[孙淳晔 王睿轶 冯志杰]
当今时代,发展数字经济已成为世界各国构建全球竞争力的共同选择。数字经济的发展塑造了全新的数据安全治理体系[1],数据安全已成为数字经济发展的基石,发展数字经济的首要前提,就是筑牢数据安全的底线,既要盘活海量数据让其充分发挥价值,又要确保数据合规,守护数据安全。
2017年6月,《网络安全法》颁布实施,以保护网络及网络数据安全为目的。同年9月《数据安全法》发布实施,以保护数据安全、促进数据开发利用为首要目的。11月,《个人信息保护法》颁布,建立了责权明确的个人信息处理规则,三部安全基本法的陆续颁布,确定了国家网络安全、数据安全安全工作机制,也明确了预防、控制和消除网络安全、数据安全风险的一些列制度及措施,进一步提升了网络安全及数据安全的整体保障能力[2]。
数据在成为热点的同时,带来了更多的安全风险,表现为近年来数据泄露事件层出不穷,泄露数量急速上升,既有黑客攻击,又有内部人员泄露、合作人员泄露以及数据共享造成的泄露,尤其在当今的大数据发展背景下,亟待需要在重视数据安全防护的同时转变防护思路。
以某省运营商大数据系统为例,如图1运营商大数据平台架构图所示,涉及多达几十多个生产和业务系统与大数据平台进行数据交互,大数据平台里存储了超过几千甚至上万个数据字段,涵盖了电信运营服务种的各类数据,日均产生数据量几十TB以上,海量的数据积累极易成为受攻击对象。
图1 运营商大数据平台架构图
大数据时代的数据获取、存储方式、数据访问特点,关注重点与传统系统架构发生了很大的不同[3],这些新特性对信息安全提出了挑战[4],表现出了一些新特点。
更开放:大数据业务更加开放,业务生态更加复杂,参与角色更加多元,不断产生数据共享需求,数据集中存储,一次攻击收益巨大、如何相对更加可靠的保障海量数据的存储安全,已成为大数据面临的主要难题之一。
不可控:数据流动由传统上下游单链条演变为复杂多输入输出形式,无统一安全管理视图,使用者可获得多个数据源并关联分析的风险,同时平台承载了大量租户、服务及海量数据,如何给予用户身份并统一控制其享有的服务及访问权限也是一大难题。
易泄露:敏感数据跨部门、跨系统共享留存常见,如安全措施不当,环节中可能发生数据泄露风险。数据在管道能力开放过程中,数据隐私的保护技术与管控手段应该及时跟上[5]。
难防守:数据分布存储于在各个集群内、传统的纵向分区分级模型不再适合,以至于无法实施有效的访问控制策略,同时针对大数据平台的攻击手段不断发展变化,传统的静态隔离安全保护方式已不能完全满足大数据安全防护需求。综上所述,急需构建更加完善的大数据平台安全保障体系。
面对大数据背景下的新挑战,从4个方面提出安全体系构建,打造安全体系,实现IT安全的可管可控。
围绕IT系统及其承载的数据、全方位核查IT安全资质,理清IT资产,做到心中有数。
加强纵深防御:从物理、网络、主机、应用、终端、数据等各层分别针对实现安全加固,提升安全防护能力。
加强主动发现处理:利用大数据/AI手段,开展多维度智能分析,加强态势感知,构建安全防护大脑。
加强联动机制:建立跨部门、跨业务、跨平台的安全事件联动处理机制和流程。
以上述4个方面为主线,构建安全运营管理、安全分析、安全防御、安全接入、采集、数据安全及资产管理七大能力中心,做到“看得清”、“防得住”、“守得牢”、“管得好”。如图2安全体系架构图所示。
图2 安全体系架构图
(1)资产管理能力,通过资产梳理,建立资产视图和台账,实现资产自动化管理。
资产梳理:梳理家底,消除“三无”资产,理清“七边”资产。三无指:无人管理、无人使用、无人防护情况的业务/网站/系统/平台;七边指:处于测试、实验、退网未交维、加载业务上线未交维、合作方共同运营、交接不清晰、衰退期资产。
资产流程闭环:建立资产入网-资产变更-资产监视-资产退网流程,实现对主机、数据库、业务系统、网络拓扑图、业务系统互联关系等IT安全资产的全生命周期闭环管理,如图3资产生命周期管理视图所示。
图3 资产生命周期管理视图
资产自动发现:通过网管发现、Agent采集等方式自动发现现网资产并生成网络拓扑。
资产动态更新:监测发现未登记、退网等异常资产,实现资产数据查漏补缺和动态更新。
资产管理台账和视图:通过管理视图实现资产目录的查询、退网下线等;实现资产的全生命周期可管可视。基于业务系统资产清单内网络互访关系图,自动生成业务系统互联拓扑图,能够直观查看数据域资产分布及安全防护情况,包括主机、应用及其他资产情况。
(2)数据安全能力
建立标准,对数据进行分类和分级管理;通过各种数据安全保障措施,提升数据安全防护能力,建立数据安全管控中心,实现对数据安全的可视化管理和智能检测控制。
数据分类分级:大数据平台包含各类海量数据,通过对数据的有效理解和分析,对数据进行不同类别和密级的划分,根据数据的类别和密级指定不同的管理和使用原则,对数据做到差别和针对性的防护,尤其针对敏感数据要做好防护,发现隐私有风险的数据表、字段;调用数据匿名处理服务,匿名处理服务参照数据分类分级,针对不同敏感数据类型与字段进行自适应的数据匿名处理,实现敏感数据识别及保护。
基础数据安全防护:①数据脱敏:自动发现敏感数据,通过脱敏技术及规则,对敏感数据按需求进行规制变形;同时保证数据的一致性和数据管理性。②数据加密:重要的数据文件、对外对内需要进行加密处理,有密钥后才能打开,重点数据在通过接口传输数据过程需要加密,只有密钥后才能读取数据。③数据审计:记录数据操作日志,对操作失误、恶意操作、越权操作进行记录,并评估;扫描代码和记录代码修改日志,对代码风险进行评估;记录软件部署更新日志,并扫描软件漏洞和评估。
(3)安全接入能力,加强访问控制及细粒度授权。
减少暴露面,消除弱口令:以零信任技术为基础,以身份为中心进行动态访问控制,假设网络无时无刻不处于危险的环境中,网络中自始至终存在外部或内部威胁,所有的设备、用户和网络流量都应当经过认证和授权,同时安全策略必须是动态的,并基于尽可能多的数据源计算而来。
统一账户授权:对数据访问请求进行多层隔离,对关键数据进行操作限制,同时进行统一帐户管理,按作用范围分为前台帐户、后台帐户,统一授权,区别使用,在技术上和管理上为安全增加多重保障。
大数据平台接入访问控制:对数据安全可信区域进行细粒度的接入管控,建立细粒度的资源访问策略,精细化控制资源访问权限。
(4)安全采集能力,根据一定的安全采集策略,做好采集合规和问题及时上报。
按照一定的监控策略、安全威胁、采集策略下发,并做好威胁分析、处置的及时上报。
此外在采集处理阶段,需要实现对采集接口的鉴权,如图4采集接口安全要求所示,如限制采集系统的IP、端口号,禁止通过USB口进行数据采集;同时也要限制流量采集设备的接入,限制对核心设备的镜像操作,对采集行为进行日志记录,对异常行为进行及时告警。
图4 采集接口安全要求
(5)安全防护能力,根据网络层到应用层不同边界风险类型,实现有针对性重点防护能力。
根据网络层到应用层不同边界风险类型,实现有针对性重点防护能力,形成网络、主机、应用三层聚合的访问控制能力、入侵防御能力、恶意代码防护能力、威胁感知等安全能力。
在大数据平台的网络边界部署网络攻击检测防护设备,防止黑客攻击。如部署抗DDOS、流量检测、入侵检测、流量溯源设备等防护设备。
通过部署IPS、WAF、APT、蜜罐等设备提升系统安全检测及应对风险能力。
(6)安全分析中心
数据风险预测的分析模型构建:通过图计算、机器学习[6]等AI技术,构建面向数据风险预测的分析模型,如事件理解模型、事件关联分析模型、风险评估模型,聚焦业务连续性、操作安全性、敏感数据分布、事件关联分析、用户趋势行为分析、业务应用运行分析、业务分析策略等安全态势分析类场景应用。
态势感知:通过对业务系统及设备日志、网络流量等进行大数据分析,对系统或大数据平台遭到的WEB渗透攻击、网络木马活动、DNS系统攻击事件等情况进行实时监测、分析挖掘、溯源和总体可视化呈现,提供事前预警的能力、事中感知和及时应对能力,如图5态势感知分析图所示。
图5 态势感知分析图
(7)安全运营能力,通过技术发现和定位安全隐患,并做出相应的响应措施,建立指标考核管理制度及配套工具,及时修复安全风险、处理安全威胁,以保证业务的正常运营。
脆弱性检测:提供漏洞和基线监测能力,提供作业调度执行周期的监测任务。
风险处置:对漏洞、基线生命周期以工单流方式进行闭环处理,并通过报表方式对风险进行输出。
安全事件管理:基于安全事件进行告警生命周期管理,提供事件检索分析、统计和取证。
指标考核管理:落实安全“三同步”,固化业务系统安全管理全生命周期流程体系,利用指标模版定制化检查点,通过考核任务来实现常态化安全工作,通过指标统计进行考核评估和工作量化。
安全预警:通过指标板的形式,展现各种数据资产的待处理告警、紧急告警的分布情况,以及安全威胁防御情况,并对整个数据域使用的安全防御规则进行配置,每个防御规则可包含多种防御场景。
端到端监控:展现及维护大数据系统中所有的账户和功能授权关系监控以及对大数据平台及平台之上应用系统中,敏感数据分布以及敏感数据的保密处理方式的监控。
基于大数据平台的安全体系构建,核心在于保障数据安全,并贯穿于数据的全生命周期管理,安全建设的最终目标即是达到对于业务使用的“无感无扰”,整体监控“威慑可见”,安全技术可视可见,并结合人工智能手段,通过自动化审计、智能的自适应框架引导安全纵深防御体系的支撑转型,实现安全风险的精细化管理运营,开放大数据安全分析平台框架,承载和可扩展集成更多安全威胁应用,实现经验的广泛推广及应用。