护航数据安全建设第二十一期 | 数据安全防护之数据追踪溯源系统

终端支持丰富的行为数据抓取，包括数据操作、数据轨迹、网络行为、用户行为、应用行为等。所有的行为可以生成可视化的数据和文本，可以直接进行查阅，并与用户活动相关联。

TIS将UEBA、机器学习和大数据技术的精华整合为一个以数据为中心的综合审计和保护平台。通过对数据的重新构筑和关联，我们提供了一个强大的解决方案，首次缩小了实时世界和分析世界之间的差距。我们将运维团队从繁琐的手工工作中解放出来，并授权您的IT和安全团队用更少的资源做更多的事情。

基于用户操作行为数据，提供强大的数据和行为分析能力，帮助用户发现数据泄露、欺诈、滥用等安全问题，并可以发现员工之间潜在数据流通，通过用户行为数据的分析还可以分析用户工作时长、工作内容以及用户操作等，可以为企业提供用户完整数据活动轨迹。

以企业数据为核心，通过大数据技术和数据收集等技术，为用户提供企业数据资产分布、企业数据关系、应用使用分析等。帮助用户了解企业内部数据分布、数据业务、数据拓扑关系等，可以帮助企业清晰了解数据整体使用和流动情况。

通过对用户终端数据数据扫描，发现终端存储存在的数据资产，可以帮助用户梳理和查看企业内部的数据资产。可以查看数据文件的文件名称、文件位置、文件类别、文件类型、文件属性、文件大小、文件指纹等数据的详细信息。通过探针对系统日志进行提取，收集用户历史操作行为。分析用户历史操作行为是否存在操作风险。

终端探针对终端用户的操作行为进行监控并进行日志上报，可以通过服务器端查看用户终端的操作行为，如文件上传行为、文件下载行为、WEB访问行为、U盘拷贝行为、网络共享行为、文件删除行为等行为。可以查看用户操作文件的终端信息、文件名称、文件位置、文件类型、文件大小、应用进程、操作动作、操作时间、文件属性、文件指纹等信息。

系统支持对终端进行进行屏幕操作录制，可以通过服务器对终端录屏进行查询，除了可以对终端用户、终端信息、录制时间、URL地址、应用软件等常规查询，我们还可以通过屏幕出现过关键字进行录屏查询，可以快速定位发现用户的操作行为。

用户行为分析是通过对用户，设备，资产，应用程序事件进行关联分析，TIS使用无监督和监督的机器学习和统计分析来建立正常行为的概况并检测异常。分析涉及统计分析，模糊相关，预测和顺序学习，机器人模式检测以及其他技术。任何与正常行为的偏差都会立即被标记并分配风险评分，提供企业用户风险评估依据。

系统通过对用户操作行为进行配置，可以从用户海量的操作日志中提取用户风险操作行为。风险规则可以支持操作行为、操作时间、用户信息、终端信息、风险等级等的配置，用户可以细粒度配置企业内部不同部门的差异化的风险行为。

系统通过对用户操作行为进行规则组配置，对用户特定操作泄密行为实现点滴式泄露监控，帮助用户发现企业内部蚂蚁搬家式数据泄露行为。

系统采用大数据分析技术和神经网络等先进技术，对用户行为进行自动化学习，当用户行为与系统学习结果产生偏差时，系统会把相关的异常行为上报，同时系统还支持用户模型的增量学习来提高精准度。通过查看异常行为可以看到用户用户当时操作软件顺序与模型预测的操作软件顺序的差异，用于分析用户的异常行为。

通过对企业内部威胁行为检测结果，依照威胁类型，标识数据的数据类型、数据位置等，并支持威胁事件分类分级结果的报表展示。为企业提供了统一数据得统计、分析、稽核和展示。

以“人”为中心刻画“数据”用户画像，依托用户威胁行为基线分析用户数据的异常访问行为。如图所示：用户状态、用户威胁分数、违规行为趋势、风险软件使用趋势、风险操作趋势、用户在线时长、用户空闲时长、数据资产分布等信息。

通过对内部数据操作行为进行关联分析和溯源，查看某个数据流转全生命，同时也可以发现用户存在数据违规操作行为。系统还可以支持数据多级数据溯源。

通过关键字或者关键证据图片对企业内部操作进行溯源，可以帮助用户在海量的录屏视频中快速有效的定位用户威胁的操作行为。

系统可以通过灵活的可视化配置，不仅展示企业数据资产全景，还可以根据客户的个性化需求进行自由配置。

利用强大的数据分析功能，所有数据结果都可以转化成视图，视图样式丰富如仪表盘、柱状图、趋势图、饼图和数据列表等，通过仪表盘面板中丰富的视图，能够以最直观的方式呈现企业关心的业务和数据，充分展现企业各方面的运行状态。

系统可以监控终端和服务器状态，在终端发生异常时，可以进行及时预警。