政务云大数据安全建设的技术支撑是保障整体方案建设得以实现落地的根本，总体框架是对数据使用场景进行分析，将数据以及权限进行细粒度梳理，结合制度规范，采用相应技术手段进行管控，通过对审计日志分析，不断完善策略和制度。

　　

　　数据资产管理平台

　　建设目的：随着政务云的持续运营，应用系统和数据资产将会迅猛增加，管理工作将面临巨大压力，由于数据资产统计不清、使用状况不明确，会导致潜在风险的发生，同时不利于数据安全制度的建立和安全加固工作。通过数据资产管理平台对全网数据资产进行统计，并对使用状况进行分析，大大降低政务云管理人员的工作量，同时为数据安全制度的建立和安全加固提供依据。通过对使用状况的分析，还可以提前发现潜在安全风险。

　　主要功能：

　　1、数据资产总览：资产总量（数据库、表、字段、数据、敏感数据、各级数据）、资产变化对比信息、资源状态信息（存储容量、内存、CPU）。

　　2、? 数据资产详情：

　　a.? ?元数据：数据资产描述信息（包括数据库、表、字段）、分类分级信息、自定义类别信息；

　　b.? ?数据库详情：IP、端口、类型、版本、账户、权限、表量、字段量、敏感数据量；

　　c.? ?数据表详情：归属库、权限、字段量、敏感数据量；

　　d.? ?字段详情：归属库、归属表、字段类型、长度。

　　3、数据资产状态：

　　a.? ?数据资产变更：数据资产（数据库、表、字段、原始数据、元数据、加工后数据）创建、更新、销毁的记? ?录，自动识别数据资产变化，可强制进行数据认责和分类分级操作；

　　b.? ?敏感信息分布：展现敏感数据在哪些库、哪些表，并统计；

　　c.? ?数据资产责任：展现数据资产归属，查看责任人和权限；

　　d.? ?数据使用状况：数据正在被谁使用，使用频度如何；

　　e.? ?数据权限：展现所辖数据资产的权限情况，哪些用户或角色可以访问哪些数据资产;

　　f.? ?访问热度：从拥有、增加、修改、访问四个维度进行访问统计分析和展现。

　　? ? ?数据权限统一管理

　　? ? ? ?建设目的：传统的数据授权方式是针对数据库账号的授权，应用系统可以通过配置好的数据库账号访问数据库，由于数据库自身限制，不能实现针对数据的细粒度授权，数据的规范使用和越权访问无法有效控制。因此，建设基于数据的权控系统，不但能够实现数据权限最小化，还可以实现用户、应用、数据的三级关联，大大降低数据越权访问和违规使用的概率。

　　主要功能：

　　1、基础信息管理：用户和应用的添加、删除、修改，数据资产（库、表、字段）自动发现，通过配置操作，将用户、应用、数据进行关联授权。

　　2、授权模式：

　　a.? ?静态授权：针对用户和应用的数据使用授权，包含授权周期、绑定终端；

　　b.? ?动态授权：临时需要使用更高级别数据或权限外的数据，通过临时授权的方式提供；

　　c.? ?维护授权：针对数据维护的角色和职责进行授权，数据维护人员在非授权情况下维护数据默认为脱敏状态， 支持对数据维护动作的细粒度授权，严格控制维护行为。

　　3、授权审批：数据权限的最终确定需要通过审批，在审批过程中即对用户、应用进行认证，确保其身份的合法可靠。

　　敏感数据发现和梳理

　　概述：一般政务云大规模应用的后台数据库都有上百个表和上千个列，要保护核心数据资产，首先要了解哪些数据是敏感数据，通过敏感数据发现功能对表和列进行扫描，来发现密码、个人标识信息、信用卡账户等敏感数据，同时用户也可以通过自定义敏感对象搜索关键字的方式来发现用户特定的敏感数据。

　　协助完善数据分级分类机制：不同数据拥有不同敏感级别和密级，所需的安全策略和加固方式也不同。通过对敏感数据完善的定级机制，便于制定政务云数据安全策略或采取合适数据加固措施。

　　监控数据权限变化：让管理员实时了解数据资产的权限变化，可按照用户维度、对象维度对数据库的权限进行分析整理，并且对比不同轮次扫描之间权限的变化。实时查看，展现数据库实时安全视图；定期扫描，反映当前安全状况相对于基线的变化；查看详细变化状况。

　　主要功能：

　　1、云数据库自动嗅探：提供自动搜索专有云中数据库的功能，也可以指定IP段和端口的范围进行搜索。自动发现数据库的基本信息包括：端口号、类型、实例名、服务器IP地址等。

　　2、自动识别敏感数据

　　能够按照指定部分敏感数据的特征或预定义的敏感数据特征，在执行任务过程中对数据进行自动识别，发现敏感数据。通过自动识别敏感数据，避免按照字段定义敏感数据元的繁琐工作，同时能够持续的发现新的敏感数据。

　　3、敏感数据分类分级

　　根据不同数据特征，可对常见的如姓名、证件号、银行账户、金额、日期、住址、 *** 号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感数据进行分类。针对不同数据类型指定不同敏感级别，系统自动对包含了敏感数据的表、模式、库进行敏感度评分。

　　4、权限梳理

　　能够对数据库中不同用户、不同对象的权限进行梳理并监控权限变化。权限梳理从两个维度展开：监控数据库中的用户的启用状态、权限划分、角色归属等基本信息；对数据库中的对象可被哪些用户访问的情况进行归纳总结，特别是对包含了敏感列的表或者敏感度评分较高的对象，着重监测其访问权限划分情况。

　　? ? ?敏感数据保护

　　概述：根据政务云的业务特征，敏感数据一般包括个人的手机号、住址、社保信息、公积金信息、房产信息、就诊信息等，企业的纳税信息、股权信息等非公示项信息。这些信息非常重要，对其访问需要严格管控。依据数据使用者的角色、职责和其他IT定义身份特征，动态的对请求返回的数据进行专门的安全处理，确保不同级别的数据使用者按照其身份特征恰如其“份”的访问敏感数据。

　　整体架构：

　　

　　保护方案：

　　1、应用查询敏感数据

　　由数据安全网关对查询返回的结果集进行逐行解析、比对过滤，并对敏感数据进行脱敏遮蔽处理后，返回给A。

　　2、运维人员访问敏感数据

　　运维人员在对数据库中的数据进行日常运维的过程中，会有违规查询的现象发生，保护策略如下：

　　a.所有运维操作，都必须经过数据库安全网关的过滤，对运维查询的结果集数据进行过滤，依据字段类型，进? ?行相应遮蔽处理；

　　b.审计运维人员查询敏感数据的操作，并对查询行为进行分析告警。

　　3、检索敏感数据

　　由于敏感数据会保存在ES系统的索引数据中，供检索查询，因此查询结果中可能存在敏感数据，检索应用是通过“检索API”完成对ES索引数据的全文检索，并通过该API返回结果集数据。

　　4? 敏感数据对外共享

　　数据库中存在敏感数据，共享前需要先将要共享数据与敏感数据清单进行比对，然后对敏感数据进行脱敏处理，再进行输出。

　　? ? ?数据运维安全

　　? ? ? ?概述：政务云的数据在运维过程中，重要数据的操作需要高度谨慎。由于接触数据的人群错综复杂，很容易发生数据运维过程中的恶意篡改或批量导出。通过建立数据运维行为流程化管理机制，将审批、控制和追责有效结合，避免内部运维人员的恶意操作和误操作行为，确保高效审批及准确执行。

　　主要功能：

　　1、运维行为审批：对于常规数据运维操作可配置到白名单，对此类运维操作只做监控即可。对于高危操作行为需要提交申请，待审批通过后方可进行操作，同时操作过程要进行监控审计。对于频率不高的高危操作可进行临时或短期授权，降低风险。

　　2、误操作和违规操作的识别与处置：通过配置好的黑白名单和已完成审批的运维操作，对误操作和违规操作进行识别，正常行为放行、可疑操作告警、重点操作审批、异常行为拦截等不同运维管控方式。

　　3、数据运维黑白名单：根据实际业务场景，采用黑白名单功能，对黑名单中的操作直接禁止，对白名单中的操作进行监控，黑白名单中管控的对象包括用户、登录IP、时间、客户端工具等。

　　4、动态数据遮蔽：不同访问场景下，通过内置规则，对不同身份的运维人员访问敏感数据中的身份证、银行卡、 *** 号码、姓名、住址等敏感信息进行掩码处理，实现敏感数据动态遮蔽，防止权限过高运维人员泄露敏感数据，同时不影响常规的数据迁移、备份等日常工作。

　　5? 数据运维监控：对数据运维的所有行为进行审计监控，从不同维度对数据运维行为进行统计，生成报表，如违规行为统计报表、日常运维报表、申请审批情况报表、黑白名单执行报统计报表等。

　　? ? ?数据安全审计

　　? ? ? ?概述：数据安全审计，面向数据运维人员和安全管理人员，针对数据风险状况、运行状况和语句状况提供实时监控和日志采集能力，是面向数据提供监控能力的一体化工具或产品，同时满足国家或行业的法律法规要求。

　　通过对数据访问协议的精确解析，捕捉全量的行为日志信息，使数据访问监控无死角；通过对审计日志的统计汇总，生成报表，使负责数据安全的人员清楚掌握数据访问状况。

　　主要功能：

　　1、审计日志的采集

　　通过探针或旁路协议解析的方式将审计能力接入，对应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范围等进行采集，从而形成数据访问的全量行为记录。

　　2、审计日志的合规存储和检索

　　《 *** 安全法》要求对审计日志进行长期存储，政务云的日志规模高达百亿级。因此，需要采用先进的存储机制，对海量的审计日志归档存储，通过“高压缩”和“高性能”两种数据压缩方式，更大限度利用存储空间，并通过三级存储机制，实现海量数据存储。

　　通过全文检索能力，帮助数据安全人员实时定位任何数据的所有痕迹，极大提升数据安全事件的排查效率。

　　3、应用关联审计

　　常规的审计只能解析到客户端一层的信息，无法对应用进行审计,在客户端之前除了应用系统信息，还有中间件信息。为使审计的效力增强，需要采用应用端插件的方式，基于应用会话捕获应用账户及应用IP等关联审计信息。针对应用端与应用服务器分离的四层关联系统，同样可基于插件部署捕获到应用的原始访问信息，实现应用审计的日志采集。

　　4、审计报表自动生成

　　报表功能是将审计日志进行数据化分析的具体表现形式。系统将报表划分为综合报表、合规性报表、专项报表、自定义报表等几类，帮助安全负责人员更加便捷、深入的剖析数据运行风险。

　　5、关键审计日志保护

　　由于审计规则泄漏或长时间不修改审计规则、增加审计节点，会使不法人员绕过审计，造成数据安全事件的发生，因此，需要对关键审计节点的审计日志进行安全保护，关键审计日志的使用只限于机构内部的少数人员。

　　? ? ?数据安全风险分析

　　概述：由于应用体系对违规行为控制的不足，会导致内部人员或黑客人员通过看似正常访问的方式对数据安全造成威胁。

　　数据安全风险分析是基于数据流动过程中的日志信息，进行深入的分析，从而掌握数据在应用体系内是如何流动的，通过与实际应用场景的结合，以及对正常访问行为特征的分析，形成大量的规则和模型，增强数据安全风险的感知能力。

　　通过数据安全风险分析还可以掌握数据安全措施执行的有效性，为安全措施的完善提供依据。

　　主要功能：

　　1、数据流动分析

　　通过数据流动日志信息的解析，绘制数据流动大图，可以使安全管理员直观的掌握当前的数据流动情况，哪些类型数据通过什么应用流动到了哪里和流动了多少，同时，帮助政务云安全管理员全面直观的了解政务云在当前数据流动过程中敏感数据的分布情况，数据应用的分布情况，大规模数据请求者的分布情况。

　　2、数据访问行为画像分析

　　由于访问日志的捕捉点范围广、信息量大，并不利于安全管理员发现潜在的数据安全风险。通过对访问日志的分析，以访问者为对象（账号、应用、终端），针对某类数据，从访问频率、访问时间、操作类型等维度进行统计分析，逐渐绘制和完善行为画像，行为画像可以通过蛛网图、趋势图进行展现，提升异常访问的发现能力。

　　3、异常访问自动发现

　　形成数据访问行为画像后，对访问行为进行对比分析，从而得出匹配度，对于超出事先设定好的偏离值的访问行为，通过告警的方式通知安全管理员，确保之一时间采取应急工作。

　　异常访问自动发现可以帮助安全负责人员在大规模的数据访问过程中发现风险，由于日志采集的完整性，因此可以生成精确的风险报告，为风险行为追责、追溯提供依据。

　　异常访问自动发现能力可以帮助安全管理员在大规模的数据访问过程中发现异常行为，降低安全管理员的工作量，提升工作的有效率。

　　4、辅助安全加固

　　通过安全风险分析、异常行为自动发现，有效发掘制度和保护措施的不足，辅助完成制度和安全措施的完善工作，并能够为加固后的效果进行验证。

　　数据安全风险分析工作的持续开展和运营，在能够发现看似正常访问的异常行为以外，还形成了数据安全管理的闭环，从而整体提升政务云大数据安全的防护能力。

　　政务云大数据安全建设（一）挑战和思路

　　云上数据库安全新挑战-行控

　　SaaS企业掌舵人如何直面困境、寻求突破？

　　企业上云：CSP与CDSP的价值差异

　　CDSP与CSP的概念释义