數據資(zī)源是數字經濟的關鍵生(shēng)産要素。發展數字經濟與保障數據安全應當并駕齊驅,網絡運營者等有關單位和個人收集、存儲、使用、加工(gōng)、傳輸、提供、公開(kāi)數據資(zī)源,都應當依法建立健全數據安全管理制度,采取相應技術措施保障數據安全。綜合Gartner數據治理模型、中(zhōng)華人民共和國數據安全法(草案)等現有數據安全治理模型、以及豐富的信息安全領域項目實戰經驗,安恒信息首席科學家劉博率先提出了針對敏感數據保護的“風險核查Check—數據梳理Assort—數據保護Protect—監控預警Examine”(CAPE)模型。
注:完整版AiGuard數據安全能力全景圖下(xià)載見文末
CAPE模型設計堅持三大(dà)原則:
01以身份和數據雙中(zhōng)心原則
保護數據安全的目标之一(yī)是防止未經授權的用戶進行數據非法訪問和操作。所以需同時從訪問者“身份”和訪問對象“數據”兩個方向入手,雙管齊下(xià)。
不信任企業内部和外(wài)部的任何人/系統/設備,需基于身份認證和授權,執行以身份爲中(zhōng)心的動态訪問控制。
聚焦以數據爲中(zhōng)心進行安全建設,有針對性的保護高價值數據及業務,數據發現和分(fēn)類分(fēn)級是以數據爲中(zhōng)心保護的重要基礎。
02全面覆蓋立體(tǐ)化防護原則
橫向上需全面覆蓋數據資(zī)源的收集、存儲、加工(gōng)、使用、提供、交易、公開(kāi)等行爲活動的整個生(shēng)命周期,采用多種安全工(gōng)具支撐安全策略的實施。
縱向上通過風險評估、數據梳理、訪問監控、大(dà)數據分(fēn)析,進行數據資(zī)産價值評估、數據資(zī)産弱點評估、數據資(zī)産威脅評估, 終形成數據安全态勢感知(zhī)。
通過組織、制度、場景、技術、人員(yuán)等自上而下(xià)的落實來構建立體(tǐ)化的數據安全防護體(tǐ)系。
03智能化、體(tǐ)系化原則
在信息技術和業務環境越來越複雜(zá)的當下(xià),僅靠人工(gōng)方式來運維和管理安全已經捉襟見肘了,人工(gōng)智能、大(dà)數據已經有相當的成熟度,如UEBA異常行爲分(fēn)析、NLP加持的識别算法、場景化脫敏算法等。
同時,僅靠單獨技術措施隻能解決單方面的問題,必須形成體(tǐ)系化的思維,通過能力模塊間的聯動打通,系統形成體(tǐ)系化的整體(tǐ)數據安全防護能力,并持續優化和改進,從而提升整體(tǐ)安全運營和管理的質量和效率。
CAPE框架實現了敏感數據安全防護的全生(shēng)命周期過程全覆蓋,建立了以風險核查爲起點,以數據梳理爲基礎,以數據保護爲核心,以監控預警作爲支撐, 終建立“數據安全運營”的全過程自适應安全支撐能力,直至達到整體(tǐ)智治的安全目标。
框架主要思路如下(xià):
01風險核查(C)
通過風險核查讓數據資(zī)産管理員(yuán)全面了解數據庫資(zī)産運行環境是否存在安全風險。通過安全現狀評估能有效發現當前數據庫系統的安全問題,對數據庫的安全狀況進行持續化監控,保持數據庫的安全健康狀态。數據庫漏洞、弱口令、錯誤的部署或配置不當都會很容易讓數據庫陷入危難之中(zhōng)。
• 漏洞掃描,幫助用戶快速完成對數據庫的漏洞掃描和分(fēn)析工(gōng)作,覆蓋權限繞過漏洞、SQL注入漏洞、訪問控制漏洞等,并提供詳細的漏洞描述和修複建議。
• 弱口令檢測,基于各種主流數據庫口令生(shēng)成規則實現口令匹配掃描。提供基于字典庫,基于規則,基于窮舉等多種模式下(xià)的弱口令檢測。
• 配置檢查,幫助用戶規避由于數據庫或系統的配置不當造成的安全缺陷或風險,檢測是否存在賬号權限、身份鑒别、密碼策略、訪問控制、安全審計和入侵防範等安全配置風險。基于 佳安全實踐的加固标準,提供重要安全加固項以及修複建議,降低配置弱點被攻擊和配置變更風險。
02數據梳理(A)
數據梳理階段,包含以身份爲中(zhōng)心的身份認證和設備識别、以數據爲中(zhōng)心的識别與分(fēn)類分(fēn)級、賬号權限的梳理,形成數據目錄。
• 以身份爲中(zhōng)心的身份認證和設備識别;網絡位置不再決定訪問權限,在訪問被允許之前,所有訪問主體(tǐ)都需要經過身份認證和授權。身份認證不再僅僅針對用戶,還将對終端設備、應用軟件等多種身份進行多維度、關聯性的識别和認證,并且在訪問過程中(zhōng)可以根據需要多次發起身份認證。授權決策不再僅僅基于網絡位置、用戶角色或屬性等傳統靜态訪問控制模型,而是通過持續的安全監測和信任評估,進行動态、細粒度的授權。安全監測和信任評估結論是基于盡可能多的數據源計算出來的。
• 以數據爲中(zhōng)心的識别與分(fēn)類分(fēn)級;進行數據安全治理前,需要先明确治理的對象,企業擁有龐大(dà)的數據資(zī)産,本着高效原則,劉博建議,應當優先對敏感數據分(fēn)布進行梳理,“數據分(fēn)類分(fēn)級”是整體(tǐ)數據安全建設的核心且 關鍵的一(yī)步。通過對全部數據資(zī)産進行梳理,明确數據類型、屬性、分(fēn)布、賬号權限、使用頻(pín)率等,繪制“數據目錄”,以此爲依據對不同級别數據實行合理的安全防護手段。這個基礎也會爲客戶數據安全保護進行信息化賦能和策略支撐,如數據加密、數據脫敏、防洩漏和數據訪問控制等。
03數據保護(P)
基于數據使用場景需求制定差異化的、有針對性的數據安全保護動作。這一(yī)步的實施更加需要以數據梳理作爲基礎,風險核查的結果作爲支撐,以提供數據在收集、存儲、加工(gōng)、使用、提供、交易、公開(kāi)等不同場景下(xià),即滿足業務需求,又(yòu)保障數據安全的保護策略,降低數據安全風險。制定并實施相應的安全保護技術措施,以确保敏感數據全生(shēng)命周期内的安全。
數據是流動的,數據結構和形态會在整個生(shēng)命周期中(zhōng)不斷變化,需要采用多種安全工(gōng)具支撐安全策略的實施。劉博在CAPE框架體(tǐ)系中(zhōng)提出了實現數據安全保護的6個工(gōng)具/技術手段:
• 加密,包括數據存儲加密、傳輸加密等多種技術。
◦ 存儲加密,爲保障數據在存儲中(zhōng)的機密性、完整 性,采用加密技術對數據進行加密存儲,防止可能會發生(shēng)授權的數據被竊取、僞造和篡改等安全風險,保障數據在存儲時的安全性。
◦ 傳輸加密,采用加密保護措施,防止數據在通過不可信或者較低安全性的網絡進行傳輸時,發生(shēng)數據被竊取、僞造和篡改等安全風險,保障數據在傳輸過程中(zhōng)的安全性。比如采用HTTPS協議保障傳輸鏈路的加密、采用國密算法(SM2、SM3、SM4)保障業務數據安全傳輸等, 大(dà)限度的保障敏感數據安全。
• 密鑰管理,⾯向業務系統提供密鑰服務,負責業務系統的對稱密鑰和⾮對稱密鑰對的管理,保證密鑰的安全性。
• 數據脫敏,數據脫敏旨在通過向用戶提供高度仿真的數據,而不是真實和敏感的數據,同時保持其執行業務流程的能力,從而防止濫用敏感數據。脫敏分(fēn)爲靜态脫敏和動态脫敏。
◦ 靜态脫敏用于對開(kāi)發或測試中(zhōng)的數據集而不是生(shēng)産中(zhōng)的數據集。數據在使用之前被脫敏,因此數據在存儲和随後的使用或傳播過程中(zhōng)受到保護。
◦ 動态脫敏在應用程序或個人根據授權訪問數據時,實時進行脫敏操作。原始敏感數據駐留在底層存儲庫中(zhōng),并且在應用程序訪問時按策略授權進行數據提供,沒有權限訪問敏感信息的用戶和應用程序提供了脫敏數據。動态脫敏不會更改底層存儲庫中(zhōng)的數據。
• 水印溯源,是對數據進行打标簽、加水印、植入溯源種子的方式,水印信息具有一(yī)定的隐秘性、不對外(wài)顯示,用以記錄數據流轉的過程及洩露時能确認具體(tǐ)的洩露節點及責任人,以此進行數據洩露的審計和跟蹤,從而解決數據的非授權擴散監管問題。
• 數據防洩漏,DLP工(gōng)具提供對敏感數據的可見性,無論是在端點上(使用)、在網絡上(運動)還是在文件共享上。使用DLP組織可以實時保護端點或網絡中(zhōng)傳輸和外(wài)發數據,實時預警和阻止數據被洩漏的行爲發生(shēng)。
• 訪問控制,基于通過IP、MAC、客戶端主機名、操作系統用戶名、客戶端工(gōng)具名和數據庫賬号等多個維度對用戶身份進行管理,确保設備是可信的設備,應用是認證應用。通過全面的身份化,實現對網絡參與的各個實體(tǐ)在統一(yī)的框架下(xià)進行統一(yī)的身份認證,結合數據分(fēn)類分(fēn)級實現基于數據和身份的細粒度訪問控制功能。
04監控預警(E)
制定并實施适當的技術措施,以識别數據安全事件的發生(shēng)。此過程包括:行爲分(fēn)析,權限變化,訪問監控。通過全方位監控數據的使用和流動, 終形成數據安全态勢感知(zhī)。
• 行爲分(fēn)析,能夠對進出核心數據庫的訪問流量進行數據報文字段級的解析操作,完全還原出操作的細節,并給出詳盡的操作返回結果,UEBA可以根據用戶曆史訪問活動的信息刻畫出一(yī)個數據的訪問“基線”,而之後則可以利用這個基線對後續的訪問活動做進一(yī)步的判别,以檢測出異常行爲。
• 權限變化,能夠對數據庫中(zhōng)不同用戶,不同對象的權限進行梳理并監控權限變化,權限梳理應從用戶和對象兩個維度展開(kāi)。一(yī)旦用戶維度或者對象維度權限發生(shēng)了變更,能夠及時向用戶反饋。
◦ 用戶維度:可以監控數據庫中(zhōng)用戶啓用狀态、權限劃分(fēn)、角色歸屬等基本信息。
◦ 對象維度:能夠對數據庫對象可被哪些用戶訪問進行歸納總結,特别是對包含了敏感列的表或者敏感度評分(fēn)較高的對象,可以着重監測其訪問權限劃分(fēn)情況。
• 訪問監控,實時監控數據庫的活動信息,當用戶與數據庫進行交互時,系統應自動根據預設置的風險控制策略,進行特征檢測及審計規則檢測,監控預警任何嘗試的攻擊或違反審計規則的行爲。
客服1 
客服2