今天的案例，与每个人的出行息息相关。

今年4月，国家安全机关破获一起国内公司为境外刺探、非法提供高铁信号数据的重要案件。这是《数据安全法》实施以来，我国首例涉及高铁运行安全的危害国家安全类案件。

“不法分子如果非法利用这些数据故意干扰或恶意攻击，严重时将会造成高铁通信中断，影响高铁运行秩序，对铁路的运营构成重大威胁；同时大量获取分析相关数据，也存在高铁内部信息被非法泄露甚至被非法利用的可能。”中国国家铁路集团有限公司工电部通信信号处主管姜永富说。

1、行业特性

交通行业是关键信息基础设施的重要组成，其重要网络设施、信息系统一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。《反间谍安全防范工作规定》规定：“关键信息基础设施运营者应采取反间谍技术安全措施，防范、制止境外网络攻击、网络入侵、网络窃密等行为，保障网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全”。

伴随行业数字化转型和大数据参与业务化运营，各城市交通运输局积极探索运用大数据手段赋能城市交通精细化管理。本文将分享云集至就某城市轨道交通单位落地数据安全治理给出的项目方案。

鉴于交通管理体系的复杂性高、交通数据多样化难融合、数据分析方法单一等原因，导致交通数据的安全治理工作面临诸多难题。总结下来：

01、分散：客户业务环境中系统之间相互孤立，未形成统一管理，导致数据资产的数量、分布、类别和等级都不甚清晰。

02、细碎：日志呈现碎片化，无法在杂乱未成体系的日志基础上形成有效的追溯分析，导致数据应用起来难度大。

03、难追：随着业务运行海量数据时刻发生流转，没有形成有效追踪路径，追踪难度大。

04、未知：客户未对多样化数据建立完善的数据态势感知机制，因此无法实现对数据的高效利用，阻碍数据价值的最大化释放。

2、解决方案

云集至创新性推出云集全数据安全集中管控平台（以下简称“平台”），集数据资产梳理与识别、数据安全统一管控、数据安全统一能力输出、数据风险分析与溯源、数据资产与使用全景展现等功能于一体。平台以数据为核心，结合数据分级策略，统一纳管、灵活调用数据安全工具，双向打通数据安全管理和技术瓶颈，能够针对结构化和非结构化数据，实现敏感数据识别、数据脱敏、水印溯源、数据加密、数据库审计、数据防泄漏等数据安全能力的联动高效管理。

01现状：系统孤立无法统管，数据不清晰

经过深入现场，云集至安服工程师发现客户业务环境中的安全防护产品多，资产、数据环境复杂；部门、应用、各业务系统数据无法集中管理；对于资产内存放的敏感数据不清晰。

解决方案：全面梳理，摸清资产

1、对生产网络和办公网络通过平台梳理技术，对现网的结构化和非结构化数据，全面摸查数据家底，帮助用户洞悉未知资产、账户、敏感数据等。通过设备、资产关联登记，梳理系统会动态监控新资产上线，控新资产的变更。

2、建立不同分类分级模板，根据数据重要程度进行分类分级打标，并以思维脑图形式建立数据分类分级视图，对账户与敏感数据进行分类分级打标。

3、 将梳理的内容通过平台进行不同维度的统计展示，形成资产目录、账户目录、数据目录等数据地图展示并定时更新。

02现状：日志碎片化，追溯分析难

各个安全设备独立且分散，只靠自身系统日志进行事后追溯，准确率太低而且日志分析价值也很低。各部门、各系统间信息孤岛丛生，阻碍了对大数据整合、分析、应用工作的开展；安全管理人员精力有限，每天产生的安全告警往往无法得到及时响应与处置。大量冗余、常常误报、无法关联、缺乏模型、分析慢等问题成为棘手难题。

解决方案：日志整合，关联分析

首先，对内外网部署的安全设备(如WAF、IDS、IPS、防病毒系统等)在平台进行统一关联。对全链路的节点信息进行整合（服务器系统日志->应用日志->网络日志和安全日志等），实现数据全路径行为分析及数据流行分析。然后，从数据安全日志或在线流量中抽取关键信息，并以用户操作行为汇总行为建模，对严重偏离模型的行为进行告警或阀值控制，帮助客户发现数据泄密、数据违规访问、误操作的威胁。此外，可自定义多种看板，用于日志分析可视化展示。

03现状：海量数据流转，数据无法追踪

数据只有流动起来才能产生价值，流动的过程中涉及多个系统、部门、应用及人员等，导致数据管理难。另外，复杂的业务环境及技术条件下，数据往往不再是先生成再存储，而是从不同位置获取。有时在同一个平台内，有时在不同平台内相互流通。管理数据流向，需要考虑业务、流程，自身管理等多种因素。

解决方案：建立数据流向分析，平台可视化展示

1. 从资产、账户、数据多维度进行采集、传输、存储、使用、共享，销毁等环节，分析数据流动情况、数据流向 TOP IP/TOP 用户等。

2. 分析流动数据类型分布、数据访问量最多的敏感资产分布、访问量最高的敏感表分布、访问频率较高的敏感字段分布、新增的敏感表/敏感库等。

3. 对应用运行时的数据流进行分析，判断程序对敏感数据传输的处理措施，实现敏感数据传输过程的安全检测；利用探针技术对程序运行的上下文进行分析，实时获取数据。

4. 对数据资产的访问流量进行学习，一旦出现非预期数据流向时启动告警，并具备三种级别流向图看板，从数据流转角度出发绘制数据流向图，动态展现数据在各个系统之间的流转情况，以此基础帮助用户及时发现数据违规流转、风险流转等风险信息。

04现状：多样化数据未行成主动态势感知

数据重复采集、数据定义、数据标准等不尽相同；溯源取证过程中当系统发现攻击事件并准备上报时，需要为相应的攻击事件检测提供确切证据(如恶意文件、攻击痕迹等)，当前因缺乏统一取证平台，造成查询检索不便，导致上报效率及结果不尽人意；安全防护设备只有在风险出现的时候才能进行处理，对于未知的一些风险没有主动感知防御能力。

解决方案：溯源分析，态势感知，看板展示，快速简便

1. 对需要溯源的事件管理的数据进行敏感性区分，将敏感数据所对应的相关法律法规、级别等信息进行明确标注；提供安全事件溯源报告，报告内容包含但不限于成因溯源、关联资产的信息、快照信息等。

2. 针对访问方向配置风险模型，利用漏洞、攻击行为、访问来源、访问内容、 访问量级进行数据挖掘和关联。基于访问特征，对业务风险输入参数进行配置。可自定义输入已泄露数据，并根据泄漏的数据回溯可疑的用户、资产、IP、行为、结果、路径等，深入还原作案现场和流程。

3. 通过机器学习进行数据挖掘和分析，并通过资产、地图、数据流向、攻击等，结合基础网络、中间件、业务系统、终端、安全设备等多维度安全攻击感知信息采集，实现对用户网络中攻击行为的及时发现和精准定位；通过攻击溯源、归并告警、用户行为分析等多种方式进行可视化呈现，并感知风险威胁。

4. 开展数据安全事件的处置，具体流程包含：针对数据安全事件预警——自动检索处置方案库——确定事件处置策略——生成处置工单并经过审批后——发布处置策略——实施应急联动响应联动处理。处置方案库未收录场景，可通过人员补充更新事件处置方案，支持并发处理安全事件预警。

3、客户收益

利用云集至的全数据安全集中管理平台开展交通行业客户数据安全建设服务，体现出了我们的专业性、服务水平、合作效，真正帮助客户解决了城市交通数据精细化管理过程中存在的安全问题，获得了客户的高度认可：

1、 提升数据风险管控能力，贯彻落实国家数据安全相关要求，明确数据采集、存储、传输、处理、共享等全环节安全合规管控要求，并将部分相关要求通过平台实现，有效规避法律风险。

2、 提升数据安全防护水平，落实数据安全防护措施，并通过平台统一纳管逐步形成上下联动的策略管理机制。

3、 深化数据安全合规专业支撑服务能力，通过平台构建标准化的安全管控策略和安全能力，实现部分数据安全合规管控流程化、自动化、标准化，解决专业人员不足的问题。

4、 构建全局的数据安全合规监测能力，在统一的敏感数据识别机制基础上，实现数据安全态势全面展示能力，准确掌握企业数据资产分布、使用和流转合规情况等。