最近幾年一直在一線做數(shù)據(jù)安全工作的落地實踐，包括數(shù)據(jù)安全管理、數(shù)據(jù)安全運營、數(shù)據(jù)安全建設(shè)等。從工作體系角度，思考數(shù)據(jù)安全工作的具體內(nèi)容和過程中遇到的問題，每過一段時間都有新的認識，今天把最近半年數(shù)據(jù)安全的一些新變化和大家分享，一同推進數(shù)據(jù)安全的落地實施。

數(shù)據(jù)安全作為安全的一部分，大部分情況是因為安全事件的發(fā)生而產(chǎn)生較大的影響力，屬于事件驅(qū)動。一個數(shù)據(jù)安全事件的發(fā)生，往往會牽動整個業(yè)務(wù)領(lǐng)域或條線，觸發(fā)相關(guān)單位開展安全檢查或自查。

隨著數(shù)據(jù)業(yè)務(wù)深入，數(shù)據(jù)不僅用于支撐業(yè)務(wù)應用，更是成為各行各業(yè)刺激經(jīng)濟增長最重要的要素之一，通過數(shù)據(jù)產(chǎn)生新的價值，成為數(shù)據(jù)資產(chǎn)，變成數(shù)據(jù)產(chǎn)品或服務(wù)。此外，從國家層面極力推動數(shù)據(jù)成為國家新動能的生產(chǎn)要素，鼓勵數(shù)據(jù)流動、跨行業(yè)的數(shù)據(jù)融合。個人認為，數(shù)據(jù)安全合規(guī)是推動數(shù)據(jù)安全成為當前熱點更重要的原因。

這里的合規(guī)不僅包括安全管理、安全技術(shù)，還涵蓋以“數(shù)據(jù)處理活動”為主，涉及各類業(yè)務(wù)合規(guī)、技術(shù)合規(guī)和風險控制等綜合內(nèi)容。比如數(shù)據(jù)采買的合同協(xié)議、數(shù)據(jù)使用范圍等，屬于前置業(yè)務(wù)合規(guī)；比如數(shù)據(jù)產(chǎn)品使用過程中的授權(quán)跟蹤，未授權(quán)產(chǎn)品（API接口為主）不允許調(diào)用，或者正常業(yè)務(wù)中非法調(diào)用監(jiān)測，短時間內(nèi)調(diào)用次數(shù)超合同范圍，屬于使用過程中的數(shù)據(jù)合規(guī)。除了安全范疇外，數(shù)據(jù)安全涵蓋業(yè)務(wù)使用過程中的內(nèi)容，業(yè)務(wù)合規(guī)也作為其中很重要的一環(huán)。

此外，信息系統(tǒng)作為數(shù)據(jù)的重要載體，是數(shù)據(jù)安全具體著落點，除了通用的安全，關(guān)于技術(shù)層面合規(guī)內(nèi)容也逐漸增加。比如軟件供應鏈安全成為數(shù)據(jù)安全的重要因素之一，開源組件的合規(guī)使用、第三方軟件的中斷供應風險、密鑰算法的合規(guī)等。

國家層面也在積極推動IT基礎(chǔ)設(shè)施的信創(chuàng)改造，俗稱“三大件”的操作系統(tǒng)、數(shù)據(jù)庫、中間件逐步國產(chǎn)化。密碼相關(guān)的基礎(chǔ)設(shè)施要求國產(chǎn)化，SM4對稱加密（解決數(shù)據(jù)內(nèi)容加密）和SM2非對稱加密（解決密鑰傳遞）成為數(shù)據(jù)安全工作的標配。信息系統(tǒng)上的應用軟件的成分構(gòu)成、軟件的上下游作為潛在安全隱患因素被逐漸關(guān)注。

簡要總結(jié)：

安全事件是數(shù)據(jù)安全被重視的最早、最直接的驅(qū)動因素，業(yè)務(wù)合規(guī)、技術(shù)合規(guī)和風險控制成為數(shù)據(jù)安全新的重點關(guān)注方向。

審計是重要的風險發(fā)現(xiàn)手段，包括內(nèi)部審計和外部審計。從企業(yè)工作落地實際情況分析，審計需要區(qū)分不同的“程度”，如下：

1.外部安全審計

外部的監(jiān)管審計、第三方的安全審計都比較嚴格，由外部第三方人員組織，審計結(jié)果直接面向高層。

2.日常安全巡檢

實際上日常安全運營中的日常巡檢屬于輕量化審計的一種，本質(zhì)是主動發(fā)現(xiàn)風險。這類巡檢包括產(chǎn)品運行狀態(tài)、異常告警、策略配置、補丁更新、使用記錄等。

3.內(nèi)部IT周期性的審計

它介于中間，通常是非工作的直接相關(guān)人員組織定期審計，去發(fā)現(xiàn)運營過程工作落實情況及運營過程中風險控制情況。主要用來提醒日常運行工作規(guī)范程度和執(zhí)行情況。這類審計可以通用的一般控制審計，還可以組織專項審計，例如弱口令專項審計、網(wǎng)絡(luò)策略專項審計、賬號權(quán)限專項審計等。

需要注意的是數(shù)據(jù)安全審計的內(nèi)容需要重新定義，它的關(guān)注重點不是漏洞、攻擊、網(wǎng)絡(luò)策略等，而是關(guān)于數(shù)據(jù)相關(guān)的內(nèi)容，可以簡要區(qū)分為人接觸數(shù)據(jù)、系統(tǒng)（應用）使用數(shù)據(jù)。

其中系統(tǒng)使用數(shù)據(jù)過程有大量的安全防護手段和安全監(jiān)測手段，相對比較成熟，可以通過技術(shù)供歐產(chǎn)品的實時監(jiān)測，審計發(fā)現(xiàn)問題。

關(guān)于人員接觸數(shù)據(jù)成為數(shù)據(jù)安全審計的重點，參考如下：

1.人員基礎(chǔ)信息

包括人員背景調(diào)查、個人注冊登記、公司信息等；

2.人員賬號及權(quán)限控制

是否具備統(tǒng)一的身份認證體系及權(quán)限管控，識別人的身份及接入權(quán)限，其中權(quán)限包括網(wǎng)絡(luò)接入權(quán)限、賬號接入權(quán)限、業(yè)務(wù)應用權(quán)限、數(shù)據(jù)操作權(quán)限等。比如平臺相關(guān)的賬號，是否均通過賬號申請審批。

3.人員的登錄行為

人員背景調(diào)查及賬號權(quán)限是基本要素，在正式接入系統(tǒng)后，是否可以追蹤人員賬號相關(guān)的登錄行為，什么時候、什么地點、什么終端、什么賬號登錄系統(tǒng)，是否登錄失敗，這些可以從VPN、堡壘機、CA認證系統(tǒng)、應用系統(tǒng)、主機服務(wù)器的日志獲取，發(fā)現(xiàn)其中異常行為。

4.人員的操作行為

登錄之后開展的各類操作也是關(guān)注重點。比如業(yè)務(wù)功能的訪問記錄、數(shù)據(jù)類操作（增刪改查），相關(guān)業(yè)務(wù)系統(tǒng)是否有操作行為日志（參數(shù)配置、功能啟用等），數(shù)據(jù)庫操作審計日志，主機服務(wù)器的操作行為日志（執(zhí)行了哪些命令，是否涉及敏感、違規(guī)操作命令，如rm -rf、reboot等）。

簡要總結(jié)：

關(guān)于人員的基本信息、關(guān)聯(lián)賬號、登錄行為、操作行為的全流程審計，這些人員包括運維、安全、數(shù)據(jù)開發(fā)、應用開發(fā)、業(yè)務(wù)運營等，類似與UEBA用戶行為分析，把人基本情況、人的行為規(guī)范和人的操作行為關(guān)注好，數(shù)據(jù)安全工作幾乎就成功了一大半。

基于人的行為分析是UEBA，基于“數(shù)據(jù)”為對象，對數(shù)據(jù)全過程的監(jiān)測與審計，即“數(shù)據(jù)行為分析”可能是未來數(shù)據(jù)安全的重點和難點。

1.數(shù)據(jù)“全域”：人接觸數(shù)據(jù)+數(shù)據(jù)業(yè)務(wù)流動

基于應用功能為主的信息系統(tǒng)，數(shù)據(jù)的流動路徑相對清晰，相關(guān)的數(shù)據(jù)流向比較好分析。

近幾年以大數(shù)據(jù)平臺為底座，匯聚企業(yè)大量、不同來源的數(shù)據(jù)之后，形成數(shù)據(jù)湖或數(shù)據(jù)倉庫。圍繞大數(shù)據(jù)平臺進行各類數(shù)據(jù)采集、使用加工和后期的數(shù)據(jù)共享管控，過程中的“全域”包括人接觸數(shù)據(jù)所涉及的全過程中相關(guān)行為，比如數(shù)據(jù)訪問、使用、開發(fā)等環(huán)節(jié)，還包括數(shù)據(jù)產(chǎn)品作為業(yè)務(wù)使用中的數(shù)據(jù)流向全過程。

因此，在進行數(shù)據(jù)安全風險監(jiān)測時，監(jiān)測對象包括“人接觸數(shù)據(jù)”和“數(shù)據(jù)業(yè)務(wù)流動”，人接觸數(shù)據(jù)大部分屬于管理流，數(shù)據(jù)業(yè)務(wù)流動則屬于業(yè)務(wù)使用過程的數(shù)據(jù)流向。

2.數(shù)據(jù)安全風險監(jiān)測邏輯

數(shù)據(jù)安全風險監(jiān)測實現(xiàn)邏輯基本分解為三步：獲取信息、匹配規(guī)則、觸發(fā)告警。

• 第一步獲取監(jiān)測信息：為了實現(xiàn)監(jiān)測，需要獲取各類日志信息，比如系統(tǒng)、數(shù)據(jù)庫、審計、業(yè)務(wù)日志、安全日志等，需要獲取各類網(wǎng)絡(luò)流量信息，比如通過鏡像獲取交換機網(wǎng)絡(luò)流量，通過部署Agent等采集主機或者云主機的虛擬網(wǎng)卡流量。
• 第二步建立匹配規(guī)則：基于流量或日志信息進行規(guī)則匹配或者大模型識別后，通常過濾出大量的告警信息，這些告警信息存在較多的誤報，需要結(jié)合業(yè)務(wù)資產(chǎn)（IP、主機名、MAC等）進行關(guān)聯(lián)分析，識別出與資產(chǎn)相關(guān)的風險。
• 第三步觸發(fā)告警通知：通過二次過濾出來與業(yè)務(wù)相關(guān)的重要告警信息，通常安全運營人員對安全類的系統(tǒng)進行巡檢和監(jiān)控，發(fā)現(xiàn)問題。實現(xiàn)告警通知到第一線的安全運營人員非常關(guān)鍵，即監(jiān)測告警發(fā)現(xiàn)問題只是第一部分，更重要是將重要的告警能夠告警通知方式，比如郵件、電話、短信、微信群等方式告警出來。

3.大數(shù)據(jù)平臺數(shù)據(jù)安全風險監(jiān)測難

在整體了解到風險監(jiān)測基礎(chǔ)邏輯后，我們分析為什么大數(shù)據(jù)平臺的數(shù)據(jù)安全風險監(jiān)測難度較大。主要原因如下：

• 關(guān)于vpn、堡壘機、主機的虛擬網(wǎng)卡流量、系統(tǒng)日志、應用日志、安全日志等各方面的信息的整合與匯總比較難，通常由不同的廠家構(gòu)成，日志統(tǒng)一解析存在難度。
• 大數(shù)據(jù)平臺中很核心的環(huán)節(jié)是各類人員接觸大數(shù)據(jù)平臺進行數(shù)據(jù)開發(fā)過程的日志難以獲取，非常依賴于大數(shù)據(jù)平臺底座環(huán)境的開放程度，比如業(yè)務(wù)API網(wǎng)關(guān)代表API產(chǎn)品的調(diào)用過程，比如數(shù)據(jù)治理開發(fā)平臺過程中數(shù)據(jù)模型開發(fā)、數(shù)據(jù)的粗加工治理等環(huán)節(jié)。
• 除了技術(shù)層面的風險分析，大數(shù)據(jù)平臺關(guān)于數(shù)據(jù)采集引入、數(shù)據(jù)產(chǎn)品對外服務(wù)、數(shù)據(jù)產(chǎn)品安全共享等安全合規(guī)過程中的信息，也應納入整理的風險監(jiān)測，包括基于數(shù)據(jù)上游企業(yè)的風險、數(shù)據(jù)正常使用過程中業(yè)務(wù)調(diào)用監(jiān)測等，這些包括業(yè)務(wù)類相關(guān)數(shù)據(jù)。

簡要總結(jié)：

風險監(jiān)測自身的邏輯非常清晰，大數(shù)據(jù)平臺因為涉及數(shù)據(jù)合規(guī)采買和數(shù)據(jù)產(chǎn)品使用中的合規(guī)信息、數(shù)據(jù)加工過程監(jiān)測等信息，與傳統(tǒng)安全監(jiān)測類的信息進行整合呈現(xiàn)，形成數(shù)據(jù)“全域”安全風險視圖，整體上都沒有很好的落地解決案例。