安恒信息首席科学家刘博:CAPE数据安全能力框架,为数字经济保驾护航
数据资源是数字经济的关键生产要素。发展数字经济与保障数据安全应当并驾齐驱,网络运营者等有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。综合Gartner数据治理模型、中华人民共和国数据安全法(草案)等现有数据安全治理模型、以及丰富的信息安全领域项目实战经验,安恒信息首席科学家刘博率先提出了针对敏感数据保护的“风险核查Check—数据梳理Assort—数据保护Protect—监控预警Examine”(CAPE)模型。
注:完整版AiGuard数据安全能力全景图下载见文末
CAPE模型设计坚持三大原则:
01
以身份和数据双中心原则
保护数据安全的目标之一是防止未经授权的用户进行数据非法访问和操作。所以需同时从访问者“身份”和访问对象“数据”两个方向入手,双管齐下。
不信任企业内部和外部的任何人/系统/设备,需基于身份认证和授权,执行以身份为中心的动态访问控制。
聚焦以数据为中心进行安全建设,有针对性的保护高价值数据及业务,数据发现和分类分级是以数据为中心保护的重要基础。
02
全面覆盖立体化防护原则
横向上需全面覆盖数据资源的收集、存储、加工、使用、提供、交易、公开等行为活动的整个生命周期,采用多种安全工具支撑安全策略的实施。
纵向上通过风险评估、数据梳理、访问监控、大数据分析,进行数据资产价值评估、数据资产弱点评估、数据资产威胁评估,最终形成数据安全态势感知。
通过组织、制度、场景、技术、人员等自上而下的落实来构建立体化的数据安全防护体系。
03
智能化、体系化原则
在信息技术和业务环境越来越复杂的当下,仅靠人工方式来运维和管理安全已经捉襟见肘了,人工智能、大数据已经有相当的成熟度,如UEBA异常行为分析、NLP加持的识别算法、场景化脱敏算法等。
同时,仅靠单独技术措施只能解决单方面的问题,必须形成体系化的思维,通过能力模块间的联动打通,系统形成体系化的整体数据安全防护能力,并持续优化和改进,从而提升整体安全运营和管理的质量和效率。
CAPE框架实现了敏感数据安全防护的全生命周期过程全覆盖,建立了以风险核查为起点,以数据梳理为基础,以数据保护为核心,以监控预警作为支撑,最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。
框架主要思路如下:
01
风险核查(C)
通过风险核查让数据资产管理员全面了解数据库资产运行环境是否存在安全风险。通过安全现状评估能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,保持数据库的安全健康状态。数据库漏洞、弱口令、错误的部署或配置不当都会很容易让数据库陷入危难之中。
• 漏洞扫描,帮助用户快速完成对数据库的漏洞扫描和分析工作,覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞等,并提供详细的漏洞描述和修复建议。
• 弱口令检测,基于各种主流数据库口令生成规则实现口令匹配扫描。提供基于字典库,基于规则,基于穷举等多种模式下的弱口令检测。
• 配置检查,帮助用户规避由于数据库或系统的配置不当造成的安全缺陷或风险,检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。基于最佳安全实践的加固标准,提供重要安全加固项以及修复建议,降低配置弱点被攻击和配置变更风险。
02
数据梳理(A)
数据梳理阶段,包含以身份为中心的身份认证和设备识别、以数据为中心的识别与分类分级、账号权限的梳理,形成数据目录。
• 以身份为中心的身份认证和设备识别;网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。
• 以数据为中心的识别与分类分级;进行数据安全治理前,需要先明确治理的对象,企业拥有庞大的数据资产,本着高效原则,刘博建议,应当优先对敏感数据分布进行梳理,“数据分类分级”是整体数据安全建设的核心且最关键的一步。通过对全部数据资产进行梳理,明确数据类型、属性、分布、账号权限、使用频率等,绘制“数据目录”,以此为依据对不同级别数据实行合理的安全防护手段。这个基础也会为客户数据安全保护进行信息化赋能和策略支撑,如数据加密、数据脱敏、防泄漏和数据访问控制等。
03
数据保护(P)
基于数据使用场景需求制定差异化的、有针对性的数据安全保护动作。这一步的实施更加需要以数据梳理作为基础,风险核查的结果作为支撑,以提供数据在收集、存储、加工、使用、提供、交易、公开等不同场景下,即满足业务需求,又保障数据安全的保护策略,降低数据安全风险。制定并实施相应的安全保护技术措施,以确保敏感数据全生命周期内的安全。
数据是流动的,数据结构和形态会在整个生命周期中不断变化,需要采用多种安全工具支撑安全策略的实施。刘博在CAPE框架体系中提出了实现数据安全保护的6个工具/技术手段:
• 加密,包括数据存储加密、传输加密等多种技术。
◦ 存储加密,为保障数据在存储中的机密性、完整 性,采用加密技术对数据进行加密存储,防止可能会发生授权的数据被窃取、伪造和篡改等安全风险,保障数据在存储时的安全性。
◦ 传输加密,采用加密保护措施,防止数据在通过不可信或者较低安全性的网络进行传输时,发生数据被窃取、伪造和篡改等安全风险,保障数据在传输过程中的安全性。比如采用HTTPS协议保障传输链路的加密、采用国密算法(SM2、SM3、SM4)保障业务数据安全传输等,最大限度的保障敏感数据安全。
• 密钥管理,⾯向业务系统提供密钥服务,负责业务系统的对称密钥和⾮对称密钥对的管理,保证密钥的安全性。
• 数据脱敏,数据脱敏旨在通过向用户提供高度仿真的数据,而不是真实和敏感的数据,同时保持其执行业务流程的能力,从而防止滥用敏感数据。脱敏分为静态脱敏和动态脱敏。
◦ 静态脱敏用于对开发或测试中的数据集而不是生产中的数据集。数据在使用之前被脱敏,因此数据在存储和随后的使用或传播过程中受到保护。
◦ 动态脱敏在应用程序或个人根据授权访问数据时,实时进行脱敏操作。原始敏感数据驻留在底层存储库中,并且在应用程序访问时按策略授权进行数据提供,没有权限访问敏感信息的用户和应用程序提供了脱敏数据。动态脱敏不会更改底层存储库中的数据。
• 水印溯源,是对数据进行打标签、加水印、植入溯源种子的方式,水印信息具有一定的隐秘性、不对外显示,用以记录数据流转的过程及泄露时能确认具体的泄露节点及责任人,以此进行数据泄露的审计和跟踪,从而解决数据的非授权扩散监管问题。
• 数据防泄漏,DLP工具提供对敏感数据的可见性,无论是在端点上(使用)、在网络上(运动)还是在文件共享上。使用DLP组织可以实时保护端点或网络中传输和外发数据,实时预警和阻止数据被泄漏的行为发生。
• 访问控制,基于通过IP、MAC、客户端主机名、操作系统用户名、客户端工具名和数据库账号等多个维度对用户身份进行管理,确保设备是可信的设备,应用是认证应用。通过全面的身份化,实现对网络参与的各个实体在统一的框架下进行统一的身份认证,结合数据分类分级实现基于数据和身份的细粒度访问控制功能。
04
监控预警(E)
制定并实施适当的技术措施,以识别数据安全事件的发生。此过程包括:行为分析,权限变化,访问监控。通过全方位监控数据的使用和流动,最终形成数据安全态势感知。
• 行为分析,能够对进出核心数据库的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,UEBA可以根据用户历史访问活动的信息刻画出一个数据的访问“基线”,而之后则可以利用这个基线对后续的访问活动做进一步的判别,以检测出异常行为。
• 权限变化,能够对数据库中不同用户,不同对象的权限进行梳理并监控权限变化,权限梳理应从用户和对象两个维度展开。一旦用户维度或者对象维度权限发生了变更,能够及时向用户反馈。
◦ 用户维度:可以监控数据库中用户启用状态、权限划分、角色归属等基本信息。
◦ 对象维度:能够对数据库对象可被哪些用户访问进行归纳总结,特别是对包含了敏感列的表或者敏感度评分较高的对象,可以着重监测其访问权限划分情况。
• 访问监控,实时监控数据库的活动信息,当用户与数据库进行交互时,系统应自动根据预设置的风险控制策略,进行特征检测及审计规则检测,监控预警任何尝试的攻击或违反审计规则的行为。
刘博
杭州安恒信息技术股份有限公司首席科学家、高级副总裁,AiLPHA大数据实验室总负责人,美国马里兰大学计算机科学博士。曾任美国Square移动支付公司大数据研发经理及Facebook机器学习研究科学家。“G20”峰会、第三届世界互联网大会、“一带一路”峰会、“金砖五国”峰会等国内重大活动网络安全保障核心人员。
本次首席科学家刘博为大家带来AiGuard数据安全能力全景图
请扫描下方二维码进行下载:
往期精选
围观
2021西湖论剑·网络安全大会4月24日开幕!(附报名通道)
热文
热文