星河案例ㅣ联通智网：车联网实名登记数据安全防护建设实践

▏摘要

联通智网科技作为中国联通旗下车联网专业化子公司，主动探索从管理制度、安全意识培训和技术能力体系三个方面进行数据的有效保护，切实保证实名数据的安全防护。

▏问题

国家政策要求道路机动车辆生产企业、电信企业建立完善企业内部个人信息保护制度，采取技术措施和其他必要措施，加强车联网卡登记信息保护，确保收集的个人信息安全，防止信息泄露、毁损、丢失以及违规使用。

▏行动

• 联通智网科技以国家安全监管和行业安全合规为出发点，以构建实现数据全生命安全防护为总体目标，建立“管理、技术、运营”三大安全防护体系，形成了组织建设、流程制度、技术工具和人员能力四大安全保障体系，实现车联网实名登记，数据全生命周期的安全防护；

• 车联网实名登记数据的分类分级也是数据安全防护中最重要的一个环节。数据分类分级实施路径分为5个步骤，首先是梳理整体的数据资产状况，建立数据资产清单和数据资产台账；其次是根据数据分类分级的标准形成数据分类；第三，区分形成核心数据、重要数据和一般数据；第四，根据分类分级结果进行数据的标记和评审，形成最终的数据分类分析结果清单；第五步，根据数据分类分级结果的清单，在不同阶段对不同类型的数据实施不同的安全防护策略。

▏结果

• 作为车联网专业化子公司，联通智网科技积极履行数据安全保护职责，通过车联网实名登记数据安全防护能力体系的建设，切实保证实名数据的安全防护。

分享专家：邸岩峰，联通智网车联网安全产品经理

作者：沙丘社区分析师团队

案例企业

联通智网科技股份有限公司（以下简称“联通智网科技”）成立于2015年8月，是中国联通控股子公司，中国联通智慧交通军团承建单位，国资委国企改革“双百行动”名单企业，第五批国家专精特新“小巨人”企业。公司以“建设美好车生活”为使命，以“致力于成为国际一流的汽车信息化服务运营提供商”为愿景。紧扣国家科技创新战略，全面落实国家交通强国战略部署。以安全高效的车联网及智慧交通科技产品及创新服务，赋能车企和城市，促进汽车产业数字化转型，助力城市智能化管理升级。

项目背景

2021年9月，工信部发布《工业和信息化部关于加强车联网卡实名登记管理的通知》，要求道路机动车辆生产企业、电信企业应建立完善企业内部个人信息保护制度，采取技术措施和其他必要措施，加强车联网卡登记信息保护，确保收集的个人信息安全，防止信息泄露、毁损、丢失以及违规使用。

联通智网科技作为中国联通旗下车联网专业化子公司，积极响应国家部委的政策和监管要求，积极履行数据安全保护职责，主动探索车联网实名登记数据安全防护能力体系，切实保证实名数据的安全防护。

解决方案

联通智网科技数据安全防护体系的总体架构是以国家安全监管和行业安全合规为出发点，以构建实现数据全生命安全防护为总体目标，建立“管理、技术、运营”三大安全防护体系，形成了组织建设、流程制度、技术工具和人员能力四大安全保障体系，实现车联网实名登记，数据全生命周期的安全防护。

其中，在组织建设方面，从决策层、管理层、执行层形成了统一的组织建设的组织架构体系；在流程制度方面，公司建立和完善了相关的管理制度，流程规范以及标准指南等，为数据安全防护建设和实施提供了理论依据；在技术工具方面，以流程制度为基础，建立数据资产台账，数据分类分级体系，数据访问控制标准和安全审计等相关的管控手段；在人员方面，不断提升全员的安全意识、专业安全人员的防护技术水平，提升安全人员的运营水平。

从全生命周期数据安全需求出发，联通智网科技在实施数据安全防护建设的过程中，从数据全生命周期不同阶段安全需求为出发点，从数据采集、数据存储、数据传输、数据处理、数据使用和数据销毁6个方面进行不同安全需求的整理。

其中在数据采集阶段，根据相关的标准和规范指南进行安全基准的确立，对于数据进行分类和分级；在数据存储阶段，根据分类分级结果，对于敏感数据进行加密存储，在满足合规的前提条件下进行安全防卫和安全审计；在数据传输阶段，数据不能被非法窃取修改和泄露，保证数据机密性、完整性和一致性，需要数据做到传输的安全；在数据处理和数据使用阶段，也是应用场景比较阶多的一个阶段，涵盖了业务的数据分析、数据系统、数据交换、安全合规检查等多个业务场景，如何安全使用，保证数据不被泄露成为防护的关键问题；在数据销毁阶段，保证数据介质销毁安全和数据安全销毁的安全诉求。

在数据安全防护制度建设方面，联通智网科技以《网络安全法》、《数据安全法》、《个人信息安全保护法》等法律法规为依据，结合行业的标准和指南，建立和完善了公司相关的数据安全防护标准和制度，涉及的内容主要包括数据安全管理制度，相关的责任部门和责任人，数据安全响应机制以及数据开发和利用的标准规范。

标准组织制度的建立，是建立安全防护的第一道护城河；数据安全防护的核心是建立数据资产的分类分级标准，定义和完善数据分类分级标准体系；根据相关职责和分类分级标准建立了数据安全评估机制和流程，根据评估结果，针对个人用户信息实施保护策略，包括数据加密、数据脱敏等。

公司建立健全数据安全管理制度，主要是从制定标准、制定策略和实施安全管控三部曲来完成。相关标准制定主要是遵循了国家相关的法律法规和行业的监管标准，以及组织内部的数据安全政策，从而结合法律和行业监管需求，根据组织业务需求和风险承受能力，制定数据安全的合规性相关标准和流程，再结合公司日常安全意识提升计划，建立安全防护的基准和标准制度。

其次，在数据安全全生命周期的不同阶段，从实际业务场景出发，明确了数据安全保护的目标和策略，确保与国家法规和监管要求的目标保持一致。根据数据的重要性和敏感程度，对数据进行分类和标记，以便更好地管理和保护数据。制定数据访问控制策略，通过权限管理确保只有授权人员才能访问敏感数据。

最后，实施安全审计措施，对于敏感数据进行加密存储和加密传输，以保护数据在不同阶段的机密性、完整性和一致性，防止敏感数据泄露和违规使用，提升数据安全防护水平。

车联网实名登记数据的分类分级也是数据安全防护中最重要的一个环节。数据分类分级实施路径分为5个步骤，首先是梳理整体的数据资产状况，包括结构化数据资产和非结构化数据资产，建立数据资产清单和数据资产台账；其次是根据数据分类分级的标准，梳理形成了个人信息、车辆信息、卡数据信息等不同类型的数据分类；第三，根据不同数据类型和数据量产生危害的结果，区分形成核心数据、重要数据和一般数据；第四，根据分类分级结果进行数据的标记和评审，形成最终的数据分类分析结果清单；第五步，根据数据分类分级结果的清单，在不同阶段对不同类型的数据实施不同的安全防护策略。

在全生命周期数据安全防护实验过程当中，联通智网科技针对不同环节制定不同的安全防护策略和防护实践，主要有数据加密、数据脱敏、安全访问控制和数据安全网关。

在数据加密实践方面，联通智网科技使用SM4国密算法进行加密，密钥采用多人分段管理和定期更新的机制来实现，从而保证了数据加密的安全和可靠。

在数据脱敏实践方面，通过动动态脱敏和静态脱敏两种方式相结合，在动态数据脱敏方面，研发了统一的数据动态脱敏安全组件，实现敏感数据对象以及脱敏规则引擎灵活化配置，满足不同场景的数据脱敏安全需求。

在安全访问控制方面，建立了统一的安全认证平台，以零信任机制为核心，实现不同平台、不同业务场景数据安全访问控制策略，通过加密、审批、审计机制来保证。结合平台数据安全网关能力，保障数据安全合规使用。

数据安全防护平台总体架构是以业务平台、数据中台的车联网实名登记数据为防护对象，在平台安全防护、数据安全管理、隐私安全防护方面进行了多重的能力体系建设，贯穿数据的全生命周期，及时进行数据安全风险监测和预警，最大限度地保障数据合规安全使用，降低数据泄露的风险。

从整个平台架构上来看，数据源一层主要涉及到相关的实名数据、车辆数据和车联网卡数据，数据中台通过建立边界安全、存储安全、管理安全等一系列的防护手段，从而保证数据从业务平台到业务中台的数据安全防护。在数据出口和数据共享方面，联通智网科技建立了统一的数据安全网关，一个面向内部的合规使用，另一个面向外部的合规检查。

价值与效果

通过车联网实名登记数据安全防护能力体系的建设和提升，其价值主要体现在两个方面：

在经济价值方面：

• 数据安全是数字经济发展的重要保障。随着数据来源不断增多、形态不断复杂，对数据的安全性要求也不断提高。数据的泄露不仅会影响单个用户的隐私和人权，更会对企业和政府的声誉造成巨大影响。一旦数据被盗取或不当使用，就会导致商业和政治影响，甚至会引起社会的恐慌性情况。因此，数据安全是数字经济发展的重要保障，构建数据安全体系是数字经济发展的必然要求。

• 数字经济的发展需要满足合法合规要求。随着数据流通的逐渐加强，在其处理过程中面临安全、合规、伦理和社会等多种安全问题。这可能包括数据隐私、知识产权、安全操作、个人信息标准，并在这些方面制定不同的法律和条例。构建数据安全体系，需要考虑到这些方面的规定，制定合适的政策和措施来确保数据安全。

在社会价值方面：

• 对于维护国家安全而言，数据安全是我国总体国家安全观的重要组成部分；

• 对于护航数字经济来说，数据已成为经济发展的关键生产要素和核心引擎；

• 无论是静态脱敏还是动态脱敏其最终都是为了防止组织内部对隐私数据的滥用，防止隐私数据在未经脱敏的情况下从组织流出。满足组织既要保护隐私数据，同时又保持监管合规，满足合规性。

往期回顾