交通运输部印发《数字交通“十四五”发展规划》,提出到2025年,“交通设施数字感知,信息网络广泛覆盖,运输服务便捷智能,行业治理在线协同,技术应用创新活跃,网络安全保障有力”的数字交通体系深入推进,“一脑、五网、两体系”的发展格局基本建成,交通新基建取得重要进展,行业数字化、网络化、智能化水平显著提升。
与此同时,数据资源的大量汇聚、共享,衍生了一系列数据安全相关问题。对此,为支撑交通运输行业高质量发展和交通强国建设,助力交通行业打造“数据安全大脑”,昂楷科技提出了以下数据安全治理解决方案。
·交通数据大脑存在的风险·
目前各省交通运输行业都在建或已经建设了“数据大脑”,“数据大脑”定位为交通运输行业的“数据枢纽、公共支撑”,为各大业务系统提供数据协同和公共支撑服务,打破数据壁垒,促进数据互联互通,促进业务流程再造。
“数据大脑”在进行全行业数据整合、数据建模、数据挖掘以大数据分析的过程中汇聚了海量的重要敏感数据,包括监测数据、电子航道地图、三维模型、个人信息、企业数据、行政许可证书、规划数据、车辆数据等。
随着数据资源的大量汇聚、整合共享,延伸出一系列数据安全相关问题,如因数据高度集中导致数据更容易成为攻击的目标;内部人员的大量违规操作导致数据篡改、数据泄露隐患加剧,极大程度增加数据在流动、共享交换过程中数据泄露风险等。
·交通数据大脑风险分析·
交通运输行业作为关基行业,在多年的信息化安全建设中已经完善了传统网络安全体系建设,如网络防火墙、web应用防火墙、防病毒、安全运维审计、IPS、网络安全应急响应等,但是数据安全建设目前处于起步阶段,在日益严峻数据安全形势下,交通数据大脑存在如下数据安全风险:
-组织建设层面 -
数据安全管理团队建制不完善
缺乏完善的数据安全保障组织
-制度流程层面 -
缺乏必要的数据安全管理制度
数据安全分类分级不完善
没有必要的检测机制
“进出”数据管控效果不高
-技术工具层面 -
没有必要的检测工具
接入系统权限划分不清
大量敏感隐私数据分类分级的管控和防护手段不完善
安全运营工具存在短木板效应或形同虚设
-人员能力 -
运维团队人员建制不完善
技术能力参差不齐
缺乏完整的安全风险评估
·交通“数据安全大脑”治理方案·
方案设计的指导思想从数据的全生命周期加强安全监测和预警,强化安全防护,提高数据安全保障能力。建立数据安全管理组织,建立数据安全监管、数据安全运营机制,形成跨部门协作的数据安全管理机制,通过配置合适的安全工具和安全服务,构建“数据大脑”安全保障能力的同时,保障接入系统数据安全“进”、“出”;接入系统提供分级分类、安全策略管理、风险监测等能力,开展接入系统的风险评估、安全检查和安全监督。
交通运输行业“数据安全综合治理”解决方案整体架构图:
数据安全综合治理解决方案”整体架构图
1、数据安全组织建设
组织、制度、技术是数据安全的“铁三角”,其中,组织的建设是关键,有别于传统的组织架构,由于数据在数据管理者、所有者、使用者、处理者和创建者等多种关系流转,因此需要建立一个由多部门参与的组织架构,有效规划、落实和监督数据安全相关政策标准和管理规范等提出的要求,组织架构包括决策层、管理层、执行层、运营层和监督层。
2、数据安全管理建设
在数据安全建设的过程中,管理制度建设是极为重要的一环,是数据安全相关工作的指导方针和标准,所有的工作流程和技术支撑都是以此来指导和落实。数据安全管理建设主要包括数据安全管理体系、管理方针、管理制度、管理基线和管理流程,除了保障数字平台的数据安全防护满足国家及相关机构颁布的法律和规定外,还需结合交通运输行业数字平台数据流通特点,建立详细的数据安全管理要求。
3、数据安全技术建设
以现有的安全基础设施、等级保护技术措施为基础,作为数据安全的基础环境保障,通过对“数字平台”进行风险识别、敏感重要数据识别、数据分类分级等分析,结合多种数据安全技术措施与现有安全防护手段,构建全方位的数据防护体系,实现“数字平台”数据全生存周期安全防护全覆盖,并在此基础上为交通运输行业建立数据安全管控平台,实现数据安全风险主动感知预警,实现“重塑数据安全、保障业务价值”。
4、数据安全运营体系
数据安全建设是一个长期持续的过程,并非一蹴而就,通过建立数据安全运营体系,在安全运营团队支撑下,结合多种技术工具,打造平台数据风险识别、安全防护、持续监测和响应处置全流程应对内外部风险,持续性防护交通运输行业数据安全。
·方案收益·
在敏感数据发现并分级的基础上,遵循最小权限和动态授权原则,在数据全生命周期各个阶段建立数据访问控制、数据加密、数据脱敏、认证授权、数据操作审计等措施,实现数据可见、可控、可管,为业务的稳定、可靠运行保驾护航。通过本方案将获得如下收益:
1.全方位梳理数据资产数据,建立并完善数据安全管理体系,实现人员数据权限精准管控。数据资产风险评估,输出风险评估报告,摸清家底;完善安全制度及流程体系,提高数据安全管理能力;细化访问权限,规范运维运营流程,全程监管数据访问行为,实时拦截阻断违规操作、恶意攻击、数据泄露、SQL注入等高风险行为。
2.为用户构建起统一的联动联防合成作战的数据安全防护控制体系。可应对更加复杂的数据安全威胁及问题,提升数据安全防控能力;通过AI分析自学习,对数据访问行为学习建模,行为预判,提高智能化防护。
3.数据安全共享,提升数据使用价值。针对数据共享交换、测试开发等场景,对重要敏感数据进行数据脱敏、去隐私化处理,同时保持表与表之间关联关系,在满足重要敏感数据不同场景使用的同时,保障了数据安全,提升数据使用价值。
4.构建数据安全运营保障机制。落实数据安全监测预警、数据风险检测、应急处置等相关技术手段,持续优化数据分类分级管理,形成常态化数据安全运营,保障客户数据全生命周期安全。