電子政務(wù)數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)建設(shè)實(shí)踐探索

范絮妍 吳小倩 馮立勝 王 欣

(全國(guó)海關(guān)信息中心網(wǎng)絡(luò)與信息安全處總工辦 北京 100005)

2020年以來(lái)，國(guó)家將數(shù)字經(jīng)濟(jì)發(fā)展放在突出的戰(zhàn)略地位，同步提出數(shù)據(jù)安全與應(yīng)用發(fā)展并重的要求.2020年4月，國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》明確提出“加快培育數(shù)據(jù)要素市場(chǎng)”“推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級(jí)保護(hù)制度，加強(qiáng)對(duì)政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)據(jù)的保護(hù).”

數(shù)據(jù)泄露造成的危害日益加劇.據(jù)IBM Security發(fā)布的《2020年數(shù)據(jù)泄露成本報(bào)告》及業(yè)內(nèi)其他研究報(bào)告統(tǒng)計(jì)分析，2020年全球數(shù)據(jù)泄露事件已突破360億，數(shù)據(jù)泄露事件給政府企業(yè)造成的平均成本為386萬(wàn)美元[1-2].除了經(jīng)濟(jì)損失外，數(shù)據(jù)作為重要的戰(zhàn)略資源，缺乏監(jiān)管的跨境流動(dòng)可能帶來(lái)國(guó)家安全隱患；個(gè)人信息販賣成為大數(shù)據(jù)產(chǎn)業(yè)灰色地帶，對(duì)個(gè)人人身和生命財(cái)產(chǎn)安全帶來(lái)嚴(yán)重威脅；生物識(shí)別信息和醫(yī)療數(shù)據(jù)等高價(jià)值敏感數(shù)據(jù)的泄露可能引發(fā)無(wú)法想象的災(zāi)難性后果.

世界各相關(guān)組織和國(guó)家紛紛開展數(shù)據(jù)安全和隱私保護(hù)立法，我國(guó)十四五規(guī)劃提出加快數(shù)據(jù)安全、個(gè)人信息保護(hù)等方面的數(shù)據(jù)立法工作.2021年6月10日，全國(guó)人大常委會(huì)審議通過(guò)《中華人民共和國(guó)數(shù)據(jù)安全法》(簡(jiǎn)稱《數(shù)據(jù)安全法》)，以落實(shí)總體國(guó)家安全觀的高度，提出聚焦數(shù)據(jù)安全領(lǐng)域的風(fēng)險(xiǎn)隱患，建立健全數(shù)據(jù)安全治理體系，建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制，建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，形成全社會(huì)共同維護(hù)數(shù)據(jù)安全和促進(jìn)發(fā)展的良好環(huán)境.《數(shù)據(jù)安全法》對(duì)政務(wù)數(shù)據(jù)開發(fā)利用作出明確指示，要求省級(jí)以上人民政務(wù)應(yīng)當(dāng)將數(shù)字經(jīng)濟(jì)發(fā)展納入本級(jí)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展規(guī)劃，加強(qiáng)數(shù)據(jù)開放共享和安全保障措施，建立統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的機(jī)制，利用數(shù)據(jù)安全運(yùn)營(yíng)，提升數(shù)據(jù)服務(wù)對(duì)經(jīng)濟(jì)社會(huì)穩(wěn)定發(fā)展的效果.

在新形勢(shì)和新要求下，電子政務(wù)運(yùn)營(yíng)單位陸續(xù)推進(jìn)數(shù)據(jù)安全治理系列工作，規(guī)劃設(shè)計(jì)覆蓋全生存周期、以數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)為核心的數(shù)據(jù)安全技術(shù)防護(hù)體系，逐步達(dá)到數(shù)據(jù)資產(chǎn)看得見、說(shuō)得清、管得住、強(qiáng)審計(jì)、能追溯的目標(biāo).

1 電子政務(wù)系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)及需求分析

1.1 政務(wù)數(shù)據(jù)的集中匯聚、開放共享催生更大風(fēng)險(xiǎn)

隨著“數(shù)字政府”建設(shè)不斷推進(jìn)，基于國(guó)家政務(wù)信息資源整合共享的整體設(shè)計(jì)思路，政務(wù)數(shù)據(jù)正逐步走向集中管理、共享交換、互聯(lián)互通.各中央部委單位、各地政府紛紛成立大數(shù)據(jù)局或大數(shù)據(jù)中心，集中匯集行業(yè)內(nèi)全量數(shù)據(jù)，其中不乏個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等敏感數(shù)據(jù)，數(shù)據(jù)價(jià)值巨大且風(fēng)險(xiǎn)提升.通過(guò)數(shù)據(jù)加工、建模分析，海量數(shù)據(jù)的衍生結(jié)果信息(如關(guān)聯(lián)研判信息、宏觀經(jīng)濟(jì)信息、風(fēng)險(xiǎn)布控信息、案件分析信息等)既能支持政府工作人員政務(wù)決策分析，還可能對(duì)國(guó)家宏觀決策起到關(guān)鍵參考作用，必然會(huì)成為不法分子的目標(biāo).因此，基于數(shù)據(jù)的高價(jià)值、高聚集和開放共享等特性，電子政務(wù)數(shù)據(jù)勢(shì)必面臨多方面的安全風(fēng)險(xiǎn)和挑戰(zhàn)，需要采取全方位的安全治理和保護(hù)措施[3-4].

1.2 缺乏數(shù)據(jù)資產(chǎn)底賬分級(jí)分類動(dòng)態(tài)維護(hù)機(jī)制

目前，政務(wù)大數(shù)據(jù)平臺(tái)中的業(yè)務(wù)數(shù)據(jù)大多尚未完成分類分級(jí)梳理和保護(hù)，因數(shù)據(jù)資產(chǎn)底賬的梳理和維護(hù)耗時(shí)耗力，動(dòng)態(tài)底賬和流向維護(hù)機(jī)制尚未有效建立.數(shù)據(jù)資產(chǎn)底賬的建立往往結(jié)合專項(xiàng)工作進(jìn)行一次性梳理，然而隨著新數(shù)據(jù)資產(chǎn)部署、變更、舊數(shù)據(jù)資產(chǎn)的廢棄等變化，已建立的底賬又會(huì)變得不清晰、不全面；在大型信息系統(tǒng)中，一套業(yè)務(wù)數(shù)據(jù)庫(kù)(集群或大數(shù)據(jù)平臺(tái))往往配置多個(gè)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，且常常作為接收端或發(fā)送端與其他數(shù)據(jù)庫(kù)建立同步關(guān)系，數(shù)據(jù)流向極為復(fù)雜，易引入未經(jīng)合法授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn).因此，需要對(duì)數(shù)據(jù)資產(chǎn)底賬建立分類分級(jí)動(dòng)態(tài)梳理與維護(hù)機(jī)制.

1.3 數(shù)據(jù)全生存周期安全防護(hù)能力差距較大

根據(jù)GB/T 37988—2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》的要求，目前電子政務(wù)數(shù)據(jù)安全成熟度較具備體系化防護(hù)能力的3級(jí)標(biāo)準(zhǔn)往往存在較大差距，主要體現(xiàn)在尚未實(shí)現(xiàn)基于分級(jí)的全生存周期數(shù)據(jù)安全管控.具體包括：科技部門及業(yè)務(wù)部門人員主要通過(guò)個(gè)人經(jīng)驗(yàn)對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別；部委交換數(shù)據(jù)、國(guó)際交換數(shù)據(jù)的采集過(guò)程中，缺少數(shù)據(jù)防泄露監(jiān)控措施，缺少數(shù)據(jù)銷毀處理要求和對(duì)應(yīng)的跟蹤手段；缺乏敏感數(shù)據(jù)存儲(chǔ)和傳輸加密手段；未制訂數(shù)據(jù)脫敏規(guī)范，脫敏的相關(guān)場(chǎng)景、規(guī)則、方法不明確等.

1.4 多個(gè)風(fēng)險(xiǎn)暴露面缺乏集中、高效的風(fēng)險(xiǎn)監(jiān)控手段

電子政務(wù)網(wǎng)絡(luò)環(huán)境中面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)主要來(lái)自用戶側(cè)、應(yīng)用側(cè)、運(yùn)維側(cè)、客戶端側(cè)、對(duì)外交換側(cè)5重可能的數(shù)據(jù)泄露風(fēng)險(xiǎn)暴露面，哪層監(jiān)控不到位，都將給數(shù)據(jù)安全事件監(jiān)測(cè)和溯源帶來(lái)困難.目前，按照《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者有關(guān)日志監(jiān)控的要求，部分電子政務(wù)運(yùn)營(yíng)者針對(duì)重要數(shù)據(jù)庫(kù)、重要應(yīng)用系統(tǒng)和重要網(wǎng)絡(luò)安全域邊界部署數(shù)據(jù)安全監(jiān)控手段，覆蓋多類對(duì)象平臺(tái).

然而，對(duì)于敏感操作行為、異常操作行為監(jiān)控規(guī)則尚缺乏明確定義，目前僅能憑數(shù)據(jù)資產(chǎn)運(yùn)維部門的理解，基于訪問(wèn)頻度、查詢條數(shù)、訪問(wèn)時(shí)間等設(shè)置閾值的方式配置單一化的監(jiān)控規(guī)則，報(bào)警量大、誤報(bào)率高，在海量告警日志中定位異常行為仍存在較大困難.面對(duì)數(shù)十臺(tái)監(jiān)控設(shè)備每天產(chǎn)生的數(shù)十億條監(jiān)控日志，在監(jiān)測(cè)工具分散且監(jiān)控規(guī)則單一的條件下，數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)控與審計(jì)工作面臨極大挑戰(zhàn).

2 國(guó)內(nèi)外數(shù)據(jù)安全管理能力建設(shè)模型研究

2.1 CARTA模型研究

Gartner建議數(shù)據(jù)安全防護(hù)使用持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估(continuous adaptive risk and trust assessment, CARTA)模型，如圖1所示:

圖1 CARTA持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估模型

傳統(tǒng)安全模型假設(shè)訪問(wèn)數(shù)據(jù)的系統(tǒng)和設(shè)備的信任風(fēng)險(xiǎn)是靜態(tài)的，所以安全建設(shè)主要是建設(shè)防護(hù)能力.但基于目前威脅的復(fù)雜性，CARTA模型假設(shè)訪問(wèn)數(shù)據(jù)的系統(tǒng)和設(shè)備都是可能被攻陷的，所有訪問(wèn)數(shù)據(jù)的主體風(fēng)險(xiǎn)與信任都是動(dòng)態(tài)的，需要持續(xù)不斷評(píng)估.基于這個(gè)假設(shè)，CARTA模型就需要考慮發(fā)現(xiàn)能力、防護(hù)能力、檢測(cè)能力和響應(yīng)能力4個(gè)方面的能力建設(shè).但是，該模型只是框架性地設(shè)計(jì)了4種能力及其動(dòng)態(tài)循環(huán)作用關(guān)系，尚未明確每種能力的構(gòu)建方式，不足以系統(tǒng)化指引數(shù)據(jù)安全風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測(cè)與處置的實(shí)踐.

2.2 數(shù)據(jù)安全能力成熟度模型研究

數(shù)據(jù)安全能力成熟度模型(data security capability maturity model, DSMM)標(biāo)準(zhǔn)作為組織數(shù)據(jù)資產(chǎn)管理在數(shù)據(jù)安全能力成熟度方面的反映，重點(diǎn)考慮數(shù)據(jù)生存周期安全下的數(shù)據(jù)安全能力成熟度建設(shè).模型借鑒CMM的通用實(shí)踐衡量成熟度等級(jí)思想，通過(guò)覆蓋數(shù)據(jù)生存周期各階段過(guò)程，旨在明確各階段數(shù)據(jù)安全能力及成熟度，幫助組織持續(xù)提升數(shù)據(jù)安全能力，獲得組織整體數(shù)據(jù)安全能力[5-7]，DSMM如圖2所示:

圖2 數(shù)據(jù)安全能力成熟度模型

該模型雖然體系化闡述定義了數(shù)據(jù)安全成熟度的3個(gè)維度，但是它僅是一個(gè)靜態(tài)化的標(biāo)準(zhǔn)策略集，未能給出組織如何利用模型基于數(shù)據(jù)安全現(xiàn)狀開展差距評(píng)估的過(guò)程方法，以及組織如何基于差距評(píng)估結(jié)果制定適用于本組織實(shí)際情況的數(shù)據(jù)安全策略基線，因而在組織數(shù)據(jù)安全落地工作中缺乏過(guò)程方法論的指導(dǎo).

2.3 國(guó)內(nèi)外數(shù)據(jù)安全技術(shù)研究現(xiàn)狀分析

根據(jù)Gartner發(fā)布的2020年數(shù)據(jù)安全技術(shù)成熟度曲線，國(guó)內(nèi)外數(shù)據(jù)安全相關(guān)技術(shù)研究中，數(shù)據(jù)安全治理技術(shù)尚處于新技術(shù)觸發(fā)期，缺乏對(duì)數(shù)據(jù)全生存周期的安全治理體系建設(shè)實(shí)踐.雖然數(shù)據(jù)庫(kù)安全審計(jì)、數(shù)據(jù)防泄露(data leakage prevention, DLP)、云訪問(wèn)安全代理(cloud access security broker, CASB)等技術(shù)日趨成熟，在數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、云平臺(tái)出入口等單個(gè)暴露面起到了一定的操作行為記錄和監(jiān)控審計(jì)作用，但尚未實(shí)現(xiàn)各個(gè)數(shù)據(jù)風(fēng)險(xiǎn)暴露面的集中關(guān)聯(lián)監(jiān)控和追蹤溯源技術(shù)，尚未形成對(duì)數(shù)據(jù)安全的整體態(tài)勢(shì)感知.

3 數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)

面對(duì)電子政務(wù)系統(tǒng)數(shù)據(jù)安全保護(hù)工作面臨的諸多風(fēng)險(xiǎn)和挑戰(zhàn)，基于國(guó)內(nèi)外數(shù)據(jù)安全技術(shù)研究分析現(xiàn)狀，筆者參與建設(shè)某電子政務(wù)系統(tǒng)核心節(jié)點(diǎn)數(shù)據(jù)安全治理體系的工作，探索為數(shù)據(jù)安全管理相關(guān)方設(shè)計(jì)一套數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái).該平臺(tái)能夠動(dòng)態(tài)識(shí)別數(shù)據(jù)資產(chǎn)的分類分級(jí)及分布、數(shù)量，動(dòng)態(tài)維護(hù)數(shù)據(jù)安全保護(hù)策略，動(dòng)態(tài)監(jiān)控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)并及時(shí)預(yù)警處置，初步達(dá)到數(shù)據(jù)資產(chǎn)看得見、說(shuō)得清、管得住、強(qiáng)審計(jì)、能追溯的業(yè)務(wù)目標(biāo)[8-13].

3.1 數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)框架

數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)整體設(shè)計(jì)分為數(shù)據(jù)采集層、數(shù)據(jù)治理層、分析建模層、應(yīng)用展示層4層框架結(jié)構(gòu).其中：

數(shù)據(jù)采集層.采集匯聚客戶端、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、應(yīng)用、云平臺(tái)等各風(fēng)險(xiǎn)暴露面的監(jiān)控設(shè)備日志信息，以及數(shù)據(jù)掃描設(shè)備獲取發(fā)現(xiàn)的數(shù)據(jù)分布、數(shù)據(jù)結(jié)構(gòu)、訪問(wèn)賬號(hào)及權(quán)限信息等.

數(shù)據(jù)治理層.將采集的各類數(shù)據(jù)安全日志信息進(jìn)行清洗、泛化并集中存儲(chǔ)，此外，還應(yīng)具有日志質(zhì)量監(jiān)控功能以保證日志采集的全面、準(zhǔn)確、及時(shí)性.

分析建模層.根據(jù)業(yè)務(wù)安全需求，建立場(chǎng)景化告警規(guī)則和基于機(jī)器學(xué)習(xí)的行為分析模型等，根據(jù)告警實(shí)時(shí)性和智能化需求程度不同，模型可分為實(shí)時(shí)分析、離線分析和智能分析3種.

應(yīng)用展示層.統(tǒng)一在應(yīng)用層實(shí)現(xiàn)數(shù)據(jù)安全資產(chǎn)管理、策略管理、監(jiān)測(cè)審計(jì)、響應(yīng)溯源等功能.

系統(tǒng)架構(gòu)設(shè)計(jì)如圖3所示:

圖3 數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)架構(gòu)設(shè)計(jì)

3.2 數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)優(yōu)勢(shì)及效果

筆者參與建設(shè)的數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)具有如下設(shè)計(jì)優(yōu)勢(shì)和效果：

1) 采用大數(shù)據(jù)、機(jī)器學(xué)習(xí)技術(shù)進(jìn)行數(shù)據(jù)安全海量日志的采集、治理、集中存儲(chǔ)和分析，共計(jì)采集數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用安全網(wǎng)關(guān)、網(wǎng)絡(luò)數(shù)據(jù)防泄露等5大類、60余臺(tái)(套)相關(guān)安全設(shè)備日志，日均日志處理量逾7億條，建立用戶行為分析模型規(guī)則30余條.最終實(shí)現(xiàn)日志標(biāo)準(zhǔn)歸一化，存儲(chǔ)在線化、持久化，分析高效化、智能化，大大改善日志分散、存儲(chǔ)時(shí)間短、分析規(guī)則單一、誤報(bào)率高等問(wèn)題.提升了筆者所在單位數(shù)據(jù)安全審計(jì)工作自動(dòng)化和常態(tài)化水平，減少分析人員工作量2/3，問(wèn)題準(zhǔn)確度逾90%，問(wèn)題發(fā)現(xiàn)周期縮短50%.

2) 實(shí)現(xiàn)了基于數(shù)據(jù)特征動(dòng)態(tài)發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)分布、流向和使用熱度，使數(shù)據(jù)所有者和管理者能夠全面動(dòng)態(tài)掌控重要數(shù)據(jù)分布位置和使用效益，并且實(shí)現(xiàn)了數(shù)據(jù)資產(chǎn)底賬管理和訪問(wèn)源白名單管理.例如，針對(duì)存儲(chǔ)報(bào)關(guān)單、艙單等行業(yè)內(nèi)全量數(shù)據(jù)的大數(shù)據(jù)平臺(tái)，梳理出70余條授權(quán)訪問(wèn)源IP、用戶名和工具信息，并基于此訪問(wèn)基線部署防火墻設(shè)備進(jìn)行最小化授權(quán)訪問(wèn)控制.

3) 采用信息化手段支撐本單位數(shù)據(jù)安全現(xiàn)狀差距評(píng)估，識(shí)別差距項(xiàng)14項(xiàng)，以安全能力成熟度3級(jí)為目標(biāo)建立覆蓋全生存周期的數(shù)據(jù)安全分級(jí)防控策略，并維護(hù)與10余種數(shù)據(jù)安全技術(shù)防護(hù)監(jiān)控工具的策略支撐關(guān)系，實(shí)現(xiàn)了策略的統(tǒng)一設(shè)計(jì)管理以及基于風(fēng)險(xiǎn)監(jiān)控的動(dòng)態(tài)調(diào)整優(yōu)化.

4 數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)實(shí)踐

筆者在從事電子政務(wù)系統(tǒng)數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)建設(shè)實(shí)踐過(guò)程中，探索總結(jié)出以下4方面創(chuàng)新性工作經(jīng)驗(yàn).

4.1 實(shí)現(xiàn)基于角色分工的數(shù)據(jù)安全管理能力

經(jīng)過(guò)對(duì)組織內(nèi)外部調(diào)研分析，總結(jié)設(shè)計(jì)出一套適用于電子政務(wù)運(yùn)營(yíng)者數(shù)據(jù)安全相關(guān)方角色分工架構(gòu)，以及數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)，能夠?yàn)閿?shù)據(jù)安全相關(guān)方提供的配套支撐功能(詳見表1)，為數(shù)據(jù)安全治理提供組織機(jī)制和配套信息化支撐手段的整體保障.

表1 數(shù)據(jù)安全角色分工及配套支撐功能

4.2 實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)底賬分類分級(jí)動(dòng)態(tài)管理能力

數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)應(yīng)為數(shù)據(jù)管理者解決如何將數(shù)據(jù)所有者給出的數(shù)據(jù)安全級(jí)別或重要數(shù)據(jù)目錄，轉(zhuǎn)換為網(wǎng)絡(luò)系統(tǒng)中可識(shí)別、可追溯的敏感數(shù)據(jù)或重要數(shù)據(jù)對(duì)象，進(jìn)而掌握這些數(shù)據(jù)在網(wǎng)絡(luò)中的存儲(chǔ)位置，以及被訪問(wèn)、獲取、共享和分發(fā)的動(dòng)態(tài)流轉(zhuǎn)情況，從而實(shí)現(xiàn)數(shù)據(jù)的分類分級(jí)動(dòng)態(tài)底賬管理[14-16].通過(guò)實(shí)踐，筆者梳理出一套數(shù)據(jù)資產(chǎn)底賬分級(jí)分類動(dòng)態(tài)管理的流程方法，并明確各環(huán)節(jié)的設(shè)計(jì)實(shí)現(xiàn)要點(diǎn)：

1) 敏感數(shù)據(jù)特征定義.

確定數(shù)據(jù)標(biāo)識(shí)需要分析每一種敏感數(shù)據(jù)或重要數(shù)據(jù)在網(wǎng)絡(luò)中的電子化特征.就像醫(yī)學(xué)專家定義每種病菌的特征一樣，只有特征定義得清晰、可識(shí)別、沒(méi)有二異性，才可以通過(guò)特征來(lái)唯一定義每一種數(shù)據(jù).分類特征是多維度的，例如文件類型、文件大小、文件指紋、關(guān)鍵字、正則表達(dá)式和編碼規(guī)則等等，在網(wǎng)絡(luò)中對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理時(shí)應(yīng)根據(jù)特征對(duì)數(shù)據(jù)進(jìn)行匹配，從而去發(fā)現(xiàn)不同特征的敏感數(shù)據(jù)或重要數(shù)據(jù)分布位置，以及數(shù)據(jù)被訪問(wèn)、共享和分發(fā)的動(dòng)態(tài)流轉(zhuǎn)情況.因此，敏感數(shù)據(jù)特征定義成為數(shù)據(jù)分類分級(jí)動(dòng)態(tài)管理的第一關(guān)鍵技術(shù).

2) 敏感數(shù)據(jù)掃描發(fā)現(xiàn).

利用數(shù)據(jù)梳理工具，采用主動(dòng)掃描手段對(duì)指定網(wǎng)段內(nèi)數(shù)據(jù)庫(kù)、文件服務(wù)器等存儲(chǔ)的數(shù)據(jù)發(fā)起掃描，通過(guò)特征匹配，識(shí)別數(shù)據(jù)庫(kù)和文件服務(wù)器中所包含的敏感文件、重要數(shù)據(jù)的分布目錄，通過(guò)分布目錄形成重要數(shù)據(jù)分布字典.通過(guò)探索實(shí)踐，敏感數(shù)據(jù)識(shí)別針對(duì)結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)類型，具有不同的解決方案，具體如下：

① 結(jié)構(gòu)化數(shù)據(jù).因其結(jié)構(gòu)化的呈現(xiàn)形式及動(dòng)態(tài)的變化，這種標(biāo)識(shí)往往很難通過(guò)在數(shù)據(jù)庫(kù)、表上打個(gè)標(biāo)簽來(lái)實(shí)現(xiàn)，筆者在探索過(guò)程中通過(guò)明確敏感庫(kù)、表、字段的分布位置和名稱，進(jìn)行集中URL目錄化管理，形成重要數(shù)據(jù)分布底賬,并通過(guò)定期掃描發(fā)現(xiàn)，更新重要數(shù)據(jù)分布的URL目錄.

② 非結(jié)構(gòu)化數(shù)據(jù).性能開銷較小的解決方案，依然是通過(guò)主機(jī)檢查類工具進(jìn)行文件掃描發(fā)現(xiàn)，識(shí)別重要數(shù)據(jù)的分布目錄，而非直接在數(shù)據(jù)上打標(biāo)簽，因?yàn)闃?biāo)簽計(jì)算需要密碼學(xué)的加解密和加驗(yàn)簽等手段，主機(jī)性能消耗大，且具有較大的時(shí)延，落地體驗(yàn)較差.

3) 涉數(shù)賬號(hào)底賬管理.

賬號(hào)是訪問(wèn)數(shù)據(jù)的鑰匙，是數(shù)據(jù)的重要關(guān)鍵資產(chǎn)，因此必須將賬號(hào)底賬管理納入數(shù)據(jù)資產(chǎn)底賬管理同等重要的范疇.經(jīng)實(shí)踐，采用賬號(hào)發(fā)現(xiàn)及分析類工具可實(shí)現(xiàn)相關(guān)賬號(hào)底賬動(dòng)態(tài)管理的功能，能夠周期性掃描發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)開設(shè)的訪問(wèn)賬號(hào)情況，就指定時(shí)間段的2次賬號(hào)底賬進(jìn)行對(duì)比分析，及時(shí)發(fā)現(xiàn)關(guān)停未經(jīng)審批而開設(shè)的幽靈賬號(hào)以及長(zhǎng)期不適用的休眠賬號(hào)、離崗離職人員的賬號(hào)，從源頭上化解諸多由于賬號(hào)管理不完善造成的風(fēng)險(xiǎn).

4) 敏感數(shù)據(jù)流轉(zhuǎn)管控.

知道重要數(shù)據(jù)在哪后，還要掌握數(shù)據(jù)流轉(zhuǎn)情況，因此，需要有針對(duì)性地部署監(jiān)控工具和策略.監(jiān)控工具同樣需要利用數(shù)據(jù)管理者定義的數(shù)據(jù)特征識(shí)別這些重要數(shù)據(jù)被訪問(wèn)、共享、分發(fā)的情況，并進(jìn)行持續(xù)動(dòng)態(tài)監(jiān)控.進(jìn)而梳理出數(shù)據(jù)的訪問(wèn)源(即誰(shuí)訪問(wèn)了哪個(gè)重要數(shù)據(jù))、數(shù)據(jù)的流轉(zhuǎn)去向、形成新的存儲(chǔ)節(jié)點(diǎn)及其下游數(shù)據(jù)節(jié)點(diǎn).為確保重要數(shù)據(jù)資產(chǎn)訪問(wèn)均為授權(quán)行為，應(yīng)為每個(gè)重要數(shù)據(jù)資產(chǎn)維護(hù)授權(quán)訪問(wèn)的白名單信息，對(duì)于新增的訪問(wèn)源需進(jìn)行準(zhǔn)入確認(rèn)，對(duì)于長(zhǎng)期不活躍的訪問(wèn)源進(jìn)行下線確認(rèn).

4.3 實(shí)現(xiàn)全生存周期的數(shù)據(jù)安全策略動(dòng)態(tài)管理能力

數(shù)據(jù)安全管理者制訂的全生存周期安全策略，需要結(jié)合各場(chǎng)景采用相關(guān)技術(shù)工具支撐其細(xì)化落地.策略制訂前，需要明確識(shí)別差距和風(fēng)險(xiǎn)，采取應(yīng)對(duì)策略，統(tǒng)籌設(shè)計(jì)；整體策略發(fā)布實(shí)施后，數(shù)據(jù)管理者、運(yùn)維者、建設(shè)者結(jié)合具體工作場(chǎng)景，開展細(xì)化策略制訂，并引入相關(guān)技術(shù)支撐工具[17-18].

為實(shí)現(xiàn)策略可配、可管，并能基于風(fēng)險(xiǎn)動(dòng)態(tài)變更，在態(tài)勢(shì)感知平臺(tái)上應(yīng)提供以下措施予以保障：

1) 在平臺(tái)上動(dòng)態(tài)管理數(shù)據(jù)安全策略，基于策略現(xiàn)狀動(dòng)態(tài)開展差距評(píng)估，并針對(duì)安全監(jiān)控識(shí)別的風(fēng)險(xiǎn)進(jìn)一步完善策略，實(shí)現(xiàn)數(shù)據(jù)安全策略優(yōu)化完善的閉環(huán)管理；

2) 明確設(shè)置每條策略的管理對(duì)象、責(zé)任部門、實(shí)現(xiàn)手段、采取的技術(shù)策略及殘余風(fēng)險(xiǎn)，以便策略分工落實(shí)和貫徹執(zhí)行；

3) 盡可能對(duì)于各類數(shù)據(jù)安全工具進(jìn)行策略集成管理，對(duì)于通用安全策略(數(shù)據(jù)分級(jí)分類策略)在平臺(tái)側(cè)進(jìn)行集中統(tǒng)一的研制、更新，然后下發(fā)至底層探針；

4) 實(shí)現(xiàn)各工具設(shè)備協(xié)調(diào)統(tǒng)一，形成合力，從而識(shí)別未被保護(hù)的盲區(qū)和保護(hù)存在差距的位置，促進(jìn)策略進(jìn)一步健全.

4.4 實(shí)現(xiàn)全方位、智能化數(shù)據(jù)安全監(jiān)控與審計(jì)溯源能力

面對(duì)數(shù)據(jù)訪問(wèn)、傳輸、存儲(chǔ)涉及的多個(gè)暴露面風(fēng)險(xiǎn)，應(yīng)在承載數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)環(huán)境中，部署多種監(jiān)控手段(包括數(shù)據(jù)庫(kù)審計(jì)設(shè)備、終端DLP、網(wǎng)絡(luò)DLP、應(yīng)用安全審計(jì)、全流量設(shè)備等)，構(gòu)建覆蓋客戶端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)等多風(fēng)險(xiǎn)暴露面、全方位的風(fēng)險(xiǎn)監(jiān)控鏈.具體實(shí)踐過(guò)程中主要采用以下技術(shù)：

1) 日志集中采集治理，構(gòu)建全方位風(fēng)險(xiǎn)監(jiān)控鏈.

針對(duì)監(jiān)控日志分散、監(jiān)控規(guī)則單一的問(wèn)題，采取基于大數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)的統(tǒng)一日志采集、治理、智能化分析手段，將上述探針設(shè)備解析的監(jiān)控日志進(jìn)行集中采集、泛化、治理，形成安全日志統(tǒng)一標(biāo)準(zhǔn)化元數(shù)據(jù)，作為安全監(jiān)控告警模型的輸入.構(gòu)建覆蓋客戶端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)等多風(fēng)險(xiǎn)暴露面以及全方位的風(fēng)險(xiǎn)監(jiān)控鏈.

2) 安全監(jiān)控模型建設(shè)，智能化風(fēng)險(xiǎn)預(yù)警.

在建立監(jiān)控規(guī)則模型時(shí)，依據(jù)下列內(nèi)容：一是行業(yè)內(nèi)數(shù)據(jù)安全管理制度和策略.違背安全制度策略的行為視為違規(guī).如制度要求賬號(hào)專人專用，禁止多人共享，則應(yīng)據(jù)此設(shè)置以下監(jiān)控規(guī)則：1天內(nèi)來(lái)源于2個(gè)以上跨省網(wǎng)段的IP地址使用同一個(gè)賬號(hào)登錄系統(tǒng)判定為賬號(hào)多人共享.二是數(shù)據(jù)所有者和數(shù)據(jù)安全管理者等相關(guān)角色共同研究確定的電子政務(wù)系統(tǒng)用戶對(duì)數(shù)據(jù)進(jìn)行異常操作或敏感操作的特征.如對(duì)重要數(shù)據(jù)的查詢/導(dǎo)出數(shù)量超過(guò)6萬(wàn)條，以及1天內(nèi)高頻查詢重要數(shù)據(jù)，總量達(dá)6萬(wàn)條以上等.

然而，安全監(jiān)控規(guī)則模型的建立有一個(gè)難點(diǎn)，即用戶行為異常特征往往無(wú)法用簡(jiǎn)單的閾值去界定.這是因?yàn)槌鲇诓煌臉I(yè)務(wù)目的而開展的數(shù)據(jù)訪問(wèn)行為，形成的行為特征不同，界定異常的標(biāo)準(zhǔn)也不同，而且異常特征往往是多維度特征數(shù)據(jù)的組合.嘗試引入用戶實(shí)體行為分析(user entity behavior analysis, UEBA)技術(shù)，關(guān)聯(lián)全時(shí)空上下文，通過(guò)深度及關(guān)聯(lián)的安全分析模型及算法，利用AI分析模型(包括up/down異常、daily周期性異常、weekly周期性異常、新出現(xiàn)實(shí)體異常、閾值異常和潛伏型異常、集成學(xué)習(xí)評(píng)分以及強(qiáng)化學(xué)習(xí)、預(yù)測(cè)等算法)，結(jié)合歷史基線和群組對(duì)比，可以從時(shí)間、頻次、地域、數(shù)量等多維度發(fā)現(xiàn)各系統(tǒng)存在的安全風(fēng)險(xiǎn)和異常的用戶行為[19-20].經(jīng)驗(yàn)證，UEBA 通過(guò)聚合異常，大量降低總體告警量和誤報(bào)告警量，節(jié)省安全審計(jì)人員手動(dòng)關(guān)聯(lián)分析海量日志的時(shí)間，降低驗(yàn)證、調(diào)查、響應(yīng)的時(shí)間，為組織提供內(nèi)部安全威脅更精準(zhǔn)、更及時(shí)的定位，以支持開展數(shù)據(jù)安全常規(guī)審計(jì)及事件溯源工作.

5 小 結(jié)

在從事電子政務(wù)數(shù)據(jù)安全治理工作中，筆者所在團(tuán)隊(duì)基于數(shù)據(jù)安全風(fēng)險(xiǎn)動(dòng)態(tài)變化的理念，打造一套以數(shù)據(jù)發(fā)現(xiàn)、防護(hù)、監(jiān)測(cè)與響應(yīng)為核心思想，持續(xù)化運(yùn)營(yíng)的數(shù)據(jù)安全管理信息化平臺(tái).在平臺(tái)建設(shè)探索實(shí)踐中，筆者總結(jié)提出基于角色分工的數(shù)據(jù)安全管理能力、數(shù)據(jù)資產(chǎn)底賬分級(jí)分類動(dòng)態(tài)管理能力、全生存周期安全策略管理能力和全方位智能化數(shù)據(jù)安全監(jiān)控與審計(jì)溯源能力4種能力建設(shè)落地經(jīng)驗(yàn)，以提升組織數(shù)據(jù)安全管理及內(nèi)部威脅應(yīng)對(duì)水平，促使電子政務(wù)運(yùn)營(yíng)者逐步實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)看得見、說(shuō)得清、管得住、強(qiáng)審計(jì)、能追溯管理目標(biāo).后續(xù)，還需與業(yè)界同仁一道進(jìn)一步深入開展數(shù)據(jù)安全治理及配套態(tài)勢(shì)感知平臺(tái)建設(shè)實(shí)踐，為數(shù)據(jù)資源充分開發(fā)利用，數(shù)字經(jīng)濟(jì)高速發(fā)展，做好安全基石保障工作.