《“数盾”技术架构研究》课题通过专家评审
近期,由国家信息中心信息与网络安全部牵头承担的《“数盾”技术架构研究》课题,通过了中央网信办、北京大学、中国人民大学、解放军信息安全测评中心、国家电网、中咨公司等领域专家、学者的评审。作为“数盾”技术架构研究小组成员单位,安恒信息组建十余位资深专家深度参与该项研究工作,积极开展数盾技术架构的应用实践。
一
政策背景
2020年12月,国家发改委等四部委印发《关于加快构建全国一体化大数据中心协同创新体系的指导意见》,要求推进“数网”、“数钮”、“数链”、“数脑”、“数盾”体系建设。“数盾”建设可进一步提升大数据安全水平,强化对其他四数算力和数据资源的安全防护。
2021年5月,国家发改委等四部委印发《全国一体化大数据中心协同创新体系算力枢纽实施方案》,正式启动“东数西算”工程。以《实施方案》中确保网络数据安全的相关要求为依据,《“数盾”技术架构研究》,对数盾的基本概念、建设目标、整体框架、技术特征、核心价值等问题进行了深入研究分析,并提出了部署实施的方法和路径。
2022年10月,国务院办公厅印发《全国一体化政务大数据体系建设指南》,《指南》指出,现阶段政务数据安全保障能力亟需强化,数据全生命周期的安全管理机制不健全,数据安全技术防护能力亟待加强。东数西算工程将为我国一体化政务大数据体系建设提供重要支撑,因此,《“数盾”技术架构研究》对于我国一体化政务大数据体系中数据安全保障体系的建设,提供了一个有价值、可参考的架构。
二
安恒信息如何“东数西算”?
安恒信息为配合推进加快构建全国一体化大数据中心协同创新体系及“东数西算”工程的相关政策要求,总结出了“东数西算”全链路的数盾整体解决方案,以安全能力即服务的核心思想进行“东数西算”安全架构设计,符合新时代新趋势,它将形成保卫数字经济重要时代的新安全体系。
数盾解决方案采用“分层解耦”的设计理念,通过云网安基础设施层,安全资源服务层和安全运营管理层三部分组成。设计理念如下:
整个解决方案是以国家“数盾”体系为基准,构建“以安全资源服务中台为核心,以新一代信息化安全技术为支撑,以安全资源服务为能力输出”的端到端全链路数据安全管控体系架构。数盾解决方案从单个数据中心的网络、计算、应用和数据各个层面的一体化协同到国家级枢纽节点间的数据安全运营统一管理,实现了主动、弹性和快速响应的纵深防御新架构。
同时,各层之间采用集中数据总线进行数据传输和交换,以此降低各类数据应用对底层数据存储之间的强依赖性,通过各层之间的独立工作接口,为后期的安全业务扩展提供了方便。
Part.
1
首先,“数盾”方案依托“数网”、“数纽”提供的计算、存储、网络及相关云服务支撑环境实施部署,同时为“数网”、“数纽”提供云和网的安全能力服务。
Part.
2
其次,“数盾”通过 API 接口收集“数脑”、“数纽”的安全类数据进行智能综合分析,为安全运营服务提供情报支撑,通过网络安全和数据安全的IPDRR各安全原子能力,实现全链路敏感数据的发现、脱敏、加密、脆弱性管理、异常行为监测,web 漏洞扫描、DDOS 防护、web 应用防火墙以及集中审计、权限管理和统一持续评估和动态认证等服务,更加精准和灵活地提供了覆盖云、网、应用及数据的安全能力保障新架构。
Part.
3
最后,“数盾”的安全运营管理平台围绕事前、事中和事后开展,并与“数网”、“数纽”、“数链”、“数盾”和“数脑”实现安全事件的协同处置和结果反馈的安全闭环管理。事前确定角色、明确责任划分和安全风险;事中实现安全事件自动推送、分析研判,协同处置;事后通过总结分析,监督并优化安全事件处置流程,以联防协同来指挥安全运营形成整个流程的闭环管理。
三
“东数西算”的落地实践
安恒信息的“东数西算”不是纸上谈兵,而是早已付诸实践,并通过了市场的认可。
芜湖是国家规划的10个国家数据中心集群之一。安恒信息与芜湖市鸠江区战略合作,投资建设“数盾”产线长三角总部基地、华东智慧城市网络安全运营中心、智能网联汽车信息安全实验室等。“数盾”产线长三角总部基地将打造涵盖安全能力中心、安全合规中心、安全运营中心、数据流通中心的“数盾”产品研发与技术服务中心,护航“芜湖集群”,赋能“数字芜湖”。
安恒信息作为参编单位,在课题启动阶段,就安排资深数据安全技术专家,参与到课题研究工作中。在数盾技术架构方面,课题研究成果中,已有非常全面和深入的阐述。从推动课题成果转移、数盾试点项目工程落地的角度,安恒信息结合以往数据安全项目建设经验,谈一些对建设试点和实施方案的理解。
在数盾试点项目工程建设上,需要把握的一个重要原则是建新融旧。建新融旧,在微观层面上,是聚焦数字政府的“数盾”平台建设,以实现数据局与委办厅局及下属单位安全能力共享和安全运营协同。通过数据局与委办厅局及下属单位安全能力共享,实现安全能力跨级共享和安全运营跨级协同,逐步达到一体化安全资源调度和一体化安全运营的目标,从而有效确保政府数据资源及资产在横向流动和纵向流动过程中的全链路、全流程、全周期的安全。
“数盾”平台化特征,为建新融旧提供了技术保障。通过“数盾”平台的南向接口,可以有效纳管符合接口标准的安全组件,以有效利用原有的数据安全、网络安全设备设施。已有的态感平台、安全运营平台等可以通过标准的接口与数盾平台实现有机融合,有效减少建设投入。同时通过北向接口,可以对委办厅局及下属单位输出数据资产发现、敏感数据标识、数据安全访问控制、流向管控、审计、加密、脱敏、溯源等一系列的标准化的数据安全服务,总览数据资产和安全风险,实现数据安全运营的闭环管控。
“数盾”的模块化特征,使“数盾”平台具备了持续建新融旧的能力。模块化、可插拔的设计,使得“数盾”平台可以不断有机集成新兴的数据安全技术与产品,包括隐私计算平台、联邦学习平台、安全多方计算平台等,从而实现数盾平台自身的迭代升级,以及应用场景的不断扩展。
安恒信息以数据安全为核心战略方向,聚焦于身份安全、数据流通、数据保护、咨询规划四个方向,打造具备十大核心竞争力,面向全场景、全链路、全生命周期的数据安全解决方案。在国家信息中心牵头指导下,安恒信息正积极在“东数西算”算力枢钮和数据中心集群、省市大数据局推动《“数盾”技术架构研究》的试点和落地。