1、天道酬勤电信运营商实现从管“设备到管“数据的平安能力跨越卫丽:伴随互联网普及和大数据技术的成熟,电信运营商凭借根底网络优势,衍生数据价值巨大,逐步成为行业焦点,急需实现从“管设备到“管数据的能力跨越。电信运营商在遵循国家法律法规、行业监管要求根底上,围绕“数据核心,聚焦敏感数据识别、操作、共享,完善流程强化措施,逐步形成行之有效的数据平安管理体系,确保数据平安风险可管、可控、可感知。关键词:电信运营商;数据平安;敏感数据;全生命周期中图分类号:F626.5 文献标识码:A1 背景随着互联网开展和大数据技术的成熟,电信运营商凭借根底网络优势,衍生数据价值巨大,客户信息、网络配置等关键数据信息保护
2、遭遇极大挑战。传统网络平安以管设备为主,主要措施是围绕有形资产提升防护能力,当前数据平安的核心是无形数据,传统措施如隔靴搔痒,管不到痛点上,急需实现从“管设备到“管数据的能力跨越。针对数据平安管理困境,电信运营商在遵循国家法律法规根底上,围绕“数据核心,聚焦敏感数据识别、操作、共享三个要素,完善流程强化措施,逐步形成行之有效的数据平安管理体系。2 管理体系电信运营商从敏感数据采集、传输、存储、使用、共享、销毁全生命周期出发,聚焦敏感数据的识别、操作、共享三个关键要素,细化涉敏人员、涉敏操作、涉敏共享、涉敏数据四个维度,夯实平安事件监控、平安风险发现与处置、平安合规与审计、平安设备运维四项根底工
3、作,确保数据平安风险可管、可控、可感知1。3 管理措施围绕“数据核心,以关键数据全生命周期内流转的系统接口、涉及的人员操作为管理重点,从管理能力、关键要素、手段措施、根底工作四个层面,确保数据平安工作做到有制度、有流程、有控点、有提升。3.1 聚焦三个管理核心制定以“数据为核心的平安管理标准、职责、流程,明确数据平安管什么、谁来管、怎么管。3.1.1 标准定义管什么敏感信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定用户身份或者反映特定用户活动情况的各种信息,包括用户身份和鉴权信息、用户数据及效劳内容信息、用户效劳相关信息等三大类。结合运营商网络系统现状,划分四个敏感级别,实
4、施分级防护2。3.1.2 职责划分谁来管明确数据平安管理职责,实现管理与稽核别离;建立全生命周期责任矩阵,明确数据操作各环节的操作内容与责任,实现责任到人。3.1.3 流程明确怎么管建立跨专业协同工作机制,通过工单电子流固化协作流程;建立网络数据共享流程,实现敏感数据流转环节的管控;建立配套的检查、追责和奖惩机制,提升管理效能。3.2 围绕三个关键要素提炼数据平安管理三要素:敏感数据的识别、操作、共享,确保管得对、管得准、管得全。3.2.1 敏感數据识别根据数据分类分级标准,识别各类敏感数据,包括用户身份和鉴权信息、用户数据及效劳内容信息等,确定管理对象。3.2.2 敏感数据操作根据“权限明确
5、、职责别离、最小特权的原那么,以涉敏数据为防护核心,关联涉敏数据相关操作,形成涉敏操作清单;再以涉敏操作清单为根底,梳理操作对应的权限角色模型,进一步利用权限角色模型映射涉敏账号,最终从账号关联到涉敏自然人。通过逐级关联,建立涉敏数据与自然人的关联模型,实现对人机操作界面的管控。3.2.3 敏感数据共享以涉敏数据为核心挖掘涉敏需求,梳理涉及涉敏数据的程序接口,形成涉敏数据流转视图,并通过视图关联涉敏资产,建立涉敏数据与资产的关联模型,采用涉敏需求审批、涉敏码流监测、涉敏资产核查等手段,实现系统接口界面的管控。3.3 掌控四个实施维度从人员、操作、共享、数据四个维度切入,通过各类工具库,切实提升
6、数据平安管理效果。3.3.1 人员管理类以人员为管理对象,制定4类管理工具,标准以人员为核心的账号、权限、责任等属性。涉敏人员库:识别具备涉敏权限的自然人,形成涉敏人员库,将技术层面的涉敏权限管理提升到管理层面的人员管理,通过对涉敏人员库的动态更新,增加涉敏权限管理的透明度,形成威慑力。涉敏权限审批:区别普通权限与涉敏权限,提升涉敏权限审批级别,加大涉敏管理强度。涉敏权限三稽核:定期开展存量涉敏权限稽核,审核权限申请、分配、授权范围三方面的合规性,形成有效的涉敏过程管理。保密协议/责任书:关联涉敏人员库,不签署保密协议不得授予涉敏权限,将数据平安责任具体化,杜绝权限与责任两张皮的现象。3.3.
7、2 操作管理类以操作为管理对象,完善4类管理工具,强化数据操作的过程管理,提升事中管理效能。涉敏操作清单:以涉敏数据为防护核心,关联与涉敏数据相关的操作,梳理系统的涉敏操作清单,形成全网涉敏操作管理视图。金库管理:利用技术手段,强制实施一人操作一人审核,实现涉敏操作的金库模式管理;涉敏操作全量纳入金库管理,提升事中管控能力。涉敏操作审批表:未完成金库场景改造暂时不具备接入金库的涉敏操作,使用管理手段进行审批,留存审批表备案。涉敏操作稽核:定期对涉敏操作审批情况进行稽核,及时发现审批不合规情况进行通报整改。3.3.3 共享管理类以数据共享连接为管理对象,制定3种管理工具,强化审批管控,构建数据流
8、转环节的闭环管理。需求审批:数据的共享是从需求开发开始的,通过强化涉敏开发需求管理,根据数据分级建立两级审批流程,从源头强制实现涉敏数据共享需求的平安审批。需求会签:明确跨部门涉敏数据需求审批流程,由数据需求部门提供数据平安防护方案,经数据平安主管部门、数据提供部门领导审批,数据提供系统管理员、平安员审核前方可实施。退网管理:强化退网管理,回收数据接口,释放平安防护策略,形成闭环。3.3.4 数据管理类以数据自身为管理对象,强化4类技术工具,提升数据自身防护水平,增强数据平安可管可控能力。数据脱敏:根据实际需求进行数据脱敏保存与展现,逐步实现数据展现最小化,降低数据使用环节的泄露风险。数据加密
9、:涉敏数据接口实现加密传输,提升传输环节平安性。涉敏日志审计:采集涉敏操作日志,实现涉敏系统涉敏日志的集中管理与自动审计,定期通报,强化事后审计与稽核能力,降低审计人力本钱。数据监测:探索涉敏数据监测,通过监测涉敏数据流向,自动发现涉敏资产与涉敏数据共享连接,对标分析不标准的数据管理环节,逐步推进数据平安管理可视化。3.4 四项根本工作开展平安事件集中监控、平安风险发现与处置、平安合规与审计、平安设备运维四项根底工作,为数据平安管理奠定根底。3.4.1 平安事件集中监控将平安事件纳入集中监控,实现自动派单闭环处置;具备重点平安事件的主动监测能力,逐步形成对网络平安态势的有效感知。3.4.2 平
10、安风险发现与处置构建根底扫描、专题扫描、重保扫描多维平安扫描机制,分别针对日常风险、紧急漏洞、重保支撑三个场景开展风险发现;梳理完善平安应急预案,通过横向平安事件应急预案与纵向专业系统平安应急预案的双向协同,构建立体化平安应急体系。3.4.3 平安合规与审计从账号授权、访问控制、系统变更、高危操作、合作伙伴、全生命周期管理等环节完善审计规那么,推进建立常态化审计机制。定期通报合规审计结果,强化重点高危风险事件的考核。3.4.4 平安设备运维针对访问控制类、防护类、监控处置类等关键设备,完成在用平安设备策略梳理和有效性验证;完善平安设备维护作业方案,实现平安设备“数量清“型号清“位置清“策略清“
11、效果清,提升网络平安防护能力。4 技术措施4.1 嵌入电子流程助力平安管理转型提升利用电信运营商运维流程管理平台,建立网络数据平安“嵌入式管理流程,推动电信运营商平安管理从“管设备向“管数据转型,取得实效。八项嵌入式措施包括:第一,关联账号保密协议,确保无协议不操作,嵌入账号管理流程;第二,完善金庫模式管理,实现涉敏操作管控,嵌入金库管理流程;第三,新增高危指令通道,标准双人操作规程,嵌入数据制作流程;第四,基于网管需求平台,强制数据共享审批,嵌入需求审批流程;第五,完善数据共享环节,嵌入公文会签流程;第六,标准设备退网标准,防止沉默设备隐患,嵌入设备退网流程;第七,基于原始码流分析,主动发现
12、涉敏资产,嵌入资产管理流程;第八,通过数据标签技术,防范涉敏数据泄露,嵌入数据共享流程。4.2全场景金库支撑敏感操作管控智能化面向账号、操作指令、图形界面实现全场景金库管控,强制实现双人操作审核,支撑敏感操作管理智能化。全场景金库管控包括账号金库、指令金库和应用金库。4.2.1 账号金库敏感账号时触发金库管理,主要用于公网接口、涉敏系统等场景。4.2.2 指令金库敏感指令操作时触发金库管理,主要用于操作系统、数据库等后台敏感命令操作场景。4.2.3 应用金库图形界面敏感操作时触发金库管理,主要用于应用软件的敏感操作场景。4.3 涉敏视图实现数据平安管理可视化基于技术手段识别敏感数据类型与数据流
13、向,构建涉敏管理视图,实现管理可视化,提升数据平安管理效果。4.3.1 数据识别方法以网络DPI数据有效识别和分类分级为根底,构建一套敏感数据识别方法,有效识别XDR等文件中的关键级敏感数据。4.3.2 数据流转视图基于敏感数据识别结果,监测数据流向,关联流向上的资产与日志,生成数据流转视图,支撑数据平安审计。4.3.3 数据防护方案按流转策略审核数据流向,对非法外发请求和外发数据文件连接进行阻断;对合法外发的数据进行敏感数据识别,并按策略要求进行脱敏处理。5 结语数据平安管理是较新的工作领域,运营商海量的数据量、多样的传输渠道、复杂的数据处理技术更是对业界的巨大挑战,电信运营商应充分认清我国信息化建设和网络平安面临的形势和任务,主动结合自身业务特点,建体系强措施,探索出一套行之有效的解决方案,为完成“筑牢国家网络平安屏障,推进网络强国建设的历史使命添砖加瓦。参考文献1 顾志峰.基于大数据的运营商数据管理平台研究J.电信快报 ,20235:16-19.2 林静.电信运营商大数据在征信类产品中的应用刍议J. 中国新通信, 20232:89.
