日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

1、方案背景與目標

某電源股份有限公司是一家專注于太陽能、風能、儲能、氫能、電動汽車等新能源電源設備的研發、生產、銷售和服務的國家重點高新技術企業。主要產品有光伏逆變器、風電變流器、儲能系統、水面光伏系統、新能源汽車驅動系統、充電設備、可再生能源制氫系統、智慧能源運維服務等，并致力于提供全球一流的清潔能源全生命周期解決方案。隨著某電源股份有限公司整體業務發展愈發迅速，傳統管理模式已逐漸難以支撐，再加上多工廠、多業態模式越來越多，整體運營成本面臨極大挑戰。某電源股份有限公司從自身業務發展角度出發，為提升企業核心競爭力，從2022年開始規劃企業數字化變革轉型，在推進數字化的過程中數據的作用和價值越來越凸顯，對數據管理也有了更高的要求，尤其是如何保障集團全域數據入湖后的安全以及數據的合規使用。

某電源股份有限公司經過多年的快速發展，目前已積累了豐富的個人、業務和生產數據，且在不斷增速中，整體數據環境呈現本地/云上并用、數據來源眾多、數據形式多樣、數據總量巨大、使用場景復雜等特征。本期項目旨在為某電源股份有限公司范圍內提供切實可行的數據湖數據安全分類分級及安全管控解決方案，實現數據全生命周期的安全治理。項目主要實現以下目標：

（1）結合公司業務、系統、數據的實際情況，設計并落地一整套人事域數據分類分級合規咨詢服務方案，建立公司數據分類分級的標準規則、方法論、模版。

（2）搭建數據湖安全管控平臺，完成數據安全管控平臺的部署，結合咨詢服務結果導入人事域數據及人事域數據分類分級標準規則，實現人事域數據從采集、傳輸、開發到使用各環節的數據安全管控，包括數據開發階段的高仿真脫敏、傳輸及使用階段的加解密，數據訪問的權限管控等。

2、方案詳細介紹

本項關于數據湖數據安全分類分級及安全管控解決方案，以打造數據湖安全可靠的運行環境，保障數據在流動中安全可控為總體方針。從數據采集、傳輸、存儲、處理、交換以及銷毀的全生命周期，圍繞數據的可用性、完整性和保密性，通過數據分類分級咨詢和數據安全管控技術相結合進行全面治理，形成事前數據資產梳理，事中數據安全管控以及事后數據安全管理數據安全管理閉環工作體系。最終為陽光建立一套面向數據湖的安全分類分級標準規范、數據湖安全管控工具和數據安全配套管理制度。從數據安全技術、安全保護對象、數據安全管理三個維度，不斷提高某電源股份有限公司數據湖的數據安全能力成熟度，為公司數字化業務保駕護航。

平臺架構及功能設計整體架構圖

1.1.     數據湖數據安全分類分級咨詢

數據湖分類分級工作是數據入湖前安全規劃的第一步，更是數據安全共享利用的第一步。本項咨詢服務在法律法規、國家標準及行業標準的框架下，融合DSMM成熟度模型理論進行實踐。主要包括兩方面內容，一是統一分類分級工作原則、工作流程、執行標準，指導各業務中心對本部門的數據進行合理分類分級；二是形成數據在使用、共享、流轉方面的保護策略，為各業務中心數據入湖和共享使用，提供動態安全管控策略。

1.1.1.        數據分類分級工作原則

公司數據分類分級工作應按照數據分類管理、分級保護的思路，依據以下原則進行：

?  合法合規原則：數據分類分級應滿足相關法律法規及監管規定的要求，優先對法律法規規定中有專門管理要求的數據進行識別和管理，如優先識別是否包含重要數據、個人信息、敏感個人信息等。

?  就高從嚴原則：采取就高從嚴原則對數據進行分類分級，具體如下：

（1）如果數據集包含多個級別的數據項，應按照數據項的最高級別對數據集進行定級。

（2）數據分類時按照先個人信息、后法人數據的次序識別，采取就高從嚴原則對數據進行分類。例如，當數據既屬于個人信息又屬于法人數據時，識別為個人信息。

（3）個人信息分類時按照先識別敏感個人信息，采取就高從嚴原則對個人信息進行分類。如滿足敏感個人信息的，應優先按照敏感個人信息進行分類。

（4）數據定級時優先識別是否涉及重要數據，如涉及，應優先按照重要數據級別進行定級。

?  動態調整原則：數據的類別和級別可能因時間變化、政策環境變化、安全事件發生或不同業務場景的敏感性變化而發生改變，因此需要對數據分類分級進行定期審核并及時調整。

1.1.2.        數據分類分級工作步驟

公司數據湖數據安全分類分工作包括以下六個步驟：

（1）數據資產梳理。從數據維度入手分析梳理業務流程和系統臺賬，并進行數據歸類，為后續數據分類分級提供完整真實的基礎信息輸入。

（2）數據分級。以影響對象和危害程度作為數據安全分級的判定依據，建立數據分級管控辦法。

（3）數據分類。建立數據分類原則與實施流程，對業務域的結構化數據進行分類分級，形成分類分級清單。

（4）管控措施設計。結合公司真實組織架構，設計不同職級用戶的默認數據訪問權限；當出現對超出自身訪問權限的受控數據需求時，設計數據審批權限和流程。

（5）審核上報。對分類分級清單、管控規則進行審核和上報，完成數據安全分類分級的確認工作。

（6）動態更新管理。當公司信息系統發生重大變化、業務方向或組織結構明顯調整后，應及時動態更新數據分類分級規則和清單結果。

1.2.     數據湖安全管控平臺

本次項目從技術上幫助企業構建數據訪問治理的安全架構，并為各類訪問場景的數據安全賦能，其中安全架構包含如下能力：數據應用網關、數據訪問控制、數據安全脫敏、數據加密存儲和數據聯合查詢，即一個基本流程和一個平臺（數據安全管控平臺DSP）。

表 數據訪問治理的基本流程

數據安全管控平臺以統一的方式管理數據資產、安全策略和各個安全控制措施，服務于整個數據訪問治理場景。平臺中各產品模塊可服務于獨立場景，同時支持相互組合服務于多個場景，具體如下：

表 各產品模塊服務場景說明

數據訪問治理解決方案包含5類訪問場景：應用終端訪問場景、工具終端訪問場景、數據離線導出場景（應用于開發測試訪問場景）、數據加密存儲場景和數據多方共享場景：

1）應用終端訪問場景

訪問鏈路：業務人員->應用終端（瀏覽器/APP）->數據應用網關->應用服務器 ->生產數據庫；

保護方法：數據應用網關系統以串聯的方式連接應用終端和應用服務器，實現業務人員訪問生產數據時的動態保護。

2）工具終端訪問場景

訪問鏈路：BI分析/數據運維人員->終端工具（數據庫客戶端/BI分析工具）->數據訪問控制->數據倉庫/生產數據庫；

保護方法：數據訪問控制系統以串聯的方式連接終端工具和數據源，實現BI分析/數據運維人員訪問數據時的動態保護。

3）數據離線導出場景

訪問鏈路：數據倉庫/生產數據庫->數據安全脫敏->開發測試數據庫；

保護方法：數據安全脫敏系統從源端抽取數據，經內存中脫敏后，加載至開發測試目標數據庫，實現批量數據供給。

4）數據加密存儲場景

訪問鏈路：生產數據庫->數據加密存儲->數據倉庫；

保護方法：數據加密存儲系統從生產源端抽取數據，經內存中加密后，加載至數據倉庫，實現數據先加密后存儲，安全增強各訪問和使用場景。

5）數據多方共享場景

訪問鏈路：數據使用方B-> B數據聯合查詢-> A數據聯合查詢-> A數據訪問控制-> A數據源 -> 數據提供方A；

保護方法：數據訪問控制實現對提供方數據的動態防護，數據聯合查詢實現多方數據隱私求交和聯合查詢使用。

數據訪問治理解決方案通過構建訪問治理安全架構，實現從用戶端到數據端的精細化授權管理和訪問控制、全程追溯數據使用狀態，保障各訪問場景的安全合規。

1.3.     數據湖數據安全管理辦法

為了規范某電源股份有限公司各部門（中心）、各事業部分公司開展數據湖數據安全分類分級處理活動，加強數據安全管理，促進數據的開發利用、流動與共享，釋放數據潛在價值，賦能公司數字化業務高質量發展。根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》 《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》《某電源數據管理指導手冊》等相關法律法規及公司管理規范，制定了《某電源數據湖數據分類分級管理辦法》。

分類分級結果導入圖

分級規則配置圖

分級管控界面圖

數據脫敏效果圖

數據監控告警圖

數據權限管控圖

3、代表性及推廣價值

該項目主要針對于數據的安全訪問和有效防護的問題，基于數據湖數據安全分類分級及安全管控解決方案，賦能某電源股份有限公司數據湖安全防護水平總體建設。項目通過產品與服務相結合，大大提高了提高數據流通的安全性和優化資源分配。通過對數據進行分類和分級，根據其敏感程度和重要性，采取不同的安全措施，達到有針對性的保護目標。結合管理數據的訪問權限，確保數據僅在授權用戶之間共享，防止未經授權的訪問和數據泄露。最終幫助企業實現對數據進行有效的組織和管理，提高數據的可訪問性和使用效率。

本方案充分發揮了公司在數據安全建設方面的優勢，并集合了行業內對于數據安全分類分級及安全管控的咨詢經驗和技術能力。項目已經建設實施完成并運行，同時得到了用戶極大認可，其建設成果在用戶側得到了有效驗證。同時，項目落地也受到行業的廣泛關注，打造了新能源制造行業數據安全分類分級及安全管控解決方案的標桿，為企業數字化轉型工作的推進保駕護航。