主動破局｜綠盟資料安全運營平臺（ISOP DS）助力多業務場景下的資料安全建設

一、資料安全建設的必要性
隨著全球數字化程式加速，資料成為影響經濟發展的關鍵生產要素。資料安全已關係到經濟社會發展的方方面面，成為事關國家安全與經濟社會發展的重要組成部分。

隨著《中華人民共和國網路安全法》《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》《網路資料安全管理條例（徵求意見稿）》《資料出境安全評估辦法（徵求意見稿）》等法規相繼釋出，不同單位亟需對所轄資料資源落實安全保障機制。

二、典型資料安全場景與需求概述
如何體系化開展資料安全建設更是成為相關行業單位的關注重點，下面我們從資料安全場景出發，看下不同群體的資料安全建設需求。

01“基礎務實”的資料安全運營場景
該場景中，大部分單位處於務實建設階段，旨在打好資料安全建設基礎，以《中華人民共和國資料安全法》的相關要求切入，關注資料資產（分級分類）、資料安全風險監測、掌握流轉情況。

在資料資產管理方面，主要關注組織在某個時刻全域性資產及對應的分級分類情況、在某個週期內資料資產變化情況（如新增欄位和已有欄位中相關屬性內容變化），並對該部分進行跟進，保證風險可控。在資料安全監測方面，旨在對資料資產相關風險進行持續監測並快速處置。因系統與資料間存在著大量的訪問呼叫，運營者希望對應用系統間資料流轉情況進行測繪，保證資料流轉過程中風險可控。

02資料安全“協同合規”場景
該場景在電信運營商行業較為常見，該行業資料安全工作起步較早，基礎安全保障能力相對健全，並處於資料安全系統化合規落地階段。主管機構要求不同單位建立各類資料安全臺賬清單（如分級分類清單、重要資料清單、資料安全策略清單、態勢報告、對外API介面清單、裝置撥測清單、安全事件清單等）。主管單位定期考核不同單位資料安全工作開展情況，這些清單需要相關單位中不同部門協同梳理完成，藉此推動組織內資料安全日常工作開展。

03掌握全行業資料安全態勢場景
該場景在主管單位、監管機構居多，上級單位會定義主管機構關注的資料安全指標，要求下級執行並定期回傳，可能涉及部省市三級聯動。下級生成的指標包括並不侷限於行業資料整體情況（重要資料、分級分類）、行業內部安全態勢（資料批次訪問操作行為）、資料共享情況（資料出境數量、API介面使用）、敏感資料使用情況等，以此保證行業內資料安全風險可控。

三、資料安全建設的破局思路
綠盟資料安全運營平臺（以下簡稱：ISOP DS）為體系化資料安全建設提供了新思路，該平臺基於IPDRR模型構建，集資料資產管理、資料資產分級分類、資料安全風險監測、API介面安全管理、資料安全流轉監控、資料安全合規管理、資料安全策略統一管控為一體的平臺產品。

圖1 ISOP DS架構
ISOP DS以資料安全合規為目標，以資料資產為核心，匯聚全網資料安全日誌資料，內建了多種資料安全場景分析模型，呈現全網資料安全綜合態勢，基於上傳下達通道拉通不同部門參與資料安全工作，提升組織資料安全運營能力。

四、ISOP DS的七大實踐
ISOP DS已經在運營商、金融、能源、政府、交通、企業、科教文衛等多個行業客戶現網中進行使用。下面將從以下七個方面對ISOP DS在不同資料安全運營領域的相關實踐進行介紹。

圖2 ISOP DS的七大實踐

01分級分類資料資源目錄構建
ISOP DS內建國家和行業管理機構頒佈的資料資產分類分級規範，可以依據不同模板對資料資產進行分類分級匹配。ISOP DS可以對IDR下發分級分類掃描任務，透過掃描方式為資料資產的類別及敏感級別進行打標，同時可對UTS流量探針下發分級分類策略，探針基於流量中還原的檔案進行分級分類匹配，並將匹配結果返回平臺。

ISOP DS可同時對主被動發現的分級分類資產進行維護，形成重要、核心資料資源目錄，運維者進而可對不同級別的資料資產加以不同級別的安全防護措施。

圖3 分級分類匹配模板

02各類資料安全清單輸出
ISOP DS可實現API、檔案、資料庫等多型別資料資產管理，在資產屬性方面除通用資訊外，加入其特有的資料安全屬性標籤，如資料庫資產會加入欄位名、資料資源名稱、資源版本、叢集資訊、儲存資料大小、資料特徵、資料型別、不同生命週期安全防護措施情況；API資產會加入介面名稱、介面型別、應用協議、開放形式、安全措施、合作方資訊及保密協議簽署情況，以便支撐資料資產精細化運營。

在資產資訊庫建立後，平臺可透過IDR掃描與流量發現識別出新增資產、已有資產內容變化情況，透過稽查入庫操作，可形成組織內最新的資料資產底圖。平臺提供一鍵匯出功能，滿足行業主管機構對下屬單位資料資產分級分類清單、重要資料清單、核心資料清單定期生成資料安全管理要求。

圖4 資料資產地圖

03資料安全流轉監控
ISOP DS可以對流轉中的資料進行監控，自動化發現並測繪不同級別/類別資料與訪問主體、流轉途徑間的鏈路檢視，並基於該流轉鏈路檢視，對高敏感、重要資料傳輸風險進行針對性聚焦呈現。

圖5 流轉大屏示意
在資料跨境方面，ISOP DS可以從跨境訪問數量、傳輸資料量、跨境業務系統TOP角度展示本機構與國外的互動行為。

圖6 資料跨境監測

04資料安全威脅監控
依託於在資料安全領域多年的經驗積累，ISOP DS可覆蓋未報備介面/介面涉敏/介面訪問異常、未知資產監測、敏感資料明文傳輸、4A防繞行、脫敏效果驗證等場景化資料安全風險監測場景；事件詳情可對事件觸發原因進行高亮展示，以便支撐研判。

ISOP DS實現了基於裝置與資產繫結許可權域的功能，對應事件大屏及頁面可以顯示資產所屬部門及系統；管理員賬號可以看到全域性的資料安全資訊，透過資產組可以篩選關注部門系統對應的資料安全事件；對應子部門系統登入自身賬號可以看到自身的資料安全資料，一套平臺滿足組織內多部門/多系統、總部集團分支單位間資料安全協同運營需求。

圖7 事件觸發原因與部門歸屬

05資料安全協同合規
ISOP DS可定義組織內資料安全合規目標，不同角色登入平臺可以檢視單位內資料安全建設目標，以便牽引相關資料安全建設。

圖8 安全管理目標管理
ISOP DS內建上傳下達通道，可以下發分級分類、資產稽核、重要資料資產稽核、對外共享介面稽核、資料安全態勢稽核、API資產清單稽核等任務。不同部門負責人在收到任務後，可以執行並分發至對應的負責人，藉此拉通不同部門組織在資料安全領域的參與度。

圖9 合規模板管理

06資料安全事件上報
ISOP DS可將上級機構關心的資料安全指標資訊透過實時與離線方式上傳至對端平臺，上報的資訊包括本級單位基礎資訊（編號標識、主體經營資訊、企業IP/域名資訊）與資料安全業務類資料（資料安全事件、資料安全策略、資料相關基礎設施、資料資產分級分類清單、對外API開放等情況），進而完成本行業資料安全相關指標匯聚呈現。

圖10 資料安全資訊上報

07更體現工作成果的大屏呈現
ISOP DS相關大屏從整體資料安全態勢、資料資產安全情況、資料安全威脅分析角度出發，可真實呈現組織內資料安全領域工作開展成果，便於對外總結匯報。

圖11 資料安全綜合態勢

圖12 資料資產態勢

圖13 資料威脅態勢

五、總結
隨著資訊化發展，資料安全已經成為全行業的共同挑戰， ISOP DS在實踐中不斷打磨產品能力，為資料安全領域的安全防護治理提供了一種新的思路，為體系化資料安全建設提高提供了抓手。作為“巨人背後的專家”，綠盟科技將一如既往以創新精神、精湛技術、優質產品、專業服務為數字化時代安全保駕護航。