极盾·觅踪是极盾科技自研的数据安全零信任平台，通过分析企业内部人员操作行为，扫描业务操作涉及的核心数据资产，构建围绕业务和人员的零信任数据安全体系。结合可视化业务场景埋点，模块化风险指标算法，企业内控策略模型(UEBA)，敏感数据发现模型，自动化业务数据分类分级机制等，有效降低、控制企业由内部人员造成的数据泄露风险。

 

一、产品特性：

极盾·觅踪旨在针对企业业务系统的“数据流通使用”场景，进行免改造、无感知、细粒度安全管控，其产品特性主要有以下三点：

1、建立统一管控闸口，免改造应用实现数据安全管控。通过设置统一网关链路闸口，实现敏感数据识别、数据分类分级、风险监测、动态脱敏、访问控制、水印保护等“硬管控“，满足数据使用阶段合规监管要求，同时不需要应用系统改造，最大程度降低安全管控成本。

2、建立基于属性的访问控制 （ABAC） 机制。

结合访问主体的属性信息（部门、岗位、职责等）、访问数据的属性信息（数据类型、安全等级、量级等）和访问环境信息（业务场景、行为状态、所处环境等）等因素动态管控敏感数据，遵循监管要求的权限最小化、数据最小够用原则，灵活适应多种复杂场景下的数据使用安全管控。

3、采集数据使用全链路审计信息，构建“数据驱动安全〞的主动防护体系。

通过全面采集用户使用数据的行为、数据自身属性、人员信息、权限分配等链路监控信息，构建数据安全态势感知能力，结合机器学习、大数据分析等能力，实现事中风险的动态监控预警及事后的泄漏跟踪溯源。极盾·觅踪始终以人为主体，业务为基准，用户实体行为分析（UEBA）为抓手，面向企业数据使用全场景构建一站式安全防护体系。内置丰富的数据风险策略模型，让数据安全更加高效简单。

 

二、建设目的

基于《数据安全能力成熟度模型》国家标准中相关要求，数据安全整体建设围绕数据全生命周期展开。全生命周期包含：数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁等六个过程。

其中“数据使用安全”关注数据使用方对数据相关操作的安全管理，关注不同处理场景、平台的安全策略的实施，是全生命周期安全建设的重中之重，主要因素体现在三方面：

数据本身可分为动态和静态，绝大部分风险来源于数据动态流动使用过程中。

从暴露面角度分析，数据使用过程最为复杂，涉及人员最多，暴露面最大，风险相对也最高。

建设基础层面，数据使用和共享保护措施薄弱，其余部分如采集、存储等相对建设难度低，且在网络安全建设阶段有一定基础。

基于以上国内政策要求现状，基于数据安全建设的必要性和紧迫性，结合当前数据安全管理现状，研发数据使用安全管控平台-极盾·觅踪。

 

三、主要内容

   “数据使用安全”作为数据全生命周期安全建设的重中之重，涉及场景众多，且也业务开展息息相关，所以建设难度较大。

     数据使用安全建设围绕使用数据过程中“谁在用”、“怎么用”、“用的什么”三个基础问题，有机融合调研、技术、管理手段，最终形成有效的运营管控体系，从而保障数据的安全使用。具体建设内容如下：

（1）“谁在用”

核心需要解决访问主体识别问题，具体建设分为两方面：

业务梳理：通过调研梳理相关各个软件系统及业务应用的人员权限、组织架构等情况，明确账号、部门、角色、权限等一系列相关属性信息。从而掌握各类应用系统中“访问主体”相关情况。

技术对接：平台建设“组织架构对接”、“应用权限接入”模块，把梳理的账号、角色、权限、组织架构等信息通过接口或文件等方式输入到数据安全管理平台，从而实现“访问主体”的信息化留存。以便后续安全分析监控过程中充分应用“访问主体”相关属性信息。

 

（2）“用的什么”

核心需要解决访问对象识别问题，具体建设分为两方面：

业务梳理：通过调研梳理不同应用数据情况，进行数据资产梳理，定义“敏感数据”范畴，进行初步的“分类分级”尝试工作。

技术对接：平台建设“敏感数据标记”模块，支持通过内置算法模型以及自定义策略规则，识别并主动标记各类重要敏感数据，从而实现数据使用过程中的“访问对象”识别。为基于不同数据安全等级建立不同的防护手段打好基础。

 

（3）“怎么用”

核心需要解决访问行为采集问题，具体建设分为两方面：

业务梳理：通过调研梳理各类数据使用场景及其风险，从账号、权限、接口、敏感数据暴露面等多维度进行数据安全风险评估，形成数据安全审计策略体系，同时梳理数据安全管理、审批流程。

技术对接：分为四部分，一是通过“应用对接”模块建设，通过主动或被动采集方式，实现精细化的“数据使用行为”采集；二是通过“安全策略分析”建设，围绕具体数据使用场景构建场景化监控策略体系，有效识别并审计各类数据使用行为的风险；三是通过“安全防护”建设，通过脱敏、水印、风险告警、风险处置等功能，实现风险识别后的响应防护，从而保障数据的安全使用；四是“安全管理”建设，通过安全知识库、安全审批、辅助决策等模块建设，将安全分析能力与安全管理流程相融合，从而实现一体化的安全管理。

 

四、产品整体架构

数据使用安全管控系统纵深按照四维一体的防御方式进行分层构建，即：数据收集、资产梳理、安全分析、安全运营四个层面的能力建设，覆盖重要系统数据使用过程实现全面防护：

（1）数据采集层：负责用户行为数据的采集和增强数据的加载。采集用户行为数据，并对接人员组织架构、账号权限、在职状态等数据。

（2）资产梳理层：数据预处理层主要负责对数据采集层中采集进来的用户行为数据进一步处理，识别出其中包含的各类敏感数据、API接口、用户账号等信息，并对敏感数据进行分类分级打标以及关联各类增强数据。通过该层处理后的用户行为数据将包含非常丰富的字段和上下文信息。

（3）安全分析和防护层：安全分析和防护层主要负责对数据预处理层处理后的用户行为数据进行实时分析，并根据系统配置对接入的应用进行实时的安全防护。安全防护引擎根据预先的配置和实时决策分析引擎分析发现的风险，通过网关和JS软探针，对应用进行实时防护，降权或者阻断某些用户的风险行为。

（4）安全运营层：安全运营层主要负责系统自身的维护、安全模型配置、安全事件溯源和风险处置、 安全运营周报制作等。

（1）思路创新：数据使用安全平台不同于传统网络完全以“静态网络资产为核心”，而是以人为核心，围绕业务场景，以数据分类分级为基础，基于零信任框架和人工智能模型的用户及实体行为分析（UEBA）为抓手的整体思路，构建应用系统数据使用全流程的安全监控体系。

（2）落地创新：当前企业普遍存在信息系统众多，且不同系统账号权限情况复杂而又不统一，要实现数据安全防护，必然要先解决各个应用系统的账号权限梳理、安全风险场景评估的工作。本产品实施前期通过专家咨询，与多个重要应用相关业务方就系统现状、安全风险进行了全面落地调研，同步梳理对接各个应用的账号权限信息，整合到统一的组织架构框架，从而逐步实现企业内各类“账号”体系的有效管理。

（3）技术创新：参照最新的美国国家安全局数据安全架构，融合“零信任”理念，引入“数据安全网关”，网关构建在OpenResty、Apache APISIX这两个优秀的开源网关之上，纯天然继承了它们的高性能、可扩展、云原生的优点。并在此基础上，提供了流量解析、熔断与服务降级、数据动态脱敏、数据水印、流量日志采集、JS探针动态注入、文件提取等功能服务。

目前企业普遍存在的问题有：分类分级之后数据安全建设如何开展？分级管控怎么做？为了响应合规要求，信息采集、动态脱敏、权限管控都要进行系统改造，影响业务的正常运行且成本高，怎么办？系统种类较多，有一些通用的数据安全要求，但每个系统的业务场景和需求也有所不同，该如何个性化管控？

极盾·觅踪，这套低成本、轻量级的数据使用安全管控方案已经覆盖众多场景（暴力破解、爆破成功、账号共享、账号异常、权限泛滥、权限滥用、违规行为、异常行为、越权行为），在无需进行系统改造下，实现敏感数据识别、数据分类分级、水印保护、访问控制、权限梳理、动态脱敏、安全审计、追踪溯源以及安全评估等“硬管控”。

下面列举实践中的部分典型风险案例以供大家参考：

案例1（业务场景风险）：某信贷审批人员定期在已审批查询页面查询已审批未通过的人员信息，偏离基线，调查发现将审批未通过的客户信息泄漏给小贷公司。

案例2（特权账号风险）：一个设备上有多个账号操作，有异常行为，权限管理员利用自己的权限开通了具有业务权限的小号，进行操作后又删除小号。

案例3（数据拼接导出）：某员工先导出“用户编号+姓名”，过两天又导出“用户编号+手机”，过几天又导出“用户编号+身份证”，用户编号为同一批人员，通过编号拼接用户的三要素信息。

案例4（异常行为风险）：发现某个员工在单一业务系统使用爬虫导出大量数据，且该员工账号每天请求大量报表系统。按照正常业务基线，账号活跃小时数基本在8小时左右，且不会发生长时间匀速访问的情况。该员工活跃时间已经达到了正常的2倍，并长时间匀速访问，都比较符合恶意爬取的行为特征。

案例5（特权账号监管）：通过IP、设备等进行多维度限定，对特权账号进行场景梳理，使用规则设定，符合监管要求“明确特权账号的使用场景和使用规则”。通过“一个账号关联了多个设备”、“账号短时间操作过于密集”等还可以识别一些隐形特权账号风险。

案例6（黑白名单设定）：可以通过设定各种黑白名单，面对某些特定事件（查询他人工资、领导人信息、明星信息等），可以将敏感信息加入名单当中，或者加入敏感数据的识别规则当中，识别后对这类数据进行动态脱敏甚至直接限制访问，直接快速覆盖所有接入的系统。

极盾·觅踪-数据使用安全管控方案，可以快速构建多场景下的数据安全基线能力，建立起实时检测预警、响应处置、风险审计、泄漏溯源的运营管理体系，面向内部重点的数据安全风险场景，结合日志数据、埋点行为构建细颗粒度的防控能力，提供基于应用系统及场景风险的数据安全运营服务，解放企业安全运营人员，持续提升企业数据安全水位，响应并符合监管要求。