基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理體系建設(shè)研究

郭建南

中國信息通信研究院 北京 100191

隨著國家大數(shù)據(jù)發(fā)展戰(zhàn)略的加快實施，數(shù)據(jù)要素戰(zhàn)略價值凸顯，但數(shù)據(jù)泄漏事件和侵害用戶權(quán)益事件呈現(xiàn)頻發(fā)態(tài)勢，國家和社會對數(shù)據(jù)安全問題的重視程度與日俱增。通信行業(yè)作為數(shù)據(jù)流轉(zhuǎn)的中樞平臺，其數(shù)據(jù)安全管理體系的穩(wěn)定性和可靠性直接影響國家戰(zhàn)略的實施效果。然而，由于初期建設(shè)考慮不全面、管理制度不完善等，基礎(chǔ)電信企業(yè)的傳統(tǒng)數(shù)據(jù)安全管理體系面臨覆蓋范圍不足、資產(chǎn)識別不準(zhǔn)確、數(shù)據(jù)操作審批不嚴(yán)格、數(shù)據(jù)流動風(fēng)險監(jiān)測不到位等問題。積極應(yīng)對數(shù)據(jù)安全發(fā)展的新形勢、新問題，開展數(shù)據(jù)安全管理體系建設(shè)研究，是助力基礎(chǔ)電信企業(yè)保障數(shù)據(jù)安全、提升服務(wù)能力的基礎(chǔ)和關(guān)鍵。

1 數(shù)據(jù)安全監(jiān)管思路發(fā)展進(jìn)程

隨著信息社會和傳統(tǒng)社會的不斷交融，數(shù)據(jù)呈現(xiàn)出爆發(fā)性、集中式增長的態(tài)勢，其重要性越發(fā)顯著，圍繞數(shù)據(jù)安全的事件風(fēng)波也在不斷增多，保障數(shù)據(jù)安全成為社會的強(qiáng)烈需求。近幾年，國家陸續(xù)出臺了數(shù)據(jù)安全的相關(guān)監(jiān)管政策和相關(guān)標(biāo)準(zhǔn)。在政策法規(guī)方面，《網(wǎng)絡(luò)安全法》的出臺標(biāo)志著中國已初步建立網(wǎng)絡(luò)安全及個人信息保護(hù)法律框架，中華人民共和國數(shù)據(jù)安全法的公布實施更凸顯了國家對數(shù)據(jù)安全的高度重視。在標(biāo)準(zhǔn)方面，圍繞個人信息安全及數(shù)據(jù)安全等方向，已陸續(xù)發(fā)布有關(guān)個人信息安全規(guī)范、大數(shù)據(jù)服務(wù)安全能力要求、數(shù)據(jù)安全能力成熟度模型等多項國家標(biāo)準(zhǔn)，為有效落實網(wǎng)絡(luò)數(shù)據(jù)安全管理要求提供規(guī)范指導(dǎo)。

通信行業(yè)作為數(shù)據(jù)流轉(zhuǎn)的核心中樞，是國家數(shù)據(jù)安全關(guān)注的重點，基于《網(wǎng)絡(luò)安全法》中對網(wǎng)絡(luò)運(yùn)營者提出的服務(wù)要求，通信行業(yè)主管部門也逐步著手?jǐn)?shù)據(jù)安全管理的研究部署，相繼發(fā)布有關(guān)數(shù)據(jù)對外合作管理、數(shù)據(jù)安全保護(hù)能力提升、數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)等重要文件，通過滾動規(guī)劃、迭代部署的方式，逐步指導(dǎo)基礎(chǔ)電信企業(yè)建設(shè)數(shù)據(jù)生命周期保護(hù)能力。在行業(yè)標(biāo)準(zhǔn)方面，圍繞數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南，陸續(xù)發(fā)布了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法及數(shù)據(jù)安全通用要求等多項標(biāo)準(zhǔn)為行業(yè)數(shù)據(jù)安全保障能力提升奠定基礎(chǔ)。

可以看出，在全球進(jìn)入信息化引領(lǐng)發(fā)展的時代背景下，國家對數(shù)據(jù)的掌控能力成為衡量國家競爭力的關(guān)鍵因素，數(shù)據(jù)安全監(jiān)管成為保障數(shù)字經(jīng)濟(jì)領(lǐng)域發(fā)展的重要基石，基礎(chǔ)電信企業(yè)作為其中最重要的責(zé)任主體，建立完備的數(shù)據(jù)安全管理體系迫在眉睫。

2 基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理現(xiàn)狀

數(shù)據(jù)安全管理體系的建設(shè)應(yīng)在相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的基礎(chǔ)上，結(jié)合自身的安全需求及行業(yè)實際進(jìn)行點狀強(qiáng)化?；诖四繕?biāo)，基礎(chǔ)電信企業(yè)也逐步開展了數(shù)據(jù)安全管理工作，在全局的制度體系建設(shè)和具象的技術(shù)手段建設(shè)上已經(jīng)取得了一定的成果。

2.1 制度體系建設(shè)現(xiàn)狀方面

基礎(chǔ)電信企業(yè)均已明確數(shù)據(jù)安全管理的組織架構(gòu)，并結(jié)合相關(guān)管理要求及自身實際情況，制定了《網(wǎng)絡(luò)數(shù)據(jù)安全管理辦法》《用戶個人信息保護(hù)管理辦法》《數(shù)據(jù)安全人才培養(yǎng)管理辦法》等管理制度文件，在組織架構(gòu)、管理制度及人員隊伍建設(shè)方面都提出了規(guī)范，初步形成了數(shù)據(jù)安全管理思路。但隨著數(shù)據(jù)安全精細(xì)化管理需求的不斷提高，對基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理制度體系建設(shè)提出了更高要求。

1)組織架構(gòu)及人才培養(yǎng)方面需要強(qiáng)化。基礎(chǔ)電信企業(yè)需要進(jìn)一步明確數(shù)據(jù)安全管理責(zé)任部門，負(fù)責(zé)牽頭承擔(dān)企業(yè)內(nèi)部數(shù)據(jù)安全管理工作，包括制定數(shù)據(jù)安全管理整體方針策略，協(xié)調(diào)相關(guān)部門建立數(shù)據(jù)安全技術(shù)保障措施，牽頭做好數(shù)據(jù)安全應(yīng)急處置，組織開展數(shù)據(jù)安全評估、教育培訓(xùn)等工作。此外，還可以建立數(shù)據(jù)安全教育培訓(xùn)制度，針對數(shù)據(jù)安全管理相關(guān)崗位制定相應(yīng)培訓(xùn)計劃，并對培訓(xùn)計劃定期審核和更新。數(shù)據(jù)安全培訓(xùn)內(nèi)容可覆蓋數(shù)據(jù)安全制度要求和實操規(guī)范等內(nèi)容，如數(shù)據(jù)安全法律法規(guī)、標(biāo)準(zhǔn)制度、管理方法、技術(shù)防護(hù)、應(yīng)急演練和相關(guān)知識技能。

2)各項管理工作有待進(jìn)一步細(xì)化明確。當(dāng)前基礎(chǔ)電信企業(yè)數(shù)據(jù)安全的相關(guān)制度已經(jīng)實現(xiàn)了對各項工作的明確要求，但缺少細(xì)化實施的規(guī)范文件，導(dǎo)致企業(yè)間、部門間相關(guān)工作的落實效果參差不齊。為進(jìn)一步推進(jìn)數(shù)據(jù)安全管理各項工作的落地，配套建立細(xì)化數(shù)據(jù)安全工作的實施細(xì)則成為需要解決的問題。

3)數(shù)據(jù)安全技術(shù)手段配套管理機(jī)制亟需完善。數(shù)據(jù)安全技術(shù)手段建設(shè)落地、相關(guān)數(shù)據(jù)資產(chǎn)納管、安全系統(tǒng)策略基線要求是基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理制度切實實行的重要步驟，如何細(xì)化分解數(shù)據(jù)安全產(chǎn)品能力建設(shè)要求，出臺實施指南等文件推動配套技術(shù)能力建設(shè)實施也是目前需要推進(jìn)的工作。

2.2 技術(shù)手段建設(shè)現(xiàn)狀方面

目前部分基礎(chǔ)電信企業(yè)已建設(shè)成具備一定管理范圍的集中平臺，如4A審計系統(tǒng)、大數(shù)據(jù)分析平臺、數(shù)據(jù)防泄漏系統(tǒng)等。但基礎(chǔ)電信企業(yè)職能部門多、業(yè)務(wù)復(fù)雜、數(shù)據(jù)量大等特性，導(dǎo)致在進(jìn)行技術(shù)手段建設(shè)時面臨精細(xì)化管理難度大、整體管控建設(shè)與監(jiān)測分析覆蓋面不足等問題，具體可分為以下幾點。

1)數(shù)據(jù)資產(chǎn)識別能力不足。相比于普通的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，基礎(chǔ)電信企業(yè)業(yè)務(wù)系統(tǒng)紛繁復(fù)雜，各業(yè)務(wù)平臺、網(wǎng)絡(luò)系統(tǒng)中存在大量分散的數(shù)據(jù)，包括個人敏感信息、網(wǎng)絡(luò)運(yùn)行維護(hù)數(shù)據(jù)、系統(tǒng)規(guī)劃數(shù)據(jù)等?；A(chǔ)電信企業(yè)中數(shù)據(jù)多源異構(gòu)、分散分布的特性使得數(shù)據(jù)資產(chǎn)識別和差異化管控難以落地。

2)技術(shù)手段無法完全匹配業(yè)務(wù)安全管理需求?；A(chǔ)電信企業(yè)初期的技術(shù)建設(shè)對數(shù)據(jù)安全需求考慮不全的現(xiàn)狀，導(dǎo)致出現(xiàn)能力覆蓋范圍不全，或系統(tǒng)功能與現(xiàn)有數(shù)據(jù)安全保護(hù)需求不適應(yīng)的問題，且缺少統(tǒng)一匯集的分析平臺，無法實現(xiàn)對數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)開放、數(shù)據(jù)泄露等安全風(fēng)險的監(jiān)測預(yù)警和可視化分析。

3)缺少數(shù)據(jù)安全技術(shù)手段建設(shè)整體規(guī)劃。以往數(shù)據(jù)安全技術(shù)手段多采用單點部署、分散使用、獨(dú)立擴(kuò)容的方式，難以實現(xiàn)關(guān)聯(lián)分析，導(dǎo)致部分風(fēng)險識別困難、無法定位溯源。同時，前期整體規(guī)劃的缺失，導(dǎo)致后續(xù)需求實現(xiàn)面臨現(xiàn)有技術(shù)改造困難、系統(tǒng)重建費(fèi)用較高、系統(tǒng)對接困難、數(shù)據(jù)混亂匯集等問題。

3 數(shù)據(jù)安全管理體系建設(shè)思路及建議

針對目前發(fā)展的基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理體系在制度體系建設(shè)和技術(shù)手段建設(shè)方面存在的問題，結(jié)合數(shù)據(jù)安全監(jiān)管的相關(guān)政策和標(biāo)準(zhǔn)對體系建設(shè)提出思路和建議[1]。

3.1 制度體系建設(shè)方面

結(jié)合基礎(chǔ)電信企業(yè)當(dāng)前面臨的管理工作待細(xì)化、管理機(jī)制需完善等問題，建議制定數(shù)據(jù)安全管理制度體系框架，實現(xiàn)管理工作的細(xì)化明確和技術(shù)手段的規(guī)劃實施。通過文檔化管理，建立和形成包含綱領(lǐng)、制度、流程和指南的數(shù)據(jù)安全管理制度體系[2]，為基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理工作提供統(tǒng)一的安全策略指引。

如圖1所示，是數(shù)據(jù)安全管理制度體系的四層架構(gòu)，層級之間相互關(guān)聯(lián)支撐，建議基礎(chǔ)電信企業(yè)在體系框架基礎(chǔ)上，對現(xiàn)有制度進(jìn)行梳理和歸檔，并針對當(dāng)前重要工作及管理需求制定二級文件編制計劃，在此基礎(chǔ)上，對需要進(jìn)一步細(xì)化明確的工作開展三級、四級文件編制工作。具體如下：

圖1 數(shù)據(jù)安全管理制度體系總體框架

1)一級文件：為綱領(lǐng)性文件，明確數(shù)據(jù)安全管理總體方針和各項工作目標(biāo)，具有高度概括性，對數(shù)據(jù)安全工作具有通用的指導(dǎo)意義。

2)二級文件：根據(jù)一級文件，制定各工作模塊的管理方法和技術(shù)規(guī)范性文檔，對數(shù)據(jù)安全工作的落地具有實際指導(dǎo)作用。

3)三級文件：三級文件由實施細(xì)則和指南、具體技術(shù)要求和配置基線要求組成，用于指導(dǎo)具體的安全運(yùn)維、操作使用等行為。

4)四級文件：為工作中的各項實操記錄性文檔，便于問題追溯，在體系中以模板形式呈現(xiàn)，由各類管理計劃、表單、配置文件、日志記錄、報告等組成。

3.2 技術(shù)手段建設(shè)方面

針對現(xiàn)有技術(shù)手段覆蓋面不足、數(shù)據(jù)難以關(guān)聯(lián)、無法追蹤溯源等問題，建議基礎(chǔ)電信企業(yè)建設(shè)“225”數(shù)據(jù)安全管理防護(hù)技術(shù)體系(即2級數(shù)據(jù)安全管理系統(tǒng)、2類數(shù)據(jù)接口串聯(lián)、5方面安全能力)，保障數(shù)據(jù)和服務(wù)的可靠性、可用性、真實性和有效性，逐步實現(xiàn)“風(fēng)險可視、問題可控、安全可管、依法合規(guī)”的保障目標(biāo)。

建設(shè)過程中，一是建議根據(jù)其網(wǎng)絡(luò)域劃分?jǐn)?shù)據(jù)承載系統(tǒng)分布情況，在網(wǎng)絡(luò)關(guān)鍵匯聚點、網(wǎng)絡(luò)邊界設(shè)置合理優(yōu)化的數(shù)據(jù)采集節(jié)點，保證采集數(shù)據(jù)的全面覆蓋率和實時準(zhǔn)確性；二是建議在建設(shè)部署數(shù)據(jù)安全管理系統(tǒng)核心功能模塊時，如某項功能企業(yè)已具備相關(guān)能力，可采用系統(tǒng)對接方式實現(xiàn)能力復(fù)用；三是建議制定各網(wǎng)絡(luò)、各系統(tǒng)的納管規(guī)劃，逐步實現(xiàn)基礎(chǔ)電信企業(yè)的全網(wǎng)能力覆蓋，構(gòu)建統(tǒng)一匯集的防護(hù)平臺[3]。

“225”數(shù)據(jù)安全管理防護(hù)技術(shù)體系架構(gòu)具體如圖2所示，包括以下幾個方面。

圖2 數(shù)據(jù)安全管理技術(shù)體系框架

1)2級數(shù)據(jù)安全管理系統(tǒng)

數(shù)據(jù)安全管理系統(tǒng)建議構(gòu)建一級系統(tǒng)和二級系統(tǒng)雙層架構(gòu)。一級系統(tǒng)從全局管理的角度關(guān)注安全態(tài)勢監(jiān)管、數(shù)據(jù)風(fēng)險可視、安全策略可調(diào)可配；二級系統(tǒng)從具體的數(shù)據(jù)安全分析層面關(guān)注風(fēng)險可視、問題可控、事件可回溯，包括數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)脫敏、數(shù)據(jù)訪問審計、數(shù)據(jù)流動監(jiān)測等。

數(shù)據(jù)安全管理技術(shù)體系雙層架構(gòu)的設(shè)計能夠為管理側(cè)提供數(shù)據(jù)安全風(fēng)險監(jiān)查能力和處置策略配置能力，實現(xiàn)事前感知分析、事中監(jiān)測控制、事后審計溯源的全流程監(jiān)督和管理能力，有效保障電信數(shù)據(jù)內(nèi)外雙循環(huán)安全。

2)2類數(shù)據(jù)接口

建議建設(shè)2類數(shù)據(jù)接口，一是打通多源數(shù)據(jù)上報通道，實現(xiàn)網(wǎng)絡(luò)流量、日志文件、數(shù)據(jù)類型等基礎(chǔ)數(shù)據(jù)的有效上報，并通過對兩類接口的綜合管理，提升數(shù)據(jù)收集過程管控能力；二是打通一二級系統(tǒng)間的指令下發(fā)和數(shù)據(jù)上報路徑，實現(xiàn)數(shù)據(jù)安全監(jiān)管與基礎(chǔ)安全保障的有效融合，提升整體管理效能。

3)5方面安全能力

建議構(gòu)建以數(shù)據(jù)資產(chǎn)為核心、覆蓋數(shù)據(jù)生命周期的“預(yù)防+監(jiān)測”的數(shù)據(jù)安全能力模型，以數(shù)據(jù)資產(chǎn)管理為基礎(chǔ)，融合數(shù)據(jù)訪問審計、數(shù)據(jù)脫敏、數(shù)據(jù)流動監(jiān)測和數(shù)據(jù)可視化，對基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)系統(tǒng)中的多源數(shù)據(jù)進(jìn)行匯聚和分析，實現(xiàn)數(shù)據(jù)安全風(fēng)險預(yù)警、控制攔截、一鍵處置等能力。

數(shù)據(jù)資產(chǎn)管理主要實現(xiàn)資產(chǎn)的智能識別、動態(tài)登記、分級分類與多維分析，及時掌握數(shù)據(jù)資產(chǎn)的分布、使用情況及潛在風(fēng)險，同步配套完善數(shù)據(jù)差異化管理機(jī)制[4]。

數(shù)據(jù)訪問審計通過對網(wǎng)絡(luò)流量、日志文件的分析實現(xiàn)敏感數(shù)據(jù)泄露、數(shù)據(jù)違規(guī)共享、越權(quán)訪問、數(shù)據(jù)操作審批不嚴(yán)等數(shù)據(jù)安全事件的告警[5]，并通過數(shù)據(jù)訪問會話重組實現(xiàn)安全事件的全過程回溯，強(qiáng)化基礎(chǔ)電信企業(yè)的實時數(shù)據(jù)訪問風(fēng)險監(jiān)測和事后追溯能力[6]。

數(shù)據(jù)脫敏針對隱私問題，采用動態(tài)或靜態(tài)脫敏技術(shù)，制定面向多樣數(shù)據(jù)的智能化脫敏規(guī)則與方案，實現(xiàn)基礎(chǔ)電信企業(yè)數(shù)據(jù)的規(guī)范脫敏，減少敏感數(shù)據(jù)的泄漏風(fēng)險。

數(shù)據(jù)流動監(jiān)測基于關(guān)鍵網(wǎng)絡(luò)節(jié)點的流量數(shù)據(jù)進(jìn)行數(shù)據(jù)流轉(zhuǎn)路徑和行為分析，實現(xiàn)對數(shù)據(jù)流轉(zhuǎn)全過程的精確記錄，嚴(yán)格監(jiān)控數(shù)據(jù)流動過程可能產(chǎn)生的風(fēng)險，為基礎(chǔ)電信企業(yè)提供數(shù)據(jù)資產(chǎn)流動管控能力。

數(shù)據(jù)可視化基于上述分析結(jié)果，采用層次可視化分析方法實現(xiàn)數(shù)據(jù)安全態(tài)勢多維度展示，并基于數(shù)據(jù)聯(lián)動分析方法提供可視化交互能力。

4 結(jié)束語

本次研究結(jié)合行業(yè)數(shù)據(jù)安全合規(guī)要求與基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理需求，以“管理規(guī)范化、風(fēng)險可視化、防護(hù)主動化”為目標(biāo)，以保障數(shù)據(jù)安全為核心思路，給出基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理體系整體建設(shè)方法，為基礎(chǔ)電信企業(yè)開展數(shù)據(jù)安全管理體系建設(shè)工作提供參考和借鑒。