四川省企業聯合會/四川省企業家協會
四川企聯
2019
第1期
Aug
-P1-
主辦 ? ??
? ? ? ? ? ??
四川省企業聯合會
四川省企業家協會
編委會主任
鄒廣嚴
吳顯名
伍曉緋
編委會副主任
編委會委員
梁勤
陶英
丁文平
寇大華
張恒
胡雪峰
游紹才
吳軍
周圍
伍嘉
總編輯
吳波
編輯
林英
一辦公區
聯系電話
二辦公區
聯系電話?
傳真
傳真
郵編
網址
成都市紫荊西路58號
(028)85184895 ? 85173502
(028)85185371
成都市人民南路三段37號
?(028)85492080
?(028)85492085
?610041
?www.scecea.org.cn
四川企聯網
四川省企業聯合會信息化工作委員會(以下簡稱信工委)是隸屬于四川省企業聯合會的二級工作委員會,主要職能包括組織召開中國西部企業信息化峰會;組織召開四川省企業信息化年會;企業信息化沙龍活動、表彰先進、樹立典型;企業信息化調研;企業信息化培訓;企業信息化論壇;中介服務等。
習主席指出,“沒有網絡安全就沒有國家安全。網絡安全與信息化是一體兩翼、驅動雙輪”。在2019年5月召開的《數字中國建設峰會》上,中央網信辦發布《數字中國建設發展報告(2018年)》,指出2018年我國數字經濟規模達到31.3萬億元,占GDP比重達34.8%。然而網絡安全市場容量卻局限在400-500億元空間,不論是絕對值還是在信息化中的占比,都很不恰當。近一段時間以來,Stuxnet、烏克蘭電網、委內瑞拉電網、《塔林手冊》、美伊網絡戰、Wannacry、HW行動等事件,都給我們敲響了警鐘,我國網絡空間安全產業跑步進入2.0時代(從“合規”導向到“能力”導向)。
2019年是四川省企聯信息工委確定的“網絡安全年”,為充分發揮四川省企聯信息工委的組織和協調能力,幫助企業更精準地滿足國家對企業網絡安全的高要求,我們推出了這本《網絡安全專刊》,向各會員企業推送最新的網絡安全政策和法律法規則;推薦專業的培訓講座、解決方案以及優秀的網絡安全服務商、先進的網絡安全產品,幫助企業快速記效地提高網絡安全防護能力。
歡迎各會員企業踴躍投稿,分享網絡安全實戰經驗,共同成長、共同進步!
? ? ? ? ? ? ? ?四川省企業聯合會信息化工作委員會
? ? ? ? ? ? ? ? ? ? ?
創刊詞
2019/08/20
卷首語
創刊詞
01
目錄
contents
服務推薦
18
13
企業數據安全新趨勢
專家視角
13
4
5
6
專家介紹
02
2
1
3
07
06
06
06
數據安全治理
近期數據泄露事件
數據安全治理的基本思路
本期主題
行業動態
04
重要活動
新規文件
04
05
04
2019年上半年網信大事記中央篇
? ? 清華大學計算機工程碩士
美國德克薩斯A&M大學獲計算機科學博士
? ? ? ? ? ? ?四川省企業聯合會特聘安全專家
? ? ? ? ?曾任職于清華紫光成都公司總經理
? ? ?清華萬博成都公司總經理
?專業研究網絡安全領域20年
? ?教授級高級工程師
? 國家科技部專家庫專家
?國家高新技術企業評審專家
四川省制造業信息化專家組副組長
專家介紹
2019
專家介紹
2019
專刊
第1期
專刊
第1期
劉守培
陳逸龍?
胡華
四川大學國家保密學院教授
四川大學信息安全研究所副所長?
四川省發改委安全評審專家?
四川省計算機安全協會網絡輿情專委會副主任
鄭莉
清華大學計算機科學與技術系教授
國家級教學團隊骨干
教育部教育信息化技術標準委員會副秘書長
周安民
-P2-
-P3-
Expert introduction
專家介紹
行業動態
2019
行業動態
2019
專刊
第1期
專刊
第1期
來源:《網絡傳播》雜志
新規文件
2019年上半年網信大事記中央篇
重要活動
《區塊鏈服務管理規定》
時間:1月10日
行動方:國家網信辦
目的:規定區塊鏈信息服務活動,促進區塊鏈技術及相關服務的健康發展
發布197個區塊鏈信息服務備案編號
時間:3月30日
行動方:國家網信辦
內容:依據《區塊鏈服務管理規定》對備案主體進行監督檢查,并督促未備案主體盡快履行備案義務。
《兒童個人信息網絡保護規定(征求意見稿)》
《個人信息出境安全評估辦法(征求意見稿)》
時間:5月31日
行動方:國家互聯網信息辦公室
目的:規范收集使用兒童信息個人等行為,保護兒童合法權益,為兒童健康成長創造良好的網上環境。
時間:6月31日
行動方:國家互聯網信息辦公室
目的:保障個人信息安全,維護網絡空間主權,國家安全,社會公共利益,保護公民,法人的合法權益。
《2019年網絡扶貧工作要點》
時間:4月28日
行動方:中央網信辦、國家發展改革委、國務院扶貧辦、工業和信息化部
目的:扎實推動網絡扶貧行動向縱深發展
《數據安全管理辦法(征求意見稿)》
時間:5月28日
行動方:國家網信辦
目的:維護國家安全、社會公共利益、保護公民、法人和其他組織在網絡空間的合法權益,保障個人信息和重要數據安全。
第三屆世界智能大會
2019年中國國際大數據產業博覽會
時間:5月16日----5月19日
地點:天津
主辦方:國家發展和改革委員會、科學技術部、工業和信息化部、國家廣播電視總局、國家互聯網信息辦公室、中國科學院、中國工程院、中國科學技術協會、天津市人民政府
主題:“智能新時代”進展、策略和機遇
時間:5月26日----5月29日
地點:貴州 ?貴陽
主辦方:中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國國家互聯網創新辦公室、貴州省人民政府
主題:“發展創新,數說未來“
“網絡短視頻正能量內容建設”座談會
時間:1月24日
地點:北京
主辦方:中央網信辦
內容:聽取部分重要單位在短視頻正能量內容建設方面的成功經驗、典型案例以及2019年工作設想。
2019年爭做中國好網民工程推進會
時間:2月14日
地點:北京
主辦方:中央網信辦聯合教育部、中國人民銀行、全國總工會、共青團中央、全國婦聯等
內容:總結2018年工程開展情況,并對2019年工作進行部署
第七屆中英互聯網圓桌會議
時間:4月9日
地點:北京
主辦方:中國國家互聯網信息辦公室與英國文化、媒體和體育部
成果:總結2018年工程開展情況,并對2019年工作進行部署
第二屆數字中國建設峰會
時間:5月6日-----5月8日
地點:福州
主辦方:國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、福建省人民政府
內容:“以信息化培育新動能 用新動能推動新發展 ?以新發展創造新輝煌”
-P4-
-P5-
-P6-
-P7-
熱點關注
2019
熱點關注
2019
專刊
第1期
專刊
第1期
●2014年4月:合作公司員工泄露防偽數據700萬條,某知名酒企損失超百萬
●2018年1月:某地方衛生系統出“內鬼”泄露50多萬條新生嬰兒和預產孕婦信息
●2018年3月:某地方公務員利用職務之便,泄露82萬條公民信息
●2018年4月:某科技公司內鬼竊取500余萬條個人信息,并在網上售賣
●2018年1月:某手機廠商:4萬消費者的信用卡數據泄露
●2018年4月:北京某教育網站遭入侵,攻擊者竊取7萬余元
●2018年7月:多家美容醫院的客戶信息被竊取
●2018年8月:某知名酒店集團5億條數據泄露
●2018年9月:“XX驛站”1千萬條快遞數據被非法竊
近期數據泄露事件
數據安全治理的基本思路
我們的世界正在進入一個奇怪的分裂狀態:一方面人們為大數據時代即將在各個領域發生的革命性進步而激動難眠,一方面人們也在為數據安全和隱私保護問題擔心得睡不著覺。圍繞大數據的創新和安全,各種政策、法律、標準、產品和學術研究表現出空前的熱情。然而眼花繚亂的聲音卻使人們陷入了混亂,陷入了數據恐慌。如果我們不能盡快找到清晰的思路,不能盡快找到方法實現圍繞大數據的發展與安全之間的平衡,我們可能喪失人類歷史上迄今為止最大的一次發展機會,或者陷入最大的安全危機。本文要討論的,就是大數據時代下該如何進行數據治理的基本抓手與核心思路。
首先,數據本身無罪,有罪的是數據沒有被安全地保護或使用。
大數據時代,每個角落都在產生數據,而這些數據正是新時代人類的財富:我們不僅依靠這些數據提供更精準貼心的服務,更依賴這些數據實現醫療、健康、教育、安全、環境保護等各方面的革命性進步。可是人們擔心個人隱私在這個過程中被窺探,對似乎無所不在的數據采集記錄行為無法忍受。但是回想一下,人們曾經在日記里寫下自己最私密的事情、人們在自己的手機或計算機中存儲自己的私密照片或信件、人們在很多政府部門的系統里存儲自己的各種生物特征信息、人們在醫院的系統里存儲自己各種病情細節、人們向心理醫生傾訴自己的內心等等,這些時候為什么不擔心隱私泄露呢?
因為這些情況下我們覺得自己的隱私數據是不會被泄露的,雖然事實上也存在風險。所以,其實數據本身是無罪的,人們擔心的是數據擁有或者處理者不能保護好數據或者濫用數據。因此,今天我們談到隱私保護的時候,不應該只關注法律層面的隱私條款和限制信息采集,而應該更加優先關注如何提高所有擁有我們數據的組織的數據安全水平,確保他們手里的數據不會被竊取或者濫用。“用戶畫像”、“精準營銷”不等于就會侵犯隱私,關鍵看具體實現的方法和管理措施。
關于數據安全的若干基本認識
本期熱點-數據安全治理
-P8-
-P9-
熱點關注
2019
熱點關注
2019
專刊
第1期
專刊
第1期
目前存在的比較普遍的誤區是把系統安全等同于數據安全,也就是說,把防止網絡入侵帶來的數據被竊取,等同于數據安全的工作。實際上這只是數據安全很小的一部分內容。
今天我們說數據安全的時候,應該包括三方面的內容:防竊取、防濫用和防誤用。
●防竊取比較容易理解,不過全世界多年來的共識是,來自內部的安全威脅總體上占三分之二左右,要遠大于來自外部的威脅。根據電子商務生態安全聯盟的統計,在電商生態中這個比例還要更加懸殊。因此,即便是系統安全,也不能僅僅把防止外部攻擊導致的數據竊取作為全部工作,防止來自內部的入侵和數據竊取反而更加重要。
●防濫用指的是防止數據被不正當使用,例如擁有數據的組織內部員工在無工作場景的情況下訪問用戶個人敏感數據。現實中,用戶的身份證信息、醫療檔案、購物記錄、財產情況等信息,都會存在各種組織的系統中。當用戶需要這些組織提供服務或者幫助的時候,這些組織的相應員工才可以根據用戶的授權來訪問這些數據。而如果這些組織中的員工未經用戶請求私自訪問這些數據,則屬于一種濫用行為。從已經破獲的并且披露的眾多電信詐騙案件中可以看出,大量內部人員濫用職權倒賣用戶信息,這些都屬于數據濫用的場景。
目前大部分組織對這部分工作的意識淡薄、能力不夠。在技術上是能夠實現這類行為的監控的,配以制度的保障,可以有效遏制這類濫用行為。
有些業務場景更加復雜一些,例如包裹郵寄單上顯示的收發件人的詳細信息,在整個包裹流轉過程中都面臨泄露風險(現實中這些信息都是網絡黑灰產收購的對象)。但即便這類場景,也有“隱私面單”等相應的技術出現。防濫用也包括一個組織對外進行數據披露、數據共享、數據轉移等過程中的安全審核,這些審核工作確保這些行為合法,并且不會導致用戶或者組織自身的利益受損。臉書事件最早的問題就是出在這個環節。
? ? ? ?●防誤用指的是防止數據在加工過程中出現過失性泄露。人類正在進入定制化生產的時代,這個時代的基礎之一是基于大數據的加工計算。大數據加工計算的過程中如何做到不侵犯用戶個人隱私,就是典型的防誤用問題。顯然這個問題已經成為今天的典型突出問題了。
大數據時代的數據安全包含哪些內容
包括徐玉玉事件在內的各種案例,實際上都不是從所謂的“大數據”那里偷取數據的。網絡空間不存在物理位置的限制,因此現實中攻擊者更容易從各個安全薄弱的服務器或組織那里下手,而不是和防護嚴密的大型大數據公司對抗。
以電商為例,猖獗的黑灰產絕大多數都是瞄準商家、獨立軟件供應商、物流等各個環節下手竊取訂單等信息,然后用于詐騙等活動。大數據時代,數據在開放、復雜、快速變化的業務和產品鏈條中高頻流動,數據成為復雜生態的每個環節中都無法剝離的部分。這是導致數據安全問題變得空前突出的根本原因,因為所有過去的數據安全方法基本上都失靈了。
越來越多的人似乎傾向于“誰都不信任”,甚至一些研究也在朝著這個方向努力。但是在今天除非你不生活在人類社會中,否則這種思路反而讓你陷入到更加不安全的地步。私密數據放在自己的手機上或者服務器上就更安全嗎?除非你的手機或者服務器從來不用任何形式和網絡發生鏈接,否則對網絡攻擊者來說,這些安全防護相對更弱的地方恰恰是更容易的目標。當然,如果你就認為自己能夠永遠打敗全世界所有的網絡攻擊者那也行。
那么不使用任何電子產品不行嗎?就算假設未來這樣做依然可以生活,答案也是不行,因為用電的數據、看病的數據、出門走路的數據等都會被別人記錄在別的地方。所以,如果我們不相信所有提供服務的企業或組織、我們也不能相信第三方機構因為他們的安全能力未見得更好、我們也不能相信自己能夠抵抗全世界的網絡攻擊者,那怎么辦?
其次,誰都不信任的話,用戶的安全可能會更加糟糕。
我們擔心泄露了自己的數據所以不安全,可是反過來,如果沒有數據的話我們也無法得到安全保護。徐玉玉案件因為壞人偷了她的相關數據而產生了危害,章盈穎案件我們則多么希望好人知道她的位置信息從而能幫助到她。追蹤老人或者兒童的位置信息可以防止他們走失,野外應急救援也需要位置信息,急救大夫需要病人的隱私健康信息才能救命,通過檢測用戶是否短時間在不同的城市登錄系統是今天幾乎所有產品判斷用戶賬戶是否被盜的基本手段……
第三,安全也需要數據。
第四,我們要解決的是“大數據時代下的數據安全”,而不是狹義的“大?
數據安全
用什么來衡量組織的數據安全呢?數據安全的能力成熟度可以作為基本抓手。能力成熟度是一種經過考驗的方法,目前在越來越多的領域被應用,美國甚至制定了網絡空間安全能力成熟度戰略。數據安全能力成熟度模型,是借鑒能力成熟度的核心思想,結合數據在組織內的生命周期以及構成安全能力的關鍵要素而構建的。一個組織的數據安全能力成熟度等級,說明了這個組織在數據安全保護方面的綜合能力水平。而這個水平的高低,則可以用于數據安全治理的各種相關工作。例如,相關政府部門或行業主管部門,可以根據本行業的數據敏感度特點決定哪些數據類型或者多大的數據規模需要多高的數據安全能力成熟度水平,進而讓數據安全能力成熟度足夠的組織才能夠處理特定數據,從而實現本行業安全與發展的平衡;在數據共享、轉移、交易等過程中,法律可以規定數據擁有者有義務要求數據接受者提供自己足夠的數據安全能力成熟度水平,從而避免數據在流動過程中進入安全更差的組織,從而減少數據流動導致的安全失控;根據特定行業、特定數據類型以及特定時段數據安全威脅的具體情況,國家主管部門可以設定和調整特定領域數據安全能力成熟度的衡量標準和等級要求,從而實現整體數據安全狀態的可控;組織可以通過自己的數據安全能力成熟度水平,讓消費者用更加客觀量化的方法衡量自己是否值得信任;等等。
以數據為中心,是數據安全工作的核心技術思想。人們比較習慣的是以系統為中心的思想,即圍繞著一個數據庫、一個產品、一個網站、一個服務器等評價其安全性。這種思路主要適用于保護一個特定系統的正常工作狀態。但是在今天,數據在多個系統、產品、業務環節中頻繁快速流轉,這種以系統為中心的思想已經不能滿足數據安全的需求了。以數據為中心的安全,是將數據的防竊取防濫用防誤用作為主線,在數據的生命周期內各不同環節所涉及的信息系統、運行環境、業務場景和操作人員等作為圍繞數據安全保護的支撐。這時候,某個系統被入侵,并不等于數據安全的目標就遭到最終的破壞,反之某個單一環節的安全能力再強,
熱點關注
2019
熱點關注
2019
專刊
第1期
專刊
第1期
實際上人們今天談之色變的“用戶畫像”、“精準營銷”等,早已經在普遍使用了,而且這些都是未來數字經濟、智慧城市和治理等工作必不可少的技術。只是到具體的實現層面,有沒有采用合適的制度和技術手段確保這些過程中不會泄露特定人的隱私,是今天每個組織需要回答的數據安全問題。在技術上這也不是無法做到的,有很多比較成熟的方法可以做到讓用戶感覺有個貼身秘書在給自己服務,但是實際上沒有人能夠在數據加工的全過程中窺探到特定用戶的隱私。可是在意識上,恐怕現在絕大多數組織在這方面還需要提高。
1、以數據為中心
也不代表整體數據安全保護的能力就夠好。
? ? ? ? 在數據生命周期的不同階段,數據面臨的安全威脅、可以采用的安全手段有可能很不一樣。例如,在數據采集階段,可能存在采集數據被攻擊者直接竊取,或者個人生物特征數據不必要的存儲面臨泄露危險等;在數據存儲階段,可能存在存儲系統被入侵進而導致數據被竊取,或者授權用戶無應用場景支持訪問用戶敏感數據,或者存儲設備丟失導致數據泄露等;在數據處理階段,可能存在算法不當導致用戶個人信息泄露等。把不同階段從不同角度面臨的風險放到一起進行綜合考慮,建立強調整體而不是某個環節安全能力,是以數據為中心的安全的核心思想。
搞清楚數據安全要解決哪些問題、大數據時代下解決這些問題所面臨的主要挑戰,就可以梳理數據安全治理的核心思路了。簡單說,數據安全治理可以遵循“以數據為中心、以組織為單位、以能力成熟度為基本抓手”的原則。
數據安全治理三原則
以組織為單位,是數據安全治理的核心管理思想。
讀完前面的內容后應該容易理解,一個服務器很安全、一個手機應用產品很安全都不代表著要保護的數據安全。數據會在不同的服務器、產品、業務中流轉。而且從法律的角度來說,擁有或使用數據的組織才是承擔數據安全責任的主體。因此,雖然在大數據時代還有數據共享、數據轉移、數據交易等各種復雜的情況,但擁有或者處理數據的組織是所有這些活動的基本單元,因此也是數據安全治理的基本單位。
以組織為單位的數據安全治理,具體指的是數據在特定組織內全生命周期的安全,這個組織要對其負責。不論數據在這個組織中的生命周期涉及多少產品業務或人員,那些單個系統單個業務的安全都不說明問題,說明問題的應該被最終衡量的這個組織的數據安全。一個組織的數據安全水平,可以作為其是否符合法律要求、特定事件中具備怎樣的責任、面向用戶贏取信任、面向行業適合處理的數據類型和規模等的參考依據。換句話說,政府或者行業可以以組織為單位進行數據安全管理,而不是某個產品的安全,一個組織要證明的是自己整個組織的數據安全水平,而不是自己的某個應用的安全。
3、以能力成熟度為基本抓手
2、以組織為單位
-P11-
-P10-
熱點關注
2019
專家視角
2019
專刊
第1期
專刊
第1期
數據安全治理的核心目的,是實現安全與發展的平衡,讓大數據時代的發展能夠健康持續進行下去。數據安全治理最需要避免的情況,是用安全的名義扼殺了發展(這是更大的不安全),或者導致誰重視安全誰吃虧,最后產生了劣幣驅逐良幣的現象出現。
數據安全治理要避免過去那種自上而下的“管家式”管理模式,因為每一個企業、每一個組織都將離不開數據,數據安全問題并不是只需要關注那些大企業大產品就行了。可是政府從上而下管理數千萬家企業數千萬個組織是不可能有好的效果的,更不要說這是業務產品超級復雜并且快速變化的新時代。因此,需要建立的是自下而上的制度,讓組織自己有提升和證明自身數據安全能力成熟度水平的積極性,讓數據安全能力成熟度高的組織擁有更大的發展空間和競爭優勢,讓規范的第三方數據安全服務產業發展起來實現專業的數據安全服務和測評認證體系,由此形成良好的數據安全治理生態,提升全社會的數據安全水平。
放在全球化的視野上看,如果我們做到這些的話,中國還將贏得在這個領域的全球影響力。因為中國不僅有龐大的數字經濟市場,而且在業務創新上領先全球。這意味著我們會遇到最豐富的場景,我們能夠積累最豐富最有說服力的經驗。因此我們有機會告訴和引領全世界,大數據時代下的數據安全治理究竟該怎么做,只要我們有這個意識和雄心。
實現良幣驅逐劣幣,讓數據安全成為競爭力
文章來源:阿里研究院
-P12-
-P13-
? ? ? ? 網絡攻擊的主要目的從破壞以證明存在感(入侵是目的),到竊取價值數據來實現經濟目的(盜竊是目的)。攻擊手段越來越趨于復雜,攻擊形式也不再單單以網絡為媒介。
? ? ? ?傳統IT安全的解決模式:RA/事件->發現風險->解決方案->采購設備/軟件->調試上線->驗證功能。可以看到,這是一種典型的瀑布式處理風險的方式,首先必須要清楚威脅,找到方案,最后實現防護。對于新的攻擊,往往是造成了損失,丟失了數據后才會得到補救。亡羊補牢,為時未晚——畢竟羊是丟了。
? ? ? ??
1
安全技術趨勢----行為關聯
1
隨著數據的價值越來越大,丟失價值數據造成的影響越來越廣泛。惡性數據泄露事件事給決策層帶來的影響越來越不可接受,事后補救已經不能算一個解決方案。數據安全被越來越多的成熟型企業,特別是大型企業作為標準的安全解決方案之一。
? ? ? 作為一種高級網絡安全威脅檢測手段,用戶實體行為分析(UEBA)這個網絡安全市場的新成員,這兩年一直備受關注。我們來看一下市場分析定位,就能感受到用戶實體行為分析(UEBA)的發展速度了。
?2014年,Gartner發布了用戶行為分析(UBA)市場界定
?2015年,Gartner將用戶行為分析(UBA)更名為用戶實體行為分析(UEBA)
?2016年,用戶實體行為分析(UEBA)入選Gartner十大信息安全技術
?2017年,用戶實體行為分析(UEBA)廠商強勢進入2017年度的Gartner SIEM魔力象限
?2018年,用戶實體行為分析(UEBA)入選Gartner為安全團隊建議的十大新項目。
? ? ??
企業數據安全新趨勢
專家視角
-P14-
專家視角
2019
專家視角
2019
專刊
第1期
專刊
第1期
? ? ? ?2017年,Garter 在全球頂級安全廠商面前提出了CARTA(Continuous Adaptive Risk and Trust Assessment) 模型,基于傳統的安全風險解決方案(下圖),
? ? ? ?CARTA模型給新時代的信息安全提供了全新的理念(下圖)。此模型發表后,引起了業界的強烈反響。
1
新型安全模式
2
? ? ? ?基于真實環境的策略(配置)動態的部署到防護體系中;依賴策略和威脅情報,動態感知環境中的風險;生成的報告反饋給工作人員甚至決策者,所謂企業風險的評估依據;同時以來相關數據,生成新的安全基線,為策略更新提供有效依據。隨著計算以及存儲技術的快速發展,數據的保存不再是瓶頸,基于大數據的人員畫像、行為分析變得越來越現實,基于CARTA模型及大數據計算、態勢感知以及行為分析等技術慢慢的浮出水面。
? ? ? ?CARTA模型的運行是基于外部干預的人工智能解決方案。有效解決了持續復雜攻擊的及時響應,預判風險甚至提前預防問題。全新的智能防護體系通過專業的信息注入和自動化處理,自動地為企業提供持續的、主動的安全保護,將客戶的安全風險降低至新的等級。
? ? ??
?相關的技術,如UEBA(User and Entity Behavior Analytics)技術已經被各大安全廠商普遍認可。各大廠商都在現有安全解決方案的基礎上提出了自己的UEBA分析平臺,以滿足重要客戶越來越苛刻苛刻的需求。
? ? ? ?異軍突起的部分國內安全廠商,以數據安全解決方案為核心技術,在數據安全的自動化全面保護的道路上不斷摸索。2018年,在基于深度內容感知的DLP技術基礎之上,結合了AI人工智能與大數據技術,逐步形成了以人為中心與行為關聯的內部威脅防護體系新思路---內部威脅防護體系(Insider Threat Protection)。為中國在全球安全領域搶得了一份先機。
企業傳統的網絡安全思路上,往往關注的重點在網絡和威脅的維度,基于此的安全解決方案流程如下:
既然目前大多數攻擊的最終目標是價值數據,而掌握價值數據的不是人就是機器,相對的所有關注點都在內部(邏輯上),面向人和數據的關注點。角度變了,攻防主動權隨之發生了變化。
關注點轉到價值數據后,安全保護的目標變得更加明確。由于相關數據資源及相關使用和操作權限是內部掌控的。數據資產管理(生命周期管理,分類分級、權限管理,使用審計、流程管理等),數據流轉監控(使用記錄,傳數據路、改動記錄,跟蹤記錄,網絡監控等)
? ? ?
異常動作識別(非正常時間數據使用和傳輸、異常大量數據傳輸、異常數據通道傳輸等)進而匯總成為完整的內部數據動態模型,有效地將安全的主動權掌握在自己手中。
?全新的解決方案,隨之而來的是海量的數據,多維度的分析,多樣化的安全模型,復雜的數據計算…… 基于人的安全團隊將面臨新的挑戰。先進的理念,配合進化的架構和適當的技術,才能使與其落地,真正的為企業用戶甚至決策和提供有效的支持,同時使安全團隊從海量的數據、事件、告警中解脫出來,真正的做人才擅長的事情——決策和創
由此可以看出,最終我們解決的是已知風險,每個安全點上的邏輯需要非常嚴謹,使用的判斷方式絕大多數是非白即黑的簡單手段,不僅僅是被動防御、彈性不夠,而且越來越不適應大數據時代下的動態自適應模式。分析原因,威脅來自外部,且不受自身控制,未被發現的安全漏洞只有在發生安全事件后,進行有效的追溯才有可能被發現。同時,隨著自然人和各種設備因素對整個安全體系的影響越來越不可控。再加上網絡邊界的不斷模糊,協同工作越來越普遍,傳統安全解決模型像在大海中央的要塞,隨時有可能被不斷升級的浪潮淹沒。
以人為中心的內部威脅防護體系
3
-P15-
-P16-
專家視角
2019
專家視角
2019
專刊
第1期
專刊
第1期
來源:
? ?? ? ? 1. 業務深度介入。傳統的安全自我介質為一套體系,與業務關聯性差,結果導致安全的價值無法體現。內部威脅防護體系不是一款產品,而是一套解決方案。業務介入的情況,直接決定了內部威脅防護體系的交付成功率。
? ? ? 2. 用戶/設備識別機制。為了達到使用效果,必須將大量的審計數據準確的和用戶/設備匹配起來,這樣才能保證內部威脅防護體系的新人風險評分具有客觀準確性。
?3. 價值數據分類分級。定義了價值數據的標準,結合國家、地區、行業的法律法規,才能制定客觀的,可執行的安全基線。數據是流動的,不斷更新的。不斷優化的數據識別機制,能夠大大提高內部威脅防護體系系統的效率,從而體現其價值。
?4. 第三方數據源。沒有任何一套安全解決方案是完美的,通過信息互通,實現整個IT安全的立體覆蓋,同時加入認為的修正干預。結合企業的實際需求。
? ? ?
? ? ?
? ? ? 5. 企業無SOC/SIEM產品。目前的安全業界分析,UEBA的最佳實踐需要數據輸入源。SOC/SIEM如果已經使用,企業最需要的不是內部威脅防護體系,而是基于大量審計日志的分析模型。
? ? ? 6. 強監管。內部威脅防護體系基本需求是企業Web風險與協議行為的模塊,但是如果沒有有效的監控和管理手段,Web的分析沒有任何說服力。所以建議內部威脅防護體系在企業全面部署數據安全產品后,逐步的將內部威脅防護體系介入。
? ? ? 7. 專業的安全咨詢團隊。無論是內部威脅防護體系,還是UEBA,或者SIEM/SOC,甚至態勢感知。其基礎是有一個強大的解決方案支撐團隊。安全專家團隊必須擁有整個安全面的深刻理解和專業判斷,才有可能讓智能安全解決方案有效落地,開花結果。
●保護基線——企業首先要建立基線的概念,為持續的安全模型運行提供了判斷依據基礎。
●內部威脅分值——為人員風險畫像提供了簡單的判斷依據。結合相關審計數據,通過異常行為風險、精準威脅行為預測、專家模型分析等智能算法,客觀的展現內部人員/設備的安全可信風險。
● 統一內容安全管理平臺——在企業內部執行統一的安全策略對企業安全的有力保障。如果不能形成全覆蓋,安全投入的回報率會大打折扣。同時,同一緯度的全面分析更有利于給決策層提供客觀的數據參考。
?●自動化——總體上來說,內部威脅防護體系應該是一套自動化的智能系統,可以根據動態的數據變化主動的進行策略優化,部署,分析,應用等一系列動作,實現有限干預的智能化。從而使安全團隊從大量、簡單、重復性的操作中解脫出來,投入到真正的高級安全工作當中去。
右圖是企業內部威脅防護體系解決方案持續性風險檢測與響應的安全框架。
??
企業內部威脅防護體系架構
4
? ?實際環境中,內部威脅防護體系的最佳實踐環境應有以下特征:
? ? ? 從行為分析角度而言,其本質就是鎖定以人為對象的風險主體,通過對全流量的捕獲,采用大數據技術與人工智能的建模、解析、關聯。去透析出湮沒在各種安全事件噪音中的真正風險對象
-P17-
-P18-
-P19-
服務推薦
2019
服務推薦
專刊
第1期
2019
專刊
第1期
服務熱線:180 0052 0060 ?林女士
服務熱線:180 0052 0060 ?林女士
為幫助企業更精準地滿足國家對企業網絡安全的高要求,幫助企業有效地選擇網絡安全服務,四川省企業聯合會信息化工作委員會特篩選以下3項網絡安全服務產品,歡迎廣大企業與我們聯系。
1、基于AI的數據安全服務平臺
?●通過部署具有各種形態的數據內容感知能力的系統實現對機密、敏感的數據進行檢測與保護。
2、安全文件云服務
?●構建一個精細化的文件全過程管理平臺,實現對企事業單位種類繁多,數量龐大的圖文檔數據進行集中的安全存儲、體系化的統一管控,致力于解決企事業單位內部海量辦公圖文檔資料的存儲、安全、共享協作、內容管理等迫切需求
3、網絡安全在線安全監管服務
?●通過部署態勢感知系統,并以SaaS+人工的方式,為企業構建一套威脅監測、持續評估、
持續加固、主動響應的在線安全監管服務。?
?
1、基于AI的數據安全服務平臺
?現代企業的運行,與網絡密不可分。人是網絡安全的核心,與網絡接觸的相關人員的行為,也是網絡安全的最大風險。《網絡安全法》對人員的教育培訓也作了明確的要求!許多企業已將對從業人員的網絡安全的考核作為年度上崗的基本條件。
為此,選擇一套網絡安全學習與考核平臺,落實解決網絡的人員安全問題,非常有必要。
網絡安全全員培訓與考試服務 ? ?
主動防御的人機共智的動態安全服務:運行安全和數據安全服務
●安全建設與整改咨詢服務
●安全監督和檢查服務
基于網絡安全的法規,并根據企業的業務和信息化體系,從安全目 標、范圍、原則,基于合規安全和業務安全,為企業規劃相應的安全管理、 技術及營運體系。
1、網絡安全規劃服務
2、等保測評及等級保護2.0體系服務?
?●輔助定級服務 ? ? ? ? ? ? ? ??
?●等級保護測評服務 ? ? ? ? ? ? ? ? ? ?
3、網絡風險評估服務
通過識別并評估資產等級,分析安全威脅和脆弱性,評估安全措施的 有效性,進行網絡的風險評估,為網絡安全建設或加固提供依據。?
4、網絡安全應急體系服務
基于網絡安全的殘余風險和最新態勢,從意外災難、設備故障、數據泄露、代碼故障、網絡攻擊等維度的風險、設計網絡安全的應急預案,并定期開展應急演練,幫助企業提高網絡安全應急響應的能力。
網絡安全咨詢服務
網絡安全咨詢服務
一辦公區
聯系電話
二辦公區
聯系電話?
四川省企業聯合會
四川省企業家協會
成都市紫荊西路58號
(028)85184895 ?85173502
(028)85185371
成都市人民南路三段37號
?(028)85492080
?610041
?www.scecea.org.cn
四川企聯網
傳真
郵編
網址
增值電信業務經營許可證:陜B2-20210327 |