工信领域数据安全典型案例丨基于AI的数据安全风险精细化监测与智能溯源处置平台

为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》和《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分挖掘工业和信息化领域数据安全防护典型经验做法，切实增强行业数据安全保障水平，工业和信息化部组织开展了2023年工业和信息化领域数据安全典型案例遴选工作。此次典型案例遴选，按照“以点带面、点面结合”原则，面向工业、电信和互联网领域，征集了数据安全基础共性、数据安全监测分析、数据安全整体设计实施等“四方向、十类型”数据安全典型案例，经过申报推荐、形式审查、专业初审、专家评审和网上公示，在全国300余项申报方案中挖掘出了72项行业广泛认可、企业应用效果良好的典型案例，为指导工信领域数据处理者提高数据安全防护能力，促进数据安全技术、产品和服务产业化应用提供了重要参考。

本期分享2023年工业和信息化领域数据安全基础共性方向—数据攻击检测类典型案例：湖南电信《基于AI的数据安全风险精细化监测与智能溯源处置平台》。

案例概述

为解决数据量大幅增加和新技术应用带来的数据安全问题，湖南电信建立了一套涵盖事前、事中、事后的全流程数据安全攻击检测和事件处置平台，并引入AI技术进行赋能，进一步提高风险检测及处置的准确率和效率。

解决的问题

强化了数据攻击风险事前防御、智能化事中监测、高效协同事后响应防护以及数字化管理能力，解决了数据外挂泄露、内控违规行为泄露等高危风险的实时发现和及时处理，为企业数据资产安全提供可检、可御、可信的保护壁垒。

技术先进性

平台一方面采用多模型融合、溯源与AI结合技术，提高了攻击溯源的准确度及智能化。另一方面采用云原生部署技术，保证了高可用性和容错性。此外，进一步采用智能决策、数据集成、平台集成等技术，实现了更全面高效的数据攻击响应处置，相较于传统人工风险识别效率提升20%，风险整改率提升25%。平台取得专利4个，软著5个，实现技术自主可控。

行业与场景适用性

平台具有通用性强、易扩展、易部署、0改造0影响等特点，不仅适用电信行业，也适用金融、医疗、政务等其他行业。一方面，通过分光镜像、云池agent、离线PCAP包方式采集数据，对业务实现零影响。另一方面，以结构化、低耦合等技术实现对不同行业数据安全个性化需求。此外，支持云计算、虚拟化等快速部署，并且充分满足监管要求，保护用户数据安全。

一、企业简介

申报单位：中国电信股份有限公司湖南分公司

中国电信股份有限公司湖南分公司(简称中国电信湖南公司)是中国电信股份有限公司在湖南省行政区域内设立的分公司，是湖南省内重要的基础网络运营商和全业务综合信息服务提供商。

二、案例背景

一是企业业务高速发展引发数据量爆炸，配套安全措施较为落后，敏感数据安全受到挑战。二是数据传输复杂，涉及跨域跨网流动，数据传输安全性和完整性存在数据风险。三是外部攻击、内部窃取同时存在，导致数据泄露事件频发。

三、解决方案

1、整体设计架构

平台采用攻击行为监测、异常流量监测、智能溯源等技术，联动自动派单系统等系统，建立了攻击行为事前防御、事中监测和事后响应防护机制，提供了高效、便捷和可靠的数据安全保护能力。

2、建设内容

一是基于AI的事前防御。一方面，通过采集探针对基础数据采集预处理，为后续的数据攻击检测和溯源提供可靠的数据基础以及高质量、实时的数据支持。另一方面，实现对已知攻击特征或模型的建立。此外，利用机器学习、深度学习等人工智能技术对网络流量、操作行为等数据建模学习。

二是智能化事中监测。基于日志实时监测分析和流量数据攻击行为分析，自动识别异常活动与新型攻击并实时告警。

三是高效协同事后响应防护。通过智能溯源技术追踪攻击源和传播路径，联动处置平台快速处置。

四是数字化管理。可视化呈现监测结果，帮助安全人员全面了解攻击风险，提供决策依据。

3、功能特点

一是数据攻击模型与画像技术的有机结合。本平台在数据攻击模型基础之上结合了画像技术和专家经验驱动，对业务、关键数据、访问用户及传输通道等进行画像，形成规则基线，可以弥补单模型的不足。

二是处理性能易扩展。按照分布式探针和集群分析架构设计，自适应单台或多台设备部署，后续扩容不影响其他已部署平台。

三是旁路双向检测。旁路双向检测实现流量行为、访问指令、访问内容三层分析，不依赖于业务日志改造，对业务、网络零影响。平台同时支持云主机部署。

4、性能指标

平台采用攻击行为监测、异常流量监测等技术，帮助湖南电信建立了攻击行为事前防御、事中监测和事后响应防护的机制。实现4个核心业务系统的日志和流量监测，累计监测1.82T，发现风险45248条，风险识别率提升20%。联动自动派单系统、防火墙系统封锁异常账号、设备或IP，已核实整改41689条，整改率92.1%，风险整改率提升25%。

四、成果及推广

平台在研发设计方面，采用多模型融合、溯源与机器学习结合技术，提高了风险监测溯源的准确度、全面性及智能化。在集成部署方面，采用云原生部署技术，保证了高可用性和容错性。在运行使用方面，采用自动化运维与智能决策、多源数据集成、安全平台无缝集成技术，实现了更全面和高效的数据攻击响应处置，相较于传统人工风险识别效率提升20%，风险整改率提升25%。实现技术自主可控，取得专利4个，软著5个。

同时，满足监管要求，帮助湖南电信遵循法规合规标准，预防数据安全违规问题。

本案例具有很大的推广前景和效益，通过推广使用该平台，企业能够进一步节省人力成本、提高安全防护能力，建立信任和口碑，实现持续的业务发展和创新。

– END –