对于企业而言，理想化的数据安全防护技术体系应当能够形成覆盖数据全生命周期各个环节，涵盖“事前、事中、事后”各个阶段的安全保护能力，这也是当前企业内部数据安全能力建设的一个目标和趋势。如果说，日志记录和安全审计是“事后”追查性质的安全技术措施，那么数据访问操作异常行为的监测与响应就是“事前”和“事中”环节数据安全监测预警和实时处置的必要技术措施。

　　对用户行为的关注可以追溯到2014年Gartner首次发布用户行为分析（UBA）的市场界定，随后在2015年Gartner将用户行为分析（UBA）更名为用户实体行为分析（UEBA）。简单来说，UEBA是依托大数据、机器学习来发现高级、隐藏和内部威胁的行为分析技术。从2019年Garnter对UEBA的定义可以看出，UEBA更加聚焦两类行为：“受信内部或第三方人员对系统的异常访问（用户异常），或外部攻击者绕过安全控制措施的入侵（异常用户）”，即合法的人做不合法的事（用户异常）以及特权账号盗用（异常用户）。

　　随着数据安全的重要性与日俱增，UEBA在数据安全防护工作中也得到了应用。不过为满足数据安全保护目标，对异常行为的监测需要从以用户和实体为中心向以数据为中心转变，即关注对数据的访问操作行为。

　　中国信通院安全所于2020年7月在中国通信标准化协会（CCSA）TC8 TF1数据安全特设项目组成功立项《电信网和互联网数据异常行为监测技术要求与 测试方法》行业标准，目的就是规范数据访问操作行为监测预警工具或系统。中国移动、中国电信、中国联通、成都思维世纪、北京奇虎等30家单位共同完成了标准研制工作，目前标准文稿已经报批，等待发布。

　　标准的第四章提出了数据异常行为监测技术总体框架，如图1所示，包括监测数据采集、异常行为数据处理、异常行为分析以及异常行为告警与响应四个层面。

　　图1 数据异常行为监测与响应技术框架

　　监测数据采集

　　对数据访问操作异常行为的安全分析离不开监测数据的支持，一般来说，异常行为分析所需的监测数据来源包括：一是组织内部的各种日志，包括安全事件日志、操作系统日志、应用日志、数据库审计日志等；二是流数据，包括网络流量数据、应用间消息数据等；三是数据库表数据，主要是用于辅助分析的数据，如人力资源信息等；四是自定义格式导入的数据，包括文件导入数据、人工录入数据等。

　　标准的5.1节从监测数据源类型、采集方式、采集传输对监测数据采集提出了技术要求。数据采集过程中要保证数据源的安全，防止非法数据流入导致监测失效或被误导，同时需要适配各种不同数据源的接口协议和文件格式，支持多种数据采集方式，以适应办公网络、生产网络、公有云、私有云等常见场景的灵活部署，并确保采集数据传输安全，以及数据采集可靠性和可用性。

　　标准内容节选（1）

　　异常行为数据处理

　　异常行为数据处理是对于采集到的数据需要进行数据解析、数据清洗处理、数据加工和数据存储，将不同协议和格式的数据解析为统一的元数据结构，用于数据分类、检索、存储和安全分析。

　　标准的5.2节从数据解析、数据清洗、数据整理、数据存储对异常行为数据处理提出了技术要求。数据清洗过程中需要对错误数据或脏数据进行清洗，还需要支持字段取值的标准化处理、数据聚合等操作。数据整理加工过程中，根据行为分析需求，需要实现用户或实体与日志的关联、用户或实体与设备的关联、设备与设备的关联，此外支持输出用于异常行为分析的训练数据集和测试数据集。

　　标准内容节选（2）

　　异常行为分析

　　异常行为分析是以监测数据处理结果集为依据，以高频/批量访问、越权访问、绕行访问、异常时间段、来源、账号访问为分析维度，对数据的异常使用、用户异常行为进行分析，一般包括三种方式：规则匹配、模型检测和场景分析。规则匹配基于知识的方法，建立在专家经验基础上，能够发现已知威胁。模型检测利用统计、机器学习等技术建立检测模型，支持有监督与无监督学习算法，发现异常行为，在具体工程实现时需要考虑模型动态更新、在分布式部署情况下提供大量复杂事件关联分析的能力支持。场景分析结合规则匹配和模型检测，支持针对特定安全场景进行更高级的异常行为分析，通常考虑的场景模型包括高频访问数据、异常时间下对敏感数据的修改、短时间删除大量数据等。标准在5.3节对异常行为分析提出了技术要求。

　　标准内容节选（3）

　　异常行为告警与响应

　　在安全分析过程中发现异常行为，需要立即告警，通过分析确定异常的风险等级，识别异常中的真正威胁，再对威胁进一步响应，缓解和阻断威胁带来的危害。一般告警的方式包括屏幕实时提示、邮件告警、短信告警和声音告警等，告警内容包括事件级别、事件内容、事件时间、事件主体、事件客体、处置建议等。为了避免出现告警风暴，对高频度发生的相同安全事件可以进行合并告警。而针对大规模安全告警，可以通过关联分析算法提高告警分析效率。在响应方面，需要根据网络环境、系统部署、配置管理情况实现主动阻断和联动响应能力。标准在5.4节分别对异常行为告警和异常行为响应提出了技术要求。

　　标准内容节选（4）

　　此外，对应前述每一项技术要求，标准也明确了与之配套的测试方法。

　　自2021年1月开始，中国信通院安全所大数据应用与安全创新实验室已经开展了四期数据安全产品评测工作，其中依据《电信网和互联网数据异常行为监测技术要求 与测试方法》已经对五家安全企业的五款数据安全异常行为监测相关产品（工具）进行了评测。

　　小结

　　《数据安全法》第二十九条明确要求“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发送数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告”。数据访问操作异常行为监测与响应技术能够帮助企业建立数据安全风险和事件的实时监测和处置能力，《电信网和互联网数据异常行为监测技术要求与测试方法》行业标准研制的目的就在于为企业运用该类技术或产品时提供指导。