上篇我们介绍了数据流转安全的体系化建设相关内容。本篇着重从方案建设入手，介绍数据流转安全对应的数据流转监测能力如何建设。

整个建设方案，围绕着敏感业务数据展开，为了方便理解，我们从常见的【事前】【事中】【事后】【日常运营】的日常安全运营管理视角来整理介绍数据流转监测的落地方案。

流转监测解决方案的核心价值在于，在不受传统网络安全域的限制下，以业务零打扰的方式，对企业网络生产环境的各个流量节点，进行动态业务流转监测，提供持续化的动态数据安全监测能力。

上篇我们已经从【事前】【事中】【事后】【日常运营】给出了数据流转监测各个环节所面临和解决的问题。本篇我们给出对应的问题解决方案。

从图中可看出，整体的能力集中度更偏向于事前，主要以安全左移的安全设计理念，尽可能将异常和风险暴露在事前。

无论是安全左移，还是风险前置，核心都绕不开发现梳理、主动预测。主动预测需要全面、完整、有效的数据信息，因此依赖于发现梳理。事前要想达成资产管理与主动监测，需要以下几点能力支持：

1、全链路数据采集

出于对企业业务的“零打扰”“不侵入”“不占用”的设计原则，流转监测解决方案，应当在落地时，就支持镜像旁路、或云端Agent等多种部署方式，对本地或云端应用层全链路协议流量进行采集。以确保企业在建设数据安全统一监测体系中，避免重复建设、数据源不统一等问题。具体能力包括：

全链路协议支持。包括支持HTTP、FTP、SMTP、POP3等应用类协议，以及如Orcale、DB2、Hive、HBase、DM等传统数据库、大数据库、国产数据库协议。

双向流量解析。即可对Request和Response内容进行全面解析和提取。

多源分布式采集。企业内部网络环境复杂，监测业务系统较多，需要支持多源分布式的流量数据采集

分流定向采集。可以按照业务使用需求，对某个采集探针，进行分时分流采集，确保采集源精确。

杂质流量过滤。可以对非业务、非敏感、无价值的接口调用流量等杂质流量进行自动过滤。

2、统一数据资产梳理

数据资产梳理是整个数据流转监测对象的基础和核心。资产梳理的目的在于对黑盒数据资产进行发现、规整，或以资产备案、认领等形式对企业关注的重要业务系统或数据进行提前登记造册。通过对数据资产梳理、备案，形成动态数据和业务资产清单，确立起监测对象范围，在此基础上进行安全监测，确保安全监测对象在起跑线上是符合企业数据安全诉求的。资产备案的内容包括但不应限于Web应用及接口、文件服务、邮件服务、数据库服务等。当然数据资产备案中心的建设，在企业现实中分两种情况：

（1）以主动发现识别来破解资产黑盒化，完成数据资产备案管理。

此种情况下，安全部门难以获取业务部门全力支持，需要安全部门承担部分数据资产备案工作；这种情况下，可以采用黑盒资产扫描的形式，由安全部门人员，将企业安全部门关注的核心业务系统等资产进行备案注册，形成业务资产清单。

（2）以业务部门导入支持的数据资产备案管理。

此种模式适用于企业内部已建立了相应的数据安全的组织制度和规范，可以自上而下推行，由不同业务部门专项人员批量导入业务系统资产，进行登记造册。此种模式的好处是可以根据数据和资产的分类分级进行业务性导入，使被监测的业务数据资产更符合业务监护安全场景。

3、业务数据动态流转测绘

业务数据资产的测绘主要目标是帮助安全部门掌握已备案的企业敏感/重要业务数据资产的动态分布和流转情况。具体建设中，需要：

（1）业务信息提取。

敏感/重要数据提取、业务系统资产提取、业务字段提取、业务系统用户提取

（2）资产动态热度。

对应用、接口、敏感/重要数据等资产，进行热度测绘，帮助企业安全部门梳理高热度资产及数据，对安全监测审计和分析业务资产做到心中有数。

（3）数据流转测绘。

基于敏感数据的荧光测绘技术（FMMA，Fluorescent marker mapping algorithm），由荧光标记算法和机器学习关联算法构成。

通过荧光标记，将应用协议流量和数据库协议流量中包含该荧光标记的流量全部提取出来，再利用机器学习关联算法，将标记出来的流量范围进行收缩、关联，从而输出荧光测绘结果，形成全链路流转视图，继而清晰描绘出，不同敏感类型数据流经的应用、接口、数据库、表等链路节点及完整的流转路径，还原敏感/重要数据的流转轨迹，帮助掌握安全部门对业务数据流转动态，洞悉流转中的异常和风险。

（4）UEBA画像测绘。

基于UEBA和机器学习技术，对应用、接口、应用账号、数据库账号等资产实体或主体，进行画像测绘，形成UEBA画像，帮助企业安全部门进一步挖掘潜在风险。无论是应用画像、账号画像、接口画像，其所需要挖掘的价值信息包括：

• 画像主体基础信息：定义画像主体“是谁”
• 访问资产热度信息：挖掘画像主体的资产使用情况
• 主体涉敏行为基线：整体判断主体的行为偏离度是否正常
• 涉敏访问轨迹还原：查看主体涉敏访问的时间和行为轨迹，进行深入分析

4、场景化安全监测和审计

（1）全链路节点信息审计

流转监测解决方案在流量审计方面，远远要比其他流量监测类系统更注重流量数据的完整性、丰富性和精确度。全链路的流量审计能力，将应用类协议流量和数据库类协议流量都进行了审计，可以帮助流转监测解决方案获取更多的审计节点信息和内容，为上层业务安全能力提供了夯实的基础数据保障。

（2）安全监测核心：风险因子和风险场景

流转监测解决方案在安全监测方面，采用了“两步走”方式。

第一步：对异常行为的识别和监测。由于异常行为本身多为简单事件，行为构成并不复杂，但又不符合安全规范，其安全上危害性偏低，如“非法时间访问”等，因此不会产生预警，避免过多预警导致安全人员在意识和安全运算上形成麻痹心理。但流转监测解决方案会对异常行为触发的主体进行监察隔离，形成监察隔离清单，并输出报告交由安全人员进行进一步的分析挖掘或督察整改。

第二步：风险场景的识别和监测。风险场景往往是复杂多事件构成，其在发生事故的概率上、危害严重程度上，都具备更高的量级。因此会触发主动预警，同时对触发的主体进行强制监察隔离。如“应用账号非法时间涉敏数据过频过量访问”等。

（３）场景化监测：

１）合规性监测：

按照【人】-【业务】-【应用】视角来对数据流转过程中的合规性进行监测。

人：使用合规。包括：访问行为合规监测（如高危操作访问监测）、业务账号使用合规监测（如账号共用）、涉敏数据使用条件合规监测（如异常地点）

业务：传输合规。包括：业务敏感数据流转监测（如对外流出接口监测）、业务数据传输分类分级合规监测（本监测需要企业事先做好数据分类分级，可对不符合分类定级的接口进行监测）、业务数据未脱敏加密监测（对该加密脱敏但未脱敏加密的数据接口监测）

应用：安全合规。包括：应用接口脆弱性检查（如登录接口弱口令检查）、应用安全威胁性检查（如爬虫爬取）、应用接口暴露面检查（如高敏接口明文暴露梳理）

２）防泄漏场景监测：

数据流转监测在防泄漏领域，虽然涵盖了外部窃取的监测范畴，但更偏重于企业内部内鬼窃取的泄露场景。因为内鬼对高敏数据的窃取更加隐蔽、周期性更长、特征更不容易被提取。而流转监测解决方案的长效性的监测安全运营体系，结合机器学习和基线算法能力，可以更好的对周期性、长期性的内部泄露行为进行感知和分析。其中流转监测解决方案根据观安多年的经验，沉淀并内置了泄露相关的风险因子和风险场景策略。包括：【疑似内鬼高风险访问涉敏应用数据】场景、【应用账号高泄露风险访问敏感数据】场景等

３）外部侵害监测：

外部侵害监测更偏向于来自外部的恶意访问或攻击形成的异常或风险。监测的范围也涵盖了web应用、邮件文件服务、数据库服务等。包括常见的暴力破解、SQL注入、疑似DNS劫持等。

5、构建事后溯源反演能力闭环

当泄漏事故切切实实发生时，无论是自证清白，还是反演追查，都离不开事后溯源能力。溯源反演能力的要求一方面体现在溯源的数据面的覆盖度、保真度、完整度上，另一方面体现在是否能够非常实际的帮助企业安全部门能够很好的利用起溯源的能力，从线索追查到溯源分析、可疑线索的归档、再分析再到溯源事件和报告输出，在发生重大数据安全事故中，快速为安全部门提供排查切入点和抓手。

6、日常安全运营

数据流转监测相比传统的单点安全能力而言，更注重运营过程。监测本身是一个持续性的过程，对数据流转安全监测的运营也成为一个不可忽略的课题。对此，流转监测解决方案给出以下数据流转所需关注的日常安全运营点：

对外数据实时流出趋势

核心业务系统资产分布及动态变化情况（含接口/URL等）

业务系统接口等资产访问热度情况

监察隔离变化情况

异常/风险动态分布情况

应用接口及数据库脆弱性/暴露面动态变化情况

其他安全部门关注的运营点

以上，就是全链路数据流转监测的整体落地建设方案。数据安全建设非一朝一夕可以完成，只有清晰了解对数据安全的当下阶段和未来发展趋势，以及各行业的规范要求，才具备完整的数据安全规划能力。而每个行业的具体业务和建设要求又有各自独特的诉求，因此落地方案可以更加细化和完善。本文的解决方案仅仅为大家提供一个路线和相对详细的能力框架及集合，如果各位看官老爷有自己想法或建议，欢迎联系我们，共同探讨。

另：后续我们将继续围绕【监测】这一核心命题，给出相应的能力建设体系。