★李飞，代向东长扬科技（北京）股份有限公司

关键词：工业互联网；数据安全；数据资产安全管理

1　项目概况

1.1　项目背景

数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题。国家已陆续出台相关法律政策，统筹发展和安全，推动数据安全建设，如《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求加强数据安全；《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出保障国家数据安全，加强个人信息保护。随着《国家安全法》《网络安全法》《密码法》《民法典》《数据安全法》和《个人信息保护法》“五法一典”的出台，我国数据安全法制化建设不断推进，监管体系不断完善，安全由“或有”变“刚需”。数据价值和政企数据赋能的作用将进一步放大，从而释放出更大的市场空间。数据经过合规处理后，能够为企业业务赋能，提升企业的数据保护能力，从而带来更大的收益。

1.2　项目简介

本项目主要为中国移动某公司建设数据资产安全管理云平台，通过数据资产地图绘制，来防范数据资产漏审和私设数据库等资产管理风险；通过数据分类分级，借助AI算法的智能标签功能与人工辅助相结合方式，来提高工作效率、缩短数据治理周期；通过敏感数据识别与定位，自动发现并定位敏感数据的位置、敏感等级、数据类型、数据量、归属等详细信息，并通过智能算法绘制全网敏感数据分布图谱，降低敏感数据泄露风险；通过数据全生命周期安全监测功能，为数据资产动态监测和安全管理提供技术支撑，实现企业数据资产的全生命周期动态监测和管理，强化数据全生命周期安全保障，推动数据资源的创新开发、合理利用和安全保护。

1.3　项目目标

1.3.1　面临的挑战

随着数字经济的发展，建设数字政府、智慧城市和智慧社会，其中最为关键的一环就是实现数据资源的有序汇聚和共享，数据资产安全管理、数据分类分级产品市场需求愈加明显；同时，数据资产管理相关产品在应用过程中，需要与业务有深度磨合，需要更多的人工干预。

1.3.2　主要目标

中国移动某公司建设的数据资产安全管理云平台，将以长扬四级安全操作系统为底座，强化数据全生命周期安全保障，并基于工信部对工业数据防护系列规范要求，实现数据资产地图绘制、数据分类分级、敏感数据识别与定位、数据全生命周期安全监测等功能，推动数据资源的创新开发、合理利用和安全保护。

（1）精准盘点数据资产通过在线数据源侦测、识别方式，对各类数据进行拉网式清查盘点，并以资产目录及资产索引方式绘制数据源、数据表、文件、类型、大小等多维度数据资产地图，直观、形象地描绘数据资产的分布、数量、归属等详细信息，有效防范数据资产漏审和私设数据库等资产管理风险。

（2）敏感数据自动识别与定位

采用敏感数据特征库，支持正则表达式、数据指纹、关键字等多种敏感特征识别技术，从海量数据中通过自动发现并定位敏感数据的位置、敏感等级、数据类型、数据量、归属等详细信息，并通过智能算法绘制全网敏感数据分布图谱，降低敏感数据泄露风险。

（3）数据分类分级自动化

用户可自定义数据分类、分级标签，根据行业标准或者自身业务场景、数据价值、数据影响、数据用途、数据来源等确定数据分级分类标准及模板，进而形成自身专属标签库；借助AI算法的智能标签功能与人工辅助相结合方式，提高工作效率、缩短数据治理周期。

（4）数据生命周期动态监测

对数据采集、传输、存储、处理、交换、销毁等环节进行全程动态跟踪，分析数据量级、归属、类别、级别、使用者（业务系统用户名或用户ID）、操作、状态等动态信息，将用户身份信息和对数据资产的操作行为进行关联，实现对数据资产访问人员的追踪和定位，为数据资产动态监测和安全管理提供技术支撑，实现企业数据资产的全生命周期动态监测和管理。

（5）数据防护能力评估报告

按照工信部数据安全试点工作评估规范文件《工业数据安全评估指南（草案）》，从通用防护和生命周期分级防护方面进行评估，并给出符合工信部规范要求的数据防护能力评估报告。

2　项目实施

2.1　系统架构

数据资产安全管理平台架构如图1所示。

图1  数据资产安全管理平台架构图

2.2　主要内容

数据资产安全管理平台通过数据资产地图绘制，防范数据资产漏审和私设数据库等资产管理风险；通过数据分类分级，借助AI算法的智能标签功能与人工辅助相结合方式，提高工作效率、缩短数据治理周期；通过敏感数据识别与定位，自动发现并定位敏感数据的位置、敏感等级、数据类型、数据量、归属等详细信息，并通过智能算法绘制全网敏感数据分布图谱，降低敏感数据泄露风险；通过数据全生命周期安全监测功能，为数据资产动态监测和安全管理提供技术支撑，实现企业数据资产的全生命周期动态监测和管理，强化数据全生命周期安全保障，推动数据资源的创新开发、合理利用和安全保护。

2.3　技术方案

（1）数据源自动发现技术

平台根据地址范围扫描网络中的数据源，数据源支持结构化和非结构化数据类型，包括Oracle、SQLServer、MySQL等主流数据库类型，达梦、神通、金仓等国产数据库，Hive、HBase、kudu等大数据关键组件，doc/docx、xls/xlsx、ppt/pptx、pdf、txt等常见非结构化数据类型等，通过扫描，自动发现数据源，并绘制数据资产地图。

（2）数据自动分类分级技术

设置企业数据的分类模板，模板设定研发域数据、生产域数据、运维域数据、管理域数据和外部域数据五种类型。用户根据企业自身业务情况，可增加、修改、删除数据类型。

研发域数据模板设定研发设计数据、开发测试数据两个子类；

生产域数据设定控制信息、工况状态、工艺参数、系统日志四个子类；

运维域数据设定物流数据、产品售后服务数据两个子类；

管理域数据设定系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据四个子类；

外部域数据设定与其他主体共享的数据一个子类。

用户根据企业自身业务情况，可增加、修改、删除子数据类型。

设置企业数据的分级模板，模板设定三个级别，分别为一级数据、二级数据和三级数据，其中三级的安全防护最高。用户根据企业自身业务情况，可增加、修改、删除数据分级模板。

当分类分级模板确定后，平台通过自动扫描网络内的数据源，按照预先设置的分类分级规则，将平台内的数据进行自动的分类分级管理，产生相应的数据标签，该标签用于对平台内的数据进行分类分级管理和溯源追踪。

（3）敏感数据自动识别技术

平台内预置敏感数据特征库，该库包含35+类关键个人隐私的特征规则，同时支持规则的升级和更新，也支持敏感数据类型和特征的自定义添加和维护。敏感数据自动识别根据规则库，通过AI算法、正则表达式、文档指纹、关键字等敏感数据识别技术，自动发现并定位敏感数据的位置、敏感等级、数据类型、数据量等详细信息。该技术包括本地敏感数据自动识别、远程主机敏感数据自动识别、网络流量敏感数据自动识别三类。

本地敏感数据自动识别，即数据存储在平台服务器，在本地进行扫描，通过敏感数据规则库，识别出敏感数据；

远程主机敏感数据自动识别，即数据存储在远程主机，通过安装在远程主机中的探针，由平台发送扫描控制命令，探针接收到扫描命令后，进行主机内的数据扫描，识别出敏感数据；

网络流量敏感数据自动识别，即在平台所管理的网络内，通过非侵入业务系统旁路接入网络的方式，监测数据流量，识别出网络内传送的敏感数据。

（4）数据全生命周期安全监控技术

利用数据标记技术，针对平台内管理的数据进行标记，并对数据采集、存储、传输、处理、交换、销毁等全生命周期内实施动态安全监控，并记录监控日志信息，管理员可实时掌握数据动态，发现违反规则的操作可及时进行处理。

（5）数据资产安全态势展示技术

通过扫描平台监管的数据资产，利用图形方式展示企业数据资产安全态势。根据企业不同需求，可采用拆线图、柱状图等多种图形方式展示企业数据资产安全态势，通过态势展示，使数据处理者或企业负责人对企业数据资产整体情况有所了解，为领导整体决策或数据处理者下一步对数据的处理提供相关依据。

（6）数据安全风险预测技术

数据安全风险预测技术是安全事件发生前，根据已有的审计日志，经过分析计算研判，为审计管理员提供安全事件发生前的数据安全风险预测，从而提前做好后续数据安全保护工作，降低数据安全事件的发生。

利用数据标记技术，针对平台内管理的数据进行标记，并对数据采集、存储、传输、处理、交换、销毁等全生命周期内实施动态安全监控，并记录监控日志信息，管理员可实时掌握数据动态，发现违反规则的操作可及时进行处理。（5）数据资产安全态势展示技术通过扫描平台监管的数据资产，利用图形方式展示企业数据资产安全态势。根据企业不同需求，可采用拆线图、柱状图等多种图形方式展示企业数据资产安全态势，通过态势展示，使数据处理者或企业负责人对企业数据资产整体情况有所了解，为领导整体决策或数据处理者下一步对数据的处理提供相关依据。

（6）数据安全风险预测技术

数据安全风险预测技术是安全事件发生前，根据已有的审计日志，经过分析计算研判，为审计管理员提供安全事件发生前的数据安全风险预测，从而提前做好后续数据安全保护工作，降低数据安全事件的发生。当有新业务上线和数据迁移、数据出境、数据开放共享等重大操作行为，以及涉及第三方管理等情况时，启动数据安全评估工作，分析可能存在的风险、造成的问题和影响等，并形成相应的数据安全评估报告，包括未经授权的访问、控制、处理或数据被泄露、窃取、篡改、滥用等风险，通过该《报告》，企业可及时整改数据安全评估中发现的风险隐患和问题。

2.4　应用场景分析

数据资产安全管理平台主要适用于政府部门、金融机构、通信运营商、工业、互联网企业等数据资本估值高的行业，特别适用于工业互联网领域的企业对数据全生命周期的安全监控，从而全方位提升工业企业对数据的安全防护能力。该平台可部署于信息管理层，旁路接入并扫描全网数据源设备，适用于对多台工控数据源设备进行数据资产安全管理的场景。

2.5　实际应用效果

本项目通过技术、管理、人员三方融合，以技术为支撑、以管理为手段、以人员为组织，创新性提出既防范化解工业领域数据安全风险、又促进数据资源合法开发利用、为工业经济发展提供安全保障的数据资产安全解决方案。该方案围绕数据采集、传输、存储、处理、交换、销毁等全生命周期，从技术和产品两个维度，解决数据从产生、使用到消亡全过程安全管控，帮助客户完善各类数据安全管理规章制度，使客户数据安全管理规范有序。

3　案例亮点及创新性

（1）应用情况及效果、技术的示范效应

数据资产安全管理平台结合操作系统安全技术与可信计算技术，实现了身份标识与鉴别、细粒度的自主访问控制、强制访问控制、基于角色访问控制、可信路径、禁止客体重用、安全审计、安全数据保护、文件完整性检查等安全机制，同时也实现了基于国密TPM2.0的可信引导、可信启动、可信进程度量、可信身份认证、透明文件加密系统等可信功能，打造了工控领域系统安全底座。数据资产安全管理平台就是建立在这样的安全操作系统基础上，为数据资产的安全提供了强有力的基础安全保障。

（2）商业价值及社会价值

数据资产安全管理平台采用高级、安全、可靠的数据存储技术，保证用户数据资产的安全储存和管理，并通过24小时不间断监控系统来保障系统在各种环境下高效和稳定地运行，确保用户数据信息的安全和稳定。公司已为烟草、水务、化工、车联网、钢铁、医疗、银行等领域，提供了整套数据安全解决方案、试点整改措施等服务，使客户数据资产安全管理能力得到了有效提升，同时满足工信部对工业数据防护系列规范要求。

作者简介

李　飞（1985-），男，江苏徐州人，硕士，现就职于长扬科技（北京）股份有限公司，主要从事工业控制系统安全、工业数据安全、工业互联网安全方面的研究。

代向东（1977-），男，四川眉山人，硕士，高级工程师，现就职于长扬科技（北京）股份有限公司，主要从事信息安全、数据安全方面的研究。

摘自《自动化博览》2024年1月刊