(上海觀安信息技術股份有限公司,上海 264001)
0 引言
隨著網絡信息技術創新持續進步和發展,我國的數據規模不斷擴大。在以數據為關鍵生產要素的數字經濟發展歷程中,數據要素憑借邊際成本低、規模效應大、流動性高、可復用性強等區別于傳統生產要素的新特點,對我國的產業上下游的融合貫通和產業數字化升級起到了關鍵作用。
數據資源目前已成為國家基礎戰略資源,數據確權、數據安全、隱私保護等問題也隨之受到高度關注。隨著數字化新技術、新業務的不斷引入,衍生出對數據安全的新挑戰。數據安全挑戰主要來自數據合規的滿足和數據安全風險防范。
目前,電信行業作為國家支柱性行業越來越重視數據安全合規,電信行業監管單位對數據安全合規的技術手段、綜合管理手段也相繼提出了更多要求。保障數據安全、確保業務穩定運行,已經成為每一個電信企業應該嚴格遵循且持續保障的重點[1]。
1 數據安全合規治理概念
在分析電信領域數據安全合規治理的主要內容之前,需要先澄清兩個基本概念,數據安全合規和數據安全合規治理。
1.1 數據安全合規
數據安全合規指企業及其員工對于數據各種處理活動,包括收集、存儲、使用、提供、轉移、共享、發布、轉讓、刪除、銷毀、跨境或非跨境傳輸、流動等保護的行為需符合國際條例和國內安全相關的法律法規,以及其他規范性文件、行業準則、商業慣例、社會道德以及企業章程、規章制度的要求。企業數據可分為個人數據與非個人數據,前者是指具有可識別性的個人信息,如員工數據與客戶(用戶)數據,后者是指與個人無關的數據,如企業經營數據、日常管理數據、財務會計數據等[2]。
1.2 數據安全合規治理
數據安全合規治理是從組織最高決策層到執行層自頂而下覆蓋整體組織管理架構的一套滿足數據安全合規的解決方案,包含了數據安全相關管理制度、流程、技術工具到人等的支撐層面,而組織內的各層級、各部門均需要對數據安全合規治理的目標達成一致意見,有利于內部相互協同并采取適當的措施保護數據資產安全。
數據安全合規治理理念主要圍繞“人員、流程、技術”三個核心能力領域,延伸到具體電信企業的合規控制要求,從三方面(即安全管理與運營合規、安全技術合規、大數據組件基線合規)來展開工作,與現有安全框架體系或標準協同合作來實現治理目標。數據安全合規治理是以“讓數據在各種數據處理活動過程中滿足各種合規要求”為目標,通過組織人員完備、策略規程制定、技術工具支撐等能力要素實現的數據安全體系化的方法論。
總體而言,數據安全合規治理的方法論和組成要素來自于數據安全治理,合規治理活動也貫穿于數據安全治理[3]。
2 電信領域數據安全風險和合規挑戰
電信行業是全球數字化進程的先行行業。隨著數字化進程的迅猛推進,數據安全風險暴露面、攻擊面越來越廣,再加上數據價值的提升和數據市場的發展,圍繞電信領域的各種數據安全風險如數據泄露、數據竊取、數據非法交易、數據濫用及其他數據安全事件愈演愈烈[4]。
2.1 電信領域數據安全風險
大數據給電信領域帶來新的業務形態發展機遇,但隨之而來的是數據的集中化管控、數據供應鏈的復雜化、數據開發利用的普遍化、平臺組件的開源化等新技術特點和新業務形態應用,也給業務發展帶來了新的安全問題。電信領域數據安全主要面臨如下風險。
(1)數據集中化管控安全風險
在電信企業大數據平臺中,集中存儲有不同安全域的業務運營數據、企業管理數據、用戶相關數據、網絡與系統的建設及運行維護類數據等各類電信數據。一旦這些數據的集中管控風險轉化為安全事件,則可能涉及大量電信用戶敏感信息和其他類型敏感數據遭受泄露或破壞,從而有可能帶來相關敏感數據和個人信息保護的安全違法違規風險。
(2)電信企業特定數據處理活動場景下的安全風險
電信企業客服門戶網站、小程序數據收集、存儲和使用場景下存在以下安全性風險:數據傳輸過程中安全風險、數據存儲和使用環境云化和虛擬化安全風險、數據使用和加工過程安全風險、電信數據跨主體流動安全風險、API數據訪問接口安全風險、電信數據出境安全風險等。
(3)數據存儲和使用環境云化和虛擬化安全風險
越來越多的電信企業大數據部署在云資源池、云存儲環境中,再加上電信的存儲環境和計算環境的虛擬化,導致攻擊者可以利用已有的虛擬主機使用權限,對同一虛擬化平臺和網絡上的其他虛擬主機進行非法訪問、嗅探和攻擊等,從而因為數據集中化部署和虛擬化環境帶來隱患產生數據泄露、數據丟失等風險。
(4)平臺組件開源化安全風險
電信企業大數據平臺普遍采用了Hdoop、Spark、HDFS等開源組件和系統,但由于開源系統高效的數據處理能力會容易以系統安全功能相對缺乏為代價,一旦開源系統的組件中出現漏洞、后門、Bug,并且沒有及時發現和修補,容易產生攻擊者非法利用對大數據平臺進行數據竊取等風險。
(5)數據使用和加工過程安全風險
存在違反法律、行政法規規定的目的和范圍使用加工數據,導致數據越權使用、使用權限混亂、數據過度獲取、信任濫用威脅、分析結果濫用、違規操作的風險。
(6)數據跨主體流動安全風險
電信領域敏感數據跨部門、跨主體流動,如雙方沒有簽訂數據安全保密協議、數據安全跨部門流動安全保密措施不當,均可能存在發生敏感數據泄露、丟失等風險[5]。
(7)API數據訪問接口安全風險
電信領域由于業務的快速發展和迭代,電信企業無法完全掌握API的應用情況、業務與安全存在割裂現象,容易導致API接口的憑據失陷、越權訪問、數據篡改、違規爬取、數據泄露等諸多安全風險產生。
(8)數據出境安全風險
電信企業數據會因為業務出海涉及一定的個人信息、重要數據、電信數據跨境訪問需求,在數據跨境過程中隨之會帶來一定的數據安全風險。
2.2 電信領域數據安全合規挑戰
(1)電信領域數據安全合規監管的加強帶來難度增大
電信領域大數據業務發展過程中必然伴隨著數據安全合規挑戰。數據安全合規是直接關系到電信業務運營順利進行的重要因素。目前,電信企業為實現電信數據安全合規持續展開對大數據安全防護管理及技術手段建設,并且持續查找大數據系統平臺運營的安全薄弱環節和隱患。對于電信大數據運營平臺、數據安全治理體系滿足國家法律法規和電信行業規范要求及集團管理要求的合規性遵從方面也做了很多工作。
電信企業亟需通過主管部門的安全合規檢查監督,掌握電信數據安全管控現狀。
電信行業主管部門近些年密集開展了國家數據安全法律法規和電信領域相關的管理規章的編制和監管/執法工作,由于數據安全是一項復雜的系統性工程,涉及規范、標準眾多,數據安全標準解析與落實難度加大,對企業數據安全領域的人員水平與經濟投入提出了更高的要求。同時,需要更好地平衡業務發展與數據安全的關系,以避免因數據安全能力建設不足,導致企業業務發展過程中遵循數據安全合規監管的難度加大。
(2)數據安全風險防范難度持續升級,合規管控難度隨之增加
電信領域數據安全風險的源頭可能由于內部人員的惡意行為、失誤操作或設備故障導致,也可能因為外部黑客的惡意攻擊導致,包括采用惡意軟件、安全漏洞、社會工程學等手段或多種手段的組合,這為數據安全風險的防范帶來一定難度。
隨著電信領域網絡形態不斷演化,新技術、新應用場景日漸復雜,不斷涌現出新的數據類別、數據生產和處理方式等,從而引發新一輪的數據安全事件,而對于新型安全風險的研究和防范能力目前還有待提升,安全挑戰不斷加劇。
此外,傳統網絡安全邊界的模糊化,使得傳統安全防護體系不再能滿足當前跨組織的數據流通安全等數據安全治理需求,多方面因素導致滿足數據安全合規的管控難度持續升級。
(3)電信領域數據處理場景趨于復雜,數據安全保障難度增加
在電信領域數據處理活動過程中,數據處理主體和數據技術手段日趨繁雜,且數據流動范圍越來越廣,數據跨境傳輸需求也越來越多,數據活動場景趨于復雜,也提升了數據安全的管控難度。一是互聯網技術日新月異,技術和產品不斷快速迭代中探索全新的數據處理模式,對數據安全技術和管理流程的革新速度提出了更高要求;二是數據規模極速增長、數據類型與數據形態變化多樣給數據安全識別與防護的時效性、可靠性帶來挑戰;三是數據處理環節繁雜眾多,數據流通、應用及共享過程當中涉及了眾多數據處理主體,為數據安全策略管理和數據泄露定責帶來困難[6]。
3 電信領域數據安全合規需求
3.1 滿足監管合規要求
從滿足運營商數據安全監管的要求出發,電信領域數據安全防護體系需要包含多種安全能力,貫徹落實法律法規、電信行業數據安全規章如《工業和信息化領域數據安全管理辦法(試行)》,以防濫用、防泄露作為數據安全核心需求,建設針對數據分類分級、敏感數據識別和梳理、數據安全審計、數據流轉監測、數據溯源、數據防泄露等安全防護技術支撐體系,滿足電信企業網絡數據安全合規性評估要點等技術內容,符合電信企業網絡與信息安全工作考核要求中關于實施數據分類分級管理并強化電信企業大數據安全合規性要求。
3.2 滿足電信業務安全和合規需求
從滿足電信業務數據安全和合規需求出發,需要建立電信領域以數據為中心的涵蓋各數據處理活動各環節的防護機制。在各數據處理活動過程中,提供相應的數據安全技術保障,如數據分類分級、數據識別和梳理、身份鑒別、訪問控制、數據加密、數據脫敏、數據溯源、數據備份和恢復等,全方位提升核心應用、業務及數據安全防護能力,有效應對外部攻擊和內部泄露,構建面向數字時代的新一代主動安全防護體系[7]。
4 電信領域數據安全合規治理工作建議思考
對于電信領域數據安全合規治理作為一個系統化工程的展開,聚焦組織、流程、技術、人員等方面,從討論對齊、體檢分析、診斷治療、持續監護、執行監督等維度進行綜合考慮,建立數據可知、風險可視、體系防護、持續有效、不斷提升改進的數據安全合規治理體系,筆者提出了以下建議。
4.1 以數據安全合規遵循為邏輯起點
根據法律法規、行業規章和電信領域合規遵從情況,基于行業與現行互補、兼容,并推陳出新,同時注重與國內政策的體系化綜合運用,以合規遵循作為電信領域數據安全治理的邏輯起點,全面開展滿足電信領域數據安全合規為核心的數據安全合規治理工作。在此基礎上,電信企業應建立電信領域的數據安全合規遵從知識庫,該合規庫的組成應該包含安全法律法規、電信行業行政規章、集團總部數據安全管理要求、商業協議等。所有不同合規條款都應該經過融合成為一套有機的去重后的數據安全合規體系。
4.2 繪制電信領域數據資產安全現狀,明確安全合規治理目標
依據國家法律法規、電信行業安全規章,通過調研訪談、文檔審閱、現場核查、技術檢測、流程查看等方式,從管理體系、技術體系、運營體系、數據處理活動等方面開展數據安全現狀分析,評估差異與不足,量化安全合規差距。集合多個業務系統的調研結果,掌握組織數據安全全局現狀,找出數據安全合規問題,明確安全合規治理目標。
4.3 開展數據安全合規性評估和數據安全風險評估
電信企業可根據數據載體類型、數據內容屬性等信息定期開展面向電信領域數據資產平臺、個人信息、APP、大數據、云平臺等各類信息系統平臺或對象的安全評估活動。
首先,從業務視角出發,對業務應用現狀進行調研,對業務流程進行分析。
其次,圍繞數據處理活動各環節的數據分布、處理活動類別、業務場景中的數據流、數據流轉環節及管控措施等酌情梳理、搜集與分析,針對業務各系統及數據資產全面開展評估梳理工作,梳理并繪制數據資產安全全貌,并形成數據資產臺賬、數據安全管理規范矩陣。明確大數據平臺數據各活動場景中數據重要程度等內容。
再者,在數據資產識別和數據處理活動識別基礎上進行合規性問題分析和數據安全風險分析,結合對數據安全措施的分析,找出主要業務所面臨的管理、技術及運營合規問題和風險[8](見圖1)。
最后,基于數據安全合規性評估和風險評估結果建立符合業務所需的安全合規性治理策略和風險管理策略。
4.4 完善安全管理制度與流程,構建安全合規管理體系
堅持數據安全合規治理中“七分管理,三分技術”原則,根據電信企業的數據資產信息情況,從組織架構、安全責任框架、運行機制、風險管理、內控措施等方面建立電信領域數據安全合規管理體系和合規內在驅動力。首先,構建從數據安全戰略、管理層到執行層自頂向下的滿足電信領域數據安全合規管理架構。其次,明確各種數據處理場景的數據安全管理機制,把安全管理制度和包含的控制措施建立在業務流程基礎上,業務流程建在業務系統基礎上,把數據安全的控制思想貫穿到業務流程中,體現在微觀層面就是數據處理活動的每個過程。讓合規要求落實到數據處理活動的每個環節、每個場景和每個人,使數據安全合規建設從被動轉變為主動。最后,建立數據安全合規遵從的思路和策略,使數據安全合規遵從持續滿足法律法規要求及業務發展需要,形成包含制定計劃、評估安全、執行解決方案、總結經驗各環節的數據安全合規閉環管理流程,使數據安全合規管理工作有序發展、安全能力逐步提升。
4.5 構建數據安全技術支撐體系
以組織電信領域數據安全建設為基礎,圍繞數據處理活動的各項安全要求,實現與制度流程相配套的包括數據加密、數據備份恢復、數據脫敏、數據溯源、數據防泄露、數據庫審計、數據流動監測等類型技術在內的數據安全技術支撐體系。將數據安全保護能力與合規性遵從工作中的關鍵節點自動化、工具化,并逐步邁向智能數據安全管理,具體如下。
通過數據安全管控平臺、數據安全態勢感知系統等手段進行集中化的數據安全全域態勢、風險和事件監測與管理,全面掌握全域敏感數據資產分類、分級及分布情況,有效監測敏感數據流轉范圍和動態流向;通過集中化數據安全管控手段,實現數據安全態勢感知風險識別和合規滿足程度能力。
在完整的安全技術支撐體系基礎上,才能對貫穿于各種業務流程和數據處理場景下的數據安全風險程度和合規滿足度進行全面掌握。之后,通過可防、可控、可查、可審、可見的統一的數據安全態勢監測和審計機制實現數據安全監測與審計能力。
4.6 加強人員能力培養,提升安全合規運營保障能力
電信領域數據安全合規治理需要多元主體共同參與,其中人員是數據安全各項要求有效實施的基本元素,也是安全風險的重要產生來源,因此需要以下舉措來實現對人員的能力提升。
一是需要建立電信企業人員安全意識培養機制,通過定期開展數據安全合規培訓,將法律法規、標準規范、案例事件等進行宣貫,逐步提升人員對數據安全的價值認識和威脅識別能力。
二是需要加強合規治理參與人員的技能培訓,對不同崗位的人員制定科學合理的培訓計劃,按照必備優先,先基礎、后專業、再全面的原則,逐步提升人員的專業技能。
三是需要建立應急演練機制,通過定期或事件觸發機制,對實際業務場景中的各類風險主題的處理方式、協作流程及響應機制等進行模擬演練,確保安全措施落實到位,安全處置流程正確有效等,全面提升數據安全合規治理運營保障能力。
4.7 形成電信數據安全合規核查體系
電信企業在監管部門和集團總部監督指導下通過集中開展數據安全合規性評估核查,監督基礎電信企業強化數據安全風險管理,及時消除重大數據安全風險。電信企業可將網絡數據安全責任和數據安全合規評估落實情況納入基礎電信企業安全責任考核檢查范疇,并持續開展對重要數據、個人信息、電信敏感數據泄露等網絡數據安全和用戶信息安全事件監測跟蹤,從而了解并掌握電信企業數據安全合規遵從現狀,并通過開展電信數據安全合規核查工作,持續優化、改進和實現對電信領域的數據安全合規要求,形成數據安全合規核查體系。電信企業可定期對大數據平臺及業務應用部門開展數據安全合規專項核查。
電信領域的數據安全合規核查體系的建立可由數據安全管理與運營合規核查、數據安全處理活動合規核查、大數據組件基線合規核查等部分組成。因篇幅緣故,本文不做贅述。
4.8 建立持續運作、不斷優化的數據安全合規治理體系
電信企業為全面掌握數據安全管控現狀,電信企業需以數據處理活動場景為線索,選取數據合規治理體系中關鍵的數據安全合規核查內容,從電信企業內部對數據安全關鍵流程實施管控。
電信企業可以根據組織的數據安全規范要求,選取適合對數據安全合規治理體系進行持續監督檢查的采集項,組成數據安全合規核查規范,并通過后續手段,對數據安全合規治理的采集項進行長期監督,使數據安全合規治理體系持續運營,并通過梳理資產、數據、用戶、權限等要求,指導安全技術、管理、運營能力不斷體系化的持續升級和改進。從而在持續合規核查和監督的基礎上持續優化和提升數據安全合規治理能力。
5 結束語
電信領域的數據安全合規治理建立在電信企業的數據安全管理工作內容和實現基礎上,在這個過程中需要達到業務運營與安全合規治理之間的平衡。在具體實施方面,以數據安全合規為邏輯起點,對企業的安全組織和制度規程能力、安全運營能力、安全技術能力三方面進行建設,提供可落地的數據安全合規綜合且正向循環解決方案。在運行維護過程中,進行合規性評估、風險評估、監督審核和持續改進,幫助企業建立起數據安全合規“評估—優化—改進—監督”正向循環體系,實現電信領域數據安全治理體系完善、數據有序流動的新局面。
