任興

摘要：信息時(shí)代進(jìn)入數(shù)據(jù)時(shí)代，數(shù)據(jù)的價(jià)值正在進(jìn)一步的凸顯和被挖掘。同時(shí)，數(shù)據(jù)已經(jīng)成為企業(yè)的核心資產(chǎn)。相應(yīng)的以數(shù)據(jù)為目標(biāo)的網(wǎng)絡(luò)攻擊已經(jīng)成為數(shù)據(jù)時(shí)代新的安全威脅。企業(yè)的信息安全需求已經(jīng)從基本的網(wǎng)絡(luò)安全防護(hù)升級為對數(shù)據(jù)的安全防護(hù)，就要了解數(shù)據(jù)資產(chǎn)分布、數(shù)據(jù)流動(dòng)狀況、數(shù)據(jù)風(fēng)險(xiǎn)的預(yù)警以及能夠?qū)?shù)據(jù)安全事件的溯源。

關(guān)鍵詞：數(shù)據(jù)安全;數(shù)據(jù)資產(chǎn);風(fēng)險(xiǎn)預(yù)警;溯源

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）22-0025-04

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1 前言

數(shù)據(jù)作為生產(chǎn)資料的屬性，在流動(dòng)和融合創(chuàng)造新價(jià)值。兼顧數(shù)據(jù)流動(dòng)增值需求的數(shù)據(jù)安全體系，絕對不是對數(shù)據(jù)進(jìn)行籠子式的靜態(tài)保護(hù)體系能解決的，一定是一個(gè)動(dòng)態(tài)對風(fēng)險(xiǎn)感知，必要時(shí)才對數(shù)據(jù)使用和流動(dòng)做出保護(hù)干預(yù)的動(dòng)態(tài)風(fēng)險(xiǎn)感知分析和風(fēng)險(xiǎn)控制的體系。

通過感知數(shù)據(jù)安全整體態(tài)勢、將風(fēng)險(xiǎn)點(diǎn)可視化、對風(fēng)險(xiǎn)量化，從而形成數(shù)據(jù)安全的全局視野。進(jìn)一步的，根據(jù)態(tài)勢指導(dǎo)數(shù)據(jù)安全建設(shè)和風(fēng)險(xiǎn)響應(yīng)，實(shí)現(xiàn)資源最大化利用、跟進(jìn)緊急優(yōu)先程度調(diào)度任務(wù)、安全效果的可量化比較、新風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)與處置以及系統(tǒng)不斷回饋與改進(jìn)進(jìn)化。

2 數(shù)據(jù)安全監(jiān)控需求分析

目前，大部分的數(shù)據(jù)安全監(jiān)控手段是通過局部的日志篩選和分析，如數(shù)據(jù)庫的操作日志匹配方式。這種方式只能記錄對數(shù)據(jù)庫的訪問請求，不能記錄訪問請求的詳細(xì)結(jié)果，更不能掌握敏感數(shù)據(jù)分布、流動(dòng)狀況、數(shù)據(jù)風(fēng)險(xiǎn)、對數(shù)據(jù)安全事件的溯源。

2.1 數(shù)據(jù)安全風(fēng)險(xiǎn)可視化

（1）了解數(shù)據(jù)資產(chǎn)的分布

需要自動(dòng)發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器、敏感數(shù)據(jù)的分布情況，為后續(xù)安全加固明確目標(biāo)。

（2）實(shí)時(shí)掌握數(shù)據(jù)庫系統(tǒng)的可用性

要求能對數(shù)據(jù)庫運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，在狀態(tài)異常時(shí)進(jìn)行預(yù)警，提前防止業(yè)務(wù)癱瘓，保障業(yè)務(wù)系統(tǒng)的連續(xù)可用性。

（3）實(shí)時(shí)掌握數(shù)據(jù)庫存在的風(fēng)險(xiǎn)狀況

能通過掃描的方式，靜態(tài)的評估企業(yè)數(shù)據(jù)庫系統(tǒng)的風(fēng)險(xiǎn)，掃描內(nèi)容包括：弱口令檢測、系統(tǒng)漏洞、配置風(fēng)險(xiǎn)等。

（4）需要進(jìn)行數(shù)據(jù)活動(dòng)監(jiān)控

實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)活動(dòng)情況，記錄數(shù)據(jù)訪問行為，尤其是對敏感數(shù)據(jù)的訪問行為。要求能實(shí)現(xiàn)對數(shù)據(jù)庫的直接訪問和通過Web和應(yīng)用對數(shù)據(jù)庫的間接訪問進(jìn)行全面監(jiān)控。

2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)可控化

（1）需要進(jìn)行數(shù)據(jù)活動(dòng)保護(hù)

在數(shù)據(jù)活動(dòng)監(jiān)控的基礎(chǔ)上，提供訪問控制規(guī)則，對違規(guī)的數(shù)據(jù)訪問進(jìn)行阻止。要求系統(tǒng)能夠自動(dòng)學(xué)習(xí)應(yīng)用系統(tǒng)對數(shù)據(jù)的訪問行為模式，并生成不同粒度的訪問規(guī)則。

（2）需要進(jìn)行數(shù)據(jù)庫攻擊檢測和保護(hù)

在系統(tǒng)內(nèi)置攻擊檢測規(guī)則，能夠?qū)崟r(shí)檢測和阻止針對數(shù)據(jù)庫協(xié)議、SQL注入和緩沖區(qū)溢出等多種攻擊，同時(shí)詳細(xì)地記錄攻擊的詳細(xì)信息。

2.3 數(shù)據(jù)安全管理合規(guī)化

國家和各行業(yè)的監(jiān)管機(jī)構(gòu)越來越重視數(shù)據(jù)的安全管理，相繼出臺(tái)了《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《信息安全等級保護(hù)管理辦法》等幾十項(xiàng)法規(guī)和標(biāo)準(zhǔn)，并開展以數(shù)據(jù)安全管理為重點(diǎn)的安全評測和檢查。數(shù)據(jù)安全監(jiān)控需要能夠幫助企業(yè)經(jīng)濟(jì)快速地滿足合規(guī)審計(jì)要求。

3 數(shù)據(jù)安全監(jiān)控方案設(shè)計(jì)

3.1 數(shù)據(jù)安全監(jiān)控流程設(shè)計(jì)

（1）摸清數(shù)據(jù)資產(chǎn)分布

當(dāng)數(shù)據(jù)在存儲(chǔ)狀態(tài)時(shí)，數(shù)據(jù)是一種資產(chǎn)，我們希望全面了解自己的資產(chǎn)分布，尤其是高價(jià)值資產(chǎn)，以便于做出統(tǒng)一的分類分級以及相關(guān)的安全保護(hù)措施，避免未知的數(shù)據(jù)安全風(fēng)險(xiǎn)。通過數(shù)據(jù)資產(chǎn)地圖的構(gòu)建，幫助企業(yè)管理者對數(shù)據(jù)現(xiàn)狀有全方位的了解。同時(shí)為基于數(shù)據(jù)分類分級的數(shù)據(jù)管理提供基礎(chǔ)服務(wù)，為更加精準(zhǔn)用戶行為分析和異常檢測提供基礎(chǔ)能力。

（2）掌握數(shù)據(jù)流動(dòng)情況

當(dāng)數(shù)據(jù)被使用和流動(dòng)時(shí)，我們要了解它在什么時(shí)候以什么方式流出到什么地方。應(yīng)用數(shù)據(jù)安全網(wǎng)關(guān)，可以從流量中分析出敏感數(shù)據(jù)在流動(dòng)過程中的時(shí)間，路徑，流動(dòng)方向，流向環(huán)境等多個(gè)數(shù)據(jù)流動(dòng)中核心要素，幫助企業(yè)管理者看清數(shù)據(jù)如何流動(dòng)和被使用。基于這些信息，數(shù)據(jù)安全審計(jì)系統(tǒng)可以進(jìn)一步提供內(nèi)部數(shù)據(jù)使用合規(guī)審計(jì)、案件的溯源分析能力。

（3）掌控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)

當(dāng)數(shù)據(jù)在流動(dòng)過程中產(chǎn)生了數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)，我們要有靈活的控制能力，給誰，給哪些字段，字段用什么脫敏手段，給多少量級，是否增加一些噪聲和指紋數(shù)據(jù)等。應(yīng)用數(shù)據(jù)安全網(wǎng)關(guān)提供了靈活的賬號(hào)，IP粒度的動(dòng)態(tài)脫敏和風(fēng)險(xiǎn)數(shù)據(jù)流動(dòng)阻斷控制能力。

（4）數(shù)據(jù)態(tài)勢監(jiān)控

以數(shù)據(jù)地圖、數(shù)據(jù)的使用和流動(dòng)信息為基礎(chǔ)，整合更多內(nèi)部系統(tǒng)日志、人員數(shù)據(jù)、外部數(shù)據(jù)安全情報(bào)，通過數(shù)據(jù)安全風(fēng)險(xiǎn)分析系統(tǒng)，可以形成更大維度的數(shù)據(jù)風(fēng)險(xiǎn)分析和感知體系，利用機(jī)器學(xué)習(xí)算法，快速發(fā)現(xiàn)各類數(shù)據(jù)安全風(fēng)險(xiǎn)，提供及時(shí)處置的能力。

3.2 數(shù)據(jù)安全監(jiān)控設(shè)計(jì)原則

3.2.1 科學(xué)規(guī)劃原則

方案設(shè)計(jì)符合相關(guān)政策和標(biāo)準(zhǔn)規(guī)范要求。以實(shí)際業(yè)務(wù)需求為導(dǎo)向，對數(shù)據(jù)安全監(jiān)控方案進(jìn)行科學(xué)規(guī)劃、有效指導(dǎo)，保證數(shù)據(jù)安全監(jiān)控方案設(shè)計(jì)進(jìn)的有效性和規(guī)范性。

3.2.2 先進(jìn)性原則

方案設(shè)計(jì)中所有的組成要素均充分地考慮其先進(jìn)性，滿足不斷提升的信息化建設(shè)與應(yīng)用的要求，保證其在相當(dāng)長的時(shí)間內(nèi)具有技術(shù)優(yōu)勢。

3.2.3 擴(kuò)展性原則

系統(tǒng)預(yù)留相應(yīng)的接口以便擴(kuò)充之用，控制部件（軟、硬件）采用模塊式結(jié)構(gòu)，可以方便靈活進(jìn)行擴(kuò)充，保證未來的適應(yīng)性;為以后的升級預(yù)留空間，充分考慮結(jié)構(gòu)設(shè)計(jì)的合理、規(guī)范對系統(tǒng)的維護(hù)可以在短時(shí)間內(nèi)完成。

4 數(shù)據(jù)安全監(jiān)控解決方案

4.1 數(shù)據(jù)安全監(jiān)控邏輯框架

第一步：通過交換機(jī)旁路，或者在數(shù)據(jù)庫上服務(wù)器上部署軟件探針的方式，獲取到數(shù)據(jù)訪問的通信內(nèi)容，經(jīng)過IP/登錄名/應(yīng)用程序名等過濾，區(qū)別出機(jī)器訪問行為和用戶訪問行為，將所需要的流量數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。

第二步：對通信內(nèi)容解析后，并匹配黑名單、白名單等規(guī)則，并將結(jié)果寫入到存儲(chǔ)日志庫中。

第三步：統(tǒng)計(jì)分析工作站對日志進(jìn)行統(tǒng)計(jì)分析，生成報(bào)表，并將報(bào)表寫入到報(bào)表結(jié)果庫中。

第四步：檢索工作站接受查詢和人機(jī)交互請求，輸出結(jié)果。

4.2 數(shù)據(jù)清洗及全面日志分析

4.2.1 全面日志數(shù)據(jù)采集

通過敏感表識(shí)別，通過解析通信流量中的訪問指令的返回結(jié)果，并將其與預(yù)置的敏感信息策略相匹配，從而實(shí)時(shí)判斷識(shí)別敏感信息操作，并結(jié)合上行訪問指令的解析，識(shí)別敏感信息表。

除自身審計(jì)日志外，采用了多審計(jì)源校驗(yàn)，查漏補(bǔ)缺。使用包括網(wǎng)絡(luò)流量日志、堡壘采集日志、繞行日志相結(jié)合，相互交叉檢驗(yàn)，確保數(shù)據(jù)訪問日志更加全面、準(zhǔn)確、可靠。

（1）安全監(jiān)控系統(tǒng)支持的日志收集協(xié)議包括：

Syslog （UDP and TCP）

JDBC/ODBC

SNMP Version 1，2，3

Log File copy （SCP，SFTP，F(xiàn)TP）

SDEE

OPSEC/LEA

（2）日志采集方式包括：

l 軟件探針：運(yùn)行與數(shù)據(jù)庫主機(jī)，將訪問數(shù)據(jù)庫的行為和結(jié)果過濾后，發(fā)送給審計(jì)系統(tǒng)。

l 端口鏡像：配置交換機(jī)，將訪問數(shù)據(jù)庫的行為和結(jié)果鏡像轉(zhuǎn)發(fā)給審計(jì)系統(tǒng)。

l 接收或獲取已有日志數(shù)據(jù)。

（3）采集日志的信息包括：

? 主體信息：數(shù)據(jù)庫用戶、客戶端IP、客戶端端口、客戶端MAC、主機(jī)名、系統(tǒng)用戶名、源程序名

? 對象信息：數(shù)據(jù)庫IP、數(shù)據(jù)庫端口、數(shù)據(jù)庫MAC、數(shù)據(jù)庫名、數(shù)據(jù)庫對象

? 命令信息：操作類型、操作語句

? 其他信息：發(fā)起時(shí)間、執(zhí)行時(shí)間

（4）數(shù)據(jù)庫運(yùn)維日志

數(shù)據(jù)庫運(yùn)維日志包括上行的SQL操作命令和下行的數(shù)據(jù)查詢結(jié)果。通過旁路或者軟件探針的方式，采集到運(yùn)維人員對數(shù)據(jù)庫的操作日志。對發(fā)起訪問主體的信息和被訪問對象的信息，以及訪問命令執(zhí)行結(jié)果均可完整詳細(xì)記錄。

在數(shù)據(jù)庫所在服務(wù)器上，以一種基于主機(jī)的嗅探模式，獲取對數(shù)據(jù)庫的訪問，并對數(shù)據(jù)進(jìn)行初步解析，從而實(shí)現(xiàn)根據(jù)數(shù)據(jù)訪問來源的過濾，例如根據(jù)IP地址、DB用戶名、程序名、操作系統(tǒng)名等等的過濾。

（5）日志甄別分類

現(xiàn)有系統(tǒng)只能識(shí)別人員操作命令，審計(jì)工作量大，審計(jì)效果差。此方案從訪問操作結(jié)果數(shù)據(jù)為角度，通過建立模型進(jìn)行分析，自動(dòng)識(shí)別機(jī)器操作和用戶合規(guī)操作，建立操作行為模型，有效甄別用戶操作合規(guī)性，減少審計(jì)日志量。

對現(xiàn)有日志進(jìn)行甄別，自動(dòng)識(shí)別并分類出人為或機(jī)器的訪問行為，并可以有選擇的只保留人為或者機(jī)器的訪問行為日志?？纱蟠鬁p緩大量數(shù)據(jù)下的分析壓力，提高實(shí)時(shí)分析效率。

4.2.2 日志數(shù)據(jù)處理存儲(chǔ)

安全監(jiān)控系統(tǒng)中日志數(shù)據(jù)處理與存儲(chǔ)建立日志數(shù)據(jù)庫，存儲(chǔ)系統(tǒng)收集到的數(shù)據(jù)庫訪問日志，以及數(shù)據(jù)庫返回的結(jié)果。分析平臺(tái)底層的存儲(chǔ)系統(tǒng)除了支撐起大數(shù)據(jù)分析平臺(tái)的實(shí)時(shí)、近線、離線計(jì)算之外，還具備數(shù)據(jù)備份和歸檔的功能。自動(dòng)對非活躍數(shù)據(jù)進(jìn)行壓縮歸檔，以提升整體資源利用率;同時(shí)具備對歸檔數(shù)據(jù)的快速恢復(fù)的能力，方便用戶對歷史數(shù)據(jù)進(jìn)行分析和事件回溯。

分為三個(gè)層次，包括數(shù)據(jù)接口層、數(shù)據(jù)匯集層、數(shù)據(jù)ETL層。每個(gè)層次各執(zhí)其能，松度耦合，為上層平臺(tái)和下層防護(hù)提供數(shù)據(jù)功能，每個(gè)層的描述如下：

數(shù)據(jù)接口層，主要承擔(dān)數(shù)據(jù)的傳遞接口，支持對中類型的數(shù)據(jù)接口類型，滿足不同平臺(tái)的對接。

數(shù)據(jù)匯集層，主要承擔(dān)數(shù)據(jù)存儲(chǔ)，在數(shù)據(jù)傳遞、計(jì)算、存儲(chǔ)過程中都有可能用到此層，保證對數(shù)據(jù)的有效利用;針對不同的數(shù)據(jù)使用場景，提供不同的存儲(chǔ)方式。

數(shù)據(jù)ETL層，主要承擔(dān)對數(shù)據(jù)清洗＼過濾、標(biāo)準(zhǔn)化、信息補(bǔ)全和標(biāo)簽化等工作。

對采集到的日志數(shù)據(jù)進(jìn)行存儲(chǔ)，并對數(shù)據(jù)分析模塊提供數(shù)據(jù)檢索展示。數(shù)據(jù)存儲(chǔ)分為兩個(gè)部分，一部分仍然需要繼續(xù)進(jìn)行分析的數(shù)據(jù)，稱為熱數(shù)據(jù)，存儲(chǔ)于實(shí)時(shí)分析數(shù)據(jù)庫中。 一部分已經(jīng)超過審計(jì)規(guī)則最大時(shí)間周期要求，但又沒有超過6個(gè)月的強(qiáng)制保存要求的數(shù)據(jù)，稱為冷數(shù)據(jù)，歸檔到系統(tǒng)存儲(chǔ)空間。

4.3 敏感數(shù)據(jù)分類管理

人工方式無法完整梳理敏感信息表，新業(yè)務(wù)不斷涌現(xiàn)，新模型新功能的上線，不斷增加敏感信息表，但無法及時(shí)更新審計(jì)策略，造成審計(jì)策略及時(shí)性問題，原有的審計(jì)策略容易出現(xiàn)漏洞。基于堡壘機(jī)記錄而非流量的日志易出現(xiàn)缺漏。本安全防控體系的技術(shù)實(shí)現(xiàn)通過對敏感數(shù)據(jù)的識(shí)別和標(biāo)記，能夠完整跟蹤記錄敏感數(shù)據(jù)行為，為行為分析、操作合規(guī)性數(shù)據(jù)建模、數(shù)據(jù)溯源等功能提供基礎(chǔ)

（1）敏感數(shù)據(jù)的分類

依據(jù)2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》第21條第四款之規(guī)定：采取數(shù)據(jù)分類，重要數(shù)據(jù)備份和加密等措施。可以根據(jù)數(shù)據(jù)屬性、個(gè)人信息、用戶信息、業(yè)務(wù)信息等維度來將數(shù)據(jù)進(jìn)行分類。同時(shí)也可以采取屬性+數(shù)據(jù)量的方式來對業(yè)務(wù)進(jìn)行分級。

一般可由公司總部制定《敏感數(shù)據(jù)定級標(biāo)準(zhǔn)》，根據(jù)數(shù)據(jù)的屬性和數(shù)據(jù)總量，以獨(dú)立的數(shù)據(jù)庫或者文件集合為單位進(jìn)行敏感性單獨(dú)定級。

定級的標(biāo)準(zhǔn)可參考《網(wǎng)絡(luò)安全等級保護(hù)制度》《個(gè)人信息安全規(guī)范》的有關(guān)標(biāo)準(zhǔn)，更能量化。

參考等?？蓪?shù)據(jù)的敏感性分為三級：一般敏感、敏感、非常敏感，對應(yīng)等保二、三、四級。

（2）敏感數(shù)據(jù)識(shí)別

從日志結(jié)果中，自動(dòng)識(shí)別出敏感數(shù)據(jù)信息，在不需要數(shù)據(jù)庫口令的情況下，掌握敏感數(shù)據(jù)的流動(dòng)情況。

敏感數(shù)據(jù)識(shí)別算法對所有字段級的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)智能分析，自動(dòng)發(fā)現(xiàn)包含指定敏感數(shù)據(jù)。支持企業(yè)自定義敏感數(shù)據(jù)，通過用戶定義的規(guī)則來識(shí)別敏感數(shù)據(jù)，也可以通過用戶提交學(xué)習(xí)樣本到學(xué)習(xí)引擎中，形成新的敏感數(shù)據(jù)識(shí)別模型。具體而言，通過人工和規(guī)則手段標(biāo)記和分類大量的樣本數(shù)據(jù)。然后對于構(gòu)建的樣本數(shù)據(jù)，利用傳統(tǒng)NLP技術(shù)，進(jìn)行一系列的文本數(shù)據(jù)清理。最后采用前沿的深度學(xué)習(xí)模型對樣本數(shù)據(jù)進(jìn)行訓(xùn)練得到敏感數(shù)據(jù)識(shí)別模型。

（3）敏感數(shù)據(jù)標(biāo)記

在防控系統(tǒng)中標(biāo)記出敏感數(shù)據(jù)，并進(jìn)一步地設(shè)置溯源規(guī)則。

對于個(gè)人信息，《個(gè)人信息安全規(guī)范》定義了個(gè)人信息的范疇和分類，但對個(gè)人數(shù)據(jù)的分級還沒有統(tǒng)一的定義。結(jié)合中國移動(dòng)行業(yè)具體數(shù)據(jù)分級分類要求，系統(tǒng)將內(nèi)置個(gè)人信息的分級建議作為參照，幫助數(shù)據(jù)安全管理人員對個(gè)人信息字段進(jìn)行標(biāo)記。

4.4 建模自動(dòng)分析操作行為

從訪問操作結(jié)果數(shù)據(jù)為角度，可以從更多維度建立模型進(jìn)行分析。這類以數(shù)據(jù)行為為基礎(chǔ)的審計(jì)監(jiān)控，可以拋開依賴現(xiàn)有平臺(tái)技術(shù)的缺陷，應(yīng)對今后的大數(shù)據(jù)、nosql、云等新技術(shù)更加有效。由于現(xiàn)有系統(tǒng)只能識(shí)別人員操作命令，很難識(shí)別操作是否異常，無法建立模型自動(dòng)識(shí)別。導(dǎo)致審計(jì)工作量大，審計(jì)效果差。本方案從訪問操作結(jié)果數(shù)據(jù)為角度，可以從更多維度建立模型進(jìn)行分析，通過人工智能分析自動(dòng)識(shí)別用戶合規(guī)操作，建立操作行為模型，有效甄別用戶操作合規(guī)性，減少審計(jì)日志量。

（1）用戶行為自動(dòng)分析

為了精準(zhǔn)的識(shí)別數(shù)據(jù)流動(dòng)過程中的風(fēng)險(xiǎn)，采用UEBA的方法來對數(shù)據(jù)流動(dòng)日志進(jìn)行深入分析。自動(dòng)分析訪問數(shù)據(jù)類型分布、訪問行為類型分布、訪問行為趨勢、訪問數(shù)據(jù)趨勢等有用數(shù)據(jù)。

圍繞用戶主體（包括賬號(hào)，IP等）的數(shù)據(jù)訪問行為，從訪問的數(shù)據(jù)類型，訪問的數(shù)據(jù)量，訪問數(shù)據(jù)時(shí)間，訪問數(shù)據(jù)方式，訪問數(shù)據(jù)頻次，訪問數(shù)據(jù)的環(huán)境等多個(gè)維度，利用傅立葉變化，統(tǒng)計(jì)分位數(shù)等數(shù)據(jù)量化方式來描述用戶主體的數(shù)據(jù)訪問畫像。

基于分布式實(shí)時(shí)流計(jì)算，細(xì)粒度、多維度行為基線建模，基于機(jī)器學(xué)習(xí)算法的行為預(yù)測，插件式行為檢測模板。

（2）數(shù)據(jù)被訪問情況分析

自動(dòng)分析數(shù)據(jù)流動(dòng)情況總覽、流動(dòng)數(shù)據(jù)類型分布、數(shù)據(jù)流向TOP IP/TOP 用戶等有用數(shù)據(jù)。圍繞數(shù)據(jù)訪問行為，從被訪問數(shù)據(jù)應(yīng)用系統(tǒng)，用戶信息，數(shù)據(jù)量，訪問時(shí)間，訪問數(shù)據(jù)方式等多個(gè)維度來描述數(shù)據(jù)被訪問情況分析。

根據(jù)數(shù)據(jù)之間的關(guān)聯(lián)分析規(guī)則，基于源，目標(biāo)， 協(xié)議，事件類型的特征以及預(yù)定義的關(guān)聯(lián)規(guī)則等進(jìn)行分析。

（3）甄別運(yùn)維行為合規(guī)性

基于訪問規(guī)則（如：黑白名單）識(shí)別運(yùn)維操作的合規(guī)性。自動(dòng)篩選異常訪問行為和違規(guī)操作。

（4）操作行為白名單識(shí)別

通過多維度模型分析，自動(dòng)識(shí)別和發(fā)現(xiàn)用戶對數(shù)據(jù)的操作類型的白名單。

（5）黑名單、白名單管理

對數(shù)據(jù)訪問行為的黑名單和白名單進(jìn)行管理：查看、檢索、修改、添加、刪除?？梢杂行д鐒e用戶操作。

4.5 索引分析溯源追蹤

由于沒有操作結(jié)果數(shù)據(jù)的記錄，無法進(jìn)行數(shù)據(jù)流動(dòng)分析，更無法對已知數(shù)據(jù)分析，進(jìn)行溯源追蹤。本方案中，通過對操作結(jié)果數(shù)據(jù)的記錄和分析，可以掌握敏感數(shù)據(jù)的流向情況，建立數(shù)據(jù)溯源模型，實(shí)現(xiàn)對已知數(shù)據(jù)的溯源追蹤，真正解決安全源頭問題。

（1）數(shù)據(jù)訪問情況索引

對特定或異常數(shù)據(jù)訪問情況進(jìn)行索引，以便于快速檢索查找，分析情況。提供搜索引擎方式的原始的安全威脅數(shù)據(jù)搜索入口，可實(shí)現(xiàn)快速的海量數(shù)據(jù)檢索。

（2）數(shù)據(jù)泄露追蹤模型

建立數(shù)據(jù)相似度計(jì)算模型，基于該模型，可以根據(jù)輸入的泄漏的數(shù)據(jù)，輸出可能的泄露事件。

安全事件溯源分析在確定攻擊事件后會(huì)回溯所有攻擊相關(guān)的數(shù)據(jù)包，對系統(tǒng)近期的所有行為進(jìn)行串聯(lián)，確定攻擊事件的整個(gè)事件周期，展示整個(gè)攻擊事件的所有攻擊路徑，結(jié)合終端用戶行為審計(jì)模塊確定攻擊者的身份。

l 能根據(jù)用戶身份數(shù)據(jù)進(jìn)行反查，關(guān)聯(lián)出該攻擊的身份信息，至少包含該常用登陸地址以及常用訪問信息等數(shù)據(jù)。

l 能對該訪問者的訪問軌跡進(jìn)行關(guān)聯(lián)聚合取證，方便運(yùn)維人員快速定位安全事件和訪問者的身份。

l 按時(shí)間周期統(tǒng)計(jì)，周期包括：24小時(shí)（日）、7天（周）、30天（月）以及任意自定義時(shí)間等。

l 精準(zhǔn)查詢，用戶可以在溯源平臺(tái)上通過多種類型的精細(xì)過濾條件對歷史事件進(jìn)行精確查詢，完整還原數(shù)據(jù)訪問鏈路。

l 批量溯源，通過批量輸入待溯源的線索，平臺(tái)自動(dòng)對查詢結(jié)果進(jìn)行關(guān)聯(lián)、匯總，方便用戶通過關(guān)聯(lián)度、集中度等特性定位數(shù)據(jù)風(fēng)險(xiǎn)點(diǎn)。

5 總結(jié)

本文總結(jié)了目前新形勢下數(shù)據(jù)安全監(jiān)控的主要需求，并提出了對應(yīng)的解決方案，以數(shù)據(jù)為焦點(diǎn)，以數(shù)據(jù)訪問行為的結(jié)果為導(dǎo)向，對數(shù)據(jù)安全事件進(jìn)行監(jiān)控，提高預(yù)警能力，在事件嚴(yán)重化之前及時(shí)告警，并能夠?qū)?shù)據(jù)安全事件進(jìn)行溯源跟蹤，實(shí)現(xiàn)讓數(shù)據(jù)按業(yè)務(wù)需要流動(dòng)產(chǎn)生價(jià)值。

【通聯(lián)編輯：代影】