全息数据安全态势管理系统在落实《工业信息化领域数据安全管理办法》的项目实践

news2024/12/27 5:07:35

在这里插入图片描述

一、背景

国内某油料公司积极落实习国家关于建设数字中国加快企业数字化建设的指导方针,建设了一系列企业数字化运营系统,其中以某智慧系统为代表,对促进某油料公司数字化、智慧化发挥了巨大作用。

自某智慧系统建成并投入使用以来,该公司非常重视该系统的网络安全建设,依据网络安全等级保护,关键基础设施保护条例的要求,建立了相应的网络安全防护体系。自2021年《中华人民共和国数据安全法》,《中华人民共和国个人信息保护法》颁布并施行以来,公司领导层非常重视上述数法律法规,持续跟踪、调研行业数据安全管理办法和相关的数据安全技术标准,积极开展数据安全管理体系研究和建设工作。

2022年12月8日,工信部正式颁布了《工业信息化领域数据安全管理办法(试行版)》,为某油料公司进一步提升公司数据安全治理水平,自上而下的完善数据安全治理体系的提供了契机。由此,某油料制定了《XXX公司XXX智慧系统数据管理办法》(以下简称“管理办法”),通过贯彻执行该管理办法,实现企业关键业务系统和核心数据资产的“集中统一、从严控制、分类统一、价值创造、谨慎依规”的管理目标。

二、 问题

某油料公司制定的《XXX公司XXX智慧系统数据管理办法》是比较完善的数据(安全)管理办法,主要内容包括:与数据(安全)管理相关的组织机构和相应的机构职责;某智慧系统数据分类分级的标准和定义;数据使用的要求和审批流程;数据访问权限和用户角色分配标准和内容等。其核心思想是按照工信部颁布的《工业及信息化领域数据安全管理办法》,并依据《数据管理成熟度模型(DCMM)》制定的关于数据分类分级,数据使用规范,数据访问权限和用户角色等方面的数据安全制度。这个管理制度是某油料公司制定数据安全策略,建立数据安全防控体系的指导性文件,对公司建立数据安全治理体系,提升数据安全保障能力至关重要。

某油料公司在贯彻执行该数据管理制度过程中发现,制定了数据安全管理办法后,相关制度和流程是否有效执行,是否存在越权访问违规行为,如何落实违规处罚条款成为“办法”执行层面的最大问题,如果不能够有效解决制度执行和监管的问题,制度只能停留在纸面上、口头上不能真正落实而形同虚设,则某智慧系统的数据管理目标也就无法实现。最终会导致公司的关键业务和核心数据资产面临较大安全风险。

解决公司数据“管理办法”执行和监管的主要困难主要体现在以下几个方面:

  1. 某油料公司当前的信息安全体系是依据《网络安全等级保护基本要求》三级而建立,是以“边界安全”和“攻防对抗”为核心建立网络安全体系,安全监测和审计也是以网络威胁和攻击为重点,对于数据分类分级,数据异常流动,用户违规访问、使用数据等,无法进行监测和审计。

  2. 某油料公司现有的数据安全技术支持体系在功能上不完善。当前,某油料公司的数据安全保障技术手段主要采用的是访问控制,密码技术和容灾备份等。基本没有部署关于数据内容识别、分类分级;数据流动监测;内部用户访问、使用数据的行为监测等方面的技术工具。不具备满足“管理办法”里关于分级分类,数据使用管理,数据风险监测预警等方面的需求的技术工具。

  3. 首先,由于智慧系统业务敏捷性需求,要求系统能够快速开发、上线;其次,由于智慧系统涉及的用户、下属单位、第三方机构非常多,访问需求多变,权限设置复杂;最后,公司信息化、数字化运维水平相对薄弱。因此,在智慧系统开发、配置、运维过程中与数据安全相关的用户管理,权限设置,日志审计等方面都存在不足。这些不足导致较难实现“管理办法“要求的数据访问权限和角色分配的要求,也较难实现“管理办法”执行的有效监测和审计,需要有第三方工具提供监测和审计支持。

上述问题,不仅是某油料公司面临的数据安全管理困境,也是当前很多企业在数字化转型过程中所面临的普遍问题。这些问题不解决,会给企业数据安全保障带来较大风险:一方面,是数据资产性安全风险,如:数据泄漏,数据破坏等;另一方面,是数据合规性安全风险,如:数据违规使用,数据违规出境等。

三、 方法

某油料公司针对上述公司在安全体系,技术工具以及业务系统开发、运维方面所面临的问题,通过针对数据安全技术路线的多方调研,以及深入分析智慧系统应用和数据特点,结合“管理办法”提出了以下解决方法:

1.基于网络流量

采用基于网络流量的边缘计算技术解决数据分级分类,数据流动监测,用户行为监测等日志数据采集的问题。具体讲就是通过数据采集器捕获网络流量,实时计算分析处理网络流量,实现数据内容识别,数据类别级别标记;提取用户身份信息(如:用户帐号,用户凭据等);识别应用系统信息(如:应用系统名称,应用操作指令,API等);提取设备信息(如:MAC地址,操作系统,设备类型等),把这些信息作为日志发送给数据分析平台,实现以数据安全为目标的数据分析可视化,数据安全风险感知,违规和异常检测,合规审计以及数据安全事件溯源等功能。

基于网络的好处是可以做到无感知的监测审计,不需要在终端和应用系统服务器端安装软件代理,不仅兼容性好而且易于部署和实施;基于网络流量的实时计算分析,一方面可以不受应用系统在日志审计功能方面的局限(如:不具备、未配置日志审计,日志被删除等),一方面可以感知数据内容,根据“管理办法”的分类分级标准识别、标记数据,还具备实时性强(异常和违规行为实时告警),数据关联性强(如:能够提取出与数据安全相关的要素信息,能够刻画出数据行为信息等)。

2.基于行为数据四维度画像和全息关联

数据安全风险的主要构成要素包括三个方面:实体,对象和行为。如下图所示:

在这里插入图片描述
如图所示,把构成数据安全风险的要素,首先抽象为4个维度“数据,用户,设备,应用”,这4个维度信息是通过对网络流量实时采集、计算和分析产生的;然后,通过数据分析系统把这4个维度的信息进行全息关联,形成行为数据;最终,在这些数据的基础上完成数据安全基线系统。数据安全基线通过采用机器学习和UEBA技术实现,通过使用7W模型(When,Where,Which,What,How,Why)描述数据活动和人员使用数据的行为,构成了一个数据安全知识库。

通过这个知识库,可以实现基于规则或者基于机器学习的数据和行为异常检测和违规检测;实现数据安全风险监测、预警和告警;发生数据安全事件后,根据数据安全基线记录的数据和人员行为信息,对数据安全事件进行溯源审计,如:导致数据泄漏等数据安全事件的原因,途径,责任人等;用过勘查被泄漏、破坏数据的类别级别,评估数据安全事件影响等。

3. 根据“管理办法”建立数据违规检测规则库,监督、核查、改进“管理办法”的贯彻执行情况

把“管理办法”中智慧系统数据访问权限和角色分配的条款,以检测规则的形式定义出来,通过实时检测智慧系统的用户访问数据的行为,监督、核查“管理办法”中数据安全制度是否得以有效贯彻执行。具体操作过程如下:

Step1:把“管理办法”中的定义的用户类别,角色权限,数据类别级别形成访问控制矩阵,根据访问控制矩阵梳理访问控制列表;

Step2:根据访问控制列表,定义检测规则,通过检测规则发现用户访问和使用数据的异常行为和违规行为,实现数据访问权限的监测和审计;

Step3:发现异常行为或违规行为后,触发安全事件告警,然后对告警事件进行分析和调查,定位原因,然后通过调整网络安全产品(如,防火墙安全策略),或应用系统权限等措施,或行政处罚方式落实“管理办法”。

四、 实践

上述方法是通过部署实施全息数据安全风险感知系统实现的。通过部署该系统,某油料公司实现了依据“管理办法”对数据访问行为的合规监管和审计。

第一步,通过全息数据数据安全风险感知系统实现了智慧系统流动数据资产测绘,内容如下:

在这里插入图片描述
第二步,通过全息数据数据安全风险感知系统对智慧系统进行全面的数据安全监测和分析,形成涵盖数据安全风险要素的数据安全情报库,构建数据安全基线系统,内容如下:

在这里插入图片描述
第三步,通过全息数据数据安全风险感知系统感知智慧系统的数据安全风险,对数据和用户的异常行为和违规行为进行实时检测、告警,内容如下:

在这里插入图片描述

五、 部分违规行为告警截图

1)用户越权访问到发票类数据页面时,触发的告警:

在这里插入图片描述
2)用户越权访问发票类数据,并进行下载操作,触发的告警:

在这里插入图片描述
3)IP为未授权的用户XIAMY访问到智慧系统网页,并下载敏感数据,触发的告警:

在这里插入图片描述
4)IP为未授权地址的用户LINXH登录智慧航油云平台的操作,触发的告警:

在这里插入图片描述
5)用户huadongroot(未授权账号)访问智慧航油云平台网页时,触发的告警:

在这里插入图片描述
6)用户ZHOUQQ(未授权账号)在智慧航油云平台执行下载文件的操作时,触发的告警:

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1152703.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

关于idea使用的一些操作设置

关于idea使用的一些操作设置 1. 常用的一下设置1.1 快捷键相关1.2 配置自动生成注释(类、方法等)1.3 maven项目相关1.4 常见其他的一些操作设置 2. IntelliJ IDEA 取消param注释中参数报错提示3. idea同时打开多个文件,导航栏不隐藏、自动换行…

超越人眼,好用的OCR软件推荐

OCR技术(Optical Character Recognition)是一种将图像或扫描的文字转化为可编辑、搜索、存储、分享的文本的技术。OCR技术除了能够将纸质文档数字化,还可以将手写文本、印刷文本、数码照片中的文字等转化为电子文本。 以下是几个比较知名的O…

当在本地,向服务器发送信息时,服务器接受信息返回给客户端,此时采用多行读取时,客户端接收不到Server的信息

public class SocketTCP04Server {public static void main(String[] args) throws IOException {ServerSocket serverSocket new ServerSocket(9999);System.out.println("Server:"serverSocket.getClass());System.out.println("正在等待用户连接.…

【SVN内网穿透】实现远程访问Linux SVN服务

文章目录 前言1. Ubuntu安装SVN服务2. 修改配置文件2.1 修改svnserve.conf文件2.2 修改passwd文件2.3 修改authz文件 3. 启动svn服务4. 内网穿透4.1 安装cpolar内网穿透4.2 创建隧道映射本地端口 5. 测试公网访问6. 配置固定公网TCP端口地址6.1 保留一个固定的公网TCP端口地址6…

<蓝桥杯软件赛>零基础备赛20周--第3周--填空题

报名明年4月蓝桥杯软件赛的同学们,如果你是大一零基础,目前懵懂中,不知该怎么办,可以看看本博客系列:备赛20周合集 20周的完整安排请点击:20周计划 每周发1个博客,共20周(读者可以按…

STM32定时器中断

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、STM32定时器的结构?1. 51定时器的结构1.1如何实现定时1s的功能? 2. stm32定时器的结构2.1 通用定时器 二、使用步骤1.开启时钟2.初始…

Vue3.3指北(六)

Vue3.3指北 1、Vue3状态管理-Pinia1.1、什么是Pinia1.2、安装1.3、Pinia基础使用1.4、getters实现1.5、action异步实现1.6、storeToRefs函数1.7、Pinia的调试1.8、总结1.9、Pinia持久化插件 视频参考教程: 2021年Vue3.0全家桶全系列精讲 随笔记源码: 逍遥…

Karate轻松实现自动API测试

如果您想做自动API测试,但没有编程背景,那么你必须要给Karate一个机会! Karate由Intuit作为开源工具发布。该工具旨在用于自动API测试,并具有使API测试变得轻而易举且实际上令人愉快的所有必需功能。 与需要大量编码的其他自动化…

Linux常用命令——chkconfig命令

在线Linux命令查询工具 chkconfig 检查或设置系统的各种服务 补充说明 chkconfig命令检查、设置系统的各种服务。这是Red Hat公司遵循GPL规则所开发的程序,它可查询操作系统在每一个执行等级中会执行哪些系统服务,其中包括各类常驻服务。谨记chkconf…

CCS3列表和超链接样式

在默认状态下,超链接文本显示为蓝色、下画线效果,当鼠标指针移过超链接时显示为手形,访问过的超链接文本显示为紫色;而列表项目默认会缩进显示,并在左侧显示项目符号。在网页设计中,一般可以根据需要重新定…

通用管理后台项目笔记 - Vue3+Vite安装环境、封装路由

概述 从0打造通用的后台管理系统,系列的第一篇博客,开发环境NodeYarnVite的开发环境,这是记录的学习笔记。 Node环境 本地使用的是Node v18.18.2,npm v9.8.1,安装脚手架工具,npm、cnpm、yarn3种方式,如果…

Linux玩物志:好玩却无用的软件探秘

W...Y的主页 😊 代码仓库分享💕 🍔前言: 我们已经学习了yum指令,可以在Linux中安装一些软件的指令。下面我们就盘点一些可玩性很高但是却没有什么用的软件,在枯燥的学习中增添一丝乐趣! For…

常见排序算法之堆排序

堆排序是一种利用堆这种数据结构所设计的一种排序算法。堆积是一个近似完全二叉树的结构,并同时满足堆积的性质:即子结点的键值或索引总是小于(或者大于)它的父节点。 需要注意的是排升序要建大堆,排降序建小堆…

虚拟机克隆

linux系统的组成; 主根目录和根目录; 所有的根目录都包含在主根目录中; 根目录: /root /home/xxx,yyy,zzz;主根目录;/ 一个重要的子目录:etc passwd, 保存了所有的三类用户信息;bashrc, 可以设置别名 及…

kafka基本原理详解

Kafka是最初由Linkedin公司开发,是一个分布式、支持分区的(partition)、多副本(replica),基于zookeeper协 调的分布式消息系统,它的最大的特性就是可以实时的处理大量数据以满足各种需求场景&am…

模块化时代的必备工具:Webpack详解,为你的项目注入新活力

🎬 江城开朗的豌豆:个人主页 🔥 个人专栏 :《 VUE 》 《 javaScript 》 📝 个人网站 :《 江城开朗的豌豆🫛 》 ⛺️ 生活的理想,就是为了理想的生活 ! ​ 目录 ⭐ 专栏简介 📘 文章引言 一…

好书分享 | 千万富翁是怎么炼成的?

这是好书分享系列的第1篇,如果觉得对你有帮助,欢迎分享给你的朋友或家人。如果想继续收到本系列推文,请点击下方公众号关注我。 最近在微信读书的新书榜里,看到一本之前在国外网站看到别人推荐的书,《邻家的百万富翁》…

软件开发分享:从瀑布模式到水母模式——ChatGPT如何赋能软件研发全流程

文章目录 📋前言🎯ChatGPT如何赋能软件研发全流程🎯ChatGPT和软件开发如何相辅相成🔥文末送书🧩专家推荐🧩内容介绍🧩作者介绍——陈斌 🔥参与方式 📋前言 计算机技术的…

阿里云推出通义千问App,提供全方位的协助

🦉 AI新闻 🚀 阿里云推出通义千问App,提供全方位的协助 摘要:阿里云旗下大模型通义千问App登陆各大安卓应用市场,具有超大规模预训练模型,可在创意文案、办公助理、学习助手、趣味生活等方面协助用户。功…

asp.net平面设计运营管理信息系统VS开发sqlserver数据库web结构c#编程Microsoft Visual Studio

asp.net平面设计运营管理系统 1.绪论 1.1编写的目的 3DA平面设计运营管理系统是为了提供本司经营模式拥有一个更便易管理职员工作的系统。目标是让职员工作更信息化,明确化;方便本司管理员能一站式解决工作中产生的数据进行统一汇总,提升管理…