數據安全態勢感知運營中心建設桔皮書奇安信科技集團股份有限公司2022年1月版權聲明本文中出現的任何文字敘述、文檔格式、插圖、圖片、方法、過程等內容，除另有特別注明，版權均為奇安信集團（指包括但不限于奇安信科技集團股份有限公司、網神信息技術（北京）股份有限公司、北京網康科技有限公司）所有，受到有關產權及版權法保護。任何個人、機構未經奇安信集團的書面授權許可，不得以任何方式復制或引用本文的任何片段。

前言進入21世紀以來，全球科技創新進入空前活躍時期，新一代技術的不斷涌現驅動著數字經濟的高速發展。2020年我國數字經濟規模已達到39.2萬億元，占GDP比重達38.6%。受新冠疫情的影響，個性化醫療、在線教育、遠程辦公等全面融入人們的日常工作與生活，數字經濟發展進一步加速，并成為我國經濟高質量發展的強大動力。數據作為數字經濟最核心生產要素，規模也呈爆發式增加。據著名咨詢機構IDC預測，2025年全球數據量將高達175ZB。其中，中國數據量增速最為迅猛，預計2025年將增至48.6ZB，占全球數據圈的27.8％，平均每年的增長速度比全球快3％。這標志著我國社會正在從IT時代邁進DT時代。數據在推動數字經濟高速發展的同時，數據濫用、數據泄漏等安全事件頻繁發生，數據安全風險日益凸顯，數據安全問題受到國家和社會的高度重視。近年來，我國陸續發布了一系列數據安全相關的法律法規和標準規范，明確了企業和組織在數據開發利用活動中的責任與義務，強調了數據安全建設的重要性與必要性。DT時代的數據環境是隨著業務發展而動態變化的，數據安全建設不是一蹴而就、一成不變的，更不是靠單一的技術就能達成的，因此數據安全領域提出了數據安全運營的理念，將技術、流程和人有機的結合，體系化的進行數據安全建設。目錄TOC\o"1-3"\h\u一、 DT時代要以安全運營理念建設數據安全 頁，共16頁DT時代要以安全運營理念建設數據安全數據安全上升到國家戰略高度數據規模的不斷擴大，對經濟和社會的發展產生了深刻的影響，數據安全已經與國家安全緊密相連。2021年9月1日，《數據安全法》正式頒布實施，由國家統籌數據要素發展和安全，推動數據安全建設。安全法的頒布將“數據安全”上升到了我國國家安全戰略高度，該法明確了國家層面建立數據分類分級、數據風險評估、數據安全應急處置和數據安全審查制度，全面加強重要數據保護，降低數據安全風險，并要求數據處理者建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取數據安全技術研發、數據安全風險檢測、定期數據安全風險評估等措施，保障數據安全。同年11月1日，《個人信息保護法》正式頒布實施，將合法、正當、必要與最小必要、透明公開、安全保障作為個人信息活動的基本原則，明確個人信息跨境處理要求，充分保障用戶對個人信息處理的知情權和控制權，賦予用戶刪除、查詢、更正、補充個人信息等權利，明確個人信息處理者應當遵循告知、個人信息分類、個人信息安全加密、敏感個人信息事前影響評估等義務，保障用戶個人信息安全。接連發布的數據安全法律法規，凸顯了數據安全的重要性，數據安全儼然上升到國家戰略高度。數據安全監管力度持續擴大數據的加速流轉促進各行各業的信息互通，數據安全問題也變得越來越復雜，行業監管部門密集開展數據安全和個人信息保護專項工作。2019年1月，中央網信辦、工業和信息化部、公安部、國家市場監督總局聯合在全國范圍組織開展App違法違規收集使用個人信息專項治理活動，對App運營者收集使用用戶信息行為進行監督管理，嚴格查處違法違規收集使用個人信息行為。2021年7月，國家網信辦連續發布了對多家互聯網公司實施網絡安全審查的公告，審查期間，所有APP停止新用戶注冊。被進行網絡安全審查的幾家企業都掌握大量用戶隱私數據，并且業務與關鍵信息基礎設施有關。針對運營商行業，工信部根據《國務院國有資產監督管理委員會關于開展基礎電信企業網絡與信息安全責任考核有關工作的指導意見》，自2019年起連續三年制定《省級基礎電信企業網絡與信息安全工作考核要點與評分標準》和《基礎電信企業專業公司網絡與信息安全工作考核要點與評分標準》，對基礎電信企業及其專業公司的數據安全工作進行考核評估。以數據安全運營理念持續保障數據安全DT時代下，數據在創造巨大經濟價值的同時，國家高度重視數據安全，行業的監管力度也不斷加碼，企業和組織落實數據安全建設已經迫在眉睫，但如何下手，從哪兒開始成為了最大的問題。由于數據環境是隨著業務發展動態變化的，數據在流動過程中各環節都可能面臨不同的安全風險，依賴單一的安全根本無法解決。比如數據共享環節中，數據訪問控制技術能解決單一組織范圍內的授權管理問題，卻無法解決跨組織的數據流向追蹤問題，導致無法實現對數據接收方的數據處理活動進行實時監控和審計，極易造成數據濫用的風險。同時，由于數據本身結構的多樣性，使得在特定場景下數據安全風險難以被檢測。比如在數據外發的場景中，通過內容檢測可以輕松的發現外發的文本文件中是否存在敏感信息，但如果將文件進行壓縮或者拍照外發，則可能輕易繞過內容檢測，導致敏感數據泄漏。而且數據關聯關系復雜、敏感程度不一，單一的數據項可能無法形成敏感內容，但是多個數據項進行組合就可能推導出敏感信息。“人”往往是安全體系中最薄弱的一環，因為“人”是技術的建設者，更是流程的執行者，一旦“人”的安全意識不到位，再好的技術和流程都是空談。惡意的內部人員利用自身的合法訪問權限進行數據違規操作的事件比比皆是，例如影響惡劣的微盟“刪庫”事件；浙江某農商銀行由于內部員工違規泄漏客戶信息被銀保監會罰款30萬。面對復雜多變的數據安全威脅，應以安全運營的理念落實，將技術、流程、人進行有機結合，根據數據安全態勢、技術發展和業務流程等的不斷變化演進式地完善數據安全體系建設。DT時代下數據安全運營面臨的主要挑戰數據資產難梳理，分類分級難落地隨著數字化的持續推進，各行業對數據感知、存儲、傳輸、處理等能力提出了更高要求。隨著企業對大數據技術的大規模采用，數據量呈PB級迅速激增，且業務的持續擴大與數據應用的不斷裂變，往往存在這樣的現象——大量的老數據存儲在不同的、分散的中小型結構化數據庫中，同時持續在建的數據倉庫或數據中臺則承擔了大量新業務的數據存儲職能，這就造成了數據的分布廣泛且規模龐大的特點。同時，企業不斷推出的新業務也推動著數據形態特點不斷演進——海量、多元和非結構化成為數據發展新常態，數據環境呈現多樣化、復雜化特征，使得大量文本、圖片、視頻等非結構化數據被產生、存儲和使用。例如，在智慧城市場景中，各類傳感設備采集的數據從單一內部小數據形態向多元動態大數據形態發展。海量、分布廣泛、結構各異的數據給企業對自身數據資產的梳理造成了困難，而建立在數據資產梳理基礎之上的分類分級工作的實施則更無從談起。數據流動難監測，聯防聯控難實施新一代信息技術的快速發展，企業的運行效率不斷被優化和提升，企業新生業務對數據流動性要求日益增加，由此帶來的是微服務架構的盛行，對數據變化則是調用鏈變得更長了。單體應用架構下數據只經過單個服務的處理就流向了終端（人），而在微服務架構下，服務的職能被切分的更加細致，數據可能需要經過幾個甚至十幾個服務的處理才會流向終端（人）；而云和容器技術的廣泛采用，南北向與東西向交叉的數據的調用鏈甚至能織成一張數據流動“網”。同時，中大型企業的數據業務變得更加開放，數據的訪問可能來源于企業內部，也可能來自于分支結構，甚至是外部的第三方合作伙伴；訪問的客戶端也從PC更多的轉向各種手持設備，因此數據的訪問來源也變得更加復雜。面對數據調用鏈長，訪問來源多的場景，進行全面的業務梳理往往需要投入大量人力，而且安全部門與業務部門之間往往存在配合難問題，企業想建立清晰的數據流動監測視圖非常困難。由于企業對數據流動視圖處于“失明”狀態，導致數據安全建設時只能采取傳統的堆砌式的數據安全單品防護，實現“頭痛醫頭腳痛醫腳”，而體系化的聯防聯控只能淪為紙上談兵。數據風險難發現，安全評估難進行數據安全與網絡安全最大的不同在于，數據安全的違規行為往往隱藏在正常的辦公行為中，甚至很多事件是已授權的用戶、應用、API等對象非法操作導致的。例如水滴泄密——企業內部員工利用自身合法權限每天進行少量敏感數據下載，積累到一定程度后加密壓縮外發到個人網盤；數據API濫用——數據API按業務需求開放后，可能有具備權限的第三方服務沒有按約定場景使用，或長時間沒有使用形成暴露在外的幽靈API等。由于從業務視角短期來看這些行為都屬于正常行為，但實際上已成為潛在的數據安全風險。同時，對數據泄漏事件的檢測與識別也變得更加困難，據IBM發布的《2021年數據泄漏成本報告》顯示，2021年識別一起數據泄漏事件平均需要212天，遏制一起數據泄漏事件平均需要75天，總生命周期為287天。由此可見，惡劣數據泄漏往往是由一系列“微小”的可疑操作組成的，混淆在正常行為中，導致企業難以及時發現其中的數據安全風險，而有效的風險檢測能力的缺少注定其定期開展的數據風險評估是“失真”的，不可靠的。數據安全態勢感知是安全運營的前提DT時代下，數據資產的分布是廣泛的，數據流動的路徑是復雜的，數據違規的風險是隱蔽的，這導致數據泄漏事件成因復雜交織，既有外部攻擊，也有內部威脅；既有技術漏洞，也有管理缺陷；既有新技術新模式觸發的新風險，也有傳統安全問題的持續觸發，因此單純依靠傳統的被動式的防御措施根本無法抵御蓄謀已久的數據安全攻擊行為，任何基于“單點”防御的體系都難以避免被欺騙或繞過。因此，Gartner提出的自適應安全架構（AdaptiveSecurityArchitecture）強調了“防御、檢測、響應、預測”的重要性。“防御”是指一系列策略集、產品和服務可以用于防御攻擊，關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作；“檢測”是用于發現那些逃過“防御”措施的攻擊，關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失；“響應”是用于高效調查和補救被檢測分析功能(或外部服務)查出的事務，以提供風險來源分析，并產生新的“防御”措施來避免未來事故；“預測”使系安全體系可從持續監測的風險中學習，以主動鎖定對現有系統和信息具有威脅的新行為，該行為被將反饋到“防御”和“檢測”功能，從而構成整個處理流程的閉環。面對日益增長的數據安全威脅，DT時代的數據安全體系建設需要不斷演進，基于自適應安全架構（ASA）的思想內核，數據安全態勢感知顯得尤為重要，只有切切實實地對數據安全風險做到“可感知”，才能實現數據安全的“可運營”，因此建立一套全局的數據安全態勢感知運營中心來指導數據安全體系建設，是解決問題之道。數據安全態勢感知運營中心的關鍵舉措基于自適應安全架構（ASA）思想內核的數據安全態勢感知運營中心是用于指導整個數據安全體系建設的，應該具備六大安全能力。盤清家底：以數據資源為核心的資產管理中心建立以數據資源為核心的資產管理中心，是數據安全運營的前提。通過技術手段對企業自身擁有的數據資產進行全面的盤點，掌握數據資產分布、數據資產類型、數據內容結構、數據資產歸屬、數據資產使用狀態等信息，最終的目標是構建“一棵既有業務屬性也有安全屬性的數據資產目錄樹”。數據資產發現是解決數據資產分布廣泛問題的有效手段，通常是以主動發現與被動探測相結合的方式進行。數據資產主動發現是在安全策略的配合下，通過主動嗅探的方式掃描全網地址，對潛在的數據源建立連接并構造請求內容，解析響應內容從而收集數據源基本信息；數據資產被動探測是通過鏡像核心交換的流量來進行協議解析，根據協議類型確定數據源類型，從而達到收集數據源基本信息的目的。通過數據資產發現實現全網數據源的初步收集，從而建立數據資產頂層目錄。數據資產掃描可豐富數據資產目錄的“葉子”節點。在安全部門的配合下，使用數據源的認證信息（通常只需可讀權限）主動連接數據源，對數據內容和數據結構進行掃描，進一步收集數據資產的結構、內容等元信息，從而細化數據資產目錄。為應對數據規模龐大且持續增加的特點，數據掃描應具備定期增量式掃描的能力，減少掃描的時間。最后，在安全部門和業務部門的配合下，對數據資產的使用目的、方式、范圍以及管理歸屬等信息進行補充，最終形成完整的數據資產目錄樹。基于構建出來的數據資產目錄，開展數據分類分級。結合相關行業的分類分級標準和業務現狀，數據安全專家、企業安全部門與業務部門相互配合，定制化輸出符合業務發展的數據分類分級模板，依據模板落實分類分級工作。分類分級以數據識別技術為基礎——在數據掃描的過程中，通過關鍵字、正則表達式等匹配技術，結合上下文信息對結構化數據進行識別；以機器學習、自然語言處理、光學字符識別等智能化技術對非結構化或半結構化數據進行識別，輔助安全人員落實數據資產分類分級。聯防聯控：以分類分級為核心的策略協同中心數據的開發利用和數據安全防護往往是一對矛盾體，數據在沒有任務防護措施的情況下“裸奔”對數據的開發利用是最高效的；同樣的，通過物理手段、技術手段將數據層層“包圍”起來不做任務開發利用，則數據是最安全的，但兩者均不利于組織整體業務健康地、可持續的發展。數據安全建設應圍繞分類分級的結果進行開展，對不同類別、不同級別的數據資產進行差異化的防護能力建設和安全策略配置，實現數據業務發展和安全管控的平衡。將分類分級結果轉化為業務知識，為數據資產提供安全防護建議，并結合具體的數據安全防護組件，統一地下發安全策略，實現以分類分級為核心的策略協同能力。例如針對核心級別的數據資產，采用加密技術對數據進行保護；針對重要級別的數據資產，采取脫敏技術對數據進行保護；而對普通數據，則采取審計技術對數據訪問進行留痕。同時，聯動數據鏈路上數據安全措施，主要包括打通其策略配置通道和日志、告警上報通道，及時感知防護能力的薄弱環節并自動調整策略，實時監測數據的防護能力狀態，從而構建一幅關系到“數據資產、業務、安全策略”的安全業務視圖。流動監測：以業務流程為核心的動態監測中心通過數據資產梳理可以掌握數據資產的“靜”態狀況，而數據流動監測則是為了掌握數據的“動”態狀況。以“什么人”“什么時間”對“什么數據”執行“什么操作”為基本監測原則，從時間、頻率、數量、類型、源信息、目的信息等多個維度進行統計分析，建立行為基線和行為趨勢圖，將數據流動的情況進行動態測繪。涉敏對象梳理。以數據為粒度，通過解析數據訪問協議，對應用、API、用戶等涉敏對象進行梳理，形成應用清單、API清單和用戶清單，為全局的數據業務視圖提供“節點”信息。敏感數據使用監測。基于梳理出來的涉敏對象，對應用、API、用戶的數據操作行為進行細粒度的審計，結合數據資產分類分級的知識對操作行為打上不同的標簽，并根據訪問、歸屬等維度自動組織涉敏對象之間的關聯關系，為全局的數據業務視圖提供“連線”信息。構建數據流動地圖。通過涉敏對象梳理提供的“節點”信息與敏感數據監測提供的“連線”信息，結合數據資產目錄，對數據源、應用、API、用戶之間的數據流動關系（流動方向、數據類型、數據量）進行動態測繪；同時，在業務人員的配置下，根據實際業務場景細化數據的使用目的、使用方式和管理組織等信息，實現數據流動視化。通過數據流動監測，全局掌握企業數據的“動”態狀況，從而構建一幅關系到“數據資產、業務、主體”的全局數據業務視圖。風險分析：以行為分析為核心的風險管理中心數據安全違規行為是隱蔽的，數據泄漏事件的發現是滯后的，因此及時發現數據風險并預警是數據安全運營的重要目標——建立以行為分析為核心的風險管理中心，對數據的行為信息進行全面收集、審計，結合數據資產分布狀態、數據流動狀態和分類分級結果進行智能化分析，識別其中潛在的安全風險并及時告警與處置，遏制數據泄漏事件的發生，防范于未然。全面的行為日志采集與處理是數據安全風險檢測的基礎。行為日志包括操作日志和告警日志，日志內容須細化到具體的數據粒度。對部署在數據鏈路上的數據探針和安全產品的日志進行全面收集，按照統一的日志標準進行格式化，從不同的維度對日志進行富化，從而構建一個多源行為日志庫，為數據安全風險分析提供基礎素材。集離線分析、實時分析、告警歸并能力于一身的聯合分析引擎是檢測隱蔽的數據違規行為、識別潛在的數據泄漏事件的利器。離線分析能力強調的是準確性，通過對海量的行為日志進行大數據挖掘，在海量的業務行為中準確地識別出數據違規行為；實時分析能力強調的是時效性，通過對在時間和數量無限分布的一系列動態日志進行流式計算，實現秒級響應，及時識別潛在的數據泄漏事件；告警歸并是強調告警的價值性，通過對大量的告警日志從不同維度進行聚合與統計，并設置相應的穿透規則，將真正有價值的告警信息從大量的噪音中過濾出來。通過行為日志的采集、處理，以強大的聯合分析引擎為技術基礎，輔以豐富的分析策略如傳統的規則匹配、統計分析和基于智能學習方法的多源關聯挖掘、行為鏈分析、動態基線分析等模型，靈活的應對不同場景下的數據安全風險檢測，結合豐富的處置流程進行跟蹤響應，確保數據風險得到解決，真正實現可控的風險管理。安全評估：以安全合規為核心的安全評估中心《數據安全法》中明確提出要求“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估”，同時出于對自身數據保護的需求，企業必須要開展的數據安全活動是定期開展數據安全評估。以法律法規和行業監管部門的考核要求為基礎，結合企業自身的業務場景，定制化輸出安全評估模板，以半自動化的方式開展數據安全風險評估工作，形成電子化的風險評估報告。安全評估模板應至少包含以下評價要素：數據管理組織架構。應成立專門的數據管理組織，并以“一把手”掛帥，結合業務場景設置不同的管理角色；同時將不同的數據資產歸屬到該組織中的具體人，確保數據認責。數據管理規章制度。數據管理制度是開展數據處理活動和落實數據安全建設的指導思想，應由數據管理組織牽頭將數據管理制度成文并公告，明確數據管理責任與義務。數據分類分級。分類分級既是合規要求，也是安全建設的基礎。基于資產管理中心提供的資產目錄與分類分級結果，自動生成分類分級明細清單、統計分類分級完成度、并結合分類分級有效期、分類分級管理制度等指標進行合理評價。數據資產風險。基于風險管理中心提供的安全告警，結合數據資產分類分級情況，對不同類別、不同級別的數據資產的不同風險形成明細清單與統計圖表，結合數據處理活動、聯防聯控措施等指標進行合理評價。數據權限管理。基于策略協同中心提供的安全業務視圖和動態監測中心提供的數據業務視圖，自動生成數據權限現狀圖，加上人工補充缺失的（如線下執行）權限明細，結合數據處理活動進行合理評價。數據操作審計。基于風險管理中心提供的多源行為日志庫，按操作時間等不同維度自動生成數據操作審計明細表與操作熱度統計表，結合分類分級結果和數據處理活動進行合理評價。應急響應。基于風險管理中心提供的風險告警與事件處置數據，自動生成告警-事件-處置明細表，按分類分級、響應時長等不同維度生成統計圖表，結合數據處理活動進行合理評價。通過定期開展數據安全評估，幫助企業從宏觀角度發現數據安全薄弱環節，提出整改建議，從而有的放矢地進行安全能力建設。持續運營：以態勢感知為核心的安全運營中心安全以“檢測”為始，以“響應”為終，整個過程可稱之為“持續運營”。在數據違規行為對數據資產造成損害之前，及時制止損害或降低損失是安全體系的最終防線，也是持續運營的目標。全面的數據安全態勢感知是安全運營的抓手。基于資產管理中心提供的數據資產目錄，通過對指定時間段內的數據資產分布、敏感數據量、敏感數據類型等指標進行統計分析與趨勢預測，自動生成敏感數據分布態勢圖；基于策略協同中心提供的安全業務視圖和動態監測中心提供的數據業務視圖，通過對安全策略變更和數據庫、應用、API等涉敏對象的敏感數據量、敏感數據類型等指標進行統計分析與趨勢預測，自動生成敏感數據流動態勢圖；基于風險管理中心提供的數據，對分布在不同位置、不同時間、不同類別、不同級別的數據資產的安全告警、事件處置等指標進行統計分析與趨勢預測，自動生成數據安全風險態勢圖。三大安全態勢圍繞數據從分布、流動、風險三個維度為運營人員構建了清晰的宏觀視圖。靈活的風險溯源是提高安全運營效率的重要手段，是事件響應處置必不可少的支撐工具。靈活的風險溯源工具應具備2個能力，即“以數追人”和“以人追數”。“以數追人”強調的是在已知受到損害的數據資產時，通過相應的數據資產片段進行溯源，按相關度的從高到低列