交通運輸部印發《數字交通“十四五”發展規劃》,提出到2025年,“交通設施數字感知,信息網絡廣泛覆蓋,運輸服務便捷智能,行業治理在線協同,技術應用創新活躍,網絡安全保障有力”的數字交通體系深入推進,“一腦、五網、兩體系”的發展格局基本建成,交通新基建取得重要進展,行業數字化、網絡化、智能化水平顯著提升。
與此同時,數據資源的大量匯聚、共享,衍生了一系列數據安全相關問題。對此,為支撐交通運輸行業高質量發展和交通強國建設,助力交通行業打造“數據安全大腦”,昂楷科技提出了以下數據安全治理解決方案。
·交通數據大腦存在的風險·
目前各省交通運輸行業都在建或已經建設了“數據大腦”,“數據大腦”定位為交通運輸行業的“數據樞紐、公共支撐”,為各大業務系統提供數據協同和公共支撐服務,打破數據壁壘,促進數據互聯互通,促進業務流程再造。
“數據大腦”在進行全行業數據整合、數據建模、數據挖掘以大數據分析的過程中匯聚了海量的重要敏感數據,包括監測數據、電子航道地圖、三維模型、個人信息、企業數據、行政許可證書、規劃數據、車輛數據等。
隨著數據資源的大量匯聚、整合共享,延伸出一系列數據安全相關問題,如因數據高度集中導致數據更容易成為攻擊的目標;內部人員的大量違規操作導致數據篡改、數據泄露隱患加劇,極大程度增加數據在流動、共享交換過程中數據泄露風險等。
·交通數據大腦風險分析·
交通運輸行業作為關基行業,在多年的信息化安全建設中已經完善了傳統網絡安全體系建設,如網絡防火墻、web應用防火墻、防病毒、安全運維審計、IPS、網絡安全應急響應等,但是數據安全建設目前處于起步階段,在日益嚴峻數據安全形勢下,交通數據大腦存在如下數據安全風險:
-組織建設層面 -
數據安全管理團隊建制不完善
缺乏完善的數據安全保障組織
-制度流程層面 -
缺乏必要的數據安全管理制度
數據安全分類分級不完善
沒有必要的檢測機制
“進出”數據管控效果不高
-技術工具層面 -
沒有必要的檢測工具
接入系統權限劃分不清
大量敏感隱私數據分類分級的管控和防護手段不完善
安全運營工具存在短木板效應或形同虛設
-人員能力 -
運維團隊人員建制不完善
技術能力參差不齊
缺乏完整的安全風險評估
·交通“數據安全大腦”治理方案·
方案設計的指導思想從數據的全生命周期加強安全監測和預警,強化安全防護,提高數據安全保障能力。建立數據安全管理組織,建立數據安全監管、數據安全運營機制,形成跨部門協作的數據安全管理機制,通過配置合適的安全工具和安全服務,構建“數據大腦”安全保障能力的同時,保障接入系統數據安全“進”、“出”;接入系統提供分級分類、安全策略管理、風險監測等能力,開展接入系統的風險評估、安全檢查和安全監督。
交通運輸行業“數據安全綜合治理”解決方案整體架構圖:
數據安全綜合治理解決方案”整體架構圖
1、數據安全組織建設
組織、制度、技術是數據安全的“鐵三角”,其中,組織的建設是關鍵,有別于傳統的組織架構,由于數據在數據管理者、所有者、使用者、處理者和創建者等多種關系流轉,因此需要建立一個由多部門參與的組織架構,有效規劃、落實和監督數據安全相關政策標準和管理規范等提出的要求,組織架構包括決策層、管理層、執行層、運營層和監督層。
2、數據安全管理建設
在數據安全建設的過程中,管理制度建設是極為重要的一環,是數據安全相關工作的指導方針和標準,所有的工作流程和技術支撐都是以此來指導和落實。數據安全管理建設主要包括數據安全管理體系、管理方針、管理制度、管理基線和管理流程,除了保障數字平臺的數據安全防護滿足國家及相關機構頒布的法律和規定外,還需結合交通運輸行業數字平臺數據流通特點,建立詳細的數據安全管理要求。
3、數據安全技術建設
以現有的安全基礎設施、等級保護技術措施為基礎,作為數據安全的基礎環境保障,通過對“數字平臺”進行風險識別、敏感重要數據識別、數據分類分級等分析,結合多種數據安全技術措施與現有安全防護手段,構建全方位的數據防護體系,實現“數字平臺”數據全生存周期安全防護全覆蓋,并在此基礎上為交通運輸行業建立數據安全管控平臺,實現數據安全風險主動感知預警,實現“重塑數據安全、保障業務價值”。
4、數據安全運營體系
數據安全建設是一個長期持續的過程,并非一蹴而就,通過建立數據安全運營體系,在安全運營團隊支撐下,結合多種技術工具,打造平臺數據風險識別、安全防護、持續監測和響應處置全流程應對內外部風險,持續性防護交通運輸行業數據安全。
·方案收益·
在敏感數據發現并分級的基礎上,遵循最小權限和動態授權原則,在數據全生命周期各個階段建立數據訪問控制、數據加密、數據脫敏、認證授權、數據操作審計等措施,實現數據可見、可控、可管,為業務的穩定、可靠運行保駕護航。通過本方案將獲得如下收益:
1.全方位梳理數據資產數據,建立并完善數據安全管理體系,實現人員數據權限精準管控。數據資產風險評估,輸出風險評估報告,摸清家底;完善安全制度及流程體系,提高數據安全管理能力;細化訪問權限,規范運維運營流程,全程監管數據訪問行為,實時攔截阻斷違規操作、惡意攻擊、數據泄露、SQL注入等高風險行為。
2.為用戶構建起統一的聯動聯防合成作戰的數據安全防護控制體系。可應對更加復雜的數據安全威脅及問題,提升數據安全防控能力;通過AI分析自學習,對數據訪問行為學習建模,行為預判,提高智能化防護。
3.數據安全共享,提升數據使用價值。針對數據共享交換、測試開發等場景,對重要敏感數據進行數據脫敏、去隱私化處理,同時保持表與表之間關聯關系,在滿足重要敏感數據不同場景使用的同時,保障了數據安全,提升數據使用價值。
4.構建數據安全運營保障機制。落實數據安全監測預警、數據風險檢測、應急處置等相關技術手段,持續優化數據分類分級管理,形成常態化數據安全運營,保障客戶數據全生命周期安全。
