一种面向政务敏感数据安全行为风险分析方法与流程

1.本发明涉及计算机应用技术领域，尤其涉及一种面向政务敏感数据安全行为风险分析方法。


背景技术：

2.随着数字化的发展，使得政务行业内部的数据应用和流动变得更加广泛和频繁，数据流动更加多样化。不同应用之间数据的调用、数据开放为其他政务业务部门进行分析使用、外部协作伙伴数据的共享交互带来便利的同时，也存在许多的安全隐患，特别是对敏感数据的流转途径不清，难以实时掌握敏感数据的各种流转途径，也就无法有效实施流动途径中的安全管控，无法感知敏感数据流转中可能存在的各类风险，包括敏感数据泄露风险难以感知，此类风险主要集中于内部违规、第三方及协作伙伴对敏感数据的恶意行为与企图，这部分行为混在在正常业务行为中，难以区分与识别。通过参照《gb/t37973—2019信息安全技术大数据安全管理指南》的安全要求，对相应的公开数据、个人数据、重要数据等进行数据资产识别与分析，在通过数据安全风险评估后，进行威胁识别、脆弱性识别、风险分析。
3.现有技术中，如在先申请“202011426500.3”的专利文件中公开了以带权限数据服务方式进行敏感数据开放，以封闭的容器系统作为数据处理工厂，以严密的审核流程作为防止数据泄露的保障，以底层非对称加密运行结果的方式保护用户成果的私有性，以自动调整的运行管理系统对容器进行动态调度，保证运行管理系统稳定运行，以一站式的服务门户为数据使用者提供简易的操作和挖掘工具；通过此方法既保护政务开放的敏感数据不被泄露、篡改和二次分发，又保障数据拥有较高的质量，满足数据使用者对政务开放敏感数据进行使用和挖掘的需求。
4.现有政务开放敏感数据的实现方法及系统存在如下缺陷：对公开数据、敏感数据的流动，无法进行实时的、可视化的监测与感知风险，同时也无法展示当前敏感数据的流转总量(条数)、访问敏感数据的用户数、涉及敏感数据传输的接口数量、风险行为数量，也无法通过关联敏感数据的类型分布、数量占比、与涉及敏感数据传输的接口清单进行联动的风险分析；例如：应用和接口的全景视图能够根据六何分析法(wwwwwh，5w1h)的方式展示该接口被谁，在什么时间，访问了哪些敏感数据，关联的风险类型等信息，因此针对以上问题，迫切需要设计出一种面向政务敏感数据安全行为风险分析方法，以满足实际使用的需要。


技术实现要素：

5.为了解决以上技术问题，本发明提供了一种面向政务敏感数据安全行为风险分析方法，实现可视化的安全监管，达到辅助安全管理人员进行敏感数据流转的性质和动机判断的目的；内嵌常见的数据安全风险规则，进行风险分析，以可视化图表展示界面，对敏感数据安全规范的及时预警及数据查看，实现对敏感数据流的及时监控、检查和整改，全面保障政务敏感数据安全使用。
6.本发明所解决的技术问题可以采用以下技术方案实现：
7.本发明提供一种面向政务敏感数据安全行为风险分析方法，包括：
8.步骤s1，监控所述交换机上的实时传输数据，并对所述实时传输数据进行涉敏资产识别，得到涉敏资产以及对应的关联涉敏资产，所述涉敏资产包括涉敏应用、涉敏接口、涉敏用户；
9.步骤s2，预置有风险策略，所述风险策略包括至少一条风险规则，根据预置的风险策略对识别得到的所述涉敏资产和所述关联涉敏资产进行风险分析，在满足命中任意一条所述风险规则时即命中所述预置的风险策略，并输出风险分析结果；
10.步骤s3，根据所述风险分析结果进行风险审计。
11.优选地，所述步骤s1之前，还包括：
12.采集所述交换机上的旁路网络流量；
13.对所述旁路网络流量进行预处理，预处理包括过滤、去重、解析、归一化；
14.从预处理后的所述旁路网络流量中提取所述实时传输数据。
15.优选地，所述步骤s1中，对交换机上的实时传输数据进行涉敏资产识别，具体包括：
16.对所述涉敏资产的任意一项进行配置，得到所述涉敏资产对应的识别字段；
17.根据所述识别字段对所述实时传输数据进行识别，得到所述实时传输数据涉及到的所述涉敏资产；
18.基于用户和实体行为分析法对所述涉敏资产中所述涉敏应用、所述涉敏接口以及涉敏用户之间的数据流转关系进行分析，得到所述关联涉敏资产。
19.优选地，所述步骤s1中，监控所述交换机上的实时传输数据，具体包括：
20.监控所述实时传输数据中是否存在敏感数据，形成流量日志，并存储；以及
21.监控所述实时传输数据中是否存在异常请求和操作，并形成风险日志。
22.优选地，所述步骤s2中，具体包括：
23.根据所述预置的风险策略和所述风险规则进行匹配，得到命中的所述流量日志，包括在所述风险分析结果中，并通过可视化图表页面展示，所述风险分析结果中还包括风险信息，所述风险信息包括风险等级、行为名称、发生时间、关联的涉敏用户、关联的涉敏接口等信息。
24.优选地，所述步骤s2中，具体包括：
25.配置至少一个风险策略，所述风险策略包括：策略名称、风险规则、风险等级、各所述风险策略的优先级以及策略状态；所述风险规则包括：规则名称、规则生效的接口、命中条件，所述命中条件包括参数指标和/或参数指标和/或时间指标和/或数据指标；
26.根据配置好的所述至少一个风险策略生成所述预置的风险策略。
27.优选地，所述步骤s2中，在满足任意一条所述风险规则时即命中所述预置的风险策略，具体包括：
28.满足配置的所有所述参数指标即为命中所述风险规则；和/或
29.满足配置的其中一所述时间指标即为命中所述风险规则，所述时间指标包括请求时间和/或响应时间；和/或
30.满足配置的其中一所述数据指标即为命中所述风险规则，所述数据指标包括银行
卡号、身份证号、电子邮箱、手机号、银行名称、姓名、家庭住址、固定电话中的一种或多种组合。
31.优选地，所述风险策略还包括自定义的敏感数据标签；
32.所述步骤s2中，还包括：
33.根据所述自定义的敏感数据标签实时同步更新所述数据指标。
34.优选地，还包括：
35.基于大数据进行数据存储，同时预留一外部数据接口，用以关联外部设备。
36.优选地，所述步骤s3中，具体包括：
37.根据配置的审计信息对风险分析过程以及所述风险分析结果进行审计管理，审计管理包括风险数据留痕、风险检索溯源及风险分析报表。
38.本发明的有益效果在于：
39.本发明能够实时监控到敏感数据的安全风险问题并进行分析；针对政务敏感数据的使用行为进行研判，进行数据资产的敏感数据识别，并自动化梳理敏感资产，辅助安全管理人员进行敏感数据流转的性质和动机判断；运用关联风险策略与风险规则，对涉敏资产中的敏感数据进行风险识别与分析，并以可视化形式展现分析结果。
附图说明
40.图1为本发明中，一种面向政务敏感数据安全行为风险分析方法的流程示意图；
41.图2为本发明中，政务敏感数据安全行为风险分析具体实施例的核心结构示意图；
42.图3为本发明中，政务敏感数据安全行为风险分析具体实施例的功能结构示意图；
43.图4为本发明中，政务敏感数据安全行为风险分析方法的实现系统具体实施例的旁路部署示意图。
具体实施方式
44.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
45.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
46.下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。
47.本发明提供一种面向政务敏感数据安全行为风险分析方法，属于计算机应用技术领域，参见图1
‑
4，方法包括如下步骤：
48.步骤s1，监控交换机上的实时传输数据，并对实时传输数据进行涉敏资产识别，得到涉敏资产以及对应的关联涉敏资产，涉敏资产包括涉敏应用、涉敏接口、涉敏用户；
49.步骤s2，预置有风险策略，风险策略包括至少一条风险规则，根据预置的风险策略对识别得到的涉敏资产和关联涉敏资产进行风险分析，在满足命中任意一条风险规则时即命中预置的风险策略，并输出风险分析结果；
50.步骤s3，根据风险分析结果进行风险审计。
51.作为优选的实施方式，步骤s1之前，还包括：
52.采集交换机上的旁路网络流量；
53.对旁路网络流量进行预处理，预处理包括过滤、去重、解析、归一化；
54.从预处理后的旁路网络流量中提取实时传输数据。
55.具体的，如图4所示，政务网络中包括用户区和应用系统，应用系统包括但不限于办公自动化流程管理oa、业务运营支撑系统boss、客户关系管理crm、企业资源计划管理erp；用户区的用户使用行为包括但不限于浏览器访问、api访问、数据拉取；用户区和应用系统通过依次连接的核心交换机、交换机从数据库中获取政务数据，在本实施例中，面向政务敏感数据安全行为风险分析方法的实现系统采用旁路部署方式，直接连接交换机，无需在数据库或应用服务器上安装流量探针，无需增加额外网络设备，也无需对现有的网络结构进行改造，不会影响网络和业务系统的结构，更为优选的，无需与业务系统对接，与数据库、应用服务器之间没有数据交互过程，更不需要数据库/应用服务器提供用户名密码。
56.采集旁路网络流量，通过流量采集过滤模式，对相应的流量进行去重，然后进行解析，最后归一化处理得到需要的实时传输数据，解析过程包括：解析http协议的请求(request body)与响应(response body)，从而实现对接口和应用进行两个维度的监控，一是监控接口中传输的敏感数据并形成储存成流量日志，二是监控接口是否存在异常请求和操作，并形成风险日志。
57.进一步的，还可以通过应用泄露风险监测系统来监控实时传输数据对应的敏感数据类型、数据量、接口、账号、用户账号ip等相关信息。
58.作为优选的实施方式，步骤s1中，对交换机上的实时传输数据进行涉敏资产识别，具体包括：
59.对涉敏资产的任意一项进行配置，得到涉敏资产对应的识别字段；
60.根据识别字段对实时传输数据进行识别，得到实时传输数据涉及到的涉敏资产；
61.基于用户和实体行为分析法对涉敏资产中涉敏应用、涉敏接口以及涉敏用户之间的数据流转关系进行分析，得到关联涉敏资产。
62.作为优选的实施方式，步骤s1中，监控交换机上的实时传输数据，具体包括：
63.监控实时传输数据中是否存在敏感数据，形成流量日志，并存储；以及
64.监控实时传输数据中是否存在异常请求和操作，并形成风险日志。
65.作为优选的实施方式，步骤s2中，具体包括：
66.根据预置的风险策略和风险规则进行匹配，得到命中的流量日志，包括在风险分析结果中，并通过可视化图表页面展示，风险分析结果中还包括风险信息，风险信息包括风险等级、行为名称、发生时间、关联的涉敏用户、关联的涉敏接口等信息。
67.作为优选的实施方式，步骤s2中，具体包括：
68.配置至少一个风险策略，风险策略包括：策略名称、风险规则、风险等级、各风险策略的优先级以及策略状态；风险规则包括：规则名称、规则生效的接口、命中条件，命中条件包括参数指标和/或参数指标和/或时间指标和/或数据指标；
69.根据配置好的至少一个风险策略生成预置的风险策略。
70.作为优选的实施方式，步骤s2中，在满足任意一条风险规则时即命中预置的风险策略，具体包括：
71.满足配置的所有参数指标即为命中风险规则；和/或
72.满足配置的其中一时间指标即为命中风险规则，时间指标包括请求时间和/或响应时间；和/或
73.满足配置的其中一数据指标即为命中风险规则，数据指标包括银行卡号、身份证号、电子邮箱、手机号、银行名称、姓名、家庭住址、固定电话中的一种或多种组合。
74.作为优选的实施方式，风险策略还包括自定义的敏感数据标签；
75.步骤s2中，还包括：
76.根据自定义的敏感数据标签实时同步更新数据指标。
77.作为优选的实施方式，还包括：
78.基于大数据进行数据存储，同时预留一外部数据接口，用以关联外部设备。
79.具体的，在本实施例中，本发明中整体的敏感数据安全行为分析，基于大数据的数据存储，同时预留出外部数据接口，通过外部数据接口可以直接关联第三方应用。
80.作为优选的实施方式，步骤s3中，具体包括：
81.根据配置的审计信息对风险分析过程以及风险分析结果进行审计管理，审计管理包括风险数据留痕、风险检索溯源及风险分析报表。
82.于上述较佳的实施例中，本发明包括涉敏资产识别配置、风险策略管理和风险分析。
83.进一步的，涉敏资产识别配置包括：涉敏应用配置、涉敏接口配置、敏感数据标签配置；
84.系统内存在敏感数据流转的应用列表，涉敏应用一般默认为根据该应用内的明暗数据访问量条数正续排序，越靠近前面的应用越需要关注，其对应的风险相应也越高。在对涉敏应用进行配置的过程中，相应的配置字段包括应用名称、监控流量(gb)、数据访问量、接口数量、标签、数据类型；安全管理人员可在应用管理中补全的应用名称，若未补全，则以统一资源定位符(uniform resource locator，url)的方式默认显示，例如应用url；监控流量(gb)为配置的应用下的所有接口在选择的时间段内所有的http访问流量合集；数据访问量为在选择的时间段内，该应用下的所有接口中所传输的所有数据类型的书条数，这里的数据访问量不需要进行去重处理；接口数量为统计的该应用下的接口数量，在敏感数据安全行为风险分析过程中，这里的接口数量可以是在选择的时间段内的该应用下涉及到敏感数据使用行为的接口数据；标签为在应用管理中定义的标签；数据类型为该应用下的所有接口在选择的时间段内从流量日志中解析出来的数据类型，这里的数据类型是经过去重处理后的。
85.涉敏接口同样也是上述应用下的接口，上述涉敏应用统计的是整个应用下的所有接口，而对涉敏接口配置的目的是单独统计的单一接口的敏感数据访问情况，该涉敏接口可以是一个涉敏应用下的某一个接口，也可以是多个涉敏应用中的同一类型的接口，涉敏接口配置的其他功能操作与涉敏应用配置类似，在此不再赘述。
86.系统内的涉敏用户能够展示所有的账号或者ip的关联的敏感数据访问情况，根据用户访问的敏感数据量从高到低排序。
87.提供了自定义敏感数据标签的功能，系统中预先内置有部分敏感数据标签，包括但不限于银行卡号、身份证号、电子邮箱、手机号、银行名称、姓名、家庭住址、固定电话等之
类的标签，也可以点击新增，自定义敏感数据标签，优选的，敏感数据标签的自定义类型只支持正则表达式。
88.于上述较佳的实施例中，在涉敏资产识别过程中，提供涉敏应用、涉敏接口、账号、ip的清单，并通过可视化图表将涉敏应用、涉敏接口、账号的画像呈现出来。优选的，基于用户和实体行为分析技术，通过可视化交互展示用户与接口以及应用的数据流转关系。
89.进一步的，风险策略管理中包括：风险策略配置、风险规则配置、敏感数据标签配置；
90.系统内命中的风险都是基于预设的风险策略，命中策略之后，就会产生风险，对风险策略进行配置的过程中，策略字段包括策略名称、策略描述、风险规则、风险等级、策略优先级以及策略状态；策略名称为必填项，设置策略名称，用以在后续过程中展示；策略描述为非必填项，策略描述是为了对风险策略进行解释与描述；预设的风险策略中预置有风险规则，也可以新增规则，或者修改现有的规则，在配置风险策略时可以选择一条或一条以上的风险规则，风险规则与风险规则之间是“或”的关系，即只需要命中其中一条风险规则，该风险策略即被命中。风险等级：用以设置该风险策略的风险等级；通过风险等级的设置，在分析过程中包括但不限于可以基于风险等级查询对应风险结果，还可以统计风险结果概览中的风险等级。每一风险策略对应于一风险优先级，在预置的风险策略中可以配置有多个风险策略，若多个风险策略中包含有同一条风险规则且均以该风险规则命中，则以优先级高的风险策略先命中；策略状态包括开启与关闭的状态，在配置预置的风险策略过程中，通过切换风险策略的开启与关闭状态，简化风险策略的配置过程。
91.风险规则是风险策略的组成部分，风险策略只设置名称、危险等级这些公共参数，具体规则内容需要在风险规则中设置。在风险规则配置中，风险规则包括基本信息，例如规则名称、规则描述，通过文本输入的方式实现规则名称、规则描述的设置；除了基本信息之外，还包括接口设置、命中条件设置；接口设置中提供接口列表，通过列表选择接口，可选择多个接口，被选中的接口表示当前配置的规则对选中的接口生效；也可以不选，若不选择接口，则默认为当前配置的规则对所有接口生效；优选的，还可对接口进行分类，以选择对应的接口，接口分类包括但不限于全部接口、按照应用选择、按照标签选择。
92.风险规则中包括至少一个命中条件，命中条件包括参数指标和/或参数指标和/或时间指标和/或数据指标；
93.其中，通过在http协议中注入点以获得参数指标，参数指标包括x
‑
forwarded
‑
for、cookie、method、referer、user
‑
agent请求头、内容类型content
‑
type；
94.x
‑
forwarded
‑
for，简称xff头，它代表客户端，用于记录代理信息的，每经过一级代理(匿名代理除外)，代理服务器都会把这次请求的来源ip追加在x
‑
forwarded
‑
for中；
95.cookie是指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)；
96.method：http中常用的方法包括例如get，post，head等；
97.referer是http header的一部分，当浏览器请求网页时，会自动携带一个请求来源，如果后端存在交互，则会引发注入问题的产生。
98.user
‑
agent请求头，该请求头携带的是用户浏览器的标识信息，如果此时带入数据库查询，则同样会触发注入问题的产生。
99.参数指标的逻辑条件只包括“等于”、“不等于”，且参数指标不允许重复输入；当指标名称、指标逻辑、指标的值三者完全一致，即为重复输入，在重复的部分输入空间下方使用红色文字提示“当前已存在同样的指标”100.一条风险规则中可以设置多个参数指标，多个参数指标之间是“and”的关系，即只有参数指标全部命中时，才表示该风险规则被命中，触发规则。
101.时间指标包括：请求时间request time和/或响应时间response time；一条风险规则中可以设置多个时间指标，多个时间指标之间是“或”的关系，设置多条，命中其中一条就可以命中规则；时间指标的逻辑条件只有“等于”、“不等于”，且时间指标同样不允许重复输入，当指标名称、指标逻辑、指标的值完全一致时，在重复的部分输入空间下方用红色文字提示“当前已存在同样的指标项”。
102.数据指标包括但不限于银行卡号、身份证号、电子邮箱、手机号、银行名称、姓名、家庭住址、固定电话，需注意的是，数据指标与敏感数据标签可启动实时同步功能，若对敏感数据标签进行修改，需同步到数据指标中，修改包括但不限于例如新增或者关闭。数据指标的逻辑条件包含：等于、大于、小于、大于等于、小于等于。当逻辑条件为“等于”时，对应的具体值或数量的下拉列表中可以选择值或者数量；当逻辑指标为除“等于”之外的条件，对应的具体值或者数量列表只能选择数量，不能选择值。
103.进一步的，风险分析包括风险关联、风险结果分析；
104.风险关联用于实现对涉敏资产识别、风险策略管理的关联，以支持风险分析，风险结果包括如下字段：
105.命中时间(即发生时间)：命中预置的风险策略的时间；
106.风险等级：命中的预置的风险策略的等级；
107.用户账号：命中风险策略的日志中关联的账号；
108.用户ip：命中风险策略的日志中关联的源ip；
109.数据访问量：命中风险策略的日志中访问的敏感数据类型；
110.关联接口：命中风险策略的日志中关联的接口名称；
111.详情：下钻到风险详情。
112.风险结果分析主要包括风险等级、风险行为占比、以及切换的风险日志列表；其中，风险等级包括高风险、中风险、低风险以及无风险(即信任)，用以统计四种风险等级的风险数量，一般默认为按照高风险
‑
中风险
‑
低风险
‑
信任排序，风险等级以及对应的数值区域与统计的数据进行联动，通过设置风险等级的查询条件实现风险查询，可以在高中低信任之间切换，得到各风险等级对应的风险数量。
113.具体的，在分析过程中，还包括：通过环比算法计算风险等级的环比增长率，即风险发生量以及与上期对比的百分比，能够反映本期比上期增长了多少，采用下述公式计算得到环比增长率：
114.环比增长率＝(本期数
‑
上期数)/上期数
×
100％；
115.其中，当上期期数为0时，统计数值显示为
“‑‑”
，表示数学层面无法统计；
116.本期即为当前的周期(即当前选择的时间段)，上期即为本期减去一个周期，例如：本期为今天，上期即为今天的上一期，具体为今天的开始时间和结束时间各减去24小时。
117.通过图表的方式展示风险分析的结果，例如采用饼状图展示当前选择的风险等级
下的具体风险类型的数量占比，即风险行为占比；
118.进一步的，选中饼状图右侧的风险行为类之后，通过折线图同步展示该类型的风险行为的数据走势。
119.于上述较佳的实施例中，通过上述技术方案可以事前对敏感资产识别发现，及相应的安全脆弱性评估；事中监控，通过敏感数据的流转使用过程匹配相应的风险策略、风险规则以及进行安全基线分析，通过安全风险统计分析功能模块作为事中监控过程的输出；事后审计，通过风险数据留痕、风险检索溯源及风险分析报表，作为风险识别分析的安全审计的输出；通过事前发现、事中监控、事后审计的安全风险管理原则进行统一管理。
120.现提供以下几种使用场景对本发明进行阐释和说明：
121.场景一：api接口鉴权失效：能够提供规则引擎，在配置风险规则时可以将无权限访问的某个接口的源ip录入风险规则中，一旦监控到该接口的源ip产生的访问行为并且在敏感数据识别过程中发现涉及到敏感数据访问，即可发出预警。
122.场景二：敏感信息展示不当：监控交换机上的旁路网络流量，通过自带的敏感数据识别能力监控api接口中传输的敏感数据类型以及数据量等相关信息，一旦存在伪脱敏或者未脱敏的数据在api中传输即可发出预警。
123.场景三：过量数据暴露风险：在配置风险规则时针对敏感数据类型和敏感数据量进行规则设置，例如具体需要告警的哪些敏感数据类型，以及对应的具体数量，一旦涉及到敏感数据类型并且数据量级超过阈值的访问行为即可发出告警。
124.场景四：第三方应用通过api接口违规留存数据：可对第三方应用的接口以及合作伙伴的接口源ip进行标签管理，通过选择标签或自定义标签对第三方合作伙伴和对外接口单独设置风险策略，一旦涉及到单次访问敏感数据量级超过阈值或者累计访问敏感数据量级超过阈值即可发出告警。
125.本发明的有益效果在于：
126.本发明能够实时监控到敏感数据的安全风险问题并进行分析；针对政务敏感数据的使用行为进行研判，进行数据资产的敏感数据识别，并自动化梳理敏感资产，辅助安全管理人员进行敏感数据流转的性质和动机判断；运用关联风险策略与风险规则，对涉敏资产中的敏感数据进行风险识别与分析，并以可视化形式展现分析结果。
127.以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。