一、项目背景
随着数字经济的加速发展,数据已成(cheng)为重要生产要素。2023年10月国家数据局挂牌成(cheng)立,旨在协调推进数据基础制度(du)建设,统筹数据资源整合共享(xiang)和开发利用,统筹推进数字中国、数字经济、数字社会规划(hua)和建设。此后,各地数据局和国资背景的数据交易平台纷纷建立。各地数据局整体目标任务都是围绕国家顶层(ceng)设计做好各地数据要素市场的发展,释(shi)放数据力(li)量,助力(li)技术创新(xin)与经济增长。海量的数据是宝贵的生产资料(liao),但(dan)对数据的挖掘利用也(ye)带(dai)来新(xin)的问题——信息泄露、黑客攻击、病毒传播等(deng)问题频发,以及(ji)数据资源的合理利用、合规监管等(deng)都成(cheng)为政府机(ji)构、企事业单位数据整合、共享(xiang)和协同计算的障碍。
二、项目介(jie)绍
某城市大数据实(shi)验室(shi)隶属于地方政府,主要负责(ze)区域大数据的整合、研(yan)究、应用等(deng)工作。实(shi)验室(shi)希翼成(cheng)为多方数据汇(hui)聚、合作共享(xiang)的平台,打破数据孤岛,实(shi)现(xian)区域数据资源的共享(xiang)和协同利用,整合数据资源在不同部门和行业之(zhi)间流通与应用,从而助力(li)区域经济效益和社会效益的提升。但(dan)实(shi)验室(shi)工作推进过程(cheng)中遇到(dao)不少困难,最显著(zhu)的就是数据安全方面的各种顾虑。
缺(que)乏安全管控手段:数据共享(xiang)后,数据所有者失去控制权,难以监控数据使(shi)用行为,导致数据泄露风险增加,阻碍数据协同合作的意愿。
缺(que)乏安全计算环(huan)境:数据在协同计算过程(cheng)中缺(que)乏安全管控,敏感数据可能被非法窃取,计算结果也(ye)存在泄露风险,让数据所有者对数据共享(xiang)持谨慎(shen)态度(du)。
缺(que)乏数据协同基础设施:数据共享(xiang)多基于“裸数据”或“原始数据”,数据所有者出于隐私顾虑不愿提供(gong)数据;同时,各方数据标准不统一也(ye)导致合作效率低下、周期长。
为此,实(shi)验室(shi)下设了零信任技术中心,计划(hua)设计一套全面的数据安全防护方案,确保在数据安全和合规使(shi)用的前(qian)提下最大化发挥数据价(jia)值。
三、项目目标
项目的核心目标旨在构建一个数据汇(hui)聚、分析、共享(xiang)的安全协同计算环(huan)境,力(li)争从根源上解决重要数据暴露外泄、应用安全隔离(li)、终端(duan)访问可信接入等(deng)一系列(lie)安全风险问题,实(shi)现(xian) “数据可用不可见、数据可用不可得、结果可控可测量”,并对数据全生命周期进行管控,解决“谁在用、在哪用、怎么用”的问题,形成(cheng)数据安全协同的闭环(huan)。
四、项目方案
志翔科技基于上背景需求,为该实(shi)验室(shi)设计了以业务安全隔离(li)和数据高效流转(zhuan)为基础,以数据安全和效率兼(jian)得为原则,辅(fu)以数据访问行为安全审计等(deng)的整体数据安全防护体系——志翔AI大模型安全训(xun)练平台。该平台结合数据管理/数据计算节点+安全云桌面+文件安全流转(zhuan)+零信任接入,能很好满足该大数据实(shi)验室(shi)的数据安全需求,包括多方数据汇(hui)聚安全计算与协同工作、数据安全隔离(li)、文件安全交换、零信任接入和数据使(shi)用完毕即销毁,模型和数据不泄露等(deng)。
平台包括三个核心组成(cheng)部分:安全工作,远程(cheng)访问,数据交换。
1、重要数据强隔离(li)、不落地,拿不走:部署志翔至(zhi)安盾?ZS-ISP?智能安全平台。至(zhi)安盾结合虚拟桌面VDI、Docker容器、安全桌面管控、数据安全管控等(deng)核心技术,和全方位的安全管控机(ji)制,将实(shi)验室(shi)内部网络划(hua)分为办公区(非信任区)和数据保护区(信任区),将关键数据与用户隔离(li)。所有用户统一经至(zhi)安盾提供(gong)的安全虚拟桌面访问数据,访问操作以视频流形式传输到(dao)办公区,原始数据不流出保护区。
以至(zhi)安盾瘦(shou)客户机(ji)作为接入终端(duan),供(gong)数据提供(gong)方接入进行私有数据资源自主管理、授权使(shi)用,同时避免数据本地留痕;对于数据使(shi)用方提供(gong)完整程(cheng)序应用掌控能力(li),可自行设置私有计算环(huan)境的启动管控等(deng)。根据不同需求的数据协同工作,至(zhi)安盾可同时满足多个项目组同时接入工作,各工作组间相互隔离(li)。
2、零信任远程(cheng)接入:志翔至(zhi)安盾自带(dai)零信任访问控制子系统,通过App定义边界(SDP)的方式,以身份为核心,以用户权限为边界,对所有的连接均进行控制面的接入认(ren)证、授权管控,及(ji)数据面的通道加密、应用和数据隔离(li)等(deng),并提供(gong)详细的用户和系统行为审计,确保访问和使(shi)用的过程(cheng)中,数据不落地,权限细管控。
3、多隔离(li)区跨网数据安全传输:部署志翔至(zhi)锐通?ZS-DSE?文件安全交换系统。至(zhi)锐通集保护区隔离(li)、统一数据存储、跨区文件交换、敏感数据管控、安全审计等(deng)功能为一体,支撑超大文件和多文件并发,提供(gong)多种协同工作工具。为实(shi)验室(shi)的多个隔离(li)网络区域间提供(gong)高效、安全、合规的文件传输。
平台部署拓扑图
五、项目价(jia)值
志翔AI大模型安全训(xun)练平台结合客户实(shi)际情况和应用需求,基于客户现(xian)有IT架构,为客户构建了满足数据安全合规,兼(jian)顾高性能、高效率、灵活部署可扩充可维护等(deng)特性,可确保数据全生命周期安全的数据协同计算环(huan)境。
一站(zhan)式、全方位保护,构建安全闭环(huan):围绕所有可能接触数据的方式进行管控,包括终端(duan)物理环(huan)境、安全桌面环(huan)境和文件流转(zhuan)过程(cheng)等(deng),保证数据全生命周期安全。
模块化设计,兼(jian)顾安全和效率:模块化架构设计,合理规划(hua)安全能力(li),最大化兼(jian)顾数据安全和高效生产;
充分利旧,弹性扩展、考虑未来扩展性:方案部署于客户现(xian)有政务云平台,采(cai)用开放式架构设计和模块化部署方式,可基于现(xian)有IT环(huan)境可快(kuai)速引入新(xin)技术,满足未来技术升级和业务增长需求,避免投(tou)资浪费。
符合合规和信创要求:该平台使(shi)用所有产品均符合自主可控的基本原则,支撑政务云和信创体系。在架构设计上参考合规性要求部署合规性设备,充分考虑安全、效率和合规性要求。