數據安全管理系統，實現對終端異常行為的分析與管控

計算機終端的安全威脅來自多個方面，從安全威脅的來源區分主要可以分為外部威脅和內部威脅兩大類。盡管近年來網絡黑客攻擊、釣魚攻擊、勒索病毒等外部安全威脅事件頻發，但是由于企業內部人員管理疏忽造成的敏感數據外泄仍是安全事件發生的主因。

內部安全威脅主要是由于管理制度不健全或者管理措施落實不到位造成的，通常包括惡意行為和非惡意行為：

■ 非惡意行為主要來自于企業的普通員工或客戶，這些人可能并未受過正規的計算機安全培訓或者缺乏網絡安全意識，他們對計算機終端的不當操作可能會帶來潛在的安全威脅；

■ 惡意行為往往來自離職前員工或即將離職心懷不軌的在職員工，這些人為了實現非法目的而進行的惡意操作是企業面臨的較大安全威脅。

在缺乏有效的安全管理制度及監督機制的情況下發生的安全威脅往往會比技術類安全威脅的后果更為嚴重，也是當前企業安全建設中關注的重點。針對上述安全威脅，明朝萬達Chinasec（安元）數據安全管理系統為企業提供了一種終端異常行為分析與管控方案，進一步加強企業數據安全建設。

△核心系統架構圖

系統分為采集管控層、處理分析層、展示決策層，對應分別實現以下業務功能：

· 采集管控層

系統利用終端探針軟件實時采集用戶在終端電腦上執行的硬件連接、軟件運行及其它基于不同網絡協議的數據外發行為，并實時的上報到服務端進行處理，同時還接收下發的管控策略對終端用戶異常操作行為進行緊急鎖定/阻斷管控；

· 處理分析層

實時接收終端探針軟件上報的終端用戶行為日志，并對其中潛在的越權訪問行為、敏感數據訪問與外發行為進行關聯分析，并上報到展示決策層進行聯動管控；

· 展示決策層

實時展示終端上報的用戶行為日志，并根據處理分析層對終端用戶異常行為分析的結果進行決策，并對判定的終端用戶異常行為下發鎖定/阻斷管控策略。

系統對終端用戶異常行為的識別確認主要包括以下兩種方式：

◇ 固定周期觸發閾值判定

管理員可以在控制臺設置不同行為類型在固定周期內觸發鎖定/阻斷的閾值次數來自動對客戶端用戶操作的行為進行異常判定，判定成功后自動對終端下發鎖定/阻斷控制；

◇ 個人/部門基線閾值判定

系統可以自動統計個人/部門在固定周期內的操作行次數，并計算出個人/部門的行為基線數值。支持對超過基線的終端用戶行為進行判定并自動下發鎖定/阻斷控制。

系統支持的終端用戶異常操作行為種類主要包括以下：

終端用戶異常文件打印行為；

終端用戶異常截屏行為；

終端用戶異常訪問安元密文行為；

終端用戶異常通過移動存儲設備外發文件行為；

終端用戶異常訪問外網行為。

作為國內數據安全市場的倡導者，明朝萬達專注于數據安全、公共安全、云安全、大數據安全及加密應用技術解決方案等服務，歷經十余年的發展與積累，明朝萬達客戶已覆蓋金融、政府、公安、電信運營商、能源、設計院所和研發制造業等諸多行業。

基于“動態數據安全，數據全生命周期管控”的產品理念，明朝萬達始終以守護用戶數據價值為己任，致力于讓安全真正服務于業務發展。在大數據、云計算等新技術應用背景下，明朝萬達以數據安全為核心、自主可控的國密算法應用技術為基礎，研發的Chinasec（安元）數據安全系列產品及解決方案，覆蓋數據產生、存儲、交換、使用等全生命周期重要環節，實現對服務器、數據庫、PC終端、移動終端以及網絡通信的全IT架構下數據安全的協同聯動管理，打造企業級的數據安全防護體系。

來源：明朝萬達

原文鏈接：https://baijiahao.baidu.com/s?id=1737496107702740102