏感数据,粗暴控制不允许查询,可能会影响该用户工作;完全放开不做处理,又会担心敏感数据泄露;同样,在对外数据传递中,敏感数据防护更为重要,如果没�������有有效地数据防护手段,那么企业敏感数据就会在查询和传递中被别人一览无余,存在数据泄露安全风险。应用访问操作日志保存于各个应用系统中,管理员想要看某个应用日志只能登陆到该应用上去进行查询,操作十分不便。数据安全体系【数据绿洲】建设指南因应用系统分散管理带来诸多不便与问题,所以现在越来越多的企业希望通过建设统一平台来对所有应用系统进行管理,但与主机数据库不同,应用系统没有统一接入标准,因此在应用接入时
220、并不如主机数据库一样方便,应用接入现状如下:接口不统一工作量大企业中有多个应用系统,各应用系统对接要求并不统一,这就需要统一平台根据不同应用系统去定制开发,需要和每个应用进行详细接口沟通,工作量大,开发周期长,并且当有新的应用系统建设后,还得重新来过,无法通用;后续接口维护也需要持续投入。应用侧涉及改造在定制开发过程中,应用侧也会涉及到一定的改造,但��������不是每个应用系统都愿意配合改造,比如涉及到核心业务时,牵一发而动全身,应用改造成本太大;比如一些老的应用系统,年久失修,已经没有厂商人员维护,更没有人来配合改造接入;面对这一类应用系统,定制开发也束手无策。投入大成本高周期长对企业而言,应用定制接入
221、需要投入大量人力成本和物力成本,应用侧和平台侧需要沟通协调,联调测试需要安排部署,整个应用接入定制开发周期长。6.3.�����1.安全风险6.3.2.解决方案6.3.2.1.应用安全管控数据安全解决方案总册144数据安全体系【数据绿洲】建设指南统一用户管理和身份认证:在系统中上,每个用户对应一个帐号,实现用户集中管理。通过用��������户和应用系统之间建立授权关系实现应用系统的访问控制。ASCG作为登录入口,用户需要先访问应用安全管控平台再单点登录应用系统。用户的强身份认证在ASCG实现,避免每个应用系统为实现强身份认证而进行改造,用户录入方式支持手工录入或批量导入用户信息。单点登录:提供统一的登录入口,用户只需
222、登录ASCG,就可以访问多个应用系统;单点登录应用系统采用与访问授权相结合方式进行,用户登录天玥ASCG后,只能够访问已获得管理授权的目标。单点登录能够有效地提高运维人员的工作效率,运维人员无需记忆繁多的应用系统URL、应用帐号、密码信息,而只需要记住自己的ASCG帐号、密码即可。多种强认证方式:天玥ASCG支持通过实体级授权实现用户可以单点访问各个应用系统,简化����操作;并支持多种强身份证认������证手段,提升帐号安全性,如:静态密码+短信或动态口令。访问授权:支持实体级授权和角色授权两种方式实现应用系统访问控制。实体级授权采用自主注册授权与管理员授权相结合的方式,控制用户只能访问已授权的应用系统;角色
223、授权通过建立“用户-角色-权限”的关联,实现对用户访问应用系统操作进行细粒度的控制。页面访问控制:实现应用系统细粒度的权限控制。在应用系统中,每一个操作对应的就是一个URL,ASCG支持基于应用系统URL进行用户访问操作控制,并支持对应用������系统创建应用角色,角色中可配置多种策略,以实现不同角色具有不同权限的目的,再基于“权限-角色-用户”关联关系,最终将权限与用户进行关联,实现用户访问控制。数据安全解决方案总册145数据安全体系【数据绿洲】建设指南6.3.2.2.4A统一安全管控帐号管理:统一安全管控平台支持统一帐号管理,集中维护包括自然人帐号(主帐号)数据安全防护:在日常应用系统访问操作过程中
224、,由于应用系统自身的权限控制力度不够或者根本就没有权限控制,导致用户访问应用系��������统时能看到部分权限之外的敏感数据,从而产生数据泄露的风险;ASCG支持在对应用系统访问过程中,针对指定的�������URL,对不同的用户进行不同的控制,如实时脱敏和背景水印,进一步保障应用系统的数据安全。可扩充对接自研文档管控系统实现以下功能:对通过天玥ASCG访问的应用系统,当点击页面下载按钮时,ASCG可强制将文档下载至文档管控服务器分配个人文件夹中,禁止直接下载到用户本地终端。文档管控系统对保存在个人文件夹中的文档,提供在线文档下载审批功能。文档管控系统提供以下功能:当用户需要将文档从个人文件夹中下载到用户本地终端时,需要
225、进行审批,文档管控系统提供完整的审批流程,并记录详细的日志,为文档的流转提供查询。针对已经从用户个人文件������夹中的文档下载到用户终端后,也提供离线文档管控功能,包括是否允许复制、是否允许打印,同时可强制添加水印显示,确保文档离线后的数据流转安全,可追溯������。支持office(2007及以上版本)和wps等文档工具,支持多种文档格式,包括doc、docx、xlsx、pdf等office格式数据安全解决方案总册146数据安全体系【数据绿洲】建设指南和资源帐号(从帐号)在内的全部帐号以及相关的帐号属性。强身份认证:提供了集中的强身份认证系统,根据访问对象由认证功能模块来提供强认证服务。用户在访问受保护的系统
226、之前,首先经过身份认证系统识别身份,然后根据用户的身份和������授权,决定用户是否能够访问某个资源。资源单点登录�����:自然人使用主帐号经过身份识别认证通过后,进入资源访问页面,在自然人进行访问被授权的资源时,无需再次手工输入帐号、密码等信息,在认证模块的SSO功能支持下,直接进入目标资源,实现资源单点登录。系统支持系统资源和业务资源的单点登录。系统资源:对于设备(主机、数据库、网络安全设备)单点登录,先通过强认证方式登录管控平台门户,然后采用密码代填方式登录设备。业务资源:票据方式:通过平台到应用系统采用安全加密的Token票据方式实现单点登录认证,此种方式安全、高效,需要应用系统配合调整。参数代填方式:
227、通过平台通过表单提交等方式代填应用系统帐号密码,从而实现应用的单点登录,此种方式实现简单、便利。资产管理:可以对的多种资产进行统一管控,如主机、数据库、交换机、应用系统等,资产管理内容包含以下几部分:资产属性管理:资产属性信息、登录协议、资产帐��������号等进行统一管理;数据安全解决方案总册147数据安全体系【数据绿洲】建设指南资产帐号采集:可将资源侧帐号采集至4A企业版进行保存(应用资源需适配接口实现);资源帐号推送:在4A企业版上新建资源帐号并推送至资源侧(应用资源需适配接口实现);帐号自动改密:通过实现周期性地对资源帐号进行改密操作(应用资源需适配接口实现)。分权分域管理:支持分权分域管理,所谓分
228、权分域,首先是可以进行多级管理,父级管理员可以管理子级及子级往下的用户、资源、授权等内容,并可以指定下级组织管理员及可以具备的管理功能权限。而分域管理则是指平级之间,可以设置不同管理员,管理不同区域内的用户、资源、授权等信息。帐号稽核:对系统资源帐号状态和类型进行稽核,稽核帐号是否锁定,稽核帐号是什么类型,如管理帐号、普通帐号、僵尸帐号、孤儿帐号。金库功能:支持指令金库和业务金库,指令金库是指对指令进行金库策略配置,当运维人员操作对应命令时,即可触�����发金库;业务金库分为帐号登录和用户委托授权两种触发方式,帐号登录是指用户使用特权从帐号(例如root、sys等)登录系统时触发金库,用户委托授权是指
229、用户将自己所具备的访问权限委托给其他用户时触发金库。用户/授权自服务:工单管理主要以实现4A自身业务流程化管理为主,提供用户自服务通道,降低管理员工作量。一致性稽核:支持对系统资源侧帐号和4A侧帐号情况进行稽核,通过对比显示差异,如系统资源侧有而4A侧没有的帐号,可通过帐号采集将缺少的帐号采集到4A上。如4A侧有而系统资源侧没有的帐号,可通过帐号推送将缺少的帐号推送到资源上。数据安全解决方案总册148数据安全体系【数据绿洲】建设指南6.3.2.3.业务访问管控业务访问管控主要通过4A平台实现对应用系统的集中统一管理,实现用户单点登录应用系统、增强双因认证、控制用户访问操作、增强数据安全防护。����单
230、点登录:4A平台提供统一的登录入口,用户可以通过4A平台访问应用系统。应用资源单点登录采用与访问授权相结合方式进行,用户登录4A平台后,只能够访问已获得管理授权的目标。单点登录能够������有效地提高运维人员的工作效率,运维人员无需记忆繁多的应用系统登录地址、应用帐号、密码信息,而只需要记住自己的4A平台的帐号、密码即可。页面访问控制:4A应用管控组件可实现应用系统细粒度的权限控制。在应用系统中,每一个操作对应的就是一个URL,支持基于应用系统URL进行用户访问操作控制,并支持对应用系统创建应用角色,角色中可配置多种策略,以实现不同角色具有不同权限的目的,�����再基于“权限-角色-用户”关联关系,最终将权限与
231、用户进行关联,实现用户访问控制。页面实时脱敏:4A应用管控组件支持应用系统访问操作实时脱敏,可按用户所具备的不同访问权限,对应用系统������页面展示的敏感数据实现不同层次的遮罩,比如低权限用户查询页面中的敏感信息将被*代替显示;确保用户只能看到自己权限范围内的数据信息;自己权限范围外的敏感数据即使被查询出来,也是展示经过脱敏处理后的结果,提升企业数据的安全性。页面背景水印:4A应用管控组件支持对应用系统指定的URL进行背景水印显示,并可密码托管:将纳入管理的所有的应用资源和系统资源的从帐号/密码进行统一集中管理,并且可以制定相应的密码策略,包括密码复杂程度、定期改密策略等,并下发至密码策略模块执行,以
232、保护资源帐号的安全性。数据安全解决方案总册149数据安全体系【数据绿洲】建设指南6.3.2.4.系统运维管控系统运维管控是对���服务器、数据库、防火墙、交换机等终端的运维管控,可以通过运维管控来实现如单点登录、身份认证、操作审计、实时监控、二次审批、密码管理等功能。运维管控是一种管控和审计运维人员操作的网络安全设备。管理员可以使用运维管控控制运维人员能运维哪些设备,执行哪些操作命令,避免运维人员非法或无意执行高危操作,并对运维人员的操作进行实时监控和事后审计。运维人员通过运维管控做运维,不必记录设备的ip地址、用户名、口令等信息,也避免这些敏感信息的泄露,极大地方便了运维工作,提升运维效率。运维管
233、控对整个运维过程从事前预防、事中控制和事后审计进行全程参与。单点登录:运维用户只需经过一次认证,就可以直接访问多种目标设备。单点登录系统采用与访问授权相结合方式进行,用户登录运维管控后,只能够访问已获得管理授权的目标设备。单点登录功能能够有效地提高运维人员的工作效率,运维人员无需记忆繁多的���������目标服务器IP、账号、密码信息,而只需要记住自己的运维管控账号、密码即可。身份认证:在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。运维管控为每一个运维人员创建唯一的运维账号(主账号),运维账号是获取目标设备访问�������权利的唯一账号
234、,进行运维操作时,所有设备账号(从账号)均与主账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户根据用户关联的角色决定是否显示水印。水印显示内容默认为“用户-时间”,也支持用户自定义水印显示内容及水印样式,如水印大小、颜色、数量、透明�����度等。数据安全解决方案总册150数据安全体系【数据绿洲】建设指南身份的缺陷,有效解决账号共用问题。操作审计:运维管控能够对运维人员登录目标设备上进行的操作进行全程记录,包括字符协议(SSH、TELNET)、文件传输协议(FTP、SFTP)、数据库协议的所有操作命令的完整详细记录,图形协议(RDP、VNC
235、)的完整操作图形记录。实时监控:对于所有远程访问目标主机的会话连接,运维管控均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员可以随时手工中断违规操作会话。二次审批:运维管控支持根据需求�����对特殊指令操作进行二次审批功能,运维人员操作过程中触发命令策略,需要得到管理员的审批后才能继续执行后续操作。该功能可以进一步加强对第三方人员操作的控制力度。告警与阻断:运维管控支持根据已设定的访问控制策略,自动检测日常运维过程中������发生的越权访问、违规操作等安全事件,系统能够根据预设规则进行自动的告警或阻断违规的操作行为。阻断指令黑名单的操作行为。阻断方式支持:断开
236、会话、忽略指令。告警方式支持:以SYSLOG、邮件、SNMP实时发送告警信息。敏感发现:在数据库日常运维过程中,运维人员不可避免地会接触到核心敏感数据,如不加以管控,一旦发生敏感数据泄露,将给企业带来巨大的损失,更重要的是会极大地影响企业的信誉。所以,如何保证敏感数据安全已经成为企业信息化过程中必须要面对的一个重要问题。数据安全解决方案总册151数据安全体系【数据绿洲】建设指南在数据使用过程中,都有数据导出或数据下载的场景,让数据直接下载到用户终端而没有任何管控存在数据泄露��������风险。数据下载管控提出实现数据“零”下载,所谓“零”下载是针对用户终端而言,数据下载管控会为每个用户提供个人文件夹,保存从
237、数据库导出或从应用下载的数据,避免直接下载到用户终端。文档管控基于DataServer实现对用户业务通道和运维通道生成的文档和录像文件提供网络存储,避免用户直接下载到本地产生泄露风险,同时在文档上传下载过程中,支持断点续传功能,保证文档传输的连续性。在线管控:可提供网络存储功能,为每个用户分配������个人文件夹,当用户通过远程工具访问资源生成数据时,可直接将文档保存至个人文件夹中,也可将用户终端的文档直接上传�����至个人文件夹中,避免资源-终端文档直接交互。在个人文件夹中的文档可进行在线预览、在线编辑、在线添加水印,并且支持在线新建6.3.2.5.文档管控要保护敏感数据,首先需要知道敏感数据在哪,4A统一安
238、全管控平台支持自动发现并展示数据库中的敏感信息,为敏感数据管控提供依据。动态脱敏:当明确了数据库中存在哪些敏感数据以及敏感数据分布的情况后,需要进一步实现管控,4A统一安全管控平台支持对数据库运维过程中的访问操作进行实时脱敏,既不影响运维人员正�����常使用,亦可根据运维人员权限限制敏感数据随意查询,从源头遏制运维通道的敏感数据泄露。数据库运维实时脱敏无需在数据库资源中安装插件,不改变数据库原始数据结构及内容,仅对数据库运维过程进行控制,真正做到对数据库零改造�������、零影响。数据安全解决方案总册152数据安全体系【数据绿洲】建设指南随着API的盛行,数据泄露事件也随之而来,最近,研究机构就API安全相关问题
239、针对IT决策者进行了调查研究。研究结果表明,因自身A����P�����I环境安全问题而导致新应用和服务增强延迟发布的问题,几乎所有企业(97%)都经历过。近半数受访企业(44%)表示,曾经经历过涉数据泄露和隐私信息暴露的重大API安全问题。6.4.数据流转监测场景有数据透出的页面和接口,黑灰产会研究更多的数据攻防手段,如伪脱敏识别,关联还原脱敏数据,API越权攻击,撞库等,即使只是供内部合法用户使用的业务应用,也面临着很多数据安全的风险:如内部人员可以通过业务违规操作篡改数据,达到牟利的目的(修改分数或记录);终端数据窃取,数据广泛的使用使得很多内部员工因为工作需要可以接触到数据,终端或网络层的DLP从技术角
240、度而言是比较容易被攻击者对抗的,即使能对抗,但在应用层,有权限的用户对数据是所见即所得的,并不一定需要下载到终端上才能作案,通过拍照,打印,手动记录,小批量但敏感的数据就能绕过目前所有的防御措施。6.4.1.安全风险文件夹,在线文档分发、本地文件上传和在线文档下载等功能。针对个人文件夹中的文档下载将提供完整的审批流程,并记录详细的日志,为文档的流转提供查询依据。离线管控:当用户个人文件夹中的文档下载到用户终端后,提供离线文档管控功能,包括是否允许复制、是否允许打印,同时可强制添加水印显示,确保文档离线后的数据安全。下载管理:提供数据下载统一管理流程,形成下载日志,������方便日后追溯。数据安全解决方案
241、总册153数据安全体系【数据绿洲】建设指南在构建企业全业务数据安全保障技术体系中,发现API的安全风险因素有如下两类:外部威胁:(1)API 漏洞导致数据被非法获取;(2)API 成为外部网络攻击的重�������要目标(API 是信息系统与外部交互的主要渠道);(3)合作第三方非法留存接口数据;(4)API 请求参数易被非法篡改。内部威胁:(1)未脱敏数据在传输至前端时,如被接收方终端缓存,也可能导致敏感数据暴露;(2)API 缺乏有效的返回数据筛选机制,可能由于返回数据类型过多、数据量过大等因素形成安全隐患;(3)异常访问行为通常指非工作时间访问、访问频次超出业务需要。API接口监测(ASCG-API)
242、,面向应用API接口,通过旁路捕获网络数据进行协议还原、过滤,驱动数据安全风险引擎,对接口数据流转环节进行关联分析,实现数据敏感信息传输、数据过度暴露或违规风险、异常行为进行监测,以确保日常数据处理活动的安全、合规。6.4.2.解决方案6.4.2.1.API接口监测数据安全解决方案总册154数据安全体系【数据绿洲】建设指南ASCG-API帮助安全管理员针对API在事前梳理与管理,事中分析与监测,����事后追溯与调查周期内持续提供异常访问行为、数据暴露面风险监测,实时监控数据流向的机制关键业务梳理:通过API文件建立API访问主体清单,并进行可视化管理;通过API流量识别敏感数据暴露面,避免安全管理盲
243、区,降低数据泄露和合规风险。告别开发人员报������备式的清单,往往客户不清楚自身的API接口到底有哪些访问关系,只能给出初步的清单,而API接口随着业务的快速迭代,呈现动态化,不是一层不变的,那么也就意味着“风险暴露面”并不清晰,ASCG-API解决API梳理问题,以可视的角度呈现API互联关系。行为异常监测:以API访问主体及其访问行为为监测对象,通过匹配具体的工作时间、时间单位设置访问页面/接口的阈值规则,监测其行为异常,输出对应的监测日志。例如,设置监测时间规则的工作时间为每天08:00-18:00,代表访问API接口行为的预期为此时间段,如果监测日志发现在非工作时间以外进行了访问行为,监测日志
244、将进行标记。数据合规监测:业务数据往往承载了敏感信息,如电话号码,身份证,家庭住址等,对外传输数据时,常见的风险包括,传输了不允许传输的敏感数据、对外传输或外部请求数据时返回数据量超过规定。ASCG-API以API访问主体及其访问数据为监测对象,1、通过敏感数据�����识别规则比�����对方式,监测、识别分析敏感数据未经脱敏处理直接通过明文在业务系统、Web前台进行传输的场景;2、通过内置违法违规关键字监测引擎,监测返回数据中是否存在的违规数据;3、通过解析API会话,统计会话返回数据,与预设阈值进行比对,标记返回数据量过大的日志。数据安全解决方案总册155数据安全体系【数据绿洲】建设指南对外接口管控:DSM
245、P对外接口管控中心通过HTTP协议解析,还原HTTP事件请求和返回内容,可记录操作后的页面返回信息。通过建立API接口清单并识别敏感数据暴露面,避免安全管理盲区,降低数据泄露和合规风险。数据风险监测:风险评估分析模块是指通过对数据相关事件内容进行集中分析,包含:日志采集、日志范式化、人物行为画像分析、数据流转地图、数据泄露行为分析建模、数据异常行为告警、数据风险展示、数据日志展示、数据多维度查询多个功能。日志采集:对敏感数据操作相关行为进行集中收集和存储。数据安全管控平台通过接口采集各种不同数��据安全类设备产生的日志,采集的方式包括:SyslogODBCFTP定制接口等日志范式化:对于所有采集上
246、来的日志,系统自动进行范式化处理,将各种类型的日志格式转换成统一的格式。系统提供的范式化字段包括日志接收时间、日志产生时间、用户名6.4.2.2.DSMP平台监测追溯取证分析:对API�������接口业务行为进行记录,方便企业管理人员进行查询。支持记录访问API接口/页面的日志,包括:访问源地址,访问源名称,被访页面/接口地址,被访问应用名称,目的地址,访问时间,返回数据等。数据安全解决方案总册156数据安全体系【数据绿洲】建设指南称、源地址、敏感数据表或文件、操作、目的地址、目的端口、日志的事件名称、设备地址、设备名称、设备类型等。(根据网络DLP、终端DLP、数据库审计、数据库防火墙、堡垒机、动态脱敏
247、、加密的日志考虑)人物画像:通过建立人员行为基线,针对人员基���������于数据访问建立行为“画像”。数据流转分析:以数据为中心基于时间轴展现数据的相关行为,包括用户运维操作行为、业务访问行为、终端操作行为。基于时间节点,对数据的流转行为进行刻画。数据访问异常:数据访问异常是根据人员画像为支撑,对敏感数据的访问行为进行异常访问分析,对异常行为进行告警和展示。数据泄露建模:敏感数据泄露事件分�����析场景的创建及展示是对数据泄露检测的结果数据进行多维度统计分析,数据来源异常访问、暴力破解、越权访问、高风险指令、高频访问、敏感数据外发等。水印管理:水印管理包括文档水印管理、页面水印管理和数字水印管理,为数据泄露溯源提供
248、支撑。文档水印管理支持PDF、Word、EXCEL文档的水印标识������能力,水印包括访问时间、使用人员等。页面水印管理对页面进行水印标识能力,水印包括访问时间、访问人员、人员所在单位等。数字水印管理数字水印管理是对数据进行水印标识,支持伪行伪列、不可见字符、数据指纹。数据安全解决方案总册157数据安全体系【数据绿洲】建设指南数据溯源:数据溯源是对数据泄露的源头进行定位。数据溯源指的是基于数据水印和数据指纹技术,对共享出去的数据加水印或做指纹留存,一旦发生数据泄露,可以基于泄露的数据进行数据溯源,追溯数据泄露的源头。数据安全解决方案总册158随着计算机网络的不断发展和普及,信息安全问题日益突出。各单位
249、在构建信息网络时,都非常重视网络安全问题,如建立网络防火墙和入侵检测等防护系统。但是,对数据的核心部分数据库本身的安全,却没有引起足够的重视。数据库系统担负着存储和管理信息的任务,集中存放着大量敏感数据,而且又为众多用户直接共享。泄露或破坏这些信息非常容易�������,而一旦这些信息被泄露或破坏将会造成企业瘫痪,给国家带来巨大的损失,甚至危及国家安全,所以必须要采取适当的措施进行数据库内数据的防护。事实证明,保证数据安全性的最好方法之一是数据加密。欧美国家虽然提供了一些加密产品,但很难保证其中没有陷阱和后门。现在流行的大型数据库系统,虽然提供了一些安全技术,包括数据库加密,能够满足一般性的数据库应用需求。
250、但对稍高一些的安全需求,它们提供的安全技术还是不够完备的。因此,为了企事业单位、政府甚至是国家的安全,研发安全、可靠的数据库加密系统已迫在眉睫。6.5.数据库存储加密场景内部访问风险6.5.1.安全风险数据安全体系【数据绿洲】建设指南有70%的数据库威胁是来自内部,如DBA、数据库开发人员、操作人员等;容易出现权限滥用、误操作、弱口令等问题,给管理带来了很大困难,更加无法进行有效的记录和预警。外部访问风险有30%的数据库威胁是来自外部,互联网访问者、外包人��������员通过互联网途径访问�������;容易出现越权操作、恶意访问、账号密码泄露等问题。甚至容易被黑客攻击,如SQL注入、零日攻击等,同样给管理带来了很大的难
251、度。传统安全防护手段的缺陷面对外部访问威胁,通常的做法是利用传统的安全系统进行防护,如防火墙、IPS、IDS等,但是面对诸如SQL注入、零日攻击等威胁,常常束手无策。面对内部访问威胁,传统安全系统也无法有�������效控制或记录数据库产生的风险。如何����满足合规要求目前国内、国际的很多标准、法案法规都要求相关组织单位建设安全的数据库加密系统网络安全法:要求采取数据分类、重要数据备份和加密等措施。互联网:工业和信息化部关于近期部分互联网站信息泄漏事件的通告,要求各互联网站采用加密方式存储用户信息。等级保护:要求三级以上系统应采用加密或其他有效措施;实现系统管理数据、鉴别信息和重要业务数据存储保密性。分级保护:要
252、求系统内的涉密信息存储应采取密码措施进行保护;数据库应采用安全加强措施。数据安全解决方案总册159数据安全体系【数据绿洲】建设指南数据库加密产品基于透明加密或网关加密技术,可以对数据库中的敏感数据进行密文存储、访问控制,有效防止数据库管理员越权访问敏感数据、数据存储介质遗失、被盗、黑客拖库等极端事件而造成的数据泄密。6.5.2.解决方案数据源管理:数据源管理主要用于对数据源的配置和表的导入,包括添加数据源、删除数据源、修改数据源、测试连接、安装安全代理、卸载安全代理、导入�����表、删除表和同步用户功能。加解密:加密功能勾选表����中需要加密的列,选择加密算法、秘钥长度和加密方式对数据进行加密,没有权限的用
253、户无法对加密的数据进行增删改查。解密功能可以对不需要加密的数据进行解密授权:提供针对加密的数据进行权限控制,限制部分用户����的增删改查操作,对访问的客户端的程序、IP、时间、星期进行限制。备份与恢复:对备份功能可以选择手动导出和配置自动本地导出、自动FTP导出的方式将关键数据和配置信息进行打包导出,作为备份,导出信息栏中会增加备份文件的描述、导出时间、导出类型和文件。审计管理:审计功能记录各用户进行登入、登出、加密、解密、客户端授权、用户授权操作的具体信息,可以使用用户名称、操作类型、起止时间对审计日志进行筛选。秘钥轮换配置:配置一个秘钥轮换周期,当秘钥未被操作时间达到周期长度时,秘钥会6.5.2
254、.1.数据库加密数据安全解决方案总册160数据安全体系【数据绿洲】建设指南自动更换,秘�����钥更换会对加密表重新进行加解密。近年来各地政府、企业持续推进数据共享交换建设,提升数据最大化利用价值,目前数据共享在政府、企业、金融、高校等多个领域被提及,渗透企业生产、居民生活等各个领域,比如在新冠疫情期间,各地健康码数据互通就给疫�����情防控及我们的日常生活带来了极大便利。而在共享过程中,敏感数据安全,已然成为各组织机构的重要课题。6.6.数据共享安全场景随着各行业相关的规范不断推进,对接口安全性,业务高时效性、大并发量需求的不断增加,原有边界的数据库同步、文件同步性能无法满足新业务的需求,需要结合单位所在行业
255、的安全思路及业力接口要求,需要满足边界接入平台上的安全与高效的数据交换要求。同时要求满足交换速度快、支持接口种类丰富,并对于第三方接口可控、简便的接口数据库封装接口、接口数据查询反馈有详细日志记录,可以方便的事后回溯。支持访问异常控制,当发������生异常访问时可以报警或阻断异常访问、增强业务发布后的接口安全性。一、数据分类分级服务数据分类分级是数据安全治理的基础,对共享数据按照分类分级标准进行分类分级,来6.6.1.安全风险6.6.2.解决方案6.6.2.1.数据分类分级服务及工具数据安全解决方案总册161数据安全体系【数据绿洲】建设指南规范哪些数据共享给哪些单位,不同级别及类别数据执行不同的审批流程
256、,来确保数据共享流程的规范性。数据分类:可按照数据来源、数据使用方、数据管理者、数据功能等方式进行分类;数据分级:数据级别最少分3级,可根据实际情况进行级别扩充;数据分类分级应依托监管要求、行业标准,在结合自身情况制定数据分类分级指南,按照指南进行分类分级的具体实施。二、数据分类分级工具数据源统一管理:数据分类分级与风险合规系统能自动发现、手动配置和外部导入方式发现数据源,对不同存储位置、不同数据类型的数据源进行统一管理。自动发现:基于网络探测、文件扫描、端口扫描等技术进������行周期性探测,探测网络中存活的数据源,采集数据源的IP、端口、类型和版本等基础信息。手动配置:支持手动添加数据源,可配置信息
257、包括数据源IP、DNS、端口或云账号登录认证等基础信息。外部导入:支持批量导入数据源信息,减少人工配置的工作量。数据源类型丰富:数据分类分级与风险合规系统能识别不同类型的数据源,包括数据库、大数据组件和各种文件类型等。数据库:支持oracle、mysql、sqlserver、sybase、db2、postgresql(9.3.6、10)、informix、MariaDB、R�������DS、MongoDB、达梦、Gbase、TeleDB等类型。大数据组件:支持Hive、Hbase、ODPS、ElasticSearch等组件。数据安全解决方案总册162数据安全体系【数据绿洲】建设指南文件:支持doc、doc
258、x、xls、xlsx、ppt、pptx、rtf、pdf、txt、html、xml、C/C+、perl、shell等文件类型;支持rar、zip、tar、gzip、7z等压缩包类型;支持sequencefil�����e、textfile、rcfile、orc、parquet等HDFS相关文件。数据分类分级知识库:数据分类分级知识库实现不同行业的分类分级规范的管理,包括分级策略、分类策略、分级与分类关联配置、分类与数据类型关联关系的配置管理。分类分级知识库内置运营商、政务、金融和工信部等分类分级规范,预先内置数据分类分级标准模板,支持数据分类分级标准模板进行调用和修改,同时支持新模板的统一导入。智能数据������分
259、类分级:数据�������分类分级与风险合规系统内置机器学习,通过主动扫描与人工稽核相结合的方式,对数据库、大数据组件、文件服务器等数据源中的数据进行切片取样,利用敏感数据识别和分类分级模型,结合分类分级策略,识别定位敏感数据和重要数据,便于组织根据不同安全需求对数据资产进行差异化管控,辅助组织完成数据分类分级建设。安全合规检查:系统内置数据安全能力成熟度模型(三级)、中国电信数据安全合规性评估标准等合规检查标准,可自定义适用于企业的数据安全合规检查模板。采用问卷调查方式,帮助客户系统地了解内部数据安全合规现状,为数据安全合规建设提供参考依据,合规检查结果做为数据安全风险评估的一个重要要素,综合考虑不合规导
260、致的普遍且重大的风险。数据安全风险评估:数据分类分级与风险合规系统综合数据源重要性、脆弱性和系统合规性三个维度评估系统的整体安全风险。支持即时、定时或周期性监测������数据源漏洞、弱口令和系统配置情况,结合数据源重要程度和合规检查结果,输出安全风险评估报告,并提供修复建议。多维度可视化:数据分类分级与风险合规系统包含数据源视图、敏感数据发现视图、数据风险视图和数据合规视图,从不同角度实现可视化。数据安全解决方案总册163数据安全体系【数据绿洲】建设指南数据源视图:呈现数据源的分布情况,包含数据源类型、数据源接入分布、数据存储情况等展示。敏感数据发现视图:可视化呈现数据分类分级结果。数据风险视图:可视化
261、呈现数据安全风险趋势、漏洞统计、弱口令统计和基线核查统计结果。数据合规视图:可视化呈现安全合规趋势数据安全解决方案总册164通过隐私计算服务提供的联邦学习、多方安全计算等数据安全保护技术,在保障数据隐私与合规的前提下,促进数据共享安全,实现“原始数据不出域、数据可用不可见”以及“数据使用可控可计量”等安全目标,有效避免数据泄露、数据滥用等安全问题。具体功能要点如下:隐私求交服务:对持有各自集合的多参与方来共同计算各有数据集合的交集�����运算。在协议交互的最后,一方或是多方得到正确的交集,而且不会得到交集以外任何其他方集合中的任何信息。隐匿查询服务:针对查询方向数据提供方查询信息,同时保护查询方的查询
262、意图和数据提供方的数据明细信息。联合统计服务:在保护各方数据隐私的�����前提下,利用多方数据进行联合统计分析。各方本地数据及算法参数对其他方和隐私计算平台保密,结果使用方只得到统计结果,得不����到任何其他信息。6.6.2.2.隐私计算数据安全体系【数据绿洲】建设指南联合建模服务:结合多方数据进行模型训练,支持联合建模的数据对齐、特征工程、模型训练、模型评估、推理预测等过程。结合密码安全协议,防止模型训练过程中泄密原始数据和模型梯度数据,优化计算策略和计算架构,提升联合建模的效率。数据安全解决方案总册165动态脱敏支持屏蔽、随机、仿真、置空四大类脱敏算法;支持敏感数据的自动发现,内置丰富的脱敏算法和敏感数
263、据类型;支持SQL语句的SQL重写、表名替换、关键字替换等功能。当需要脱敏的数据源支持SQL,使用重写SQL的方案实现动态脱敏。这种技术方案脱敏效率高,但是需要数据库支持UDF功能,使用场景具有一定的限制。当需������要脱敏的数据库为NOSQL数据库时,使用改写返回结果的方案实现动态脱敏。6.6.2.3.动态脱敏数据安全体系【数据绿洲】建设指南这种技术方案脱敏效率偏低,但是兼容性、适用场景更广。可支持大数据平台。数据安全解决方案总册166数据库水印系统是一款将水印标记嵌入到原始数据中,数据进行分发后能实现泄露数据溯源的产品,具有高隐蔽性、高易用性、高管理融合性等特点。通过系统外发数据行为流程化管理,对
264、数据外发行为事前数据发现梳理、自动生成水印、外发过程中嵌入水印、数据源追溯等功能,避免了内部人员外发数据泄露无法对事件追溯,提高了数据传递的安全性和可追溯能力。支持以下水印嵌入形式:原地嵌入水印伪列嵌入水印不可见字符嵌入水印6.6.2.4.数据水印API接口监测(A������SCG-API),面向应用API接口,通过旁路捕获网络数据进行协议还原、过滤,驱动数据安全风险引擎,对接口数据流转环节进行关联分析,实现数据敏感信息传输、数据过度暴露或违规风险、异常行为进行监测,以确保日常数据处理活动的安全、�����合规。ASCG-API帮助安全管理员针对API在事前梳理与管理,事中分析与监测,事后追溯与调查周期内持续提供
265、异常访问行为、数据暴露面风险监测,实时监控数据流向的机制。6.6.2.5.API接口监测数据安全体系【数据绿洲】建设指南关键业务梳理:通过API文件建立API访问主体清单,并进行可视化管理;通过API流量识别敏感数据暴露面,避免安全管理盲区,降低数据泄露和合规风险。告别开发人员报备式的清单,往往客户不清楚自身的API接口到底有哪些访问关系,只能给出初步的清单,而API接口随着业务的快速迭代,呈现动态化,不是一层不变的,那么也就意味着“风险暴露面”并不清晰,ASCG-AP�����I解决API梳理问题,以可视的角度呈现API互联关系。行为异常监测:以API访问主体及其访问行为为监测对象,通过匹配具体的工作
266、时间、时间单位设置访问页面/接口的阈值规则,监测其行为异常,输出对应的监测日志。例如,设置监测时间规则的工作时间为每天08:00-18:00,代表访问API接口行为的预期为此时间段,如果监测日志发现在非工作时间以外进行了访问行为,监测日志将进行标记。数据合规监测:业务数据往往承载了敏感信息,如电话号码,身份证,家庭住址等,对外传输数据时,常见的风险包括,传输了不允许传输的敏感数据、对外传输或外部请求数据时返回数据量超过规定。ASCG-API以API访问主体及其访问数据为监测对象,1、通过敏感数据识别规则比对方式,监测�����、识别分析敏感数据未经脱敏处理直接通过明文在业务系统、Web前台进行传输的场景
267、;2、通过内置违法违规关键字监测引擎,监测返回数据中是否存在的违规数据;3、通过解析API会话,统计会话返回数据,与预设阈值进行比对,标记返回数据量过大的日志。追溯取证分析:对�������API接口业务行为进行记录,方便企业管理人员进行查询。数据安全解决方案总册167数据安全体系【数据绿洲】建设指南统一注册:负责安全服务总线系统配置信息的注册,服务接口和服务请求方的注册、申请、授权,并进行服务资源目录发布;支持由通用数据服务接口配置生成的基础数据查询服务、Http请求服务和WSDL请求服务等,还支持各类业务应用提供的应用资源服务。服务目录:以服务资源共享应用为目的,按照公安服务资源目录编制规范要求,及时发
268、布和更新服务资源目录。接入适配:在应用接入方面,提供Rest、API等应用接入适配方法,便于服务请求方与服务总线对接。同时在API中根据于各类服务资源的标准规范,开发服务调用的适配器功能,实现各类服务资源快速访问的接入;在服务接口接入方面,支持WebSe�����rvie服务(SOAP协议),增加了Rest、Servlet等协议开发的服务。协议转换:不同的业务系统可能会使用不同的协议传递消息,平台提供不同的接口类型以适应不同的入口协议或者出口,协议转换由平台内部自行封装完成,不需原有接入系统做相关接口改造。该平台支持的协议包括WEBSE������RVICE、HTTP等。服务调度:服务调度主要通过代理访问模式实现,
269、即将服务请求发往服务接口所挂接的安全服务总线系统,由安全服务总线系统代理访问服务接口,并返回结果。服务代理:服务代理可通过标准的Web服务来实现,通过WSDL(一种WebService描述语言)描述,客户端可通过目录服务发现并实例化代理对象,通过代理对象调用响应的Web服务。服务代理主要包含三个方面:用户�������接口代理,服务发现代理,服务生成代理。6.6.2.6 安全服务总线支持记录访问API接口/页面的日志,包括:访问源地址,访问源名称,被访页面/接口地址,被访问应用名称,目的地址,访问时间,返回数据等。数据安全解决方案总册168数据安全体系【数据绿洲】建设指南服务路由:服务路由是安全服务总线系统
������270、基于内容路由的核心功能,安全服务总线系统接收到服务发起方的通过权限校验的服务请求后进行路由匹配,匹配成功后就开始处理该请求,并将服务响应结果传输给服务提供方系统。访问控制:对接入总线的服务请求方和服务接口的身份合法性进行验证,对服务请求方发出的请求进行权限检查,对于越权访问予以拒绝。访问控制可以是对应用层的权限审������查,也可以支持对访问发起用户的权限检查。数据安全解决方案总册169数据安全体系【数据绿洲】建设指南07数据安全解决方案总册170无锡市大数据管理局成立至今,为贯彻落实国家大数据发展体系要求,深度挖掘大数据价值,积极开展大数据治理业务,其信息基础设施达到国内领先水平、数据共享开放水平走在
271、全国前列。随着某城市新型智慧城市建设推进,基于数据共享和流程变革���的智慧城市管理服务不断投入运营,极大地提升了社会管理服务运行效率,但数据在整合共享过程中也面临众多安全风险:1、数据从四面八方汇总在一起,其中不乏大量敏感数据,集中的数据更容易成为攻击的目标;2、缺乏对内部人员业务访问权限的精细化管控,难免出现违规查询、导出,甚至是修改数据行为,给数据泄漏造成极大隐患;数据安全项目案例7.1.无锡市大数据管理局7.1.1.背景与需求数据安全体系【数据绿洲】建设指南针对以上情况,启明星辰专业技术团队进行了如下的建设方案。1、数据安全管理组织建设建立数据安全管理的组织架构,明确数据安全管理人员职责权限
272、及各个环节运行沟通协作机制。2、数据安全制度流程建设建立健全覆盖数据全生命周期的安全管理制度规范,使数据安全管理组织管理有规范可7.1.2.建设方案3、政务数据在各政府部门之间流动、共享和������交换,数据存在于数据域、业务域、交换域、终端域���������,数据交换各环节如果不协调一致,极易造成数据泄露。数据安全解决方案总册171数据安全体系【数据绿洲】建设指南循,有流程可依。3、数据安全管理平台建设建设覆盖数据安全管理全链条的数据安全管理平台,对数据安全操作行为进行有效管控,对数据安全信息进行研判、预警、展示和处置。4、数据安全技术体系建设规划大数据中心所有安全域,采用数据加解密系统、数据防泄露、数据堡垒等多种技
273、术和工具,全面建立大数据中心安全技术体系。建设成果如下图所示:5、建立数据安全运营体系数据安全解决方案总册172数据安全体系【数据绿洲】建设指南建立专业的数据安全运营队伍,借助数据安全管理������平台,配套数据梳理服务、安全分析服务、数据安全风险评估服务、数据安全体系咨询服务、数据安全售后服务,打造城市大数据中心数据安全的整体运营工作。数据安全解决方案总册1731、实现数据安全三个100%:敏感数据识别率100%、数据资源分类分级100%、敏感数据安全传输100%。2、建立了数据安全管理和运营体系,管理无死角,技术防得住。3、首个政务数据中心通过数据安全能力成熟度(DSMM)三级认证。7.1.3.建设
274、成果数据安全体系【数据绿洲】建设指南数据安全解决方案总册1747.2.智慧蓉城数据安全治理为贯彻落实习近平总书记“一流城市要有一流治理,要注重在科学化、精细化、智能化上下功夫��������”,以大运会保障为契机,以“智慧蓉城”运行中心建������设为切入点,成都市市委、市政府有关“智慧蓉城”建设的工作部署,加快推进城市运行“一网统管”建设,进一步推动超大型城市安全运行、服务完善、科学治理。以大运会保障为契机,以“智慧蓉城”运行中心建设为切入点,在2022年6月前,建成投用“智慧蓉城”运行中心,形成与“智慧蓉城”运行中心配套的政务值守、运行监测、风险预警和指挥调度管理体制,初步实现城市运行实时监测分析预警、突发事件高效
275、协同处置。7.2.1.背景与需求1、方案设计为实现智慧蓉城运行管理平台安全中心服务项目应明确目标,本项目内容主要包括安全基础设施服务、基础安全防护服务和数据安全治理服务等三大类内容:(1)安全基础设施服务通过打造一体化、开放性的威胁情报中心,实现对智慧蓉城基础安全防护节点(设备)的赋能,提升�����威胁识别�����预警能力;构建基于隐私计算技术的数据分析运用平台,促进智慧蓉城重要敏感业务数据高效流通。(2)基础安全防护服务主要包括API接口审计服务、全流量探针服务、APP评估及加固服务、威胁诱捕服务、零信任运维服务、红蓝对抗服务、安全检查服务、系统接入安全评7.2.2.建设方案数据安全体系【数据绿洲】建设指南
276、数据安全解决方案总册175估、安全培训、区块链平台安全监测、区块链风险评估和安全保障体系评估服务等内容。(3)数据安全治理服务主要包括数据安全管理体系建设服务、数据资产梳理服务、数据安全风险评估服务、数据访问权限稽查服务、数据�����安全策略管理服务、数据安全风�����险监测及告警服务、数据安全溯源分析服务、数据安全应急响应及处置服务。2、总体框架智慧蓉城网络安全运营保障中心采用“1+2+4+2+8”的安全架构模式,具体如下:数据安全体系【数据绿洲】建设指南1、数据安全合规保障7.2.3.建设成果数据安全解决方案总册176“1”表示构建一个以“智慧蓉城运行管理平台安全中心”为核心的新一代网络安全运营保障中枢,
277、通过本次项目将智慧蓉城网络安全综合防御能力和运营保障水平全面提升到一个新高度,形成智��������慧蓉城运行管理平台安全中心的综合立体防控体系;“2”表示面向智慧蓉城的业务系统、云平台、数据平台、网络平台等关键信息基础设施,以安全“高标准合规要求”和“业务风险挑战”为双轮驱动,积极推动等级保护、关键信息基础设施安全保护、数据安全保护以及密码应用安全保护等新制度、新标准、新规范、新要求的全面落实;“4”表示构建并完善“安全管理中心”、“威胁情报中心”、“数据安全治�����理平台”以及“密码基础设施”为核心的四大网络安全基础设施,不断增强威胁情报、数据安全治理以及商用密码基础应用安全能力,全面支撑赋能“基础安全防护体系
278、”和“数据安全治理体系”两大安全服务体系;“2”表示以“安全运营”为核心理念,通过“基础安全防护体系”和“数据安全治理体系”两大安全服务体系助力智慧蓉城全面完善并落实安全防护举措;“8”表示通过“基础安全防护体系”和“数据安全治理体系”两大安全服务体系全面提升智慧蓉城业务场景所需的“安全识别、安�����全防护、安全检测、安全分析、监测预警、追踪溯源、事件处置、快速恢复”八大能力,确保整体实现“实战化、体系化、常态化”的安全新理念以及“策略可统筹、场景可编排、资源可调度、资产可探查、事件可监控、风险可呈现、指标可量化、行为可稽核”的安全新目标。数据安全体系������【数据绿洲】建设指南数据安全解决方案总册177(
279、1)满足网络安全保障工作合规充分贴合智慧蓉城运行管理平台及配套支撑系统实际需要,按照中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法、关键信息基础设施安全保护条例、中华人民共和国密码法等法律法规合规要求,落实网络安全工作的同步规划同步设计同步使用,实现智慧蓉城配套设施基础安全。(2)提升系统安全保障能力基于系统平台的安全风险分析,从原有的基础安全的安全架构、合规防御,提升至积极防御和情报协同阶段;重点加强智�������慧蓉城数据安全治理,保障数据及隐私安全。(3)促进业务数据高校流通针对重要敏感政务数据,利用隐私计算、边缘计算等技术,实现重要敏感政务数据可用不可见,促进政务
280、数据高效流转,加快智慧蓉城运行管理平台及配套支撑系统应用步伐。2、解决数据共享场景安全智慧蓉城业务场景以智慧蓉城运行管理平台为中心,再细分为中间的融合服务平台、数据交换共享平台和物联感知平台,这三个中间平台直接为智慧蓉城运行管理平台提供数据及业务服务;各个系统平台关注的安全点各有侧重。其中数据交换共享平台关注数据共享安全和数据开放安全。在本项目中主要通过隐私计算手段解决数据共享安全。隐私求交服务:针对持有各自集合的多参与方来共同计算各有数据集合的交集运算。在协议交互的最后,一方或是多方得到正确的交集,而且不会得到交集以外任何其他方集合中的任何信息。隐匿查������询服务:针对查询方向数据提供方查询信息,
281、同时保护查询方的查询意图和数据数据安全体系【数据绿洲】建设指南数据安全解决方案总册178提供方的数据明细信息。联合统计服务:在保护各方数据隐私的前提下,利用多方数据进行联合统计分析。各方本地数据及算法参数对其他方和隐私计算平台保密,结果使用方只得到统计结果,得不到任何其他信息。联合建模服务:结合多方数据进行模型训练,支持联合建模的数据对齐�������、特征工程、模型训练、模型评估、推理预测等过程。结合密码安全协议,防止模型训练过程中泄密原始数据和模型梯度数据,优化计算策略和计算架构,提升联合建模的效率。通过隐私计算服务提供的联邦学习、多方安全计算等技术,实现破除各部门之间的数据壁垒,打通数据安全融合应用通
282、道,促进数据要素价值最大化。数据安全体系【数据绿洲】建设指南08数据安全解决方案总册179附录8.1.附录1:数据绿洲数据安全全景图数据安全体系【数据绿洲】建设指南数据安全解决方案总册1808.2.附录2:数据安全能力清单数据安全治理管控平台(DSMP)隐私计算平台数据流通安全管控平台全生命周期全生命周期数据使用数据交换213序号产品类型数据安全平台数据安全产品数据安全功能描述对应数据安全生命周期数据安全治理管控平台(简称DSMP)“以数据为中心,基于场景化的思路”对数据安全工作进行标准化、规范化、常������态化管理,全面掌握全域敏感数据资产分类、分级及分布情况,通过集中化数据安全策略和全生命周期管理
283、能力,有效监控敏感数据流转路径和动态流向,实现数据分布、流转、访问过程中的风险识别和态势呈现;为数据安全的安全管控和数据的安全监控提供能力保障,为数据安全运营提供技术能力支撑平台。数据流通安全管控平台以数据共享交换������过程中数据的防窃取、防滥用、防误用作为主线,面向数据流通安全、数据共享安全、数据交换安全、数据采集安全、数据交易安全的场景,通过大数据威胁建模、模型监测、威胁分析等技术手段,提供模型监测、数据分析、威胁感知、威胁预警、威胁处置、威胁事件溯源、业务合规审计等能力,解决数据的窃取、滥用、误用等问题,最终实现数据安全可视化、风险可控化、监管持续化、溯源智能化、预警自动化。隐私计算平台是基于
284、联邦学习、多方安全计算、混淆电路、可信执行环境、差分隐私等隐私数据保护技术,在保护隐私信息的前提下,实现数据价值分析与挖掘的隐私计算服务平台,实现“原始数据不出域、数据可用不可见”,数据使用“可控可计量”API接口监测(ASCG-API)数据采集4围绕业务API接口,采用实时监测技术,对API接口数据进行协议解析,对接口数据流转环节进行������风险关联分析,实现敏感数据传输与违规监测、异常行为风险监测,以确保日常数据处理活动的安全、合规。传输加密系统(VPN)数据传输5严格遵照国家有�������关主管部门的设计规范要求,具有完全自主知识产权的SSL/IPSec二合一VPN安全网关系统,产品具备国家密码管理局的商用
285、密码产品认证证书,支持SM1、SM2、SM3、SM4国密算法,可以作为企业的出口网关设备提供移动用户远程办公的SSLVPN接入,也可以作为广域网组网的分支或二三级中心设备提供Site-to-Site的IPSecVPN接入数据库审计系统数据使用�������数据交换6针对数据库操作行为进行细粒度审计,将源数据提取转换和同步整合给目标数据的能力的管理系统。它通过各类数据库访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部行为监管、促进核心资产的正常运营,是国内审计数据库类型最全,解析粒度最细的数据库审计产品数据安全工��������具数据安全检查
286、工具身份认证数据库防火墙数据传输数据使用7数据库防火墙 是对企业各类用户对数据库的访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行控制、分析、记录、汇报,以帮助用户事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管、促进核心资�����产(数据库)的正常运行数据防泄漏系统(DLP)数据传输数据存储数据使用8帮助管理者了解:敏感数据在哪里?被如何使用?有没有泄密风险?帮您发现、监控并且保护企业敏感信息,具备终端DLP、存储DLP、网络DLP三大数据防泄露安全组件。数据库脱敏系统(静态)数据存储数据使用9可以对多种类型数据
287、库的敏感数据进行自动识别发现,按预设规则对数据进行高仿真处理,并使处理后的数据保留其原始数据格式和属性,以确保应用程序可在使用脱敏数据的开发与测试过程中正常运行。�������数据库动态脱敏(DM)数据使用10是一款功能强大、操作简单的敏感数据去标识化产品。支持屏蔽、随机、仿真、置空四大类脱敏算法;支持敏感数据的自动发现,内置丰富的脱敏算法和敏感数据类型;支持SQL语句的SQL重写、表名替换、关键字替换等功能。能够解决大多数敏感数据防护场景的业务需求数据库加密系统数据存储11对数据库的数据进行加密存储,支持国密,满足�������等保、分保等评测要求;独立于数据库的访问授权机制;支持三权分离管理;产品支持列/表/库等不同
288、细粒度的加密配置;应用于关系型数据库的结构化数据的 加 密,支 持 O r a c l e;D B 2;M y S Q L;S q l s e r v e r;PostgreSQL;达梦;人大进仓;高斯DB。天榕数据分类分级与风险合规系统(DSMP-CRCS)数据存储12天榕数据分类分����级与风险合规系统是一款集数据分类分级、合规检查与风险评估于一体的数据安全产品,核心功能包括:数据资源的统一管理、数据分类分级、数据安全合规检查、数据安全风险评估管理。数据安全服务系统(SSB)数据交换13一款以安全为主的分布式服务总线系统,采用分布式的总线结构,消除不同应用之间的技术差异,实现不同应用之间的通信和
289、整合的安全集成中间件。弱口令检查数据存储数据使用14用于核查设备中的帐号口������令强度是否符合要求,实现系统、业务口令的常态化检查,不影响业务系统正常运行,以在线或者离线获取各设备口令文件,后台集中核查,支持集中核查各类在网主机、数据库、中间件、业务系统(需定制开发)的弱口令,可全面掌控在网设备��������口令情况。漏洞扫描数据全生命周期15漏洞扫描系统在总结多年市场经验和客户需求基础上提出的“发现扫描定性修复审核”的安全体系构建法则,综合运用多种国际最新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮
290、助用户在弱点全面评估的基础上实现安全自主掌控数据安全检查工具箱暂未发布16数据安全检查工具箱是一款以等级保护2.0、数据安全法等标准为检查依据,并通过数据安全合规检查指标(等保2.0检查指标和数据安全法检查指标)访谈和技术工具(数据安全技术检测工具和网络安全技术检应用安全管控平台(ASCG)数据使用17面向企业员工,针对企业B/S应用系统进行统一集中安全管控的网络安全产品。实现B/S应用系统单点登录及页面URL细粒度访问控制、采用双������因素认证手段增强应用系统访问安全,通过页面敏感数据脱敏、页面背景水印增强数据安全防护能力。核心信息管控平台(VBH)数据使用18核心信息管控平台(简称VBH系统),具备堡垒机的所有功能,同时提供“零下载”文档管控能力,通过个人文件夹管理,在线文档水印管理、文档下载审批、离线文档水印、离线文档使用控制等相关功能,实现文件不落地,避免了核心�������数据泄露!数据安全体系【数据绿洲】建设指南数据安全体系数据绿洲建设指南内部使用版(2022-2023)
sgpjbg002
工作日 8:30 - 17:30
报告分类
