運(yùn)營(yíng)商行業(yè)數(shù)據(jù)安全治理的研究與探討

龔加劍，張志亮，宋美芳，馬 剛，白麗麗

（1.河南省信息咨詢?cè)O(shè)計(jì)研究有限公司，河南 鄭州 450008；2.中國(guó)聯(lián)通河南省分公司，河南 鄭州 450008）

0 引言

2020年，國(guó)家首次公布關(guān)于要素市場(chǎng)化配置的文件《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，將數(shù)據(jù)上升到與土地、勞動(dòng)力、資本、技術(shù)同等重要的位置。數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代的核心和最具價(jià)值的生產(chǎn)要素已經(jīng)被普遍認(rèn)可，數(shù)據(jù)安全也理所當(dāng)然地成為數(shù)字經(jīng)濟(jì)時(shí)代最緊迫和最基礎(chǔ)的安全問(wèn)題。運(yùn)營(yíng)商作為一個(gè)掌管著龐大數(shù)據(jù)資源的企業(yè)，迫切需要采用新型技術(shù)手段，強(qiáng)化數(shù)據(jù)安全，解決數(shù)據(jù)安全與數(shù)據(jù)利用之間的矛盾、對(duì)立關(guān)系[1]。

1 驅(qū)動(dòng)運(yùn)營(yíng)商進(jìn)行數(shù)據(jù)安全治理的因素

1.1 法律強(qiáng)制規(guī)定

《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布實(shí)施，將數(shù)據(jù)安全和個(gè)人信息保護(hù)提升到了法制層面，對(duì)推動(dòng)個(gè)人信息安全保護(hù)提供了根本遵循；相關(guān)標(biāo)準(zhǔn)和文件的相繼出臺(tái)，為電信企業(yè)加強(qiáng)數(shù)據(jù)在個(gè)人信息保護(hù)提供了一定指導(dǎo)[2]。

1.2 安全合規(guī)要求

在相關(guān)考核文件和法律法規(guī)標(biāo)準(zhǔn)要求的背景下，運(yùn)營(yíng)商對(duì)數(shù)據(jù)安全合規(guī)需求急劇增加，考核要求詳見(jiàn)表1。

表1 數(shù)據(jù)安全合規(guī)考核要求

1.3 重要數(shù)據(jù)保護(hù)

以往各行業(yè)對(duì)重要數(shù)據(jù)的保護(hù)僅僅是自己摸索著進(jìn)行，缺乏對(duì)重要數(shù)據(jù)的標(biāo)準(zhǔn)定義，隨著數(shù)據(jù)分類分級(jí)相關(guān)標(biāo)準(zhǔn)的發(fā)布，運(yùn)營(yíng)商等對(duì)重要數(shù)據(jù)較以往有了更清晰的定義。

2 運(yùn)營(yíng)商的數(shù)據(jù)組成

2.1 自身的數(shù)據(jù)

自身的數(shù)據(jù)主要包含企業(yè)運(yùn)營(yíng)過(guò)程中產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全數(shù)據(jù)。

（1）業(yè)務(wù)數(shù)據(jù)具備體量龐大、種類多樣、分布廣、風(fēng)險(xiǎn)同質(zhì)化等特點(diǎn)。

（2）經(jīng)營(yíng)管理數(shù)據(jù)一般涉及商業(yè)秘密，具有高價(jià)值、數(shù)據(jù)量較少、周期性增訂等特點(diǎn)。如經(jīng)營(yíng)戰(zhàn)略、財(cái)務(wù)數(shù)據(jù)、經(jīng)營(yíng)信息等。

（3）系統(tǒng)運(yùn)行和安全數(shù)據(jù)是指網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)安全數(shù)據(jù)，如網(wǎng)絡(luò)和信息系統(tǒng)的配置數(shù)據(jù)、網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)、備份數(shù)據(jù)、日志數(shù)據(jù)、安全漏洞信息等。運(yùn)營(yíng)商幾乎都部署了態(tài)勢(shì)感知、資產(chǎn)管理平臺(tái)。這類數(shù)據(jù)呈大集中、廣分布、跨組織傳輸?shù)忍攸c(diǎn)[3]。

2.2 客戶的數(shù)據(jù)

客戶的數(shù)據(jù)主要包含與運(yùn)營(yíng)商主營(yíng)業(yè)務(wù)密切相關(guān)的數(shù)據(jù)，從數(shù)據(jù)主體方面劃分，包括政務(wù)數(shù)據(jù)、企業(yè)數(shù)據(jù)、客戶數(shù)據(jù)三類。

3 運(yùn)營(yíng)商數(shù)據(jù)安全面臨的主要挑戰(zhàn)

（1）缺少數(shù)據(jù)資產(chǎn)梳理技術(shù)手段，對(duì)已有哪些數(shù)據(jù)安全技術(shù)能力、管控力度如何等數(shù)據(jù)安全現(xiàn)狀不清晰。

（2）敏感數(shù)據(jù)是否脫敏、流向哪里；哪些對(duì)象在訪問(wèn)涉敏業(yè)務(wù)系統(tǒng)，是否非法；人員權(quán)限與操作哪些內(nèi)容，是否合規(guī)。

（3）缺少數(shù)據(jù)脫敏機(jī)制，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；缺少數(shù)據(jù)流轉(zhuǎn)溯源機(jī)制，存在不可追溯問(wèn)題；缺少數(shù)據(jù)異常行為及敏感數(shù)據(jù)監(jiān)測(cè)機(jī)制，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。

（4）內(nèi)部及第三方運(yùn)維人員造成的數(shù)據(jù)泄露風(fēng)險(xiǎn)；內(nèi)部工作人員的權(quán)限管控制度如不完善，非權(quán)限人員可隨意接觸核心數(shù)據(jù)，數(shù)據(jù)泄露風(fēng)險(xiǎn)很大，加之內(nèi)部人員監(jiān)控手段不足，也會(huì)引發(fā)取證難等問(wèn)題。

（5）針對(duì)操作、應(yīng)用操作、接口行為目前只是記錄，甚至還沒(méi)有記錄，缺乏有效的數(shù)據(jù)安全風(fēng)險(xiǎn)分析識(shí)別能力，數(shù)據(jù)風(fēng)險(xiǎn)不能提前防范。

4 運(yùn)營(yíng)商的數(shù)據(jù)安全治理方案

4.1 數(shù)據(jù)安全治理思路

首先，在業(yè)務(wù)需求與安全（風(fēng)險(xiǎn)/威脅/合規(guī)性）之間進(jìn)行平衡；其次，是對(duì)數(shù)據(jù)優(yōu)先級(jí)進(jìn)行排序，進(jìn)行數(shù)據(jù)分級(jí)分類，面向不同類型、級(jí)別的數(shù)據(jù)，采取“分而治之”的方式，以此對(duì)不同級(jí)別數(shù)據(jù)制定策略，實(shí)行合理的安全技術(shù)手段，降低安全風(fēng)險(xiǎn)；再次，選擇安全工具，部署安全控制點(diǎn)，主要工具包含加密、以數(shù)據(jù)為中心的審計(jì)和保護(hù)、數(shù)據(jù)防泄漏、云訪問(wèn)安全代理、身份識(shí)別與訪問(wèn)管理、用戶和實(shí)體行為分析等；最后，進(jìn)行策略配置與工具控制同步協(xié)同[4]。

4.2 數(shù)據(jù)安全治理框架

數(shù)據(jù)安全治理框架設(shè)計(jì)應(yīng)基于“人員、策略、技術(shù)”三個(gè)核心能力領(lǐng)域，結(jié)合運(yùn)營(yíng)商實(shí)際的數(shù)據(jù)安全防護(hù)情況，通過(guò)專業(yè)的數(shù)據(jù)安全管理人員、具體的數(shù)據(jù)安全治理策略和流程，以安全設(shè)備及服務(wù)為技術(shù)支撐，圍繞數(shù)據(jù)使用的業(yè)務(wù)場(chǎng)景分析安全需求，在數(shù)據(jù)安全管理體系、數(shù)據(jù)業(yè)務(wù)流轉(zhuǎn)以及數(shù)據(jù)安全技術(shù)等方面綜合指導(dǎo)數(shù)據(jù)安全頂層設(shè)計(jì)，形成數(shù)據(jù)的體系化保障能力。

4.3 數(shù)據(jù)安全治理體系

數(shù)據(jù)安全治理方案主要從數(shù)據(jù)安全管理、技術(shù)和運(yùn)營(yíng)三大方面設(shè)計(jì)，安全管理體系是目標(biāo)和指南；安全技術(shù)體系是落地支撐管理體系要求；安全運(yùn)營(yíng)體系是對(duì)管理體系的完善和技術(shù)體系的執(zhí)行。數(shù)據(jù)安全治理體系以數(shù)據(jù)安全運(yùn)營(yíng)為支撐，推動(dòng)管理體系、技術(shù)體系基于符合業(yè)務(wù)數(shù)據(jù)安全的場(chǎng)景進(jìn)行動(dòng)態(tài)的自適應(yīng)調(diào)整。數(shù)據(jù)安全治理體系如圖1所示。

圖1 數(shù)據(jù)安全治理體系

4.3.1 數(shù)據(jù)安全管理體系

數(shù)據(jù)安全治理是一個(gè)復(fù)雜且需要多部門(mén)聯(lián)動(dòng)的工作，在進(jìn)行組織架構(gòu)設(shè)計(jì)時(shí)，需要考慮管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì)，同時(shí)也要考慮其他可聯(lián)動(dòng)的小組，其中IT業(yè)務(wù)、信息安全等部門(mén)均需要參與到安全項(xiàng)目建設(shè)當(dāng)中。數(shù)據(jù)安全組織設(shè)計(jì)的核心是明確數(shù)據(jù)安全政策的執(zhí)行、落實(shí)和監(jiān)督等工作，確保數(shù)據(jù)安全能力建設(shè)有效落地[5]。

數(shù)據(jù)安全的組織架構(gòu)應(yīng)至少包含決策層、管理層、執(zhí)行層、供應(yīng)商/服務(wù)商、監(jiān)督層。在組織架構(gòu)頂層設(shè)計(jì)層面，業(yè)務(wù)部、安全管理部、運(yùn)行維護(hù)部等均需要參與組織策略及重大事件的決策；在實(shí)際數(shù)據(jù)安全業(yè)務(wù)開(kāi)展層面，從平臺(tái)底層設(shè)計(jì)到流程制定實(shí)施、安全工具部署、人員安全管控、數(shù)據(jù)安全合規(guī)、對(duì)外披露等方面均需要多部門(mén)深度介入和協(xié)作。

4.3.2 數(shù)據(jù)安全制度流程建設(shè)方案

數(shù)據(jù)安全管理制度的設(shè)計(jì)應(yīng)覆蓋數(shù)據(jù)的全生命周期，制度流程應(yīng)從組織層面出發(fā)，進(jìn)行整體設(shè)計(jì)并形成體系框架。制度體系需要分層，層與層之間、同一層不同模塊之間要有關(guān)聯(lián)邏輯，在內(nèi)容上不能重復(fù)或矛盾。數(shù)據(jù)安全制度流如圖2所示。

圖2 數(shù)據(jù)安全制度流程

一般分為四級(jí)：一級(jí)文件為總的管理要求；二級(jí)文件包含安全管理制度和辦法；三級(jí)文件包含具體規(guī)程、指導(dǎo)書(shū)及配套模板文件等；四級(jí)文件包含各種報(bào)表和日志文件等。

4.3.3 數(shù)據(jù)安全技術(shù)體系

數(shù)據(jù)安全技術(shù)體系通常由治理管理平臺(tái)和安全防護(hù)能力組件來(lái)實(shí)現(xiàn)。

數(shù)據(jù)安全治理管理平臺(tái)的功能是實(shí)現(xiàn)集中化的數(shù)據(jù)安全管理，包含敏感數(shù)據(jù)資產(chǎn)分類、分級(jí)及分布情況，敏感數(shù)據(jù)流轉(zhuǎn)路徑和動(dòng)態(tài)流向的情況，通過(guò)集中化數(shù)據(jù)安全管控策略，實(shí)現(xiàn)數(shù)據(jù)態(tài)勢(shì)呈現(xiàn)和風(fēng)險(xiǎn)識(shí)別，為數(shù)據(jù)安全管控提供能力保障，為數(shù)據(jù)安全運(yùn)營(yíng)提供技術(shù)支撐。

通過(guò)不同的安全防護(hù)能力組件對(duì)數(shù)據(jù)生命周期（采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀六個(gè)階段）安全進(jìn)行防護(hù)。同時(shí)，結(jié)合數(shù)據(jù)生命周期的通用安全，從策略與規(guī)程、數(shù)據(jù)與系統(tǒng)資產(chǎn)、組織與人員管理、服務(wù)規(guī)劃與管理、數(shù)據(jù)供應(yīng)鏈管理和合規(guī)性管理六個(gè)方面來(lái)考慮，全方位筑牢防護(hù)數(shù)據(jù)的安全堡壘[6]。數(shù)據(jù)生命周期防護(hù)架構(gòu)如圖3所示。

圖3 數(shù)據(jù)生命周期防護(hù)架構(gòu)

4.3.4 數(shù)據(jù)安全運(yùn)營(yíng)體系

將數(shù)據(jù)安全管理體系與數(shù)據(jù)安全防護(hù)體系相結(jié)合，通過(guò)技管并重的方式實(shí)現(xiàn)運(yùn)營(yíng)流程的閉環(huán)過(guò)程。

綜上所述，運(yùn)營(yíng)商通過(guò)數(shù)據(jù)安全治理體系建立健全的組織機(jī)構(gòu)（定義好相應(yīng)數(shù)據(jù)安全組織的權(quán)責(zé)關(guān)系）、健全的數(shù)據(jù)安全管理制度（定義好數(shù)據(jù)全流程管理手段）、健全的數(shù)據(jù)生命周期防護(hù)技術(shù)能力（定義數(shù)據(jù)生命周期以及全生命周期風(fēng)險(xiǎn)類型），針對(duì)不同的風(fēng)險(xiǎn)建立數(shù)據(jù)安全響應(yīng)機(jī)制及處置方式。建設(shè)完成之后即可對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的全生命周期進(jìn)行管理，包括數(shù)據(jù)資產(chǎn)的發(fā)現(xiàn)識(shí)別、分類分級(jí)、資產(chǎn)展示、風(fēng)險(xiǎn)發(fā)現(xiàn)識(shí)別、風(fēng)險(xiǎn)告警、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)態(tài)勢(shì)展示等。而數(shù)據(jù)安全運(yùn)營(yíng)體系則根據(jù)數(shù)據(jù)安全治理的結(jié)果，結(jié)合安全防護(hù)能力組件，在數(shù)據(jù)安全運(yùn)營(yíng)組織制定的管理制度框架內(nèi)進(jìn)行閉環(huán)式建設(shè)和更替。

5 結(jié)束語(yǔ)

運(yùn)營(yíng)商數(shù)據(jù)治理應(yīng)圍繞組織結(jié)構(gòu)、制度保障、分類分級(jí)等若干方面開(kāi)展一系列數(shù)據(jù)安全治理工作，以清晰了解自身業(yè)務(wù)數(shù)據(jù)及數(shù)據(jù)安全情況，根據(jù)已知的數(shù)據(jù)安全現(xiàn)狀和實(shí)際業(yè)務(wù)情況制定相應(yīng)的數(shù)據(jù)安全管理制度和數(shù)據(jù)安全監(jiān)管機(jī)制，形成符合國(guó)家及行業(yè)標(biāo)準(zhǔn)要求的數(shù)據(jù)安全監(jiān)管機(jī)制。構(gòu)建一體化的數(shù)據(jù)安全治理管理平臺(tái)，利用數(shù)據(jù)分類分級(jí)、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、數(shù)據(jù)風(fēng)險(xiǎn)統(tǒng)一歸集等能力組件，將管理制度和手段落實(shí)到實(shí)際工作中；并且通過(guò)數(shù)據(jù)安全運(yùn)營(yíng)來(lái)完成整個(gè)數(shù)據(jù)安全體系的閉環(huán)化的管理，推動(dòng)數(shù)據(jù)安全防護(hù)技術(shù)和管理能力與時(shí)俱進(jìn)，切實(shí)降低運(yùn)營(yíng)商數(shù)據(jù)在全生命周期的安全風(fēng)險(xiǎn)。■