打造终端数据安全的三防屏障——2024新奥门资料助力萧山区孵化“数据哨兵”
萧山区数据安全联合实验室
2021年2月2日,杭州市萧山区数据资源管理局与2024新奥门资料共同成立共创平台——“萧山区数据安全联合实验室”,通过借助萧山区数据资源管理局在城市数字化管理、大数据资源开发利用等方面的场景资源优势,以及2024新奥门资料等数字安全企业在数据安全领域的技术和人才优势,助力萧山区数据安全保障能力的升级。“萧山区数据安全联合实验室”作为专门针对数据安全的政企联合开发孵化的实验室,是政企合作的优秀样板。
实验室运作模式:
由萧山区数据资源管理局协调生态伙伴提供相应的场景与环境,由成员单位根据相关业务场景挖掘数据安全需求,针对性的进行安全解决方案的设计与产品孵化,将实际业务与安全进行强关联,技术层面进行强耦合,从而孵化出针对性的数据安全解决方案与技术产品工具并进行落地推广。目前已孵化出公共数据智控系统(数据哨兵)、公共数据安全在线评估工具、数据安全开发“无菌环境”等成果。
目前,“萧山区数据安全联合实验室”针对数据全链路安全的最后一公里——终端数据安全的管控缺口进行深入研究,孵化出“数据哨兵”。
思考
终端数据安全风险和需求分析
终端数据安全关乎政务应用稳健运行。公共数据平台运维中,存在大量隐患:
一是运维开发人员“一人多职、账号多用”的现象频发,安全问题难以定责;
二是第三方终端“带病接入”,增添政务外网内部风险,安全风险难以遏制;
三是“合法”人员安全意识不足或恶意操作,将数据保存在本地后再行违规使用或泄露,数据流向难以把控。都是亟待解决的安全问题。
同时,政务终端数据安全是打造政务外网数据安全的基础,不仅仅是终端数据防泄漏,而应包含终端准入、终端身份认证、终端安全基线等安全能力建设。因此目前多数针对终端的安全方案需要部署多个工具,相互配合共同保障终端及终端上的数据操作安全,这种做法不仅资源占用较高,而且会影响终端的正常运行,这也是解决政务终端数据安全的一大痛点。
研发
一个客户端实现数据安全“五个不”目标
聚焦开发运维人员的数据访问行为,基于“零信任”理念,围绕数据安全“五个不”目标,将终端数据安全所需功能集成到一个客户端,开发“数据哨兵”,建立“终端自动化风险评估、访问权限灵活分配”的数据管控机制,实现不同人员、不同终端、不同风险访问不同网络区域、不同系统、不同数据,让数据安全管控工作实现全区域覆盖。
当运维人员、业务人员及其他人员通过终端访问政务应用和政务数据时,通过数据哨兵的五大中心,按照下图流程进行安全保障,全程采取“人员+环境”的双保险机制,落实终端数据安全防护和监管措施,确保访问的终端安全和终端的访问安全。
认证前:
统一身份认证中心会先获取终端环境感知中心发送的终端环境监测结果。若终端环境安全,才允许终端访问认证页面。
认证中:
人员通过浙政钉扫码登录,统一身份认证中心识别账号权限时同步获取终端环境感知中心的风险判断结果,若存在登录风险,会触发阻止登录操作或执行多因子登录操作。同时针对非常规登录时间、异常IP、非常规绑定终端登录等异常行为,进一步强化安全登录认证。
访问中:
统一身份认证中心和终端环境感知中心持续感知,一旦判定存在风险,将采取强制账号下线或锁定应用访问的方式,确保数据访问安全。同时终端安全防御中心通过防病毒、策略优化、补丁升级等手段确保终端自身安全可靠;终端数据管控中心通过数据防泄漏、数据加密、数字水印等技术确保终端环境数据安全。
运行全过程:
终端态势感知中心通过终端安全日志采集与分析,掌握终端安全风险与运行情况,确保终端风险精准预警,实现安全事件的处置闭环。
成效
有效避免重保期间的终端数据风险
在杭州亚运会赛事网络安全保障期间,萧山区作为主要举办场地,其数据安全保障工作的重要性不言而喻。因此,萧山区通过数据哨兵实时监测异常接入、敏感数据外发、账号越权访问以及敏感文件下载外发等多种安全风险;并通过预置的策略,及时自动阻断不安全行为,或通报至相关责任人进行整改,实现了亚运重保期间的0安全事故。
赋能
构筑全域共享的集约化体系
数据哨兵的建设为整个萧山区的终端数据安全保驾护航,各局委办只需要按点接入即可实现自有终端的数据安全管控功能,通过一地建设,多地复用的模式,既避免了数据泄露造成的直接经济损失,又避免独立建设造成的资源浪费。该产品也入选了杭州市数字化改革网络安全优秀案例,为其他区县带来了可复制可借鉴的安全工具和案例模式,推进了省市区数据安全共建共享生态建立。