DCW
Industry Observation
产业观察
163
数字通信世界
2023.01
0 引言
2020年,国家首次公布关于要素市场化配置的文件《关于构建更加完善的要素市场化配置体制机制的意见》,将数据上升到与土地、劳动力、资本、技术同等重要的位置。数据作为数字经济时代的核心和最具价值的生产要素已经被普遍认可,数据安全也理所当然地成为数字经济时代最紧迫和最基础的安全问题。运营商作为一个掌管着庞大数据资源的企业,迫切需要采用新型技术手段,强化数据安全,解决数据安全与数据利用之间的矛盾、对立关系[1]。 1.1 法律强制规定
《数据安全法》和《个人信息保护法》的颁布实施,将数据安全和个人信息保护提升到了法制层面,对推动个人信息安全保护提供了根本遵循;相关标准和文件的相继出台,为电信企业加强数据在个人信息保护提供了一定指导[2]。
1.2 安全合规要求
在相关考核文件和法律法规标准要求的背景下,运营商对数据安全合规需求急剧增加,考核要求详见表1。
表1 数据安全合规考核要求
序号文件/法律法规标准 考核要求
1
基础电信企业数据安全合规性评估要点从机构人员管理、基本制度落实、技术能力建设等环节对基础电信企业提出数据安全要求 2
电信和互联网行业网
络数据安全管理工作的通知
要求全面提升工业和通信业网络数据安全保护能力,建立数据安全合规性监管平台。实现数据全生命周期的安全监管能力
3电信网和互联网数据安全通用要求持续开展数据泄露等网络数据安全和用户信息安全事件监测跟踪与执法调查
4
电信和互联网用户个人信息保护规定
完善电信和互联网行业个人信息保护制度
5
省级基础电信企业网络与信息安全工作考核验收测试
①完成数据安全合规性评估;②实施数据分类分级
管理,输出数据资源分类分级清单;③强化企业数据安全重点技术能力建设和使用;④建立数据安全态势信息报备制度;⑤规范数据对外合作使用与共享安全管理,持续加强安全风险监控 1.3 重要数据保护
以往各行业对重要数据的保护仅仅是自己摸索着进行,缺乏对重要数据的标准定义,随着数据分类分级相关标准的发布,运营商等对重要数据较以往有了更清晰的定义。
大同大学学报2 运营商的数据组成
2.1 自身的数据
自身的数据主要包含企业运营过程中产生的业务
运营商行业数据安全治理的研究与探讨
龚加剑1,张志亮1,宋美芳1,马 刚1,白丽丽2
(1.河南省信息咨询设计研究有限公司,河南 郑州 450008;2.中国联通河南省分公司,河南 郑州 450008)摘要:
文章通过分析运营商数据组成及数据安全面临的主要挑战,结合数据安全治理相关标准和文件的考核要求,梳理了数据安全治理的流程,提出了数据安全治理的方案,为运营商数据安全治理提供一些参考。
关键词:
运营商;数据;治理;安全doi:
爬虫论坛10.3969/J.ISSN.1672-7274.2023.01.053中图分类号:
TP 311.13 文献标示码:A 文章编码:1672-7274(2023)01-0163-03Research and Discussion on Data Security Governance of Operator Industry
GONG Jiajian 1, ZHANG Zhiliang 1, SONG Meifang 1, MA Gang 1, BAI Lili 2
(1. Henan Information Consulting Design and Research Co., Ltd., Zhengzhou 450008,
China; 2. China Unicom Henan Branch, Zhengzhou 450008, China)
Abstract: This paper combs the process of data security governance by analyzing the composition of
operators' data and the main challenges faced by data security, and combining the assessment requirements of relevant standards and documents of data security governance, Propose a data security governance scheme to provide some reference for operators' data security governance.
Key words: operator; data government; security
作者简介:龚加剑(1984-),男,汉族,江西上饶人,高级工程师,本科,研究方向为数据中心、云计算和网络安全。
Copyright ©博看网. All Rights Reserved.
I G I T C W
产业 观察Industry Observation
164DIGITCW
2023.01
数据、经营管理数据、系统运行和安全数据。(1)业务数据具备体量庞大、种类多样、分布广、风险同质化等特点。
(2)经营管理数据一般涉及商业秘密,具有高价值、数据量较少、周期性增订等特点。如经营战略、财务数据、经营信息等。(3)系统运行和安全数据是指网络、系统、应用及网络安全数据,如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等。运营商几乎都部署了态势感知、资产管理平台。这类数据呈大集中、广分布、跨组织传输等特点[3]。
2.2 客户的数据
客户的数据主要包含与运营商主营业务密切相关
的数据,从数据主体方面划分,包括政务数据、企业数据、客户数据三类。
3 运营商数据安全面临的主要挑战
(1)缺少数据资产梳理技术手段,对已有哪些数据安全技术能力、管控力度如何等数据安全现状不清晰。(2)敏感数据是否脱敏、流向哪里;哪些对象在访问涉敏业务系统,是否非法;人员权限与操作哪些内容,是否合规。(3)缺少数据脱敏机制,存在数据泄露风险;缺少数据流转溯源机制,存在不可追溯问题;缺少数据异常行为及敏感数据监测机制,存在数据泄露风险。(4)内部及第三方运维人员造成的数据泄露风险;内部工作人员的权限管控制度如不完善,非权限人员可随意接触核心数据,数据泄露风险很大,加之内部人员监控手段不足,也会引发取证难等问题。(5)针对操作、应用操作、接口行为目前只是记录,甚至还没有记录,缺乏有效的数据安全风险分析识别能力,数据风险不能提前防范。
4 运营商的数据安全治理方案
4.1 数据安全治理思路
首先,在业务需求与安全(风险/威胁/合规性)之间进行平衡;其次,是对数据优先级进行排序,进行数据分级分类,面向不同类型、级别的数据,采取“分而治之”的方式,以此对不同级别数据制定策略,实行合理的安全技术手段,降低安全风险;再次,选择安全工具,部署安全控制点,主要工具包含加密、以数据为中心的审计和保护、数据防泄漏、云访问安全代理、身份识别与访问管理、用户和实体行为分析等;最后,进行策略配置与工具控制同步协同[4]。
心兽4.2 数据安全治理框架
数据安全治理框架设计应基于“人员、策略、技
术”三个核心能力领域,结合运营商实际的数据安全防护情况,通过专业的数据安全管理人员、具体的数据安全治理策略和流程,以安全设备及服务为技术支撑,围绕数据使用的业务场景分析安全需求,在数据安全管理体系、数据业务流转以及数据安全技术等方面综合指导数据安全顶层设计,形成数据的体系化保障能力。
4.3 数据安全治理体系
数据安全治理方案主要从数据安全管理、技术和运营三大方面设计,安全管理体系是目标和指南;安全技术体系是落地支撑管理体系要求;安全运营体系是对管理体系的完善和技术体系的执行。数据安全治理体系以数据安全运营为支撑,推动管理体系、技术体系基于符合业务数据安全的场景进行动态的自适应调整。数据安全治理体系如图1所示。
图1 数据安全治理体系
4.3.1 数据安全管理体系
数据安全治理是一个复杂且需要多部门联动的
工作,在进行组织架构设计时,需要考虑管理团队及执行团队,同时也要考虑其他可联动的小组,其中IT 业务、信息安全等部门均需要参与到安全项目建设当中。数据安全组织设计的核心是明确数据安全政策的执行、落实和监督等工作,确保数据安全能力建设
有效落地[5]
。
数据安全的组织架构应至少包含决策层、管理层、执行层、供应商/服务商、监督层。在组织架构顶层设计层面,业务部、安全管理部、运行维护部等均需要参与组织策略及重大事件的决策;在实际数据安全业务开展层面,从平台底层设计到流程制定实施、安全工具部署、人员安全管控、数据安全合规、对外披露等
方面均需要多部门深度介入和协作。
Copyright ©博看网. All Rights Reserved.
DCW
Industry Observation
产业观察
165
数字通信世界
2023.01
4.3.2 数据安全制度流程建设方案
数据安全管理制度的设计应覆盖数据的全生命周期,制度流程应从组织层面出发,进行整体设计并形成体系框架。制度体系需要分层,层与层之间、同一层不同模块之间要有关联逻辑,在内容上不能重复或矛盾。数据安全制度流如图2所示。一般分为四级:一级文件为总的管理要求;二级文件包含安全管理制度和办法;三级文件包含具体规程、指导书及配套模板文件等;四级文件包含各种报表和日志文件等。
4.3.4 数据安全运营体系
将数据安全管理体系与数据安全防护体系相结合,通过技管并重的方式实现运营流程的闭环过程。
综上所述,运营商通过数据安全治理体系建立健全的组织机构(定义好相应数据安全组织的权责关系)、健全的数据安全管理制度(定义好数据全流程管理手段)、健全的数据生命周期防护技术能力(定义数据生命周期以及全生命周期风险类型),针对不同的风险建立数据安全响应机制及处置方式。建设完成之后即可对业务系统数据的全生命周期进行管理,包括数据资产的发现识别、分类分级、资产展示、风险发现识别、风险告警、风险处置、风险态势展示等。而数据安全运营体系则根据数据安全治理的结果,结合安全防护能力组件,在数据安全运营组织制定的管理制度框架内进行闭环式建设和更替。
曹海鑫5 结束语
运营商数据治理应围绕组织结构、制度保障、分类分级等若干方面开展一系列数据安全治理工作,以清晰了解自身业务数据及数据安全情况,根据已知的数据安全现状和实际业务情况制定相应的数据安全管理制度和数据安全监管机制,形成符合国家及行业标准要求的数据安全监管机制。构建一体化的数据安全治理管理平台,利用数据分类分级、数据防泄漏、数据脱敏、数据风险统一归集等能力组件,将管理制度和手段落实到实际工作中;并且通过数据安全运营来完成整个数据安全体系的闭环化的管理,推动数据安全防护技术和管理能力与时俱进,切实降低运营商数据在全生命周期的安全风险。■
永吉四中参考文献
[1] 寇金锋.基于数据全生命周期的电信运营商数据安全管理体系[J].信息
通信技术,2019(6):53-58.
[2] 张心怡.数据安全治理体系的构建与实践探索[J].大数据时代,
2022(6):30-45.
[3] 龚诗然.数据安全治理现状研究与分析[J].信息通信技术与政策,
2022(2):42-46.
[4] 赵士杰.数据安全治理体系分析[J].互联网周刊,2022(15):10-12.[5] 李雪妮.数据安全治理能力评估框架构建研究[J].信息通信技术与政
策,2022(2):37-41.
[6] 张峰.电信领域数据安全标准体系现状与思考[J].中国信息安全,
2022(4):36-39.
图2 数据安全制度流程
4.3.3 数据安全技术体系
数据安全技术体系通常由治理管理平台和安全防
护能力组件来实现。
数据安全治理管理平台的功能是实现集中化的数据安全管理,包含敏感数据资产分类、分级及分布情况,敏感数据流转路径和动态流向的情况,通过集中化数据安全管控策略,实现数据态势呈现和风险识别,为数据安全管控提供能力保障,为数据安全运营提供技术支撑。通过不同的安全防护能力组件
对数据生命周期(采集、传输、存储、处理、交换、销毁六个阶段)安全进行防护。同时,结合数据生命周期的通用安全,从策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理和合规性管理六个方面来考虑,全方位筑牢防护数据的安全堡垒[6]。数据生命周期防护架构如图3所示。
图3
数据生命周期防护架构
Copyright ©博看网. All Rights Reserved.
