供水技術標準轉型中的數據安全，如何做到風險控制？

時間：2023-11-13 16:32

來源：中國水網

作者：劉彤整理

數據安全治理路徑主要是以數據為中心，圍繞數據生命周期全過程，融合技術、管理和運營，打造涵蓋“云、網、端”的時空一體化動態安全防護體系，確保數據流轉全過程持續處于有效保護、合法利用的狀態，保障數據安全釋放價值。

數據安全治理難點可以總結為數據是否泄漏無感知、泄漏途徑難確認、泄漏事件難溯源、數據資產不清晰、數據分級分類無法落地、數據訪問控制難落地、數據安全人才缺失七個方面。

朱波介紹，核心技術能力主要包括智能數據分類分級、數據風險監測、數據泄密溯源、數據安全管控四方面。

智能數據分類分級：通過人工智能和機器學習技術，自動提取數據特征，進行數據分類分級標簽推薦，從而大幅提升數據分類分級的效率。

數據風險檢測：基于大數據計算以及用戶行為分析技術，對用戶數據訪問流量進行建模，自動生成安全基線；基線內容如誰在訪問數據，訪問什么數據，通過何種途徑，什么時間，訪問了多少數據等；基于安全基線以及異常行為特征模型對數據訪問行為進行研判，感知風險，上報告警，如：數據越權使用、API異常調用、運維人員批量讀取敏感數據等。

數據泄密溯源：當前主流數據共享方式中，傳統的嵌入追溯水印方式不再有效。通過可疑第三方檢測模型對數據泄露內容進行數據檢測，快速定位出可能的數據泄露源頭，大大提升數據泄露溯源的速度。

數據安全管控：基于智能數據分類分級結果，對不同角色用戶訪問數據進行不同數據安全訪問策略控制。

會上，朱波也將合肥供水集團的實踐經驗進行了分享。

在高度重視下，數據安全事件仍然頻發。內因是獲取數據有利可圖，數據憑借自身價值，擁有“內泄外竊/越權使用”的天然驅動力。外因是數據安全保護不力，涉及數據權責不明確、數據狀況不清晰、制度策略不完備、防護理念不匹配等層面的問題。各行業數據安全風險大、泄露事件頻發。

在此背景下，合肥供水集團建立數據安全助力框架。

圖片7.png

管理體系方面，定目標、規框架，建立企業級數據中心。合肥供水集團詳細調研31個主要業務系統、16個業務部門，進行數據規劃，形成9大標準規范，數據中心已采集數據18億條，已治理數據8.9億條。數據共享交換具有8.3億條共享能力，共享至表務系統2500萬條、管網運維系統58萬條、超等額累進加價系統233萬條、合肥市數據資源局1100萬條等。

圖片8.png

數據安全治理制度框架方面，合肥供水集團為決策者、管理層、執行層分別制定了相應匹配的制度，并建立了相應的32個一類到四類的數據安全辦法、規范、細則和手冊。

圖片9.png

技術體系方面，基于零信任構筑的數據安全。采用SDP（軟件定義邊界）架構打造的新一代終端安全接入架構，由零信任安全網關、管理平臺、客戶端及終端安全監測四個部分構成，提供多種認證、終端環境檢查、跨網隔離、非法外聯檢測、NAT溯源等能力的端到端安全防護，構建安全、易用、易管、穩定的可控可管的 “一機兩網” 安全環境。

圖片10_副本.png

技術體系：合肥供水集團數據安全體系

圖片11.png

技術體系：數據全生命周期安全體系建設

朱波最后表示，數據安全治理是數據治理的一個子集，安全治理既可在數據治理框架下進行，也可獨立實施。欲速則不達，數據的安全問題得不到妥善解決，那么寧愿數字化轉型慢一點，或者不轉型，也不能在錯誤的方向上漸行漸遠。理想的方案是獲取全量數據安全指標；經濟的方案是能夠滿足當前業務的風險控制需求。把未知的風險轉變為已知的風險，再去尋找抵御風險和提升防御能力的方法。

數據安全治理只有起點沒有終點，數據安全保護永遠在路上。

編輯：李丹

贊