首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

2023云棲大會丨安恒信息攜杭州亞運(yùn)會數(shù)據(jù)安全實(shí)踐，共話云安全之道

閱讀量：次 文章來源：安恒信息

近日，以“計(jì)算，為了無法計(jì)算的價(jià)值”為主題的2023云棲大會在杭州云棲小鎮(zhèn)舉辦，本次大會共設(shè)置2大主論壇、3個主題展館，呈現(xiàn)500余場并行話題。在云環(huán)境數(shù)據(jù)風(fēng)險(xiǎn)態(tài)勢管理實(shí)踐的話題分享中，安恒信息高級副總裁鄭赳分享了安恒信息為杭州亞運(yùn)會提供數(shù)據(jù)安全保障的經(jīng)驗(yàn)。

鄭赳在演講中介紹到，杭州亞運(yùn)會作為近年來賽事規(guī)模最大、競賽項(xiàng)目最多、參與人員規(guī)模最大的綜合性體育賽事。6大賽區(qū)，88個場館，49個核心業(yè)務(wù)系統(tǒng)、賽事成績、賽事管理、賽事支持三大類核心系統(tǒng)群全面上云、1萬多終端設(shè)備接入訪問，系統(tǒng)眾多、敏感數(shù)據(jù)量大、人員繁雜、接入方式多樣、數(shù)據(jù)安全挑戰(zhàn)嚴(yán)峻。

亞運(yùn)數(shù)據(jù)安全防護(hù)中面臨5大防護(hù)難點(diǎn)：

1、敏感數(shù)據(jù)廣泛分布在各個涉亞信息系統(tǒng)中，底數(shù)不清，分布不明。

2、運(yùn)維人員多，身份復(fù)雜，數(shù)據(jù)訪問權(quán)限控制難。

3、系統(tǒng)間數(shù)據(jù)共享頻繁。數(shù)據(jù)系統(tǒng)間業(yè)務(wù)數(shù)據(jù)交互量大，泄露風(fēng)險(xiǎn)大。

4、數(shù)據(jù)使用監(jiān)控難度大，數(shù)據(jù)泄露事件感知、監(jiān)控、溯源難度大。

終端訪問、辦公場景接入終端多，人員雜，敏感文件數(shù)據(jù)泄露風(fēng)險(xiǎn)大。

安恒信息通過持續(xù)三年的亞運(yùn)保障，從預(yù)案準(zhǔn)備，測試賽保障、技術(shù)演練、正賽重點(diǎn)保障全程參與，持續(xù)護(hù)航，累積投入35000+人天，1184臺設(shè)備，累積分析800+億條日志，防護(hù)2600+萬次攻擊，提交5500+份報(bào)告,不辱使命，出色完成保障任務(wù)。

云上數(shù)據(jù)安全整體架構(gòu)通過云上技術(shù)體系整體保障支撐核心業(yè)務(wù)應(yīng)用，并通過數(shù)據(jù)安全運(yùn)營體系再護(hù)航保障過程中不斷基于風(fēng)險(xiǎn)評估持續(xù)優(yōu)化防護(hù)方案。

云上數(shù)據(jù)安全技術(shù)體系，通過資產(chǎn)梳理、數(shù)據(jù)庫審計(jì)監(jiān)控、接口監(jiān)測、數(shù)據(jù)水印、數(shù)據(jù)脫敏、權(quán)限管控、防泄漏、態(tài)勢感知等基礎(chǔ)能力的云化部署、針對多租戶場景強(qiáng)化云上安全資源的自動編排能力，實(shí)現(xiàn)安全能力服務(wù)總線，按需支撐業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全防護(hù)需求，并持續(xù)監(jiān)控保障業(yè)務(wù)數(shù)據(jù)資產(chǎn)的安全態(tài)勢。

云上數(shù)據(jù)安全運(yùn)營體系通過賽事側(cè)、場館側(cè)場景化調(diào)優(yōu)與持續(xù)運(yùn)營，優(yōu)化數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測模型，持續(xù)進(jìn)行新業(yè)務(wù)場景的風(fēng)險(xiǎn)評估與閉環(huán)。

杭州亞運(yùn)的數(shù)據(jù)安全防護(hù)整體設(shè)計(jì)上，通過在競賽場館側(cè)通過堡壘機(jī)、數(shù)據(jù)庫安全網(wǎng)關(guān)、數(shù)據(jù)庫審計(jì)、一體化終端安全管控系統(tǒng)、網(wǎng)絡(luò)防泄漏管理運(yùn)維層面的數(shù)據(jù)訪問權(quán)限控制，防范多角色用戶接入層面的數(shù)據(jù)泄露安全風(fēng)險(xiǎn)。賽事系統(tǒng)側(cè)應(yīng)用云上數(shù)據(jù)安全資源池，防護(hù)數(shù)據(jù)訪問使用中的篡改、泄露、異常請求事件。在賽事運(yùn)營側(cè)，通過統(tǒng)一數(shù)據(jù)安全管控平臺，實(shí)現(xiàn)數(shù)據(jù)安全態(tài)勢一屏通覽，持續(xù)監(jiān)測涉亞系統(tǒng)的數(shù)據(jù)安全態(tài)勢。

安恒信息在云上數(shù)據(jù)安全防護(hù)能力上提供了敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)脫敏、數(shù)據(jù)調(diào)用接口監(jiān)測、數(shù)據(jù)訪問權(quán)限精細(xì)管控、敏感數(shù)據(jù)防泄漏、整體態(tài)勢感知能力，針對亞運(yùn)防護(hù)難點(diǎn)，覆蓋對應(yīng)5個主要業(yè)務(wù)場景。

一、敏感數(shù)據(jù)發(fā)現(xiàn)與梳理

涉亞49個核心業(yè)務(wù)系統(tǒng)大量異構(gòu)數(shù)據(jù)源，多種數(shù)據(jù)庫中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。其中票務(wù)、注冊中心等業(yè)務(wù)系統(tǒng)中含有大量運(yùn)動員、注冊人員、觀眾、工作人員等個人信息敏感信息。

整體設(shè)計(jì)規(guī)劃上：安恒信息結(jié)合數(shù)安法、個人信息保護(hù)法等上位法要求，結(jié)合北京奧運(yùn)會、G20峰會、成都大運(yùn)會等過往重保成功經(jīng)驗(yàn)，制定了一套契合杭州亞運(yùn)會現(xiàn)狀的《重大賽事數(shù)據(jù)安全分類分級標(biāo)準(zhǔn)》，作為系統(tǒng)化梳理全量數(shù)據(jù)的標(biāo)準(zhǔn)規(guī)范。

技術(shù)保障上：將云與數(shù)據(jù)安全深度耦合，通過與阿里云賬號體系的打通，全面對接ODPS、RDS、OSS等云上服務(wù)模塊，做到資產(chǎn)的自同步。同時(shí)引入AI大模型進(jìn)行敏感數(shù)據(jù)建模，通過大量數(shù)據(jù)的學(xué)習(xí)，敏感數(shù)據(jù)精確識別率達(dá)到95%以上。

后續(xù)應(yīng)用上：將敏感數(shù)據(jù)精確識別、分類分級后，會基于等級進(jìn)行敏感數(shù)據(jù)打標(biāo)，為后續(xù)數(shù)據(jù)安全防護(hù)與監(jiān)測奠定基礎(chǔ)，不同等級的敏感數(shù)據(jù)后續(xù)在跨系統(tǒng)調(diào)用、人員讀取時(shí)進(jìn)行不同等級的管控措施。同時(shí)打通分類分級與其他數(shù)據(jù)安全產(chǎn)品，實(shí)現(xiàn)直接把分類分級的結(jié)果同步給像脫敏、網(wǎng)關(guān)等其他數(shù)據(jù)安全能力設(shè)備，作為下一步處置的基礎(chǔ)條件。

二、數(shù)據(jù)資產(chǎn)運(yùn)維安全

本次亞運(yùn)會合作商眾多，涉及不同維度、多層面的系統(tǒng)維護(hù)保障工作，數(shù)據(jù)范圍十分廣泛。因此需要負(fù)責(zé)開發(fā)運(yùn)維的人員也繁多，因此如何精準(zhǔn)管控運(yùn)維動作、實(shí)時(shí)發(fā)現(xiàn)高峰風(fēng)險(xiǎn)操作并能夠及時(shí)處理將會變得十分關(guān)鍵。

針對數(shù)據(jù)資產(chǎn)運(yùn)維安全，安恒信息構(gòu)建起“身份權(quán)限管控+數(shù)據(jù)處理管控”的雙重保障機(jī)制。一方面，運(yùn)維人員全部要通過浙政釘掃碼登陸，進(jìn)行身份認(rèn)證，獲取唯一的權(quán)限賬號，保證專人、專賬號、專權(quán)限，一旦發(fā)生問題，能夠快速定位人員進(jìn)行精準(zhǔn)回溯。另一方面，通過數(shù)據(jù)安全安全網(wǎng)關(guān)對于通過SQL語句對數(shù)據(jù)庫進(jìn)行的操作進(jìn)行細(xì)顆粒度管控，結(jié)合前面場景講到的分類分級結(jié)果的同步，針對高敏感數(shù)據(jù)的運(yùn)維操作進(jìn)行風(fēng)險(xiǎn)告警或向上審批的不同防護(hù)機(jī)制。同時(shí)實(shí)現(xiàn)操作過程錄像、操作命令記錄、傳輸文件備存等功能，便于后期全面審計(jì)溯源。

三、數(shù)據(jù)共享交換安全

當(dāng)前產(chǎn)業(yè)數(shù)字化發(fā)展如火如荼，數(shù)據(jù)的傳遞也從1.0階段的表格復(fù)制共享，到2.0階段的前置機(jī)文件共享交換，慢慢到3.0階段通過API接口進(jìn)行調(diào)用。因此如何加強(qiáng)對于API的監(jiān)控，對于數(shù)據(jù)安全的管控來說異常關(guān)鍵。

為做好數(shù)據(jù)的交換管控：首先方案中先對于API接口資產(chǎn)進(jìn)行精確識別，通過對報(bào)文頭的檢測有效區(qū)分URL靜態(tài)地址與Restful API接口資產(chǎn)，防止出現(xiàn)大量無效告警，影響運(yùn)維人員的判斷；其次對于API接口調(diào)用流量進(jìn)行雙向識別，通過與分類分級能力的打通，對于回包流量中的敏感數(shù)據(jù)進(jìn)行精確定位；同時(shí)，安恒信息通過與阿里云的深度合作解決了云上租戶業(yè)務(wù)引流的難題，通過與阿里云ODPS的對接，實(shí)現(xiàn)了無agent情況下的流量解析分析。

四、辦公網(wǎng)數(shù)據(jù)防泄漏

辦公網(wǎng)場景是最容易發(fā)生數(shù)據(jù)泄露的場景之一。辦公網(wǎng)涉及人員眾多，場館辦公場所條件不一，導(dǎo)致辦公網(wǎng)的管控措施難以有效落地。針對此場景，我們首先進(jìn)行了泄露路徑的盤點(diǎn)，主要分兩大類，一類是通過網(wǎng)絡(luò)流量側(cè)的泄露（如：IM軟件、郵件等），另一類是終端側(cè)的泄露（如：U盤、移動硬盤等外設(shè)，以及攝屏）。緊接著便基于不同的路徑進(jìn)行針對性措施加以管控，網(wǎng)絡(luò)側(cè)封堵各類即時(shí)通訊軟件發(fā)送模式，基于郵件的發(fā)送做好流量審計(jì)；終端側(cè)通過一體化終端辦公組件的加持，對接入用戶進(jìn)行認(rèn)證、殺毒和外接終端的安全監(jiān)測。同時(shí)通過暗水印的方式做好屏攝的回溯審計(jì)，有效震懾此類泄露行為。

除了對于外泄途徑的管控，辦公網(wǎng)場景方案還進(jìn)行了防護(hù)左移，終端用戶接入賽事AGIS專網(wǎng)之前，除了通過浙政釘進(jìn)行身份認(rèn)證以外，還通過agent進(jìn)行了終端環(huán)境的安全感知，檢查終端運(yùn)行狀態(tài)，評估運(yùn)行環(huán)境達(dá)到安全要求后，才會基于權(quán)限放開后端應(yīng)用的訪問。

五、數(shù)據(jù)安全監(jiān)測與審計(jì)

前面分類分級、運(yùn)維、共享交換、辦公網(wǎng)是整個亞運(yùn)安保過程中最重要的幾個細(xì)分場景，那如何將亞運(yùn)數(shù)據(jù)安全態(tài)勢做整體呈現(xiàn)？這時(shí)候就要發(fā)揮整體監(jiān)測審計(jì)的能力了，通過數(shù)據(jù)安全管控平臺與各數(shù)據(jù)安全探針的對接，能夠?qū)鲳^側(cè)、賽事側(cè)、供應(yīng)鏈服務(wù)商側(cè)的數(shù)據(jù)安全狀態(tài)進(jìn)行一體化展示，真正的做到了數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢的一屏通覽。

通過數(shù)據(jù)的匯集，也可以從最前端用戶通過應(yīng)用對數(shù)據(jù)的調(diào)用動作，到通過應(yīng)用中間件對相應(yīng)API接口發(fā)起訪問，到最終通過SQL語句對于數(shù)據(jù)庫落盤數(shù)據(jù)進(jìn)行訪問的全鏈條數(shù)據(jù)行蹤鏈進(jìn)行梳理，真正做到數(shù)據(jù)全生命周期的血緣分析，理清風(fēng)險(xiǎn)脈絡(luò)。同時(shí)數(shù)據(jù)安全管控平臺也可以通過與探針的對接，基于風(fēng)險(xiǎn)類別，一鍵下發(fā)處置策略，高效完成數(shù)據(jù)安全風(fēng)險(xiǎn)的操作閉環(huán)。

同時(shí)，安恒信息在本次云棲大會云安全產(chǎn)品板塊展出了安恒云安全的整體解決方案，通過底層等保合規(guī)、云數(shù)據(jù)安全、商用密碼、攻防實(shí)戰(zhàn)等原子能力，構(gòu)建面向公有云、私有云、混合云、行業(yè)云、邊緣云等全場景云安全方案。同時(shí)靈活提供安全托管服務(wù)MSS、在線SaaS安全服務(wù)的服務(wù)模式，解決客戶上云過程中的安全建設(shè)和安全運(yùn)營問題。