中国联通集团数据安全治理实践经验总结(脱密版)

最新推荐文章于 2024-08-02 14:45:00 发布

securitypaper

最新推荐文章于 2024-08-02 14:45:00 发布

阅读量2k

点赞数 2

文章标签：网络

本文链接：https://blog.csdn.net/securitypaper/article/details/126981968

版权

1.数据安全治理建设思路及方案

按照《网络安全法》、《电信和互联网用户个人信息保护规定》等国家法律法规以及行业的数据安全要求，依据公司的“数据安全是生命线、安全事件零容忍、敏感数据不出门”的安全原则，结合多年数据安全管理、技术防护与运营的实际经验，从数据安全管理体系、数据安全技术体系、数据安全运营体系三个方面构建了数据安全防护体系，涵盖数据采集、传输、存储、使用、交互等数据全生命周期，实现了职责清晰化、管理规范化、防护智能化、运营精细化，切实保障联通用户个人信息安全。
本方案以防止数据泄漏与数据滥用为目标，以零信任安全为理念，将自主研发的数据追踪溯源系统、数据安全网关系统等数据安全产品实际应用到具体的数据生产场景中，以解决数据安全问题，保障公司大数据业务的快速发展，保护用户个人隐私，维护社会稳定，保障国家安全。

2.数据安全治理实践

（ 1 ）建立规范化数据安全管理体系
公司设立数据安全管理部门，并建立了横跨多个部门的大数据生产、服务、安全管控组织架构，将数据安全防护责任落实到每个部门、每个业务、每个系统和每个员工。公司高度重视大数据安全人才的培养和培训，重视大数据产学研的结合，建立起一支具备数据安全评估、数据安全产品开发、数据安全咨询等专业安全能力的自有人才队伍。并深入研究国家关于网络安全、数据安全与个人隐私保护相关的法律法规和标准。结合公司的实际现状，建立了公司的安全制度体系，包括基础安全管理、业务安全管理和数据安全管理。在数据安全管理策略之下，构建数据安全技术体系，实现对数据全生命周期安全防护保障以及对数据安全管理和运营的支撑。
（ 2 ）建设智能化数据安全技术体系
围绕数据全生命周期，通过开发建设数据安全技术产品与工具，形成了覆盖事前、事中、事后的数据安全技术能力。
一是建设数据资产地图，动态跟踪并管理数据资产信息。从安全角度自动化构建细粒度数据资产信息，对内部数据资产进行安全保护。并通过提供对数据资产体系化、结构化的管控视图，为数据资产的管理提供完整统一的视角。
二是建设数据脱敏系统，实现敏感数据使用安全。依据数据分类分级规范，从业务、安全、法规多角度对表字段进行安全分级，基于数据分类分级情况，对敏感的数据字段进行加密与脱敏。
三是建设统一账号认证授权审计系统，实现数据入口访问安全。对大数据平台及系统的所有服务器、数据库等IT资产进行集中管理，通过建设统一账号认证授权审计系统实现用户的统一认证、授权。
四是建设数据安全监测与审计系统，保障数据操作行为安全。基于零信任模型，采用大数据技术，以用户操作行为为核心，采集、存储日志类数据。通过分析用户操作行为，结合行为基线，全程追踪审计各项操作行为，确保人员行为合规、数据操作行为可控、可审计、可追溯。
五是建设云桌面系统，实现数据操作安全。建设云桌面系统，所有人员对大数据平台系统的所有操作都必须登录云桌面后方可执行。在云桌面内，数据可读可操作，但无法下载在本地终端中，防止了数据泄漏，保障数据安全。
六是建设数据追踪溯源系统，保护数据分发与传播安全。基于数字水印技术，针对大数据特性，对大数据内容进行标识。一旦发生数据泄漏，能够通过该系统的追踪溯源技术追溯到泄漏者。
七是建设数据安全网关系统，确保数据输出内容安全合规。数据安全网关为公司对外数据输出的唯一出口，解决数据分发途径混乱，缺乏统一管理和安全控制等问题。
（ 3 ）实施精细化安全运营体系
一是系统安全运营。通过定期评估大数据平台系统的安全风险，并及时对系统加固，有效降低系统被黑客攻击的风险，保障平台系统的安全性。同时，公司建立数据安全事件应急响应体系，建立应急组织机构，明确应急人员及职责，编制系统应急预案，开展系统应急演练，确保事件发生后可以快速响应，及时恢复，最大程度上减少损失，并降低事件造成的消极影响。
二是数据运营管控。在数据业务中通过数据评估、模型算法评估、代码评估、接口上线安全评估和数据出口审核等措施进行数据运营管控。在数据合作前，评估合作的数据内容、数据范围，数据使用场景是否合规，要求的数据合作方式是否安全。在数据合作中，严格对合作方数据模型的代码、算法、输入数据、输出数据进行审核，确保数据模型合作的合法合规、安全可信。严格对数据接口进行安全管控，所有接口均通过账号口令鉴权，接口上线前均经过安全检测，接口调用过程要进行日志记录。严格对数据系统进行质量审核，杜绝安全漏洞、控制逻辑错误、配置错误等问题。
三是业务运营管控。在业务运营中严格落实事前、事中、事后全闭环审核，管控数据合规风险。业务安全事前审核的内容包括服务对象的数据内容、数据用户和使用范围是否明确、要求的数据提供方式是否安全。业务安全事中审核主要进行合同审核，审核合作伙伴的资质，在与对外合作方签订的合作协议中，规定数据使用范围、用途、期限和违约责任，要求合作方提供技术手段对数据安全进行保护等。业务安全事后审核主要对合同执行过程进行审核和审计，包括话术审核、系统行为的监控和审计等。

3.数据安全治理效果

公司数据安全体系自开始运营以来，通过管理策略和技术措施的深入融合，监测和审计大量数据安全风险操作，发现和整改多个高风险漏洞，保障大数据平台超过 100P 的数据存储以及每天新增超过200T压缩数据量的安全，多次预防和阻止数据合作方违规使用数据，避免了数据的滥用和泄露，为公司业务保驾护航。同时，公司在公安部、工信部、网信办历次的安全检查以及护网行动中均未发现重大安全问题，安全防护效果良好。
目前，该方案已在浙江省大数据发展管理局、广东省政务服务数据管理局等多个政府部门落地实施，运行效果良好，降低了政务信息共享交换环节数据泄露、数据篡改、数据滥用等问题的风险，实现实时掌握数据库动态，有效预防和避免安全事件的发生和扩散，为数据资源开放共享保驾护航。