安恒信息为中国联合网络通信提供数据安全服务

案例背景

       为贯彻落实工业和信息化部《2021年基础电信企业行业数据安全标准贯标工作方案》（工信厅网安函〔2021〕132号）、落实中国联通集团和省通信管理局关于数据安全标准贯标工作要求。按照数据“谁生成谁负责，谁使用谁负责，谁存储谁负责，谁运营谁负责、谁主管谁负责，谁审批谁监管”的总体原则，统一归口管理、分专业负责的方式推进贯标工作。通过数据安全评估，企业数据资产梳理、数据安全平台能力建设等建设，落实中国联合网络通信有限公司湖北省分公司围绕数据生命周期的安全整体能力体系建设。

需求分析

       随着信息技术的高速发展和广泛应用，湖北联通业务越来越依赖于信息的支撑。在这些业务系统中，存在着包含企业商业秘密和用户敏感信息的大量的业务数据，如果这些商业秘密和用户敏感数据发生外泄等安全事件，轻则影响业务开展，重则将可能影响到企业核心竞争力。

       中国联通十四五规划中提到建设五全安全体系，保障全域安全，为全面数字化转型保驾增值。提升数据安全防护能力，以现有数据安全能力为依托，覆盖数据全生命周期，将数据水印、数据防篡改、数据脱敏、数据加解密等核心功能，同时建设补全针对性的防护能力，不断完善形成 标准合规的数据安全防护解决方案；建设全集团商密防护平台，建立公司商业秘密使用规范，保护公司内部商业秘密的安全，降低商业秘密泄露风险，逐步实现预警处置、智能分析、提前感知。

       《2021年省级基础电信企业网络与信息安全工作考核要点与评分标准》已经下发，本次数据安全管理部分包括数据安全合规性评估、数据分类分级管理、数据安全重点技术能力建设和使用、数据安全态势信息报备、数据对外合作使用与共享安全管理等。

       《中国联通2021年数据安全量化检查方案》及《中国联通2021年数据安全量化检查评分表》明确了2021年中国联通数据的通用安全、全生命周期安全、重点技术能力的具体标准和检查方法。

       湖北联通现有数据安全技术能力较为薄弱，2021年工信部考核及中国联通数据安全检查中要求的一些技术能力及服务尚不具备，建设数据安全管理平台及相关技术能力可以加强湖北联通数据安全管控能力，提升数据安全管控水平，满足中国联通规划和工信部数据安全合规评估考核要求。

技术方案

根据相关要求，结合湖北联通数据安全管理实际工作需要，修订完善了《中国联通湖北省分公司数据安全管理办法》（2021修订版）、《湖北联通数据安全应急预案》。

       湖北联通通过安恒信息的安全产品及服务，实现企业数据安全的全生命的管理，形成数据“采集-使用-存储-共享-销毁”全过程安全管控和审计。

      在数据分级分类和重要数据识别方面，通过部署数据安全分级与风险评估系统AiSort，实现用户数据自动发现、敏感数据识别等，同时还利用模板配置等方式，组织人员依据《基础电信企业数据分类分级方法》，完成公司B域和O域核心业务系统的数据分级分类和重要数据识别。

       在数据脱敏方面，部署了AiMask数据脱敏系统，通过内置的脱敏算法，实现对重要敏感数据的脱敏能力，使脱敏后的数据能够安全的应用于测试、开发、分析，和第三方使用环境中。

       在数据安全审计方面，在服务器边界部署4A系统，通过访问控制策略，将所有运维的操作只允许通过4A系统进行操作；部署了数据库审计与风险控制系统，通过agent的方式完成对待审计数据库的流量进行检测和分析，完成对数据库增删改查行为进行实时审计、对数据库的恶意攻击、数据库违规访问等行为识别。

       在数据防泄漏方面，部署了AiDLP数据防泄漏系统，对传输中、存储中、使用中的数据进行检测，依据预先定义的策略，识别敏感数据，实施特定响应，最终有效防护企业敏感数据的数据安全系统。

       在数据库加密方面，部署了AiTDE透明数据库加密系统，基于 SM2、 SM3、 SM4标准国密算法和用户自主可控的密钥管理系统，通过旁路部署，在待加密的数据库系统底层新建加密分区部署加密程序，确保加密程序与管理中心互通，可实现对待加密数据库的加密行为。

       在接口应用安全方面，在联通安全管理区部署有TAM零信任体系。通过身份管理、身份认证、动态授权、快速风险响应、追溯审计等多种技术手段，解决WEB应用访问场景下的实体身份安全及权限控制问题。

       此外对湖北联通进行全面的数据安全合规性评估，评估内容包含但不限于企业整体数据安全保护水平评估、新上线及重点存量业务数据安全合规性评估、核心数据处理活动平台系统数据安全合规性评估等，形成各类数据安全合规性评估报告并督促相关方进行整改。

      目前湖北联通单位已完成全部数据的分级分类梳理，自动识别的数据占比达95.27%，通过AiSort提供数据安全分类分级监管大屏，可以直观的展示数据源的分类分级情况，重要数据情况以及风险指数情况。

应用效果

1、经济效益分析

提升数字竞争力和拓展数字经济空间潜力

      数据安全以数据为核心，数据已成为驱动业务、经济发展的核心要素，需要保障业务相对安全稳定运行，保障发展战略更好落地。通过对业务及战略的有效支撑，从而实现业务线可持续、稳定的产生价值，同时有了数据安全保驾护航，减少了因数据破坏造成的经济损害，提升了数字竞争力和拓展数字经济空间潜力。

2、社会效益分析

（1）有利于促进互联网时代数据安全防护创新

       通过湖北联通贯标工作的落实，探索行业内数据安全最佳实践，推动电信行业加快数据安全的落地和执行，能够让数据安全变得可控、可管，为业务发展保驾护航。

构建了以数据为核心的安全防护能力。

       改变传统以信息系统为防护对象的设计思路，构建以数据为保护对象的安全防护体系，通过对数据的分级分类，让企业更清晰的了解到敏感数据和重要数据的存储位置和路径，更加利于单位有针对性的建立覆盖数据全生命周期的安全防护体系，加强数据采集、存储、处理、交换等关键环节的保障能力建设，实现在数据全生命周期的安全防护。

（2）构建立体、纵深的安全防御体系

       通过定期的风险评估，及时发现和消除各类安全隐患。同时针对数据安全综合采用泄露防护、入侵防护、风险内控、安全审计等多种技术和措施，实现数据的可用性、完整性和保密性保护，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。

案例亮点和创新点

1、规章制度建设：

       整体项目根据工信部和中国联通集团的相关文件以及有关的法律法规，结合湖北联通实际情况，制定《中国联通湖北省分公司数据安全管理办法（2021修订版）》，该制度对分级分类和重要数据作出了明确的要求：如第八条规定依据数据内容涉及的主体不同划分为用户相关数据信息、企业自身数据两大类，然后对每一类的数据类型也给予了参照。如第十三条规定将企业在运营中收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及公共利益密切相关的数据，特别是与国家基础通信网络安全密切相关的数据定义为重要数据。

2、技术手段应用：

       湖北联通建设的数据分级分类系统，为了保证安全性和合理分区分域的管理原则，分级分类系统为软件方式部署，部署在B域的核心业务区，保障分级分类系统与目标数据库网络可达。同时，考虑到联通的实际业务分为B域和O域两个逻辑域，为了保证统一的管理性，通过ACL访问控制策略，实现了分级分类系统与O域目标数据库的打通，有效的保证了湖北联通数据分级分类工作的统一性。

       AiSort数据分级分类系统基于网络嗅探技术，可自动寻找发现网络环境中存在的海量数据和锁定保护对象，通过全方位扫描，给予出当前漏洞分析、数据库配置检查和账号权限梳理等风险评估，并给出加固建议。同时产品在对数据取样时采用对全部数据随机采样，相较于传统的取前N行的取样方式，采样数据覆盖更全面，更准确，可有效避免由于数据有效性导致分类分级不准确的情况。在数据资产中精准区分敏感数据与非敏感数据，通过内置AI机器学习算法规则和内置行业法规标准，基于深度学习+条件随机场的命名实体识别模型，可以更准确、高效的识别，并自动对其存储的数据进行分类、分级，并根据结果做进一步的安全防护，如细粒度访问控制、加密保存等。产品内置多个行业、多法规的分级分类标准模版，包括但不限于：金融、证券、电信、GDPR、CCPA、等保、网络安全法、数据安全法和个人信息安全规范等分级分类模版；同时提供各模板标准附件供用户查阅。此外，用户也可以按照指引导入自己企业内部的分级分类标准。同时产品包含使用 Apriori 或 FP-growth 关联规则等算法，训练出的推荐模型，可对命中多个规则与分级分类包的情况，给出分类分级推荐度排序，最高推荐度作为缺省分类、分级；用户也可以根据推荐度列表手动选择数据类别、等级。

◆ ◆ ◆ ◆

编发：龚梦琪

审核：王彬