内部威胁防护体系建设要点有哪些

内部威胁防护体系建设要点有以下这些：

• 内部威胁防护体系建设的前置条件：在建设内部威胁防护体系之前，需要企业（或组织）已经完成安全项目的基本建设。在安全数据采集中，需要重点采集安全身份的用户信息、权限数据和特权账号数据。采集态势感知平台中存储的DLP日志、数据访问日志、数据加密日志、终端内容日志、终端行为日志、终端DLP日志、网络流量日志、安全设备日志等信息。因此需要提前建设好相关的身份管理与访问控制平台、系统安全平台、态势感知平台、终端安全防护平台、数据安全管理平台。

• 网络数据泄露防护系统：除上述安全平台建设外，还需要单独建设网络数据泄露防护（DLP）系统，来保护敏感数据并采集其日志。网络DLP系统基于内容识别、自然语言处理、机器学习、数字指纹、OCR等技术，对常见数据格式和网络协议进行深度解析。它可以有效识别敏感数据，监控敏感数据的使用情况，防止特定的敏感数据或信息资产以违反安全策略规定的形式流出企业。网络DLP系统可从网络流量中采集数据内容级别的检测日志和数据泄露事件日志，日志数据可作为一种重要数据源汇总至平台用于执行内部威胁分析。

• 数据采集：在内部威胁防护体系中，数据是最重要的要素之一，是感知内部威胁的前提，是威胁分析的基础，因此建立完善的数据采集方案，获取高质量的日志数据是构建内部威胁防护体系的重要一环。

• 内部威胁感知平台：内部威胁感知平台基于终端日志、网络日志、应用日志、数据安全日志、系统日志等数据，形成大数据建模分析能力。再利用机器学习、UEBA等技术，从身份、设备、权限、行为等多个维度分析安全风险，生成告警，及时有效预警内部威胁事件。告警事件可与网络空间态势感知平台同步。

• 人员管理制度：内部威胁的主体是内部的人，人的管控是内部威胁防护的核心。脱离人这一关键要素的安全防护体系是不完整的，也必定不是一个高效的防护体系。因此内部威胁防护体系的建设，除完善的技术手段和庞大的经济投入外，还需要建立职责明确的内部威胁安全管理组织，制定完善系统的信息安全管理制度，并在此基础上建立内部人员管理和培训机制。人员管理制度应包括员工认同、激励机制、心理疏导等，培训内容除安全制度外还应包括风险认知、安全意识、法律意识、价值观文化认同、情绪管理等。通过不断强化的人员管理，减少内部威胁攻击者的潜在动机，从而达到防范内部威胁的目的，也许是一种事半功倍的低成本防护手段。