數據資源是數字經濟的關鍵生(shēng)産要素。發展數字經濟與保障數據安全應當并駕齊驅,網絡運營者等有關單位和個人收集、存儲、使用、加工(gōng)、傳輸、提供、公開數據資源,都應當依法建立健全數據安全管理制度,采取相應技術措施保障數據安全。綜合Gartner數據治理模型、中(zhōng)華人民共和國數據安全法(草案)等現有數據安全治理模型、以及豐富的信息安全領域項目實戰經驗,安恒信息首席科學家劉博率先提出了針對敏感數據保護的“風險核查Check—數據梳理Assort—數據保護Protect—監控預警Examine”(CAPE)模型。
注:完整版AiGuard數據安全能力全景圖下(xià)載見文末
CAPE模型設計堅持三大(dà)原則:
01以身份和數據雙中(zhōng)心原則
保護數據安全的目标之一(yī)是防止未經授權的用戶進行數據非法訪問和操作。所以需同時從訪問者“身份”和訪問對象“數據”兩個方向入手,雙管齊下(xià)。
不信任企業内部和外(wài)部的任何人/系統/設備,需基于身份認證和授權,執行以身份爲中(zhōng)心的動态訪問控制。
聚焦以數據爲中(zhōng)心進行安全建設,有針對性的保護高價值數據及業務,數據發現和分(fēn)類分(fēn)級是以數據爲中(zhōng)心保護的重要基礎。
02全面覆蓋立體化防護原則
橫向上需全面覆蓋數據資源的收集、存儲、加工(gōng)、使用、提供、交易、公開等行爲活動的整個生(shēng)命周期,采用多種安全工(gōng)具支撐安全策略的實施。
縱向上通過風險評估、數據梳理、訪問監控、大(dà)數據分(fēn)析,進行數據資産價值評估、數據資産弱點評估、數據資産威脅評估, 終形成數據安全态勢感知(zhī)。
通過組織、制度、場景、技術、人員等自上而下(xià)的落實來構建立體化的數據安全防護體系。
03智能化、體系化原則
在信息技術和業務環境越來越複雜的當下(xià),僅靠人工(gōng)方式來運維和管理安全已經捉襟見肘了,人工(gōng)智能、大(dà)數據已經有相當的成熟度,如UEBA異常行爲分(fēn)析、NLP加持的識别算法、場景化脫敏算法等。
同時,僅靠單獨技術措施隻能解決單方面的問題,必須形成體系化的思維,通過能力模塊間的聯動打通,系統形成體系化的整體數據安全防護能力,并持續優化和改進,從而提升整體安全運營和管理的質量和效率。
CAPE框架實現了敏感數據安全防護的全生(shēng)命周期過程全覆蓋,建立了以風險核查爲起點,以數據梳理爲基礎,以數據保護爲核心,以監控預警作爲支撐, 終建立“數據安全運營”的全過程自适應安全支撐能力,直至達到整體智治的安全目标。
框架主要思路如下(xià):
01風險核查(C)
通過風險核查讓數據資産管理員全面了解數據庫資産運行環境是否存在安全風險。通過安全現狀評估能有效發現當前數據庫系統的安全問題,對數據庫的安全狀況進行持續化監控,保持數據庫的安全健康狀态。數據庫漏洞、弱口令、錯誤的部署或配置不當都會很容易讓數據庫陷入危難之中(zhōng)。
• 漏洞掃描,幫助用戶快速完成對數據庫的漏洞掃描和分(fēn)析工(gōng)作,覆蓋權限繞過漏洞、SQL注入漏洞、訪問控制漏洞等,并提供詳細的漏洞描述和修複建議。
• 弱口令檢測,基于各種主流數據庫口令生(shēng)成規則實現口令匹配掃描。提供基于字典庫,基于規則,基于窮舉等多種模式下(xià)的弱口令檢測。
• 配置檢查,幫助用戶規避由于數據庫或系統的配置不當造成的安全缺陷或風險,檢測是否存在賬号權限、身份鑒别、密碼策略、訪問控制、安全審計和入侵防範等安全配置風險。基于 佳安全實踐的加固标準,提供重要安全加固項以及修複建議,降低配置弱點被攻擊和配置變更風險。
02數據梳理(A)
數據梳理階段,包含以身份爲中(zhōng)心的身份認證和設備識别、以數據爲中(zhōng)心的識别與分(fēn)類分(fēn)級、賬号權限的梳理,形成數據目錄。
• 以身份爲中(zhōng)心的身份認證和設備識别;網絡位置不再決定訪問權限,在訪問被允許之前,所有訪問主體都需要經過身份認證和授權。身份認證不再僅僅針對用戶,還将對終端設備、應用軟件等多種身份進行多維度、關聯性的識别和認證,并且在訪問過程中(zhōng)可以根據需要多次發起身份認證。授權決策不再僅僅基于網絡位置、用戶角色或屬性等傳統靜态訪問控制模型,而是通過持續的安全監測和信任評估,進行動态、細粒度的授權。安全監測和信任評估結論是基于盡可能多的數據源計算出來的。
• 以數據爲中(zhōng)心的識别與分(fēn)類分(fēn)級;進行數據安全治理前,需要先明确治理的對象,企業擁有龐大(dà)的數據資産,本着高效原則,劉博建議,應當優先對敏感數據分(fēn)布進行梳理,“數據分(fēn)類分(fēn)級”是整體數據安全建設的核心且 關鍵的一(yī)步。通過對全部數據資産進行梳理,明确數據類型、屬性、分(fēn)布、賬号權限、使用頻率等,繪制“數據目錄”,以此爲依據對不同級别數據實行合理的安全防護手段。這個基礎也會爲客戶數據安全保護進行信息化賦能和策略支撐,如數據加密、數據脫敏、防洩漏和數據訪問控制等。
03數據保護(P)
基于數據使用場景需求制定差異化的、有針對性的數據安全保護動作。這一(yī)步的實施更加需要以數據梳理作爲基礎,風險核查的結果作爲支撐,以提供數據在收集、存儲、加工(gōng)、使用、提供、交易、公開等不同場景下(xià),即滿足業務需求,又(yòu)保障數據安全的保護策略,降低數據安全風險。制定并實施相應的安全保護技術措施,以确保敏感數據全生(shēng)命周期内的安全。
數據是流動的,數據結構和形态會在整個生(shēng)命周期中(zhōng)不斷變化,需要采用多種安全工(gōng)具支撐安全策略的實施。劉博在CAPE框架體系中(zhōng)提出了實現數據安全保護的6個工(gōng)具/技術手段:
• 加密,包括數據存儲加密、傳輸加密等多種技術。
◦ 存儲加密,爲保障數據在存儲中(zhōng)的機密性、完整 性,采用加密技術對數據進行加密存儲,防止可能會發生(shēng)授權的數據被竊取、僞造和篡改等安全風險,保障數據在存儲時的安全性。
◦ 傳輸加密,采用加密保護措施,防止數據在通過不可信或者較低安全性的網絡進行傳輸時,發生(shēng)數據被竊取、僞造和篡改等安全風險,保障數據在傳輸過程中(zhōng)的安全性。比如采用HTTPS協議保障傳輸鏈路的加密、采用國密算法(SM2、SM3、SM4)保障業務數據安全傳輸等, 大(dà)限度的保障敏感數據安全。
• 密鑰管理,⾯向業務系統提供密鑰服務,負責業務系統的對稱密鑰和⾮對稱密鑰對的管理,保證密鑰的安全性。
• 數據脫敏,數據脫敏旨在通過向用戶提供高度仿真的數據,而不是真實和敏感的數據,同時保持其執行業務流程的能力,從而防止濫用敏感數據。脫敏分(fēn)爲靜态脫敏和動态脫敏。
◦ 靜态脫敏用于對開發或測試中(zhōng)的數據集而不是生(shēng)産中(zhōng)的數據集。數據在使用之前被脫敏,因此數據在存儲和随後的使用或傳播過程中(zhōng)受到保護。
◦ 動态脫敏在應用程序或個人根據授權訪問數據時,實時進行脫敏操作。原始敏感數據駐留在底層存儲庫中(zhōng),并且在應用程序訪問時按策略授權進行數據提供,沒有權限訪問敏感信息的用戶和應用程序提供了脫敏數據。動态脫敏不會更改底層存儲庫中(zhōng)的數據。
• 水印溯源,是對數據進行打标簽、加水印、植入溯源種子的方式,水印信息具有一(yī)定的隐秘性、不對外(wài)顯示,用以記錄數據流轉的過程及洩露時能确認具體的洩露節點及責任人,以此進行數據洩露的審計和跟蹤,從而解決數據的非授權擴散監管問題。
• 數據防洩漏,DLP工(gōng)具提供對敏感數據的可見性,無論是在端點上(使用)、在網絡上(運動)還是在文件共享上。使用DLP組織可以實時保護端點或網絡中(zhōng)傳輸和外(wài)發數據,實時預警和阻止數據被洩漏的行爲發生(shēng)。
• 訪問控制,基于通過IP、MAC、客戶端主機名、操作系統用戶名、客戶端工(gōng)具名和數據庫賬号等多個維度對用戶身份進行管理,确保設備是可信的設備,應用是認證應用。通過全面的身份化,實現對網絡參與的各個實體在統一(yī)的框架下(xià)進行統一(yī)的身份認證,結合數據分(fēn)類分(fēn)級實現基于數據和身份的細粒度訪問控制功能。
04監控預警(E)
制定并實施适當的技術措施,以識别數據安全事件的發生(shēng)。此過程包括:行爲分(fēn)析,權限變化,訪問監控。通過全方位監控數據的使用和流動, 終形成數據安全态勢感知(zhī)。
• 行爲分(fēn)析,能夠對進出核心數據庫的訪問流量進行數據報文字段級的解析操作,完全還原出操作的細節,并給出詳盡的操作返回結果,UEBA可以根據用戶曆史訪問活動的信息刻畫出一(yī)個數據的訪問“基線”,而之後則可以利用這個基線對後續的訪問活動做進一(yī)步的判别,以檢測出異常行爲。
• 權限變化,能夠對數據庫中(zhōng)不同用戶,不同對象的權限進行梳理并監控權限變化,權限梳理應從用戶和對象兩個維度展開。一(yī)旦用戶維度或者對象維度權限發生(shēng)了變更,能夠及時向用戶反饋。
◦ 用戶維度:可以監控數據庫中(zhōng)用戶啓用狀态、權限劃分(fēn)、角色歸屬等基本信息。
◦ 對象維度:能夠對數據庫對象可被哪些用戶訪問進行歸納總結,特别是對包含了敏感列的表或者敏感度評分(fēn)較高的對象,可以着重監測其訪問權限劃分(fēn)情況。
• 訪問監控,實時監控數據庫的活動信息,當用戶與數據庫進行交互時,系統應自動根據預設置的風險控制策略,進行特征檢測及審計規則檢測,監控預警任何嘗試的攻擊或違反審計規則的行爲。