行业背景
随着政府电子政务数据公开的快速发展与应用,信息安全管控重点正在从网络安全向数据安全转变,网络信息安全保障能力显著增强,信息共享、业务协同和数据开放水平大幅提升的总体目标。因此如何防止内部敏感数据、隐私信息泄露成为政府安全防护的重点。随着政务数据共享、数据互通与大数据时代的到来,政务数据面临的挑战也越来越多,例如:来自外部的数据窃取攻击,内部有意或者无意的针对数据的恶意操作与泄露,同时还面临来自国家及主管机构的合规要求。因此政府行业安全建设已上升到国家法律层面,将成为一项持久性的系统性建设工程。
行业需求
1、内部人员威胁
政务网内部人员违规使用风险主要发生在数据运维人员、开发测试人员和高权限人员,虽然制定了相应的数据安全规范,但由于缺少监控措施,难免出现越权或多账号共用的现象。另外,不能排除内部人员为满足个人利益,进行违规查询、导出,甚至是修改数据行为。
2、政务数据安全
政务数据共享和数据安全受到高度重视,电子政务业务包含智慧民政大厅、互联网+政务服务、民政综合平台等。电子政务系统有多个安全区域,一般有电子政务内网、政务外网、核心交换区、核心业务区、核心数据区、终端用户与运维管理区,政务数据在多个业务和应用场景下流动交换,各区跨数据共享以及运维带来复杂性,同时缺乏对自身敏感数据状况的有效掌握,导致制度规范的制定不完善,传统的数据共享与交互没有进行最小范围管控,加之没有对共享和交互环节进行监控和审计,导致数据流向不明,无法记录数据使用情况。集中规模部署、资源共享复用和网络边界变化等因素,虚拟化中的通信流量不可见,导致存在核心数据泄露风险。
3、政策和法规的要求
电子政务需要符合政策和法规的相关要求,如《政务信息资源共享管理暂行办法》、《政务云安全要求》、《国家电子政务外网等级保护实施指南》、《国家电子政务外网跨数据安全交换技术要求与实施指南》等。
解决方案
针对政府行业的数据安全需求,全息风险感知平台可以有效的进行风险防范和数据溯源,具体表现如下:
1、内部威胁实时发现并预警
全息用户行为分析的实质是通过广泛的数据的收集,将用户行为活动与相关实体信息关联分析,引入机器学习建立各种行为活动基线来检测异常行为。基于广泛收集的各种数据集,应用机器学习的行为分析和异常检测。将企业敏感数据作为用户行为分析的一个重要维度和其他维度一起进行关联分析。通过将用户、设备和 IP 三个维度的实体进行画像关联,实时监测各类用户的越权访问、账号违规使用等问题。
2、政务数据资产的监测
从整个网络的视角,将全部敏感文件数据可视化呈现,展示敏感文件数据的流转路径。实时展示正在被传输的敏感文件都有哪些(列表),由哪个用户和设备在传送,送给谁或哪里,以及哪些是新发现的敏感文件,并可展示敏感信息的上下文,便于安全人员验证。提供以文件为源头的全息导图,展示文件在特定时间段的所有使用者、所有传输该文件的终端设备、 以及所有相关的应用。对任何一个敏感文件收集并记录其所有的使用者、终端设备、业务应用、IP 地址、以及每次使用的时间地点,并追踪每个传输的起点与终点,对该文件的各个维度精准画像。
3、满足政府行业业务合规的需求
如《政务云安全要求》、《政务信息资源共享管理暂行办法》、等保2.0等,全息风险感知系统内置国家、行业的数安全分级、分类标准和安全规范,对数据进行发现、分级、分类,并抽取与数据关联的用户、设备、应用的信息,形成“情报”发送给数据分析平台,使全息风险感知系统可以提供长周期内云端数据的生命周期画像(什么时间,什么地点,谁(人员、设备),通过什么应用,访问了什么数据),可以作为数据合规的审计、追溯、取证工具。
应用价值
全息风险感知平台实现政府行业各业系数系统和内部应用的可视化,涉及敏感数据应用的真正可见性,应用中敏感文件泄漏实时追踪;以应用为核心同时关联用户、设备和文件、应用多个维度进行持续跟踪,对异常行为进行持续的检测,及时发现政务环境中潜在的高风险应用;看清安全状况,查漏补缺。一旦发生安全事件,能够快速定位问题,提供在线分析,提供证据链抓取。
数据资产追溯:采用数据维度全息图、数据画像、数据资产统计、数据分级和可视化、敏感文件发现、敏感文件流动路径监测、涉敏违规行为发现以及数据泄漏发现和告警从而实现敏感文件泄漏溯源。
全网用户行为分析:自动关联用户使用过的账号、设备、应用、文件等信息,通过用户维度全息图、用户画像、在线用户统计和分布、用户基本行为统计、用户访问的文件统计等实现行为异常发现和告警。
特点和优势
1、易部署
无感知部署,在电子政务环境中,可以采用多种灵活的部署模式,全息数据采集器可以在云环境虚机上以软件方式部署,也可以以盒子方式在云环境中多点部署,再通过全息分析平台提供统一的界面呈现。
2、基于机器学习
支持无监督机器学习,自动关联数据资产、用户、 设备和应用,自动画像,自动刻画基线,减少运营成本和压力。
3、政务数据资产保护
通过对数据的分级分类,对业务敏感数据进行实时的监测,达到事前预警,事中告警,事后可追溯源的目的。
关于全息网御:全息网御是行为数据驱动信息安全的领航者,通过其特有的专利技术系统性融合了NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台。为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。