一、背景
国内某油料公司积极落实习国家关于建设数字中国加快企业数字化建设的指导方针,建设了一系列企业数字化运营系统,其中以某智慧系统为代表,对促进某油料公司数字化、智慧化发挥了巨大作用。
自某智慧系统建成并投入使用以来,该公司非常重视该系统的网络安全建设,依据网络安全等级保护,关键基础设施保护条例的要求,建立了相应的网络安全防护体系。自2021年《中华人民共和国数据安全法》,《中华人民共和国个人信息保护法》颁布并施行以来,公司领导层非常重视上述数法律法规,持续跟踪、调研行业数据安全管理办法和相关的数据安全技术标准,积极开展数据安全管理体系研究和建设工作。
2022年12月8日,工信部正式颁布了《工业信息化领域数据安全管理办法(试行版)》,为某油料公司进一步提升公司数据安全治理水平,自上而下的完善数据安全治理体系的提供了契机。由此,某油料制定了《XXX公司XXX智慧系统数据管理办法》(以下简称“管理办法”),通过贯彻执行该管理办法,实现企业关键业务系统和核心数据资产的“集中统一、从严控制、分类统一、价值创造、谨慎依规”的管理目标。
二、 问题
某油料公司制定的《XXX公司XXX智慧系统数据管理办法》是比较完善的数据(安全)管理办法,主要内容包括:与数据(安全)管理相关的组织机构和相应的机构职责;某智慧系统数据分类分级的标准和定义;数据使用的要求和审批流程;数据访问权限和用户角色分配标准和内容等。其核心思想是按照工信部颁布的《工业及信息化领域数据安全管理办法》,并依据《数据管理成熟度模型(DCMM)》制定的关于数据分类分级,数据使用规范,数据访问权限和用户角色等方面的数据安全制度。这个管理制度是某油料公司制定数据安全策略,建立数据安全防控体系的指导性文件,对公司建立数据安全治理体系,提升数据安全保障能力至关重要。
某油料公司在贯彻执行该数据管理制度过程中发现,制定了数据安全管理办法后,相关制度和流程是否有效执行,是否存在越权访问违规行为,如何落实违规处罚条款成为“办法”执行层面的最大问题,如果不能够有效解决制度执行和监管的问题,制度只能停留在纸面上、口头上不能真正落实而形同虚设,则某智慧系统的数据管理目标也就无法实现。最终会导致公司的关键业务和核心数据资产面临较大安全风险。
解决公司数据“管理办法”执行和监管的主要困难主要体现在以下几个方面:
-
某油料公司当前的信息安全体系是依据《网络安全等级保护基本要求》三级而建立,是以“边界安全”和“攻防对抗”为核心建立网络安全体系,安全监测和审计也是以网络威胁和攻击为重点,对于数据分类分级,数据异常流动,用户违规访问、使用数据等,无法进行监测和审计。
-
某油料公司现有的数据安全技术支持体系在功能上不完善。当前,某油料公司的数据安全保障技术手段主要采用的是访问控制,密码技术和容灾备份等。基本没有部署关于数据内容识别、分类分级;数据流动监测;内部用户访问、使用数据的行为监测等方面的技术工具。不具备满足“管理办法”里关于分级分类,数据使用管理,数据风险监测预警等方面的需求的技术工具。
-
首先,由于智慧系统业务敏捷性需求,要求系统能够快速开发、上线;其次,由于智慧系统涉及的用户、下属单位、第三方机构非常多,访问需求多变,权限设置复杂;最后,公司信息化、数字化运维水平相对薄弱。因此,在智慧系统开发、配置、运维过程中与数据安全相关的用户管理,权限设置,日志审计等方面都存在不足。这些不足导致较难实现“管理办法“要求的数据访问权限和角色分配的要求,也较难实现“管理办法”执行的有效监测和审计,需要有第三方工具提供监测和审计支持。
上述问题,不仅是某油料公司面临的数据安全管理困境,也是当前很多企业在数字化转型过程中所面临的普遍问题。这些问题不解决,会给企业数据安全保障带来较大风险:一方面,是数据资产性安全风险,如:数据泄漏,数据破坏等;另一方面,是数据合规性安全风险,如:数据违规使用,数据违规出境等。
三、 方法
某油料公司针对上述公司在安全体系,技术工具以及业务系统开发、运维方面所面临的问题,通过针对数据安全技术路线的多方调研,以及深入分析智慧系统应用和数据特点,结合“管理办法”提出了以下解决方法:
1.基于网络流量
采用基于网络流量的边缘计算技术解决数据分级分类,数据流动监测,用户行为监测等日志数据采集的问题。具体讲就是通过数据采集器捕获网络流量,实时计算分析处理网络流量,实现数据内容识别,数据类别级别标记;提取用户身份信息(如:用户帐号,用户凭据等);识别应用系统信息(如:应用系统名称,应用操作指令,API等);提取设备信息(如:MAC地址,操作系统,设备类型等),把这些信息作为日志发送给数据分析平台,实现以数据安全为目标的数据分析可视化,数据安全风险感知,违规和异常检测,合规审计以及数据安全事件溯源等功能。
基于网络的好处是可以做到无感知的监测审计,不需要在终端和应用系统服务器端安装软件代理,不仅兼容性好而且易于部署和实施;基于网络流量的实时计算分析,一方面可以不受应用系统在日志审计功能方面的局限(如:不具备、未配置日志审计,日志被删除等),一方面可以感知数据内容,根据“管理办法”的分类分级标准识别、标记数据,还具备实时性强(异常和违规行为实时告警),数据关联性强(如:能够提取出与数据安全相关的要素信息,能够刻画出数据行为信息等)。
2.基于行为数据四维度画像和全息关联
数据安全风险的主要构成要素包括三个方面:实体,对象和行为。如下图所示:
如图所示,把构成数据安全风险的要素,首先抽象为4个维度“数据,用户,设备,应用”,这4个维度信息是通过对网络流量实时采集、计算和分析产生的;然后,通过数据分析系统把这4个维度的信息进行全息关联,形成行为数据;最终,在这些数据的基础上完成数据安全基线系统。数据安全基线通过采用机器学习和UEBA技术实现,通过使用7W模型(When,Where,Which,What,How,Why)描述数据活动和人员使用数据的行为,构成了一个数据安全知识库。
通过这个知识库,可以实现基于规则或者基于机器学习的数据和行为异常检测和违规检测;实现数据安全风险监测、预警和告警;发生数据安全事件后,根据数据安全基线记录的数据和人员行为信息,对数据安全事件进行溯源审计,如:导致数据泄漏等数据安全事件的原因,途径,责任人等;用过勘查被泄漏、破坏数据的类别级别,评估数据安全事件影响等。
3. 根据“管理办法”建立数据违规检测规则库,监督、核查、改进“管理办法”的贯彻执行情况
把“管理办法”中智慧系统数据访问权限和角色分配的条款,以检测规则的形式定义出来,通过实时检测智慧系统的用户访问数据的行为,监督、核查“管理办法”中数据安全制度是否得以有效贯彻执行。具体操作过程如下:
Step1:把“管理办法”中的定义的用户类别,角色权限,数据类别级别形成访问控制矩阵,根据访问控制矩阵梳理访问控制列表;
Step2:根据访问控制列表,定义检测规则,通过检测规则发现用户访问和使用数据的异常行为和违规行为,实现数据访问权限的监测和审计;
Step3:发现异常行为或违规行为后,触发安全事件告警,然后对告警事件进行分析和调查,定位原因,然后通过调整网络安全产品(如,防火墙安全策略),或应用系统权限等措施,或行政处罚方式落实“管理办法”。
四、 实践
上述方法是通过部署实施全息数据安全风险感知系统实现的。通过部署该系统,某油料公司实现了依据“管理办法”对数据访问行为的合规监管和审计。
第一步,通过全息数据数据安全风险感知系统实现了智慧系统流动数据资产测绘,内容如下:
第二步,通过全息数据数据安全风险感知系统对智慧系统进行全面的数据安全监测和分析,形成涵盖数据安全风险要素的数据安全情报库,构建数据安全基线系统,内容如下:
第三步,通过全息数据数据安全风险感知系统感知智慧系统的数据安全风险,对数据和用户的异常行为和违规行为进行实时检测、告警,内容如下:
五、 部分违规行为告警截图
1)用户越权访问到发票类数据页面时,触发的告警:
2)用户越权访问发票类数据,并进行下载操作,触发的告警:
3)IP为未授权的用户XIAMY访问到智慧系统网页,并下载敏感数据,触发的告警:
4)IP为未授权地址的用户LINXH登录智慧航油云平台的操作,触发的告警:
5)用户huadongroot(未授权账号)访问智慧航油云平台网页时,触发的告警:
6)用户ZHOUQQ(未授权账号)在智慧航油云平台执行下载文件的操作时,触发的告警:
