编者按
为落实《北京市关于加快建设全球数字经济标杆城市的实施方案》,在市经济和信息化局的指导下,北京软件和信息服务业协会牵头开展了数字经济标杆企业评价工作,并在2024年2月发布了《2023北京市数字经济标杆企业评价报告》。为服务数字经济标杆企业发展,推广企业数字技术、方案和创新成果,北京软协开展了数字经济标杆企业成果征集活动,形成《2024北京数字经济标杆企业成果集》(以下简称《成果集》)并于2024产业互联网创新发展论坛上发布。
《成果集》汇集了36家数字经济标杆企业在各领域的典型成果42项,成果是按照不同的数字经济标杆企业类型来呈现,分为技术成果、赋能成果、生态成果和创新成果四个篇章。这些标杆企业成果反映了北京数字经济发展的实力与成就,也体现了数字经济发展的水平。
天融信:数据安全风险管控体系建设
(一)成果概述
标杆企业:北京天融信网络安全技术有限公司
标杆类型:数字基础技术标杆
取得时间:2022年12月
成果简介:数据安全风险管控体系建设减少了数据泄露、数据非法利用、数据篡改或破坏等风险,保障了数据使用安全、共享与公开安全、流通安全和业务的连续性、稳定性,提升了政府的治理能力,推动数据价值的释放。
(二)成果背景
数字中国建设是我国十四五规划中提出的重大发展战略,其关键目标之一是提升政务数字化智能化水平。大数据、云计算、人工智能等新技术在政务服务管理中快速发展和应用,给数字政府建设带来便利的同时也带来了许多安全风险。数据作为数字政府建设的核心要素,可信可控的数据安全屏障是数字政府建设的生命线。
天融信参考gb/t 24364-2023《信息安全技术 信息安全风险实施指南》和gb/t 37988-2019《信息安全技术 数据安全能力成熟度模型》两个国家标准,开展数据资产识别、数据生命周期监管和风险监测,确保数据在收集、存储、使用、加工、传输、提供、公开等各个环节都能得到有效保护,防止数据泄露和滥用,构建了适应业务发展的数据安全风险管控和安全保护体系,实现了数据全方位安全监控与审计溯源,保护了数据资源的安全合规。
数据安全风险管控体系建设减少了数据泄露、数据非法利用、数据篡改或破坏等风险,保障了数据使用安全、共享与公开安全、流通安全和业务的连续性、稳定性,提升了政府的治理能力,推动数据价值的释放,为数字经济高质量发展和高水平安全提供基础。
(三)成果亮点
天融信在国家标准规范的指导下,根据某部委的实际业务需求及数据安全建设目标,建设数据安全管理平台,开发了数据资产管理、数据分类分级、数据安全防护、数据安全审计等功能,满足部委对数据全生命周期管理、风险发现和监测等需求。同时,天融信持续跟踪平台应用情况并持续迭代更新,实现数据安全风险管控、态势感知和持续运营。
数据安全风险管控体系建设帮助部委取得了如下关键成果,为数字政府建设提供了安全的数据环境,保障数据资源的安全、有序流动和利用,为数字经济发展保驾护航。
1.构建资产基础信息库,为数据安全风险识别奠定基础
数据安全管理平台的非侵入式风险探知子系统从资产基础信息、安全漏洞信息、僵木蠕恶意代码信息监测入手,准确构建资产基础信息库,实施分析和验证安全风险点,形成海关资产脆弱性识别和威胁情报管理能力,从而建立信息安全风险识别管理能力。
2.实现数据安全治理,促进数据合规流通使用
根据部委的数据安全合规需求、风险控制需求和业务需求,遵循《数据安全能力成熟度模型》对数据安全关键能力的描述,在业务、场景、数据资产、数据分类分级、数据风险等方面进行识别分析,通过数据安全管控平台构建数据资产分类分级、数据资产视图、数据风险监控、数据安全审计、多维度统计分析等数据安全能力,对部委各业务阶段的数据情况持续跟踪和动态监测,建立多维度的、全方面的数据安全能力。
3.构建全业务数据安全防护能力,实现数据持续运营
通过数据安全管理平台下安全大数据治理子系统,按照国家和部委的数据安全治理标准建立适合部委的安全数据采集机制,对采集到的数据资产、威胁、风险等信息进行建模分析,建立数据风险评估流程,支撑风险处置、安全指标管理和安全策略调整,并通过数据安全管控平台构建可感知、可量化、可管控、可追溯、可运营的全业务数据安全防护能力。
(四)成果效益
1.应用效果
(1)以7亿条/日的速度采集六大类(共计80余台(套))设备的安全日志,建立22个分析模型,实现了安全事件的深度分析和挖掘,响应速度提升50%,分析效率提升60%,问题报告准确度达90%。
(2)配置了13种识别规则,纳管数据库、应用、账号等五类资产数据,按照所属中心、网络域、应用、业务系统、集群资产、资产等7个维度进行数据流向展示,形成人员画像和数据画像,实现数据行为的监控和审计。
(3)经过数据安全治理,为部委建立了满足数据安全能力成熟度3级的数据安全保护体系,并实现对10余种防护探针的数据采集,提供了数据资产管理、分类分级、安全防护、告警与响应和安全审计等5大管控应用,可视化展示了数据资产分布、数据安全流转、数据安全告警、数据安全风险、数据资产防护和重要数据分布等6类安全态势,满足部委数据安全管理需求。
2.社会效益
(1)本成果向政企单位提供了详尽的信息安全风险管理的指引与建议,帮助政企单位识别潜在风险、准确评估风险影响、实施有效控制并持续监控信息安全,保障数据要素的安全流通。
(2)本成果基于网络安全国家标准,规范了信息安全风险管理的流程和方法,为其他政企单位在管理信息安全风险时遵循最佳实践、提高管理效率和质量提供了参考,有效抵御数字经济发展过程中数据安全问题带来的风险。
(3)本成果不仅为信息安全技术和服务的提供方提供了可靠的建设方法,也为信息安全技术和服务的使用方提供了可靠的产品和服务,满足使用方数据安全建设和风险管理的需求。
3.经济效益
(1)本成果通过数据安全能力成熟度模型的评估,帮助部委全面了解自身的数据安全能力水平,建设了数据安全防护能力,提高了部委的信息安全水平,并为其他组织提供了参考,可以有效降低组织由于信息泄露或数据篡改等数据安全事件带来的经济损失。
(2)本成果通过数据安全管理平台帮助部委直观了解自身存在的数据安全风险,明确了数据安全建设方向和重点,帮助部委合理投入资源,降低建设成本和运营成本。
(3)本成果满足国家标准对信息安全风险评估、数据安全能力成熟度评估的要求,帮助部委满足我国法律法规的要求,从而避免因违规带来的经济处罚和声誉损失。
(来源 :北京软协)