基于數據安全智能化分析研究

陳智揚

【摘要】? ? 隨著數據業務的不斷拓展，電信運營商掌握了海量的極具商業價值的敏感數據信息。敏感數據所帶來的安全隱患使得信息安全的重要性日益凸顯，保障電信信息系統安全至關重要。本文在結合廣東移動安全現狀的基礎上，利用人工智能技術，通過貼近業務現狀的智能安全審計場景模型，使安全審計更精準，更有效，滿足業務綜合審計及安全合規管理的需要。為數據隱私保護提供有效地技術方法借鑒。

【關鍵詞】? ? 敏感數據? ? 智能分析? ? 安全場景

引言：

隨著電信運營商網絡規模的擴大和數據業務的增加，大數據、云計算等相關領域的發展為電信行業帶來新機遇的同時，也帶來了潛在的數據安全隱患。面對海量的各類日志和數據信息，安全審計體系建設已然成為中國移動安全體系建設中的必要一環。在安全審計系統中運用自動化、大數據、人工智能等技術，不僅可以提升審計效率，而且能在安全事件發生之前通過異常行為告警方式通知管理人員，及時進行分析并采取相應措施進行有效阻止，從而大大降低安全事件的發生率。

本文結合廣東移動的實際情況，基于業務經驗和生產系統中的業務實時日志，區分不同業務場景后，通過樣本數據的機器學習模式，對用戶信息、設備信息、用戶行為、業務數據等關鍵信息進行自動學習，通過在平臺固化場景，完成不同維度的行為分析和展現，實現敏感數據的智能化安全分析。減少敏感數據丟失的事件發生，提升業務系統安全管理能力。

一、數據安全綜述

1.1安全現狀

中國移動業務支撐系統數據庫積累和掌握了大量的客戶信息、生產數據和運營信息，目前業務支撐數據庫中的敏感數據主要包括客戶、服務、資源、服務使用、帳務、客服等。針對敏感數據的使用，常見的安全隱患主要有：

數據集中、共享與多樣化加大了泄漏風險;

數據采集源和采集方式呈現碎片化、多樣化、分布化的特點，安全分析受限于采集分析系統的條塊化，并且內部分析難以有效關聯，嚴重降低系統審計分析的效能;

無法了解用戶IT系統中各客戶端的合理使用狀況，無法及時對非法訪問和越權訪問進行告警與預防。

1.2安全目標

本次研究對敏感數據的業務特征進行綜合分析與總結，建立和完善安全數據平臺的智能分析的各類分析場景、模型和配套的智能分析方法，逐步實現安全大數據的智能數據深度挖掘分析。更加嚴謹地實現敏感數據的精確審計，從而提高敏感數據安全審計的準確性，降低敏感數據泄露的風險。

二、數據安全智能化建設

2.1建設思路

本次研究通過與支撐系統業務特征的結合，對業務支撐系統的敏感數據訪問進行實時智能化安全審計，使敏感數據的使用更加嚴謹，降低了敏感數據泄露的風險。通過規則引擎、聚類分析、正態分布等學習模型，提煉風險行為，并在平臺固化場景，完成不同維度的行為分析和展現，再輔以人工驗證的方式，及時發現問題并加以控制。

2.2建設過程

2.2.1數據采集

基于現網可用數據包括登錄、訪問、訂購等信息進行采集、清洗和標準化;并進行數據的基本信息統計如：訪問頻次、時長等;針對平臺中敏感信息的原始操作日志以及金庫操作日志，幫助管理員了解企業內敏感數據的使用情況，通過對重要數據、惡意訪問行為數據的采集分析，發現潛在的泄露風險，判定危險源行為特征類型，實現日志的自動化審計。

2.2.2用戶行為畫像

基于采集的標簽化、標準化、預統計的數據進行業務畫像，如用戶畫像、渠道畫像、營業員畫像等。用戶工作情況特征抽取用戶的行為自動建模而成，在用戶工作熱度、用戶工作效率、用戶工作類型等方面對用戶進行標簽化。用戶工作熱度主要反映用戶在單位時間內產生的工單數目及進行的操作數量;用戶工作效率主要反映用戶在接受工單后，多久時間能夠完成工單;用戶工作類型主要通過分析用戶接受工單的類型，提取用戶主要擅長哪個領域的工單。系統支持關鍵詞，布爾邏輯表達式以及精確搜索的輕量級搜索功能，對于不符合用戶畫像模型的操作行為，觸發相應的告警和審計流程。

1.前臺人員

通過將4A系統和BOSS/CRM操作日志數據采集到大數據平臺中，通過數據同步、數據解析和標準化，按照如下步驟進行前臺人員客戶畫像，分析異常行為。

1）分析全省各類前臺人員業務操作情況，刻畫出人員操作行為畫像;

2）根據生產實際情況，建立分析模型，通過一段時間的數據學習，形成操作基線數據;

3）根據各類型人員操作行為畫像與單個人員的操作日志進行自動分析，發現前臺人員業務操作的異常情況。

2.后臺人員

4A審計系統采集的后臺人員操作日志，包括數據庫和主機操作日志，按照如下步驟進行前臺人員客戶畫像，分析異常行為。

1）按人員基本信息，人員操作類型，操作地址（網段），資源 類型，操作對象等屬性對人員進行標簽化處理;

2）對標簽化后的人員信息進行聚類分析，得出人員實際的歸屬類別和群體特征;

3）對聚類后群體的操作特征進行分析，觀察群體內的人員是否有偏離本群體的異常操作行為。

2.2.3異常樣本獲取

通過復合多種機器學習算法（如聚類算法、局部異常因子算法等）組合建模，將每個行為具象為一個點p，通過比較每個點p和其鄰域點的密度來判斷該點是否為異常點。

2.2.4分類算法校驗

通過正態分布算法進行建模，識別每個用戶的常用IP、工作時間、操作習慣，形成安全行為基線，并基于行為基線模型，篩選訪問記錄不是常用IP、非工作時間、不符合操作習慣的異常操作行為。

1.識別要素。包括常用來源IP、常用工作時間以及常用操作類型。

2.識別過程。抽取近3個月crm日志，按照操作人員分組，每個操作人員的來源IP情況進行統計，求得樣本的均數μ和方差σ，由樣本均數μ與方差σ決定正態分布的坡度，從而確定正常與異常的邊界。

3.實現效果。發現用戶的異常操作行為：如發現某用戶出現不符合常用地點、常用操作內容等操作習慣的操作行為。

對于偏離個人行為基線的人員，重點進行審計。

2.2.5預測與告警

通過多算法預測技術。得到最優的預測結果。管理員可以在管理敏感訪問控制策略中配置敏感數據處理響應模版，包括策略的生效時間、告警對象、告警方式以及脫敏方式，當用戶訪問敏感數據時，根據規則的配置進行告警或不告警的處理。

2.3數據智能分析步驟

敏感數據安全智能化分析主要對業務場景中的各元素進行配置，除了需要包含場景名稱、場景應用、系統唯一編碼外，還需要包括業務特征，例如：操作人員角色、操作時間、操作IP等。敏感數據智能分析主要實施步驟如下：

第一步，樣本準備：通過既有業務數據，通過業務人員人工標注，作為基礎樣本數據來源。

第二步，樣本訓練：安全管理員對敏感數據的發生的場景、規則進行配置;運用機器學習算法，對樣本數據進行訓練，得到準確度較高的模型，應用于審計場景中。

第三步，模型預測：運用機器學習模型，識別每個用戶的常用IP、工作時間、操作習慣，形成安全行為基線，并基于行為基線模型，篩選訪問記錄不是常用IP、非工作時間、不符合操作習慣的異常操作行為，對業務日志數據進行預測。

第四步，結果輸出：結合圖形化、多元化以及列表展現形式對結果進行展現。

第五步，業務價值提升：在預測結果上進行深度分析，并產生日志審計報告，對于超過正常訪問特征權值的操作進行報警。

三、結束語

本文提出了一種基于數據安全智能化分析方法。該方法結合了敏感數據操作場景、用戶畫像、異常樣本獲取、分類算法校驗、預測與告警等元素，對敏感數據的訪問進行智能分析與安全審計。有效的控制了人員的違規訪問操作，使敏感數據的監控更加嚴謹、準確，減少了用戶的問題投訴，滿足中國移動在數據安全管理方面的需求，提升數據安全的抗風險能力，并進一步推動業務支撐系統的持續、健康發展。

參? 考? 文? 獻

[1]杜璽倫.大數據時代下計算機信息處理技術研究[J].計算機產品與流通，2019（07）：142.

[2]陳張榮.“大數據”時代的計算機信息處理技術研究[J].黑龍江生態工程職業學院學報，2016，29（03）：23-25.

[3]王雅珉.“大數據”時代的計算機信息處理技術[J].電子技術與軟件工程，2017（10）：156.