數據資源是數字經濟的(de)關鍵生産要素。發展數字經濟與保障數據安全應當并駕齊驅,網絡運營者等有關單位和(hé)個人(rén)收集、存儲、使用(yòng)、加工、傳輸、提供、公開數據資源,都應當依法建立健全數據安全管理(lǐ)制度,采取相應技術措施保障數據安全。綜合Gartner數據治理(lǐ)模型、中華人(rén)民共和(hé)國數據安全法(草(cǎo)案)等現有數據安全治理(lǐ)模型、以及豐富的(de)信息安全領域項目實戰經驗,安恒信息首席科學家劉博率先提出了(le)針對敏感數據保護的(de)“風險核查Check—數據梳理(lǐ)Assort—數據保護Protect—監控預警Examine”(CAPE)模型。
注:完整版AiGuard數據安全能力全景圖下(xià)載見文末
CAPE模型設計堅持三大(dà)原則:
01以身份和(hé)數據雙中心原則
保護數據安全的(de)目标之一是防止未經授權的(de)用(yòng)戶進行數據非法訪問和(hé)操作。所以需同時從訪問者“身份”和(hé)訪問對象“數據”兩個方向入手,雙管齊下(xià)。
不信任企業内部和(hé)外部的(de)任何人(rén)/系統/設備,需基于身份認證和(hé)授權,執行以身份爲中心的(de)動态訪問控制。
聚焦以數據爲中心進行安全建設,有針對性的(de)保護高(gāo)價值數據及業務,數據發現和(hé)分(fēn)類分(fēn)級是以數據爲中心保護的(de)重要基礎。
02全面覆蓋立體化(huà)防護原則
橫向上需全面覆蓋數據資源的(de)收集、存儲、加工、使用(yòng)、提供、交易、公開等行爲活動的(de)整個生命周期,采用(yòng)多(duō)種安全工具支撐安全策略的(de)實施。
縱向上通(tōng)過風險評估、數據梳理(lǐ)、訪問監控、大(dà)數據分(fēn)析,進行數據資産價值評估、數據資産弱點評估、數據資産威脅評估, 終形成數據安全态勢感知。
通(tōng)過組織、制度、場景、技術、人(rén)員等自上而下(xià)的(de)落實來構建立體化(huà)的(de)數據安全防護體系。
03智能化(huà)、體系化(huà)原則
在信息技術和(hé)業務環境越來越複雜的(de)當下(xià),僅靠人(rén)工方式來運維和(hé)管理(lǐ)安全已經捉襟見肘了(le),人(rén)工智能、大(dà)數據已經有相當的(de)成熟度,如UEBA異常行爲分(fēn)析、NLP加持的(de)識别算(suàn)法、場景化(huà)脫敏算(suàn)法等。
同時,僅靠單獨技術措施隻能解決單方面的(de)問題,必須形成體系化(huà)的(de)思維,通(tōng)過能力模塊間的(de)聯動打通(tōng),系統形成體系化(huà)的(de)整體數據安全防護能力,并持續優化(huà)和(hé)改進,從而提升整體安全運營和(hé)管理(lǐ)的(de)質量和(hé)效率。
CAPE框架實現了(le)敏感數據安全防護的(de)全生命周期過程全覆蓋,建立了(le)以風險核查爲起點,以數據梳理(lǐ)爲基礎,以數據保護爲核心,以監控預警作爲支撐, 終建立“數據安全運營”的(de)全過程自适應安全支撐能力,直至達到整體智治的(de)安全目标。
框架主要思路如下(xià):
01風險核查(C)
通(tōng)過風險核查讓數據資産管理(lǐ)員全面了(le)解數據庫資産運行環境是否存在安全風險。通(tōng)過安全現狀評估能有效發現當前數據庫系統的(de)安全問題,對數據庫的(de)安全狀況進行持續化(huà)監控,保持數據庫的(de)安全健康狀态。數據庫漏洞、弱口令、錯誤的(de)部署或配置不當都會很容易讓數據庫陷入危難之中。
• 漏洞掃描,幫助用(yòng)戶快(kuài)速完成對數據庫的(de)漏洞掃描和(hé)分(fēn)析工作,覆蓋權限繞過漏洞、SQL注入漏洞、訪問控制漏洞等,并提供詳細的(de)漏洞描述和(hé)修複建議。
• 弱口令檢測,基于各種主流數據庫口令生成規則實現口令匹配掃描。提供基于字典庫,基于規則,基于窮舉等多(duō)種模式下(xià)的(de)弱口令檢測。
• 配置檢查,幫助用(yòng)戶規避由于數據庫或系統的(de)配置不當造成的(de)安全缺陷或風險,檢測是否存在賬号權限、身份鑒别、密碼策略、訪問控制、安全審計和(hé)入侵防範等安全配置風險。基于 佳安全實踐的(de)加固标準,提供重要安全加固項以及修複建議,降低配置弱點被攻擊和(hé)配置變更風險。
02數據梳理(lǐ)(A)
數據梳理(lǐ)階段,包含以身份爲中心的(de)身份認證和(hé)設備識别、以數據爲中心的(de)識别與分(fēn)類分(fēn)級、賬号權限的(de)梳理(lǐ),形成數據目錄。
• 以身份爲中心的(de)身份認證和(hé)設備識别;網絡位置不再決定訪問權限,在訪問被允許之前,所有訪問主體都需要經過身份認證和(hé)授權。身份認證不再僅僅針對用(yòng)戶,還将對終端設備、應用(yòng)軟件等多(duō)種身份進行多(duō)維度、關聯性的(de)識别和(hé)認證,并且在訪問過程中可(kě)以根據需要多(duō)次發起身份認證。授權決策不再僅僅基于網絡位置、用(yòng)戶角色或屬性等傳統靜态訪問控制模型,而是通(tōng)過持續的(de)安全監測和(hé)信任評估,進行動态、細粒度的(de)授權。安全監測和(hé)信任評估結論是基于盡可(kě)能多(duō)的(de)數據源計算(suàn)出來的(de)。
• 以數據爲中心的(de)識别與分(fēn)類分(fēn)級;進行數據安全治理(lǐ)前,需要先明(míng)确治理(lǐ)的(de)對象,企業擁有龐大(dà)的(de)數據資産,本著(zhe)高(gāo)效原則,劉博建議,應當優先對敏感數據分(fēn)布進行梳理(lǐ),“數據分(fēn)類分(fēn)級”是整體數據安全建設的(de)核心且 關鍵的(de)一步。通(tōng)過對全部數據資産進行梳理(lǐ),明(míng)确數據類型、屬性、分(fēn)布、賬号權限、使用(yòng)頻率等,繪制“數據目錄”,以此爲依據對不同級别數據實行合理(lǐ)的(de)安全防護手段。這個基礎也(yě)會爲客戶數據安全保護進行信息化(huà)賦能和(hé)策略支撐,如數據加密、數據脫敏、防洩漏和(hé)數據訪問控制等。
03數據保護(P)
基于數據使用(yòng)場景需求制定差異化(huà)的(de)、有針對性的(de)數據安全保護動作。這一步的(de)實施更加需要以數據梳理(lǐ)作爲基礎,風險核查的(de)結果作爲支撐,以提供數據在收集、存儲、加工、使用(yòng)、提供、交易、公開等不同場景下(xià),即滿足業務需求,又保障數據安全的(de)保護策略,降低數據安全風險。制定并實施相應的(de)安全保護技術措施,以确保敏感數據全生命周期内的(de)安全。
數據是流動的(de),數據結構和(hé)形态會在整個生命周期中不斷變化(huà),需要采用(yòng)多(duō)種安全工具支撐安全策略的(de)實施。劉博在CAPE框架體系中提出了(le)實現數據安全保護的(de)6個工具/技術手段:
• 加密,包括數據存儲加密、傳輸加密等多(duō)種技術。
◦ 存儲加密,爲保障數據在存儲中的(de)機密性、完整 性,采用(yòng)加密技術對數據進行加密存儲,防止可(kě)能會發生授權的(de)數據被竊取、僞造和(hé)篡改等安全風險,保障數據在存儲時的(de)安全性。
◦ 傳輸加密,采用(yòng)加密保護措施,防止數據在通(tōng)過不可(kě)信或者較低安全性的(de)網絡進行傳輸時,發生數據被竊取、僞造和(hé)篡改等安全風險,保障數據在傳輸過程中的(de)安全性。比如采用(yòng)HTTPS協議保障傳輸鏈路的(de)加密、采用(yòng)國密算(suàn)法(SM2、SM3、SM4)保障業務數據安全傳輸等, 大(dà)限度的(de)保障敏感數據安全。
• 密鑰管理(lǐ),⾯向業務系統提供密鑰服務,負責業務系統的(de)對稱密鑰和(hé)⾮對稱密鑰對的(de)管理(lǐ),保證密鑰的(de)安全性。
• 數據脫敏,數據脫敏旨在通(tōng)過向用(yòng)戶提供高(gāo)度仿真的(de)數據,而不是真實和(hé)敏感的(de)數據,同時保持其執行業務流程的(de)能力,從而防止濫用(yòng)敏感數據。脫敏分(fēn)爲靜态脫敏和(hé)動态脫敏。
◦ 靜态脫敏用(yòng)于對開發或測試中的(de)數據集而不是生産中的(de)數據集。數據在使用(yòng)之前被脫敏,因此數據在存儲和(hé)随後的(de)使用(yòng)或傳播過程中受到保護。
◦ 動态脫敏在應用(yòng)程序或個人(rén)根據授權訪問數據時,實時進行脫敏操作。原始敏感數據駐留在底層存儲庫中,并且在應用(yòng)程序訪問時按策略授權進行數據提供,沒有權限訪問敏感信息的(de)用(yòng)戶和(hé)應用(yòng)程序提供了(le)脫敏數據。動态脫敏不會更改底層存儲庫中的(de)數據。
• 水(shuǐ)印溯源,是對數據進行打标簽、加水(shuǐ)印、植入溯源種子的(de)方式,水(shuǐ)印信息具有一定的(de)隐秘性、不對外顯示,用(yòng)以記錄數據流轉的(de)過程及洩露時能确認具體的(de)洩露節點及責任人(rén),以此進行數據洩露的(de)審計和(hé)跟蹤,從而解決數據的(de)非授權擴散監管問題。
• 數據防洩漏,DLP工具提供對敏感數據的(de)可(kě)見性,無論是在端點上(使用(yòng))、在網絡上(運動)還是在文件共享上。使用(yòng)DLP組織可(kě)以實時保護端點或網絡中傳輸和(hé)外發數據,實時預警和(hé)阻止數據被洩漏的(de)行爲發生。
• 訪問控制,基于通(tōng)過IP、MAC、客戶端主機名、操作系統用(yòng)戶名、客戶端工具名和(hé)數據庫賬号等多(duō)個維度對用(yòng)戶身份進行管理(lǐ),确保設備是可(kě)信的(de)設備,應用(yòng)是認證應用(yòng)。通(tōng)過全面的(de)身份化(huà),實現對網絡參與的(de)各個實體在統一的(de)框架下(xià)進行統一的(de)身份認證,結合數據分(fēn)類分(fēn)級實現基于數據和(hé)身份的(de)細粒度訪問控制功能。
04監控預警(E)
制定并實施适當的(de)技術措施,以識别數據安全事件的(de)發生。此過程包括:行爲分(fēn)析,權限變化(huà),訪問監控。通(tōng)過全方位監控數據的(de)使用(yòng)和(hé)流動, 終形成數據安全态勢感知。
• 行爲分(fēn)析,能夠對進出核心數據庫的(de)訪問流量進行數據報文字段級的(de)解析操作,完全還原出操作的(de)細節,并給出詳盡的(de)操作返回結果,UEBA可(kě)以根據用(yòng)戶曆史訪問活動的(de)信息刻畫出一個數據的(de)訪問“基線”,而之後則可(kě)以利用(yòng)這個基線對後續的(de)訪問活動做(zuò)進一步的(de)判别,以檢測出異常行爲。
• 權限變化(huà),能夠對數據庫中不同用(yòng)戶,不同對象的(de)權限進行梳理(lǐ)并監控權限變化(huà),權限梳理(lǐ)應從用(yòng)戶和(hé)對象兩個維度展開。一旦用(yòng)戶維度或者對象維度權限發生了(le)變更,能夠及時向用(yòng)戶反饋。
◦ 用(yòng)戶維度:可(kě)以監控數據庫中用(yòng)戶啓用(yòng)狀态、權限劃分(fēn)、角色歸屬等基本信息。
◦ 對象維度:能夠對數據庫對象可(kě)被哪些用(yòng)戶訪問進行歸納總結,特别是對包含了(le)敏感列的(de)表或者敏感度評分(fēn)較高(gāo)的(de)對象,可(kě)以著(zhe)重監測其訪問權限劃分(fēn)情況。
• 訪問監控,實時監控數據庫的(de)活動信息,當用(yòng)戶與數據庫進行交互時,系統應自動根據預設置的(de)風險控制策略,進行特征檢測及審計規則檢測,監控預警任何嘗試的(de)攻擊或違反審計規則的(de)行爲。
客服1 
客服2