工信领域数据安全典型案例丨基于四平台三网关的数据安全治理框架和应用典型案例

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法（试行）》和《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分挖掘工业和信息化领域数据安全防护典型经验做法，切实增强行业数据安全保障水平，工业和信息化部组织开展了2023年工业和信息化领域数据安全典型案例遴选工作。此次典型案例遴选，按照“以点带面、点面结合”原则，面向工业、电信和互联网领域，征集了数据安全基础共性、数据安全监测分析、数据安全整体设计实施等“四方向、十类型”数据安全典型案例，经过申报推荐、形式审查、专业初审、专家评审和网上公示，在全国300余项申报方案中挖掘出了72项行业广泛认可、企业应用效果良好的典型案例，为指导工信领域数据处理者提高数据安全防护能力，促进数据安全技术、产品和服务产业化应用提供了重要参考。

本期分享2023年工业和信息化领域数据安全体系整体设计实施方向—整体设计实施类典型案例：江苏电信、重庆电信、电信技术创新中心《基于“四平台三网关”的数据安全治理框架和应用典型案例》。

相关链接：

案例概述

以企业数据和个人信息安全为抓手，从单点数据安全保护到体系化防护转型，综合运用人员、数据、场景“三位一体”的数据安全治理思路，制定“四平台三网关”数据安全保障框架并开展相关建设活动。

解决的问题

有效降低复杂环境下数据流动和技术能力分散带来的数据安全风险。解决了数据分类分级处理难点，包括自动化实现困难、特有数据的针对性弱和海量数据的识别效率低；安全管控联动难点，包括北向数据汇集和南向异构数据的调度问题；以及场景化运营缺少切实有效的业务策略发现数据安全风险等问题。

技术先进性

通过自动化的数据侦测雷达摸清家底，识别效率为1GB/2min，数据分布、活动全掌握，识别各类场景中的数据安全风险。三类数据网关严格把关数据流动，实现全生命周期安全防护和智能化安全监测，基于AI技术与流量统一采集分析实现数据安全态势感知，自上线以来共对29个部门开展审计，实现派单、审计、反馈全流程闭环和端到端穿透。

行业与场景适用性

江苏电信从2020年开启数据治理专项行动，通过多期工程建设，已初步形成了“四平台三网关”的数据安全能力体系。自2022年数据安全各项指标全集团领先，具备全集团推广的能力和可行性，类似方案已在安徽电信、浙江电信、研究院等其他省级电信公司落地使用。

一、企业简介

申报单位：中国电信股份有限公司江苏分公司

中国电信股份有限公司江苏分公司隶属中国电信股份有限公司，经营基础电信业务和增值电信业务，先后荣获“全国文明单位”“全国模范劳动关系和谐企业”等一批荣誉称号；荣获集团公司“集团市场拓展奖”“科技进步奖”等一批奖项。

联合申报单位：中国电信股份有限公司重庆分公司

中国电信股份有限公司重庆分公司隶属中国电信股份有限公司，经营基础电信业务和增值电信业务，曾在中国电信省级公司中首家通过ISO9001质量认证，先后荣获中央文明委首批授予的“全国文明单位”称号、重庆市国企贡献奖。

联合申报单位：中国电信股份有限公司技术创新中心

中国电信股份有限公司技术创新中心隶属中国电信股份有限公司，作为中国电信内部智能网边研发链链长责任单位，研发创新涵盖5G/6G及未来通信、云网融合、光通信、网信安全等多个领域，是中国通信行业研发国家队。

二、案例背景

在5G网络的加持下，以网为基础、以云为核心，深度融合“云+网”IT系统的云网融合一体化服务，已成为助力基础电信运营商从单纯通信类业务向综合信息服务转型的重要抓手与业务着力点。然而以软件定义网络（SDN）、网络功能虚拟化（NFV）为代表的云网融合技术，对网络、业务、计算的融合重构、多云互联等，使得数据安全的技术、建设、运营管理模式均与传统网络存在较大的差异，传统以系统运营的电信行业数字基础设施面临着新型的数据安全挑战，以功能实现为重点的传统数据安全解决方案已无法有效满足企业生产运营中丰富场景的各类安全需求。

三、解决方案

1、整体设计框架

“四平台三网关”数据安全保障框架，以数据资产梳理、数据分类分级为基础，针对数据安全风险，聚焦数据安全全生命周期，以零信任数据访问控制、数据动静态脱敏、数据加解密、数据操作审计等技术手段，构建了一套从数据资产识别、安全防护、风险监测、响应和处置事件、到策略优化的数据安全控制体系，覆盖企业生产运营的各个环节。

2、建设内容

一是自动化的数据侦测雷达。基于“四平台”中的数据安全管控平台和文档安全平台，通过结构化和非结构化数据资产梳理、数据分类分级智能辅助、敏感数据分布定位技术和针对数据处理活动的数据库流量采集、分析技术，摸清数据资产家底，形成应用和接口资源备案。从数据访问的主客体关系、数据载体脆弱性发现及操作指令管控方面，全面识别出数据系统各类场景中的安全风险。

二是精细化的数据访问网关。基于“三网关”实现数据前端使用、后端入库和端到端传输的安全保护。应用安全网关，旨在基于应用前台用户使用场景实现人员权限精细化控制，利用现有平台、终端安全准入等网络组件逐步实现边界防护，解决APP隐身、隐智能终端接入及终端数据防泄漏安全管理。

三是智能化的数据安全监测。基于“四平台”中的数据安全监测平台部署网络、设备等多种形式的流量探针实时收集各个系统的生产流量，统一进行格式化清洗，基于大数据AI技术开展关联分析，并通过可视化组件动态展示数据资产运营视图、应用资产备案视图、数据流转视图、安全策略运营视图、风险事件视图、安全风险分析视图和安全事件追溯视图，实现整体数据安全态势感知，对数据安全风险事件进行实时监控和告警。

四是场景化的数据安全审计。通过“四平台”中的日志审计平台，定制各类数据安全场景的审计策略，并对接OA门户形成自动化派单流程。管理人员可以通过工单持续跟踪事件处置情况，并通过日志告警的事件稽核督促运营人员提高事件处置效率。

3、功能特点

一是采用分类分级智能辅助、敏感数据分布定位和数据库流量分析等创新的方法，既能够对结构化和非结构化数据进行采集、分析，还能够发现以接口开放形式存在的敏感数据源。

二是采用AI技术与流量分析技术结合的创新方式对数据传输过程的安全风险进行实时监控。

三是通过加密技术对存储的敏感数据进行加密，并采用数据网关对数据的访问进行控制。

四是创新性地采用精细化的“三网关”，对各种不同的数据访问、使用方式进行管控，有效防止传输过程敏感数据泄漏与篡改、数据传输不完整、大流量攻击导致传输链路拥塞、数据链路中断等问题的发生。

五是通过“三网关”数据访问控制、数据流量监测能力、数据脱敏/水印能力对数据共享的安全性进行全面管控，有效防止数据共享未获得用户授权合作方违规使用、处理数据导致用户个人信息泄露、共享转移过程数据泄漏与篡改等问题。

六是通过制定相应管理制度、定制数据安全审计策略，对数据销毁的合规性进行管理，防止数据删除或介质销毁不彻底导致数据被恢复，剩余数据泄漏、超期、未及时删除用户数据导致用户权益受损等问题。

4、性能指标

以江苏公司企业级大数据平台为例，目前共发现122个敏感数据位置，针对这122个敏感数据位置进行数据流向实时监视，发现有访问敏感数据目录的租户218个，监测敏感数据传播149410次，为数据安全防护提供了有力的监测手段。

以基于大数据的安全审计分析为例，截至目前共接入六类日志，包含省市系统平台226个、各类设备10000+台，日均采集日志量近10亿条，每月自动化分析派单500单以上，提供一键日志溯源分析能力。

四、成果及推广

本案例创新性地构建了基于数据使用场景的细粒度运营权限控制体系和智能化的数据自动分类分级技术，紧密结合业务实现场景化运营。自2022年起，江苏公司、重庆公司和技术创新中心多次参与编制电信集团的数据安全技术要求，包括数据脱敏规范、数据接口规范、数据访问和操作行为审计规范，数据安全各项指标全集团领先，具备全集团推广的能力和可行性，类似方案已在安徽电信、浙江电信等其他省级电信公司落地使用。

往期回顾

12.

13.

14.

15.

16.

13.

14.

15.

16.

17.

18.