数据安全预警及应急响应机制
数据安全预警及应急响应机制 天融信科技集团-施安平 数字化时代下数据安全趋势 数据安全建设思路02 数据安全预警及应急响应机制 数据安全案例 数字化时代大背景 数字中国 数字经济 数字化转型 党的十九届五中全会提出,发展数字经济,推进数字产业化和产业数字化,推动数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。 各行业智慧城市、智慧政务、智慧金融、智能制造、智慧医疗、智慧交通、智慧能源等数字化转型升级进度加快。 党的十九大提出,推动互联网、大数据、人工智能和实体经济深度融合,建设数字中国、智慧社会。 《关于构建更加完善的要素市场化配置体制机制的意见》 2020年3月30日,中共中央、国务院明确将数据作为新型生产要素写入政策文件。培育发展数据要素市场,释放数据红利,已成为推动经济高质量发展的新动能。 数字经济时代,数据资产已成为核心生产要素,关乎国家安全、城市安全、关键基础设施安全、公共安全等,网络安全进阶为数据安全。 数据已成为新型生产要素 数据安全事件层出不穷 行车记录全暴露高合汽车陷隐私泄露风波 X公司向境外出售高铁敏感数据每月达500G T-Mobile数据泄露 一则“高合行车记录仪疑似泄”引发关注。汽车博主爆料称,高合汽车的行车记录仪可通过车主互联功能接收其他高合汽车的信号,并读取这些汽车行车记录仪内容。 2021年8月,美国电信巨头T-Mobile官方确认服务器被黑客入侵,根据T-Mobile官方统计,攻击者窃取4860万人的记录,包括当前、以前或潜在的T-Mobile客户。 境外公司委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GMS-R,仅仅一个月采集的信号数据就已经达到了500个G。 2022年1月 2022年4月 东亚银行因违反信息采集等规定被罚超千万 新暗网市场IndustrialSpy出售各大公司机密数据 2022年1月10日,中国人民银行上海分行公布一张巨额罚单,东亚银行违反信用信息采集、提供、查询及相关管理规定,被处以罚款人民币1674万元,责令限期改正。 2022年4月19日,威胁参与者推出了一个名为Industrial Spy的新市场,出售或向其成员免费提供来自被盗公司的数据。公司可以在其中购买竞争对手的数据来获取商业机密、制造图、会计报告和客户数据库。 数据安全法律条例及监管不断完善 伴随数据安全领域法律法规、合规政策的陆续颁布,监管机制逐步完善,数据安全事件的影响已经不局限于经济损失、声誉损害,还可能面临巨额罚款和刑事责任。 数据安全建设面临的痛点 数据安全面临痛点 数据本质变化 敏感数据分散,使用权责不明确,缺乏分级保护策略,很难跟踪数据流向及数据访问行为 数据风险状况不明确 数据全生命周期各阶段安全隐患暴露,存在泄漏、篡改、非授权使用和被破坏和隐私泄露的风险。 数据安全策略不健全 各类数据安全设备策略设置不全,存在各类安全风险、设备防护效果差 数据事件处置不及时 缺乏一整套流程机制应对数据安全事件发出时的处置,缺少应急预案管理和应急演练等 数据安全效果难衡量 缺少常规的数据安全风险评估,没有数据安全实战评估和验证机制,无法对数据安全效果衡量 数据安全运营概念和作用 数据安全运营概念 通过构建标准化技术、流程和组织体系,建设数据资产运营、数据安全策略运营、数据安全风险运营和数据安全事件运营,提供持续、动态、闭环运营,解决各类数据安全风险,实现以数据安全为中心持续优化目标。 管理落地 多维协同 对管理上具体要求完善,实现管理要求落地和执行。 实现合规协同、组织协同、管理协同、策略协同和处置协同等多维协同。 能力评价 统一运营 明确各环节能力指标,包括:资产管理、风险管理、事件管理等能力指标等,实现常态化评价、优化和运营。 通过统一工具实现数据资产管理、数据安全策略管理、数据风险统一管理和运营。 数据安全运营与数据安全治理关系 数据安全运营参考模型 参考国内外数据安全模型框架,得出数据安全运营是一个体系化的工程,需要对组织、流程、技术、人员进行综合考虑 数据安全能力成熟度模型 微软DGPC安全治理框架 1.合规保障是组织数据安全治理的底线2.风险管理是数据安全治理的关键3.按照规划、建设、运营、评估的实践路线4.结合组织结构、制度流程、技术工具和人员能力建设数据生命周期安全能力 1.任何环节的疏忽都可能成为数据安全短板2.不唯技术论,强调组织建设、制度流程和技术工具的综合作用3.是一种良好的评估方法,可用于组织自我评估与监管机构评测 1.业务与安全要达到平衡2.数据要进行优先级设定3.制定合理适当的全局安全策略4.选择匹配的安全技术工具5.安全策略的同步与执行 1.企业及组织统一2.跨学科合作实现数据隐私、保密、合规建设。3.重点是以数据安全及隐私保护作为主要目标。 数据安全运营目标 符合监管要求 满足《网络安全法》、《数据安全法》、《个人信息保护法》、《网络安全审查办法》、《数据出境管理办法》等法律法规及监管要求 降低安全风险 通过构建完善数据安全组织体系、技术体系、流程体系和评价体系,实现数据安全从监测、分析到处置闭环运营,从而降低数据安全风险 数据合法利用 确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力 数据安全运营能力模型 完善的运营流程 六维能力-(1)数据安全资产识别-数据资产识别发现能力 识别规则配置,识别Oracle、MySQL、SQLServer、DB2、文件如SFTP、FTP、大数据组件如Hadoop、HDFS等内容识别 对已纳管的数据资产通过数据发现识别后资产分布进行分析展示。展示数据库、文件库敏感数据级别、类别分布情况。 通过数据分类分级工具实现数据从字段维度、表维度分类分级,通过平台智能匹配识别出敏感数据,重要数据。 六维能力-(1)数据安全资产识别-数据流向分析 通过可视化流向分析可直观展现数据在业务中的依赖关系并可辅助判断数据应用过程中的风险。 利用数据审计技术,得出数据的源所属业务网络、所使用账号、数据库所属业务网络;并通过IP判断出数据库与账号的关联关系,得出账号与字段之间的关联关系,最终得出账号、字段、业务网络的关系,从而判断出该系统的数据流向。 六维能力-(2)数据处理活动监测-威胁监测 数据采集 数据传输 数据使用 数据删除 数据开放 数据加工 六维能力-(2)数据处理活动监测-场景梳理 六维能力-(3)数据安全风险预警 事件风险监测 事件告警处置 设备风险监测 支持告警与响应能力,在告警处置模块中支持对系统产生的安全告警事件进行详情查看以及跟踪处置;通过派单指派给相关责任人进行处理,同时提供审计记录,方便对派单数据进行跟踪查看。 具备Syslog、FTP、Kafka等多种数据采集方式,提供数据安全分析模型,实现数据资产的全生命周期风险分析和专题化场景分析,提供风险监测功能,对数据全生命周期的风险监测进行清单展示。 对安全设备组件的管理能力,如数据库防火墙、DLP、数据库审计等。对组件告警进行展示,统计告警趋势、告警排行、以及组件状态,展示CPU负载、和内存负载排行。 六维能力-(4)数据安全策略管控-策略梳理 根据数据安全等级差异,逐级提升数据安全保护能力。每一级能力均覆盖数据采集、传输、存储、 使用、删除及销毁等全生存周期环节。 六维能力-(4)数据安全策略管控-策略下发优化 策略下发 策略优化 通过数据安全管理平台统一纳管数据安全网关、数据库防火墙、非结构化审计、数据水印、数据安全交换、结构化审计、数据库运维能力组件,实现对各组件的集中管控及组件策略统一编排下发。 通过策略优化显示安全事件与策略关联,以事件为中心,展示匹配的策略信息,从而对策略的信息进行稽核,优化策略,确保策略不被绕行。 六维能力-(5)数据安全事件响应 建立数据安全应急响应机制,从事前应急预案建立、开展常态化培训及应急演练开始,到事中数据安全事件持续监测、事件评估、事件响应处置,再到事后业务恢复、总结,完成数据安全事件闭环。 六维能力-(5)数据安全事件响应(数据安全应急预案) 应急预案目标 ① 安全预防:预防和减少数据泄露、数据丢失、数据破坏等安全问题;② 快速响应:采取紧急措施,恢复业务到正常服务状态;③ 降低损失:调查安全事件发生的原因,避免同类安全事件再次发生;提供数字证据。 准备阶段 抑制阶段 根除阶段 恢复阶段 启动阶段 总结阶段 保证在发生信息安全事件后能顺利完成应急响应工作而必须在日常完成的准备工作 恢复系统的运行过程,把受影响系统、设备、软件和应用服务还原到正常工作状态 采用针对性安全措施降低事件损失、避免安全事件扩散和安全事件对受害系统的持续性破坏 进一步分析信息安全事件,找出事件根源并将其彻底清除 一旦安全事件发生,对组织发出报警同时立即启动应急响应预案 总结安全事件的处置流程,改进工作中存在缺陷的点,防止安全事件的再次发生 应急处理流程 六维能力-(5)数据安全事件响应(数据安全应急演练) 运营管理小组负责应急演练统筹协调,组织全局定期开展应急演练,检验和完善预案,提高实战能力,每年至少组织一次预案演练,不断加强人员的应急安全意识和应急响应的熟练程度。 六维能力-(5)数据安全事件响应(数据安全应急处置) 六维能力-(6)数据安全质效优化-安全运营能力评价 六维能力-(6)数据安全质效优化-安全运营能力评估 数据安全能力认证 能力成熟度评估 评估、差分、整改建设、协助测评 六维能力-(6)数据安全质效优化-数据安全能力培训 在数据安全运营各个阶段,同步开展数据安全教育培训,营造数据安全氛围,助力数据安全保障工作落地 数据安全运营价值 持续优化改进 标准化运营团队 通过标准化运营团队,从运营管理、分析、处置、培训和监督等方面,提供各种运营能力。 通过规范化运营流程,对组织结构、技术防护持续改进优化和调整,规范落实组织间职责和协同,完善技术防护体系。 专业的运营平台 完善的运营指标度量 通过建立资产管理、风险管理和事件管理指标,实现对运营效果度量和评价,持续性进行优化调整。 通过数据安全管理平台对数据在采集、传输、存储、使用、交换、销毁的整个生命周期阶段进行安全防护,实现数据资产管理、风险管理和事件管理的常态化运营。 4 数据安全运营案例1-某电网 一、项目背景 三、建设成果 某电网公司在保护数据安全方面已实践了诸如审计、脱敏、加密等技术措施,但这些措施都独立运行,未能实现以数据为中心的安全治理的体系化、标准化。随着公司数据大集中建设完成,数据大集中随之带来的数据安全风险急剧增加,亟需建设与之相适应的安全服务平台,以保障数据的流动使用安全,满足国家法律法规的安全要求。主要问题如下: 1、数据安全缺乏全局可视化,无法掌握数据动态流向;2、缺乏全生命周期的数据防护,未能实现数据安全体系化;3、防护设备孤岛化、离散化,无法集中管控发挥协同效应;4、数据资产不清、数据未实施分类分级 四、客户收益 二、建设内容 合规层面:满足《数据安全法》对数据处理者的要求,包括数据分类分级保护、数据安全保护体系、数据安全风险监测、合法正当采集等。 收益层面:1.向电网各业务系统提供数据库防火墙服务服务,配置安全防护策略14条,累计审计数据库操作日志685197条,实现数据库访问的有效控制,杜绝数据非法访问、窃取事件发生。2.提供数据库操作细粒度审计,累计已产生204829条安全日志,通过对用户访问数据库行为的记录、分析、汇总,加强内外部数据库网络行为的监控与审计。3.向提供数据水印服务,累计172次,实现数据中心的财务文档添加文档使用者的个人信息水印,确保“谁使用、谁负责”,并且在数据发生泄露时可对泄露文件进行溯源提供泄露源
