導讀：中國聯通某省分公司如何在數字化轉型的過程中保護敏感資訊保安？該省聯通經過實際調研，最終選擇美創科技在已有網路安全防禦體系下，完善內部風險操作管控、外部攻擊入侵防禦、資料流動各場景下的資料保護、全面精確審計及高效溯源等，構築全面的資料安全防護體系。

 

中國聯通某省分公司擁有覆蓋全省、通達世界的現代通訊網路，近年來，圍繞經濟社會發展對新一輪數字化革命的迫切需求，該公司加快全面數字化轉型步伐，發力新基建，打造雲網一體新生態，硬核上線“雲展廳”“雲課堂”“雲法庭”，努力實現公益直播帶貨和全渠道數字化轉型，充分發揮了資訊通訊對產業鏈和經濟社會發展的帶動拉動融通作用。

 

中國聯通某省分公司如何在數字化轉型的過程中保護敏感資訊保安？該省聯通經過實際調研，最終選擇美創科技在已有網路安全防禦體系下，完善內部風險操作管控、外部攻擊入侵防禦、資料流動各場景下的資料安全保護、全面精確審計留痕及高效溯源等技術防護手段，搭建全面的資料安全風險防護體系。

 

需求背景

近年來，隨著資訊科技的快速發展及聯通公司各類核心業務的高速擴張，該公司資料庫系統內匯聚了大量高價值的客戶及企業核心敏感資料。雖然當前已經構建了完善的邊界安全防禦體系，並逐步制定和完善了一系列規章制度，但如何在利用資料資源實現數字化轉型的過程中體系完整地保護敏感及隱私資訊保安，依然面臨著嚴峻的挑戰。

為落實《中華人民共和國網路安全法》、《電信和網際網路使用者個人資訊保護規定》等法律法規和主管部門的各項規定，切實加強個人及企業資料的全生命週期保護，現開展資料安全防護體系建設，建設目標如下：

1 、資料安全體系化防護

完成體系化的資料安全保護，實現資料全生命週期防護，包含：程式缺陷和漏洞修復、敏感資料分類分級、外部攻擊入侵防禦、內部風險操作管控、資料流動下的安全防護、資料訪問的全面和精確審計留痕等，以確保資料不會面臨惡意洩露、篡改或毀損、刪庫等狀況的發生，確保各場景下資料使用及訪問的安全合規。

2 、合規遵循

資料安全應達到安全合規標準，應滿足《中華人民共和國網路安全法》、《電信和網際網路使用者個人資訊保護規定》、《中華人民共和國資料安全法》（草案）等法律法規及主管部門的對電信行業的各項規定。

3 、智慧化管理

降本增效，按照要求提供運維報告，對危險事件進行實時告警和通知，便於緊急事件處理；實時進行資料操作監控，定期對日誌進行分析，基於資料安全風險態勢對整體資料管理提供最佳化建議，最終實現資料的智慧化安全管理。

 

解決方案

該省聯通經過實際調研，最終選擇美創科技完整參與專案整體建設，依託美創資料庫防水壩、資料庫防火牆、資料脫敏系統、資料庫安全審計等產品搭建全面的資料安全風險防護體系，在現有網路安全防禦體系下，完善內部風險操作管控、外部攻擊入侵防禦、資料流動各場景下的資料安全保護、全面精確審計留痕及高效溯源等技術防護手段。

美創解決方案部署示意圖

 

1 、外部攻擊入侵防禦

依託美創資料庫防火牆系統，基於業內領先的機器學習技術、SQL解析技術、完善的SQL隱碼攻擊特徵庫及漏洞特徵庫，實時檢測和阻斷外部攻擊行為，主動防禦撞庫、拖庫和SQL隱碼攻擊；同時提供虛擬補丁功能，檢測並阻斷利用資料庫漏洞發起的攻擊行為，有效避免了因打補丁造成資料庫重啟失敗的可能；再加上基於身份授權下的敏感SQL操作管理，有效保證了不中斷連線會話下業務流的智慧安全管控。

 

2 、內部運維人員風險管控

透過美創資料庫防水壩，以敏感資料發現和分級分類管理為基礎，完善現有4A管理平臺，利用身份管理、行為授權等機制對運維人員進行准入合規管理，實現運維操作場景下資料即時動態脫敏、防範敏感資料的高危風險操作、限制特權賬戶隨意訪問和修改敏感資料、防直連登陸資料庫等，同時，藉助賬號工單的管理和免密登陸、基於全面風險分析報告及監控大屏，協助該省聯通訊息安全部實現運維人員身份管控，防止核心資料庫資產賬號密碼洩露、提升運維資料安全監控及處置效率等。

 

3 、流動資料安全防護

依託美創資料脫敏系統，結合各種應用場景的需求，比如：開發環境、測試環境、資料開放共享環境、資料分析場景、不同部門間資料流轉環境等等，透過內建的豐富脫敏規則自動發現和梳理敏感資料，基於豐富的脫敏演算法和不同的脫敏場景需求，實現敏感資料變形，漂白和替換，同時保持脫敏後資料的業務一致性；同時針對不同類別的髒資料提供智慧化報表分析，進而最佳化和提升資料質量，輔助資料管理。另外，資料脫敏系統支援豐富的資料庫、大資料平臺、檔案等作為資料來源，加之增量脫敏等特點，也為該省聯通未來更多的場景提供了可預見性的應用可能。

4 、全面、精確審計與高效檢索

依託美創資料庫安全審計系統，以資料資產安全訪問合規為出發點，包含直連訪問流量在內，以入庫流量的精確審計、全面審計及大資料引擎檢索為基礎，致力於資料庫安全審計的日常化運營、可疑分析和安全報告，全面管理起整個資料庫安全事件的生命週期，滿足電信行業的相關合規要求。

客戶收益

1 、合規遵循

落實並滿足《中華人民共和國網路安全法》、《全國人民代表大會常務委員會關於加強網路資訊保護的決定》、《中華人民共和國資料安全法》（草案）、《電信和網際網路使用者個人資訊保護規定》等法律法規和主管部門的各項規定，切實加強了個人及企業敏感隱私資料的全生命週期保護。

2 、資料資產驅動安全體系提升

真正實現以敏感資料資產為核心來完善資訊保安防禦體系，並統一進行資產管理和風險管理，建立了資料安全能力指數、資料安全評價指標、資料安全風險庫等評價體系。

3 、訪問控制輔助安全運營

基於三權分立機制，構建了完善的身份體系，徹底解決特權賬戶問題、各種非授權訪問、越權訪問和許可權濫用等問題，並基於風險展示、風險評分、態勢感知和風險告警搭建完成資料安全運營系統。

4 、資料安全能力資源池

基於敏感資料發現及分類分級、身份體系認證、資料水印技術、資料脫敏技術、防SQL隱碼攻擊/拖庫、虛擬補丁、防直連控制、工單的管理、欄位級別的訪問控制技術、威脅溯源及全面審計、生態安全能力API，構築資料安全能力資源池，為更多應用做資料安全賦能。

5 、全場景下的資料安全體系

從基礎設施層、資料資源層、應用支撐層和業務應用層等場景構建防護體系，滿足合規要求的同時實現基於敏感資料資產為主體的全場景防護的安全目標。