您的位置:首页 > 优秀成果

国产化“网安天目”系列数据泄露安全防护整体解决方案

2026-06-29 09:12:18


大庆油田有限责任公司天津数智技术分公司

王旭 袁鹏达 陈晨 邹佳祥

一、建设背景

2016年起,国家在战略、政策、法规三个层面相继发力,以《国家网络安全法》、《国家网络空间安全战略》、《关于促进移动互联网健康有序发展的意见》等纲领性文件为指引,将信息安全市场发展推动到与国家发展同等重要的地位。在信息化时代,数据泄露事件、勒索软件和其他类型的网络攻击事件持续高频发生,企业网络数据安全环境极为堪忧,面对严峻形势,国家专门成立了网络安全与信息化领导小组,强调打造“核心技术自主可控”的国产化网络数据安全产品势在必行。作为中国能源行业的代表,中国石油企业内部信息关乎国家安全,中石油保密办通过安全审计平台取证,根据泄密严重性进行通报、整改、查办等处理,企业承担着巨大的数据泄露安全风险,因此急需研发符合国家安全要求,满足中石油集团公司需求的国产化网络数据安全防护产品,建设数据泄露安全防护整体解决方案。

鉴于以上原因,大庆油田有限责任公司天津数智技术分公司以符合国家要求、满足企业需求、保护大数据时代的企业数据资产安全为目标,开展了国产化“网安天目”系列数据泄露安全防护整体解决方案项目的研究,该方案的研究切合国家政策、符合市场需求,顺应当下信息安全形势,能够对企业重要数据进行全方位、多角度、不同粒度的监控防护。

二、建设历程

基于政策及安全性考虑,该项目建设共分为四个阶段。

一期建设自2015年3月-2016年12月,研发一套集软、硬件一体的数据泄露安全审查产品---网络DLP(NDLP),构建集软、硬件于一体的数据泄露安全审查系统,为企业实时把控网络出口流量,提高企业安全保密管理水平。

二期建设自2016年3月-2017年12月,在一期网络DLP产品的基础上,进一步扩展产品功能和性能,形成网络阻断DLP产品以及扫描发现DLP(SDLP)产品,从根本上解决数据泄露的问题,阻止敏感数据的泄露。

三期建设自2017年4月-2018年12月,在IPv6防护、HTTPS协议防护、性能提升等新增领域研究方面,开展企业数据泄露防护体系研究与开发,形成完整的数据安全防护体系,全面降低企业数据泄露的安全风险。

四期建设自2019年4月-2020年10月,实现基于国产化芯片、国产化OS、国产化数据库的网络敏感数据审计系统的信创升级。为油田企业量身打造“一站式”数据泄露安全防护整体解决方案,切实解决油田企业在数据安全方面的痛点。

三、建设成果

国产化“网安天目”系列数据泄露安全防护整体解决方案是以数据为中心,在企业互联网内,各网络区域边界及对外互联网边界处加强数据审计,监测数据流转,在网络、终端、存储三个环节部署国产化“网安天目”数据泄露安全防护产品和工具,逐步形成网络、终端、存储三位一体的技术防御体系,实现对企业互联网数据立体化、纵深化、全方位的监控防护,打造完整的国产化“网安天目”系列数据泄露安全防护整体解决方案。

 

图1 整体解决方案部署示意图.png 

图1 整体解决方案部署示意图

本项目经历了共计四期建设研究,历时6年时间,生成了技术自主可控、产品灵活布控,可为企业量身定制国产化“网安天目”系列数据泄露安全防护整体解决方案,该方案独立打造出自主可控的“网安天目”数据安全防护系列产品共计13个,可实现独立设备部署、云部署,也可定制化部署多个产品,相互协作,对互联网出口流量进行实时管控,实现企业数据的联动治理,对企业中重要的数据进行全方位、多角度、不同粒度的监控防护。

图2产品体系图.png 

图2产品体系图

“网安天目”数据安全防护产品是国内首个同时通过公安部销售许可和国家信息安全EAL3+级、ISCCC证书的数据泄露防护产品,参与国家保密局“揭榜挂帅,赛马争先”项目评选,取得央企唯一该类产品的涉密信息系统检测证书,成功入选国家政府采购目录,入选集团公司自主创新重要产品目录,获得国资委中央企业“十三五”网络安全和信息化优秀案例奖、中华人民共和国工业和信息化部网络安全技术应用试点示范项目、国家工程实验室大数据优秀案例奖、中国关键信息基础设施安全优秀产品奖、国家保密局保密科学技术三等奖、全国石油石化科技创新成果一等奖、石油石化工业科技进步二等奖、中国石油天然气集团公司科技进步三等奖等来自国资委、工信部、保密局、集团公司及其他组织的40余项殊荣。

图3 部分奖项展示图.png 

图3 部分奖项展示图

具体建设成果如下:

1.数据分类分级统计平台

数据分类分级统计平台,通过对敏感数据梳理方法论的研究,帮助数据管理者对数据进行智能化、科学化的识别、分析、归纳与总结;制定高效、准确的数据分类分级流程,为企业制定数据泄露防护策略提供明确的指导。

2.策略优化产品

策略优化产品是一款智能化、高质量的策略制定工具,能够对数据实现自动化/半自动化的梳理及特征提取,提升策略命中事件精度和鉴别效率,从而解决数据依靠人工梳理耗时耗力,制定监测策略的精度不足的行业难题。

3.网络数据泄露防护产品

网络数据泄露防护产品(NDLP)是为企业提供网络敏感数据实时监测和保护的数据泄露防护产品,采用国产化硬件,底层代码全部自主研发,真正实现了核心技术和产品自主、可控。为企业实现涉及国家利益、国家安全、企业生存的核心数据不外泄提供了可靠选择。

4.终端数据泄露防护产品

终端数据泄露防护产品(HDLP)是一款面向企业内网办公终端进行精细化防护的数据泄露防护设备,采用CS架构在办公终端中部署HDLP探针模块,实时监控办公终端数据存储、变更、传输、打印、刻录等行为,及时发出违规提醒,阻断违规行为,从数据源头实现数据全生命周期的防护,助力提升企业员工数据安全防护意识。管理端提供安全事件分析、敏感数据分布情况分析、办公终端风险分析等报表,协助企业提升数据泄露防护的整体技术水平。

5.数据泄露防护应用工具

敏感信息检查工具:作为轻量化的办公终端存储信息检查工具,主要用于开展敏感信息存储自检自查工作,促进办公终端敏感文件规范管理,提高员工保密意识。

敏感信息介质消除工具:利用敏感信息检查工具发现违规存储信息后,可进一步使用介质消除工具,完成安全性、合规性处置,对磁盘介质中需要删除的敏感文件进行不可恢复的彻底粉碎,保证数据的安全性和保密性,完成敏感信息的闭环管理。

6.数据出境监测产品

数据出境监测产品是一款针对数据出境业务进行深度分析管控的设备,采用数据内容和行为融合分析的模式,兼容NDLP产品全部能力,实时关联分析流量元数据和数据包,鉴别数据出境业务、异常出境行为、风险访问记录等,整理形成安全事件与证据链,协助业务人员进行会话溯源、取证。

7.数据梳理服务

基于自主研发数据分类分级管理平台,提供数据梳理、分类分级服务。根据国家、企业的数据安全监管要求,以《数据分类分级操作指南》为依托,以数据安全风险程度为导向,协助企业建立数据分类分级管理制度,形成符合企业要求的数据分类分级体系。协助企业敏感数据合规、安全管控工作落地。

8.数据出境风险评估服务

打造能源行业第一支数据出境安全风险评估内部队伍,对标数据出境监管要求,结合涉境外业务业务场景,针对性开展数据处理活动中的合规性及安全性风险评估,助力推动企业内部数据出境申报和评估流程标准化,支撑数据出境安全监测系统运营,降低数据出境违规风险及数据安全风险,全面提升出境数据安全管理能力。

四、应用成效

国产化“网安天目”系列数据泄露安全防护整体解决方案的市场定位采用“先服务国家、后服务市场”的方针,广泛应用于能源、金融等行业,为企业提供安全咨询、商密数据梳理、敏感数据鉴别及保密检查等数据安全综合服务。特别在中国石油、中海油、国家电网、中广核等央企效果凸显,曾在G20、金砖五国、十九大、二十大、公安部护网行动等重要活动中圆满、出色地完成了数据泄露安全防护任务,多次受邀参加贵阳大数据、世界智博会等国家展会。

图4 应用证明材料.png 

图4 应用证明材料

案例一:杭州G20金融峰会

在G20会议期间,我公司作为国产化数据安全防护产品的代表,应浙江省国家电网要求,定制数据泄露安全防护整体解决方案,实时守护,及时与保密、业务等部门沟通,确保了峰会期间的数据安全,保障峰会的顺利进行。

案例二:“金砖五国”峰会

金砖峰会的网络安全工作由福建省国家电网保障,应其对数据安全防护的要求,我公司成立专职项目组,在会议期间实行全天候应急处理,建立应急响应机制,有效防止了敏感数据外泄。。

案例三:中国共产党第十九次全国代表大会

我公司应国务院港澳事务办公室要求,为其定制数据泄露安全防护解决方案,保障办公网络及网站系统在十九大期间安全运行。实时监控数据情况,确保数据资产安全,圆满完成本次信息安全保障任务。

案例四:中国石油天然气集团有限公司

应用“网安天目”数据泄露整体解决方案,在数据库、互联网、专网部署数据泄露防护产品,在终端部署HDLP,同时应用策略优化工具辅助定制策略,提供定制化开发服务,保证敏感文件不外泄。构建全局性的敏感数据监控体系,为中国石油信息安全和保密防护体系提供不可或缺的重要支撑。该项目是国内外最大的数据泄露防护成功案例,为“网安天目”未来的发展打下了夯实的基础。

案例五:中国广核集团有限公司

“网安天目”数据泄露防护平台在中国广核集团公司上线应用,通过两期建设完成了对中国广核集团有限公司互联网总出口外发流量旁路监测、邮件系统外发敏感数据阻断。团队持续提供技术运维支持、策略优化支持及事件分析服务,成功将中国石油的宝贵经验向其他央企输出,在共同促进央企信息保密、数据安全建设方面发挥了积极作用。

五、成果创新点

随着网络的飞速发展和客户需求的不断提高,国产化“网安天目”系列数据泄露安全防护整体解决方案形成了一系列技术创新成果,目前已取得5项国家专利,16项软件著作权,2项注册商标。

图5 知识产权证书图.png 

图5 知识产权证书图

具体创新点如下:

1.“网安天目”产品体系信创化研究:工控产品、网络DLP、终端DLP、邮件DLP、终端DLP、终端工具和管理平台全面采用国产化芯片、国产化OS、国产化数据库、国产化加解密算法,同时支持国产化部署和监测;

2.“网安天目”数据智能识别技术研究:针对数据检测、数据分类、数据监测的数据识别等业务产生的数值变化监测、内容信息检查、文件归档分类、图像信息识别、会话信息等通用性技术需求,结合大模型技术,开展数据智能识别技术研究,应用于网络安全产品;

3.“网安天目”数据跨境监控技术研究:根据数据出境数据特征,实时甄别互联网出口跨境业务流向信息、识别并提取出境业务数据真实元属性信息与路径、鉴别敏感业务数据与异常跨境行为,在必要时可对重要数据的跨境行为采取阻断措施;

4.“网安天目”智能辅助定密技术研究:研究涉密电子文档的密点智能快捷标注技术,基于密点对文档进行权限管控、加解密保护、文件流转溯源等安全监管。构建密点库、规则库,实现对文件敏感内容的自动识别和密点推荐;

5.“网安天目”智能工控安全管理平台:围绕工业控制系统开展相关智能化网络安全管理平台的研究,针对工控网络可能存在的网络攻击风险、设备运行风险、通讯故障风险等可能危害生产秩序的各类安全威胁,提供安全监测、风险定位、故障判断、应急告警等技术手段;

6.“网安天目”高速加密协议解析技术:研究网络协议分析的用户态协议栈,硬件加解密加速卡,实现HTTPS(TLS/SSL)加密高速数据解析,解决加密协议无法识别的行业产品痛点;

7.独创石油系统通用策略模型:采用人工智能、机器学习等算法,结合中国石油集团公司保密规定和上线测试结果,对策略进行自动优化,形成一套针对石油系统的数据安全通用策略模型。可大大缩短策略制定周期,减少误报、漏报,解决了企业检测策略受人为因素影响而不全面的问题,便于企业培养自己的网络数据安全专家团队,保护企业网络数据安全。



本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有。如因无法联系到作者侵犯到您的权益,请与本网站联系,我们将在第一时间删除内容!

联系邮箱:infochinatousu@126.com

中国信息界

中国信息界官方微信公众号

全域数字化新视界公众号

版权所有 © 《中国信息界》杂志社

京ICP备2025140127号

行政电话:010-63691340转8016
战略合作:010-63691340转8018
投诉邮箱:zgxxj@ciia.org.cn

地 址:北京市西城区广安大街
315号信息大厦B座4层

投稿邮箱:zgxxjzz@163.com

数字经济决策参考公众号

数字文明进化论公众号