大数据平台安全监管技术框架

II4II大数据平台安全监管技术框架范围本文件列举了大数据平台安全监管过程中的典型监管技术，针对安全风险量化识别、敏感数据识别、行为感知、行为融合分析监控、安全事件处置、隐私保护效果评估、隐私保护增强、证据链构建和攻击场景复现等技术的使用提出了要求。本文件适用于大数据平台安全监管工作，为企事业单位的大数据平台安全监管和合规性判断提供支持，为大数据平台管理部门及运营单位针对平台的安全监管工作提供支持。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T35273信息安全技术个人信息安全规范术语和定义

大数据bigdata具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。[来源：GB/T25069-2022，定义3.97]

大数据平台bigdataplatform采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。[来源：GB/T25069-2022，定义3.101]

量化识别quantificationandidentification利用数学和统计学等方法对大量数据进行分析，并将结果以数字或其他可度量的形式呈现出来。

处置与响应disposalandresponse在发生安全事件时，对事件进行及时处置和响应，以保障大数据平台的安全性和稳定性。缩略语下列缩略语适用于本文件。API：应用程序接口（ApplicationProgrammingInterface）大数据平台安全监管技术概述大数据安全监管的目的大数据平台安全监管技术框架中的对象包括监管方和被监管方，其中监管方可以是行业监管部门、第三方评测机构等组织，也可以是大数据平台拥有者的管理部门。监管方的目的是确保被监管方的服务和数据状态是安全的以及数据操作行为是安全合规的。被监管方是大数据平台中的各类主体、客体及主体通过各类业务服务流程访问和操作客体的行为；监管方使用安全监管技术、监管合规性分析技术和安全监管协调技术对被监管方的平台业务流程进行监管，针对平台运行前、运行中和运行后的不同阶段采取不同的技术手段。其中运行前使用资产探测、脆弱性发现和风险评估进行风险的评估和探测；运行中使用行为数据采集、异常事件分析、安全事件处置和数据监管处置等技术对存在的威胁进行及时的分析和处理；运行后使用证据生成和分析管理、攻击场景复现等技术对安全事件进行追踪和总结。被监管方的平台数据业务流程包括数据申请流程、数据产生流程、数据存储流程、数据使用流程、数据传输流程、数据销毁流程和数据归档流程。大数据平台安全监管技术框架安全监管需求针对平台数据申请流程、平台数据产生流程、平台数据存储流程、平台数据使用流程、平台数据传输流程、平台数据销毁流程和平台数据归档流程的安全需求见附录A表1。安全监管技术框架资产探测资产探测通过采集、清洗、分析等方法，发现和整理大数据平台中各种资产信息，以支撑资产风险评估。资产探测包括但不限于以下流程：资产采集：通过采集大数据平台中的各种数据，如扫描和探测各类数据库服务、数据库文件、数据文件、服务配置文件、权限文件、系统日志、文件共享设置等，收集数据资产信息；资产清洗：对采集到的数据进行清洗和过滤，去除重复数据和错误数据，确保数据的准确性和完整性；资产分析：通过对采集到的数据进行分析和挖掘，识别出各种资产信息，如资产类型、版本、所有者、安全级别等。脆弱性发现脆弱性发现通过对大数据平台进行测试分析等方法，以发现其中可能存在的各种漏洞和问题。脆弱性发现包括但不限于以下技术：模糊测试：通过自动化输入随机、异常或非法的数据来测试系统的健壮性和安全性可以检测到服务应用系统可能存在的处理异常、缓冲区溢出、拒绝服务攻击等安全问题。漏洞扫描：根据已知漏洞列表扫描大数据平台中的各种系统和应用，识别出存在或潜在的漏洞和弱点。数据流分析：通过对数据流进行跟踪，可以对服务进程执行路径进行动态跟踪和分析发现程序中可能存在的漏洞和错误。静态代码分析：对各类服务的源代码进行分析，以发现其中可能存在的处理缺陷、安全漏洞和潜在的性能问题等。供应链安全分析：识别和评估硬件、软件、组件、代码等供应链中可能存在的安全漏洞，以防范潜在风险。安全审计：通过对大数据平台中的各种系统和应用的访问和操作进行记录、分析和审计，识别出潜在的安全漏洞、脆弱点和行为。数据泄露风险评估：通过泄漏检测、泄漏追踪等技术对大数据平台中敏感数据的泄露风险进行评估，识别出敏感数据的泄露流程、环节和途径。风险评估风险评估用于分析和发现大数据平台各类资产相关的风险要素，识别其中的安全风险。风险评估方法包括但不限于以下技术：风险要素静态评估：对于相对静态的风险要素（资产、安全措施等），在大数据平台上线前进行整体的风险评估，并在大数据平台运行时进行周期性静态评估，预防长期隐患的存在及已知风险的发生；按需动态采集分析：对于具备突发性、试探性、多样性特点的动态风险要素（行为、威胁等），根据重点关注的风险需求，采集所需要素数据进行分析，实现对异常行为以及潜伏威胁的识别；场景-风险等级关联评估：根据不同场景所需的安全需求，进行风险要素分类采集。根据相关场景风险知识图谱中，不同场景不同数据具有不同重要程度以及危害程度的具体情况，通过调用相关知识图谱在实际场景中进行映射，动态评估多种数据环境与安全措施下最相符的风险等级；攻击意图学习与预判：基于大数据平台风险知识图谱库，通过对大量数据的学习，得到应用场景下不同攻击行为的全过程特征。在平台运行时，根据知识图谱列出应用场景对应可能的攻击行为，根据实时行为数据的采集分析，与攻击行为进行特征映射匹配和对比，实现风险提醒和攻击预判。行为数据采集感知行为数据采集感知是指通过对用户、系统、应用程序和其他相关对象的行为数据进行采集，以感知可疑行为继而识别潜在的安全风险和漏洞。行为数据采集感知包括但不限于以下两大类：用户行为感知用户行为感知是指通过对用户主体的操作行为包括代表用户主体的程序和进程进行采集和分析，记录和了解用户的浏览、搜索、点击、运行、修改等操作行为。用户行为感知包括但不限于以下技术：日志分析：通过对大数据平台中各种操作产生的日志进行收集、存储、分析，从而识别出异常的用户行为举止；访问控制违例分析：通过设置权限控制，限制用户在大数据平台上的活动范围，基于访问控制的违例事件分析用户行为的异常；行为模式识别：通过对用户在大数据平台上的操作行为进行分析和建模，从而识别出异常的或者高风险的用户操作行为；威胁情报关联：将大数据平台中所获得的威胁情报与已有的规则库进行关联，协助检测可疑的用户行为和攻击行为；实体关系分析：通过分析大数据平台中各种实体之间的日常访问关系，如用户与设备、用户与应用程序、应用程序与数据等，发现异常的实体访问行为。数据访问行为感知数据访问行为感知通过监测针对数据客体即数据对象的访问行为，感知识别出异常行为，从而提前发现和防范潜在的安全威胁。数据访问行为感知包括但不限于以下技术：日志分析：在大数据平台中，所有对数据的访问都有日志记录，包括访问者的身份、访问时间、访问内容等信息。通过对这些日志进行分析，可以感知数据是否被访问、访问行为是否存在异常；审计功能：依据大数据平台的审计功能对数据访问进行跟踪和审计，记录用户对数据的访问、修改等操作，以追溯数据被谁访问过、何时访问以及访问目的等信息，及时发现异常的访问行为；监控系统：通过在大数据平台上搭建监控系统，对数据访问进行实时监控，及时发现非正常的访问频率、非正常的访问来源等异常访问行为；授权管理：通过对大数据平台上的数据进行精细化授权管理，监测和限制不同用户对数据的访问权限。当用户尝试访问无权限的数据及用户执行了未授权的行为时，或出现用户频繁访问的数据滥用行为时，监测系统可给管理员发出告警等异常提示；数据流分析：对数据在系统内部的流向进行分析，识别出可能存在的数据安全风险流程和环节。异常事件分析异常事件来源异常事件分析是指根据大数据平台中采集到的各类数据，分析数据中的异常事件，并生成相应的监管报告或指令，支撑异常事件和入侵事件的处置。异常事件分析的事件来源包括但不限于以下几类：身份认证事件身份认证事件分析可以发现基于主体的异常事件。身份认证可以分为两大部分：对外服务认证和对内服务认证。对外服务认证是数据应用系统提供给数据用户的登录注册和认证模块。对内认证是针对数据应用系统的各种内部系统提供的登录认证，例如服务器管理员的登录、数据库管理员的登录、版本控制服务程序的登录、各种内部管理后台服务程序的登录等。权限事件权限事件分析可用于发现大数据平台中各类用户的越权事件、各类应用场景中出现的特殊权限事件。越权事件分析，主要针对不同用户使用大数据平台的功能时，对主体、客体、权限之间进行比对，发现其中不合预期的权限。特殊权限事件分析，主要发现应用场景中出现的特殊权限。查询事件查询事件分析可用于发现大数据平台数据查询过程中的异常。查询分析技术，基于不同用户的数据各自独立互不干扰的前提假设，当某些用户企图通过系统漏洞等途径查询其他用户数据时，可提取该事件用于判断用户行为是否存在危害及查询过程如何实现，并产生相应的报告。管理事件管理事件分析用于发现大数据平台各类管理人员的异常行为。管理事件分析技术，基于大数据平台不同种类管理员有不同范围管理权限分配的前提假设。当出现某些管理员超出其范围进行管理操作时，可提取该事件用于判断管理员行为是否存在危害，并产生相应的报告。异常事件分析在大数据平台安全监管中，支撑异常事件分析的技术手段包括但不限于以下技术:人工智能：人工智能通过将大量的数据训练成模型以识别出数据中的异常事件，并生成相应的监管报告或指令。数据挖掘：数据挖掘是通过对大量的数据进行分析，从中挖掘出潜在的规律和模式，以便进行异常事件分析。数据挖掘常用的技术包括聚类、分类、关联规则挖掘等。自动化监测：自动化监测是指利用技术手段，对大数据平台中的数据进行实时监测和分析，以便及时发现异常事件。可视化展示：对分析结果进行可视化展示，以更好地理解和监控异常事件分析的结果，及时发现问题和风险。安全事件处置安全事件处置在收到高风险事件告警或出现安全事件时，做出相应的响应处置措施，限制事件影响的扩散。安全事件处置包括但不限于安全事件提醒、实时权限控制、资源隔离和软件重构等：安全事件提醒技术安全事件提醒在识别和分析潜在的数据安全威胁时，及时向管理员或相关人员发出警报或提醒。安全事件提醒方法包括但不限于以下几种技术：邮件告警：通过邮件将告警信息发送给相关人员，包括漏洞描述、危害程度、修复建议等；即时通信告警：如使用短信、电话或及时消息工具（微信、钉钉等）向相关人员发送安全事件提醒；系统日志告警：通过针对安全事件生成集中管理的系统日志，在集中管控日志系统予以记录和提醒，实现对系统异常的及时监控和处理；监控和警报工具提醒：使用专门的监控和警报工具（如Zabbix、Nagios等）来实现对系统运行状态的实时监控，并在出现问题时进行警报声音、监控图像变化等告警提示。实时权限控制实时权限控制是指对用户的访问请求进行实时验证和授权，确保用户只能访问其被授权的资源，以确保敏感数据不被未经授权的用户访问。实时权限控制主要包括但不限于以下技术：用户身份验证：实时对用户进行身份验证，以鉴别用户身份，确保用户身份与访问权限相对应；动态构建访问策略：根据用户的身份和权限，动态地构建相应的数据访问策略，包括哪些数据可以被访问，以及如何访问这些数据；实时访问阻断：实时对用户访问行为进行阻断，例如拒绝提供数据、拒绝本次操作等。资源隔离资源隔离将不同的数据资源进行分离，保证每个数据资源只能被授权的用户或应用程序访问，从而达到信息安全和数据保护的目的。资源隔离包括但不限于以下技术：物理隔离：通过在硬件层面上实现隔离，将不同的数据资源存储在不同的硬件设备或服务器上，从而避免资源之间的交叉影响；虚拟化：通过使用虚拟化软件，将不同的资源分配给不同的虚拟机，并利用虚拟化软件提供的资源管理功能，对虚拟机进行资源限制和控制，从而实现资源隔离；容器化：类似于虚拟化，但是相比虚拟机更加轻量级，具有更高的性能和效率。通过容器化技术，将不同的应用程序隔离在不同的容器中，并通过容器管理工具对容器进行资源限制和控制，从而实现资源隔离；访问控制：通过设置访问权限、密码策略、审计日志等手段，对用户的访问行为进行监控和控制，以保证敏感数据得到保护，不被非法访问或篡改；网络隔离：通过设置网络隔离策略、防火墙规则等手段，对大数据平台内部的网络流量进行限制和控制，以避免不同资源之间的攻击和干扰。软件重构软件重构通过对已有软件进行重新设计和模块重组，以改进软件架构和提高其可维护性、可扩展性和安全性。软件重构包括但不限于以下技术：优化代码结构和逻辑：通过对已有代码进行重新设计和重组，以消除冗余代码、优化代码结构和逻辑，从而提高代码的可读性和可维护性，在减少安全漏洞的同时，也方便后续的维护和更新；改进系统架构：通过重新设计系统架构，调整模块关系和依赖关系，实现松耦合、高内聚的架构，以提高系统的可扩展性和容错性，降低系统发生故障的风险，并且在安全事件发生时能够快速恢复服务；数据库重构：通过对数据库进行重新设计和优化，以消除数据冗余消除数据不一致性、重新分类组织数据，提高数据访问速度和查询效率，同时增强数据的安全性和完整性。安全重构：通过对系统安全策略和机制进行重新设计和优化，增强认证、授权、加密等安全功能，以防范各种安全威胁和攻击。例如，在用户身份验证方面可以采用多因素认证方式，防止密码被破解；在数据传输过程中可以采用加密技术，防止数据在传输过程中被窃取或篡改；UI重构：通过重新设计用户界面，优化交互流程和用户体验，提升系统的易用性和可操作性，从而减少人为因素造成的安全漏洞。例如，在用户操作过程中可以设置多级确认机制，避免误操作导致的数据丢失或泄露等问题。数据监管防护数据监管防护是指针对数据可能出现的风险问题采取一系列监管措施对数据进行保护的技术，包括但不限于数据分类分级、隐私保护增强和数据流转管控等：数据分类分级 数据分类分级是指通过对数据进行分析和规划管理，将其划分为不同的类别和等级，然后根据不同分类和等级的数据应用不同的安全防护措施。数据分类分级包括但不限于以下技术：按照机密程度划分：将数据分为公开数据、内部数据、秘密数据、机密数据和绝密数据等级别，根据数据的机密程度选取相应的加密、备份和访问控制措施；按照影响程度划分：按对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响程度，可将数据划分为核心数据、重要数据、一般数据等级别，分别采取不同的访问控制和防护措施；按照数据来源和去向划分：将数据根据其来源和去向划分为不同等级，采取不同的监管和防护措施，避免数据被非法获取或外泄；按照数据用途划分：将数据按照不同的用途进行分类，如财务数据、客户数据、人事数据等，针对不同类型的数据采取不同的保护措施；按照数据格式和存储方式划分：将数据按照不同的格式和存储方式进行分类，如文本数据、图像数据、数据库数据等，针对不同类型的数据采取相应的安全措施；按照数据访问频率和时间划分：将数据按照不同的访问频率和时间进行分类，针对不同访问模式的数据采取不同的安全措施。隐私保护增强隐私保护增强技术，通过对数据本身或数据服务过程进行处理，可以有效地减少因为数据泄露、篡改等风险而给个人隐私带来的威胁。隐私保护增强技术包括但不限于以下技术：数据加密：通过对敏感数据进行对称加密、非对称加密等方式的加密处理，可以有效地保护数据的隐私性；访问控制：通过设置访问权限、审计机制等手段，对敏感数据进行管理和监控，防止未经授权的访问和使用；数据脱敏：对敏感数据进行假名化、去标识化、匿名化、变形、掩码屏蔽、替换、随机化、添加噪声、分区以及自定义规则等方式的脱敏，以降低敏感信息泄漏的可能性；安全计算：通过使用同态加密、安全多方计算等安全计算协议，对跨组织或跨边界的数据进行计算和分析，保护数据隐私。数据流转管控数据流转管控主要用于确保数据在传输、存储和处理过程中不被篡改、泄露或滥用。数据流转管控技术包括但不限于以下技术：数据加密：在传输和存储时对敏感数据运用各类加密算法进行加密处理；访问控制：在数据管控过程中，根据用户身份或角色，限制其访问客体的访问权限；安全通信协议：在数据传输过程中，使用安全通信协议（如SSL/TLS）来保障通信中的身份认证、数据机密性、数据完整性等安全；数据审计与监控：对系统中所有数据交互活动进行审计和监控，及时发现异常行为或数据损毁事件，采取相应的防范和补救措施。证据生成和分析管理证据生成和分析管理用于提供操作指令的记录证据，以便于提供合规性证明及责任追溯。任务指令确认任务指令确认包括以下三个方面：任务指令确认收条：用于确认接收到的任务指令。当任务指令发送给执行者时，执行者需要向发送者回复一个确认收条来表明已经接收到任务指令。这种技术通常使用指令应答、电子邮件、短信等方式进行确认；数字签名：用于验证任务指令和应答的真实性和完整性。数字签名可以确保任务指令和应答的来源和内容没有被篡改。任务指令发送者使用私钥对任务指令进行签名，任务指令接收者使用任务指令发送者的公钥进行验证；任务指令接收者收到任务指令后对合适的指令进行确认，给任务指令发送者提供带数字签名的确认收条，任务指令发送者使用任务指令接收者的公钥进行确认收条的验证；日志生成：用于记录任务指令的所有操作和事件。通过记录任务指令、确认、获取指令执行情况等每个操作步骤和操作结果，以跟踪任务指令的执行情况和问题发生的原因。数据镜像数据镜像通过确保完整性和可靠性的数据镜像备份方式，保存数据现状，用于支撑证据生成和分析。数据镜像包括以下步骤：选择合适的数据镜像工具，可以使用专业的数据镜像软件或者操作系统自带的镜像工具；在进行数据镜像前，宜对配置和数据进行保存，确保镜像数据与当前运行的配置和数据一致；确定需要进行镜像的数据范围和目标位置，可以选择将整个磁盘镜像或者只镜像特定的分区或文件夹；进行数据镜像，将原始数据完整地复制到目标位置，确保数据的一致性和完整性；在数据镜像完成后，需要进行验证，确保镜像数据与原始数据完全一致；对于需要进行数据分析的数据，可以使用虚拟机技术来进行数据镜像，将原始数据镜像到虚拟机中进行分析，可以避免对原始数据的修改和破坏；在数据镜像后，需要对镜像数据进行保护，采取必要的安全措施防止数据被篡改、丢失或泄漏。配置备份配置备份用于备份系统配置信息，确保配置的安全性和可靠性，防止配置信息被意外修改或丢失。配置备份包括以下步骤：选择合适的配置备份工具，可以使用专业的配置备份软件或者操作系统自带的备份工具；在进行配置备份前，需要先进行系统快照或者整机备份，确保备份数据的完整性和一致性；确定需要进行备份的配置范围，可以选择备份整个系统配置信息或者只备份特定的配置文件或者配置项；进行配置备份，将原始配置信息完整地复制到备份位置，确保配置信息的一致性和完整性；在配置备份完成后，需要进行验证，确保备份配置信息与原始配置信息完全一致；对于需要进行系统恢复的配置信息，可以使用自动化配置管理工具来进行配置恢复，避免手动配置带来的误操作或者遗漏；在配置备份后，需要对备份配置信息进行保护，采取必要的安全措施防止数据被篡改、丢失或泄漏。日志收集汇总日志收集汇总是指通过收集和汇总系统和服务应用程序的日志信息，以便后续的审计和证据分析。日志收集汇总包括以下步骤：确定需要收集的日志信息：根据业务需求和安全要求，确定需要收集的日志信息范围，如数据操作日志、网络访问日志、操作系统日志、网络设备日志、应用程序日志等；选择合适的日志收集工具：根据收集的日志类型和收集方式，选择合适的日志收集工具，如syslog、ELK、Splunk等；配置日志收集工具：根据业务需求和安全要求，配置日志收集工具的收集规则和过滤规则，以确保收集到正确的日志信息，并避免收集到无关或冗余的信息；部署日志收集代理：为了收集分布式系统或多台设备的日志信息，需要在各个节点部署日志收集代理，以便将日志信息发送到中心日志收集服务器；汇总日志信息：中心日志收集服务器将收集到的日志信息进行汇总和归档，以便后续的审计和分析；验证日志信息的完整性和准确性：定期验证收集到的日志信息的完整性和准确性，以确保日志信息的可靠性和可用性。证据防篡改证据防篡改是指为了保证证据的完整性和真实性，防止证据被篡改或伪造，而采取的一系列措施和技术手段。包括但不限于以下技术：数字签名：通过使用数字签名，对证据进行签名和验证，确保证据的完整性和真实性，防止证据被篡改或伪造；哈希算法：采用哈希算法对证据进行哈希运算，生成哈希值，通过比对哈希值来验证证据的完整性和真实性；时间戳：采用时间戳，对证据的生成时间和存储时间进行记录和确认，防止证据被篡改或伪造；加密：对证据进行加密存储或传输，防止证据被非法窃取；访问控制：对证据的生成、存储、传输和处理过程实施访问控制，防止未经授权的访问和篡改；定期备份和验证：定期备份证据，定期验证证据备份的完整性和真实性，确保证据的可用性。场景复现场景复现是指使用虚拟化技术和网络仿真技术，对安全事件进行场景复现，以便进行安全事件的分析和调查。具体来说，场景复现可以模拟真实的网络环境，包括网络拓扑、设备配置、网络流量等，从而让安全专家能够在安全实验室内进行安全事件的模拟和分析。场景复现包括但不限于以下技术：可以通过虚拟化软件，复现攻击事件的操作系统、网络设备、应用程序等环境；利用虚拟机网络、网络仿真软件等模拟攻击事件时的网络拓扑；模拟重现攻击事件时的网络流量，并对关键流量进行分析和解释。监管合规性分析监管合规性分析是指对大数据平台的操作处理进行合规性分析，判断其是否符合相关法律法规和标准要求。具体包括对大数据平台的数据处理流通、配置合规性、组件完整性、身份可信性、系统脆弱性、策略有效性等方面进行分析，包括但不限于以下步骤:确保数据收集和存储合规性：大数据平台需要遵守相关法规和监管要求，如《个人信息保护法》、《网络安全法》等，确保数据收集和存储符合法律法规要求。同时，需要评估大数据平台的数据分类、保密性、完整性、可用性等方面的措施，以确保数据安全；确保数据处理和共享合规性：大数据平台通过评估数据处理和共享的流程和方式，确保数据得到合理使用和保护。需要特别注意的是，大数据平台需要遵守数据出境的相关规定，确保数据出境合规；确保隐私保护合规性：大数据平台需要评估隐私保护的措施，确保个人隐私得到合理保护，其采用的技术和参数配置，需要符合相关法规和监管要求，确保隐私保护合规。监管协调技术监管协调技术通过对监管任务分解下发、监管任务状态反馈、监管任务调度、监管协调、处理与响应协调等功能实现对数据服务接口的监管。监管任务分解下发监管任务分解下发功能用于分析和理解监管任务，确认所涉及的数据以及相应的服务接口范围，将监管任务目标、任务按监管服务接口进行分解，确保合理的任务下达给合适的服务接口。为了有效地分解下发监管任务，包括但不限于以下步骤:任务分类和优先级设置：首先需要对监管任务进行分类，根据不同的监管要求和任务性质，将任务分配给不同的服务接口。同时确定任务的优先级，以确保重要任务得到及时处理；任务下发和接收反馈：监管任务根据分类下发给指定服务接口，收到任务的服务接口提供接收反馈；任务执行和跟踪：服务接口收到监管任务后，需要及时处理和执行，需要建立有效的任务执行和跟踪机制。在任务执行过程中，需要及时记录任务进展和结果，并对其进行跟踪和评估；任务结果审核和评估：任务完成后，需要对任务结果进行审核和评估，以确保任务执行效果和合规性。同时，需要对任务过程和结果进行总结，以提高任务执行效率和质量。监管任务的状态反馈监管任务的状态反馈帮助监管人员了解监管任务的进展情况，具体包括但不限于以下步骤：监管任务列表维护：维护一个需要监管的任务列表，以便定期进行任务的状态采集和反馈；任务状态采集：针对监管任务列表中的任务，通过进程状态检测、调用任务监管服务接口等方式实时获取任务的运行状态；任务状态反馈：按约定的状态反馈格式，进行单个或批量多个任务的状态记录和呈现，必要时可检测其中的任务异常状态，进行特别的反馈，例如发生警报通知、生成异常事件报告等。监管任务调度监管人员针对大数据平台中的监管任务，通过监管接口、任务主动上报、任务主动请求等方式，进行调度管理，包括但不限于以下操作：任务状态查询：监管人员通过接口或进程信息获取，查询了解任务状态；任务暂停：监管人员通过接口或进程控制指令，暂停指定监管任务的执行；任务继续：监管人员通过接口或进程控制指令，让指定的已暂停监管任务继续执行；任务优先级调整：监管人员通过接口或进程控制指令，对指定监管任务的优先级进行调整；任务终止：监管人员通过接口或进程控制指令，终止指定监管任务的执行；任务删除：监管人员通过接口或进程控制指令，删除指定监管任务。监管协调接口监管方通过监管协调接口向被监管方下发风险量化识别、敏感信息推断、行为感知等安全监管任务，且能对各类安全监管任务进行管控协调，具体模块和接口的介绍见附录B。风险量化识别模块通过风险识别指令下发接口、风险识别预警报告获取接口给监管方提供风险量化识别功能；敏感信息推断模块通过敏感信息推断指令下发接口、敏感信息识别推断报告获取接口给监管方提供敏感信息推断功能；行为感知模块通过用户行为感知指令下发接口、异常行为融合分析指令下发接口和数据访问异常行为告警报告获取接口给监管方提供行为感知功能；安全事件处置模块通过安全事件处置指令下发接口、安全事件处置报告获取接口给监管方提供安全事件处置功能；隐私效果评估模块通过隐私效果评估指令下发接口、隐私效果评估报告获取接口给监管方提供隐私效果评估功能；隐私增强模块通过隐私增强模块指令下发接口、隐私保护增强处置报告获取接口给监管方提供隐私增强功能；攻击溯源模块通过攻击溯源指令下发接口、攻击溯源可信证据链报告获取接口给监管方提供攻击溯源功能；攻击场景复现模块通过攻击场景复现指令下发接口、攻击场景复现报告获取接口给监管方提供攻击场景复现功能；任务调度模块通过任务创建情况查询接口、任务执行情况查询接口和任务调度接口给监管方提供任务调度功能。安全事件处理与响应协调安全事件处理与响应协调是指管理员能手动处置或设置处置响应规则，针对当前或将来的某些安全事件执行某些处置和响应措施，分为以下三个方面的管理：大数据采集安全数据采集环节是大数据平台的入口，它包括对采集终端和采集人员开展接入鉴权，对采集数据的传输、存储及分类分级实施严格的安全要求，并对采集行为进行监控，发现如下的异常采集行为可执行以下措施：1)对重复采集和传输量超过设定阀值的情况给予告警；2)对采集传送过程中传输中断的情况给予告警；3)采集传送过程中对目标文件库的存储量超过设定阀值的情况给予告警；4)当采集过程中临时数据存储到不可控区域，可能引起数据泄露时，给予告警并暂停采集操作；5)限制采集系统的IP地址，端口号等，同时对采集人员进行基于账号密码或其他方式的认证鉴权，当发现异常登录情况时，及时给予告警并采取中断操作措施，中断操作措施包括拒绝接收数据、暂停服务调用等。大数据存储安全采集到的数据在处理之前，需要在大数据平台进行存储。数据存储安全包括访问控制、加密存储和完整性保护等方面，不同方面的安全事件处置与响应方式如下:1)数据访问控制:大数据平台的数据访问控制遵循权限最小化原则进行多级用户的细粒度授权。当用户非法访问到其权限外的数据时，进行系统内的告警，记录其越权访问行为和访问对象并拦截其访问操作；2)数据加密存储:大数据平台在必要时采用加密存储数据的方式防止数据泄漏；3)数据完整性保护:大数据平台对关键数据具有完整性检测机制，当检测到关键数据存在损坏和丢失的情况时及时在系统内部进行告警。大数据处理安全数据处理安全一方面包括数据处理层自身的安全需求，另一方面针对敏感数据的保护及其脱敏处理，具体安全事件的处置与响应方式如下:1)数据处理层应提供相应的鉴权机制，确保只有合法的用户或应用程序才能发起数据处理请求。当系统识别到非法操作时，对操作进行告警并中断其操作；2)数据处理层能够支持对敏感数据的屏蔽、隐藏，使管理员能够灵活控制返回给用户的信息。当出现敏感信息的泄露时，告警并溯源；3)数据处理层能够按需终止用户的数据使用和处理过程，防止危害行为继续执行。安全监管技术要求资产探测技术要求数据资产探测技术应满足以下要求：应能采用多种方式分析探测和验证数据资产，包括但不限于地址、端口号、服务、流量等；应能准确识别探测得到的数据资产类别；应支持数据资产统计，即按一定分类原则完成数据资产的分类和统计。数据分类分级技术要求数据分类分级技术应该满足以下要求：应支持精确识别，即能够准确地对数据进行分类和分级，将不同类型、不同敏感程度的数据归入相应的类别；应支持动态调整，即能够根据业务需求、安全风险等因素实时调整分类分级标准和方法，以满足不同场景下的需求；应满足丰富多样性，即支持多种分类分级方式，包括基于内容、基于元数据、基于用户等不同角度和维度；应采取统一管理，即通过集中化的管理平台，对所有数据进行统一管理和控制，提高管理效率和精度；应满足合规性保障，即针对数据进行分类分级时，应满足相关法律法规和标准要求。脆弱性发现技术要求脆弱性发现技术应该满足以下要求：应满足高准确性，即能够精确地识别和定位系统中存在的各种漏洞和脆弱点，避免误报或漏报；应满足高效性，即能够快速扫描整个系统，发现可能存在的问题；应支持实时监控，即能够实时监测系统运行情况，对异常情况进行及时响应，保证系统安全运行；应支持可视化，即能够以可视化的方式呈现漏洞信息和修复进度等关键数据，方便管理人员进行监管和决策。风险评估技术要求风险评估技术应该满足以下要求：应确定数据资产和处理流程，即评估人员需要确定整个数据的生命周期，包括数据的来源、数据的存储和处理环节和数据的销毁等；应支持识别风险源，即需要识别安全、隐私和合规等相关的风险源，可以根据数据的敏感性识别潜在的安全风险，像数据泄露、未被授权的访问、黑客攻击等；应确定评估风险的严重性，即需要对风险的严重性进行分类定量或定性分析，对于不同的类型的数据风险，其严重性也不同；应支持制定相应的风险防控措施，以降低非正常事件的影响。行为数据采集技术要求行为数据采集技术应该满足以下要求：应满足全面性，即能够对大数据平台上所有用户和系统操作进行监控和记录，包括登录、访问、修改、删除等操作；应满足实时性，即能够实时采集和处理用户行为数据，以便及时发现异常行为并采取相应的措施；应满足高效性，即能够在不影响系统性能的前提下，高效地采集和处理海量的行为数据；应满足安全性，即能够保障所采集行为数据的机密性、完整性和可用性，防止未经授权的访问或篡改；应支持格式规范化，即能够以统一的格式描述行为数据，以便于后续的异常分析处理。异常事件分析技术要求异常事件分析技术应该满足以下要求：应采取容易采集汇总各类事件的事件收集架构设计，例如针对应用系统实现集中的认证服务；应及时发现和识别系统中出现的异常事件，并准确识别其类型和级别，快速定位问题所在及责任主体。安全事件处置技术要求安全事件处置技术应该满足以下要求：应支持高效处置，即能够高效快速地对各种类型的安全事件进行响应处理，包括阻止恶意攻击、拦截漏洞利用、丢弃异常流量等；应支持持续监控，即在处置过程中，能够持续监控系统状态，及时检测是否存在新的风险或威胁；应保证服务可靠性，即在处理安全事件时，要保证服务的可靠性和稳定性，并尽可能减少对业务运行造成的影响；应实现自动化管理，即通过自动化管理工具，可以自动处理常见的安全事件，并根据用户需求自定义报警、处置等策略。数据监管防护技术要求数据监管防护技术应该满足以下要求：应支持根据数据分类分级的结果，针对不同分类、不同等级和重要性的数据采取不同的监管措施；应支持访问控制，即能够通过权限管理、角色管理等手段，限制用户对数据的访问权限，确保只有经过授权的人员才能访问相关数据；应支持数据备份恢复，即实现全量、增量备份策略，确保数据在发生异常情况时能够及时恢复；应采取数据加密保护，即对重要或敏感数据进行加密处理，防止被未经授权的人员访问和泄露；应采取安全传输，即使用安全协议来加密网络通信，确保数据传输过程中不会被窃听或篡改；应支持故障容错，即在发生故障时应采取相应措施避免出现数据泄漏风险。例如，在硬盘损坏时采取数据备份措施，保证数据的完整性和安全性；应支持安全审计与合规性检查，即定期进行安全审计和合规性检查，并及时改进，确保系统符合相关法律法规和标准要求。隐私保护增强技术要求隐私保护增强技术应该满足以下要求：应支持场景适应的按需脱敏控制，即在多种环境和多种场景下隐私信息的按需脱敏处理；应支持隐私保护效果验证，即实现隐私保护算法的多因素效果验证；宜支持多源数据融合、安全协同计算和高效外包查询等隐私保护增强技术；宜构建隐私保护效果评估指标体系与知识图谱，支撑隐私保护策略的多维度量化与自动化筛选。数据脱敏技术要求数据脱敏技术应满足以下要求:应防止生产库中的敏感数据泄漏，即通过对生产库中的敏感信息进行混淆、置乱后再提供给第三方使用；应保证测试、开发、应用阶段的数据关联性，即通过脱敏策略和算法，保证脱敏数据有效性、完整性和关联性。以提升测试、开发、应用环节的数据真实性和可用性；保证隐私数据管理的政策合规性，即数据的脱敏和数据处理必须在相关政策规定允许的情况下进行，脱敏规则符合数据管理要求。数据流转管控技术数据流转管控技术应该满足以下要求：数据共享工作应通过大数据平台API服务调用方式完成数据的共享；数据提供者、数据使用者、数据管理者应确保数据存储和流转过程中的安全防护；可在保留安全管理责任的前提下，通过签订标准合同明确责任和义务，将安全防护工作外包给服务第三方；对于无条件共享的数据，可通过大数据平台向各单位进行数据共享；对于有条件共享的数据，应实行合规审批流程，由数据使用者向数据提供者提交数据资源共享申请，经合规审批确认后，通过平台的API服务接口进行数据共享；应根据数据的分类、敏感度等级、场景数据使用风险等级制定相应的安全防护控制措施；数据的保存期限应符合法律法规的要求，共享交换过程涉及各方应及时销毁超过数据保存期的数据，或者按规定进行脱敏保存归档；数据流转的各参与方应保障各阶段数据血缘的完整性，保障数据质量，并可提供数据处理过程日志供第三方审计。证据生成和分析管理技术要求证据生成和分析管理技术应该满足以下要求：应制定数据溯源策略和溯源机制，以及溯源数据安全存储与使用的管理制度；应制定溯源数据描述方式和格式规范，以规范化组织、存储和管理溯源数据；应采用必要的技术手段和管控措施实现分布式数据处理环境下溯源数据采集和存储，确保溯源数据能重现数据处理过程；应对关键溯源数据进行备份,并采取技术手段对溯源数据进行安全保护。攻击场景复现技术要求攻击场景复现技术应该满足以下要求：攻击过程应提供详细数据描述，例如攻击发起时间、攻击种类、攻击和响应过程分析、攻击场景展现等；攻击过程复现宜可视化，支持多维度、多种形式直观的攻击模拟展现。监管合规性分析技术要求监管合规性分析技术应该满足以下要求：应满足数据收集和存储合规性，即大数据平台需要遵守相关法规和监管要求，如《个人信息保护法》、《网络安全法》等，确保数据收集和存储符合法律法规要求。同时，需要评估大数据平台的数据分类、保密性、完整性、可用性等方面，以确保数据安全；应满足数据处理和共享合规性，即大数据平台需要评估数据处理和共享的流程和方式，确保数据得到合理使用和保护，遵守数据出境的相关规定，确保数据安全；应满足隐私保护合规性，即大数据平台需要评估数据的隐私保护措施，确保个人隐私得到合理保护且符合对应的国家法律法规要求；应满足操作合规性，即对应用数据的各种操作行为、操作结果予以完整记录，确保操作行为的可追溯。收集并存储应用数据的各种操作信息;审计应用数据的操作流程、操作权限、操作范围、操作结果等信息;对不合规操作，给予审计告警;提供关键字分析、关联分析和统计分析功能；应满足内容合规性，即所有输出的数据内容都需要进行合规性审计，审计范围包括如进行关键字、数据格式、数据状态、归属权等的审计；进行数据的真实性、一致性、完整性审计；进行数据使用范围审计，检查是否包含用户隐私、敏感数据、重要标识等内容；宜设计合规性评估方法和工具，即监管平台应根据法律法规制定相应的合规性措施、合规检验依据，支撑合规性评估工具的研发和设计。安全监管协调技术要求数据服务接口要求大数据平台的数据服务接口应满足以下要求：应设计安全的数据服务接口的服务流程；应明确数据接口安全控制策略，规定使用数据接口的安全限制和安全控制措施，如身份鉴别、访问控制、授权策略、签名、时间戳、安全交互协议、异常流量管控和熔断控制、错误代码等。应明确数据服务接口的连接技术要求，包括接口名称、连接方式、接口参数等；应与数据服务接口调用方签署合作协议，明确数据的使用目的、供应方式、保密约定、数据安全责任等；应具备对接口不安全输入参数进行限制或过滤能力，为接口提供异常处理能力；应具备数据接口访问的审计能力，并能为数据安全审计提供可配置的数据服务接口；应对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施。监管协调接口要求大数据平台的监管协调接口应满足以下要求：监管协调接口应由被监管方提供，应包括监管任务下达、任务调度、任务报告获取等功能接口；监管协调接口收到指令后，应提供应答，包括但不限于确认收到、接收错误、繁忙无法处理等应答种类；监管协调接口应根据接口数据的保护需求，提供保密性、完整性、防重放攻击等设计。

（资料性）

安全监管需求安全监管需求如表1所示。安全监管需求对象安全需求需求解释数据来源合规平台的数据来源应该是合法的平台数据申请流程认证性、不可否认性用户申请数据应确认用户身份，申请和批准的数据范围不可否认平台数据产生流程不可否认性、机密性、完整性数据产生应具备来源不可否认性，产生的数据应确保机密性、完整性平台数据存储流程机密性、完整性存储的数据应确保机密性、完整性，不能被窃取和恶意篡改平台数据使用流程机密性、完整性、认证性、隐私保护用户使用数据应确认用户身份，数据使用过程中应确保数据的机密性和完整性，涉及个人隐私数据的应满足数据隐私保护要求平台数据传输流程机密性、完整性数据传输过程中应确保数据的机密性和完整性平台数据销毁流程隐私保护数据销毁应满足隐私保护要求平台数据归档流程机密性、完整性、隐私保护归档的数据应满足机密性、完整性；涉及个人隐私数据的归档应满足隐私保护要求

（资料性）

监管协调相关模块及其接口功能说明以下是具体的监管协调相关模块及其接口的功能说明风险量化识别模块风险量化识别模块可以用于评估和量化系统的风险，将风险因素转化为可衡量和可比较的指标，以帮助决策者更好地了解和管理风险，风险量化识别模块的监管协调接口包括但不限于以下接口：a) 风险识别指令下发接口：监管平台可以根据监管管理员的要求，将风险识别任务下发给风险量化识别模块。风险量化识别模块应设计并开发风险识别指令下发接口，在收到指令后启动风险识别任务，对指定对象进行风险量化识别；b) 风险识别预警报告获取接口：监管平台可以根据监管管理员的要求，从风险量化识别模块获取之前风险识别任务完成时提供的报告。风险量化识别模块应设计并开发风险识别预警报告获取接口。敏感信息推断模块敏感信息推断模块可以通过分析和处理数据，推断出可能包含敏感信息的内容，敏感信息推断模块的监管协调接口包括但不限于以下接口：a) 敏感信息推断指令下发接口：监管平台可以根据监管管理员的要求，将敏感信息任务下发给敏感信息推断模块。敏感信息推断模块应设计并开发敏感信息推断指令下发接口，在收到指令后启动敏感信息推断任务，对指定数据库对象进行敏感信息推断；b) 敏感信息识别推断报告获取接口：监管平台可以根据监管管理员的要求，从敏感信息推断模块获取之前敏感信息识别推断任务完成时提供的报告。敏感信息推断模块应设计并开发敏感信息识别推断报告获取接口。行为感知模块行为感知模块可以通过感知和分析系统环境中的实体行为来提供反馈，行为感知模块的监管协调接口包括但不限于以下接口：a) 用户行为感知指令下发接口：监管平台可以根据监管管理员的要求，将用户行为感知指令下发给行为感知模块。行为感知模块应设计并开发用户行为感知指令下发接口，在收到指令后启动行为感知任务，对指定对象进行用户行为感知；b) 异常行为融合分析指令下发接口：监管平台可以根据监管管理员的要求，将行为融合分析指令下发给异常行为融合分析模块。异常行为融合分析模块应设计并开发异常行为融合分析指令下发接口，在收到指令后启动异常行为融合分析任务，对指定对象进行异常行为融合分析；c) 数据访问异常行为告警报告获取接口：监管平台可以根据监管管理员的要求，从异常行为融