首頁 > 關于我們 > 安恒動態 > 2023 > 正文

2023云棲大會丨安恒信息攜杭州亞運會數據安全實踐，共話云安全之道

閱讀量：次 文章來源：安恒信息

近日，以“計算，為了無法計算的價值”為主題的2023云棲大會在杭州云棲小鎮舉辦，本次大會共設置2大主論壇、3個主題展館，呈現500余場并行話題。在云環境數據風險態勢管理實踐的話題分享中，安恒信息高級副總裁鄭赳分享了安恒信息為杭州亞運會提供數據安全保障的經驗。

鄭赳在演講中介紹到，杭州亞運會作為近年來賽事規模最大、競賽項目最多、參與人員規模最大的綜合性體育賽事。6大賽區，88個場館，49個核心業務系統、賽事成績、賽事管理、賽事支持三大類核心系統群全面上云、1萬多終端設備接入訪問，系統眾多、敏感數據量大、人員繁雜、接入方式多樣、數據安全挑戰嚴峻。

亞運數據安全防護中面臨5大防護難點：

1、敏感數據廣泛分布在各個涉亞信息系統中，底數不清，分布不明。

2、運維人員多，身份復雜，數據訪問權限控制難。

3、系統間數據共享頻繁。數據系統間業務數據交互量大，泄露風險大。

4、數據使用監控難度大，數據泄露事件感知、監控、溯源難度大。

終端訪問、辦公場景接入終端多，人員雜，敏感文件數據泄露風險大。

安恒信息通過持續三年的亞運保障，從預案準備，測試賽保障、技術演練、正賽重點保障全程參與，持續護航，累積投入35000+人天，1184臺設備，累積分析800+億條日志，防護2600+萬次攻擊，提交5500+份報告,不辱使命，出色完成保障任務。

云上數據安全整體架構通過云上技術體系整體保障支撐核心業務應用，并通過數據安全運營體系再護航保障過程中不斷基于風險評估持續優化防護方案。

云上數據安全技術體系，通過資產梳理、數據庫審計監控、接口監測、數據水印、數據脫敏、權限管控、防泄漏、態勢感知等基礎能力的云化部署、針對多租戶場景強化云上安全資源的自動編排能力，實現安全能力服務總線，按需支撐業務系統的數據安全防護需求，并持續監控保障業務數據資產的安全態勢。

云上數據安全運營體系通過賽事側、場館側場景化調優與持續運營，優化數據安全風險監測模型，持續進行新業務場景的風險評估與閉環。

杭州亞運的數據安全防護整體設計上，通過在競賽場館側通過堡壘機、數據庫安全網關、數據庫審計、一體化終端安全管控系統、網絡防泄漏管理運維層面的數據訪問權限控制，防范多角色用戶接入層面的數據泄露安全風險。賽事系統側應用云上數據安全資源池，防護數據訪問使用中的篡改、泄露、異常請求事件。在賽事運營側，通過統一數據安全管控平臺，實現數據安全態勢一屏通覽，持續監測涉亞系統的數據安全態勢。

安恒信息在云上數據安全防護能力上提供了敏感數據發現、數據脫敏、數據調用接口監測、數據訪問權限精細管控、敏感數據防泄漏、整體態勢感知能力，針對亞運防護難點，覆蓋對應5個主要業務場景。

一、敏感數據發現與梳理

涉亞49個核心業務系統大量異構數據源，多種數據庫中的結構化和非結構化數據。其中票務、注冊中心等業務系統中含有大量運動員、注冊人員、觀眾、工作人員等個人信息敏感信息。

整體設計規劃上：安恒信息結合數安法、個人信息保護法等上位法要求，結合北京奧運會、G20峰會、成都大運會等過往重保成功經驗，制定了一套契合杭州亞運會現狀的《重大賽事數據安全分類分級標準》，作為系統化梳理全量數據的標準規范。

技術保障上：將云與數據安全深度耦合，通過與阿里云賬號體系的打通，全面對接ODPS、RDS、OSS等云上服務模塊，做到資產的自同步。同時引入AI大模型進行敏感數據建模，通過大量數據的學習，敏感數據精確識別率達到95%以上。

后續應用上：將敏感數據精確識別、分類分級后，會基于等級進行敏感數據打標，為后續數據安全防護與監測奠定基礎，不同等級的敏感數據后續在跨系統調用、人員讀取時進行不同等級的管控措施。同時打通分類分級與其他數據安全產品，實現直接把分類分級的結果同步給像脫敏、網關等其他數據安全能力設備，作為下一步處置的基礎條件。

二、數據資產運維安全

本次亞運會合作商眾多，涉及不同維度、多層面的系統維護保障工作，數據范圍十分廣泛。因此需要負責開發運維的人員也繁多，因此如何精準管控運維動作、實時發現高峰風險操作并能夠及時處理將會變得十分關鍵。

針對數據資產運維安全，安恒信息構建起“身份權限管控+數據處理管控”的雙重保障機制。一方面，運維人員全部要通過浙政釘掃碼登陸，進行身份認證，獲取唯一的權限賬號，保證專人、專賬號、專權限，一旦發生問題，能夠快速定位人員進行精準回溯。另一方面，通過數據安全安全網關對于通過SQL語句對數據庫進行的操作進行細顆粒度管控，結合前面場景講到的分類分級結果的同步，針對高敏感數據的運維操作進行風險告警或向上審批的不同防護機制。同時實現操作過程錄像、操作命令記錄、傳輸文件備存等功能，便于后期全面審計溯源。

三、數據共享交換安全

當前產業數字化發展如火如荼，數據的傳遞也從1.0階段的表格復制共享，到2.0階段的前置機文件共享交換，慢慢到3.0階段通過API接口進行調用。因此如何加強對于API的監控，對于數據安全的管控來說異常關鍵。

為做好數據的交換管控：首先方案中先對于API接口資產進行精確識別，通過對報文頭的檢測有效區分URL靜態地址與Restful API接口資產，防止出現大量無效告警，影響運維人員的判斷；其次對于API接口調用流量進行雙向識別，通過與分類分級能力的打通，對于回包流量中的敏感數據進行精確定位；同時，安恒信息通過與阿里云的深度合作解決了云上租戶業務引流的難題，通過與阿里云ODPS的對接，實現了無agent情況下的流量解析分析。

四、辦公網數據防泄漏

辦公網場景是最容易發生數據泄露的場景之一。辦公網涉及人員眾多，場館辦公場所條件不一，導致辦公網的管控措施難以有效落地。針對此場景，我們首先進行了泄露路徑的盤點，主要分兩大類，一類是通過網絡流量側的泄露（如：IM軟件、郵件等），另一類是終端側的泄露（如：U盤、移動硬盤等外設，以及攝屏）。緊接著便基于不同的路徑進行針對性措施加以管控，網絡側封堵各類即時通訊軟件發送模式，基于郵件的發送做好流量審計；終端側通過一體化終端辦公組件的加持，對接入用戶進行認證、殺毒和外接終端的安全監測。同時通過暗水印的方式做好屏攝的回溯審計，有效震懾此類泄露行為。

除了對于外泄途徑的管控，辦公網場景方案還進行了防護左移，終端用戶接入賽事AGIS專網之前，除了通過浙政釘進行身份認證以外，還通過agent進行了終端環境的安全感知，檢查終端運行狀態，評估運行環境達到安全要求后，才會基于權限放開后端應用的訪問。

五、數據安全監測與審計

前面分類分級、運維、共享交換、辦公網是整個亞運安保過程中最重要的幾個細分場景，那如何將亞運數據安全態勢做整體呈現？這時候就要發揮整體監測審計的能力了，通過數據安全管控平臺與各數據安全探針的對接，能夠對場館側、賽事側、供應鏈服務商側的數據安全狀態進行一體化展示，真正的做到了數據安全風險態勢的一屏通覽。

通過數據的匯集，也可以從最前端用戶通過應用對數據的調用動作，到通過應用中間件對相應API接口發起訪問，到最終通過SQL語句對于數據庫落盤數據進行訪問的全鏈條數據行蹤鏈進行梳理，真正做到數據全生命周期的血緣分析，理清風險脈絡。同時數據安全管控平臺也可以通過與探針的對接，基于風險類別，一鍵下發處置策略，高效完成數據安全風險的操作閉環。

同時，安恒信息在本次云棲大會云安全產品板塊展出了安恒云安全的整體解決方案，通過底層等保合規、云數據安全、商用密碼、攻防實戰等原子能力，構建面向公有云、私有云、混合云、行業云、邊緣云等全場景云安全方案。同時靈活提供安全托管服務MSS、在線SaaS安全服務的服務模式，解決客戶上云過程中的安全建設和安全運營問題。