★李飛,代向東長揚科技(北京)股份有限公司
關鍵詞:工業互聯網;數據安全;數據資產安全管理
1 項目概況
1.1 項目背景
數據安全是事關國家安全和發展、事關人們工作生活的重大戰略問題。國家已陸續出臺相關法律政策,統籌發展和安全,推動數據安全建設,如《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》明確要求加強數據安全;《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》明確提出保障國家數據安全,加強個人信息保護。隨著《國家安全法》《網絡安全法》《密碼法》《民法典》《數據安全法》和《個人信息保護法》“五法一典”的出臺,我國數據安全法制化建設不斷推進,監管體系不斷完善,安全由“或有”變“剛需”。數據價值和政企數據賦能的作用將進一步放大,從而釋放出更大的市場空間。數據經過合規處理后,能夠為企業業務賦能,提升企業的數據保護能力,從而帶來更大的收益。
1.2 項目簡介
本項目主要為中國移動某公司建設數據資產安全管理云平臺,通過數據資產地圖繪制,來防范數據資產漏審和私設數據庫等資產管理風險;通過數據分類分級,借助AI算法的智能標簽功能與人工輔助相結合方式,來提高工作效率、縮短數據治理周期;通過敏感數據識別與定位,自動發現并定位敏感數據的位置、敏感等級、數據類型、數據量、歸屬等詳細信息,并通過智能算法繪制全網敏感數據分布圖譜,降低敏感數據泄露風險;通過數據全生命周期安全監測功能,為數據資產動態監測和安全管理提供技術支撐,實現企業數據資產的全生命周期動態監測和管理,強化數據全生命周期安全保障,推動數據資源的創新開發、合理利用和安全保護。
1.3 項目目標
1.3.1 面臨的挑戰
隨著數字經濟的發展,建設數字政府、智慧城市和智慧社會,其中最為關鍵的一環就是實現數據資源的有序匯聚和共享,數據資產安全管理、數據分類分級產品市場需求愈加明顯;同時,數據資產管理相關產品在應用過程中,需要與業務有深度磨合,需要更多的人工干預。
1.3.2 主要目標
中國移動某公司建設的數據資產安全管理云平臺,將以長揚四級安全操作系統為底座,強化數據全生命周期安全保障,并基于工信部對工業數據防護系列規范要求,實現數據資產地圖繪制、數據分類分級、敏感數據識別與定位、數據全生命周期安全監測等功能,推動數據資源的創新開發、合理利用和安全保護。
(1)精準盤點數據資產通過在線數據源偵測、識別方式,對各類數據進行拉網式清查盤點,并以資產目錄及資產索引方式繪制數據源、數據表、文件、類型、大小等多維度數據資產地圖,直觀、形象地描繪數據資產的分布、數量、歸屬等詳細信息,有效防范數據資產漏審和私設數據庫等資產管理風險。
(2)敏感數據自動識別與定位
采用敏感數據特征庫,支持正則表達式、數據指紋、關鍵字等多種敏感特征識別技術,從海量數據中通過自動發現并定位敏感數據的位置、敏感等級、數據類型、數據量、歸屬等詳細信息,并通過智能算法繪制全網敏感數據分布圖譜,降低敏感數據泄露風險。
(3)數據分類分級自動化
用戶可自定義數據分類、分級標簽,根據行業標準或者自身業務場景、數據價值、數據影響、數據用途、數據來源等確定數據分級分類標準及模板,進而形成自身專屬標簽庫;借助AI算法的智能標簽功能與人工輔助相結合方式,提高工作效率、縮短數據治理周期。
(4)數據生命周期動態監測
對數據采集、傳輸、存儲、處理、交換、銷毀等環節進行全程動態跟蹤,分析數據量級、歸屬、類別、級別、使用者(業務系統用戶名或用戶ID)、操作、狀態等動態信息,將用戶身份信息和對數據資產的操作行為進行關聯,實現對數據資產訪問人員的追蹤和定位,為數據資產動態監測和安全管理提供技術支撐,實現企業數據資產的全生命周期動態監測和管理。
(5)數據防護能力評估報告
按照工信部數據安全試點工作評估規范文件《工業數據安全評估指南(草案)》,從通用防護和生命周期分級防護方面進行評估,并給出符合工信部規范要求的數據防護能力評估報告。
2 項目實施
2.1 系統架構
數據資產安全管理平臺架構如圖1所示。
圖1 數據資產安全管理平臺架構圖
2.2 主要內容
數據資產安全管理平臺通過數據資產地圖繪制,防范數據資產漏審和私設數據庫等資產管理風險;通過數據分類分級,借助AI算法的智能標簽功能與人工輔助相結合方式,提高工作效率、縮短數據治理周期;通過敏感數據識別與定位,自動發現并定位敏感數據的位置、敏感等級、數據類型、數據量、歸屬等詳細信息,并通過智能算法繪制全網敏感數據分布圖譜,降低敏感數據泄露風險;通過數據全生命周期安全監測功能,為數據資產動態監測和安全管理提供技術支撐,實現企業數據資產的全生命周期動態監測和管理,強化數據全生命周期安全保障,推動數據資源的創新開發、合理利用和安全保護。
2.3 技術方案
(1)數據源自動發現技術
平臺根據地址范圍掃描網絡中的數據源,數據源支持結構化和非結構化數據類型,包括Oracle、SQLServer、MySQL等主流數據庫類型,達夢、神通、金倉等國產數據庫,Hive、HBase、kudu等大數據關鍵組件,doc/docx、xls/xlsx、ppt/pptx、pdf、txt等常見非結構化數據類型等,通過掃描,自動發現數據源,并繪制數據資產地圖。
(2)數據自動分類分級技術
設置企業數據的分類模板,模板設定研發域數據、生產域數據、運維域數據、管理域數據和外部域數據五種類型。用戶根據企業自身業務情況,可增加、修改、刪除數據類型。
研發域數據模板設定研發設計數據、開發測試數據兩個子類;
生產域數據設定控制信息、工況狀態、工藝參數、系統日志四個子類;
運維域數據設定物流數據、產品售后服務數據兩個子類;
管理域數據設定系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據四個子類;
外部域數據設定與其他主體共享的數據一個子類。
用戶根據企業自身業務情況,可增加、修改、刪除子數據類型。
設置企業數據的分級模板,模板設定三個級別,分別為一級數據、二級數據和三級數據,其中三級的安全防護最高。用戶根據企業自身業務情況,可增加、修改、刪除數據分級模板。
當分類分級模板確定后,平臺通過自動掃描網絡內的數據源,按照預先設置的分類分級規則,將平臺內的數據進行自動的分類分級管理,產生相應的數據標簽,該標簽用于對平臺內的數據進行分類分級管理和溯源追蹤。
(3)敏感數據自動識別技術
平臺內預置敏感數據特征庫,該庫包含35+類關鍵個人隱私的特征規則,同時支持規則的升級和更新,也支持敏感數據類型和特征的自定義添加和維護。敏感數據自動識別根據規則庫,通過AI算法、正則表達式、文檔指紋、關鍵字等敏感數據識別技術,自動發現并定位敏感數據的位置、敏感等級、數據類型、數據量等詳細信息。該技術包括本地敏感數據自動識別、遠程主機敏感數據自動識別、網絡流量敏感數據自動識別三類。
本地敏感數據自動識別,即數據存儲在平臺服務器,在本地進行掃描,通過敏感數據規則庫,識別出敏感數據;
遠程主機敏感數據自動識別,即數據存儲在遠程主機,通過安裝在遠程主機中的探針,由平臺發送掃描控制命令,探針接收到掃描命令后,進行主機內的數據掃描,識別出敏感數據;
網絡流量敏感數據自動識別,即在平臺所管理的網絡內,通過非侵入業務系統旁路接入網絡的方式,監測數據流量,識別出網絡內傳送的敏感數據。
(4)數據全生命周期安全監控技術
利用數據標記技術,針對平臺內管理的數據進行標記,并對數據采集、存儲、傳輸、處理、交換、銷毀等全生命周期內實施動態安全監控,并記錄監控日志信息,管理員可實時掌握數據動態,發現違反規則的操作可及時進行處理。
(5)數據資產安全態勢展示技術
通過掃描平臺監管的數據資產,利用圖形方式展示企業數據資產安全態勢。根據企業不同需求,可采用拆線圖、柱狀圖等多種圖形方式展示企業數據資產安全態勢,通過態勢展示,使數據處理者或企業負責人對企業數據資產整體情況有所了解,為領導整體決策或數據處理者下一步對數據的處理提供相關依據。
(6)數據安全風險預測技術
數據安全風險預測技術是安全事件發生前,根據已有的審計日志,經過分析計算研判,為審計管理員提供安全事件發生前的數據安全風險預測,從而提前做好后續數據安全保護工作,降低數據安全事件的發生。
利用數據標記技術,針對平臺內管理的數據進行標記,并對數據采集、存儲、傳輸、處理、交換、銷毀等全生命周期內實施動態安全監控,并記錄監控日志信息,管理員可實時掌握數據動態,發現違反規則的操作可及時進行處理。(5)數據資產安全態勢展示技術通過掃描平臺監管的數據資產,利用圖形方式展示企業數據資產安全態勢。根據企業不同需求,可采用拆線圖、柱狀圖等多種圖形方式展示企業數據資產安全態勢,通過態勢展示,使數據處理者或企業負責人對企業數據資產整體情況有所了解,為領導整體決策或數據處理者下一步對數據的處理提供相關依據。
(6)數據安全風險預測技術
數據安全風險預測技術是安全事件發生前,根據已有的審計日志,經過分析計算研判,為審計管理員提供安全事件發生前的數據安全風險預測,從而提前做好后續數據安全保護工作,降低數據安全事件的發生。當有新業務上線和數據遷移、數據出境、數據開放共享等重大操作行為,以及涉及第三方管理等情況時,啟動數據安全評估工作,分析可能存在的風險、造成的問題和影響等,并形成相應的數據安全評估報告,包括未經授權的訪問、控制、處理或數據被泄露、竊取、篡改、濫用等風險,通過該《報告》,企業可及時整改數據安全評估中發現的風險隱患和問題。
2.4 應用場景分析
數據資產安全管理平臺主要適用于政府部門、金融機構、通信運營商、工業、互聯網企業等數據資本估值高的行業,特別適用于工業互聯網領域的企業對數據全生命周期的安全監控,從而全方位提升工業企業對數據的安全防護能力。該平臺可部署于信息管理層,旁路接入并掃描全網數據源設備,適用于對多臺工控數據源設備進行數據資產安全管理的場景。
2.5 實際應用效果
本項目通過技術、管理、人員三方融合,以技術為支撐、以管理為手段、以人員為組織,創新性提出既防范化解工業領域數據安全風險、又促進數據資源合法開發利用、為工業經濟發展提供安全保障的數據資產安全解決方案。該方案圍繞數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期,從技術和產品兩個維度,解決數據從產生、使用到消亡全過程安全管控,幫助客戶完善各類數據安全管理規章制度,使客戶數據安全管理規范有序。
3 案例亮點及創新性
(1)應用情況及效果、技術的示范效應
數據資產安全管理平臺結合操作系統安全技術與可信計算技術,實現了身份標識與鑒別、細粒度的自主訪問控制、強制訪問控制、基于角色訪問控制、可信路徑、禁止客體重用、安全審計、安全數據保護、文件完整性檢查等安全機制,同時也實現了基于國密TPM2.0的可信引導、可信啟動、可信進程度量、可信身份認證、透明文件加密系統等可信功能,打造了工控領域系統安全底座。數據資產安全管理平臺就是建立在這樣的安全操作系統基礎上,為數據資產的安全提供了強有力的基礎安全保障。
(2)商業價值及社會價值
數據資產安全管理平臺采用高級、安全、可靠的數據存儲技術,保證用戶數據資產的安全儲存和管理,并通過24小時不間斷監控系統來保障系統在各種環境下高效和穩定地運行,確保用戶數據信息的安全和穩定。公司已為煙草、水務、化工、車聯網、鋼鐵、醫療、銀行等領域,提供了整套數據安全解決方案、試點整改措施等服務,使客戶數據資產安全管理能力得到了有效提升,同時滿足工信部對工業數據防護系列規范要求。
作者簡介
李 飛(1985-),男,江蘇徐州人,碩士,現就職于長揚科技(北京)股份有限公司,主要從事工業控制系統安全、工業數據安全、工業互聯網安全方面的研究。
代向東(1977-),男,四川眉山人,碩士,高級工程師,現就職于長揚科技(北京)股份有限公司,主要從事信息安全、數據安全方面的研究。
摘自《自動化博覽》2024年1月刊