点击蓝字丨关注我们
申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
标准概述
随着数据要素价值的重要性日益凸显,我国对数据安全的重视程度持续提升,通过出台相关法律法规与开展专项行动,不断强化数据安全防护体系建设,切实提升国家数据安全保障水平。电信及互联网企业掌握着庞大的重要数据,更需要加强数据安全建设,对数据采集、传输、存储、使用、共享等各个主要环节的异常行为进行深度分析、精准告警和及时响应。通过数据异常行为监测能够实时监测数据的流动和使用情况,识别违规使用或数据滥用行为,提高数据安全防护的主动性和有效性。
为了规范数据异常行为监测工作应具备的技术能力,对异常行为监测技术能力的设计、研发、测试、评估和验收等提供依据,并为企业采购数据异常行为监测系统时提供标准参考,中国信息通信研究院安全研究所联合中国移动、中国电信、中国联通以及数据安全能力提供商等单位共同完成了行业标准YD/T 4246-2023《电信网和互联网数据异常行为监测技术要求与测试方法》研制工作,目前已正式发布。
数据异常行为监测总体框架
《电信网和互联网数据异常行为监测技术要求与测试方法》行业标准提出了数据异常行为监测技术总体框架,在监测数据采集、异常行为数据处理、异常行为分析和告警与响应四个方面对数据异常行为监测技术提出具体的要求,并且总结分析了异常行为监测技术涉及到的三类核心方法:规则引擎、模型引擎、场景分析。此外,标准还提出了数据异常行为监测的效果评估策略和异常行为场景模型示例。
数据异常行为监测技术总体框架
-
规则引擎:通过规则引擎配置监测规则,可形成离线规则和动态基线规则两类。离线规则是通过一定的统计策略规则或特征判定规则实现对异常行为的监测。动态基线规则是基于离线规则再结合企业具体的情况动态调整规则,以形成可动态调整的自定义基线。
-
模型引擎:引入机器学习等人工智能算法构建监测分析模型,对海量数据进行智能化分析处理,实现对异常行为的自动识别。
-
场景分析:基于实际应用场景,结合规则分析和模型分析的优势构建场景化的分析模型,实现异常行为的分析和确证。
标准从数据异常行为监测工具、系统、平台、产品等功能实现需具备的技术角度出发,从监测数据采集、异常行为数据处理、异常行为分析和异常行为告警与响应等方面提出了具体技术要求。
标准从监测数据采集、异常行为数据处理、异常行为分析、异常行为告警与响应四个维度,提出数据异常行为监测技术要求,为异常行为监测系统的建设、选型提供技术指导。
1.3.1 监测数据采集技术要求
(一)监测数据源类型
数据异常行为分析的基础是海量及多样化的数据类型,应具备较为广泛的兼容性和灵活性,能够适应多样化的数据源和数据采集环境。支持多样化数据库确保能够接入不同的存储系统;支持常见网络协议,确保能够通过网络环境采集数据;支持多类别的日志采集可以确保获取较为全面的系统运行信息;支持自定义格式数据源采集,能够满足特殊数据格式的接入;支持本地和远程数据采集,符合当前云网混合的业务特点。较为全面的监测数据源类型,可以让工具/系统/平台获得较为丰富有效的基础分析数据。
标准内容节选(1)
(二)采集方式
应能够根据业务特征支持多样化采集方式,才能够采集到多种不同类型的数据。以下几种采集方式实现对主机系统日志数据的采集;对网络侧流量数据的采集;直连或API方式能够更高效地获取更多类型的数据;自定义格式导入及人工填报的方式补齐了特殊格式,以及非电子化方式上报的场景。在系统开发、设计和选用过程中,应考虑多种采集方式的支持。
标准内容节选(2)
(三)采集传输
在数据传输过程中,需要确保数据的机密性、完整性、可用性,以及不可抵赖性,应采用身份认证技术确保接入方的可靠性,并通过加密、完整性校验、断点续传等技术实现数据在传输过程中不被截获泄密,不被篡改,以及在遇到网络问题后有自恢复能力。最后采用压缩方式传输可以有效降低带宽占用,提高传输效率。
标准内容节选(3)
1.3.2 异常行为数据处理技术要求
(一)数据解析
通过大数据架构完成对多元异构数据的归一化处理,即将不同来源、不同格式的数据最后形成统一的元数据结构,这样工具/系统/平台才能够分析。除此之外,对于非结构化数据要完成精准还原。对于一些特殊的格式或类型的数据,能够通过预定义的方式完成关键信息的识别,可以最大限度保留有用信息。对于非结构化数据通过采用人工智能技术(例如机器学习、深度学习、大模型等)完成结构化数据的转化,能够更高效的实现数据的有效解析。企业在设计或选用系统时,应确保数据解析能力支持多种类型的数据格式。
标准内容节选(4)
(二)数据清洗
数据清洗能够去除解析后数据中的冗余数据,提高分析效率,同时对低质量的数据通过填充、修正等方式提高数据质量,整体提升数据的一致性,确保数据分析的准确性和分析效率。标准对数据清洗提出了明确而具体的要求,企业应参考设计和建设。
标准内容节选(5)
(三)数据整理
标准对数据整理提出具体的要求,包括支持用户身份解析、支持设备解析等。通过数据整理能够为后续分析过程提供高质量、一致性的基础数据,确保分析结果的准确性和可靠性。
标准内容节选(6)
(四)数据存储
经过解析、清洗和整理形成的高质量数据一般来说也是较为核心敏感的、高价值数据,需要保证其能够安全的使用。标准对数据存储提出了具体要求,包括多样化数据存储能力,加密校验机制确保机密性和可用性,数据访问使用监测以及容灾备份等。企业应根据实际场景结合标准要求选用合适的数据存储方式保护数据安全。
标准内容节选(7)
1.3.3 异常行为分析技术要求
(一)规则引擎
规则引擎分析异常行为是最成熟、最实用且实时性最高的分析技术,广泛应用在各个领域的异常行为分析过程中。企业一般会积累较多的、实用的分析规则。标准对规则引擎提出了具体要求,是为了规范化规则引擎应具备的能力,充分发挥规则灵活可配置、方便集中管理的特点。
标准内容节选(8)
(二)模型引擎
相比于规则引擎只能识别已知威胁,模型引擎具备自学习的能力,对复杂的、未知的威胁识别比较有优势,尤其是对传统规则引擎难以识别的异常行为的识别。模型引擎还具备一定的自动化学习能力,可以显著降低对人工规则定义的依赖性,提高异常行为分析的覆盖面和效能。标准对模型引擎提出了具体的要求,企业在模型引擎设计时应根据数据类型、行为特点等选用多种统计分析、关联识别等方法,加强异常行为的分析能力。
标准内容节选(9)
(三)场景分析
场景分析相比规则引擎、模型引擎更贴近企业的特定业务场景,能够更精准的识别与业务相关的威胁和异常行为。而且场景分析有更强大的关联分析能力,能够将孤立的安全事件和具体的业务操作关联,发现潜在的异常行为。标准对场景分析能力提出要求,鼓励企业在已具备规则引擎、模型引擎的基础上,进一步结合业务场景更精准地发现异常行为。
标准内容节选(10)
1.3.4 异常行为分析与响应技术要求
(一)告警技术要求
标准对异常行为分析告警提出具体要求,包括告警方式、告警内容、告警策略和告警处置方式。
标准内容节选(11)
(二)响应技术要求
标准对异常行为分析响应处置能力提出具备要求,包括协议层面的主动阻断能力、与其他安全能力联动的主动阻断能力,以及与其他安全管控平台联通响应的能力。
标准内容节选(12)
为验证上述技术要求,标准进一步明确了测试方法,包括监测数据采集、异常行为数据处理、异常行为分析和异常行为告警与响应测试。旨在全面覆盖数据异常行为监测系统的各个方面,确保其在实际应用中能够满足企业的安全需求。企业在数据异常行为监测系统建设、选型时,基于本标准的测试方法,可全面的评估数据异常行为监测系统的效能,保护企业重要与核心数据的安全。
背景
某运营商在信息化快速发展过程中,各类网络信息系统产生并积累了大量有价值的数据。如何保护数据安全,防止数据被窃取、被滥用,及时识别和防范数据安全风险,并满足监管合规要求是首要工作。亟需要建立一套数据异常行为监测标准规范,对数据在采集、处理、分析和处置环节的能力进行规范化、标准化,及时发现并处置异常数据行为,保护企业数据安全。
系统建设
该企业依据《电信网和互联网数据异常行为监测技术要求与测试方法》标准,结合业务场景需求,建设数据异常行为监测分析系统,实现对企业异常数据行为的安全可视、态势可感、风险可控。系统支持多种数据源接入,多维威胁分析能力,实现对数据异常行为的全流程监测、分析和处置。
数据异常行为监测分析系统能力架构
2.2.1 多维度异常行为分析识别
系统基于多种接入类型数据,应用规则引擎、模型引擎以及场景分析技术实现对数据异常行为的深度关联分析,实现对已知、未知和灰度行为的监测和分析,关联高度复杂、时间跨度大的异常行为,并实现对后续攻击的预测。
2.2.2 自动化响应处置闭环
系统通过采用自动化响应技术手段对响应处置方式进行固化,以自动化、高效率的方式对异常行为进行多种方式的报警,并通过协议方式、联动安全能力等方式实现快速阻断处置,实现全自动检测响应处置闭环。
2.2.3 联动响应手段多样化
系统能够对接工单系统、邮件系统、短信系统实现多种响应方式,并与网络安全设备实现实时联动和快速处置。
2.2.4 测试验证
依据《电信网和互联网数据异常行为监测技术要求与测试方法》中的测试方法,该运营商对数据异常行为监测分析系统展开了全面系统的测试,测试内容涵盖监测数据采集、异常行为数据处理、异常行为分析技术、异常行为告警与响应等核心功能,全面验证各项功能的有效性。通过此次测试,验证了数据异常行为监测分析系统在各类应用场景下均具备稳定性、安全性与完备性。
应用成效
威胁精准分析溯源:系统基于威胁建模和关联分析技术,结合多种异常行为威胁分析模型、安全威胁知识图谱,形成符合企业场景的异常行为场景分析能力,能够有效发现异常行为事件,提升分析研判准确度。通过自动化响应能力将企业安全进一步激活,降低处置响应时间,提升安全防护效能。
风险精准防控:基于标准中的规则分析、模型分析和场景分析等技术,企业可有效提升数据安全异常行为的检查准确率,尤其是对大流量、高密度多元敏感数据的异常行为识别有了大幅提升。
业务连续性有保障:针对核心业务系统,快速定位异常数据操作(如流量激增、非法API调用),高效联动处置,避免服务中断。通过该系统的应用有效加快了处置效率,快速处置率提升到95%。
《电信网和互联网数据异常行为监测技术要求与测试方法》作为行业标准,从监测数据采集、异常行为数据处理、异常行为分析技术、异常行为告警与响应四个方面,明确界定了数据异常行为监测系统所必须遵循的技术规范,并提供了相应的测试验证方法,有效推动了数据异常行为监测技术在电信网和互联网领域的规范化应用与发展。企业可依据该标准:
技术标准化:有效推动企业从“单点检测”转向“体系化检测闭环处置”转变,有利于提升行业内数据异常行为监测能力的标准化。
能力有效性:根据数据异常行为监测系统须满足的技术要求及相应的测试验证方法,为共给侧产品研发和需求侧采购选型提供了参考依据。
应用场景扩展:标准框架可适配5G、工业互联网、物联网等新兴场景,为未来技术演进预留空间。
《电信网和互联网数据异常行为监测技术要求与测试方法》的发布实施,为电信领域数据安全异常监测分析能力建设提供了核心标准支撑,推动行业数据异常行为监测能力从被动防御向主动治理转型。其意义不仅在于技术标准化和合规性提升,更在于通过标准的深入推广,帮助企业能够建立健全数据安全监测分析能力,更好的保证电信网和互联网数据安全。
供稿单位:
绿盟科技集团股份有限公司
《网络安全法》实施七周年 | 数据分类分级国家标准解读与电信领域标准分析
一图读懂《网络数据安全管理条例》国家数据局公布数据领域常用名词解释(第一批)
智读政策 | 重磅新规!深度解读个人信息保护合规审计避坑要点
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 (010) 5884 6840
解伯延 18631643906
联系人邮箱:[email protected]
原文始发于微信公众号(数据安全共同体计划):标准解读 |《电信网和互联网数据异常行为监测技术要求和测试方法》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论