運營商們快來get√，數據安全合規(guī)能力建設“秘籍”

網絡運營者應當按照有關法律、行政法規(guī)的規(guī)定，參照國家網絡安全標準，履行數據安全保護義務，建立數據安全管理責任和評價考核制度，制定數據安全計劃，實施數據安全技術防護，開展數據安全風險評估，制定網絡安全事件應急預案，及時處置安全事件，組織數據安全教育、培訓。

——《數據安全管理辦法第六條》

隨著信息化大力發(fā)展，持續(xù)提升運營商“互聯網+”服務能力，運營商已經較全面建立了信息化的業(yè)務系統。相對于普通的互聯網應用系統，電信運營商的業(yè)務系統更加復雜，大致可分為固網業(yè)務系統和移網業(yè)務系統。其中，固網業(yè)務系統可細分出統一平臺的綜合業(yè)務系統、互聯網服務平臺、企業(yè)信息化平臺、客服系統、郵件系統等，移網業(yè)務系統可細分出計費系統、網上營業(yè)廳系統、移動辦公系統、短信系統、彩信系統、無線增值系統等。多種業(yè)務系統中都存儲著大量的數據，數據在個人終端存儲、內部業(yè)務系統流轉、數據離網及外發(fā)等環(huán)境下都存在泄密的風險。在業(yè)務系統使用過程中也面臨被違規(guī)越權使用或被用于非法用途等數據信息泄漏的安全風險。

這些承載在各個業(yè)務系統上的數據資源，一方面是電信運營商長期運營積累的寶貴財富，另一方面也是國家監(jiān)管部門監(jiān)督檢查的重點。無論是國家法律法規(guī)還是行業(yè)準則，都對運營商數據安全監(jiān)管提出了明確的要求：

國家層面：《網絡安全法》、《數據安全法》、《個人信息保護法》等從法律制度層面對數據的安全提出了相關防護要求。

行業(yè)監(jiān)管：工信部網絡安全管理局下發(fā)《各省級基礎電信企業(yè)網絡與信息安全工作考核要點與評分標準》、工信部辦公廳下發(fā)《電信和互聯網行業(yè)提升網絡數據安全保護能力專項行動》等規(guī)范都對數據安全的合規(guī)性建設提出了相關的要求。

·數據安全分類分級

實施數據分類分級管理，對數據處理活動相關平臺系統進行全面清查，輸出數據資源分類分級清單;識別重要數據，形成重要數據清單。

·數據安全技術防護能力建設

強化企業(yè)大數據安全重點技術能力建設和使用，具備對數據資產的識報送信息包括企業(yè)數據資別脫敏、接口安全管理、訪問和操作行為安全審計等技術能力。

作為國內新一代信息安全技術企業(yè)的代表廠商，明朝萬達基于對數據安全領域的深入探索和研究，依托強大的技術產品實力，可為運營商提供多種自主研發(fā)的數據安全產品和相關安全服務，滿足運營商合規(guī)建設，提升數據安全防護能力。

數據分類分級服務

明朝萬達針對運營商行業(yè)對數據分類分級需求，提供數據分類分級服務。以運營商兩大分類（用戶相關數據和企業(yè)自身數據），四級數據分級為數據分類分級標準，使用分類分級工具通過自動發(fā)現、數據錄入等方式對企業(yè)內部數據庫資產進行管理。同時支持對企業(yè)內部服務器的非結構化文件進行管理。最終通過數據分類分級服務輸出詳細的分類分級清單。用戶可直觀感知敏感資產信息，為企業(yè)管理員人員的數據安全決策提供數據依據。

數據合規(guī)檢查服務

隨著數據安全法的頒布，運營商既要保護敏感數據資產的安全，符合監(jiān)管要求；又要在不改變現有業(yè)務流程的前提下快速部署實施，降低自身員工生產過程中使用數據資產的操作復雜度，提升生產效率。

針對上述問題，明朝萬達推出了Chinasec（安元）數據安全合規(guī)檢查工具。該工具支持用戶能夠對標現有基礎的等保、數據安全法以及數據安全管理行業(yè)管理規(guī)定，提前對辦公終端電腦、服務器環(huán)境中的數據文件進行合規(guī)性自檢。提前發(fā)現數據安全管理的風險并由用戶進行響應的合規(guī)性處置，幫助企業(yè)用戶平衡敏感數據資產的生產效率與合規(guī)風險。

數據安全技術防護能力建設

在網絡與數據資源高度融合的環(huán)境下，圍繞數據全生命周期，從采集、傳輸、存儲、處理、共享、銷毀等環(huán)節(jié)，以數據為核心，形成覆蓋“云、網、應用、數據、終端”的一體化安全服務，實現主動防御數據安全防護體系能力。

實現成果

·滿足監(jiān)管要求

數據安全防護服務提供多種安全能力，貫徹落實《網絡安全法》、《數據安全法》等法律法規(guī)及標準，以防濫用、防泄露作為數據安全核心需求，實現針對數據全生命周期的分類分級、數據識別、安全審計、防泄漏等安全技術，響應《電信和互聯網企業(yè)網絡數據安全合規(guī)性評估要點（2020年）》中的基礎性評估要點、數據生命周期評估要點以及技術能力評估要點的技術內容。符合《各省級基礎電信企業(yè)網絡與信息安全工作考核要點與評分標準》中的實施數據分類分級管理和強化企業(yè)大數據安全重點技術能力建設標準，滿足運營商數據安全監(jiān)管要求。

·應對業(yè)務需求

因工作需要從支撐系統、業(yè)務平臺或通信系統中提取的文件包含敏感數據時，從技術手段上防止其被泄漏?？刹捎玫募夹g手段包括文件內容加密、數字水印、數字簽名、文件打開次數限制、文件修改權限限制、文件打開終端限制等。以業(yè)務系統的數據安全為核心目標，貼近用戶使用場景，為用戶構建整套立體數據防泄密體系。

·提升數據防護

以數據為中心，建立覆蓋運營商數據生命周期安全防護機制。在采集、傳輸、存儲、處理、共享、銷毀等環(huán)節(jié)，提供相應的數據安全保護服務。（如數據分類分級、訪問控制、數據加密、數據脫敏、用戶行為分析等），滿足數據全生命周期不同階段的安全需求，全方位提升核心應用、業(yè)務及數據數據安全防護能力，有效應對外部攻擊和內部泄露，構建面向數字時代的新一代主動防護安全體系。