最佳实践 | 威斯尼斯人wns2299cn助力新能源百强企业加“数”前行
在政策支持、技术进步、市场需求与全球合作等多方因素驱动下,新能源产业快速发展。国家发展改革委、国家能源局印发了《“十四五”现代能源体系规划》,文件指出要加快能源产业数字化智能化升级,推动能源基础设施数字化,同时要完善能源风险应急管控体系,强化重要能源设施、能源网络安全防护。
数字经济时代,数据已经成为与土地、劳动力、资本、技术并重的第五大生产要素,发展数据要素市场是国家重要战略部署,保障数据安全是筑牢企业数字化转型发展的重要安全底座。
数据安全保障将进一步走向实战化、体系化和常态化。工业和信息化部印发的《工业领域数据安全能力提升实施方案(2024—2026年)》提出了“以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,提高数据安全治理能力,促进数据要素安全有序流动和价值释放”的指导思想。
01快发展,遇新挑战
数字化转型之路,如何保障数据的有效防护和安全访问?
在快轨道发展的道路上,能源企业数据安全建设过程中普遍存在数据分类分级难开展、数据资产使用复杂难确权、数据流动共享风险难防范等一系列问题,企业亟待体系化地提升数据安全防护能力。
某新能源企业是一家专注于太阳能、风能、储能、氢能、电动汽车等新能源电源设备研发、生产、销售和服务的国家重点高新技术企业,位列全球新能源企业100强。
该企业从自身业务发展角度出发,自2022年起规划其数字化变革转型之路,数据的作用和价值越来越凸显,该企业对数据管理也有了更高要求。研发、制造、采购、营销、人力资源等不同域的业务系统数据孤立存储,为打破数据孤岛,各业务域的数据需要接入数据湖,实现数据流通共享。此外,业务系统的研发工作也常需要与第三方厂商合作,而开发测试过程中会使用大量业务数据,存在数据信息泄露风险。数据作为能源行业核心生产要素,任何出现数据泄露的情况都可能会为企业带来无法预估的损失。由于越来越多的数据会不断汇聚到数据湖中,如何确保湖内数据的有效防护和安全访问便成为了其新挑战。
02预则立,谋定后动
躬身入局,驻场摸清企业需求痛点
为更深入地分析业务痛点,项目组深入调研客户需求,发起了面向客户不同部门不同角色的多次现场访谈和专题研讨,整理输出了几十份调研报告。全面专业高覆盖度的调研工作让项目组摸清了该企业数据安全现状:
数据湖安全分级分类规则不清。各业务部门人员对公司数据湖安全方面的要求及日常接触到的数据是否涉密认识不足。
数据湖安全分类分级管控体系缺失。该企业目前没有统一途径对数据资产进行管控,跨部门获取数据难度较大。
数据湖缺少统一的安全管控技术措施。该企业未对数据湖的使用、查询下载数据等行为进行技术管控、行为监测及操作审计。
对核心数据的加密保护、对开发场景的副本脱敏缺少技术手段。公司未对拖库、DBA越权、开发人员使用数据等场景进行保护。
在数字化建设过程中,不同领域业务数据将逐步汇聚到数据湖中,如何兼顾合规性及可用性,确保数据安全有序流通共享成为该企业亟待解决的难题。除需满足《数据安全法》等合规监管要求外,更重要的是要建立一套面向数据湖的安全分类分级标准规范、数据安全配套管理制度以及数据湖安全管控工具。
03立则行,稳步推进
盘数据资产,筑数盾之墙,护数据要素按需安全自由流动
基于需求调研充分分析的结果,威斯尼斯人wns2299cn依托多年来在工业领域数据安全方面的丰富技术积累与实践经验,为该企业设计了数据湖安全保护总体方案。方案设计在5A安全理念指导下,以数据湖资产为中心,为该企业由内而外构建数据湖数据安全能力体系,充分保障其数据的安全使用与安全控制,以便于更好地发挥数据价值,为该企业数字化转型筑基。
图: 数据安全设计理念
图:数据安全建设方案
基于该项目目标及建设方案,为保障数据分类分级咨询服务及数据湖安全管控平台实施建设都有条不紊,稳步推进,项目组制定了详细的项目实施计划,每周通过项目例会及时与客户沟通。
数据湖分类分级工作是安全规划和数据流通共享的第一步。基于《数据安全法》、《个人信息保护法》、《信息安全技术网络数据分类分级要求》等法律法规国家标准及《工业和信息化领域数据安全管理办法(试行)》、《工业数据分类分级指南(试行)》、《工业领域重要数据和核心数据识别规则(草案)》等工业领域行业标准,统一了分类分级工作原则、工作流程及执行标准。数据分类分级各实施步要点如下:
从数据维度入手分析梳理业务流程和系统台账,并进行数据归类,为后续数据分类分级提供完整真实的基础信息输入;
以影响对象和危害程度作为数据安全分级的判定依据,建立数据分级管控办法;
建立数据分类原则与实施流程,对人力资源管理域的结构化数据进行分类分级;同时梳理研发域、制造域、采购域、营销域、财务域等其他域数据清单;
结合企业组织架构,设计不同职级用户的默认数据访问权限;当出现对超出自身访问权限的受控数据需求时,设计数据审批权限和流程;
对分类分级清单、管控规则进行审核和上报,完成数据安全分类分级的确认工作;
当公司信息系统发生重大变化、业务方向或组织结构明显调整后,及时动态更新数据分类分级规则和清单结果。
图:数据安全分类分级流程
图:数据分类分级目录
数据分类分级本身并不是最终目的,最终目的是要有针对性地对该企业重要数据进行保护,制定数据安全管控策略和措施,促使数据在其生命周期的各个阶段都能得到有效的防护,从而让数据能够安全有效地流动,在数据流动中产生价值。数据湖数据安全管控措施总体分为三步:
步骤一:数据请求
数据请求主要包含两种情况:业务运营人员,在统一身份权限平台或其他业务分析平台提出数据申请后,通过API网关向数据湖平台发起本部门或跨部门的数据访问请求;数据开发人员在OA提出数据申请,通过客户端工具向数据湖平台发起数据访问请求;
步骤二:权限审批
当用户提出对受控数据进行访问申请时,在统一身份权限平台或其他业务分析平台进行数据访问策略的流程审批,审批结果同步给数据湖安全管控平台;
步骤三:数据访问安全策略控制
数据湖安全管控平台上可以配置访问策略:明文访问、脱敏访问、限制行数、禁止执行等,其中脱敏访问可以配置不同的脱敏方案,如标星脱敏、高仿真脱敏等,访问控制粒度可以精细到字段级。
图:数据湖安全管控示意图
04行必达,成就所托
有效管控,全面审计监测,助力数据利用与数据安全协同发展
经过项目建设,威斯尼斯人wns2299cn已帮助该企业完成人事域百张数据表的盘点及字段的梳理,制定了《公司级数据湖数据安全分类分级管理办法》、《人力资源管理域分类分级方法及管控措施》、《人力资源管理域分类分级管理制度》等规章制度,组织了数据安全分类分级培训。
数据湖内存储了企业核心数据资产,数盾数据安全管控平台建设实施后,数据安全防护卓有成效:
数据湖只对数盾数据安全管控平台开放,不向互联网或内网开放,收敛了数据资产暴露面;
数据湖数据资产访问强管控,所有对数据湖的访问必须经过数盾数据安全管控平台,禁止数据库直连或非法连接,有效降低了数据滥用、泄露的风险;
基于“最小够用”的原则,面向不同角色和用户,实时有差别授权和管控,有效平衡业务数据的可用性和安全性;
用户对超出自身访问权限的受控数据有访问需求时,可通过自助服务便捷申请;
对数据访问实施全面审计监测,风险事件可溯源追责;
对生产环境、应用系统和用户体验无侵入影响,兼顾安全与业务,在满足企业日常数据安全管理需求及监管合规安全要求的同时,有序释放数据要素价值,让数据利用与数据安全协同发展。
图:数盾数据安全管控平台风险监测
数盾数据安全管控平台,让正确的人基于合理的目的、采用合适的方式,访问已授权的数据,对数据访问行为进行策略管控,如敏感数据访问过程中的动态脱敏,高危操作拦截阻断等。此外,系统可持续监测链路的数据流动态势和分析访问者的异常数据行为,在满足企业日常数据安全管理需求的同时,也可更好地服务于监管部门的合规安全检查。
数盾数据安全管控平台基于应用系统和业务场景,围绕数据资产、流转路径、访问方式、用户群体和责任归属五要素,梳理数据流转图和访问关系图。其中数据流转图可视化展现场景内不同存储和处理节点的连接关系、访问者位置、数据标签,标签在不同节点的血缘关系,以及相关的统计和分析结果等。访问关系图可视化描绘访问者和数据之间的关系,包括访问者的个人身份、使用账号、登录环境,以及访问的数据标签和数据环境等。系统在数据流转的持续监测中,可检测分析异常风险事件,如异常数据流向、异常访问账号、跨网/跨境传输、链路流量异常、非法操作行为、异常访问行为等。
图:数据流转图
图:数据访问关系图
威斯尼斯人wns2299cn拥有完整的数据安全产品线及专业的数据安全技术研发团队,依据国内外标准和行业监管规范,着眼企业数字化转型中面临的数据要素发展需求,威斯尼斯人wns2299cn可为各行业客户提供数据安全体系咨询规划、数据安全分类分级咨询、数据安全风险评估等服务,通过“认识数据,了解数据,保护数据”,建立数据分类分级保护基础制度。不仅可满足数据访问控制、数据脱敏、数据加密存储、数据流转监测等单一场景需求,还可结合专业成熟的零信任技术架构,为客户提供创新的综合数据安全解决方案。
威斯尼斯人wns2299cn依托全面的数据安全技术支撑体系和丰富的工业企业数据安全建设经验,将持续帮助客户完成基于业务视角的数据全生命周期安全防治目标,健全数据监测预警和应急处置工作体系、增强企业数据安全保障能力、筑牢可信可控的数字安全屏障,不断提高企业数据安全能力成熟度,统筹数据发展和安全防护,在保障安全和隐私的前提下推动数据依法合理有效利用,为客户数字化转型保驾护航。
