《数据安全治理三步走之三:数据安全稽核与风险预警》由会员分享,可在线阅读,更多相关《数据安全治理三步走之三:数据安全稽核与风险预警(4页珍藏版)》请在金锄头文库上搜索。
1、 2016 安华金和 密级:内部公开- 1 -数据安全治理三步走之二:数据安全稽核与风险预警在有效的数据梳理及严格的数据管控基础上,我们还需要有效地对数据的访问行为进行日志记录,对收集的日志记录进行定期地合规性分析和风险分析。本文对数据安全稽核的策略、风险与挑战以及技术支撑三个方面进行详细说明。一. 定期的稽核策略定期的稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责,包括:A、合规性检查:确保数据安全使用政策被真实执行;B、操作监管与稽核:主要针对数据访问账号和权限的监管与稽核;要具有账号和权限的报告;要具有账号和权限的变化报告 ;业务单位和运维部门数据访问过程的合法性监
2、管与稽核;要定义异常访问行为特征 ;要对数据的访问行为具有完全的记录和分析;C、风险分析与发现:对日志进行大数据分析,发现潜在异常行为;对数据使用过程进行尝试攻击,进行数据安全性测试。二. 数据安全的稽核和风险发现挑战2.1 如何实现对账号和权限变化的追踪定期地对账号和权限变化状况进行稽核,是保证对敏感数据的访问在既定策略和规范内的关键;但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。 2016 安华金和 密级:内部公开- 2 -2.2 如何实现全面的日志审计在新的网络安全法出台后全面的数据访问审计要求,日志存储最少保留 6 个月;在新的等保中要求,云的提供商和用户都
3、必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑,1000 亿数据以上的存储、检索与分析能力上,均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。2.3 如何快速实现对异常行为和潜在风险的发现与告警数据治理中,有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模,是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。三. 数据安全稽核的技术支撑3.1 数据审计技术数据审计的目标是对所有的数据访问行为进行记录,对危险行为进行告警,提供数据访问报表,提供对数据的检索和分析能力;数据审计技术是对工作人员
4、行为是否合规进行判定的关键;数据审计技术主要是基于网络流量分析技术、高性能入库技术、大数据分析技术和可视化展现技术:图 14 数 据 审 计 技 术 2016 安华金和 密级:内部公开- 3 -3.2 账户和权限变化追踪技术账号和权限总是动态被维护的,在成千上万的数据账号和权限下,如何快速了解在已经完成的账号和权限基线上增加了哪些账号,账号的权限是否变化了,这些变化是否遵循了合规性保证,需要通过静态的扫描技术和可视化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。图 15 授 权 变 更 统 计 分 析 管 理 界 面3.3 异常行为分析技术在安全治理过程中,除了明显的数据攻击行为和违规
5、的数据访问行为外,很多的数据入侵和非法访问是掩盖在合理的授权下的,这就需要通过一些数据分析技术,对异常性的行为进行发现和定义,这些行为往往从单个的个体来看是合法的。对于异常行为,可以通过两种方式,一种是通过人工的分析完成异常行为的定义;一种是对日常行为进行动态的学习和建模,对于不符合日常建模的行为进行告警。分类 异常描述 影响分析一段时间内重复查询客户信息几百次 高一个号码一天内被查询 10 次以上,或一个月内被查询 100 次以上 中异常的查询频率某些特殊号码被多次查询,例如吉祥号 中长时间不登陆的帐号登陆使用,查询敏感信息 低帐号异常同一个帐号被多个人员使用,同时登陆或登陆 IP 地址经常
6、变化。 中一段时间内修改客户信息几百次 高异常的修改频率单号码信息一天内被修改 10 次以上,或一个月被修改 100 次以上 中图 16 异 常 访 问 行 为 定 义 2016 安华金和 密级:内部公开- 4 -以上很多的异常访问行为,都与频次有密切的关系;这种频次分析技术不是传统的关系型数据库或大数据平台的强项,更多地需要引入一种新的技术,这就是 StreamDB 技术;一种以时间窗体为概念,对多个数据流进行频次、累计量和差异量进行分析的技术,往往可以用于对大规模数据流的异常发现:图 17 Stream 数 据 处 理 技 术四. 小结数据安全稽核是安全管理部门的重要职责,以此保障数据治理的策略和规范被有效执行和落地,保障能够快速发现潜在的风险和行为。只有做好数据安全稽核才能保证数据安全治理的落地,为数据使用安全做好有利的把控。
