DSMM-024 监控与审计管理规范V1.0
第一章 总则
第一条 为规范北京思度咨询科技有限公司内部各类数据访问和操作的日志管理、监控与审计及数据正当使用工作,确保日志的完整性、有效性,保证对数据的访问和操作均得到有效的监控和审计,以实现对数据生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等安全风险的安全保护,制定本规范。
第二条 本规范适用于指导北京思度咨询科技有限公司对数据访问及操作的日常监控及日志审计分析管理。
第二章 职责权限
第三条 数据安全审计岗,负责数据在全生命周期的访问和操作的日志管理、监控审计工作,主要履行的职责包括但不限于:
(一)负责数据访问和操作日志的监控与审计相关策略或办法的起草与执行;
(二)负责审计日志备份保留策略的设置和变更的审批;
(三)负责组织对单位内部员工数据操作行为定时或实时人工审计;
(四)负责对数据的使用行为进行评估;
(五)负责对提交的风险行为分析报告审批及审核;
(六)负责组织数据库运维人员实时对数据安全操作及访问行为进行审计和分析,并提供分析报告;
(七)负责组织数据库运维人员分析数据操作日志,并制定数据安全风险行为识别和评估规则。
第四条 数据库运维岗,主要履行的职责包括但不限于:
(一)负责维护数据访问和操作日志监控审计设备并保证其正常运行;
(二)负责实时分析访问和操作审计日志,及时发现违规操作行为,并提交相关分析报告;
(三)负责维护安全设备审计策略并及时优化,并进行日志备份;
(四)负责制定数据安全风险行为识别规则或模型,并根据数据进行优化。
第三章 安全监控管理
第五条 应实时对数据库的访问和操作行为进行监控。
第六条 应充分考虑监控对象的特点及存储数据的安全级别进行监控策略的制定,确定相应的监控指标和监控形式等。
第七条 应充分考虑完成监控功能所需的条件,在技术条件许可的前提下,应尽量采用自动监控策略,对于关键监控对象,如果没有自动监控条**件,应进行人工监控。
第八条 监控策略应根据相关管理要求和实际使用情况而不断优化,至少每年进行监控策略审核。
第九条 应通过技术手段对存储系统的CPU利用率进行监控,通过监控和调整系统资源,来对未来容量的需求作出预测,以确保系统性能满足日常使用。
第十条 数据库运维岗每日对数据库的访问及操作审计日志、登录日志等进行统计分析,形成《日志监控分析报告》,发送至数据安全审计岗。
第四章 日志安全管理
第十一条 实时收集数据访问与操作审计日志、告警日志,审计监测日志、运维日志、操作日志、网络事件及设备运行状态日志等,并形成相应的日志记录文件以供查询,定期进行检查、分析、备份和清理。
(一)运维审计日志内容包括:用户登录、注销、数据查询、插入、数据修改、数据删除、修改配置等;
(二)数据库审计日志内容包括:用户操作时的用户识别符、登录时间、注销时间、事件发生的日期和时间,事件内容或操作结果、数据库客户端软件、数据库客户端源地址、数据库用户名、访问的数据库对象、数据库操作类型、数据库操作内容(使用的SQL语句)等。
(三)告警日志内容包括:告警时间、告警类型、告警方式以及告警详情等。
(四)运行状态日志内容包括:CPU使用率、内存占用、硬盘空闲空间大小、网络连接速度等。
第十二条 对于日志信息存储保存及访问应通过技术手段进行保护,以防止日志信息的篡改和未授权访问。
第十三条 应部署时钟同步服务器,保证所有信息处理系统的时钟应按照统一的参考时间源保持同步,从而保证日志记录的时间信息有效。
第十四条 安全日志的备份和存储策略应根据各系统和设备的日志特点,制定日志备份保留策略。对于关键性日志(登录日志,操作日志以及告警日志、审计日志等)一般至少保留一年。
第十五条为确保日志的完整性及真实性,在保留期内任何人不得删除和修改日志。
第十六条数据库运维岗在监控过程中如发现异常情况,应及时报告,并针对发现的异常情况,进行评估和处理,排除可能存在的隐患。
第五章 安全审计管理
第十七条 数据安全审计岗应组织每季度针对保存的数据访问及操作日志进行审计,并且评估数据库运维人员所提交分析报告的事件级别。
第十八条 针对发现的数据安全事件以及突发事件等,应按照《数据安全事件应急管理规范》组织相关方进行事件处置及应急响应。
第六章 数据使用评估
第十九条 在任何情况下,若需使用数据,提交数据使用申请后,均应由数据安全审计岗评估是否含有个人信息和重要数据。
第二十条 涉及个人信息和重要数据的使用,则应先进行安全影响评估,再进行合规评估,满足合规要求后,方可允许使用数据。
第二十一条 个人信息安全影响评估流程如图1所示:
图1 个人信息安全影响评估
(一)评估前,对个人信息的处理过程进行全面的调研,形成清晰的数据清单及数据映射图表。同时结合个人信息处理的具体场景,初步判定所处理的个人信息哪些属于个人敏感信息,梳理出待评估的个人信息处理活动。
(二)分析个人信息处理活动对个人权益造成的影响,并判定相应的影响程度;
(三)对个人信息处理活动涉及的特点、安全措施、相关方、规模等进行分析,判定相应影响相关安全事件发生的可能性;
(四)综合分析影响程度和可能性两个要素,得出风险等级,并给出相应的改进建议,最终形成评估报告。
第二十二条 个人信息使用合规性评估的内容包含:
(一)含有的个人信息数据是否能精确定位到特定个人;
(二)是否含有信用、资产和健康等敏感数据;
(三)敏感数据是否按照脱敏、加密等安全要求进行处理;
(四)是否超过该申请人的数据使用权限;
(五)是否超出收集数据时所声明的目的和范围。
第二十三条 数据安全审计岗应每季度组织对公司内部员工的数据访问、操作及使用行为进行审计,对违规访问、操作和使用数据的员工,予以处罚。对因违规访问、操作和使用数据而给公司造成损害的员工,按照《人员安全管理规范》中的数据追责机制予以处罚。
第六章 风险分析及预警
第二十四条 数据库运维岗需按照要求实时针对审计日志进行分析,及时发现异常行为,识别数据安全访问和操作中的安全风险,并及时将发现的风险事件上报给数据安全审计岗,优化风险识别规则。
第二十五条 应使用统一的日志监控平台及工具建立数据安全风险识别模型或规则,所识别的风险事件包括但不限于用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登录、多次错误登录、审计策略更改和其他异常事件。
(一)越权访问行为:针对数据的权限进行梳理并建立数据权限安全基线。通过关联数据库防火墙日志、数据防泄漏日志、数据库审计日志,与数据权限安全基线碰撞分析是否存在越权访问行为,如一定周期内某账号有操作日志记录,但在此周期内无登录日志记录;或某账号本没有数据库的访问权限,但却出现了操作日志记录等。
(二)异常操作行为:针对操作行为建立行为准则合规基线。通过操作审计日志(包括时间、客户端IP和端口、客户端程序、账号、操作命令、操作对象(库、表、列)、操作结果、响应时间)等信息,发现异常的查询频率、异常登陆行为、异常修改数据、异常删除数据以及数据的导出等行为。
(三)敏感数据泄露:针对敏感数据泄露的攻击行为建立安全分析模型。通过对数据防泄露设备日志深入分析,检测是否存在SQL注入导致的爆库行为,是否存在数据库的拖库现象。
(四)非工作时间访问行为:建立工作人员正常工作时间基线。通过分析登陆日志、操作日志等建立工作人员的正常工作基线,以机器学习的方式发现非正常工作时间的数据库访问行为。
(五)高频访问行为:操作人员频繁的登陆和登出,不在正常的基线范围内。
(六)高风险指令:操作人员使用删除操作、或root账户登陆行为。
第七章 附则
第二十六条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第二十七条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。
第二十八条 本规范自发布之日起执行。