工信领域数据安全典型案例丨数据流动风险监测数据安全典型案例

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法（试行）》和《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分挖掘工业和信息化领域数据安全防护典型经验做法，切实增强行业数据安全保障水平，工业和信息化部组织开展了2023年工业和信息化领域数据安全典型案例遴选工作。此次典型案例遴选，按照“以点带面、点面结合”原则，面向工业、电信和互联网领域，征集了数据安全基础共性、数据安全监测分析、数据安全整体设计实施等“四方向、十类型”数据安全典型案例，经过申报推荐、形式审查、专业初审、专家评审和网上公示，在全国300余项申报方案中挖掘出了72项行业广泛认可、企业应用效果良好的典型案例，为指导工信领域数据处理者提高数据安全防护能力，促进数据安全技术、产品和服务产业化应用提供了重要参考。

本期分享2023年工业和信息化领域数据安全监测分析方向—监测感知类典型案例：天翼爱音乐、全知科技《数据流动风险监测数据安全典型案例》。

相关链接：

案例概述

以全景视角把控企业数据流动情况，建立敏感数据流动监控机制，自动感知异常数据流动行为，对数据安全风险隐患进行评估和预警。同时，建立数据安全泄露事件溯源追踪手段，全链路还原数据泄露路径，提供完整证据链，大幅降低溯源排查时间。

解决的问题

通过将数据分类分级子系统、应用风险监测子系统、数据库风险监测子系统与全链路数据安全运营子系统等进行联动，打通了数据安全监测全链路流程，防止数据安全孤岛出现，整合单点数据安全能力。通过企业统一应用层及数据库层的分类分级要求，识别重要数据暴露面，监测业务数据传输流动安全。同时通过平台化统一管理，减少人员运营投入，提升安全响应效率，为电信行业安全起到标杆作用。

技术先进性

一是基于全流量深度分析技术，覆盖多种协议，实现应用零改造免侵入。二是利用深度无监督学习算法关联分析数据调用关系，生成服务、应用、终端之间的全轨迹数据访问链路关系图。三是基于用户访问行为链路数据，使用机器学习和大数据多维度分析技术，建立数据访问动态行为基线，利用异常检测算法多维度识别异常链路关系，识别异常数据访问行为及监控预警。本案例拥有自主知识产权软著20余项及发明专利10余项。

行业与场景适用性

具有可落地性强、紧密契合合规要求、整体实用性高、拓展性强、对业务零改造无侵入等特点，采用旁路部署模式，基于流量分析技术及前沿算法自动完成资产梳理、关联分析、风险评估等操作，应用零侵入免改造。基于不同类型的客户案例沉淀，模板化行业领域的数据识别标签、弱点评估规则库、风险监测模型库、数据分类分级模板等，满足《数据安全法》及不同行业合规要求。支持OpenAPI、Syslog、kafka等多种方式开放系统能力。

一、企业简介

申报单位：天翼爱音乐文化科技有限公司

天翼爱音乐文化科技有限公司成立于2013年06月09日，独家运营中国电信数字音乐、视频彩铃等信息业务。坐标广州，业务覆盖全国，以音乐+短视频内容为核心，以5G+AI等科技创新为驱动力，为各类用户提供5G视频彩铃、家庭娱乐、高品质音乐等泛娱乐产品及数字化智能云服务，致力于发展成为数字文化价值经营领先者，以文化+科技助力数字社会建设。

联合申报单位：全知科技（杭州）有限责任公司

全知科技（杭州）有限责任公司成立于2017年，在网络安全攻防、机器学习、数据保护、风险治理等方面拥有前沿的技术实力及丰富的实践经验。作为业界率先提出“以数据为中心的数据流动安全解决方案”的先行者和践行者，全知科技一直专注于数据安全领域的探索与研究。“以数据为中心，风险为驱动”，站在风险视角下，致力于刻画数据在存储、传输、应用、共享等各个节点上的流动可见性，实现数据的全面管控和保护。

二、案例背景

近年来，政府部门、重点行业数据安全事件频发，安全形势严峻。一方面，企业内部数据资产分布不清、业务数据流动的整体过程和路径不明，数据处理者对于数据资产的了解、掌控程度有待加强。另一方面，因第三方开发系统中遗留后门等风险导致重要数据泄露且难以追查、溯源的问题时有发生，亟待有效解决。

三、解决方案

1、整体设计架构

爱音乐数据流动风险监测项目主要由统一登录认证子系统、数据分类分级子系统、应用风险监测子系统、数据库风险监测子系统、数据安全评估子系统和全链路数据安全运营子系统组合而成。

2、建设内容

本案例建设了一套覆盖全面、功能强大、性能优秀的数据安全防护平台。平台基于全流量分析技术，完成应用、数据库、邮件、文件资产的识别管理能力，创新性提出了“人－应用－数据库”的三层关联技术，绘制敏感数据全轨迹流动链路，并结合机器学习、数据建模等方式识别合规链路下的人员异常访问行为，完成事前防范、事中保护、事后追溯的完整防护体系的构建。以防护平台为基础工具，建立资产梳理、数据风险评估、数据风险监测、数据风险保护、数据风险处置的数据安全运营体系。

3、功能特点

一是数据资产全量梳理。平台支持数据库资产、Web应用资产、文件资产及邮件资产等跨云、跨平台资产聚合，并支持结构化、非结构化、文本文件等文件类型，支持数据资产自动去重，提供统一标签识别及分类分级，支持数据资产实时更新。

二是数据权限关系自动关联。平台通过识别用户部门、角色和活跃状态，并与用户访问系统、获取数据等进行关联，生成用户习惯及偏好，建立用户历史行为基线并生成用户与数据之间的映射关系。

三是数据流转链路可视化。在构建数据调用拓扑和数据调用链路的基础上，平台通过企业数据标准、API及数据库操作动作、业务属性以及用户组织关系，完成数据流转链路关系映射。

四是数据访问要素全记录。平台根据访问数据量、访问系统场景分类盘点、账号身份及状态识别等完成主体特征关联，记录数据访问全要素。

五是接口安全弱点、风险行为实时监测。通过接入旁路流量，实时监测用户风险行为，并自动化检测接口可能存在的弱点，并实时反馈。

六是数据泄露全轨迹追踪。结合数据分类分级清单，通过会话关联、日志分析等技术进行操作行为分析，建立用户数据访问行为分析模型，实现数据泄露事件溯源分析和链路调查。

四、成果及推广

在数据安全监管日益紧迫的背景下，本项目在运营商行业中具有方案可落地性强、平台能力覆盖广、整体实用性高、拓展性强和对业务零改造无侵入等特点，具备较强的可复制性和推广前景。

一是可落地性强。方案产品均采用旁路部署模式，基于流量分析技术及前沿关联算法自动完成资产梳理、关联分析、风险评估等操作，不依赖与业务方对接，对应用无侵入零改造。

二是能力覆盖广。基于一个平台即可覆盖接口管理、弱点评估、风险监测、溯源分析等数据安全关键能力项，能力符合数据安全相关能力考核要点，可以帮助运营商企业快速完成既满足合规要求又符合自身业务场录需要的数据安全体系建设。

三是可实用性高。平台内置多种贴合运营商实际业务场景的数据识别标签、弱点评估观则库、风险监测模型库、数据分类分级模板等，可帮助运营商企业快速上手使用平台，减少安全运营成本，具备极高的实用性。