今日頭條
官方微信
官方抖音
案例頻道★李飛,代向東長揚科技(北京)股份有限公司
關(guān)鍵詞:工業(yè)互聯(lián)網(wǎng);數(shù)據(jù)安全;數(shù)據(jù)資產(chǎn)安全管理
1 項目概況
1.1 項目背景
數(shù)據(jù)安全是事關(guān)國家安全和發(fā)展、事關(guān)人們工作生活的重大戰(zhàn)略問題。國家已陸續(xù)出臺相關(guān)法律政策,統(tǒng)籌發(fā)展和安全,推動數(shù)據(jù)安全建設(shè),如《中共中央國務院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》明確要求加強數(shù)據(jù)安全;《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》明確提出保障國家數(shù)據(jù)安全,加強個人信息保護。隨著《國家安全法》《網(wǎng)絡(luò)安全法》《密碼法》《民法典》《數(shù)據(jù)安全法》和《個人信息保護法》“五法一典”的出臺,我國數(shù)據(jù)安全法制化建設(shè)不斷推進,監(jiān)管體系不斷完善,安全由“或有”變“剛需”。數(shù)據(jù)價值和政企數(shù)據(jù)賦能的作用將進一步放大,從而釋放出更大的市場空間。數(shù)據(jù)經(jīng)過合規(guī)處理后,能夠為企業(yè)業(yè)務賦能,提升企業(yè)的數(shù)據(jù)保護能力,從而帶來更大的收益。
1.2 項目簡介
本項目主要為中國移動某公司建設(shè)數(shù)據(jù)資產(chǎn)安全管理云平臺,通過數(shù)據(jù)資產(chǎn)地圖繪制,來防范數(shù)據(jù)資產(chǎn)漏審和私設(shè)數(shù)據(jù)庫等資產(chǎn)管理風險;通過數(shù)據(jù)分類分級,借助AI算法的智能標簽功能與人工輔助相結(jié)合方式,來提高工作效率、縮短數(shù)據(jù)治理周期;通過敏感數(shù)據(jù)識別與定位,自動發(fā)現(xiàn)并定位敏感數(shù)據(jù)的位置、敏感等級、數(shù)據(jù)類型、數(shù)據(jù)量、歸屬等詳細信息,并通過智能算法繪制全網(wǎng)敏感數(shù)據(jù)分布圖譜,降低敏感數(shù)據(jù)泄露風險;通過數(shù)據(jù)全生命周期安全監(jiān)測功能,為數(shù)據(jù)資產(chǎn)動態(tài)監(jiān)測和安全管理提供技術(shù)支撐,實現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)的全生命周期動態(tài)監(jiān)測和管理,強化數(shù)據(jù)全生命周期安全保障,推動數(shù)據(jù)資源的創(chuàng)新開發(fā)、合理利用和安全保護。
1.3 項目目標
1.3.1 面臨的挑戰(zhàn)
隨著數(shù)字經(jīng)濟的發(fā)展,建設(shè)數(shù)字政府、智慧城市和智慧社會,其中最為關(guān)鍵的一環(huán)就是實現(xiàn)數(shù)據(jù)資源的有序匯聚和共享,數(shù)據(jù)資產(chǎn)安全管理、數(shù)據(jù)分類分級產(chǎn)品市場需求愈加明顯;同時,數(shù)據(jù)資產(chǎn)管理相關(guān)產(chǎn)品在應用過程中,需要與業(yè)務有深度磨合,需要更多的人工干預。
1.3.2 主要目標
中國移動某公司建設(shè)的數(shù)據(jù)資產(chǎn)安全管理云平臺,將以長揚四級安全操作系統(tǒng)為底座,強化數(shù)據(jù)全生命周期安全保障,并基于工信部對工業(yè)數(shù)據(jù)防護系列規(guī)范要求,實現(xiàn)數(shù)據(jù)資產(chǎn)地圖繪制、數(shù)據(jù)分類分級、敏感數(shù)據(jù)識別與定位、數(shù)據(jù)全生命周期安全監(jiān)測等功能,推動數(shù)據(jù)資源的創(chuàng)新開發(fā)、合理利用和安全保護。
(1)精準盤點數(shù)據(jù)資產(chǎn)通過在線數(shù)據(jù)源偵測、識別方式,對各類數(shù)據(jù)進行拉網(wǎng)式清查盤點,并以資產(chǎn)目錄及資產(chǎn)索引方式繪制數(shù)據(jù)源、數(shù)據(jù)表、文件、類型、大小等多維度數(shù)據(jù)資產(chǎn)地圖,直觀、形象地描繪數(shù)據(jù)資產(chǎn)的分布、數(shù)量、歸屬等詳細信息,有效防范數(shù)據(jù)資產(chǎn)漏審和私設(shè)數(shù)據(jù)庫等資產(chǎn)管理風險。
(2)敏感數(shù)據(jù)自動識別與定位
采用敏感數(shù)據(jù)特征庫,支持正則表達式、數(shù)據(jù)指紋、關(guān)鍵字等多種敏感特征識別技術(shù),從海量數(shù)據(jù)中通過自動發(fā)現(xiàn)并定位敏感數(shù)據(jù)的位置、敏感等級、數(shù)據(jù)類型、數(shù)據(jù)量、歸屬等詳細信息,并通過智能算法繪制全網(wǎng)敏感數(shù)據(jù)分布圖譜,降低敏感數(shù)據(jù)泄露風險。
(3)數(shù)據(jù)分類分級自動化
用戶可自定義數(shù)據(jù)分類、分級標簽,根據(jù)行業(yè)標準或者自身業(yè)務場景、數(shù)據(jù)價值、數(shù)據(jù)影響、數(shù)據(jù)用途、數(shù)據(jù)來源等確定數(shù)據(jù)分級分類標準及模板,進而形成自身專屬標簽庫;借助AI算法的智能標簽功能與人工輔助相結(jié)合方式,提高工作效率、縮短數(shù)據(jù)治理周期。
(4)數(shù)據(jù)生命周期動態(tài)監(jiān)測
對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等環(huán)節(jié)進行全程動態(tài)跟蹤,分析數(shù)據(jù)量級、歸屬、類別、級別、使用者(業(yè)務系統(tǒng)用戶名或用戶ID)、操作、狀態(tài)等動態(tài)信息,將用戶身份信息和對數(shù)據(jù)資產(chǎn)的操作行為進行關(guān)聯(lián),實現(xiàn)對數(shù)據(jù)資產(chǎn)訪問人員的追蹤和定位,為數(shù)據(jù)資產(chǎn)動態(tài)監(jiān)測和安全管理提供技術(shù)支撐,實現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)的全生命周期動態(tài)監(jiān)測和管理。
(5)數(shù)據(jù)防護能力評估報告
按照工信部數(shù)據(jù)安全試點工作評估規(guī)范文件《工業(yè)數(shù)據(jù)安全評估指南(草案)》,從通用防護和生命周期分級防護方面進行評估,并給出符合工信部規(guī)范要求的數(shù)據(jù)防護能力評估報告。
2 項目實施
2.1 系統(tǒng)架構(gòu)
數(shù)據(jù)資產(chǎn)安全管理平臺架構(gòu)如圖1所示。
圖1 數(shù)據(jù)資產(chǎn)安全管理平臺架構(gòu)圖
2.2 主要內(nèi)容
數(shù)據(jù)資產(chǎn)安全管理平臺通過數(shù)據(jù)資產(chǎn)地圖繪制,防范數(shù)據(jù)資產(chǎn)漏審和私設(shè)數(shù)據(jù)庫等資產(chǎn)管理風險;通過數(shù)據(jù)分類分級,借助AI算法的智能標簽功能與人工輔助相結(jié)合方式,提高工作效率、縮短數(shù)據(jù)治理周期;通過敏感數(shù)據(jù)識別與定位,自動發(fā)現(xiàn)并定位敏感數(shù)據(jù)的位置、敏感等級、數(shù)據(jù)類型、數(shù)據(jù)量、歸屬等詳細信息,并通過智能算法繪制全網(wǎng)敏感數(shù)據(jù)分布圖譜,降低敏感數(shù)據(jù)泄露風險;通過數(shù)據(jù)全生命周期安全監(jiān)測功能,為數(shù)據(jù)資產(chǎn)動態(tài)監(jiān)測和安全管理提供技術(shù)支撐,實現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)的全生命周期動態(tài)監(jiān)測和管理,強化數(shù)據(jù)全生命周期安全保障,推動數(shù)據(jù)資源的創(chuàng)新開發(fā)、合理利用和安全保護。
2.3 技術(shù)方案
(1)數(shù)據(jù)源自動發(fā)現(xiàn)技術(shù)
平臺根據(jù)地址范圍掃描網(wǎng)絡(luò)中的數(shù)據(jù)源,數(shù)據(jù)源支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)類型,包括Oracle、SQLServer、MySQL等主流數(shù)據(jù)庫類型,達夢、神通、金倉等國產(chǎn)數(shù)據(jù)庫,Hive、HBase、kudu等大數(shù)據(jù)關(guān)鍵組件,doc/docx、xls/xlsx、ppt/pptx、pdf、txt等常見非結(jié)構(gòu)化數(shù)據(jù)類型等,通過掃描,自動發(fā)現(xiàn)數(shù)據(jù)源,并繪制數(shù)據(jù)資產(chǎn)地圖。
(2)數(shù)據(jù)自動分類分級技術(shù)
設(shè)置企業(yè)數(shù)據(jù)的分類模板,模板設(shè)定研發(fā)域數(shù)據(jù)、生產(chǎn)域數(shù)據(jù)、運維域數(shù)據(jù)、管理域數(shù)據(jù)和外部域數(shù)據(jù)五種類型。用戶根據(jù)企業(yè)自身業(yè)務情況,可增加、修改、刪除數(shù)據(jù)類型。
研發(fā)域數(shù)據(jù)模板設(shè)定研發(fā)設(shè)計數(shù)據(jù)、開發(fā)測試數(shù)據(jù)兩個子類;
生產(chǎn)域數(shù)據(jù)設(shè)定控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志四個子類;
運維域數(shù)據(jù)設(shè)定物流數(shù)據(jù)、產(chǎn)品售后服務數(shù)據(jù)兩個子類;
管理域數(shù)據(jù)設(shè)定系統(tǒng)設(shè)備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應鏈數(shù)據(jù)、業(yè)務統(tǒng)計數(shù)據(jù)四個子類;
外部域數(shù)據(jù)設(shè)定與其他主體共享的數(shù)據(jù)一個子類。
用戶根據(jù)企業(yè)自身業(yè)務情況,可增加、修改、刪除子數(shù)據(jù)類型。
設(shè)置企業(yè)數(shù)據(jù)的分級模板,模板設(shè)定三個級別,分別為一級數(shù)據(jù)、二級數(shù)據(jù)和三級數(shù)據(jù),其中三級的安全防護最高。用戶根據(jù)企業(yè)自身業(yè)務情況,可增加、修改、刪除數(shù)據(jù)分級模板。
當分類分級模板確定后,平臺通過自動掃描網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)源,按照預先設(shè)置的分類分級規(guī)則,將平臺內(nèi)的數(shù)據(jù)進行自動的分類分級管理,產(chǎn)生相應的數(shù)據(jù)標簽,該標簽用于對平臺內(nèi)的數(shù)據(jù)進行分類分級管理和溯源追蹤。
(3)敏感數(shù)據(jù)自動識別技術(shù)
平臺內(nèi)預置敏感數(shù)據(jù)特征庫,該庫包含35+類關(guān)鍵個人隱私的特征規(guī)則,同時支持規(guī)則的升級和更新,也支持敏感數(shù)據(jù)類型和特征的自定義添加和維護。敏感數(shù)據(jù)自動識別根據(jù)規(guī)則庫,通過AI算法、正則表達式、文檔指紋、關(guān)鍵字等敏感數(shù)據(jù)識別技術(shù),自動發(fā)現(xiàn)并定位敏感數(shù)據(jù)的位置、敏感等級、數(shù)據(jù)類型、數(shù)據(jù)量等詳細信息。該技術(shù)包括本地敏感數(shù)據(jù)自動識別、遠程主機敏感數(shù)據(jù)自動識別、網(wǎng)絡(luò)流量敏感數(shù)據(jù)自動識別三類。
本地敏感數(shù)據(jù)自動識別,即數(shù)據(jù)存儲在平臺服務器,在本地進行掃描,通過敏感數(shù)據(jù)規(guī)則庫,識別出敏感數(shù)據(jù);
遠程主機敏感數(shù)據(jù)自動識別,即數(shù)據(jù)存儲在遠程主機,通過安裝在遠程主機中的探針,由平臺發(fā)送掃描控制命令,探針接收到掃描命令后,進行主機內(nèi)的數(shù)據(jù)掃描,識別出敏感數(shù)據(jù);
網(wǎng)絡(luò)流量敏感數(shù)據(jù)自動識別,即在平臺所管理的網(wǎng)絡(luò)內(nèi),通過非侵入業(yè)務系統(tǒng)旁路接入網(wǎng)絡(luò)的方式,監(jiān)測數(shù)據(jù)流量,識別出網(wǎng)絡(luò)內(nèi)傳送的敏感數(shù)據(jù)。
(4)數(shù)據(jù)全生命周期安全監(jiān)控技術(shù)
利用數(shù)據(jù)標記技術(shù),針對平臺內(nèi)管理的數(shù)據(jù)進行標記,并對數(shù)據(jù)采集、存儲、傳輸、處理、交換、銷毀等全生命周期內(nèi)實施動態(tài)安全監(jiān)控,并記錄監(jiān)控日志信息,管理員可實時掌握數(shù)據(jù)動態(tài),發(fā)現(xiàn)違反規(guī)則的操作可及時進行處理。
(5)數(shù)據(jù)資產(chǎn)安全態(tài)勢展示技術(shù)
通過掃描平臺監(jiān)管的數(shù)據(jù)資產(chǎn),利用圖形方式展示企業(yè)數(shù)據(jù)資產(chǎn)安全態(tài)勢。根據(jù)企業(yè)不同需求,可采用拆線圖、柱狀圖等多種圖形方式展示企業(yè)數(shù)據(jù)資產(chǎn)安全態(tài)勢,通過態(tài)勢展示,使數(shù)據(jù)處理者或企業(yè)負責人對企業(yè)數(shù)據(jù)資產(chǎn)整體情況有所了解,為領(lǐng)導整體決策或數(shù)據(jù)處理者下一步對數(shù)據(jù)的處理提供相關(guān)依據(jù)。
(6)數(shù)據(jù)安全風險預測技術(shù)
數(shù)據(jù)安全風險預測技術(shù)是安全事件發(fā)生前,根據(jù)已有的審計日志,經(jīng)過分析計算研判,為審計管理員提供安全事件發(fā)生前的數(shù)據(jù)安全風險預測,從而提前做好后續(xù)數(shù)據(jù)安全保護工作,降低數(shù)據(jù)安全事件的發(fā)生。
利用數(shù)據(jù)標記技術(shù),針對平臺內(nèi)管理的數(shù)據(jù)進行標記,并對數(shù)據(jù)采集、存儲、傳輸、處理、交換、銷毀等全生命周期內(nèi)實施動態(tài)安全監(jiān)控,并記錄監(jiān)控日志信息,管理員可實時掌握數(shù)據(jù)動態(tài),發(fā)現(xiàn)違反規(guī)則的操作可及時進行處理。(5)數(shù)據(jù)資產(chǎn)安全態(tài)勢展示技術(shù)通過掃描平臺監(jiān)管的數(shù)據(jù)資產(chǎn),利用圖形方式展示企業(yè)數(shù)據(jù)資產(chǎn)安全態(tài)勢。根據(jù)企業(yè)不同需求,可采用拆線圖、柱狀圖等多種圖形方式展示企業(yè)數(shù)據(jù)資產(chǎn)安全態(tài)勢,通過態(tài)勢展示,使數(shù)據(jù)處理者或企業(yè)負責人對企業(yè)數(shù)據(jù)資產(chǎn)整體情況有所了解,為領(lǐng)導整體決策或數(shù)據(jù)處理者下一步對數(shù)據(jù)的處理提供相關(guān)依據(jù)。
(6)數(shù)據(jù)安全風險預測技術(shù)
數(shù)據(jù)安全風險預測技術(shù)是安全事件發(fā)生前,根據(jù)已有的審計日志,經(jīng)過分析計算研判,為審計管理員提供安全事件發(fā)生前的數(shù)據(jù)安全風險預測,從而提前做好后續(xù)數(shù)據(jù)安全保護工作,降低數(shù)據(jù)安全事件的發(fā)生。當有新業(yè)務上線和數(shù)據(jù)遷移、數(shù)據(jù)出境、數(shù)據(jù)開放共享等重大操作行為,以及涉及第三方管理等情況時,啟動數(shù)據(jù)安全評估工作,分析可能存在的風險、造成的問題和影響等,并形成相應的數(shù)據(jù)安全評估報告,包括未經(jīng)授權(quán)的訪問、控制、處理或數(shù)據(jù)被泄露、竊取、篡改、濫用等風險,通過該《報告》,企業(yè)可及時整改數(shù)據(jù)安全評估中發(fā)現(xiàn)的風險隱患和問題。
2.4 應用場景分析
數(shù)據(jù)資產(chǎn)安全管理平臺主要適用于政府部門、金融機構(gòu)、通信運營商、工業(yè)、互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)資本估值高的行業(yè),特別適用于工業(yè)互聯(lián)網(wǎng)領(lǐng)域的企業(yè)對數(shù)據(jù)全生命周期的安全監(jiān)控,從而全方位提升工業(yè)企業(yè)對數(shù)據(jù)的安全防護能力。該平臺可部署于信息管理層,旁路接入并掃描全網(wǎng)數(shù)據(jù)源設(shè)備,適用于對多臺工控數(shù)據(jù)源設(shè)備進行數(shù)據(jù)資產(chǎn)安全管理的場景。
2.5 實際應用效果
本項目通過技術(shù)、管理、人員三方融合,以技術(shù)為支撐、以管理為手段、以人員為組織,創(chuàng)新性提出既防范化解工業(yè)領(lǐng)域數(shù)據(jù)安全風險、又促進數(shù)據(jù)資源合法開發(fā)利用、為工業(yè)經(jīng)濟發(fā)展提供安全保障的數(shù)據(jù)資產(chǎn)安全解決方案。該方案圍繞數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等全生命周期,從技術(shù)和產(chǎn)品兩個維度,解決數(shù)據(jù)從產(chǎn)生、使用到消亡全過程安全管控,幫助客戶完善各類數(shù)據(jù)安全管理規(guī)章制度,使客戶數(shù)據(jù)安全管理規(guī)范有序。
3 案例亮點及創(chuàng)新性
(1)應用情況及效果、技術(shù)的示范效應
數(shù)據(jù)資產(chǎn)安全管理平臺結(jié)合操作系統(tǒng)安全技術(shù)與可信計算技術(shù),實現(xiàn)了身份標識與鑒別、細粒度的自主訪問控制、強制訪問控制、基于角色訪問控制、可信路徑、禁止客體重用、安全審計、安全數(shù)據(jù)保護、文件完整性檢查等安全機制,同時也實現(xiàn)了基于國密TPM2.0的可信引導、可信啟動、可信進程度量、可信身份認證、透明文件加密系統(tǒng)等可信功能,打造了工控領(lǐng)域系統(tǒng)安全底座。數(shù)據(jù)資產(chǎn)安全管理平臺就是建立在這樣的安全操作系統(tǒng)基礎(chǔ)上,為數(shù)據(jù)資產(chǎn)的安全提供了強有力的基礎(chǔ)安全保障。
(2)商業(yè)價值及社會價值
數(shù)據(jù)資產(chǎn)安全管理平臺采用高級、安全、可靠的數(shù)據(jù)存儲技術(shù),保證用戶數(shù)據(jù)資產(chǎn)的安全儲存和管理,并通過24小時不間斷監(jiān)控系統(tǒng)來保障系統(tǒng)在各種環(huán)境下高效和穩(wěn)定地運行,確保用戶數(shù)據(jù)信息的安全和穩(wěn)定。公司已為煙草、水務、化工、車聯(lián)網(wǎng)、鋼鐵、醫(yī)療、銀行等領(lǐng)域,提供了整套數(shù)據(jù)安全解決方案、試點整改措施等服務,使客戶數(shù)據(jù)資產(chǎn)安全管理能力得到了有效提升,同時滿足工信部對工業(yè)數(shù)據(jù)防護系列規(guī)范要求。
作者簡介
李 飛(1985-),男,江蘇徐州人,碩士,現(xiàn)就職于長揚科技(北京)股份有限公司,主要從事工業(yè)控制系統(tǒng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。
代向東(1977-),男,四川眉山人,碩士,高級工程師,現(xiàn)就職于長揚科技(北京)股份有限公司,主要從事信息安全、數(shù)據(jù)安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號