数据安全管理系统白皮书

1.概述
随着数字经济的迅速发展，构建数据安全治理规则越来越成为全球关注的突出问题。中国近日提出《全球数据安全倡议》，明确表达了构建全球数据发展和安全的共识性原则，建立以和平和发展为主基调的秩序框架，受到了国际社会的广泛关注和欢迎。
中国网络空间安全协会作为网络空间安全全国性行业组织，有责任、有义务会同相关产业、行业、企业，积极响应《全球数据安全倡议》，推动中国倡议、中国方案全球范围更广泛的共鸣与落实。
同时，为进一步落实《网络安全法》《数据安全法（草案）》等有关要求，近期中国网络空间安全协会开展了2020年数据安全实践案例征集活动。经专家严格评审，共有21个案例进入“中国网络空间安全协会数据安全实践案例库”，涵盖电子政务、云计算、大数据、生活服务、物联网等各类应用场景。
2.需求分析
随着信息化建设的不断深入，围绕业务需要企业和组织已经建设了大量的网络设备、安全设备、终端、服务器、业务系统等IT资源，这些IT资源在运行过程中积累了大量的各种类型的数据，包括网络基础资源运行相关的数据、网络安全相关的数据、业务相关的数据等等，当前普遍存在的现状有：
1.没有将这些数据没有集中收集和存储起来，对其进行分析获取其中潜在的价值。
2.虽然IT资源产生的部分数据正在被利用，但是数据量越来越大，已有的分析利用效率越来越低，数据的维护和利用压力正在变大。
随着数据量的增到，遇到的一些数据分析相关的典型问题如下：
2.1已建安管平台遭遇瓶颈
为解决单个的安全设备已经很难发现的安全问题，需要安全设备产生的数据必须结合起来分析才能发现那些潜在的威胁。虽然安全界已经推出了安全管理平台这类产品来解决安全设备间的信息孤岛问题，可以将多个安全设备的数据进行融合分析为用户解决了一些潜在威胁发现的问题，但是其在融合新的数据时仍存在瓶颈，主要表现有：
1.数据处理过程的定义不够直观、方便；
2.其在进行数据分析时，分析规则功能简单，无法对数据构建有效的分析模型；
3.安全设备产生的数据也伴随着信息化的发展不断增长，一般的关系型数据库已经无法适应大数据的存储与访问需求。构建在关系型数据库上的安全管理平台也已无法适应这种数据增长的需要。
2.2大量监管数据无法分析
具有监管职能的用户为了实现对目标机构、网络、信息系统等的安全监管，部署大量监测类设备和系统积累了大量的监测数据，数据量较大、存储分散、没有集中化的分析工具，导致面对这些数据无法分析，不能从中发现对被监管对象安全监管有价值的潜在信息。
2.3业务数据分析变得困难
用户需要对业务数据进行分析，但是业务规模的不断扩大，互联网、移动互联网、物联网等各种新技术在业务中的不断应用带来业务模式的不断新增，需要分析的业务数据正在越来越大，在传统关系型数据库及数据仓库上构建的业务分析系统面临分析容量扩展困难、维护成本高、分析时效性低、新分析需求支持难等诸多问题，企业和组织急需寻找一个新的方案来解决当前面临的困境。
3.面临的问题
随着科学技术的日新月异，信息化已经渗透到企业日常运作的每个环节，信息化流转取代人力交接确实大大提高了企业员工的工作效率，但是也在不知不觉中使企业深陷信息安全沼泽：
（1）网络安全-员工随意访问互联网可能导致病毒肆虐、黑客猖獗；
（2）内网安全-员工任意安装软件可能导致主机变慢，内网瘫痪；
（3）文件安全-员工有意或者无意泄漏企业机密文件可能导致企业受难，毁于一旦。
为了帮助企业解决上述难题，业界相继推出了内网管理产品、上网行为审计产品和文件安全产品，并在一定时期内取得了良好的效果。但是，随着时间的推移，新的问题再次涌现：一个企业为了构筑完善的信息安全体系，必须同时部署内网管理产品、上网行为管理产品和文件安全产品，一方面，反复购买、实施和维护，大大增加了企业成本；另一方面，由于是出自不同生产厂家的信息安全产品，彼此间很容易产生冲突。
单一的信息安全产品已经无法满足当前的用户需求，正是在这种背景下，在公司多年信息安全产品研发技术与经验积累的基础上，兼收并蓄其它同行产品的优点，创新推出了集文件安全、上网行为管理、内网管理、打印管理于一身的数据安全管理系统。
该产品的推出标识着信息安全产品进入了一个新的时代，已经由各自为战的信息安全软件向集成化的综合信息安全平台迈进！
4.产品形态
“数据安全管理系统”由管理中心、控制台和客户端三部分组成，其中管理中心主要存储系统运行的相关数据及处理在线认证，控制台主要用于管理员配置系统相关参数，客户端主要根据安全策略对主机进行安全保护。
5.产品功能
5.1管理展示
平台提供智能的管理平台。通过平台智能管理可以实现对扩展、删除集群主机、用户、高可用等管理。通过可以通过管理平台对集群主机的状态、服务、任务进行监控。同时提供丰富的告警功能，一旦集群主机发生异常，都会发报警邮件给运维人员。使运维人员进行及时响应。

5.2敏感数据发现
敏感数据发现系统基于隐私保护与合规的数据安全治理技术框架，根据各行业的业务数据特征和分类分级规范，提供行业模板，通过自主创新研发的敏感数据识别技术，全面、快速、准确发现和定位敏感数据，构建持续更新的企业敏感数据分类分级目录。

 

 5.3数据资产详情展示

内置GDPR、网络安全法、PCI等合规知识库，结合敏感数据目录识别和量化数据安全风险，生成评估报告，驱动数据安全策略的落地，为数据安全工作的推进提供抓手。
提供数据资产账号管理功能。可针对操作数据资产的账号进行全局管理，包括提供资产账号详表。

5.4资产态势
为用户提供数据资产态势，使用户能够快速了解当前数据资产状态，可为用户提供数据资产视图、敏感数据资产视图、数据分级分类视图、数据资产热度视图等。
敏感数据资产图：敏感数据分布视图主要是基于敏感数据资产检测结果进行统计分析去的态势结果。

自动数据发现和数据分级分类管理。系统通过对用户业务数据的充分理解，通过数据索引建模技术完成数据仓库的构建，在数据仓库的基础上，通过在构造的数据仓库的基础上，通过系统自带的可视化组件库，通过输入组建库实现数据的输入，通过字段处理组建库实现对数据的新增、数值映射等等，通过对时间标准化，IP地理信息映射等等；通过平台可视化组件库的记录处理组件实现对数据进行过滤、采样、归并等对数据记录进行处理；同时大数据分析平台提供数据集处理组件，能够对数据集做合并、交集、并集等多种处理。

5.5数据安全核查

提供数据安全核查策略查询功能，并提供整体安全策略列表展示。提供策略行为模板基线，提供匹配策略功能。提供关联式、复杂性、业务性多种查询组合。支持查询策略的导出，并提供多种导出模式，包含CSV/TXT/XLS等格式。并能够根据当前业务需求制定专项检查策略，根据专项检查的需求，自由组合核查策略模板，并进行执行提供相应的分析报告。
5.6全局审计
提供全局审计管理功能，可对当前业务环境中的数据资产、账号行为、应用行为等进行审计管理，并根据不同的业务需求生成相应的上报报告。
6.接口设计
采用SOA规范REST架构，对内包含模块与模块、模块与组件之间接口的管理调用，对外提供数据访问接口，为数据安全管理系统提供服务和实现对接工作。
1）平台内部接口：
Web接口：Web层包括JSP和Servlet，提供Web访问的接口；
管理接口：客户端通过会话Bean实现对服务器的管理；实体Bean则主要实现对配置对象的管理；消息Bean实现从JMS消息队列中获取并处理安全数据；Agent通过JMS的异步通讯机制，将安全数据上报给服务器，而服务器上的各模块通过JMS的订阅/发布模式能灵活地实现对安全数据的分析和处理；
JDBC接口：服务器采用JDBC访问后台数据库系统。系统方便地支持多种数据库系统。
2）平台外部接口
（1）采集代理接口：平台通过标准协议接口收集各业务系统以及基础设施事件信息和性能指标，包含如下
被动收集：Syslog、SNMPTrap、NetFlow/IPFIX/sFlow
主动收集：SNMP、JDBC、TELNET/FTP/HTTP(网页爬虫)/…、WebService、WMI、文件(W3C/XML/…)、专有接口(OPSEC/…)
（2）输入组件接口：提供对数据输入组件中的接口类型进行配置，用于在分析过程中读取外部数据将汇入到内部平台。

7.产品价值

数据安全管理系统实现数据资产管理、敏感数据识别的统一管控能力;实现数据安全策略集中化管理、安全事件、安全风险统一管控、集中运维的能力;提供了敏感数据分布视图、敏感数据事件视图、敏感数据风险视图和敏感数据策略视图的分析展示能力。

建立数据安全管理矩阵，落实国家、部委、行业等数据安全合规要求，建设数据安全标准库。

本系统能够以数据分析服务的形式来提供数据分析人员完成分析目标。数据分析服务以服务目标为导向，通过提供分析人员将服务目标落实到大数据技术支撑平台里的形式来执行服务。
通过推广数据标准管理、数据质量管理及元数据管理，并结合数据安全管理等手段，初步在行内建立了覆盖全行的数据安全管控体系。本系统把重要业务数据看作是行内的核心业务资产，围绕重要业务数据的安全管理，完善行内数据安全管理体系。从数据自身的安全角度出发，关注数据自身的安全价值，将数据管理与安全管理相结合，重点围绕重要业务数据的识别、审计、分布、使用预警等，开展业务数据分级分类标准制定，采用数据全生命周期理论作为实践指导，从而建立一套以重要业务数据为核心、实现事先控制、事中跟踪、事后审计的安全管控体系。