數據銷毀安全新變化：合規、審計和監測

最近幾年一直在一線做數據安全工作的落地實踐，包括數據安全管理、數據安全運營、數據安全建設等。從工作體系角度，思考數據安全工作的具體內容和過程中遇到的問題，每過一段時間都有新的認識，今天把最近半年數據安全的一些新變化和大家分享，一同推進數據安全的落地實施。

數據安全作為安全的一部分，大部分情況是因為安全事件的發生而產生較大的影響力，屬于事件驅動。一個數據安全事件的發生，往往會牽動整個業務領域或條線，觸發相關單位開展安全檢查或自查。

隨著數據業務深入，數據不僅用于支撐業務應用，更是成為各行各業刺激經濟增長最重要的要素之一，通過數據產生新的價值，成為數據資產，變成數據產品或服務。此外，從國家層面極力推動數據成為國家新動能的生產要素，鼓勵數據流動、跨行業的數據融合。個人認為，數據安全合規是推動數據安全成為當前熱點更重要的原因。

這里的合規不僅包括安全管理、安全技術，還涵蓋以“數據處理活動”為主，涉及各類業務合規、技術合規和風險控制等綜合內容。比如數據采買的合同協議、數據使用范圍等，屬于前置業務合規；比如數據產品使用過程中的授權跟蹤，未授權產品（API接口為主）不允許調用，或者正常業務中非法調用監測，短時間內調用次數超合同范圍，屬于使用過程中的數據合規。除了安全范疇外，數據安全涵蓋業務使用過程中的內容，業務合規也作為其中很重要的一環。

此外，信息系統作為數據的重要載體，是數據安全具體著落點，除了通用的安全，關于技術層面合規內容也逐漸增加。比如軟件供應鏈安全成為數據安全的重要因素之一，開源組件的合規使用、第三方軟件的中斷供應風險、密鑰算法的合規等。

國家層面也在積極推動IT基礎設施的信創改造，俗稱“三大件”的操作系統、數據庫、中間件逐步國產化。密碼相關的基礎設施要求國產化，SM4對稱加密（解決數據內容加密）和SM2非對稱加密（解決密鑰傳遞）成為數據安全工作的標配。信息系統上的應用軟件的成分構成、軟件的上下游作為潛在安全隱患因素被逐漸關注。

簡要總結：

安全事件是數據安全被重視的最早、最直接的驅動因素，業務合規、技術合規和風險控制成為數據安全新的重點關注方向。

審計是重要的風險發現手段，包括內部審計和外部審計。從企業工作落地實際情況分析，審計需要區分不同的“程度”，如下：

1.外部安全審計

外部的監管審計、第三方的安全審計都比較嚴格，由外部第三方人員組織，審計結果直接面向高層。

2.日常安全巡檢

實際上日常安全運營中的日常巡檢屬于輕量化審計的一種，本質是主動發現風險。這類巡檢包括產品運行狀態、異常告警、策略配置、補丁更新、使用記錄等。

3.內部IT周期性的審計

它介于中間，通常是非工作的直接相關人員組織定期審計，去發現運營過程工作落實情況及運營過程中風險控制情況。主要用來提醒日常運行工作規范程度和執行情況。這類審計可以通用的一般控制審計，還可以組織專項審計，例如弱口令專項審計、網絡策略專項審計、賬號權限專項審計等。

文件數據銷毀

需要注意的是數據安全審計的內容需要重新定義，它的關注重點不是漏洞、攻擊、網絡策略等，而是關于數據相關的內容，可以簡要區分為人接觸數據、系統（應用）使用數據。

其中系統使用數據過程有大量的安全防護手段和安全監測手段，相對比較成熟，可以通過技術供歐產品的實時監測，審計發現問題。

關于人員接觸數據成為數據安全審計的重點，參考如下：

1.人員基礎信息

包括人員背景調查、個人注冊登記、公司信息等；

2.人員賬號及權限控制

是否具備統一的身份認證體系及權限管控，識別人的身份及接入權限，其中權限包括網絡接入權限、賬號接入權限、業務應用權限、數據操作權限等。比如平臺相關的賬號，是否均通過賬號申請審批。

3.人員的登錄行為

人員背景調查及賬號權限是基本要素，在正式接入系統后，是否可以追蹤人員賬號相關的登錄行為，什么時候、什么地點、什么終端、什么賬號登錄系統，是否登錄失敗，這些可以從VPN、堡壘機、CA認證系統、應用系統、主機服務器的日志獲取，發現其中異常行為。

4.人員的操作行為

登錄之后開展的各類操作也是關注重點。比如業務功能的訪問記錄、數據類操作（增刪改查），相關業務系統是否有操作行為日志（參數配置、功能啟用等），數據庫操作審計日志，主機服務器的操作行為日志（執行了哪些命令，是否涉及敏感、違規操作命令，如rm -rf、reboot等）。

簡要總結：

關于人員的基本信息、關聯賬號、登錄行為、操作行為的全流程審計，這些人員包括運維、安全、數據開發、應用開發、業務運營等，類似與UEBA用戶行為分析，把人基本情況、人的行為規范和人的操作行為關注好，數據安全工作幾乎就成功了一大半。

基于人的行為分析是UEBA，基于“數據”為對象，對數據全過程的監測與審計，即“數據行為分析”可能是未來數據安全的重點和難點。

1.數據“全域”：人接觸數據+數據業務流動

基于應用功能為主的信息系統，數據的流動路徑相對清晰，相關的數據流向比較好分析。

近幾年以大數據平臺為底座，匯聚企業大量、不同來源的數據之后，形成數據湖或數據倉庫。圍繞大數據平臺進行各類數據采集、使用加工和后期的數據共享管控，過程中的“全域”包括人接觸數據所涉及的全過程中相關行為，比如數據訪問、使用、開發等環節，還包括數據產品作為業務使用中的數據流向全過程。

文件數據銷毀

因此，在進行數據安全風險監測時，監測對象包括“人接觸數據”和“數據業務流動”，人接觸數據大部分屬于管理流，數據業務流動則屬于業務使用過程的數據流向。

2.數據安全風險監測邏輯

數據安全風險監測實現邏輯基本分解為三步：獲取信息、匹配規則、觸發告警。

• 第一步獲取監測信息：為了實現監測，需要獲取各類日志信息，比如系統、數據庫、審計、業務日志、安全日志等，需要獲取各類網絡流量信息，比如通過鏡像獲取交換機網絡流量，通過部署Agent等采集主機或者云主機的虛擬網卡流量。
• 第二步建立匹配規則：基于流量或日志信息進行規則匹配或者大模型識別后，通常過濾出大量的告警信息，這些告警信息存在較多的誤報，需要結合業務資產（IP、主機名、MAC等）進行關聯分析，識別出與資產相關的風險。
• 第三步觸發告警通知：通過二次過濾出來與業務相關的重要告警信息，通常安全運營人員對安全類的系統進行巡檢和監控，發現問題。實現告警通知到第一線的安全運營人員非常關鍵，即監測告警發現問題只是第一部分，更重要是將重要的告警能夠告警通知方式，比如郵件、電話、短信、微信群等方式告警出來。

文件數據銷毀

3.大數據平臺數據安全風險監測難

在整體了解到風險監測基礎邏輯后，我們分析為什么大數據平臺的數據安全風險監測難度較大。主要原因如下：

• 關于vpn、堡壘機、主機的虛擬網卡流量、系統日志、應用日志、安全日志等各方面的信息的整合與匯總比較難，通常由不同的廠家構成，日志統一解析存在難度。
• 大數據平臺中很核心的環節是各類人員接觸大數據平臺進行數據開發過程的日志難以獲取，非常依賴于大數據平臺底座環境的開放程度，比如業務API網關代表API產品的調用過程，比如數據治理開發平臺過程中數據模型開發、數據的粗加工治理等環節。
• 除了技術層面的風險分析，大數據平臺關于數據采集引入、數據產品對外服務、數據產品安全共享等安全合規過程中的信息，也應納入整理的風險監測，包括基于數據上游企業的風險、數據正常使用過程中業務調用監測等，這些包括業務類相關數據。

簡要總結：

風險監測自身的邏輯非常清晰，大數據平臺因為涉及數據合規采買和數據產品使用中的合規信息、數據加工過程監測等信息，與傳統安全監測類的信息進行整合呈現，形成數據“全域”安全風險視圖，整體上都沒有很好的落地解決案例。