基于大数据安全保障的云安全体系研究
作者:胡国华、孟承韵、代志兵、孙彬、刘振凯、俞海波、李斌、何维群、张智奇
摘要:云安全虽然经过多年发展已逐渐成熟,但是随着大数据、人工智能等新业务场景不断扩展,云安全也面临了越来越多的挑战.提出一种基于大数据安全保障的云安全技术体系,可以有效解决传统云安全在数据安全及安全体系化方面存在的不足.新的云安全体系从以数据为中心的安全理念出发,构建了一套基于大数据技术的新型云安全技术体系框架.针对新的云安全体系涉及的关键技术进行了重点介绍,并详细介绍了新的云安全体系在具体实践中的方案设计,最后还介绍了在数字哈密智慧政务大数据平台中具体项目案例中的实践效果。
关键词 云安全;数据安全;大数据安全;数据生命周期;数据安全风险控制
中图法分类号 TP309
伴随着云计算技术的发展与推广,云网络及业务涉及到的安全威胁也在同步发展,为此,业界提出云安全(cloud security)解决方案,为整个云业务提供安全的可靠保障.在信息安全环境日趋恶化的今天,云安全解决方案的健全发展直接决定了云计算的成败.
云安全技术经过多年的发展,已经逐步成熟和稳定.但是近年来,基于云计算的大数据、人工智能等技术进一步发展,云安全又面临着新的风险和调整,云安全技术体系也急需适应大数据、人工智能等新技术的发展.
1当前的云安全技术体系信息技术与安全技术在成本、效率及用户体验等方面常常是一对矛盾体,安全技术在给信息技术提供安全保障的同时,会显著提高信息技术的商业成本并会降低用户使用信息技术的业务体验及处理效率.但云计算时代的安全技术已经成了云服务的一部分,安全技术的支出成本向云服务上转移,云安全已经成了云计算品牌和产品的一部分,越好的云安全技术和服务,能带来越好的云业务体验.并且云安全能力也成了云计算服务商的核心竞争力.这种价值观念的转变,为云计算技术的高速发展提供了强大的利益驱动.另外,云安全也成为了云计算客户业务上云首要考虑因素.Gartner发布的专题报告“Predicts 2016: Government Continues to Adapt to the Digital Era”中指出,安全性将取代成本和敏捷性成为政府部门采用云服务的首要原因
1.1 当前云安全技术体系典型的云安全技术防护点从最底层的物理层到应用层,全部都必须覆盖,主要包括:
1)物理安全,包括云计算系统所涉及的防火、防雷、防电磁等物理环境安全,也涉及各类主机、网络设备等硬件设备安全.
2)主机安全,包括各类计算主机、存储主机等的安全,也包括各类虚拟主机的安全.
3)计算安全,包括可信的硬件、软件及API接口安全等.
4)网络安全,包括各种网络安全业务,包含云网络的南北向安全、东西向安全,也包含VPC(virtual private cloud)等虚拟私有云网络的安全.
5)管理安全,包括各种云网络管理、云系统管理、VPC管理方面的安全.
6)数据安全,包括云网络中数据存储、数据库安全等涉及的数据安全.
7)应用安全,包括各类云网络业务层面的安全,如Web业务、邮件服务等的应用层安全.
目前业界对于基于上述云安全架构的技术也都比较成熟,随着公有云、私有云、混合云等各种云计算形态的快速发展和应用,云安全技术也得到了广泛的应用和实践.
一个典型的云安全技术架构如图1所示:
图1典型云安全技术体系架构
当前典型的云安全技术体系主要包括云平台基础安全、云租户业务安全及云安全服务几个方面,其中云平台和云租户涉及的具体安全能力涵盖了网络安全、主机安全、应用安全及数据安全.
云安全体系架构中涉及的具体云安全能力如下:
1)云平台基础安全包括云平台网络安全、云平台宿主机及虚拟主机安全、云平台应用安全、云平台数据安全几个方面.其中云平台网络安全主要包括抗泛洪攻击DDoS、防火墙、入侵防御系统IPS、VPC等能力;云平台主机、应用及数据安全主要是针对云平台整体提供一些基础安全能力,这些安全能力一般都是紧密集成到云平台业务中、并且难以由云租户自行提供的,如虚机安全迁移、数据多副本备份、镜像快照、安全沙箱等.
2)云租户业务安全包括租户虚拟网络安全、虚拟主机安全、应用及数据安全.其中租户虚拟网络安全主要包括虚拟防火墙、虚拟IPS、虚拟SSL VPN等,虚拟主机安全主要针对虚拟主机的防入侵、防病毒等方面,应用及数据安全主要针对Web、数据库等应用提供的Web应用防火墙、网页防篡改、数据库审计等,数据安全包括数据备份、数据加密、数据泄露防护等.
3)云安全服务主要提供安全运营(保障云安全防护效果)、安全咨询(为云平台及云租户如何设计云安全提供咨询服务)、安全审计(对云平台、云租户业务操作及管理进行安全审计)、漏洞扫描(对云平台、云租户的网络及系统应用等安全漏洞进行探测)、渗透测试(以安全攻击者视角检验云平台及云租户业务系统是否安全)、安全评估(对云平台及云租户的安全现状进行评估调研并给出改进建议)、应急响应(对于发生的各类安全事件进行及时处置).
1.2 当前云安全体系中涉及的大数据安全技术现状在数字社会转型的信息化建设中,云计算、大数据技术已经广泛应用到各行各业的各个领域,决策支撑、精准营销、行业动向研判等.而在云计算环境下大数据技术的应用将不得不面临云上、云间等场景下大数据的存储安全问题,和数据处理环境、处理方式、处理过程等的安全问题,以及大数据开放应用的安全问题等.对云计算环境中大数据的业务提供安全保障,保障大数据的处理环境、处理方式、处理过程、存储环境、存储方式、访问方式、访问过程和开放应用等的安全,需要涉及到大量的安全数据采集与分析处理.如何高效处理大量安全数据、如何高效发现大数据应用相关的安全威胁,业界因此提出了采用大数据技术来解决云安全问题的思路.
态势感知技术本质上就是基于大数据技术在安全领域的深度应用,也即借助大数据的技术能力,为包括云安全在内的业务提供传统安全防护技术所难以达到的对安全威胁进行预防、预测和预警的目标.
当前主流态势感知产品的基本技术架构如图2所示:
图1主流态势感知产品的基本技术架构
从技术架构图中可以看出,目前主流态势感知产品主要包含这几个方面的产品组件或功能:
1)安全数据采集方面.主要采集的数据包括网络相关的安全数据(如网络流量信息、网络设备相关信息等)、主机相关数据(如主机系统信息、主机用户信息、主机安全基线等)、应用相关数据(如应用开放接口、应用版本及补丁等)、系统认证鉴权相关数据、安全威胁情报等.
2)安全威胁模型.这也是态势感知产品与传统安全运营中心(security operations center,SOC)等产品最大的差异.传统的SOC产品多半基于采集各类网络及安全产品相关安全事件和日志进行分析,基本都是根据其他网络安全产品的结果进行安全事件的汇总与统计,无法突破原有网络安全产品的局限;而态势感知产品可以基于知识积累及机器学习等能力建立大量创新的安全威胁模型,在对收集信息加工整理的基础上,还可能发现原先单一安全产品所难以发现的安全威胁.
3)安全大数据分析能力.由于态势感知产品是基于采集大量安全数据的基础上进行分析的,因此为了确保对安全数据进行高效的分析,必须采用大数据运算平台对安全数据进行快速处理.
4)安全态势展示.基于安全大数据分析的结果进行展示,需要展示的内容主要包括资产态势、网络态势、应用态势、脆弱性态势和趋势预测等.
另外,中国信息通信研究院牵头编制国内首个面向云计算的态势感知行业标准[1],标准对云计算态势感知的产品能力及相关技术要求也作出了明确规定.
1.3 云安全威胁持续不断云计算技术经过多年发展,云安全事件(尤其是云数据泄露事件)一直层出不穷,并随着云计算业务的扩展还有愈演愈烈之势.
Cyber security在发布的调查报告[2]中称,28%的组织机构确认他们在过去的12个月中遇到了云安全事件,在这些云安全事件中,数据泄露(27%)位居榜首,其次是恶意软件感染(20%)和账户受损(19%).腾讯安全联合GeekPwn发布的《2019云安全威胁报告》[3] 中指出:包括数据泄露、数据丢失以及隐私数据利用和泄露等在内的数据安全威胁已成为当前上云企业必须直面的挑战;据Risk Based Security 统计,2019年上半年世界范围内已经发生了3813起数据泄露事件,被公开数据高达41亿条;腾讯安全情报数据显示,“数据”“身份证”“密码”等关于数据泄露的词汇在暗网的热词分析中占比极大;McAfee发布的报告[4]指出:云服务中有21%的文件中包含有敏感数据,并且云服务中敏感数据的共享率同比增长了53%;云服务中的安全威胁主要来自于被泄露账户、特权用户和内部威胁,80%的云上用户每个月至少遇到1次账户泄露威胁.
云安全联盟(CSA)发布的报告[5]指出2019年云计算面临的11大安全威胁,具体包括:数据泄露;配置错误或变更控制不足;缺乏云安全架构和策略;身份、凭证、访问和密钥管理不足;账户劫持;内部威胁;不安全的接口和API;控制平面薄弱;元结构和应用程序结构故障;云计算使用情况不完全可见;滥用和恶意使用云服务.数据泄露连续多年都是云计算面临的首要安全威胁,这一方面说明了随着云上业务和数据越来越多,云上的重要数据面临的泄露风险也越来越大;另一方面也说明了云平台针对数据泄露的安全防护技术及管理手段比较落后,跟不上云计算技术及业务发展的步伐.数据泄露给个人、企业和社会等带来的危害也非常大,一个典型的案例就是2016年发生的“徐玉玉案”[6],该案件就是不法分子通过盗取山东高考考生信息并利用电信诈骗导致山东考生徐玉玉被骗猝死的悲惨结果.
随着大数据技术持续发展,国家也在大力推行政务大数据平台及政务数据共享开放,全面提升政务服务办公效率和老百姓办理政务服务体验感.政务大数据平台的基础安全以及政务数据的安全将直接决定着政务大数据平台是否可用.
2 当前云安全技术面临的主要问题和挑战伴随云计算技术发展而来的云安全技术,经过多年的发展,已经有了大量成熟稳定的实践和应用.但是随着云计算技术持续演进,尤其是基于云计算技术的大数据、人工智能、物联网等相关技术的爆发,当前的云安全技术也面临着一些比较严重的问题和挑战.
2.1 云安全体系化不足,安全效果难以保障现有的云安全体系主要还是基于传统的安全技术与云计算虚拟化等相关技术进行融合实现,因此传统安全技术的很多问题在云安全体系中依然存在,主要存在以下问题:
1)安全威胁发现能力不足.传统安全主要基于攻击特征来进行威胁识别,如IPS,WAF等,这就导致这些产品只能对已知的安全威胁进行发现和拦截,对于未知攻击(如0Day)则无法识别.另外基于特征的方法也很容易被攻击者绕过,在网络上甚至能找到很多如何绕过WAF等的方法.
2)缺乏统一全面的安全资产管理.云平台中往往包含大量的计算、存储、安全等设备,也有大量的虚拟机及应用系统,所有这些设备、主机系统、重要的应用软件等的系统状态、补丁状况、端口开放情况、软件版本情况、账号管理情况等目前无统一高效的管理方法,也即无法清晰准确了解整个云平台的安全资产情况,极有可能存在某些安全隐患,比如某台主机存在弱密码账户、某些应用未能及时升级版本或打上安全补丁等,这些隐患如果不能第一时间发现,则很可能被攻击者利用.
3)无法快速准确发现真正的安全问题.传统安全产品基本都是无差别的告警反馈安全事件,并且所有产品之间没有有效联动.这样很容易导致一个问题会产生大量的告警事件,其中大部分告警都是与真正的安全攻击无关的告警,甚至还有很多的误报.安全运营人员要在大量无关告警中快速准确找到真正的安全事件,很多时候都是徒劳的.如果安全运营人员不能第一时间发现安全攻击事件并进行封堵,则很可能导致系统被入侵、数据被泄露的灾难性结果.
4)缺乏业务联动能力.现有的云安全体系的安全产品基本都是独立业务配置、独立安全控制、独立安全事件处置等,相互之间缺乏联动.当前的网络攻击,已经呈现出了长期性、复杂性、多种攻击手法综合利用的特征,防御手段也必须从网络、应用、主机等各个层面进行充分的联动,从安全状态、数据及策略等方面进行综合分析,只有通过这种多层次联动的安全防护体系才有可能应对当前更加复杂多变的安全威胁.
5)对安全事件的预警和预测能力非常薄弱.安全预警和预测的能力主要是基于提前获知准确的安全威胁情报,有很多的安全事件,在发生真正的安全攻击之前,如果能有效获取相应的情报,都是有可能提前预防的.很多的安全事件是基于攻击者大范围探测后发起的,那么在对某个系统攻击前有可能早就对其他系统攻击过,而其他系统被攻击的信息如果能及时获知并提前进行预防就可以有效避免类似攻击的发生.再比如如果提前获知本系统涉及的一些重要的账号信息有泄露(很多时候也可能是其他不相关的系统数据被泄露,但是同一个用户在泄露的系统与本系统中采用了相同的用户账号及密码,在当前数据泄露频发的背景下,这种情况还是比较常见的),则可以通过及时变更相关账号信息以避免被攻击者进行撞库攻击.
6)对于发生的安全事件难以进行有效事件还原,也就难以发现事件发生的根本原因,无法快速从根本上封堵安全漏洞.
为了更好解决现在云安全的这些问题,应该设计一套具有高度统一协调的云安全体系,确保既能复用当前的云安全技术,又能很好地解决当前云安全技术所面临的这些问题.
2.2 缺乏数据全生命周期的安全保障
在现有的云安全体系中,数据安全主要关注点还是保障云数据的可靠性和数据操作审计等,而不是以数据为中心的数据全生命周期的安全防护,这就可能导致在数据流转的很多环节缺乏相应的安全防护而导致数据泄露或滥用等问题.
当前国家及各级地方政府都在大力打造政务大数据平台,以实现各级政务部门的数据互联互通,并支撑高效的政务办公业务及政务便民服务.在政务云平台上,除了基于等级保护的基本安全保障之外,缺乏对政务数据安全生命周期的安全防护.
2.2.1 大数据平台缺乏对数据安全的防护针对个人隐私数据的安全保护的法规,国家也有很多法规提出了明确要求,主要的法规有《中华人民共和国刑法修正案(七)》《中华人民共和国刑法修正案(九)》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络安全法》等均涉及个人信息的保护.另外《个人信息保护法》也列入了立法规划.
除此之外,一些其他领域的法律法规对某些特定场景下的个人信息保护也有相应的要求.比如:《中华人民共和国护照法》《中华人民共和国身份证法》《中华人民共和国消费者权益保护法(2013修正)》等对公民个人信息的保密提出了具体相关要求.
除了国家层面出台的法律法规,部分地方也发布过一些数据安全相关的规章制度.如2018年8月贵阳发布了《贵阳市大数据安全管理条例》;2018年10月杭州发布《杭州市政务数据安全管理办法(暂行)》和连云港发布《连云港市政务数据安全管理暂行办法》;2018年11月浙江省发布了《浙江省政务数据安全管理规范(征求意见稿)》;2019年6月天津市发布了《天津市数据安全管理办法(暂行)》.
为了推动《网络安全法》等相关法律的贯彻落实,国家相关部门也陆续出台了一些配套规章制度,主要有:国家网信办2017年4月发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》、2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》、2019年5月发布的《数据安全管理办法(征求意见稿)》和公安部2018年6月发布的《网络安全等级保护条例(征求意见稿)》等.
另外,在数据安全相关的执法方面,相关部门也已经行动起来了.数据安全执法要求网络运营者准确、深入理解监管要求并快速应对,企业需要建立数据安全相关的制度、技术及组织架构予以支撑.
2019年1月25日,国家网信办、工信部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》.公告明确有关主管部门加强执法,对经评估违法违规收集使用个人信息的App相关的运营者将按照《网络安全法》《消费者权益保护法》等依法予以处罚,同时还专门针对App违法违规收集使用个人信息的举报渠道,成立了App专项治理工作组,研究制定了一系列App个人信息保护相关技术指导文件和政策文件,比如《App违法违规收集使用个人信息行为认定办法》《移动互联网应用(App)收集个人信息基本规范(草案)》等.
2.4.2云安全涉及的相关标准另外早在2014年,国家标准化委员会就发布了GB/T 31167—2014《信息安全技术 云计算服务安全指南》和GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》2个标准用于指导云安全相关的建设.国家电子政务外网管理中心于2017年也发布了GW0013—2017《政务云安全要求》用于重点指导政务云的安全建设.
针对数据安全,国内也已经陆续发布了一些相关的国家标准、行业标准,下面简单介绍部分影响较大的重要标准情况:
1)2018年7月1日开始施行的GB/T 35274—2017《信息安全技术 大数据服务安全能力要求》国家标准,标准中规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力.
2)2019年12月1日开始施行的GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》国家标准(等保2.0),标准中除了个人信息保护和数据备份恢复等常规的数据安全要求外,专门针对大数据应用场景下的数据采集、存储、处理、分析等各个环节的数据分类分级、数据保护策略、数据访问控制及审计溯源等提出了明确要求.
3)2020年3月1日开始施行的GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》国家标准,提出了一套完善的措施来帮助组织机构评估数据安全管理与技术等方面的能力是否存在短板.
4)制定中的标准《信息安全技术 政务信息共享 数据安全技术要求》,明确了政务信息共享数据安全框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求.
5)制定中的标准《信息安全技术 数据出境安全评估指南》,明确规定了数据出境安全评估流程、评估要点、评估方法等内容.
另外有些地方也发布过一些地方标准,如2018年12月30日杭州市发布DB 3301/T0276—2018《政务数据共享安全管理规范》地方标准.
国家在快速制定个人信息保护方面的标准中,中国电子技术标准化研究院胡影等撰文[12]中提出当前全国信安标委大数据安全标准化工作组已开展的相关标准工作.
3 基于大数据安全保障的云安全体系的总体设计
图3 DCAP核心理念
DCAP核心理念主要包括以下几个方面的内容:
1)数据安全策略.首先需要对数据进行识别与发现,然后依据相关业务及安全控制需求进行分类和分级,再基于分类分级的基础上制定不同类别、级别数据的安全控制策略.
2)数据流转监控.需要对数据流转的生命周期内所有访问数据的用户角色和相关权限进行评估和监控,并对用户访问数据的行为进行完整的监控与审计.
3)数据安全运营.持续对用户访问数据的行为进行分析,对异常行为及时告警及报告;对数据需要进行分块存储及安全隔离,并对重要数据进行加密、脱敏等安全控制策略.
上述几个方面的内容是一个相互依赖且完整闭环的关系,也即 “数据安全策略”是“数据流转监控”和“数据安全运营”的基础,因为所有对数据的监控与控制都是基于数据发现和数据安全策略的前提下才能有效开展;“数据安全运营”也是基于“数据流转监控”的结果进行持续分析和报告,并基于分析结果对风险更高的数据加强安全控制措施;同时“数据安全运营”的结果也有助于持续改进“数据安全策略”,包括优化分类分级和安全策略.
基于大数据安全保障的云安全体系研究的核心设计理念借鉴了DCAP理念,并结合DCAP及相关的国家标准提炼出一套创新性的新型技术架构.
3.2 总体技术架构基于大数据安全保障的云安全体系整体架构如图4所示.
图4基于大数据安全保障的云安全体系整体架构
整体架构从业务防护领域主要包括3个层次:
1)云基础设施安全防护,主要基于等级保护标准等的要求,针对云IaaS层次的安全保障,包括云网络安全、云主机安全、云应用安全和云数据安全等方面.这方面的安全保障技术相对成熟,本文中不做过多阐述.
2)云数据生命周期安全防护,基于云平台上业务数据的生命周期提供完整的安全防护,包括数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等阶段的防护方案.这里提到的云数据生命周期安全和云基础设施安全中的云数据安全在防护对象、防护目标、防护策略等方面都有很大区别.云基础设施安全中的云数据安全主要针对云平台上的数据在数据防泄露方面提供一些防护措施,包括碎片技术、备份技术等;云数据生命周期安全则主要针对云平台上的业务数据(也即使用云平台的客户应用数据,尤其是重要和敏感数据)的生命周期各个阶级进行防护,防护目标除了关注防泄露,还要关注防滥用、防误用等常规安全措施难以保障的目标,主要技术包括结合大数据安全技术及生命周期安全管理等.
3)基于大数据的安全防护,大数据安全是保障云数据生命周期安全的核心技术.大数据安全本身也是一套完整体系架构,大数据安全体系包括大数据安全采集、大数据安全分析、大数据安全防护和大数据安全运营几个关键层次.大数据安全采集是支撑大数据安全技术的数据输入源,需要采集的数据包括云网络数据、云主机数据、云应用数据及云平台上各类安全产品相关数据(安全事件等),同时也需要采集各类外部安全威胁情报;大数据安全分析是大数据安全技术的核心根本,主要基于大数据技术,结合大数据分析建模和算法,基于大数据安全采集的数据对各类已知或未知的安全威胁进行分析发现;大数据安全防护主要针对重要及敏感数据的探测发现和流转监控,并结合大数据分析所发现的安全威胁进行安全防护,包括对安全事件的及时拦截、对敏感数据的访问控制及脱敏或加密等策略控制等;大数据安全运营则是提供整体大数据安全能力闭环和效果展现的重要一环,核心的技术能力包括安全态势感知、安全预警通报、安全应急响应和安全事件审计与溯源等.
4 基于大数据安全保障的云安全体系的关键技术实现在国家标准GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》[14]和GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》[15]中对“数据生命周期”(或“数据生存周期”)都有明确定义,但是两套标准中的定义存在细微差别,主要差异在于定义背景限定和对于数据采集阶段中数据产生的界定等方面.结合两套标准的定义以及可落地场景(测评、建设等场景下的责任范围,或称之为组织的责任边界)考虑,本文将数据生命周期各阶段定义如下:
1)数据采集:组织内部系统中新产生数据,以及从外部系统收集数据的阶段.如政务信息共享场景下的共享数据交换服务方、共享数据使用方归集各政务部门数据(数据收集),以及基于归集的数据进行数据处理后新产生数据的阶段(数据产生).
2)数据传输:数据从一个实体传输到另一个实体的阶段.
3)数据存储:数据以任何数字格式进行存储的阶段.包括数据库存储、大数据平台、文件服务器、移动存储介质,以及处理数据的客户端存储.
4)数据处理:对数据进行计算、分析、可视化、运维管理等操作的阶段.
5)数据交换:组织与组织或个人进行数据交换的阶段.如政务场景下的不同部门之间、不同地方平台之间、政务数据对其他组织或个人之间进行数据开放的阶段.
6)数据销毁:对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程.
4.1.2 基于数据生命周期的安全体系DSMM标准针对数据安全过程维度,定义了30个安全过程域,每一个安全过程域都属于某一个数据生命周期阶段或者通用过程,其中通用安全过程域对每一个生命周期阶段均有效.
4.1.3 关键的数据安全技术基于大数据的安全系统需要支持大量的威胁模型和算法,这些威胁模型全部利用大数据计算引擎进行准实时计算,保证了基于大数据的安全系统对威胁告警的检测效率以及安全分析能力.
部分威胁模型包括:
1)异常登录行为分析.通过对用户登录行为数据进行分析,结合包括登录时间、登录地点、登录操作等进行综合分析确认是否异常行为.
2)撞库攻击分析.通过对异常登录行为的频度,并结合撞库行为特征进行分析.
3)一句话行为木马分析.从流量中抓取一句话特征流量,并输出真实存在的一句话木马url地址.
4)HFS发现与监控.从流量中抓取HFS,然后爬取HFS上面所有信息
5)Webshell入侵回溯.由Webshell回查入侵IP,并记录攻击IP行为记录,统计该IP造成多少入侵、是否为大规模入侵.
6)特定行业攻击.分析出攻击者是否对某行业有攻击倾向从而来实现预警.
7)异常外连.分析主动外连记录,关联威胁情报或者对主机发起过攻击的IP (已经实现)或者关联主机HIDS异常下载动作.
8)敏感文件访问.根据敏感文件特征进行监测.
9)未授权应用系统被访问.漏洞扫描检测未授权访问漏洞的应用系统,并基于业务流量分析发现未授权应用被访问的情况.
10)应用敏感接口访问分析.统计分析应用包含的敏感接口数量、访问次数、敏感接口中包含的敏感数据以及被访问统计.
此外,基于流量的基线学习算法模型也可广泛应用到基于大数据的安全系统的流式大数据分析场景中,主要设计模式如下:
1)构建IT资产流量基线.以时间滑窗方式,通过主机端历史流量、主机端口、主动访问内容、连接状态计量等数据进行建模,建立对应用户的基线;
2)利用卡尔曼滤波算法内置构建网络流量基线,卡尔曼滤波算法对网络流量预测具有较好的效果[17].
4.2.3大数据安全联动技术下面从数据的各个生命周期阶段逐一介绍每个阶段所需要的基本数据安全实践要求,另外对于每个阶段都涉及的共性要求,在“通用阶段”中进行统一说明.
1)数据采集安全.主要需要制定数据分类分级标准,并根据分类分级对数据进行标记,确保数据整个生命周期都能执行相同的安全策略;并需要对数据采集过程进行安全控制等.
2)数据传输安全.主要针对网络及不同组件之间数据传输进行安全控制,避免数据泄露及被篡改.
3)数据存储安全.主要确保存储的数据的保密性及可靠性、存储容器的安全等方面.
4)数据处理安全.主要针对数据分析和处理过程中重要及敏感数据脱敏、数据处理审计以及权限控制等.
5)数据交换安全.主要针对共享及发布的数据进行防护,包括控制数据范围及内容、数据审计和监控、权限控制等.
6)数据销毁安全.主要确保销毁数据不可恢复、销毁过程的审计与监控等.
7)通用阶段的安全.主要包括数据安全策略规范制定、组织人员管理、数据资产管理、鉴别与访问控制,以及数据监控与审计等.
5.2基于大数据技术的云安全技术实践方案基于大数据技术实现云安全技术防护体系的核心是利用大数据技术打造一套能适应云计算场景下的安全风险控制体系,也即数据安全风控体系.
5.2.1 数据安全风控体系技术架构
图5 数据安全风控体系技术架构
数据安全风控体系技术架构主要包含4个层次:
1)数据安全日志采集处理.主要采集边界流量、数据风控代理平台日志、应用系统数据相关日志、大数据平台全量日志、数据库审计日志等信息,并进行相关ETL处理.
2)数据安全日志存储.将经过ETL处理后的各类日志等信息进行存储,为了防范存储日志数据被恶意篡改,基于区块链技术进行实现.
3)数据安全风险感知.基于流量模型、人员行为模型、数据风险模型等进行建模实现各类数据安全风险的感知与发现.
4)数据安全日志审计.对于所有数据安全日志、数据风险感知等业务信息提供审计分析,确保数据安全风控体系不被非法控制.
5.2.2数据安全风控体系关键能力1)数据流量风险分析检测关键能力.敏感数据流量风险分析系统是整体数据安全风控体系的核心部分之一,通过对采集到的敏感数据的相关信息,使用规则、数据模型等各种手段进行分析、比对,发现敏感数据的风险行为.敏感数据流量风险分析需具备的核心能力:
①流量采集能力.数据安全风险控制平台可以独立通过规范化对接数据流量采集设备,通过采集/镜像网络应用层数据访问流量的方式,对流量进行三大维度的监测和分析;流量采集/镜像设备,以约定范式将采集的流量注入风险控制平台的流量风险分析子系统,即可实现对该采集数据源的数据安全风险分析.
②敏感数据流量检测能力.通过与敏感数据管理平台联动,针对敏感数据的流向进行实时监测跟踪,对敏感数据的南北向、东西向流量攻击监测;针对敏感数据流量,进行流量趋势分析、威胁分析、恶意行为监测,另一方面通过敏感数据流量梳理与分析,为网络管理者进行网络规划与优化、网络监控等工作提供数据仓库.无论是流量趋势分析还是恶意流量检测,可以通过可视化输出运营监管和溯源的取证能力.
③异常数据流量检测能力.通过建立数据流量模型以及流量相关基线,从空间维、时间维、特征维来分析流量、连接和对象,来可视化流量现状,梳理访问关系,展示流量随时间变化趋势;可以针对数据爬虫、用户/API访问速率异常、API接口流量速率异常、接口流量大小异常等异常数据流量情况进行监测和预警.
④泄露数据风险监测能力.流量风险分析系统利用自适应的基线学习模型来发现异常流量,通过逻辑关联,统计关联技术将内存中的流量数据、存储中的数据标记为泄露数据并对泄露数据流量进行跟踪监测——通过自动化、半自动化的分析机制来梳理网络秩序,同时快速发现、准确定位泄露的源头的途径.
2)行为风险分析检测关键能力.行为风险分析系统是整体数据安全风控体系的核心部分之一,通过对用户的数据访问行为进行分析,并结合敏感数据资产的安全策略发现行为风险并预警.行为风险分析需具备如下几个核心能力:
①数据存储和分析能力.构建集数据接入、数据处理、数据存储、查询检索、分析挖掘、应用接口、数据可视化等为一体的分析系统;存储系统应针对数据流动行为定制数据压缩算法,具备全文检索的能力.
②行为基线建立能力.可通过行为分析技术对数据访问方建立,包括正常行为基线和历史行为基线.并利用异常检测技术从多个维度来识别异常数据访问行为,可对于数据流动、数据库访问的异常行为进行预警.
③自动监控和检测数据安全策略执行情况的能力.以敏感数据资产地图为基础,能够结合数据库审计日志,应用数据流动日志、权限和高危操作、申请和审批日志,对数据安全策略的应用和执行情况进行监控和检测,防止预警策略失效.
3)基于区块链的审计溯源关键能力.风险审计溯源是通过完善的数据审计功能,支持对敏感数据泄露事件进行有效追踪和溯源,通过敏感数据流动情况分析出风险产生的原因,从根源解决数据风险问题,通过审计的不断训练建立针对性监督机制,结合流量分析和用户行为分析,预先感知数据安全隐患.审计溯源系统需具备以下核心能力:
①高效数据存储能力.采用ETL技术工具结合数据流动日志定制数据压缩算法,有效减少数据存储量.同时,针对数据流动日志提供全文检索能力,协助数据安全分析人员实施溯源.
②审计日志防篡改能力.采用区块链技术,将系统中关键日志上链存储,从而为审计系统中的关键日志提供高级别的防篡改能力,通过区块链去中心化和信息不可篡改的特性解决多源日志审计的信任问题.
③对接大数据产品的能力.对接大数据平台、大数据应用各组件及数据库审计产品日志的能力,并在人工运营审计的基础上,结合数据流量分析和用户行为分析模型进行异常分析,识别如大批量数据导出、异地访问、周期性高频访问等异常数据库访问行为和隐藏的风险隐患.
④敏感数据行为画像能力.根据访问数据类型、访问数据量、访问数据时间、访问数据方式以及访问数据频次等多个维度进行统计汇总分析,形成数据访问方(如账号、IP)的数据访问行为画像.
⑤支持丰富的审计规则能力.支持常用的数学计算和逻辑运算符,支持正则表达式等,特别地,链上日志支持通过制定和部署智能合约来丰富审计规则.
4)风险控制系统关键能力.风险控制系统是对通过流量分析、行为分析以及审计分析发现的数据风险事件及时采取相关的安全保护动作(例如对敏感数据的动态脱敏等),以快速阻断正在发生的数据泄露事件.风险控制系统需具备的关键能力(包含但不限)如下:
①动态数据保护能力.在发生数据风险时对数据访问实施保护措施,包括针对用户级别的脱敏、数据加密、流速限制、阻截等.
②阻断策略统一制定和下发能力.为避免误拦截影响用户业务,阻断策略需要由风险控制系统统一制定和下发.阻断系统可以通过代理模式直接中断用户的数据访问,也可以通过旁路模式做策略联动,下放阻断指令到系统的访问控制模块,阻断用户数据访问行为.
③重点账号和IP监控的能力.提供对重点账号、IP的配置入口,并对这部分账号、IP进行重点监控.
6 基于大数据安全保障的云安全体系研究案例数字哈密智慧政务大数据平台是基于电子政务外网建设的虚拟化云平台,与电子政务外网核心域连接,面向市民、政府和企业提供基于云技术的服务,如互联网+政务、互联网+医疗、互联网+教育、互联网+交通、互联网+旅游、雪亮工程、智慧水务、智慧城管等业务应用;对信息共享、网络安全事件、关键信息基础设施进行有效监管.
数字哈密智慧政务大数据平台的安全建设目标是抵御系统面临的主要安全风险,要保证平台安全、稳定、可靠运行,整体平台通过等级保护三级测评,并建立了一系列安全运营机制,实现平台对外提供安全可靠的智慧服务.
但是随着承载业务和接入的各类政府数据越来越多,如何更高效、更精准发现平台安全隐患,如何能真正实现对平台各类安全(尤其是数据安全)威胁的预警、预测和预防,已经成为平台建设优先考虑的问题.基于此,数字哈密智慧政务大数据平台建设方提出采用大数据技术来保障政务大数据平台安全的思路.
6.3 数字哈密智慧政务项目基于大数据安全保障的云安全设计方案
图6 数字哈密智慧政务大数据平台安全大脑体系
数字哈密智慧政务大数据平台的安全大脑体系围绕一体化防护原则,不仅考虑了基础安全、云安全和边界的安全,同时也考虑了数据安全和安全大数据平台,建立一体化的智慧城市级安全防御体系.首先通过拉通基础安全、云安全和边界安全的数据,实现数据共享交换平台以及云平台的运行环境安全;然后通过覆盖政务数据全生命周期的数据安全建设,实现数据流转的安全,防止了数据滥用、数据泄露等事件的发生;最后打造统一的安全大数据平台,建立一套开放的安全大数据架构,通过对各种安全数据的采集、治理,形成安全数据的基础库、主题库,通过制定统一的标准,对上层的各种基于大数据的安全应用形成安全的“数据中台”.
6.4 数字哈密智慧政务项目基于大数据安全保障的云安全实现效果数字哈密智慧政务项目基于大数据安全保障的云安全体系经过一段时间的建设和运行,已经取得了很多显著的效果,主要体现在以下几个方面:
1)数据平台基础设施安全加固.在等级保护安全措施防护的基础上,根据数据安全现状与缺陷的评估报告,从数据生产、数据存储、数据传输、数据处理、数据交换、数据销毁等数据全生命周期完善数据基础设施安全措施.
2)对敏感数据全方位监控.建立敏感数据资产管理系统,对核心业务系统数据进行统一资产化管理和数据访问控制策略管理,并通过对数据全生命周期的流转监控,发现数据资产管理的缺陷并优化,确保数据安全策略的一致性.
3)打造数据安全风控系统.建立数据风险的监控感知和控制机制,对数据流动情况进行实时监控,同时建立数据行为风控和溯源审计系统,分析并预警数据风险事件,进行事前风险预防、事中风险预警、事后风险溯源的数据全方位安全监管.
4)建立体系化的数据安全管理及运营机制.从组织保障、团队管理、人员培训、规范制定等方面全面建设数据安全管理体系,并借助风险控制技术规范组织内数据的使用流程,极大提升组织对数据安全告警的处理效率.
5)持续的安全运营.持续对现有业务系统开展数据资产梳理、数据评估与分级、数据权限管理审批、敏感数据识别发现、数据风险监控预警等数据安全服务,真正保障数据的安全性.
7 总结与展望随着云计算业务日新月异的持续深入发展,云安全技术的研究也一定不会止步于眼前.
近年来,大数据技术持续深入发展,并已经成为5G、人工智能、工业互联网、物联网为代表的国家新型基础设施建设(简称“新基建”)的重要基础技术.在保障云安全及数据安全的体系中,基于大数据的人工智能技术在云安全及数据安全等领域也将逐步发展成熟,被誉为网络安全行业风向标的美国RSA大会,近几年很多参展的厂商与产品技术都展现出人工智能的身影.
另外区块链技术、隐私保护技术也是近年安全研究的热点,尤其是作为设计初衷就包含了完善数据安全的区块链技术,在数字货币等领域已经体现出安全的独特优势,因此将区块链技术融入云安全体系也将会是业界重要方向之一.
致 谢
本文在研究及写作过程中得到了哈密市委网信办主任侯睿及杭州数梦工场科技有限公司副总裁孙晖等重要指导,特此表示感谢!
参 考 文 献
[1] 中国信息通信研究院.中国信息通信研究院云大所云计算部工程师 孔松:《面向云计算的安全解决方案第一部分:态势感知平台》标准解读[EB/OL].(2019-07-02) [2020-03-05].
http://www.caict.ac.cn/pphd/zb/trucs/2019/PM/5/201907/t20190702_202241.htm
[2]Cyber security.2019 Cloud Security Report[R/OL].Cyber security, 2019[2020-03-06].https://www.isc2.org/resource-center/reports/cloud-security-report?utm_campaign=T-HQ-Cloud-Security Report&utm_source=helpnet&utm_medium=banner&utm_content=rectangle
[3]腾讯安全云鼎实验室,GeekPwn.2019云安全威胁报告[R/OL].腾讯安全, 2019[2020-03-06].
https://cloud.tencent.com/developer/article/1562051
[4]McAfee.Cloud Adoption and Risk Report 2019[R/OL].McAfee, 2019[2020-03-06].https://www.mcafee.com/enterprise/en-us/assets/skyhigh/white-papers/cloud-adoption-risk-report-2019.pdf
[5]CSA.Top Threats to Cloud Computing: The Egregious 11[R/OL].CSA, 2019[2020-03-06].https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-egregious-eleven-japanese-translation/
[6]李铁柱,郭琳琳.出售徐玉玉信息 19岁黑客今受审[EB/OL].人民网,(2017-08-24) [2020-03-08].
http://legal.people.com.cn/n1/2017/0824/c42510-29490498.html
[7]王竹欣,陈湉.大数据安全问题分析及对策建议[EB/OL].中国信息通信研究院,(2017-12-07) [2020-03-08].
http://www.caict.ac.cn/kxyj/caictgd/hlw/201712/t20171208_168925.htm
[8]王品芝,许锦妹.75.9%受访者发现存在“大数据”滥用现象[N/OL].中国青年报,2015-04-09(7)[2020-03-08].
http://zqb.cyol.com/html/2015-04/09/nw.D110000zgqnb_20150409_1-07.htm
[9]韩丹东,罗聪冉.数据泄露滥用频繁发生违法违规使用个人信息问题突出 守住大数据应用法律底线[N/OL].法制日报,2019-05-15(4)[2020-02-26].
http://epaper.legaldaily.com.cn/fzrb/content/20190515/Articel04002GN.htm
[10]方家喜.“黑市”与“黑客”侵蚀大数据安全[N/OL].经济参考报,2018-02-08(05)[2020-03-08].
http://dz.jjckb.cn/www/pages/webpage2009/html/2018-02/08/content_40817.htm
[11]夏义堃.论政府数据开放风险与风险管理[J].情报学报,2017, (01)
[12]胡影,上官晓丽,王佳敏.个人信息保护国家标准工作情况与思考[J].中国信息安全,2019, (04)
[13]Lowans B, Meunier M, Reed B, et al.Market Guide for Data-Centric Audit and Protection[R/OL].Gartner, (2017-03-21) [2020-03-10].https://www.gartner.com/document/3645326
[14]全国信息安全标准化技术委员会.GB/T 35274—2017 信息安全技术 大数据服务安全能力要求[M].北京:中国标准出版社,2017
[15]全国信息安全标准化技术委员会.GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型[M].北京:中国标准出版社,2019
[16]Chuvakin A, Barros A.A Comparison of UEBA Technologies and Solutions [R/OL].Gartner, 2017[2020-03-12].https://www.gartner.com/document/3645381?ref=solrAll&refval=243570137
[17]李捷,候秀红,韩志杰.基于卡尔曼滤波和小波的网络流量预测算法研究[J].电子与信息学报,2007, 29 (03)
