工信领域数据安全典型案例丨打造一数一链式的数据安全管理平台

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法（试行）》和《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分挖掘工业和信息化领域数据安全防护典型经验做法，切实增强行业数据安全保障水平，工业和信息化部组织开展了2023年工业和信息化领域数据安全典型案例遴选工作。此次典型案例遴选，按照“以点带面、点面结合”原则，面向工业、电信和互联网领域，征集了数据安全基础共性、数据安全监测分析、数据安全整体设计实施等“四方向、十类型”数据安全典型案例，经过申报推荐、形式审查、专业初审、专家评审和网上公示，在全国300余项申报方案中挖掘出了72项行业广泛认可、企业应用效果良好的典型案例，为指导工信领域数据处理者提高数据安全防护能力，促进数据安全技术、产品和服务产业化应用提供了重要参考。

本期分享2023年工业和信息化领域数据安全监测分析方向—数据安全监测感知类典型案例：翼支付、青海电信、全知科技《打造“一数一链”式的数据安全管理平台》。

相关链接：

案例概述

基于数据链路流转分析监测能力，聚合数据识别、风险监测、用户访问控制等多种技术能力，打造“一数一链”式数据安全管理平台，为每个数据刻画独有的链路，动态展现数据流转，以链路来呈现数据安全风险状况、重要数据分布和流动状况，以及建立数据泄露和溯源的基础框架。以链路保障企业整体数据安全。

解决的问题

强化了数据资产识别管理能力以及数据全生命周期安全管理能力，将数据从存储到数据共享串联覆盖监控，并通过丰富的脆弱性探测、违规行为监测分析以及链路的刻画，解决了数据资产识别效率低、风险监测能力弱、数据流向不清、关联风险综合分析能力不足以及数据泄露溯源难等数据安全治理难题。

技术先进性

本平台通过采用高级实体关联引擎、全链路风险监测以及多种自适应智能分析模型等关键技术，突破传统数据安全监控模式，通过链路刻画实现以链路来呈现数据安全风险状况，以链路来展示重要数据分布和流动状况，以链路来建立数据泄露溯源的基础框架，以链路来保障企业整体数据安全。

行业与场景适用性

平台具有通用性强、易部署、业务侵入性低等特点，不仅适用电信行业，也适用金融等其他行业。一方面，通过网络旁路镜像方式采集数据，对业务实现零影响。另一方面，通过“三层关联”实现用户、应用、数据库的数据流转链路刻画，智能化分析数据泄露可疑路径，提升泄露溯源能力，有力支撑数据安全边界防护，保护用户数据安全。

一、企业简介

申报单位：天翼电子商务有限公司

天翼电子商务有限公司成立于2011年，是中国电信集团有限公司所属二级子公司、中国人民银行核准的第三方支付机构、国家高新技术企业。公司以“客户信赖的金融科技企业”为企业愿景，打造有电信特点、有技术含量、有数据特征的金融科技国家队。

联合申报单位：中国电信股份有限公司青海分公司

中国电信股份有限公司青海分公司大力推进聚集客户的信息化创新战略和差异化发展策略，以“青藏高原一流的现代综合信息服务提供商”的战略目标，积极推进战略转型和企业发展，为推动青海国民经济发展和改进人们生产生活方式、提高工作效率和生活质量等发挥更加重要的作用。

联合申报单位：全知科技（杭州）有限责任公司

全知科技（杭州）有限责任公司成立于2017年，是国内领先的数据安全服务商，在网络安全攻防、机器学习、数据保护、风险治理等方面拥有前沿的技术实力及丰富的实践经验，一直专注于数据安全领域的探索与研究。

二、案例背景

伴随企业数字化转型步伐加快，自身信息化程度不断提升，数据已经成为企业核心资产，其重要程度不言而喻。但在数据流转和使用过程中，面临数据资产梳理不全面、数据流转路径不清晰和风险发现不及时等风险，亟需建设一套更加行之有效的安全体系帮助企业更加精准、高效、直观地开展数据安全治理工作。

三、解决方案

1、整体架构设计

“一数一链”式数据安全管理平台采用松耦合结构，具备与多个数据安全能力组件进行联动的能力。

平台通过数据链路流转打通了用户、应用和数据库这三个层面，建立三层关联关系，刻画数据全链路，发现数据流动风险。实现数据资产可视、数据流转可见、数据风险可察、数据使用可管、数据共享可溯五大目标，以五大目标为基础实现整体数据安全态势，构建数据资产态势、数据流动态势、数据风险态势，形成统一管理、统一运营的整体数据链路流转风险监测系统。

2、建设内容

一是数据识别与发现（数据资产可视）。通过IP+只读账号扫描的方式检测数据资源及数据库的分布，采集相关系统元数据。依托数据字典注释、字段名称、业务数据抽样等多种策略，参照数据安全分级分类标准对系统的数据资产进行识别、分类、定级、实现敏感资产统一管理，可视化查询，为数据安全管理提供有效依据。

同时采用基于静态扫描分析技术检测应用系统敏感权限的申请和使用、采集数据安全传输、数据流向等情况及时发现违规、超范围收集、使用、共享数据问题，充分保障采集数据的安全性，降低数据收集违规风险。

二是数据的链路流转关联（数据流转可见）。通过机器学习等算法对日志进行分析，实现数据流向全链路刻画，特别是重要数据。通过关联引擎，打通了数据分类分级保护策略到数据流转过程中各节点的串联、实现系统数据流转链路（系统用户一应用—数据）的梳理及对应的访问行为记录，多维度展示链路情况。

三是数据的风险事件告警（数据风险可察）。通过系统中的多协议事件的关联关系生成风险，提升告警质量，并且根据实际业务场景自定义配置相关的风险规则，更快地发现疑似风险事件以及新增的数据链路节点，数据异常链路行为。结合目前的安全自动化响应平台，实现风险事件的全流程闭环处理。

四是数据的访问行为跟踪（数据使用可管）。通过识别出的用户访问行为链路监控数据及指标，建立数据模型进行机器学习和大数据多维度分析，对数据访问建立动态行为基线，利用异常检测基础，从业务角度多维度分析识别异常链路关系和异常访问行为，实现异常数据访问行为识别及监控预警。通过翼支付自研的“识链”A1风险评定算法，可视化剧本编排引擎等能力，依托安全攻防专家经验进行剧本固化，自动化关联安全事件并自动响应处置，实现对不同类型的数据访问行为的管控。

五是数据的事件链路溯源（数据共享可测）。通过关联算法引擎以还原数据安全事件全貌，包括用户主体（IP/账号）、应用系统、数据库端等，从而实现数据安全风险源链路化。针对疑似泄露数据可以从来源数据分类分级信息查询存储位置、涉及使用的系统、数据流转链路以及互联网出口等情况，综合分析研判可疑泄漏点，对各风险泄露点评定等级，为数据事件应急响应处置、数据资产保护提供更加有力支撑。

3、功能特点

平台通过数据链流转打通了用户、应用和数据库这三个层面，建立三层关联关系，刻画数据全链路，发现数据流动风险。实现数据资产可识、数据流转可见、数据风险可察、数据使用可管、数据共享可溯五大目标，以五大目标为基础实现整体数据安全态势感知，构建数据资产态势、数据流动态势、数据风险态势，形成统一管理、统一运营的整体数据链路流转风险监测系统。

4、性能指标

数据采集监测系统可智能配置识别9000+SDK，应用监测系统日处理流量平均达到5Gbps，数据库监测系统日均处理流量平均达到1.5Gbps，自动化刻画的数据链路数600+条，准确率达到85%以上。运营平台实时计算单节点处理性能10万条/秒，单节点接收处理性能超过3000条/秒。

四、成果及推广

本平台通过结合公司数据场景，主动并持续探测数据库中用户个人信息存储数量，并赋予数据标签，利用自动化脱壳、系统敏感接口插桩、应用自动化遍历等技术实现对采集数据的合规性、隐私性的验证。同时结合高级实体关联、机器学习、智能分类和规则自动化等多种技术解决数据流转透明化的难题，通过应用层、业务逻辑层和数据访问层之间的有效关联，实现对内部和外部的数据流动的全面监控和管理。并提供了数据访问路径关联审计的能力，解决了现有技术中只能审计出两个节点之间的访问信息，无法联动追查数据泄露源的问题。

平台实际运行期间监测统计的敏感数据传输接口监控量提升50%，数据库监控量提升30%。日均监控风险类型数量提升40%，数据安全风险告警误报率降低70%。平台以链路关联、数据泄露溯源为突破口，通过技术研发、能力打通、检测数据共享等手段构建了“一数一链”的数据安全防护能力，相应的技术成果可以帮助涉及大量敏感信息的电信和互联网领域的企业，更加直观地展现数据安全状态，感知未知风险，根据自身需求建立数据安全风险监测机制，全面落地健全数据安全风险治理体系，同时驱动数据安全行业再上新台阶。

往期回顾

12.

13.

14.

15.

16.

13.

14.

15.

16.

17.

18.