2019年11月8日，由中国信息协会信息安全专业委员主办，杭州美创科技有限公司承办，中国信息协会信息安全专业委员会数据安全工作部协办的数据安全司法保障论坛完美收官，汇聚了司法服务机构从业者、产业链资深人士、安全领域技术专家等百位嘉宾，共同研讨如何保障数据依法安全流通和使用，为产业发展提供可靠动能。

时代背景、现状与挑战

中国互联网才发展了25年，但由于发展的高速性，我们迅速进入了全新的数据经济时代。数据深入挖掘、多维度应用、海量交换、高速传输，成为重要的生产资料，数据经济也已纳入政府工作报告。数据的重要性与日俱增，同时数据迎来的挑战也日益加剧。

根据世界经济论坛《2018年全球风险报告》显示，网络攻击已成为仅次于极端天气和自然灾害的全球第三大威胁。近期，“网络黑灰产非法交易”、“用户授权与过度采集”、“数据爬虫”等热点事件频发，数据安全事件总是在我们身边发生，窃取数据的人悄悄地来，悄悄的走，点一点鼠标，带走了我们数字世界中最宝贵的财富——数据。

从一次又一次的数据犯罪中可以看出，截至目前没有哪个业务系统，没有任何网络是绝对安全的。需要我们做的还有很多，从司法角度来说，需要明确数字知识产权、制定数据使用规则、加强数据犯罪防控，另外数据证据的保全、数据安全审计、数据溯源技术也需要提升与完善。

审计溯源是保证数字世界安全运转的基础保障，它的价值不仅仅在于追捕攻击者，它也为数据安全提供了基础的参考。美创科技技术经理李鹏就【数据安全全流程审计和溯源技术应用】这一热门话题，围绕挑战、原则、应用场景、体系建立四个方面展开演讲。

数据安全审计溯源——双重挑战

目前，数据安全审计溯源面临的最为严峻的挑战主要来自法规和技术。

法规方面，17年6月1日我们国家开始实施的《网络安全法》，以及今年5月13号发布12月1号即将实施的《网络安全等级保护制度2.0标准》，都对审计溯源和个人信息保护提出了具体的要求。

技术方面，随着云计算、大数据、互联网以及移动互联网等技术的深入应用，打破了原有网络的边界，使数据共享，数据开放已经成为数字化经济发展的潮流。在这种情况下，我们面临的数据的管理系统和业务系统更庞杂，数据的访问途径更广泛，数据的访问使用人员更多样。

如何在这种情况下建立全面、精细、实用的数据安全审计溯源体系是对当前审计溯源技术的巨大挑战。

数据安全审计溯源——技术原则

一、审计全面性

对所有能够访问数据的途径进行识别审计是审计溯源的基础要求，包括应用访问数据的途径、直接访问数据的途径，任何途径的漏审都将使审计溯源体系形同虚设。

二、审计精细化

在全面性审计的基础上，要做到针对于人员、应用、账号的精细化审计。只有能够精细化的对每个环节进行确认，才能保证审计数据的价值，才能为溯源提供可靠依据。

三、审计实时性

实时记录所有数据的访问和流转。不能一个事件发生了5分钟，才有记录和不合规的告警，往往数据泄露事件的发生就在那么几次建立会话和数据读取中。

四、审计实用性

当我们要对过往事件进行查询溯源的时候，必须能够快速定位，获取该事件的所有信息记录。以医院为例，如果出现了行业特有的恐慌事件，要做恐慌事件追溯时，如果现有的业务审计系统查验效率非常低，比如要查询近期恐慌事件因为什么发生，但得通过三个小时甚至四个小时才能查出相关数据路径，那这个审计对于我们来说实用价值就太低了，对正常的业务开展起不了太多的作用。

数据安全审计溯源——应用场景

李鹏基于自身一线的实际工作情况对数据安全审计溯源的应用场景做了简单介绍。

一、通过应用发起数据库访问

现在的应用绝大多数为B/S结构，即用户访问前端应用，前端应用发起对数据库的访问，从而完成一次数据请求操作。具体查询或者删除、修改了什么数据，审计系统记录的都是应用服务器和数据库之间的操作，无法定义到人员和应用使用模块，这样即使记录下来相应的非法操作也无法做到有效追溯，无法还原前端操作。

如何实现审计精细化？

1、精确审计到操作人：通过应用程序账户以及CA数字认证和U盾，可以精确识别到操作自然人。

2、精确审计到终端：可以精确审计到二层访问的终端，也可以精确审计到来自于三层B/S架构下的浏览器终端信息，包括IP、用户、应用模块。

二、通过数据库越权访问   

针对不同的业务人员有明显的访问权限。有价值数据的企事业单位都会做层次的开发，做业务创新。这个过程中很多驻厂的开发人员往往会拿到高权限的数据访问权限，可能出现跨权限访问的情况。

针对这种情况如何介入？

1、数据库登录审计。明确是谁、在什么时间点、用什么工具、什么终端，登陆了业务性的数据库。

2、明确在登录的基础上做了哪些操作。

3、明确这个操作到底是成功还是失败。

这一系列要做精细化、全面记录，来保证出现了这种问题时我们能够做到有效溯源，同时在问题发生的过程中，我们通过告警的形式告知业务应用、告知企业安全风险的存在。

三、直连访问

数据安全泄露事件20%是由于本地的直连访问造成的。正常的访问是后端应用访问数据，系统的管理人员往往会通过直接用笔记本连接数据库或者登录数据库的形式访问数据。这种访问行为不经过网络链路，没有相关的访问流量，没办法做到审计。

我们提出了本地审计的概念，采用轻量级探针技术，获取到用户访问数据库的流量，记录精细化的访问和操作行为，在数据库审计设备上还原出真实的SQL报文。

数字水印是一种将标识信息直接嵌入数字载体（包括文档、软件等）中，但不影响原载体的使用价值，也不容易被人的知觉系统觉察或注意到。

数字水印特性：

1、隐蔽性：传统的文本水印用得最多，但通过PS工具就可以把水印去除，没办法很好隐蔽起水印元素。数字水印，通过现有的数据传输的载体加入一系列的标识信息，对数据信息进行根本性的记录，来做定位。

2、鲁棒性：防止数字水印被篡改，通过校验机制存在。通过加入相应的校验码，保障数字水印的唯一性、安全性。

数据安全审计溯源——体系建立

如何建立数据安全审计溯源体系？主要从这四方面来做：

▹ 组织：任何体系建立离不开团队，必须建立相关的团队和人员，把人员职责精细化。

▹ 制度：建立相关的审计制度，通过制度、人员、工具的形式最终达到安全审计溯源体系的有效性。

▹ 技术：审计溯源的技术架构、技术工具。

▹ 流程：加入精细化流程的干预，比如事中告警、事后追溯。

本次论坛法学知识背景的司法从业者，与技术背景的数据安全保护者，同坐一堂，将法律与技术结合，共享最新的趋势动态，共探最优解决方案，为我们带来精彩演讲，受益颇深。