[网络协议]网络安全态势感知运营中心建设解决方案

基于自适应安全架构（ASA）思想内核的数据安全态势感知运营 中心是用于指导整个数据安全体系建设的，应该具备六大安全能力。

(一)盘清家底：以数据资源为核心的资产管理中心

建立以数据资源为核心的资产管理中心，是数据安全运营的前提。 通过技术手段对企业自身拥有的数据资产进行全面的盘点，掌握数据 资产分布、数据资产类型、数据内容结构、数据资产归属、数据资产 使用状态等信息，最终的目标是构建“一棵既有业务属性也有安全属 性的数据资产目录树”。

数据资产发现是解决数据资产分布广泛问题的有效手段，通常是以主动发现与被动探测相结合的方式进行。数据资产主动发现是在安 全策略的配合下，通过主动嗅探的方式扫描全网地址，对潜在的数据 源建立连接并构造请求内容，解析响应内容从而收集数据源基本信息； 数据资产被动探测是通过镜像核心交换的流量来进行协议解析，根据 协议类型确定数据源类型，从而达到收集数据源基本信息的目的。通 过数据资产发现实现全网数据源的初步收集，从而建立数据资产顶层 目录。

数据资产扫描可丰富数据资产目录的“叶子”节点。在安全部门 的配合下，使用数据源的认证信息（通常只需可读权限）主动连接数 据源，对数据内容和数据结构进行扫描，进一步收集数据资产的结构、 内容等元信息，从而细化数据资产目录。为应对数据规模庞大且持续 增加的特点，数据扫描应具备定期增量式扫描的能力，减少扫描的时 间。

最后，在安全部门和业务部门的配合下，对数据资产的使用目的、 方式、范围以及管理归属等信息进行补充，最终形成完整的数据资产 目录树。

基于构建出来的数据资产目录，开展数据分类分级。结合相关行 业的分类分级标准和业务现状，数据安全专家、企业安全部门与业务 部门相互配合，定制化输出符合业务发展的数据分类分级模板，依据 模板落实分类分级工作。分类分级以数据识别技术为基础——在数据 扫描的过程中，通过关键字、正则表达式等匹配技术，结合上下文信

息对结构化数据进行识别；以机器学习、自然语言处理、光学字符识 别等智能化技术对非结构化或半结构化数据进行识别，辅助安全人员 落实数据资产分类分级。

(二)联防联控：以分类分级为核心的策略协同中心

数据的开发利用和数据安全防护往往是一对矛盾体，数据在没有 任务防护措施的情况下“裸奔”对数据的开发利用是最高效的；同样 的，通过物理手段、技术手段将数据层层“包围”起来不做任务开发 利用，则数据是最安全的，但两者均不利于组织整体业务健康地、可 持续的发展。数据安全建设应围绕分类分级的结果进行开展，对不同 类别、不同级别的数据资产进行差异化的防护能力建设和安全策略配 置，实现数据业务发展和安全管控的平衡。

将分类分级结果转化为业务知识，为数据资产提供安全防护建议， 并结合具体的数据安全防护组件，统一地下发安全策略，实现以分类 分级为核心的策略协同能力。例如针对核心级别的数据资产，采用加 密技术对数据进行保护；针对重要级别的数据资产，采取脱敏技术对 数据进行保护；而对普通数据，则采取审计技术对数据访问进行留痕。 同时，联动数据链路上数据安全措施，主要包括打通其策略配置通道 和日志、告警上报通道，及时感知防护能力的薄弱环节并自动调整策 略，实时监测数据的防护能力状态，从而构建一幅关系到“数据资产、 业务、安全策略”的安全业务视图。

(三)流动监测：以业务流程为核心的动态监测中心

通过数据资产梳理可以掌握数据资产的“静”态状况，而数据流 动监测则是为了掌握数据的“动”态状况。以“什么人”“什么时间” 对“什么数据”执行“什么操作”为基本监测原则，从时间、频率、 数量、类型、源信息、目的信息等多个维度进行统计分析，建立行为 基线和行为趋势图，将数据流动的情况进行动态测绘。

涉敏对象梳理。以数据为粒度，通过解析数据访问协议，对应用、 API、用户等涉敏对象进行梳理，形成应用清单、API 清单和用户清 单，为全局的数据业务视图提供“节点”信息。

敏感数据使用监测。基于梳理出来的涉敏对象，对应用、API、 用户的数据操作行为进行细粒度的审计，结合数据资产分类分级的知 识对操作行为打上不同的标签，并根据访问、归属等维度自动组织涉 敏对象之间的关联关系，为全局的数据业务视图提供“连线”信息。

构建数据流动地图。通过涉敏对象梳理提供的“节点”信息与敏 感数据监测提供的“连线”信息，结合数据资产目录，对数据源、应 用、API、用户之间的数据流动关系（流动方向、数据类型、数据量） 进行动态测绘；同时，在业务人员的配置下，根据实际业务场景细化 数据的使用目的、使用方式和管理组织等信息，实现数据流动视化。

通过数据流动监测，全局掌握企业数据的“动”态状况，从而构 建一幅关系到“数据资产、业务、主体”的全局数据业务视图。

(四)风险分析：以行为分析为核心的风险管理中心

数据安全违规行为是隐蔽的，数据泄漏事件的发现是滞后的，因 此及时发现数据风险并预警是数据安全运营的重要目标——建立以 行为分析为核心的风险管理中心，对数据的行为信息进行全面收集、 审计，结合数据资产分布状态、数据流动状态和分类分级结果进行智 能化分析，识别其中潜在的安全风险并及时告警与处置，遏制数据泄 漏事件的发生，防范于未然。

全面的行为日志采集与处理是数据安全风险检测的基础。行为 日志包括操作日志和告警日志，日志内容须细化到具体的数据粒度。 对部署在数据链路上的数据探针和安全产品的日志进行全面收集，按 照统一的日志标准进行格式化，从不同的维度对日志进行富化，从而 构建一个多源行为日志库，为数据安全风险分析提供基础素材。

集离线分析、实时分析、告警归并能力于一身的联合分析引擎 是检测隐蔽的数据违规行为、识别潜在的数据泄漏事件的利器。离线 分析能力强调的是准确性，通过对海量的行为日志进行大数据挖掘， 在海量的业务行为中准确地识别出数据违规行为；实时分析能力强调 的是时效性，通过对在时间和数量无限分布的一系列动态日志进行流 式计算，实现秒级响应，及时识别潜在的数据泄漏事件；告警归并是 强调告警的价值性，通过对大量的告警日志从不同维度进行聚合与统 计，并设置相应的穿透规则，将真正有价值的告警信息从大量的噪音 中过滤出来。

通过行为日志的采集、处理，以强大的联合分析引擎为技术基础， 辅以丰富的分析策略如传统的规则匹配、统计分析和基于智能学习方 法的多源关联挖掘、行为链分析、动态基线分析等模型，灵活的应对 不同场景下的数据安全风险检测，结合丰富的处置流程进行跟踪响应， 确保数据风险得到解决，真正实现可控的风险管理。

(五)安全评估：以安全合规为核心的安全评估中心

《数据安全法》中明确提出要求“重要数据的处理者应当按照规 定对其数据处理活动定期开展风险评估”，同时出于对自身数据保护 的需求，企业必须要开展的数据安全活动是定期开展数据安全评估。

以法律法规和行业监管部门的考核要求为基础，结合企业自身 的业务场景，定制化输出安全评估模板，以半自动化的方式开展数据 安全风险评估工作，形成电子化的风险评估报告。安全评估模板应至 少包含以下评价要素：

• 数据管理组织架构。应成立专门的数据管理组织，并以“一 把手”挂帅，结合业务场景设置不同的管理角色；同时将不 同的数据资产归属到该组织中的具体人，确保数据认责。

• 数据管理规章制度。数据管理制度是开展数据处理活动和落 实数据安全建设的指导思想，应由数据管理组织牵头将数据 管理制度成文并公告，明确数据管理责任与义务。

• 数据分类分级。分类分级既是合规要求，也是安全建设的基 础。基于资产管理中心提供的资产目录与分类分级结果，自动生成分类分级明细清单、统计分类分级完成度、并结合分 类分级有效期、分类分级管理制度等指标进行合理评价。

• 数据资产风险。基于风险管理中心提供的安全告警，结合数 据资产分类分级情况，对不同类别、不同级别的数据资产的 不同风险形成明细清单与统计图表，结合数据处理活动、联 防联控措施等指标进行合理评价。

• 数据权限管理。基于策略协同中心提供的安全业务视图和动 态监测中心提供的数据业务视图，自动生成数据权限现状图， 加上人工补充缺失的（如线下执行）权限明细，结合数据处 理活动进行合理评价。

• 数据操作审计。基于风险管理中心提供的多源行为日志库， 按操作时间等不同维度自动生成数据操作审计明细表与操 作热度统计表，结合分类分级结果和数据处理活动进行合理 评价。

• 应急响应。基于风险管理中心提供的风险告警与事件处置数 据，自动生成告警-事件-处置明细表，按分类分级、响应时 长等不同维度生成统计图表，结合数据处理活动进行合理评 价。 通过定期开展数据安全评估，帮助企业从宏观角度发现数据安全薄弱环节，提出整改建议，从而有的放矢地进行安全能力建设。

(六)持续运营：以态势感知为核心的安全运营中心

安全以“检测”为始，以“响应”为终，整个过程可称之为“持 续运营”。在数据违规行为对数据资产造成损害之前，及时制止损害 或降低损失是安全体系的最终防线，也是持续运营的目标。

全面的数据安全态势感知是安全运营的抓手。基于资产管理中 心提供的数据资产目录，通过对指定时间段内的数据资产分布、敏感 数据量、敏感数据类型等指标进行统计分析与趋势预测，自动生成敏 感数据分布态势图；基于策略协同中心提供的安全业务视图和动态监 测中心提供的数据业务视图，通过对安全策略变更和数据库、应用、 API 等涉敏对象的敏感数据量、敏感数据类型等指标进行统计分析与 趋势预测，自动生成敏感数据流动态势图；基于风险管理中心提供的 数据，对分布在不同位置、不同时间、不同类别、不同级别的数据资 产的安全告警、事件处置等指标进行统计分析与趋势预测，自动生成 数据安全风险态势图。三大安全态势围绕数据从分布、流动、风险三 个维度为运营人员构建了清晰的宏观视图。

灵活的风险溯源是提高安全运营效率的重要手段，是事件响应 处置必不可少的支撑工具。灵活的风险溯源工具应具备 2 个能力，即 “以数追人”和“以人追数”。“以数追人”强调的是在已知受到损 害的数据资产时，通过相应的数据资产片段进行溯源，按相关度的从 高到低列出可疑的“人”（账号、应用、API 等）及其相关日志证据； “以人追数”强调的是在已知可能涉事的“人” （账号、应用、API等）时，通过输入“人”的信息进行溯源，按相关度的从高到低列出 可能受到损害的数据资产及其相关日志证据。进一步可将将可疑的 “人”、“数”、证据等信息按时间顺序组织成为事件链，为运营人 员构建细致的微观视图。

便捷的响应处置工具是风险闭环的最后一步，也是必须的一步。 一旦发现了数据安全风险，可根据企业的安全管理办法设置相应的风 险处置流程并实时跟踪，确保风险得到妥善的处理。同时，处理的结 果可以及时反馈到策略协同中心，更新数据链路上数据安全措施，实 现立即止损的同时，确保同样的风险不会再发生。

通过掌握数据资产的宏观态势视图和微观风险视图，运营人员 可以及时处置相关风险，自适应地优化安全策略，高效开展持续运营 工作。

结语

从组织开展数据安全运营工作的现状来看，当前多数组织已形 成对数据安全运营必要性和重要性的充分认识，但面向海量、多源、 流转关系复杂的数据处理场景，并且由于数据本身又具有多样性、敏 感程度不一、关联关系复杂等特征，仍存在较大的安全挑战。下一阶 段，可以围绕以下几个方向为数据安全运营工作提供保障。

第一、战略层面明确数据安全工作的战略地位。组织需要明确数据安全对于组织生存发展的重要意义，从战略高度明确数据安全运 营的重要价值，对数据安全运营进行清晰规划与指导，在管理层面达 成一致共识，为数据安全运营工作提供资源保障。

第二、动态掌控全局数据安全。数据交互的复杂性和多样性对数 据安全运营工作提出了更大挑战，掌握数据流转关系是动态掌控全局 数据安全的重要前提，需要充分考虑数据资源的使用目的、方式和范 围，包括组织的部门架构关系，精准刻画的数据流转关系，才能够全 面发现数据处理活动中的潜在风险，实现对数据安全风险及时预警和 处置，支撑数据安全运营工作。

第三、建立内部监督评价机制。组织需要充分考量安全形势、合 规要求、业务需要等变化，对组织的数据安全工作开展情况进行审核 与监督，结合相关行业法律法规和监管部门的考核要求，数据安全成 熟度或者场景风险等，进行技术性比对评估或佐证。并根据评估结果 提供可落地的安全整改建议，从而帮助组织及时发现安全薄弱环节， 指导组织针对性的进行安全能力建设。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南