龔加劍，張志亮，宋美芳，馬 剛，白麗麗

（1.河南省信息咨詢設計研究有限公司，河南 鄭州 450008；2.中國聯(lián)通河南省分公司，河南 鄭州 450008）

0 引言

2020年，國家首次公布關(guān)于要素市場化配置的文件《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，將數(shù)據(jù)上升到與土地、勞動力、資本、技術(shù)同等重要的位置。數(shù)據(jù)作為數(shù)字經(jīng)濟時代的核心和最具價值的生產(chǎn)要素已經(jīng)被普遍認可，數(shù)據(jù)安全也理所當然地成為數(shù)字經(jīng)濟時代最緊迫和最基礎的安全問題。運營商作為一個掌管著龐大數(shù)據(jù)資源的企業(yè)，迫切需要采用新型技術(shù)手段，強化數(shù)據(jù)安全，解決數(shù)據(jù)安全與數(shù)據(jù)利用之間的矛盾、對立關(guān)系[1]。

1 驅(qū)動運營商進行數(shù)據(jù)安全治理的因素

1.1 法律強制規(guī)定

《數(shù)據(jù)安全法》和《個人信息保護法》的頒布實施，將數(shù)據(jù)安全和個人信息保護提升到了法制層面，對推動個人信息安全保護提供了根本遵循；相關(guān)標準和文件的相繼出臺，為電信企業(yè)加強數(shù)據(jù)在個人信息保護提供了一定指導[2]。

1.2 安全合規(guī)要求

在相關(guān)考核文件和法律法規(guī)標準要求的背景下，運營商對數(shù)據(jù)安全合規(guī)需求急劇增加，考核要求詳見表1。

表1 數(shù)據(jù)安全合規(guī)考核要求

1.3 重要數(shù)據(jù)保護

以往各行業(yè)對重要數(shù)據(jù)的保護僅僅是自己摸索著進行，缺乏對重要數(shù)據(jù)的標準定義，隨著數(shù)據(jù)分類分級相關(guān)標準的發(fā)布，運營商等對重要數(shù)據(jù)較以往有了更清晰的定義。

2 運營商的數(shù)據(jù)組成

2.1 自身的數(shù)據(jù)

自身的數(shù)據(jù)主要包含企業(yè)運營過程中產(chǎn)生的業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全數(shù)據(jù)。

（1）業(yè)務數(shù)據(jù)具備體量龐大、種類多樣、分布廣、風險同質(zhì)化等特點。

（2）經(jīng)營管理數(shù)據(jù)一般涉及商業(yè)秘密，具有高價值、數(shù)據(jù)量較少、周期性增訂等特點。如經(jīng)營戰(zhàn)略、財務數(shù)據(jù)、經(jīng)營信息等。

（3）系統(tǒng)運行和安全數(shù)據(jù)是指網(wǎng)絡、系統(tǒng)、應用及網(wǎng)絡安全數(shù)據(jù)，如網(wǎng)絡和信息系統(tǒng)的配置數(shù)據(jù)、網(wǎng)絡安全監(jiān)測數(shù)據(jù)、備份數(shù)據(jù)、日志數(shù)據(jù)、安全漏洞信息等。運營商幾乎都部署了態(tài)勢感知、資產(chǎn)管理平臺。這類數(shù)據(jù)呈大集中、廣分布、跨組織傳輸?shù)忍攸c[3]。

2.2 客戶的數(shù)據(jù)

客戶的數(shù)據(jù)主要包含與運營商主營業(yè)務密切相關(guān)的數(shù)據(jù)，從數(shù)據(jù)主體方面劃分，包括政務數(shù)據(jù)、企業(yè)數(shù)據(jù)、客戶數(shù)據(jù)三類。

3 運營商數(shù)據(jù)安全面臨的主要挑戰(zhàn)

（1）缺少數(shù)據(jù)資產(chǎn)梳理技術(shù)手段，對已有哪些數(shù)據(jù)安全技術(shù)能力、管控力度如何等數(shù)據(jù)安全現(xiàn)狀不清晰。

（2）敏感數(shù)據(jù)是否脫敏、流向哪里；哪些對象在訪問涉敏業(yè)務系統(tǒng)，是否非法；人員權(quán)限與操作哪些內(nèi)容，是否合規(guī)。

（3）缺少數(shù)據(jù)脫敏機制，存在數(shù)據(jù)泄露風險；缺少數(shù)據(jù)流轉(zhuǎn)溯源機制，存在不可追溯問題；缺少數(shù)據(jù)異常行為及敏感數(shù)據(jù)監(jiān)測機制，存在數(shù)據(jù)泄露風險。

（4）內(nèi)部及第三方運維人員造成的數(shù)據(jù)泄露風險；內(nèi)部工作人員的權(quán)限管控制度如不完善，非權(quán)限人員可隨意接觸核心數(shù)據(jù)，數(shù)據(jù)泄露風險很大，加之內(nèi)部人員監(jiān)控手段不足，也會引發(fā)取證難等問題。

（5）針對操作、應用操作、接口行為目前只是記錄，甚至還沒有記錄，缺乏有效的數(shù)據(jù)安全風險分析識別能力，數(shù)據(jù)風險不能提前防范。

4 運營商的數(shù)據(jù)安全治理方案

4.1 數(shù)據(jù)安全治理思路

首先，在業(yè)務需求與安全（風險/威脅/合規(guī)性）之間進行平衡；其次，是對數(shù)據(jù)優(yōu)先級進行排序，進行數(shù)據(jù)分級分類，面向不同類型、級別的數(shù)據(jù)，采取“分而治之”的方式，以此對不同級別數(shù)據(jù)制定策略，實行合理的安全技術(shù)手段，降低安全風險；再次，選擇安全工具，部署安全控制點，主要工具包含加密、以數(shù)據(jù)為中心的審計和保護、數(shù)據(jù)防泄漏、云訪問安全代理、身份識別與訪問管理、用戶和實體行為分析等；最后，進行策略配置與工具控制同步協(xié)同[4]。

4.2 數(shù)據(jù)安全治理框架

數(shù)據(jù)安全治理框架設計應基于“人員、策略、技術(shù)”三個核心能力領域，結(jié)合運營商實際的數(shù)據(jù)安全防護情況，通過專業(yè)的數(shù)據(jù)安全管理人員、具體的數(shù)據(jù)安全治理策略和流程，以安全設備及服務為技術(shù)支撐，圍繞數(shù)據(jù)使用的業(yè)務場景分析安全需求，在數(shù)據(jù)安全管理體系、數(shù)據(jù)業(yè)務流轉(zhuǎn)以及數(shù)據(jù)安全技術(shù)等方面綜合指導數(shù)據(jù)安全頂層設計，形成數(shù)據(jù)的體系化保障能力。

4.3 數(shù)據(jù)安全治理體系

數(shù)據(jù)安全治理方案主要從數(shù)據(jù)安全管理、技術(shù)和運營三大方面設計，安全管理體系是目標和指南；安全技術(shù)體系是落地支撐管理體系要求；安全運營體系是對管理體系的完善和技術(shù)體系的執(zhí)行。數(shù)據(jù)安全治理體系以數(shù)據(jù)安全運營為支撐，推動管理體系、技術(shù)體系基于符合業(yè)務數(shù)據(jù)安全的場景進行動態(tài)的自適應調(diào)整。數(shù)據(jù)安全治理體系如圖1所示。

圖1 數(shù)據(jù)安全治理體系

4.3.1 數(shù)據(jù)安全管理體系

數(shù)據(jù)安全治理是一個復雜且需要多部門聯(lián)動的工作，在進行組織架構(gòu)設計時，需要考慮管理團隊及執(zhí)行團隊，同時也要考慮其他可聯(lián)動的小組，其中IT業(yè)務、信息安全等部門均需要參與到安全項目建設當中。數(shù)據(jù)安全組織設計的核心是明確數(shù)據(jù)安全政策的執(zhí)行、落實和監(jiān)督等工作，確保數(shù)據(jù)安全能力建設有效落地[5]。

數(shù)據(jù)安全的組織架構(gòu)應至少包含決策層、管理層、執(zhí)行層、供應商/服務商、監(jiān)督層。在組織架構(gòu)頂層設計層面，業(yè)務部、安全管理部、運行維護部等均需要參與組織策略及重大事件的決策；在實際數(shù)據(jù)安全業(yè)務開展層面，從平臺底層設計到流程制定實施、安全工具部署、人員安全管控、數(shù)據(jù)安全合規(guī)、對外披露等方面均需要多部門深度介入和協(xié)作。

4.3.2 數(shù)據(jù)安全制度流程建設方案

數(shù)據(jù)安全管理制度的設計應覆蓋數(shù)據(jù)的全生命周期，制度流程應從組織層面出發(fā)，進行整體設計并形成體系框架。制度體系需要分層，層與層之間、同一層不同模塊之間要有關(guān)聯(lián)邏輯，在內(nèi)容上不能重復或矛盾。數(shù)據(jù)安全制度流如圖2所示。

圖2 數(shù)據(jù)安全制度流程

一般分為四級：一級文件為總的管理要求；二級文件包含安全管理制度和辦法；三級文件包含具體規(guī)程、指導書及配套模板文件等；四級文件包含各種報表和日志文件等。

4.3.3 數(shù)據(jù)安全技術(shù)體系

數(shù)據(jù)安全技術(shù)體系通常由治理管理平臺和安全防護能力組件來實現(xiàn)。

數(shù)據(jù)安全治理管理平臺的功能是實現(xiàn)集中化的數(shù)據(jù)安全管理，包含敏感數(shù)據(jù)資產(chǎn)分類、分級及分布情況，敏感數(shù)據(jù)流轉(zhuǎn)路徑和動態(tài)流向的情況，通過集中化數(shù)據(jù)安全管控策略，實現(xiàn)數(shù)據(jù)態(tài)勢呈現(xiàn)和風險識別，為數(shù)據(jù)安全管控提供能力保障，為數(shù)據(jù)安全運營提供技術(shù)支撐。

通過不同的安全防護能力組件對數(shù)據(jù)生命周期（采集、傳輸、存儲、處理、交換、銷毀六個階段）安全進行防護。同時，結(jié)合數(shù)據(jù)生命周期的通用安全，從策略與規(guī)程、數(shù)據(jù)與系統(tǒng)資產(chǎn)、組織與人員管理、服務規(guī)劃與管理、數(shù)據(jù)供應鏈管理和合規(guī)性管理六個方面來考慮，全方位筑牢防護數(shù)據(jù)的安全堡壘[6]。數(shù)據(jù)生命周期防護架構(gòu)如圖3所示。

圖3 數(shù)據(jù)生命周期防護架構(gòu)

4.3.4 數(shù)據(jù)安全運營體系

將數(shù)據(jù)安全管理體系與數(shù)據(jù)安全防護體系相結(jié)合，通過技管并重的方式實現(xiàn)運營流程的閉環(huán)過程。

綜上所述，運營商通過數(shù)據(jù)安全治理體系建立健全的組織機構(gòu)（定義好相應數(shù)據(jù)安全組織的權(quán)責關(guān)系）、健全的數(shù)據(jù)安全管理制度（定義好數(shù)據(jù)全流程管理手段）、健全的數(shù)據(jù)生命周期防護技術(shù)能力（定義數(shù)據(jù)生命周期以及全生命周期風險類型），針對不同的風險建立數(shù)據(jù)安全響應機制及處置方式。建設完成之后即可對業(yè)務系統(tǒng)數(shù)據(jù)的全生命周期進行管理，包括數(shù)據(jù)資產(chǎn)的發(fā)現(xiàn)識別、分類分級、資產(chǎn)展示、風險發(fā)現(xiàn)識別、風險告警、風險處置、風險態(tài)勢展示等。而數(shù)據(jù)安全運營體系則根據(jù)數(shù)據(jù)安全治理的結(jié)果，結(jié)合安全防護能力組件，在數(shù)據(jù)安全運營組織制定的管理制度框架內(nèi)進行閉環(huán)式建設和更替。

5 結(jié)束語

運營商數(shù)據(jù)治理應圍繞組織結(jié)構(gòu)、制度保障、分類分級等若干方面開展一系列數(shù)據(jù)安全治理工作，以清晰了解自身業(yè)務數(shù)據(jù)及數(shù)據(jù)安全情況，根據(jù)已知的數(shù)據(jù)安全現(xiàn)狀和實際業(yè)務情況制定相應的數(shù)據(jù)安全管理制度和數(shù)據(jù)安全監(jiān)管機制，形成符合國家及行業(yè)標準要求的數(shù)據(jù)安全監(jiān)管機制。構(gòu)建一體化的數(shù)據(jù)安全治理管理平臺，利用數(shù)據(jù)分類分級、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、數(shù)據(jù)風險統(tǒng)一歸集等能力組件，將管理制度和手段落實到實際工作中；并且通過數(shù)據(jù)安全運營來完成整個數(shù)據(jù)安全體系的閉環(huán)化的管理，推動數(shù)據(jù)安全防護技術(shù)和管理能力與時俱進，切實降低運營商數(shù)據(jù)在全生命周期的安全風險?！?/p>