基于4A平臺(tái)的數(shù)據(jù)安全管控體系的設(shè)計(jì)與實(shí)現(xiàn)

大部分信息化水平較高的企業(yè)經(jīng)過多年的信息安全防護(hù)體系建設(shè)，在系統(tǒng)安全、終端安全、物理安全等方面已經(jīng)卓有成效，目前已經(jīng)分別在不同控制域完成了部分防泄密手段的安全控制。

為了更好的實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)，滿足業(yè)務(wù)發(fā)展和監(jiān)管合規(guī)要求，必須解決當(dāng)前數(shù)據(jù)內(nèi)容防護(hù)層面臨的以下問題：

1.敏感數(shù)據(jù)的內(nèi)容識(shí)別問題

（1）數(shù)據(jù)量大，數(shù)據(jù)關(guān)系復(fù)雜，難以進(jìn)行梳理。

（2）無法判斷出哪些是敏感數(shù)據(jù)。

（3）缺乏對(duì)數(shù)據(jù)內(nèi)容的分類和敏感級(jí)別分級(jí)。

（4）保護(hù)措施無法和敏感數(shù)據(jù)重要級(jí)別掛鉤，保護(hù)效能和效率較低。

2.敏感數(shù)據(jù)的存儲(chǔ)流轉(zhuǎn)問題

圖1 敏感數(shù)據(jù)管控體系的架構(gòu)

（1）對(duì)于重要敏感的數(shù)據(jù)存放位置無從知曉，保護(hù)難以下手。

（2）數(shù)據(jù)可能存放在電腦、手機(jī)、筆記本、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、存儲(chǔ)中。

（3）無法明確某類敏感數(shù)據(jù)在企業(yè)的整體分布情況。

（4）缺乏對(duì)不同數(shù)據(jù)在不同位置的風(fēng)險(xiǎn)評(píng)估視圖。

上述問題導(dǎo)致企業(yè)面對(duì)急速增長(zhǎng)的數(shù)據(jù)安全問題無法做到主動(dòng)發(fā)現(xiàn)、動(dòng)態(tài)監(jiān)控及管控措施，甚至因問題資產(chǎn)引發(fā)的安全事件在爆發(fā)后相當(dāng)長(zhǎng)的一段時(shí)間后才被知曉，管控措施較為消極。

設(shè)計(jì)思路

本方案通過對(duì)敏感數(shù)據(jù)管控現(xiàn)狀深入調(diào)研和梳理，結(jié)合PDCA的信息安全管理思想，提出敏感數(shù)據(jù)管控體系的架構(gòu)，如圖1所示。

1.建立敏感數(shù)據(jù)管控策略體系和責(zé)任矩陣：以安全策略的規(guī)劃和建設(shè)為核心，用安全策略指導(dǎo)并驅(qū)動(dòng)各項(xiàng)安全工作，使各項(xiàng)安全工作的目標(biāo)清晰化、責(zé)任具體化、執(zhí)行規(guī)范化、稽核有理化。

2.建立敏感數(shù)據(jù)管控技術(shù)體系并將安全策略落地：通過敏感數(shù)據(jù)管控子系統(tǒng)的形式體現(xiàn)，分為事前預(yù)防、事中控制、事后追溯和審計(jì)三個(gè)階段。

3.審核安全管控策略的有效性和遵從性：建立基于平臺(tái)的IT技術(shù)和管理流程的安全檢查機(jī)制和統(tǒng)一標(biāo)準(zhǔn)。

4.持續(xù)改進(jìn)敏感數(shù)據(jù)管控的策略體系和技術(shù)體系：實(shí)現(xiàn)信息安全重要指標(biāo)在線統(tǒng)計(jì)、匯總分析等，為管理層提供可視化的安全決策信息和多維度合規(guī)分析和展示。

關(guān)鍵功能實(shí)現(xiàn)

1.敏感數(shù)據(jù)識(shí)別管理

敏感數(shù)據(jù)管控子系統(tǒng)設(shè)計(jì)兩種方式識(shí)別敏感數(shù)據(jù)。一是利用爬蟲技術(shù)分析數(shù)據(jù)庫(kù)、文件夾、文件中的數(shù)據(jù)，分析其中的敏感數(shù)據(jù)匹配度，以得到敏感數(shù)據(jù)資產(chǎn)。二是利用應(yīng)用日志流量分析技術(shù)，通過在應(yīng)用前臺(tái)的網(wǎng)絡(luò)必達(dá)通路上部署嗅探設(shè)備，分析應(yīng)用前臺(tái)的應(yīng)用流量日志，進(jìn)而識(shí)別敏感數(shù)據(jù)。

（1）基于爬蟲技術(shù)的敏感數(shù)據(jù)識(shí)別

本方案采用數(shù)據(jù)資產(chǎn)爬蟲工具對(duì)數(shù)據(jù)庫(kù)、主機(jī)載體承載的數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)自動(dòng)采集，如圖2所示。

圖2 數(shù)據(jù)資產(chǎn)爬蟲工具工作機(jī)制示意圖

圖3 基于應(yīng)用日志流量采集識(shí)別過程

（2）基于應(yīng)用日志流量采集識(shí)別

本方案作為對(duì)數(shù)據(jù)庫(kù)后臺(tái)敏感數(shù)據(jù)采集的補(bǔ)充，針對(duì)前臺(tái)應(yīng)用采用流量嗅探的方式主動(dòng)抓取Web應(yīng)用流量，通過對(duì)HTTP協(xié)議的解析，還原業(yè)務(wù)訪問流量，從中分析敏感數(shù)據(jù)生成和訪問情況，如圖3所示。

2.敏感數(shù)據(jù)模糊化處理

針對(duì)應(yīng)用前臺(tái)數(shù)據(jù)，客戶信息在前臺(tái)進(jìn)行展現(xiàn)時(shí)，按照模糊化規(guī)則對(duì)敏感信息數(shù)據(jù)的展現(xiàn)進(jìn)行模糊化處理，確保低權(quán)限帳號(hào)無法直接查看模糊化前的原始信息。

針對(duì)測(cè)試后臺(tái)數(shù)據(jù)，在通過接口方式向外部提供客戶名稱、證件號(hào)碼時(shí)應(yīng)結(jié)合對(duì)端機(jī)構(gòu)情況進(jìn)行一定的模糊化處理。

就每個(gè)模糊化規(guī)則的設(shè)定來說，其主要過程包含敏感數(shù)據(jù)要素分解、關(guān)鍵位置標(biāo)注以及模糊規(guī)則定義等內(nèi)容。

3.敏感數(shù)據(jù)訪問監(jiān)控

正常訪問監(jiān)控主要包括前臺(tái)敏感數(shù)據(jù)訪問異常監(jiān)控、后臺(tái)敏感數(shù)據(jù)訪問異常監(jiān)控、后臺(tái)關(guān)鍵維護(hù)指令異常的監(jiān)控、金庫(kù)控制異常監(jiān)控。

監(jiān)控方式主要采取閾值比對(duì)方法，將指定周期內(nèi)對(duì)查詢和導(dǎo)出等敏感數(shù)據(jù)訪問操作行為的訪問量與閾值比對(duì)，發(fā)現(xiàn)超出閾值的訪問情況。

4.敏感數(shù)據(jù)繞行監(jiān)控

繞行訪問監(jiān)控主要包括前臺(tái)敏感數(shù)據(jù)繞行監(jiān)控、后臺(tái)敏感數(shù)據(jù)繞行監(jiān)控、金庫(kù)管理繞行監(jiān)控。

監(jiān)控方式是從4A平臺(tái)直接采集對(duì)敏感數(shù)據(jù)所在資產(chǎn)的繞行訪問日志直接進(jìn)行分析比對(duì)。

敏感數(shù)據(jù)資產(chǎn)生成以后，結(jié)合4A平臺(tái)對(duì)敏感數(shù)據(jù)資產(chǎn)的訪問進(jìn)行金庫(kù)控制和審計(jì)。主賬號(hào)登錄4A平臺(tái)訪問資源包含敏感數(shù)據(jù)資產(chǎn)時(shí)，自動(dòng)觸發(fā)金庫(kù)。

5.敏感數(shù)據(jù)審計(jì)管理

審計(jì)系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)的敏感數(shù)據(jù)訪問日志進(jìn)行采集，并通過相關(guān)字段進(jìn)行關(guān)聯(lián)定位自然人身份、泄露源，以便能夠根據(jù)泄露內(nèi)容對(duì)泄露事件進(jìn)行溯源。

6.敏感數(shù)據(jù)防泄露

（1）網(wǎng)絡(luò)敏感數(shù)據(jù)防泄漏

通過掃描網(wǎng)絡(luò)中的所有數(shù)據(jù)，查看其是否包含敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)發(fā)現(xiàn)情況進(jìn)行提示或告警。

通過使用端口鏡像SPAN）或網(wǎng)絡(luò)分流器配置，在網(wǎng)絡(luò)交換機(jī)上使用端口鏡像方法，所有進(jìn)出端口的網(wǎng)絡(luò)數(shù)據(jù)包都將被復(fù)制到另一個(gè)與網(wǎng)絡(luò)敏感數(shù)據(jù)防泄漏設(shè)備連接的專用交換機(jī)端口，并對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)分析處理。

（2）端點(diǎn)敏感數(shù)據(jù)防泄漏解決方案

圖4 全網(wǎng)敏感數(shù)據(jù)全生命周期管理系統(tǒng)架構(gòu)

通過在終端上部署端點(diǎn)敏感數(shù)據(jù)防泄漏設(shè)備，監(jiān)視正被下載到或?qū)懭氡镜仳?qū)動(dòng)器的數(shù)據(jù)，同時(shí)監(jiān)視和攔截復(fù)制到USB、防火墻或SCSI存儲(chǔ)設(shè)備或燒錄到CD/DVD的保密數(shù)據(jù)。可以選擇顯示屏幕彈出消息，通知最終用戶違反了策略并包含一些字段供用戶判斷。

7.管控文件夾

維護(hù)人員維護(hù)敏感數(shù)據(jù)文件是通過單點(diǎn)登錄管控文件夾的方式直接操作敏感數(shù)據(jù)源文件，達(dá)到敏感數(shù)據(jù)專人專管，不能隨意修改、拷貝的目的。

建設(shè)效果

敏感數(shù)據(jù)管控子系統(tǒng)面向數(shù)據(jù)全生命周期，基于數(shù)據(jù)所處的不同周期與狀態(tài)，以敏感數(shù)據(jù)動(dòng)態(tài)發(fā)現(xiàn)、安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控和數(shù)據(jù)閉環(huán)管理為技術(shù)手段，構(gòu)建動(dòng)態(tài)響應(yīng)、主動(dòng)型安全保障體系為目標(biāo)，建立一套全網(wǎng)敏感數(shù)據(jù)全生命周期管理系統(tǒng)，如圖4所示。

具體效果如下：

敏感數(shù)據(jù)發(fā)現(xiàn)：實(shí)現(xiàn)基于指紋、關(guān)鍵字、詞典、語義、正則表達(dá)式等多種方式的敏感數(shù)據(jù)發(fā)現(xiàn)能力。

數(shù)據(jù)分類分級(jí)：通過抽取文件中的關(guān)鍵字，利用聚類算法實(shí)現(xiàn)對(duì)數(shù)據(jù)的自動(dòng)化分類分級(jí)。

敏感收據(jù)流轉(zhuǎn)監(jiān)控：利用現(xiàn)有4A平臺(tái)，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)訪問過程的全程監(jiān)控，保障敏感數(shù)據(jù)的可視化管控。

建立敏感數(shù)據(jù)庫(kù)：根據(jù)以上發(fā)現(xiàn)的敏感數(shù)據(jù)信息建立敏感數(shù)據(jù)指紋庫(kù)，并能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)變化的管理。

數(shù)據(jù)全生命周期管理：實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期的管控，包括數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、流轉(zhuǎn)、使用、銷毀等環(huán)節(jié)。

資產(chǎn)與敏感數(shù)據(jù)關(guān)聯(lián)及快速響應(yīng)：建立敏感數(shù)據(jù)資產(chǎn)載體視圖，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)的快速響應(yīng)。

數(shù)據(jù)共享：系統(tǒng)具有開放能力，可與其他系統(tǒng)能夠通過接口進(jìn)行數(shù)據(jù)連通。