衛(wèi)麗

摘要：伴隨互聯(lián)網(wǎng)普及和大數(shù)據(jù)技術(shù)的成熟，電信運(yùn)營(yíng)商憑借基礎(chǔ)網(wǎng)絡(luò)優(yōu)勢(shì)，衍生數(shù)據(jù)價(jià)值巨大，逐步成為行業(yè)焦點(diǎn)，急需實(shí)現(xiàn)從“管設(shè)備”到“管數(shù)據(jù)”的能力跨越。電信運(yùn)營(yíng)商在遵循國(guó)家法律法規(guī)、行業(yè)監(jiān)管要求基礎(chǔ)上，圍繞“數(shù)據(jù)”核心，聚焦敏感數(shù)據(jù)識(shí)別、操作、共享，完善流程強(qiáng)化措施，逐步形成行之有效的數(shù)據(jù)安全管理體系，確保數(shù)據(jù)安全風(fēng)險(xiǎn)可管、可控、可感知。

關(guān)鍵詞：電信運(yùn)營(yíng)商;數(shù)據(jù)安全;敏感數(shù)據(jù);全生命周期

中圖分類號(hào)：F626.5 文獻(xiàn)標(biāo)識(shí)碼：A

1 背景

隨著互聯(lián)網(wǎng)發(fā)展和大數(shù)據(jù)技術(shù)的成熟，電信運(yùn)營(yíng)商憑借基礎(chǔ)網(wǎng)絡(luò)優(yōu)勢(shì)，衍生數(shù)據(jù)價(jià)值巨大，客戶信息、網(wǎng)絡(luò)配置等關(guān)鍵數(shù)據(jù)信息保護(hù)遭遇極大挑戰(zhàn)。傳統(tǒng)網(wǎng)絡(luò)安全以管設(shè)備為主，主要措施是圍繞有形資產(chǎn)提升防護(hù)能力，當(dāng)前數(shù)據(jù)安全的核心是無(wú)形數(shù)據(jù)，傳統(tǒng)措施如隔靴搔癢，管不到痛點(diǎn)上，急需實(shí)現(xiàn)從“管設(shè)備”到“管數(shù)據(jù)”的能力跨越。

針對(duì)數(shù)據(jù)安全管理困境，電信運(yùn)營(yíng)商在遵循國(guó)家法律法規(guī)基礎(chǔ)上，圍繞“數(shù)據(jù)”核心，聚焦敏感數(shù)據(jù)識(shí)別、操作、共享三個(gè)要素，完善流程強(qiáng)化措施，逐步形成行之有效的數(shù)據(jù)安全管理體系。

2 管理體系

電信運(yùn)營(yíng)商從敏感數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享、銷毀全生命周期出發(fā)，聚焦敏感數(shù)據(jù)的識(shí)別、操作、共享三個(gè)關(guān)鍵要素，細(xì)化涉敏人員、涉敏操作、涉敏共享、涉敏數(shù)據(jù)四個(gè)維度，夯實(shí)安全事件監(jiān)控、安全風(fēng)險(xiǎn)發(fā)現(xiàn)與處置、安全合規(guī)與審計(jì)、安全設(shè)備運(yùn)維四項(xiàng)基礎(chǔ)工作，確保數(shù)據(jù)安全風(fēng)險(xiǎn)可管、可控、可感知[1]。

3 管理措施

圍繞“數(shù)據(jù)”核心，以關(guān)鍵數(shù)據(jù)全生命周期內(nèi)流轉(zhuǎn)的系統(tǒng)接口、涉及的人員操作為管理重點(diǎn)，從管理能力、關(guān)鍵要素、手段措施、基礎(chǔ)工作四個(gè)層面，確保數(shù)據(jù)安全工作做到有制度、有流程、有控點(diǎn)、有提升。

3.1 聚焦三個(gè)管理核心

制定以“數(shù)據(jù)”為核心的安全管理規(guī)范、職責(zé)、流程，明確數(shù)據(jù)安全管什么、誰(shuí)來(lái)管、怎么管。

3.1.1 規(guī)范定義管什么

敏感信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定用戶身份或者反映特定用戶活動(dòng)情況的各種信息，包括用戶身份和鑒權(quán)信息、用戶數(shù)據(jù)及服務(wù)內(nèi)容信息、用戶服務(wù)相關(guān)信息等三大類。結(jié)合運(yùn)營(yíng)商網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀，劃分四個(gè)敏感級(jí)別，實(shí)施分級(jí)防護(hù)[2]。

3.1.2 職責(zé)劃分誰(shuí)來(lái)管

明確數(shù)據(jù)安全管理職責(zé)，實(shí)現(xiàn)管理與稽核分離;建立全生命周期責(zé)任矩陣，明確數(shù)據(jù)操作各環(huán)節(jié)的操作內(nèi)容與責(zé)任，實(shí)現(xiàn)責(zé)任到人。

3.1.3 流程明確怎么管

建立跨專業(yè)協(xié)同工作機(jī)制，通過工單電子流固化協(xié)作流程;建立網(wǎng)絡(luò)數(shù)據(jù)共享流程，實(shí)現(xiàn)敏感數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)的管控;建立配套的檢查、追責(zé)和獎(jiǎng)懲機(jī)制，提升管理效能。

3.2 圍繞三個(gè)關(guān)鍵要素

提煉數(shù)據(jù)安全管理三要素：敏感數(shù)據(jù)的識(shí)別、操作、共享，確保管得對(duì)、管得準(zhǔn)、管得全。

3.2.1 敏感數(shù)據(jù)識(shí)別

根據(jù)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，識(shí)別各類敏感數(shù)據(jù)，包括用戶身份和鑒權(quán)信息、用戶數(shù)據(jù)及服務(wù)內(nèi)容信息等，確定管理對(duì)象。

3.2.2 敏感數(shù)據(jù)操作

根據(jù)“權(quán)限明確、職責(zé)分離、最小特權(quán)”的原則，以涉敏數(shù)據(jù)為防護(hù)核心，關(guān)聯(lián)涉敏數(shù)據(jù)相關(guān)操作，形成涉敏操作清單;再以涉敏操作清單為基礎(chǔ)，梳理操作對(duì)應(yīng)的權(quán)限角色模型，進(jìn)一步利用權(quán)限角色模型映射涉敏賬號(hào)，最終從賬號(hào)關(guān)聯(lián)到涉敏自然人。通過逐級(jí)關(guān)聯(lián)，建立涉敏數(shù)據(jù)與自然人的關(guān)聯(lián)模型，實(shí)現(xiàn)對(duì)人機(jī)操作界面的管控。

3.2.3 敏感數(shù)據(jù)共享

以涉敏數(shù)據(jù)為核心挖掘涉敏需求，梳理涉及涉敏數(shù)據(jù)的程序接口，形成涉敏數(shù)據(jù)流轉(zhuǎn)視圖，并通過視圖關(guān)聯(lián)涉敏資產(chǎn)，建立涉敏數(shù)據(jù)與資產(chǎn)的關(guān)聯(lián)模型，采用涉敏需求審批、涉敏碼流監(jiān)測(cè)、涉敏資產(chǎn)核查等手段，實(shí)現(xiàn)系統(tǒng)接口界面的管控。

3.3 掌控四個(gè)實(shí)施維度

從人員、操作、共享、數(shù)據(jù)四個(gè)維度切入，通過各類工具庫(kù)，切實(shí)提升數(shù)據(jù)安全管理效果。

3.3.1 人員管理類

以人員為管理對(duì)象，制定4類管理工具，規(guī)范以人員為核心的賬號(hào)、權(quán)限、責(zé)任等屬性。

涉敏人員庫(kù)：識(shí)別具備涉敏權(quán)限的自然人，形成涉敏人員庫(kù)，將技術(shù)層面的涉敏權(quán)限管理提升到管理層面的人員管理，通過對(duì)涉敏人員庫(kù)的動(dòng)態(tài)更新，增加涉敏權(quán)限管理的透明度，形成威懾力。

涉敏權(quán)限審批：區(qū)別普通權(quán)限與涉敏權(quán)限，提升涉敏權(quán)限審批級(jí)別，加大涉敏管理強(qiáng)度。

涉敏權(quán)限三稽核：定期開展存量涉敏權(quán)限稽核，審核權(quán)限申請(qǐng)、分配、授權(quán)范圍三方面的合規(guī)性，形成有效的涉敏過程管理。

保密協(xié)議/責(zé)任書：關(guān)聯(lián)涉敏人員庫(kù)，不簽署保密協(xié)議不得授予涉敏權(quán)限，將數(shù)據(jù)安全責(zé)任具體化，杜絕權(quán)限與責(zé)任兩張皮的現(xiàn)象。

3.3.2 操作管理類

以操作為管理對(duì)象，完善4類管理工具，強(qiáng)化數(shù)據(jù)操作的過程管理，提升事中管理效能。

涉敏操作清單：以涉敏數(shù)據(jù)為防護(hù)核心，關(guān)聯(lián)與涉敏數(shù)據(jù)相關(guān)的操作，梳理系統(tǒng)的涉敏操作清單，形成全網(wǎng)涉敏操作管理視圖。

金庫(kù)管理：利用技術(shù)手段，強(qiáng)制實(shí)施一人操作一人審核，實(shí)現(xiàn)涉敏操作的金庫(kù)模式管理;涉敏操作全量納入金庫(kù)管理，提升事中管控能力。

涉敏操作審批表：未完成金庫(kù)場(chǎng)景改造暫時(shí)不具備接入金庫(kù)的涉敏操作，使用管理手段進(jìn)行審批，留存審批表備案。

涉敏操作稽核：定期對(duì)涉敏操作審批情況進(jìn)行稽核，及時(shí)發(fā)現(xiàn)審批不合規(guī)情況進(jìn)行通報(bào)整改。

3.3.3 共享管理類

以數(shù)據(jù)共享連接為管理對(duì)象，制定3種管理工具，強(qiáng)化審批管控，構(gòu)建數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)的閉環(huán)管理。

需求審批：數(shù)據(jù)的共享是從需求開發(fā)開始的，通過強(qiáng)化涉敏開發(fā)需求管理，根據(jù)數(shù)據(jù)分級(jí)建立兩級(jí)審批流程，從源頭強(qiáng)制實(shí)現(xiàn)涉敏數(shù)據(jù)共享需求的安全審批。

需求會(huì)簽：明確跨部門涉敏數(shù)據(jù)需求審批流程，由數(shù)據(jù)需求部門提供數(shù)據(jù)安全防護(hù)方案，經(jīng)數(shù)據(jù)安全主管部門、數(shù)據(jù)提供部門領(lǐng)導(dǎo)審批，數(shù)據(jù)提供系統(tǒng)管理員、安全員審核后方可實(shí)施。

退網(wǎng)管理：強(qiáng)化退網(wǎng)管理，回收數(shù)據(jù)接口，釋放安全防護(hù)策略，形成閉環(huán)。

3.3.4 數(shù)據(jù)管理類

以數(shù)據(jù)自身為管理對(duì)象，強(qiáng)化4類技術(shù)工具，提升數(shù)據(jù)自身防護(hù)水平，增強(qiáng)數(shù)據(jù)安全可管可控能力。

數(shù)據(jù)脫敏：根據(jù)實(shí)際需求進(jìn)行數(shù)據(jù)脫敏保存與展現(xiàn)，逐步實(shí)現(xiàn)數(shù)據(jù)展現(xiàn)最小化，降低數(shù)據(jù)使用環(huán)節(jié)的泄露風(fēng)險(xiǎn)。

數(shù)據(jù)加密：涉敏數(shù)據(jù)接口實(shí)現(xiàn)加密傳輸，提升傳輸環(huán)節(jié)安全性。

涉敏日志審計(jì)：采集涉敏操作日志，實(shí)現(xiàn)涉敏系統(tǒng)涉敏日志的集中管理與自動(dòng)審計(jì)，定期通報(bào)，強(qiáng)化事后審計(jì)與稽核能力，降低審計(jì)人力成本。

數(shù)據(jù)監(jiān)測(cè)：探索涉敏數(shù)據(jù)監(jiān)測(cè)，通過監(jiān)測(cè)涉敏數(shù)據(jù)流向，自動(dòng)發(fā)現(xiàn)涉敏資產(chǎn)與涉敏數(shù)據(jù)共享連接，對(duì)標(biāo)分析不規(guī)范的數(shù)據(jù)管理環(huán)節(jié)，逐步推進(jìn)數(shù)據(jù)安全管理可視化。

3.4 四項(xiàng)基本工作

開展安全事件集中監(jiān)控、安全風(fēng)險(xiǎn)發(fā)現(xiàn)與處置、安全合規(guī)與審計(jì)、安全設(shè)備運(yùn)維四項(xiàng)基礎(chǔ)工作，為數(shù)據(jù)安全管理奠定基礎(chǔ)。

3.4.1 安全事件集中監(jiān)控

將安全事件納入集中監(jiān)控，實(shí)現(xiàn)自動(dòng)派單閉環(huán)處置;具備重點(diǎn)安全事件的主動(dòng)監(jiān)測(cè)能力，逐步形成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的有效感知。

3.4.2 安全風(fēng)險(xiǎn)發(fā)現(xiàn)與處置

構(gòu)建基礎(chǔ)掃描、專題掃描、重保掃描多維安全掃描機(jī)制，分別針對(duì)日常風(fēng)險(xiǎn)、緊急漏洞、重保支撐三個(gè)場(chǎng)景開展風(fēng)險(xiǎn)發(fā)現(xiàn);梳理完善安全應(yīng)急預(yù)案，通過橫向安全事件應(yīng)急預(yù)案與縱向?qū)I(yè)系統(tǒng)安全應(yīng)急預(yù)案的雙向協(xié)同，構(gòu)建立體化安全應(yīng)急體系。

3.4.3 安全合規(guī)與審計(jì)

從賬號(hào)授權(quán)、訪問控制、系統(tǒng)變更、高危操作、合作伙伴、全生命周期管理等環(huán)節(jié)完善審計(jì)規(guī)則，推進(jìn)建立常態(tài)化審計(jì)機(jī)制。定期通報(bào)合規(guī)審計(jì)結(jié)果，強(qiáng)化重點(diǎn)高危風(fēng)險(xiǎn)事件的考核。

3.4.4 安全設(shè)備運(yùn)維

針對(duì)訪問控制類、防護(hù)類、監(jiān)控處置類等關(guān)鍵設(shè)備，完成在用安全設(shè)備策略梳理和有效性驗(yàn)證;完善安全設(shè)備維護(hù)作業(yè)計(jì)劃，實(shí)現(xiàn)安全設(shè)備“數(shù)量清”“型號(hào)清”“位置清”“策略清”“效果清”，提升網(wǎng)絡(luò)安全防護(hù)能力。

4 技術(shù)措施

4.1 嵌入電子流程助力安全管理轉(zhuǎn)型提升

利用電信運(yùn)營(yíng)商運(yùn)維流程管理平臺(tái)，建立網(wǎng)絡(luò)數(shù)據(jù)安全“嵌入式”管理流程，推動(dòng)電信運(yùn)營(yíng)商安全管理從“管設(shè)備”向“管數(shù)據(jù)”轉(zhuǎn)型，取得實(shí)效。

八項(xiàng)嵌入式措施包括：第一，關(guān)聯(lián)賬號(hào)保密協(xié)議，確保無(wú)協(xié)議不操作，嵌入賬號(hào)管理流程;第二，完善金庫(kù)模式管理，實(shí)現(xiàn)涉敏操作管控，嵌入金庫(kù)管理流程;第三，新增高危指令通道，規(guī)范雙人操作規(guī)程，嵌入數(shù)據(jù)制作流程;第四，基于網(wǎng)管需求平臺(tái)，強(qiáng)制數(shù)據(jù)共享審批，嵌入需求審批流程;第五，完善數(shù)據(jù)共享環(huán)節(jié)，嵌入公文會(huì)簽流程;第六，規(guī)范設(shè)備退網(wǎng)標(biāo)準(zhǔn)，避免沉默設(shè)備隱患，嵌入設(shè)備退網(wǎng)流程;第七，基于原始碼流分析，主動(dòng)發(fā)現(xiàn)涉敏資產(chǎn)，嵌入資產(chǎn)管理流程;第八，通過數(shù)據(jù)標(biāo)簽技術(shù)，防范涉敏數(shù)據(jù)泄露，嵌入數(shù)據(jù)共享流程。

4.2全場(chǎng)景金庫(kù)支撐敏感操作管控智能化

面向賬號(hào)登錄、操作指令、圖形界面實(shí)現(xiàn)全場(chǎng)景金庫(kù)管控，強(qiáng)制實(shí)現(xiàn)雙人操作審核，支撐敏感操作管理智能化。全場(chǎng)景金庫(kù)管控包括賬號(hào)金庫(kù)、指令金庫(kù)和應(yīng)用金庫(kù)。

4.2.1 賬號(hào)金庫(kù)

敏感賬號(hào)登錄時(shí)觸發(fā)金庫(kù)管理，主要用于公網(wǎng)接口、涉敏系統(tǒng)等登錄場(chǎng)景。

4.2.2 指令金庫(kù)

敏感指令操作時(shí)觸發(fā)金庫(kù)管理，主要用于操作系統(tǒng)、數(shù)據(jù)庫(kù)等后臺(tái)敏感命令操作場(chǎng)景。

4.2.3 應(yīng)用金庫(kù)

圖形界面敏感操作時(shí)觸發(fā)金庫(kù)管理，主要用于應(yīng)用軟件的敏感操作場(chǎng)景。

4.3 涉敏視圖實(shí)現(xiàn)數(shù)據(jù)安全管理可視化

基于技術(shù)手段識(shí)別敏感數(shù)據(jù)類型與數(shù)據(jù)流向，構(gòu)建涉敏管理視圖，實(shí)現(xiàn)管理可視化，提升數(shù)據(jù)安全管理效果。

4.3.1 數(shù)據(jù)識(shí)別方法

以網(wǎng)絡(luò)DPI數(shù)據(jù)有效識(shí)別和分類分級(jí)為基礎(chǔ)，構(gòu)建一套敏感數(shù)據(jù)識(shí)別方法，有效識(shí)別XDR等文件中的關(guān)鍵級(jí)敏感數(shù)據(jù)。

4.3.2 數(shù)據(jù)流轉(zhuǎn)視圖

基于敏感數(shù)據(jù)識(shí)別結(jié)果，監(jiān)測(cè)數(shù)據(jù)流向，關(guān)聯(lián)流向上的資產(chǎn)與日志，生成數(shù)據(jù)流轉(zhuǎn)視圖，支撐數(shù)據(jù)安全審計(jì)。

4.3.3 數(shù)據(jù)防護(hù)方案

按流轉(zhuǎn)策略審核數(shù)據(jù)流向，對(duì)非法外發(fā)請(qǐng)求和外發(fā)數(shù)據(jù)文件連接進(jìn)行阻斷;對(duì)合法外發(fā)的數(shù)據(jù)進(jìn)行敏感數(shù)據(jù)識(shí)別，并按策略要求進(jìn)行脫敏處理。

5 結(jié)語(yǔ)

數(shù)據(jù)安全管理是較新的工作領(lǐng)域，運(yùn)營(yíng)商海量的數(shù)據(jù)量、多樣的傳輸渠道、復(fù)雜的數(shù)據(jù)處理技術(shù)更是對(duì)業(yè)界的巨大挑戰(zhàn)，電信運(yùn)營(yíng)商應(yīng)充分認(rèn)清我國(guó)信息化建設(shè)和網(wǎng)絡(luò)安全面臨的形勢(shì)和任務(wù)，主動(dòng)結(jié)合自身業(yè)務(wù)特點(diǎn)，建體系強(qiáng)措施，探索出一套行之有效的解決方案，為完成“筑牢國(guó)家網(wǎng)絡(luò)安全屏障，推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)”的歷史使命添磚加瓦。

參考文獻(xiàn)

[1] 顧志峰.基于大數(shù)據(jù)的運(yùn)營(yíng)商數(shù)據(jù)管理平臺(tái)研究[J].電信快報(bào) ，2020（5）：16-19.

[2] 林靜.電信運(yùn)營(yíng)商大數(shù)據(jù)在征信類產(chǎn)品中的應(yīng)用芻議[J]. 中國(guó)新通信， 2019（2）：89.