关昕健

（中移动信息技术有限公司，广东 广州 510620）

0 引言

近年来，数字经济的浪潮席卷全球，国家高度重视数据安全，相继颁布了《数据安全法》《个人隐私保护法》，从数据全生命周期对数据安全保护进行了阐释。2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《意见》），《意见》指出，数据正在成为企业重要的生产资料，并且会在流动、交换的过程中创造新的价值。IBM Security发布的《2023年数据泄露成本报告》显示[1]，2023年全球数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平，单个数据泄露事件造成了平均高达445万美元的损失，全球数据泄露成本在过去两年间上涨近15%。数据泄露风险已经成为企业最担心的问题。

运营商的业务系统及网络系统经过多年建设，已形成数据结构复杂的大型数据库，如何应对新的网络安全形势下的数据保障要求，确保核心数据的保密性、完整性和可用性，在保障用户利益、体验和隐私的基础上充分发挥数据价值，成为业界密切关注的议题。本文调研了运营商数据资产以及数据安全防护现状，阐述了企业数据防护体系研究与实践成果。

1 研究背景

1.1 运营商数据资产现状

《基础电信企业数据分类分级方法》[2]中，依据数据对象发生安全事件时对国家安全、社会公共利益、企业利益及用户利益的影响程度，将数据安全级别的划分从高到低分为4级、3级、2级、1级。运营商涉敏数据可大致分为3类：第一类是用户信息数据，包括用户身份信息、终端信息等；第二类是用户消费类数据，包括用户通信消费情况、账单等；第三类是用户行为数据，包括用户通话行为记录、上网行为记录等。由于在数据对外应用和开放过程中存在大量数据的产生、存储和分析，使得运营商面临数据保密、用户隐私、商业合作等一系列问题[3]。

由于业务系统随业务发展不断建设扩容，导致数据来源非常庞杂，数据体量大、维度多[4]，不同系统数据之间存在一定关联，数据流转场景多变。整体来说，数据资产呈现部署分散、敏感数据关联度高、数据交换共享场景多的特点。

1.2 数据安全防护的挑战

随着运营商掌握的数据价值越来越高，数据逐渐成为黑产的重点交易对象，同时核心数据泄露带来的社会形象、经济等方面的损失也越来越大，并且随着电信运营商云网融合等战略背景下IT系统陆续上云，数据进一步集中、流通使得数据安全风险迅速增大。此前，企业网络安全的重点放在通用安全层面，对于数据安全防护层面的研究起步较晚。数据在采集、传输、存储、使用等环节都面临诸多安全挑战，包括：海量数据收集过程中，数据真实性难以得到保证；数据传输过程中，数据被窃取、篡改；数据处理过程中，内部人员违规、越权、恶意操作导致数据泄露；数据开放和共享过程中，数据流转到第三方、数据流出管理边界，难以管控和防范敏感数据被外泄或数据被二次分发[5]；新旧系统替换过程中，由于模拟割接环境及测试环境数据的管控缺失，存在数据批量泄露的风险。

在数据资产众多且分散的情况下，依靠人工参与并结合自动化技术来开展数据资产管理、识别敏感数据的方式，无法满足时间和效果方面的需求。敏感数据防护手段主要依赖于业务系统自查实现，难以保证同一级别数据在不同系统上能够实施等级一致的数据安全策略。因此，当敏感数据流转到安全防护能力较低的系统时，有可能因短板效应而导致系统防护失效；运营商业务系统由于业务压力仓促上线，导致敏感数据未实施相应的数据安全防护措施，这类问题给数据安全防护措施的开展带来很大的挑战。

2 数据安全防护体系实践

数据安全防护体系建设是一个长期持续的过程，需要在企业内落实数据安全管理和技术要求，并基于企业内部业务系统以及业务流程的自身特点、具体业务场景不断调整和优化，根据安全趋势选择好用易用的技术工具，形成数据安全运营长效机制。本文基于国家、行业以及公司管理要求，结合运营商企业现状及数据安全目标，介绍了数据安全防护体系实践经验。

数据安全防护体系中数据安全合规制度作为上层建筑，如图1所示，指导数据安全技术建设及数据安全运营开展。数据安全合规制度分为宏观战略、中观管理和微观实施3个层面。其中，宏观战略是由国家数据安全相关的四法四例四规组成；中观管理是企业基于行业及企业内部场景制定的数据安全管理制度及办法，让实际落地具备可行性；微观实施是制定相应的数据安全细则及操作规范。数据安全技术管控和数据安全运营支撑数据安全合规制度落地。在实践过程中，数据安全技术管控并不是单独建设数据安全技术平台，而是基于企业已有的安全技术能力之上完善数据安全防护能力，构建更全面的数据安全防护技术底座；数据安全运营是人与技术的有机结合，高效运营离不开人员对数据安全判断力的提升，通过全面检查及响应演练机制进一步提升数据安全实战能力，做到业务与安全的有效整合。

图1 数据安全防护体系

2.1 数据安全组织架构

运营商的数据安全防护体系落地需要在组织架构层面明确数据安全防护是业务和安全团队共同的目标[6]，在体系建设过程中平衡好数据安全与业务发展之间的关系。通过明确数据安全责任驱动企业全员参与数据安全保护工作[7]，建立企业数据安全合规文化，实现数据安全责任全员工覆盖、数据全生命周期安全管理覆盖，在履行法律义务的同时，为企业数字化发展营造良好的生产经营环境。数据安全组织架构及角色职责如图2所示。

图2 数据安全组织架构及角色职责

数据安全领导层由公司领导层负责，要具备跨部门横向协调的能力，负责企业数据安全制度决策，并且授权安全管理部门推动数据安全措施落地。

数据安全管理层由安全管理部门负责，由数据安全领导层授权其制定数据安全管理办法、数据分类分级管理办法等，指导和监督业务部门开展数据安全工作，包括但不限于明确数据所有者，制定数据风险所有者分担策略，保证数据安全相关人员稳定性，通过安全三同步将数据安全治理嵌入系统建设全生命周期，实现安全与业务的紧耦合。数据安全管理要求应嵌入系统规划、需求分析、设计方案、开发测试、上线运营直至系统下线的各个环节中，如图3所示。

图3 数据安全嵌入系统全生命周期同步开展

数据安全执行层是由各个业务部门负责，在新建、扩容、运营系统过程中，按数据安全制度要求实施数据安全策略，包括但不限于在系统建设过程中落实安全三同步、定期开展数据安全应急预案的更新与演练、根据安全监测告警启动安全应急处置、实现安全灾难恢复等相关工作。业务部门系统负责人在开展业务时要围绕数据市场价值、数据泄露危害程度及脆弱程度，联合数据安全管理部门进行针对性的数据安全风险分析，将数据安全管控措施落实到业务处理流程中。

数据安全参与层由内部员工及供应商合作伙伴负责，强调数据安全人人有责，包括但不限于参加与数据安全相关的培训，在日常工作中遵守数据安全合规要求。数据安全组织架构是从上到下，贯穿企业所有业务流程，涉及企业内外部成员。

2.2 基于零信任的数据安全防护方案

2019年4月，美国技术委员会发布的《零信任网络安全当前趋势》白皮书指出[8]，零信任是一种关注数据保护的架构方法，提供了一种基于身份的更细粒度的访问控制方法。网络中的一切实体，不区分外网与内网，均默认为不可信的，都需要经过认证和授权。对实体的认证与授权以单次连接为单位进行，访问控制策略随状态变化而动态调整。基于“以身份为中心、以权限为边界、持续信任评估、动态访问控制”的零信任理念，对数据访问主体进行身份化、规范化管理，采用基于密码技术的数字证书作为可信标识[9]，联动统一的授权管理服务和安全审计服务，对业务系统的数据查询控制、数据下载控制、数据共享调用、数据销毁服务等不同场景提供动态、持续的强身份认证与权限控制，通过行为分析及责任认定实现运营对象的可信、可控、可管、可追溯。

在零信任理念下建设数据安全体系，需要自下而上地建设一套安全访问控制机制，并经过层层认证、处处授权、时时评估[10]，以确保数据在采集、存储、使用、传输和销毁每一个环节及每一个参与数据处理的单元都是经过验证的、可信的。分散在企业内部的不同系统可能存在数据安全策略不统一的情况，木桶短板的隐患容易引发数据安全问题，建立统一协调的安全策略可避免各业务分支因安全人员能力或理解差异导致的安全策略参差不齐的问题。

在实际工作开展过程中，业务系统的访问人员角色多变，既包括内部员工，也包括供应商运维人员，终端环境、访问场景差异较大。在统一身份认证的基础上，实时监控数据流转及访问行为，根据分析模型开展信任评估，调用数据防护平台能力实施动态访问控制，能够有效防御数据泄露风险和保护数据安全，基于零信任的数据安全防护方案如图4所示。与通过身份认证即可访问数据静态权限的管控方式不同，基于零信任的数据防护架构更着重于动态访问控制，结合访问环境、访问行为等行为监控方式检测操作行为及数据流转，基于身份模型及行为模型开展信任评估，授予相应的访问权限；根据所访问数据的敏感级别，调用数据防护中台，按照策略完成数据加密、数据水印等操作再回传给访问源，实现数据合规访问，避免数据泄露风险。

图4 基于零信任的数据安全防护方案

2.3 数据安全防护中台建设实践

在某运营商企业数据安全防护中台建设实践的过程中，数据安全防护中台并不是一个独立于其他安全系统的工具，而是通过整合现有安全防护能力，以零信任为指导，构建的一个以数据为核心的安全管控手段。数据安全防护系统的外围系统包括态势感知、终端防护、4A系统、业务系统。数据安全防护平台能够实现与业务系统的数据对接识别、数据流转监控及数据安全策略的管理与实施，每个环节、每个流程都可视可见，从而提升数据安全脆弱面的识别力，及时完成数据安全巩固措施，提升数据安全整体安全性。

数据安全防护中台架构如图5所示，一共包括4层：第一层是数据总线层，通过数据库网关实现对业务系统数据库的统一接入，开展协议解析及数据清洗，收集数据库基本信息；通过日志网关收集4A系统及终端防护系统日志数据，收集用户及访问日志信息。第二层是数据汇聚层，主要功能是实现数据资产管理及数据分类分级，通过人工加智能识别提高敏感数据识别效率。第三层是场景分析层，该层属于核心部分，基于模式识别、场景配置、AI智能分析、策略管理、规则引擎开展信任评估及动态访问控制。第四层是能力应用层，数据安全防护能力均在该层完成注册管理，根据场景分析结果，针对数据实施动态数据安全防护措施，实现从用户、应用到业务中台敏感数据间的合规合法使用，避免发生数据泄露等安全问题。

图5 数据安全防护中台架构

多年来，由于电信运营商业务系统复杂多样，由业务系统各自实现数据防护的成本过高，因此统一建设数据防护能力应用层，为业务系统提供密码服务、数据脱敏服务、数字水印等防护能力。密码服务包括密钥管理及商用密码硬件平台，便于各个业务系统根据业务特性需要，接入平台选择合适的加解密算法，避免业务系统各自为政、重复开发。数据脱敏技术分为静态脱敏和动态脱敏两种。静态脱敏是将生产数据脱敏到测试环境，避免敏感数据泄露，同时引入数据动态脱敏技术可以有效解决数据在展示层外泄的隐患，在实际使用时根据业务人员、运维人员及外包开发人员的不同权限采用差异化脱敏方式对相同的敏感数据进行读取。数字水印技术用于敏感文件的查看及分发过程，能够实现数据泄露事件溯源。

在企业实践中应充分整合现有安全系统能力，从各个维度拉齐数据安全场景策略，形成整体的数据安全防护方案。通过数据防护中台能力集中建设，可以有效避免重复建设，节约安全防护成本，实现安全防护能力扩充及面向业务系统快速接入，缩短新系统同步安全建设周期，提升数据安全防护成效。

2.4 业务系统数据安全运营评估

随着数字化时代的来临，数据每天都在企业内部生成、流转、销毁，仅仅通过已建立的管理及技术措施难以保障业务系统的数据安全。数据安全运营的本质是通过压实组织成员安全责任、利用安全技术工具发现安全脆弱面，通过分析风险问题、开展响应处置、解决问题并持续迭代优化，最终逐步实现保障数据安全可用、避免数据泄露的安全目标。数据安全管理层通过借助系统安全审计能力及人工检查评估可以开展隐患排查、风险评估，推动数据安全层持续规范业务流程、完善数据安全保护，形成闭环管理并不断提升体系化水平。

为形成数据安全治理的良性循环，本文提出一种业务系统数据安全运营评估方法，关注业务系统数据全生命周期的安全策略及措施开展情况，量化评估业务系统数据防护能力水平，促进企业以数据安全为中心的数据安全防护体系落地，有助于为数据安全防护运营提供最佳实践。

业务系统数据安全运营评价共有5个维度，13个因子。系统数据安全评价量化因子如表1所示，5个维度分别是系统数据资产梳理能力、数据环境安全能力、数据处理合规能力、数据安全管控能力、数据安全事件处置能力。根据不同业务系统数据风险情况，可以对5个维度所占的权重进行调整，呈现出对不同业务系统数据安全的重点诉求。

表1 系统数据安全评价量化因子

定期评估业务系统得分形式有助于企业领导、安全管理部门清晰掌握目前企业具备的数据安全治理能力及需要完善的方向，促进业务系统定位查找数据安全防护不足之处，不断推进业务系统全面落实数据安全管控措施。

3 结语

本文以运营商数据安全防护体系为出发点，阐述了制度—技术—运营三位一体的数据防护体系建设，明确角色职责的组织架构，从根本上提高数据安全的组织协同性。基于零信任的数据管控方案有助于提升特殊敏感数据的风险防范能力，开展业务系统数据安全运营评价，推动企业闭环管理，持续提升数据防护能力。在方案实践过程中，整合企业内部现有安全能力，建设数据安全防护中台，将所有数据安全防护能力输出形成统一服务标准供业务使用，可以降低业务采用数据安全防护技术门槛、简易化集成工作、快速实现业务系统接入数据安全防护能力，达到降本增效的目标。数据安全运营是将安全管理与技术工具有机结合，帮助企业掌握业务系统数据安全的全景图谱，有针对性强化数据安全管控，确保数据合法有序地流动、共享、交易，积极推动自身数字化转型升级和业务增长。同时，实践经验为企业开展数据安全防护体系建设指明了一条落地路径，制定多部门共同参与的机制，采用管理和技术相结合的方式，建立持续自适应的数据安全风险和信任评估机制闭环推动体系优化落地，真正发挥数据作为第五大生产要素的功能，促进数字经济的发展。