摘　要

沒有數(shù)據(jù)安全就沒有國家安全，數(shù)據(jù)安全治理作為數(shù)據(jù)安全體系重要的組成部分引起了各行各業(yè)越來越多的關注。從大數(shù)據(jù)環(huán)境下海量數(shù)據(jù)面臨的安全風險出發(fā)，結合數(shù)據(jù)在使用過程 中的安全需求，給出了一種動態(tài)防御的數(shù)據(jù)安全治理架構， 并對該架構下的關鍵技術進行了研究。該架構能夠為數(shù)據(jù)安全治理提供體系化安全治理思路，其中的關鍵技術可以為該架構的實現(xiàn)提供有效支撐。

內容目錄：

1 數(shù)據(jù)安全風險

1.1 數(shù)據(jù)濫用風險

1.2 數(shù)據(jù)泄露風險

1.3 數(shù)據(jù)竊取風險

1.4 數(shù)據(jù)偽造風險

1.5 數(shù)據(jù)破壞風險

2 數(shù)據(jù)安全治理架構

2.1 數(shù)據(jù)安全治理架構設計原則

2.1.1 數(shù)據(jù)分類分級

2.1.2 細粒度權限管控

2.1.3 場景化安全策略

2.2 數(shù)據(jù)安全治理架構設計

3 數(shù)據(jù)安全治理關鍵技術

3.1 數(shù)據(jù)安全風險主動感知技術

3.2 統(tǒng)一訪問控制與數(shù)據(jù)安全策略管理技術

3.3 業(yè)務行為分析與安全監(jiān)控技術

3.4 數(shù)據(jù)安全風險評估與策略調整技術

3.4.1 綜合風險評估引擎

3.4.2 策略調整模型

3.5 數(shù)據(jù)安全風險追蹤溯源技術

4 結 語

《中華人民共和國數(shù)據(jù)安全法》(下文簡稱： 數(shù)據(jù)安全法)的正式發(fā)布標志著數(shù)據(jù)安全已經(jīng)上升至國家戰(zhàn)略高度，數(shù)據(jù)已經(jīng)成為國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。數(shù)據(jù)安全法指出：“維護數(shù)據(jù)安全，應當堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力?！?/span>

數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的，在中國易于落地的數(shù)據(jù)安全建設的體系化方法論。數(shù)據(jù)安全治理的核心內容如下文所述。

(1)3 個需求目標： 數(shù)據(jù)安全保護(Protection)、合規(guī)性(Compliance) 、敏感數(shù)據(jù)管理(Sensitive)。(2) 核心理念： 分類分級(Classifying)、角色授權(Privilege)、場景化(Scene)。(3)數(shù)據(jù)安全治理的建設步驟：組織構建、資產梳理、策略制定、過程控制、行為稽核和持續(xù)改善。(4) 核心實現(xiàn)框架： 數(shù)據(jù)安全人員組織(Person) 、 數(shù)據(jù)安全使用的策略和流 程 (Policy&Process)、數(shù)據(jù)安全技術支撐(Technology)。

隨著信息化和數(shù)字化的發(fā)展，以及數(shù)據(jù)安全法的 推動下，越來越多的政府部門、企事業(yè)單位、金融機構、能源集團、運營商等各行各業(yè)，對數(shù)據(jù)安全合規(guī)的需求急劇增加，紛紛開始了數(shù)據(jù)安全治理體系的建設和探索之路。本文結合數(shù)據(jù)在實際應用中數(shù)據(jù)面臨的安全風險和用戶的安全需求給出了一種面向大數(shù)據(jù)環(huán)境下動態(tài)防御的數(shù)據(jù)安全治理架構，并對該架構下的關鍵技術進行了研究，以滿足數(shù)據(jù)的合規(guī)使用以及數(shù)據(jù)在使用中的安全防護需求。

01 數(shù)據(jù)安全風險

1.1 數(shù)據(jù)濫用風險

在大數(shù)據(jù)環(huán)境下包含了不同等級的數(shù)據(jù)，特別是敏感數(shù)據(jù)的分類分級。如果普通數(shù)據(jù)和敏感數(shù)據(jù)界定不清晰，將無法實現(xiàn)數(shù)據(jù)安全保護的精細化管控。數(shù)據(jù)的粗管粗放，將會出現(xiàn)“一管就嚴、一松就亂” 的局面，如各類數(shù)據(jù)存在越權使用的情況，部分用戶操作和使用超過自身權限的數(shù)據(jù)，還存在數(shù)據(jù)接口開發(fā)不規(guī)范的情況，交互行為未進行嚴格控制， 部分非業(yè)務需求的敏感數(shù)據(jù)可以跨系統(tǒng)訪問和交互。

1.2 數(shù)據(jù)泄露風險

數(shù)據(jù)使用者安全意識不足，違規(guī)或不當操作會泄露敏感數(shù)據(jù)，如存儲介質濫用、違規(guī)傳輸、違規(guī)共享等。數(shù)據(jù)使用者還可能被引誘或收買，在日常工作任務中主動收集、隱藏和轉移敏感數(shù)據(jù)。

1.3 數(shù)據(jù)竊取風險

外部間諜組織或其他國家網(wǎng)絡空間部隊，長期潛伏在網(wǎng)絡空間中，使用高級持續(xù)性威脅(Advanced Persistent Threat，APT) 攻擊、間諜軟件、監(jiān)聽等技術竊取國家重要戰(zhàn)略數(shù)據(jù)和關鍵技術信息，以及黑客組織或個人出于技術炫耀和利益竊取重要敏感數(shù)據(jù)。

1.4 數(shù)據(jù)偽造風險

數(shù)據(jù)在使用和傳輸過程中被非法篡改，導致數(shù)據(jù)失真，如果涉及重要技術指標或控制指令可能會造成非常嚴重后果。

1.5 數(shù)據(jù)破壞風險

使用數(shù)據(jù)破壞性惡意軟件或工具，對數(shù)據(jù)進行加密、刪除、覆蓋、粉碎等操作，破壞敏感數(shù)據(jù)完整性和可用性。

02 數(shù)據(jù)安全治理架構

2.1 數(shù)據(jù)安全治理架構設計原則

根據(jù)數(shù)據(jù)安全治理的概念，數(shù)據(jù)安全治理核心理念可以理解為在數(shù)據(jù)生命周期過程中，以數(shù)據(jù)為中心，以分類分級為基礎，以安全策略為驅動，通過權限管控，確保數(shù)據(jù)在各類場景下使用的安全。在該理念下，數(shù)據(jù)安全治理架構設計原則應包含以下幾點。

2.1.1 數(shù)據(jù)分類分級

數(shù)據(jù)分類分級是數(shù)據(jù)保護的核心基礎，只有對數(shù)據(jù)進行有效分類，才能夠避免一刀切的控制方式。在數(shù)據(jù)的安全管理上采用更加精細的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡，并對數(shù)據(jù)全面摸底，進行數(shù)據(jù)資產梳理、敏感數(shù)據(jù)發(fā)現(xiàn)及梳理、數(shù)據(jù)資產分級、用戶及敏感資產權限梳理。

2.1.2 細粒度權限管控

數(shù)據(jù)在分類分級后，應明確數(shù)據(jù)的訪問角色和使用方式，針對不同的角色賦予不同的訪問權限。數(shù)據(jù)細粒度權限管控是一種精細化的訪問控制行為，目的是限制主體對于客體的訪問，防止主體對客體的任何資源進行未授權的訪問。對大數(shù)據(jù)而言，訪問控制不僅要防止非法用戶對數(shù)據(jù)資源的惡意獲取訪問及篡改，而且要控制合法用戶的越權訪問和越權操作。

2.1.3 場景化安全策略

大數(shù)據(jù)環(huán)境下，不同的業(yè)務有不同的需求，各類業(yè)務根據(jù)業(yè)務特點、使用需求適應不同的使用場景。應根據(jù)不同的場景進行針對性地制定數(shù)據(jù)安全防護策略，即應將業(yè)務人員分為不同等級以及不同的角色， 按照“數(shù)據(jù)訪問最小化原則”，在不影響業(yè)務正常開展的前提下，從時間和空間維度對用戶和數(shù)據(jù)行為進行約束。

2.2 數(shù)據(jù)安全治理架構設計

遵循上述的數(shù)據(jù)安全治理架構設計原則，在該原則的基礎上結合用戶實際需求設計數(shù)據(jù)安全治理架構，如圖 1 所示。

圖 1 數(shù)據(jù)安全治理架構

圖 1 中的數(shù)據(jù)安全治理架構以數(shù)據(jù)分級分類、授權管理、數(shù)據(jù)安全策略、統(tǒng)一審計、統(tǒng)一身份認證、人工智能等技術為基礎，構建包括數(shù)據(jù)梳理、行為分析、威脅分析、態(tài)勢感知、追蹤溯源、評估優(yōu)化等主要能力的大數(shù)據(jù)安全治理體系。該體系體現(xiàn)了動態(tài)防護的理念，能夠作為大數(shù)據(jù)動態(tài)防御體系 [11-15]的重要組成部分，為實現(xiàn)動態(tài)防御能力提供支撐。

03 數(shù)據(jù)安全治理關鍵技術

本文基于上述的大數(shù)據(jù)安全治理架構，梳理出了大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全治理的 5 個關鍵技術，如圖 2 所示。

圖 2 大數(shù)據(jù)安全治理技術

3.1 　數(shù)據(jù)安全風險主動感知技術

數(shù)據(jù)安全風險主動感知技術是從多維度、全方位進行數(shù)據(jù)收集，并利用數(shù)據(jù)行為分析、內容分析、全流量分析技術對安全風險進行主動發(fā)現(xiàn)和感知。數(shù)據(jù)安全風險分析技術架構包含兩個層次，分別是數(shù)據(jù)層和算法分析層，如圖 3 所示。其中，算法分析層一般運行在實時流處理、近線增量處理、離線批量處理的大數(shù)據(jù)計算平臺上。

圖 3 數(shù)據(jù)安全風險主動感知技術架構

數(shù)據(jù)層負責對各類分析所需數(shù)據(jù)進行采集和預處理。采集數(shù)據(jù)包括：安全類數(shù)據(jù)(防火墻、入侵 檢測、病毒查殺、前置機、數(shù)據(jù)庫防火墻等) 、用 戶類數(shù)據(jù)(用戶權限、用戶行為等) 、數(shù)據(jù)資產類 數(shù)據(jù)(數(shù)據(jù)屬性、數(shù)據(jù)分級分類、數(shù)據(jù)共享等) 、 流量行為類數(shù)據(jù)(網(wǎng)絡流量、數(shù)據(jù)流量) ，采集后的數(shù)據(jù)經(jīng)過抽取 - 轉換 - 加載(Extract-Transform- Load， ETL)處理后，按照算法分析層的要求為各類算法提供分析數(shù)據(jù)包，形成的算法包主要為數(shù)據(jù)實體和用戶提供安全風險監(jiān)測。

算法分析層主要包括在線分析處理(實時流處理) 、分析建模(近線增量處理)和離線分析(離線批量處理) 3 類時效分析。分析算法主要包括特征統(tǒng)計學習、動態(tài)行為策略、時序前后分析 3 類。其關鍵技術包括基線及群組分析、異常檢測、安全知識圖譜和強化學習，具體如下文所述。

(1)基線及群組分析。通過歷史策略，構建群組分析，可以跨越單個用戶或實體的局限，發(fā)現(xiàn)更大的事實，易于進行異常檢測；通過概率評估可以降低誤報，提升信噪比；通過組合基線分析、群組分析，可以構成全時空的上下文環(huán)境。(2)異常檢測。該技術專注于發(fā)現(xiàn)統(tǒng)計指標異常、時序異常、序列異常、模式異常等異常信號。采用的技術包括孤立森林、K 均值聚類、時序分析、異常檢測、變點檢測等傳統(tǒng)機器學習算法; 也可以利用深度學習技術，包括基于變分自編碼器(Variational Auto Encoder，VAE) 的深度表征重建異常檢測、基于循環(huán)神經(jīng)網(wǎng)絡(Recurrent Neural Network，RNN) 和長短時記憶網(wǎng)絡(Long Short- Term Memory，LSTM) 的序列深度網(wǎng)絡異常檢測、圖神經(jīng)網(wǎng)絡(Graph Neural Network，GNN) 的模式 異常檢測等。(3)安全知識圖譜。知識圖譜已經(jīng)成為人工 智能領域的熱點方向，在網(wǎng)絡安全中同樣也有巨大 的應用潛力。知識圖譜可以從事件、告警、異常、 訪問中抽取出實體及實體間關系，并構建成一張網(wǎng)絡圖譜，任何一個事件、告警、異常，都可以集成 到網(wǎng)絡圖譜中，從而直觀、明晰地呈現(xiàn)多層關系， 能夠讓安全分析師近似真實地復現(xiàn)攻擊全過程，了解攻擊的路徑與脆弱點，評估潛在的受影響資產， 從而更好地進行應急響應與處置。(4)強化學習。不同客戶的環(huán)境數(shù)據(jù)源具有多元性及差異性，以及用戶對異常行為的定義各有不同，因此，數(shù)據(jù)行為分析需要具有一定的自適應性， 做到“入鄉(xiāng)隨俗”輸出更精準的異常風險。強化學習能夠根據(jù)排查結果自適應地調整正負權重反饋給系統(tǒng)，讓整體效果持續(xù)優(yōu)化改進，進而得到更符合客戶期望的風險評分。

3.2　統(tǒng)一訪問控制與數(shù)據(jù)安全策略管理技術

如圖 4 所示， 統(tǒng)一訪問控制與數(shù)據(jù)安全策略管理技術包括服務端與客戶端。服務端通過資源發(fā)現(xiàn)功能實現(xiàn)資源的管理和生成，并依據(jù)基于屬性的訪問控制安全策略進行判決，從而對數(shù)據(jù)進行管理， 并基于資源和訪問控制實現(xiàn)數(shù)據(jù)安全策略的定制和下發(fā)，客戶端從服務端獲取數(shù)據(jù)安全策略。

數(shù)據(jù)安全策略采用 3 級結構模式，將組織中非常復雜的技術性數(shù)據(jù)安全策略由粗到細進行實現(xiàn)。 第一級是權限控制策略，第二級是分級分類保護策略，第三級是數(shù)據(jù)防泄漏策略。

圖 4 統(tǒng)一訪問控制與數(shù)據(jù)安全策略管理技術架構

統(tǒng)一訪問控制與數(shù)據(jù)安全策略管理技術進行訪問權限的統(tǒng)一管理和下發(fā)，業(yè)務系統(tǒng)和數(shù)據(jù)庫防火墻通過調用應用程序接口(Application Programming Interface，API) 接口， 實現(xiàn)訪問判決功能。統(tǒng)一訪問控制與數(shù)據(jù)安全策略管理技術將訪問權限推送至對應的業(yè)務系統(tǒng)進行本地緩存，實現(xiàn)高效的本地權限查詢、匹配和判決功能。

3.3　 業(yè)務行為分析與安全監(jiān)控技術

如圖 5 所示，業(yè)務行為分析與安全監(jiān)控技術在業(yè)務系統(tǒng)關鍵數(shù)據(jù)訪問和處理點位上，采集系統(tǒng)行為上下文日志與數(shù)據(jù)流轉信息。經(jīng)過數(shù)據(jù)采集、數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)轉換、數(shù)據(jù)規(guī)約、數(shù)據(jù)存儲和結果展示等步驟，實現(xiàn)業(yè)務系統(tǒng)操作日志的采集、存儲、查詢、審計、可視化和聚合分析等功能。同時，使用狀態(tài)機建模技術、頻繁序列挖掘技術和異常檢測技術等關鍵技術對業(yè)務應用過程中行為活動上所表現(xiàn)出來的規(guī)律進行歸納和總結，建立正常業(yè)務行為基線，實現(xiàn)基于行為基線的異常行為分析、監(jiān)控和異常上報等功能。最終達到對各個業(yè)務系統(tǒng)的提供安全保障，發(fā)現(xiàn)潛在安全威脅和預警的目的。

圖 5 業(yè)務行為分析與安全監(jiān)控技術架構

在數(shù)據(jù)采集層方面，以數(shù)據(jù)采集、數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)轉換和數(shù)據(jù)規(guī)約等技術為支撐，形成數(shù)據(jù)采集技術，完成底層數(shù)據(jù)來源的引接與采集。在數(shù)據(jù)存儲層方面，以數(shù)據(jù)管道、熱存儲和冷存儲等技術為支撐，并融合分布式隊列、分發(fā)網(wǎng)絡、檢索引擎、關系型數(shù)據(jù)庫、文件存儲和對象存儲等關鍵技術，確保采集數(shù)據(jù)的安全存儲。在數(shù)據(jù)計算層方面，主要運用了數(shù)據(jù)查詢技術、數(shù)據(jù)聚合技術和并行計算技術，確保分析數(shù)據(jù)的時效性和準確性。最后在狀態(tài)機建模技術、頻繁序列挖掘技術和異常檢測技術的支撐下，實現(xiàn)業(yè)務系統(tǒng)行為分析智能判斷，并融合數(shù)據(jù)可視化技術，對分析告警結果進行有效展示。

3.4 　數(shù)據(jù)安全風險評估與策略調整技術

如圖 6 所示，數(shù)據(jù)安全風險評估與策略調整技術在數(shù)據(jù)風險分析感知的基礎上，對風險感知信息進行綜合評估，將評估后的結果、應用場景、策略執(zhí)行反饋信息等多維度信息作為輸入，通過環(huán)境(environment，E)、風險(risk，R)、主體(subject，S)、客體(object，O)、行為(act，A)五維度防御策略調整模型給出策略調整建議。

圖 6 數(shù)據(jù)安全風險評估與策略調整技術架構

3.4.1 綜合風險評估引擎

由于多維風險檢測往往是異常檢測類型的弱指示器，在實際部署過程中，會出現(xiàn)誤告警事件，而真正的檢出問題往往淹沒在大量無關的告警中。為了解決這個問題，可以使用打分技術，針對每個用戶，給出綜合的風險評判分數(shù)或等級，直觀地呈現(xiàn)給管理者，從而可以更好地聚焦發(fā)現(xiàn)真正的安全風險，提升風險預警的實用價值。

風險綜合打分機制通常主要由算法、優(yōu)化策略和閾值設定 3 部分組成。(1)算法基于機器學習的方法主要是使用貝葉斯網(wǎng)絡、高斯核分布等方法，對直接帶權累加的方案進行優(yōu)化。深度學習的方案則需要先針對預先設置的時間段對時間做編碼(encoding)，然后使用長短時記憶網(wǎng)絡(Long Short-Term Memory，LSTM)模型進行分數(shù)預測。(2)優(yōu)化策略優(yōu)化策略包括對于數(shù)值的歸一化處理，以及從計量策略上的優(yōu)化，比如歷史分數(shù)按照時間的推移，對風險等級的影響程度逐漸變小，總體分數(shù)按照事件數(shù)量有一定的衰減嗎，利用貝葉斯網(wǎng)絡根據(jù)事件實際分布動態(tài)調整權重等。(3)閾值設定風險綜合打分引擎的輸出是針對每個用戶 / 賬號的風險分數(shù)，需要結合相應的閾值，來判斷用戶的風險等級。通常，閾值的設定有人工設定、按環(huán)境變量動態(tài)變化或者根據(jù)歷史分數(shù)的預測值進行判斷 3 種方法。

3.4.2　 策略調整模型

策略調整模型以風險綜合分析評估后的結果、應用場景、策略執(zhí)行反饋信息等多維度信息作為輸入，通過五維度防御策略調整模型給出策略調整建議。五維度具體為：環(huán)境(environment，E)、風險(risk，R)、主體(subject，S)、客體(object，O)、行為(act，A)。集合(E,R,S,O,A)是一個基本要素集，在實際的評估過程中，可根據(jù)需要對維度要素進行擴展。模型將風險綜合分析評估后的結果作為模型中的風險信息(R)，應用場景信息作為環(huán)境信息(E)，策略執(zhí)行反饋信息作為行為信息(A)，主體(S)為用戶或數(shù)據(jù)，客體(O)為用戶或數(shù)據(jù)，構建五維調整判斷向量，按照設定的權值得出最終策略部調整建議，權值設定主要有人工設定、風險評定結果動態(tài)變化或者根據(jù)歷史分數(shù)的預測值 3 種方法進行設定。

3.5 　數(shù)據(jù)安全風險追蹤溯源技術

數(shù)據(jù)安全風險追蹤溯源技術通過采集數(shù)據(jù)全生命周期的行為日志，構建數(shù)據(jù)數(shù)量分布情況信息庫、數(shù)據(jù)等級分布情況信息庫、數(shù)據(jù)使用情況信息庫以及數(shù)據(jù)血緣關系庫；以數(shù)據(jù)標簽為基礎，將數(shù)據(jù)標簽與數(shù)據(jù)結合并貫穿于數(shù)據(jù)整個生命周期；利用大數(shù)據(jù)綜合關聯(lián)分析及機器學習對數(shù)據(jù)行為進行分析并實行監(jiān)管；提供對已知和未知的數(shù)據(jù)安全威脅事件在事前、事中、事后的規(guī)避、發(fā)現(xiàn)和解決以及追蹤溯源等功能，為大數(shù)據(jù)安全提供動態(tài)閉環(huán)的智能化治理能力。數(shù)據(jù)安全風險追蹤溯源技術架構如圖 7 所示。

圖 7 數(shù)據(jù)安全風險追蹤溯源技術架構

如圖 7， 數(shù)據(jù)安全風險追蹤溯源技術首先通過數(shù)據(jù)資產的自動識別與發(fā)現(xiàn)和數(shù)據(jù)資產血緣分析， 實現(xiàn)對數(shù)據(jù)資產全體系、全譜系的統(tǒng)一梳理。其次， 基于數(shù)據(jù)資產構建以任務為中心的數(shù)據(jù)物理拓撲和 邏輯拓撲，并基于任務、用戶、數(shù)據(jù)資產的上下文 數(shù)據(jù)，利用機器學習和人工智能，動態(tài)構建面向任 務和用戶的數(shù)據(jù)行為基線，通過數(shù)據(jù)行為基線可進行異常行為檢測。最后，通過基于人工智能的追蹤標識和內容標識學習和標記，以及通過基于機器學習的追蹤標識跨域更新技術對多源異構數(shù)據(jù)(結構 化、半結構化、非結構化)進行追蹤標識和內容標識， 實現(xiàn)全路徑數(shù)據(jù)追蹤溯源。

04 結 語

數(shù)據(jù)安全治理是數(shù)據(jù)安全保護的一種思路或體 系，是一種將數(shù)據(jù)安全技術與數(shù)據(jù)安全管理融合在一起，并綜合業(yè)務、安全、網(wǎng)絡等多部門多角色的訴求， 系統(tǒng)化總結歸納的方法。本文從技術的角度， 圍繞數(shù)據(jù)安全治理的核心理念，給出了數(shù)據(jù)安全治理體系的架構，并對該架構下的關鍵技術進行了梳 理和研究。本文提出架構和方法體現(xiàn)了數(shù)據(jù)安全治 理的先進性和實用性，能夠為相關的研究提供指導和借鑒。

引用本文： 許杰 , 張鋒軍 , 陳捷 , 等 . 面向大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全治理技術 [J]. 通信技術，2021，54(12):2659-2665.

作者簡介 >>>

許杰，男，博士，高級工程師，主要研究方向為大數(shù)據(jù)安全、信息 安全；張鋒軍 ，男， 博士研究生，研究員，主要研究方向為云計算和大數(shù)據(jù)安全、信息系統(tǒng)智能管控技術；陳 捷 ，女，博士研究生，研究員，主要研究方向為通信網(wǎng)絡與信息安全；曾夢岐 ， 男， 碩士， 高級工程師， 主要 研究方向為信息安全；李慶華 ， 男， 學士， 高級工程師， 主要研究方向為軟件工程、云計算與大數(shù)據(jù)安全技術；牛作元 ， 男， 碩士， 高級工程師， 主要 研究方向為云計算與大數(shù)據(jù)安全。

選自《通信技術》2021年第12期(為便于排版，已省去參考文獻)

來源：信息安全與通信保密雜志社