关键领域数据安全建设观察——通信领域

 

当前，数据作为新型生产要素，促进着数字基础设施发展与产业迭代升级，推动着数字经济成为我国经济高质量发展的新引擎，与此同时，有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。

 

2021年上半年，国家“十四五规划”勾勒数字化发展蓝图，明确未来将高度关注“保障国家数据安全，加强个人信息保护”。2022年底出台的“数据二十条”，将维护国家数据安全、保护个人信息和商业秘密作为促进数据合规高效流通使用、赋能实体经济主线任务的前提。随后2023年初发布的《数字中国建设整体布局规划》，“数字安全屏障”作为数字中国建设整体框架的两大能力之一被提出。2023年10月，国家数据局揭牌，2024年1月出台“数据要素×”三年行动计划，坚持把安全贯穿数据要素价值创造和实现全过程，严守数据安全底线。

 

在如火如荼的数字化建设征程中，在统筹发展与安全的顶层规划下，各关键领域以及各地区的主管部门密集出台相关的数据条例与安全标准，有力落实上位法的监管要求，积极探索数字治理的中国方案。安全419将以各关键领域为维度，观察其在数字化建设大背景下数据安全的建设现状、监管要求、市场需求、难点及应对，以期为各行业的数据处理者带来一定的启发与有益的参考。

 

本期，我们走进通信领域。
 

 

 

当前，新一代信息通信网络正在从以信息传输为核心的传统电信网络设施，拓展为融感知、传输、存储、计算、处理为一体的，包括“双千兆”网络、数据中心等数据和算力设施、工业互联网等融合基础设施在内的新型数字基础设施体系。复杂的业务应用场景、大量的数据共享需求，扩大了数据泄露及未知风险的引入途径，数据安全形势严峻。

 

近年来，运营商等通信领域的大型机构遭数据窃取攻击的频次和力度呈现递增态势，在全球前十大电信企业中，美国威瑞森（Verizon）、美国AT&T、德国电信和日本NTT在近年都发生过不同程度的数据泄露事件，造成了严重的经济及信誉损失。

 

数据安全事件风险防范压力正随着运营商云网融合战略、通信企业掌握的数据价值提升而进一步增加。过去，安全工作的重点在通用安全层面，对于数据安全防护层面的研究起步较晚。在数据采集、传输、存储、使用等环节都面临诸多安全挑战，比如：

 

海量数据收集过程中，数据真实性难以得到保证；

数据传输过程中，数据被窃取、篡改；

数据处理过程中，内部人员违规、越权、恶意操作导致数据泄露；

数据开放和共享过程中，数据流转到第三方、数据流出管理边界，难以管控和防范敏感数据被外泄或数据被二次分发；

新旧系统替换过程中，由于模拟割接环境及测试环境数据的管控缺失，存在数据批量泄露的风险。

 

 

加强数据治理、保护数据安全已成为通信领域高质量发展的迫切需求，在工信部发布的《“十四五”信息通信行业发展规划》中，全面加强网络和数据安全保障体系和能力建设被列为新时期的发展重点之一，对增强行业关键信息基础设施安全保障能力、系统完善网络数据安全治理体系、持续提升新型数字基础设施安全管理水平均作出具体要求。

 

过去几年陆续出台的《基础电信企业数据分类分级方法》《基础电信企业重要数据识别指南》等行业标准，《电信和互联网用户个人信息保护规定》《电信网和互联网大数据平台安全防护要求》等行业政策为数据安全体系建设的实施明确了方向和路径。

 

监管步伐也紧随其后，2022年，工信部办公厅印发省级基础电信企业网络与信息安全工作考核要点与评分标准，要求各通管局、运营商认真贯彻执行考评工作；2023年，各省市通管局接连开展电信和互联网行业数据安全专项行动，将重要数据和核心数据识别认定及目录管理、数据安全风险评估管理、数据全生命周期安全管理等工作落到实处。

 

 

通信领域机构的业务系统及网络系统经过多年建设，已形成数据结构复杂的大型数据库，再基于上述的安全目标及要求，数据安全防护体系建设必然是一个长期持续的过程，需要在企业内落实数据安全管理和技术要求，并基于企业内部业务系统以及业务流程的自身特点、具体业务场景不断调整和优化，根据安全趋势选择好用易用的技术工具，形成数据安全运营长效机制。在此，安全419基于调研观察，选取了面向通信领域的、从不同视角切入的数据安全建设方案，为业界同仁提供参考。

 

针对数据全生命周期进行安全管控及管理是新时期监管要求中的核心思维，也是如今解决方案的主流实践方向。瑞数信息基于数据的关键生命周期节点，推出基于多种安全技术打造的数据安全管控平台，一体化承载Web、H5、App、API、微信和小程序等多种应用数据的安全，覆盖数据的传输、提供、公开、使用和存储多个环节，通过动态安全引擎、AI数据行为分析引擎、响应与应急恢复引擎技术，依托平台建立的数据安全底座，提供数据异常访问监控、数据泄露管控、数据滥用行为、数据勒索行为等数据安全防护。

 

 

数据传输环节，以“动态防护”技术为核心，采用一次一密技术进行数据混淆，使得传输内容的混淆结果每次不同，从而提高攻击者的破解难度，实现安全传输，防止中间人攻击及产生的数据伪造或篡改。数据提供环节，瑞数API动态安全方案，可以从敏感数据的接口识别、攻击检测、异常行为处置、行为审计四大方面，实现对API的数据风险检测、防护和处置，避免因API滥用导致的敏感数据泄露。数据公开环节，通过人机识别、行为分析、按需拦截等技术，对Web、APP、小程序、H5、微信、API等全应用接入渠道，实现外挂和数据爬虫的防护。数据使用和存储环节，以瑞数数据安全底座为支撑，采用了基于AI的快速数据检测与响应技术，提供数据使用中的风险管理、实时智能行为检测、威胁验证和快速恢复等功能，有效反击黑客勒索、 防止批量数据泄露和破坏的安全能力，构筑起事前、事中、事后三道防线的纵深防御体系。

 

 

面对逐步趋严的监管步伐，通信领域数据安全建设在评价、监测、追责多个层面都面临严峻挑战，由内到外的数据安全合规监管体系是保障通信系统数据安全和通信系统安全稳定运行的基础。思维世纪对此提出，依托数据安全管控平台，搭建“技-管”结合桥梁，支撑开展行业数据备案管理、事件通报、溯源核查、技术检测和安全认证等工作，内部具备数据态势分析、数据外发与上报等能力，通过数据上报实现与外部监管侧的有效结合，开展数据安全常态化运营，落实组织数据安全战略、数据安全管控要求。

 

该方案的设计理念是以数据为中心，以业务为对象，关注重点监管对象互联网数据暴露面、数据流向、数据行为、数据获取方等多方面安全风险；以监管为核心，以企事业单位为目标，关注互联网数据安全热点，持续提升技术能力，发挥单位职能；以长效数据安全监管预警为方向，打破技术孤岛，实现数据安全威胁数据共享整合及监测预警，支撑监管部门数据安全风险信息的获取、分析、研判、预警工作。

 

产品侧从安全运营的目的出发，在获取数据源（即网络流量采集解析）之后，通过暴露面梳理、策略定义与编排、风险影响与建议三个角度分别进行事前发现数据风险、事中监测行为安全、事后识别泄露途径的三个步骤，以实现风险发现、监测预警、溯源追踪，督促组织提升数据安全能力的目的。

 

 

进一步剖析数据安全监管平台逻辑框架，数据采集层通过旁路镜像、agent、pcap等方式采集流量数据，同时采集外部威胁情报数据，为后续监管和溯源分析做支撑。模型层基于大数据、AI等技术，构建数据识别、分类分级、特征分析、告警分析、基线学习、指纹学习、日志分析、行为分析、关联分析等底层算法模型，为数据应用层提供支撑。应用层实现数据暴露面监管、数据安全风险检测与监管、溯源分析、系统安全等应用，为主管部门各类监管场景提供支撑。

 

 

纵观通信领域近年发生的数据泄露事件，综合分析主要由外部攻击、内部安全管理缺失以及外部合作伙伴过失造成。针对占比较高的外部窃密威胁，中国电信研究院战略发展研究所提出采取数据访问的“严监控”+数据储存的“重隔离”策略加以防范。“严监控”旨在通过建立专业的检测团队，通过日志审计防范敏感数据通过应用API接口、邮箱、终端设备泄漏至公网；“重隔离”的核心思想是切割数据集，减少非法访问的破坏性。由于通信数据种类繁多且价值差异巨大，包含了用户的基础信息、套餐状况和消费偏好等，故应坚持底线思维，对数据进行分类，根据敏感程度和价值制定不同的安全策略，将重要数据，比如客户话费信息、套餐积分等进行隔离，以有效降低信息资产暴露面。

 

同时坚持内部安全管理双管齐下。通信领域业务人员复杂，从集成、开发、测试，再到营销、代销、客服，存在大量数据出口，内鬼或操作事故难以彻底封堵，故防护核心是缩小核心数据的访问人群，防范内部人员滥用访问权限，越权访问并违规下载数据。通过人员权限细分、控制、日志审计和考核，以降低敏感数据被非法批量下载和导出的风险。此外，需要建立更严格的权限管理机制，依据数据访问“最小授权原则”，确保只有授权人员能够访问特定数据。

 

另一方面，通信企业通常在客服中心、增值业务、基站运维、人力培训等业务领域广泛采用外部服务，并共享有关的业务数据，但也由此延伸出数据外泄风险。需要加强对合作商的数据安全资质审核，包括制定严格的数据保护政策和规定、审查外包合作伙伴的安全能力和信誉、签署保密协议和法律协议、建立监控和审计机制以及加强员工培训和管理等；从长期来看，应从数据安全维度重新审视外包合同，将涉及到核心数据的业务内部化，或全资收购无法实现自研自主的安全业务所属公司，加强内部技术人才的培养，从根源减少对合作商的依赖，避免不必要的敏感数据分享。

 

 

新型通信基础设施的建设、海量数据进一步集中利用让网络供给和服务能力显著增强，数据安全建设及治理是实现高效、安全的数据挖掘利用不可或缺的一环。欢迎更多在通信数据安全领域具有前瞻思考和成功实践的甲乙方与我们交流，为业界呈现丰富且有益的建设参考，不断加深信息通信技术与经济社会的融合程度，切实提升行业抗击风险的能力水平，实现行业高质量发展。