【案例】长安汽车:构建全资产安全治理平台,夯实汽车行业数据安全基底
“本项目案例由 云集至 投递并参与由数据猿&上海大数据联盟联合推出的“行业盘点季之数智化转型升级”大型主题策划活动之《2021中国企业数智化转型升级创新服务企业》榜单/奖项的评选。
数据智能产业创新服务媒体
——聚焦数智 · 改变商业
信息化建设加速了企业发展的步伐,同时也给企业数据信息监管带来越来越多的挑战。近几年来,汽车制造行业数据信息泄露事件频发,2018年纽约时报7月20日报道,有多家车企公司的敏感文件遭到了曝光,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯和大众等,共曝光了157千兆字节的数据,涉及机密文件47000个。由此可见数据安全事件及问题已经触目惊心,而数据泄露事件的发生不仅会造成企业声誉和经济的损失,也可能影响社会的稳定繁荣甚至国家安全。
目前国内已颁发《网络安全法》、《信息安全技术 个人信息安全规范》(GB/T 35273-2017)、《数据安全法》等相关法律和规范,以及欧盟《通用数据保护条例》(GDPR)、美国《2018年加州消费者隐私法案》(CCPA)等法案法规的发布和执行,都说明各国对于数据安全的高度重视和治理决心。
个人数据用于组织在产品研发、精准营销、客户服务、生产管理等环节,社会生产无时无刻都要接触数据、使用数据,而上述的法律法规中对个人数据的保护以及数据获取原则、方法、法律责任都有明确而详尽的规定和要求。因此企业对数据的采集、加工、使用都会涉及到合规问题,企业是否有相对健全的数据安全保护机制,这不仅是企业开展业务的前提条件,也是数据安全事件发生后,企业是否应当承担责任以及承担多大责任的首要考量因素。
●实施时间
开始时间:2021.3.5
截止时间:2021.4.15
一、数据资产安全梳理
数据资产梳理系统能帮助用户快速构建数据资产管理体系,并以资产安全视角对数据源、数据表/文档、字段进行实时、动态监测,直观呈现数据资产的分布、状态、流转、使用等详细信息,为数据的安全治理和风险管控提供精准依据和量化支撑。
二、敏感数据识别打标
数据资产梳理系统能从海量数据中发现和识别保护对象,精准识别敏感数据。通过内置算法规则和自定义敏感数据识别规则等,对其存储的数据库类型数据以及非数据库类型文件进行整体扫描、分类、分级,并根据结果做进一步的安全防护,如脱敏等。
三、数据风险检测与防护
通过智能化检测模型分析内外账号对敏感资产的访问行为,实现对敏感资产访问的异常检测,同时为数据安全管理团队提供相关告警,并基于此完善风险预判和规避能力。
四、数据安全合规检查
数据资产梳理系统可精准区分和保护个人数据,满足网络安全法、数据安全法、GDPR等关于在海量数据中找到和保护敏感数据的要求,可对敏感数据的使用进行审计,避免产生合规问题。
同时,数据资产梳理系统可应相关监督部门的数据安全合规检查要求,可通过系统提供的数据资产分类分级、风险检测等功能对数据进行相关合规检查,并及时制定落地泄漏检测、数据脱敏方案,帮助用户保护和监管数据安全合规。
一、数据资产私搭乱建,存在重大安全隐患
长安汽车的DBA或运维工程师拥有极高权限,拥有对数据资产的较高操作权限,为了方便工作上线新资产和下线旧资产的情况就比较随意,缺乏规范性。诸如这类未登记审批等情况会导致数据安全设备无法对其进行感知和防护,从而加大了数据泄露的风险。
二、账户信息不清晰,无法统一管理
数据库账户是操作数据中内容的主要源头之一,如不清楚该账户的来源、负责人及操作等就无法在出现数据安全事件时进行实时风险定位,事后也无法进行事件追溯,加大了后期管理难度。
三、数据资产不清晰,安全防护千疮百孔
云集至利用数据资产梳理系统对长安汽车整体数据资产进行了摸底,发现实际数据资产量要远大于已登记数据资产量,并且内部人员对数据资产的类型、分布以及状态等情况不清楚,那么就造成安全防护设备保护不全等情况,从而加大了数据泄露的风险,如数据库中敏感信息漏加密出现明文、审计系统留存的日志不完整等等。
四、敏感信息未分级,无法避免一刀切
数据对长安汽车来说是最重要的资源之一,尤其是敏感数据。那么为了防止出现数据泄露等事件的发生,企业一直将整体数据资产进行保护处理,例如利用数据库加密系统对整个数据库、表、字段、数据进行加密处理,这样不仅浪费了资源,还增加系统或网络的相应速度,从而给整体业务带来影响。
本次长安汽车项目数据资产从两个方面对数据资产进行了梳理:
一、利用数据资产梳理系统粗粒度技术对长安汽车整体结构化及非结构化数据资产进行深度挖掘和扫描,一小时内共盘点出结构化数据库数十个和非结构化文件数百个。
二、利用细粒度技术对数十个数据库中其中两个数据库进行挖掘扫描,半小时左右共盘点出近近千个数据库表、数千个字段项,并对字段项中的数据进行了五个等级的打标处理,解决了数据级别划分的刚性需求。
对资产进行梳理的同时,对数据库账户进行同步梳理,识别数据库账户数十个并纳入平台进行审计。通过30天24小时对静动态数据实时监控分析,发现新资产上线和旧资产下线情况以及少量的疑似风险操作,均已发出告警。期间接受内部数据资产检查共两次,基本满足自查要求。
01
应用技术
1、数据资产识别
利用先进的数据库自动嗅探识别技术对整个IP网段或端口的范围进行搜索,发现整个范围内存在的数据库类型及文件服务器,涵盖结构化数据和非结构化数据,包括Oracle、MySQL、SQL Server、DB2、Sybase、高斯、达梦、金仓、Hive等。
有效解决了长安汽车以下问题:
帮助客户摸清,数据库情况包括:数据库的类型、分布、状态等等,提供可视化直观展示,帮助客户了解自己的资产。
图.数据资产自动扫描
2、敏感数据的发现
利用内置敏感数据特征库,通过关键字、正则表达式、算法等构建丰富的特征项,用于定义敏感数据识别的匹配策略配置,同时特征项支持自定义敏感数据类型和特征,比如长安汽车中个人敏感数据、公司敏感数据等。
·关键字:在关键字技术的基础上引入中文分词、模糊匹配和权重匹配,针对无规范的敏感数据进行精准匹配。
·正则表达式:针对正则表达式技术,加入数据标识符,精确匹配身份证、银行卡号、社会保障号等有技术规范内容。
·人工智能:运用大数据和机器学习,通过智能化算法,对敏感数据进行快速准确的识别。
·自定义特征:根据长安汽车现状,结合国家及行业法律法规要求,自定义敏感数据规则,完成敏感数据识别。
有效解决了长安汽车以下问题:
·敏感数据不清晰,且不规范:通过敏感数据内置识别规则和自定义规则快速有效的在海量数据中准确的提取出敏感数据,根据敏感数据的保密程度对其进行等级打标签处理,使客户敏感数据统一、规范化。
·敏感数据分布及使用分析情况:利用敏感数据自动识别技术,将客户数据形成敏感数据资产台账,让客户清晰的了解到敏感数据分布及敏感数据使用情况。
·敏感信息是否存在违规操作情况:利用敏感数据自动识别技术,通过分析使用情况,及时发现了长安汽车内部违规操作行为,帮助客户及时定位了问题,避免了数据安全事件的发生。
图.敏感信息自动发现
3、数据分类分级
数据分类分级主要用于维护数据类别标签及数据风险等级。系统内置丰富的数据分类分级模型,并支持自定义数据类别标签及数据风险等级,可通过敏感数据发现任务自动打标或手动打标。
数据类别标签支持分类标示管理,可多维度、多层级的通过自定义类别标签进行数据分类管理,例如数据内容、数据用途、数据来源及其他多维度分类。
数据等级标签支持分级标示管理,可由业务部门根据数据发生泄漏对机构安全、社会秩序及公共利益、公民/法人/其他组织合法权益的危害程度进行敏感分级,等级定义一般分为几种:
·敏感数据:通过该类数据可直接识别特定用户,是与用户生活紧密相关的数据;
·重要数据:通过该类数据可以得知产品商业价值等,是需谨慎使用的用户相关数据、产品核心数据;
·一般数据:支撑业务逻辑及运行的数据,通过统计、分级、加工不会对用户或公司利益产生影响。
有效解决长安汽车以下问题:
·数据分类分级进行保护:敏感数据分级后,将利用客户数据安全防护设备对不同等级的数据进行保护,做到对敏感数据精准防护。
·安全合规检查:满足国家网络安全法、等保2.0以及个人信息安全规范,能够随时接受专业部门检查及自查。
图.数据分类分级
4、资产风险分析
资产风险分析可以从海量数据资产中快速发现和定位敏感数据资产,追踪敏感数据的使用情况,并根据安全管理规则,实时推送资产风险,以确保能实时了解资产数据的安全状态并制定相应防护方案。对于敏感资产的动态变化形成的异常事件的提醒,系统提供紧急、重要、警告、提醒4个等级报警事件,由高到低依次用红色、橙色、黄色和蓝色标示。报警查询支持通过时间段、报警等级、报警类型、报警来源等条件进行历史报警的检索查询。
有效解决长安汽车以下问题:
·数据资产动态监控:对客户数据资产进程全程监控,利用安全管理规则对动态变化的资产进行了分析排查,对异常事件发出了提醒,及时采取措施避免了数据安全事件的发生。
图.资产风险分析
5、资产安全报表
通过内嵌的报表功能为用户丰富的数据资产专项报表,如整体资产统计报表、敏感数据梳理报表等供用户分析审核。同时管理员可自定义生成doc、csv、pdf等格式的报表。
有效解决长安汽车以下问题:
·数据资产直观展现:利用柱状图、曲线图、面积图等多种展现方式,满足了客户全部需求,提高了展示效果。
·支持合规性等多种报表:支持各种数据资产专项报表,及常规报表,满足了长安汽车工作中各类需求。
6、数据流量分析
敏感数据流向是通过网络流量侦听、精细SQL语句解析等技术,结合SQL语句的操作模型共同完成的流向分析;系统会对敏感数据的访问情况进行实时学习,并针对敏感数据的流入与流出两部分,动态的实现数据流向管理。
有效解决长安汽车以下问题:
·对敏感数据流向进行管理:经过对长安汽车日常流量的分析,及时排查出敏感数据流入流出中出现的风险行为,发出告警并展示,大大降低了数据安全事件的发生。
7、数据资产管理
系统提供数据资产安全管理功能,在有效识别数据分布的同时,协助用户更了解企业内部数据资产的安全情况。同时,智能化的探索梳理结构化数据间、非结构化数据间的敏感数据关系,根据敏感数据间的关系生成敏感数据地图等。
有效解决长安汽车以下问题:
·准确了解敏感数据之前的关系:利用智能化探索梳理对长安汽车内部结构化、非结构化数据进行梳理,形成敏感数据地图,更直观更准确的帮助客户定位敏感之间的关系及潜在风险。
图.资产仪表盘
02
实施过程
1、安装基础环境
·安装版本为centos 7 以上的linux系统
·安装Java环境1,export JAVA_HOME=/usr/java/jdk1.8.0_60
·安装Java环境2,PATH=$JAVA_HOME/bin:$PATH
2、部署系统
·将系统文件包上传至/home
·1,2,3,4,5共5个目录上传至服务器
·将html目录中的文件传入/var/aoc/as/html
·将service-1.0.0-SNAPSHOT.jar上传至指定文件夹
·将jar.sh上传至/var/aoc/as/webserver/teasebin
·配置config文件
·修改配置文件/etc/rc.locla末尾处添加/var/aoc/as/webserver/teasebin /jar.sh
·nohup java -jar /var/aoc/as/webserver/teasebin/service-1.0.0-SNAPSHOT.jar > /var/aoc/as/webserver/ teasebin /catalinaoftease.out 2>&1 &
03
项目整体完成情况
1、全面梳理,形成资产台账
对长安汽车结构化及非结构化数据进行全面梳理,包括元数据、数据库、表、字段、账户信息、敏感数据等多方面,形成资产台账,为安全防护体系的建设、安全策略的配置、资产的日常管理提供直观依据。
2、数据流向实时监控
对长安汽车资产数据流转、使用的动态情况进行监控和梳理,形成数据流向,帮助用户识别数据使用过程中的风险和隐患。
3、协同防控,提供有力支持
资产梳理系统可以作为长安汽车资产流转权限的鉴别中台。数据安全设备遇到数据流转时,通过资产梳理系统获取该数据的相关信息,以便确定该数据的流转是否符合管理要求,符合要求放行,不符合要求拦截,实现数据安全体系的协同防控。
一、节省人力成本,自动形成资产台账
梳理环境中的所有数据信息,包括元数据和数据本身两个维度,自动形成资产台账,节省人工成本提高至少60%的工作效率和30%的准确率,为安全防护体系的建设、安全策略的配置、资产的日常管理提供直观依据。
二、全程监控数据流向,降低数据安全风险
对数据流转、使用的动态情况进行全程24小时监控和梳理,形成数据流向,帮助用户识别数据使用过程中的风险和隐患,有效避免30%的风险。
三、全程管理数据资产,实现资产管理目标
形成资产台账之后,资产情况不会一尘不变,会有新资产上线,数据梳理系统会实时监控新资产的上线并进行告警,从而实现100%数据资产的管理目标。
四、系统协同防控,加强安全体系建设
资产梳理系统可以作为资产流转权限的鉴别中台。数据安全设备遇到数据流转时,可以到资产梳理系统获取该数据的相关信息,以便确定该数据的流转是否符合管理要求,符合要求放行,不符合要求拦截,能够避免近15%的风险行为,实现数据安全体系的协同防控。
●云集至
北京云集至科技有限公司,成立于2017年,是我国为数不多的全数据安全领域创新企业,在业内率先提出:一个平台、三层防护的全数据安全治理理念,覆盖“全数据安全管控平台“‘结构化数据安全”、“非结构化数据安全”等十多款数据安全产品,面向政府、金融、企业等行业客户,提供可信技术架构下的全资产安全治理与防护。公司业务重点放在了持续实现可信计算技术、大数据安全技术、非结构化数据安全技术的经验积累与技术创新突破上。
●长安汽车
长安汽车、中国汽车四大集团之一,拥有159年历史底蕴、37年造车积累,全球有14个生产基地,33个整车、发动机及变速器工厂。在国家认定企业技术中心2017-2018年评价结果中,以96.4分位列行业第一,研发实力连续5届10年位居中国汽车行业第一。作为中国汽车行业首家 “国家智能制造示范企业”,以数字化、信息化、自动化为基础,以平台化、轻量化、精益化为抓手,集成大数据、云计算、人工智能、物联网技术,实现高质、柔性制造,满足客户个性化定制需求。2014年,长安系中国品牌汽车产销累计突破1000万辆,成为首家跨入“千万俱乐部”的中国品牌 。
❷ 创新服务企业榜
❸ 创新服务产品榜
❹ 最具投资价值榜
❺ 创新技术突破榜
☆条漫:《看过大佬们发的朋友圈之后,我相信:明天会更好!》
联系数据猿
北京区负责人:Summer
电话:18500447861(微信)
邮箱:summer@datayuan.cn
全国区总负责人:Yaphet
电话:18600591561(微信)
邮箱:yaphet@datayuan.cn