人员安全管理 企业需要对IT部门内的员工以会接触到企业敏感数据的员工进行人员安全管理，主要包括安全意识教育、安全能力培训、重点岗位管理和安全违规问责等。 安全意识教育 为了提升全员的信息安全意识，规避信息安全违规风险，保证业务的正常运营，企业可以从意识教育普及、宣传活动开展、承诺书签署三个方面开展安全意识教育 意识教育普及：定期开展信息安全意识教育学习，要求员工持续学习信息安全知识，了解相关政策和制度，知道哪些行为是可以接受，哪些是不能接受的，意识到即使主观上没有恶意，也要对自己的行为负责，并承诺按要求执行。 宣传活动开展：面向全员开展形式多样的信息安全宣传活动，包括信息安全社区运营、信息安全典型案例宣传、信息安全活动周、信息安全动画宣传片等。 承诺书签署：将信息安全纳入《员工商业行为准则》，通过公司统一开展的年度例行学习、考试和签署活动来传递公司对全员在信息安全领域的要求，提高员工信息安全意识。签署信息安全承诺书，承诺遵守公司各项信息安全政策和制度要求。 安全能力培训 参考业界优秀实践，建立完备的信息安全培训体系。在员工入职、在岗、晋升等环节纳入多种形式的安全技能培训，提升员工安全技能。 信息安全基础培训：根据不同角色、岗位制定相应的安全基础能力培训计划。新员工转正前必须通过有关信息安全与隐私保护的上岗培训和考试；在岗员工需根据不同业务角色，选择相应课程进行学习与考试。管理者需参加信息安全必须的培训和研讨。 精准培训：通过大数据分析识别产品研发过程中的典型安全问题和问题关联责任人，并向其精准推送安全典型培训方案（包括案例、培训课程、练习题等），持续改进安全质量。 实战演练：引进业界优秀实践，开发信息安全实战演练平台，开展红蓝对抗，提供场景化的实战演练环境供员工练习和交流，提升员工的安全技能和安全响应能力。 安全能力任职牵引：为了让员工更加自觉、有效地进行信息安全学习，将信息安全要求融入到任职资格标准中。员工在任职晋升过程中需要学习相应的信息安全课程，通过相应的信息安全技能考试，提升自身信息安全能力。 重点岗位管理 为了内部有序管理，消减人员管理风险对业务连续性和安全性带来的潜在影响，建议您对运维工程师等重点岗位实施专项管理。具体如下： 上岗安全审查：针对新上岗人员，开展上岗人员安全审查，确保上岗人员背景和资历符合企业的信息安全要求。 在岗安全培训赋能：围绕信息安全意识、客户网络服务的业务规范、用户数据及隐私保护要求进行信息安全学习和考试，并根据业务变化定期刷新学习和考试大纲。 上岗资格管理：重点岗位员工必须通过信息安全上岗证的考试，并取得证书。通过证书管理平台对已通过安全上岗证考试的员工发放有效期不超过两年的电子证书，证书到期前提醒员工重新参加考试。 离岗安全审查：按照调动、离职安全审查清单，对内部调离、离职人员进行离岗安全审查，包括离岗权限账号的清理或修改等。 安全违规问责 企业需要建立严密的安全责任体系，贯彻违规问责机制。要求每个员工都对自己工作中的行为和结果负责，不仅要对技术和服务负责，也要承担法律的责任。安全问题一旦发生，可能会对企业带来极大影响。因此不管故意还是无意，要以行为和结果为主要依据对员工进行问责。根据安全违规的性质，以及造成的后果确定问责处理等级，分级处理。对触犯法律法规的，移送司法机关处理。直接管理者和间接管理者存在管理不力或知情不作为的，须承担管理责任。违规事件处理根据违规个人态度与调查配合情况予以加重或减轻处理。 父主题： 安全运营

资产信息 如图5所示，展示资产总数以及高中风险资产总和资产数据识别情况。 表3 资产信息 参数名称 来源 说明 资产总数 高、中、低风险资产总和。 - 风险资产数 高、中风险资产总和。 - 安全资产数 低风险资产数。 - 敏感字段总数/总字段数 敏感数据识别。 统计敏感数据列总数/列的总数。 敏感文件数/总文件数 敏感数据识别。 统计OBS资产中的敏感数据文件总数/总文件数。 数据表数 敏感数据总表数。 统计敏感数据表总数。 图5 资产信息

处置统计 告警处置统计 按时间展示来自“告警管理”功能的“告警总数”和“未处理告警数”。 事件处置统计 按时间展示来自“事件管理”功能的“事件总数”和“未处理事件数”。 表7 执行信息 参数名称 来源 说明 告警总数 告警管理 统计告警管理列表中的告警总数。 未处理告警数 告警管理 统计告警管理列表中的告警状态为“开启”的告警数量。 事件总数 事件管理 统计事件管理列表中的事件总数。 未处理事件总数 事件管理 统计告警管理列表中的告警状态为“开启”和“阻塞”的事件数量。 图9 处置统计

执行管道 表1 模型的执行管道 模型名称 管道 是否开启 状态 备注 应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对 域名 进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-WAF关键攻击告警 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-虚拟机横向连接 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-高危端口对外暴露 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-登录爆破告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-异常网络连接 sec-hss-alarm 推荐开启 开箱即用已开启 -- 网络-源ip对多个目标进行攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- IPS告警去重 sec-nip-attack 按需开启 -- -- 网络-命令注入告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意外联 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-rootkit事件 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-反弹shell sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 主机-异地登录 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-异常shell sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-弱口令 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-恶意程序 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-暴力破解成功 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-高危命令检测 sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 网络-检测异常连接行为 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-检测黑客工具攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-僵尸网络 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-后门 sec-nip-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在源码泄露风险 sec-waf-access 推荐开启 开箱即用已开启 -- 身份- IAM 账号爆破 sec-iam-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在log4j2漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 身份-创建IAM委托 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-创建联邦登录 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-IAM账户添加子用户 sec-iam-audit 推荐开启 开箱即用已开启 -- 运维-挂载网卡 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-创建peering对等连接 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-资源绑定EIP sec-cts-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在fastjson漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在Shiro漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 网络-CFW异常外联 sec-cfw-risk 推荐开启 开箱即用已开启 -- 网络-疑似存在DOS攻击 sec-cfw-block 按需开启 开箱即用已开启 -- 应用-登录爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-异常文件属性修改 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-恶意定时任务写入 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-进程和端口信息隐匿 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-异常文件权限修改 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-疑似存在远程代码执行漏洞 sec-nip-attack 推荐开启 -- -- 网络-存在敏感文件泄露 /目录遍历漏洞 sec-nip-attack 推荐开启 -- -- 应用-疑似存在openfire鉴权绕过漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 nginxWebUI 远程命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 MinIO 信息泄露 sec-waf-access 推荐开启 -- -- 应用-疑似存在 F5 BIG-IP 命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-存在Spring Actuator信息泄露 sec-waf-access 推荐开启 -- -- 主机-计划任务异常 sec-hss-alarm 推荐开启 -- -- 主机-疑似注册启动信息修改 sec-hss-log 推荐开启 -- -- 主机-疑似发现webshell木马 sec-hss-alarm 推荐开启 -- -- 主机-疑似使用内网扫描工具 sec-hss-log 推荐开启 -- -- 主机-挖矿行为检测 sec-hss-alarm 推荐开启 -- -- 主机-异常脚本调用 sec-hss-log 推荐开启 -- -- 主机-勒索软件 sec-hss-alarm 推荐开启 -- -- 应用-疑似人为WEB恶意入侵攻击 sec-waf-attack 推荐开启 -- -- 网络-目录遍历攻击 sec-ndr-risk 按需开启 -- -- 网络-文件读写执行 sec-ndr-risk 按需开启 -- -- 网络-绕过 sec-ndr-risk 按需开启 -- -- 网络-代码执行 sec-ndr-risk 按需开启 -- -- 网络-检测后门 sec-ndr-risk 按需开启 -- -- 网络-log4j漏洞攻击 sec-ndr-risk 按需开启 -- -- 网络-提权 sec-ndr-risk 按需开启 -- -- 网络-检测恶意外联 sec-ndr-risk 按需开启 -- -- 主机-异常权限提升 sec-hss-alarm 推荐开启 -- -- 应用-疑似泛微 e-cology9登录漏洞 sec-waf-access 推荐开启 -- -- 主机-信息破坏 sec-hss-alarm 推荐开启 -- -- 主机-网络异常行为 sec-hss-alarm 推荐开启 -- -- 主机-用户异常行为 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-容器异常 sec-hss-alarm 推荐开启 -- -- 应用-waf 告警恶意ip攻击 sec-waf-attack 推荐开启 -- -- 主机-系统异常变更 sec-hss-alarm 推荐开启 -- -- 主机-漏洞利用 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-集群异常行为 sec-hss-alarm 推荐开启 -- -- 主机-异常进程 sec-hss-alarm 推荐开启 -- -- 主机-黑客工具检测 sec-hss-alarm 推荐开启 -- -- 主机-扫描侦查 sec-hss-alarm 推荐开启 -- -- 主机-关键文件路径变更 sec-hss-alarm 推荐开启 -- 新增 主机-异常外联行为 sec-hss-alarm 推荐开启 -- 新增 主机-文件/目录变更 sec-hss-alarm 推荐开启 -- 新增 主机-尝试暴力破解 sec-hss-alarm 推荐开启 -- 新增 主机-可疑进程异常访问文件 sec-hss-alarm 推荐开启 -- 新增 主机-容器异常启动 sec-hss-alarm 推荐开启 -- 新增 主机-非可信进程运行 sec-hss-alarm 推荐开启 -- 新增 主机-Crontab可疑任务 sec-hss-alarm 推荐开启 -- 新增 主机-用户账号变更 sec-hss-alarm 推荐开启 -- 新增 网络-CFW恶意外部攻击 sec-cfw-risk 推荐开启 -- 新增 应用-疑似存在目录爆破 sec-nginx-access 按需开启 -- -- 应用-疑似存在dos攻击风险 sec-nginx-access 按需开启 -- -- 应用-python恶意爬虫 sec-nginx-access 按需开启 -- -- 应用-用户异常登录疑似爆破 sec-nginx-access 按需开启 -- -- 应用-疑似撞库攻击 sec-nginx-access 按需开启 -- -- 网络-主机非法探测 sec-vpc-flow 按需开启 -- -- 网络-端口非法扫描 sec-vpc-flow 按需开启 -- --

约束与限制 对于DWS数据源，数据访问审计需要手动开启DWS集群的审计功能开关和审计项。另外当未开启三权分立时，默认拥有SYSADMIN属性的用户可以查看审计记录；如果开启了三权分立，则只有拥有AUDITADMIN属性的用户才可以查看审计记录，因此需要保证数据连接中的账号或当前用户账号拥有上述权限（未开启细粒度认证前，使用数据连接上的账号查看审计记录；如果开启了细粒度认证，则使用当前IAM用户身份查看审计记录）。 对于 MRS 数据源，查看审计数据依赖于数据连接中Agent的版本，请确保 CDM 集群为2.10.0.300及以上版本。且MRS Hive数据连接中的用户账号需要同时满足如下条件： 需要配置至少具备Cluster资源管理权限的角色（可直接配置为默认的Manager_operator角色）。 需要配置hive用户组。

查看数据访问日志 在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“数据访问审计”，进入审计日志页面。 图1 数据访问审计 您可以通过切换页签，查看不同数据源的审计日志。日志范围默认1小时，支持自定义时段查询，自定义时段时的最大查询时间间隔为一个月。 DWS审计日志：日志列表默认使用最新DWS数据连接。单击查看日志详情，可查看当前日志的全量信息。 DWS审计日志支持导出，单击“导出”后，会下载当前页的json数据。 图2 DWS审计日志列表 MRS Hive审计日志：MRS Hive日志列表默认不展示日志内容，而是支持根据配置条件进行检索，检索结果按照页签呈现，支持展示最多5个检索结果页签。 图3 MRS Hive审计日志列表 DLI 审计日志：DLI日志列表默认展示日志信息。单击日志名查看日志详情，可查看当前日志的全量信息。 图4 DLI审计日志列表

前提条件 为实现MRS Hive数据源的数据访问审计，需要满足如下条件： MRS Hive数据连接中选择Agent代理的CDM集群为2.10.0.300及以上版本。 MRS Hive数据连接中的用户账号需要同时满足如下条件： 需要配置至少具备Cluster资源管理权限的角色（可直接配置为默认的Manager_operator角色）。 需要配置hive用户组。 为实现DWS数据源的数据访问审计，需要满足如下条件： 已开启DWS集群的审计功能开关audit_enabled。 审计功能开关默认开启，如果已关闭则请参考修改数据库参数章节将audit_enabled设置为ON。 已开启需要审计的审计项。 DWS各类审计项及其开启方法，请参考设置数据库审计日志章节。 对于DWS数据源，未开启三权分立时，默认拥有SYSADMIN属性的用户可以查看审计记录；如果开启了三权分立，则只有拥有AUDITADMIN属性的用户才可以查看审计记录。因此需要保证数据连接中的账号或当前用户账号拥有上述权限（未开启细粒度认证前，使用数据连接上的账号查看审计记录；如果开启了细粒度认证，则使用当前IAM用户身份查看审计记录）。

受攻击Top5 表9 受攻击Top5 参数名称 来源 更新频率 说明 受攻击数据库资产Top5 告警管理 实时 根据“告警管理”中的告警来分析展示受攻击数据库受攻击的Top5数据库资产。 受攻击API Top5 告警管理 实时 根据“告警管理”中的告警来分析展示受攻击Top5API。 受攻击数据库资产Top5 如图11所示，展示受攻击的Top5数据库资产，鼠标移动至柱状图显示“数据库名称”、“数据库类型”以及“受攻击次数”。 图11 受攻击数据库资产Top5 受攻击API Top5 如图12所示，展示受攻击的Top5API，鼠标移动至柱状图显示“API名称”、“应用名称”以及“受攻击次数”。 图12 受攻击API Top5