一、项目背景
国内某能源公司积极落实习国家关于建设数字中国加快企业数字化建设的指导方针,建设了一系列企业数字化运营系统,其中以某智慧系统为代表,对促进该能源公司的数字化、智能化进程发挥了巨大作用。
自该智慧系统建成并投入使用以来,该公司非常重视系统的网络安全建设,依据网络安全等级保护,关键基础设施保护条例等要求,建立了相应的网络安全防护体系。自2021年《中华人民共和国数据安全法》,《中华人民共和国个人信息保护法》颁布及施行以来,公司领导层非常重视上述法律法规,持续跟踪、调研行业数据安全管理办法和相关的数据安全技术标准,积极开展数据安全管理体系研究和建设工作。
2022年12月8日,工信部正式颁布了《工业信息化领域数据安全管理办法(试行版)》,为该能源公司进一步提升公司数据安全治理水平,自上而下完善数据安全治理体系提供了良好契机。由此,该能源公司制定了周密的《智慧系统数据管理办法》(以下简称“管理办法”),通过贯彻执行该管理办法,实现企业关键业务系统和核心数据资产的“集中统一、从严控制、分类统一、价值创造、谨慎依规”的管理目标。
二、 项目目标
该能源公司制定的《智慧系统数据管理办法》是比较完善的数据(安全)管理办法,主要内容包括:与数据(安全)管理相关的组织机构和相应的机构职责;其智慧系统数据分类分级的标准和定义;数据使用的要求和审批流程;数据访问权限和用户角色分配标准和内容等。其核心思想是按照工信部颁布的《工业及信息化领域数据安全管理办法》,并依据《数据管理成熟度模型(DCMM)》制定的关于数据分类分级,数据使用规范,数据访问权限和用户角色等方面的数据安全管理制度。这个制度是该能源公司制定数据安全策略,建立数据安全防控体系的指导性文件,对公司建立数据安全治理体系,提升数据安全保障能力至关重要。
为了更好的贯彻数据管理制度及其执行力监管问题,尽一切努力杜绝越权访问违规行为,并配合有效落实违规处罚条款,最终真正实现企业智慧系统的数据管理目标,决定将从以下几个方面来解决和提升公司数据“管理办法”执行和监管:
1. 实现“内外兼治”的目标,在原来的以“边界安全”的“攻防对抗”外环安全保障体系之上,构建“以数据为核心”的内环安全体系,实现数据分类分级,数据异常流动,用户违规访问、使用数据等进行监测和审计。
2. 为全面支撑“管理办法”里关于分级分类,数据使用管理,数据风险监测预警等需求方面的技术要求,计划部署包括数据内容识别、分类分级;数据流动监测;内部用户访问、数据使用的行为监测等方面的技术工具。
3. 为了避免在智慧系统开发、配置、运维的过程中与数据安全相关的用户管理,权限设置,日志审计等方面可能出现的诸如数据过度暴露,科技外包开发数据泄露及篡改等问题,提前置入有效的监测和审计技术工具,从而实现“管理办法”执行的有效监测和审计。
该能源公司在完成上述三方面目标实现后,将给企业带来更坚实稳固的数据安全保障:一方面是数据资产性安全保障,如:避免数据泄漏,数据破坏等;另一方面是数据合规性安全保障,如:避免数据违规使用,数据违规出境等。
三、 项目方案
该能源公司针对上述公司在安全体系,技术工具以及业务系统开发、运维方面所面临的问题,通过针对数据安全技术路线的多方调研,以及深入分析智慧系统应用和数据特点,结合“管理办法”提出了以下解决方法:
1.基于网络流量
采用基于网络流量的边缘计算技术解决数据分级分类,数据流动监测,用户行为监测等日志数据采集的问题。具体讲就是通过数据采集器捕获网络流量,实时计算分析处理网络流量,实现数据内容识别,数据类别级别标记;提取用户身份信息(如:用户帐号,用户凭据等);识别应用系统信息(如:应用系统名称,应用操作指令,API等);提取设备信息(如:MAC地址,操作系统,设备类型等),把这些信息作为日志发送给数据分析平台,实现以数据安全为目标的数据分析可视化,数据安全风险感知,违规和异常检测,合规审计以及数据安全事件溯源等功能。
基于网络的好处是可以做到无感知的监测审计,不需要在终端和应用系统服务器端安装软件代理,不仅兼容性好而且易于部署和实施;基于网络流量的实时计算分析,一方面可以不受应用系统在日志审计功能方面的局限(如:不具备、未配置日志审计,日志被删除等),一方面可以感知数据内容,根据“管理办法”的分类分级标准识别、标记数据,还具备实时性强(异常和违规行为实时告警),数据关联性强(如:能够提取出与数据安全相关的要素信息,能够刻画出数据行为信息等)。
2.基于行为数据四维度画像和全息关联
数据安全风险的主要构成要素包括三个方面:实体,对象和行为。如下图所示:
如图所示,把构成数据安全风险的要素,首先抽象为4个维度“数据,用户,设备,应用”,这4个维度信息是通过对网络流量实时采集、计算和分析产生的;然后,通过数据分析系统把这4个维度的信息进行全息关联,形成行为数据;最终,在这些数据的基础上完成数据安全基线系统。数据安全基线通过采用机器学习和UEBA技术实现,通过使用7W模型(When,Where,Which,What,How,Why)描述数据活动和人员使用数据的行为,构成了一个数据安全知识库。
通过这个知识库,可以实现基于规则或者基于机器学习的数据和行为异常检测和违规检测;实现数据安全风险监测、预警和告警;发生数据安全事件后,根据数据安全基线记录的数据和人员行为信息,对数据安全事件进行溯源审计,如:导致数据泄漏等数据安全事件的原因,途径,责任人等;用过勘查被泄漏、破坏数据的类别级别,评估数据安全事件影响等。
3. 根据“管理办法”建立数据违规检测规则库,监督、核查、改进“管理办法”的贯彻执行情况。
把“管理办法”中智慧系统数据访问权限和角色分配的条款,以检测规则的形式定义出来,通过实时检测智慧系统的用户访问数据的行为,监督、核查“管理办法”中数据安全制度是否得以有效贯彻执行。具体操作过程如下:
Step1:把“管理办法”中的定义的用户类别,角色权限,数据类别级别形成访问控制矩阵,根据访问控制矩阵梳理访问控制列表;
Step2:根据访问控制列表,定义检测规则,通过检测规则发现用户访问和使用数据的异常行为和违规行为,实现数据访问权限的监测和审计;
Step3:发现异常行为或违规行为后,触发安全事件告警,然后对告警事件进行分析和调查,定位原因,然后通过调整网络安全产品(如,防火墙安全策略),或应用系统权限等措施,或行政处罚方式落实“管理办法”。
四、 实践
上述方法是通过部署实施全息数据安全风险感知系统实现的。通过部署该系统,该能源公司实现了依据“管理办法”对数据访问行为的合规监管和审计。
第一步,通过全息数据数据安全风险感知系统实现了智慧系统流动数据资产测绘,内容如下:
第二步,通过全息数据数据安全风险感知系统对智慧系统进行全面的数据安全监测和分析,形成涵盖数据安全风险要素的数据安全情报库,构建数据安全基线系统,内容如下:
第三步,通过全息数据数据安全风险感知系统感知智慧系统的数据安全风险,对数据和用户的异常行为和违规行为进行实时检测、告警,内容如下:
五、 项目成果
1)用户越权访问某个数据页面时,触发的告警:
2)用户越权访问某类型数据,并进行下载操作,触发的告警:
3)未授权的IP用户访问到某系统网页,并下载敏感数据,触发的告警:
4)未授权地址的IP用户登录某个云平台的操作,触发的告警:
5)未授权的用户账号访问智慧云平台网页时,触发的告警:
6)未授权用户账号在其智慧云平台执行下载文件的操作时,触发的告警:
