痛点

在整体运营管控过程中，涉及数据库审计、数据库运营、数据脱敏等多个安全防护系统，围绕分类分级成果，运用数据安全集中管控平台，进行多系统间的敏感数据识别策略、安全防护、事件及处置策略的联动管控，存在复杂的安全联动集成工作，在多个环节存在技术痛点：痛点一：传统的数据分类分级方法规则僵化且适应性差，难以准确识别多样性数据；痛点二：流量分散且规模大，传统数据流量风险监测和分析技术效果不理想，无法感知到全局的数据安全风险；痛点三：规则式审计策略僵化，误报频繁，导致审计效率低下，难以发现潜在威胁；痛点四：对数据访问控制、存储和传输过程管控手段颗粒度较大，数据流动控制不足，易造成数据泄露或滥用。

手段

江苏电信“四平台三网关”数据安全保障框架，以数据资产梳理、数据分类分级为基础，针对数据安全风险，聚焦数据安全全生命周期，以零信任数据访问控制、数据动静态脱敏、数据加解密、场景化穿透省市县乡四级的端到端审计机制等技术手段，构建从数据资产识别、安全防护、风险监测、响应和处置事件、到策略优化的数据安全控制体系，覆盖企业生产运营的各个环节，提示江苏电信数据安全治理能力。

成效

江苏电信通过多期工程建设，初步形成了“四平台三网关”的数据安全能力体系。经过数据安全运营防护建设，实现运营人员的操作规范化，保障生产核心敏感数据不被篡改、泄露，及数据库不因误操作而造成损害，实现重要数据实时监测和审计分析、数据发现和策略管控、事件监测和风险分析等能力的建设，形成数据安全闭环管理。

1.案例企业简介

中国电信股份有限公司江苏分公司（以下简称“江苏电信”）是中国电信股份有限公司在江苏行政区域范围内设立的全资子公司，统一使用“中国电信”服务商标。江苏电信作为省内主体骨干通信运营商，拥有领先的网络和安全能力，分布广泛的云和数据中心资源，遍布全省的服务机构；荣获多个国家、部省级奖项，专利800余项、软著2500余项。江苏电信致力于做领先的综合智能信息服务运营商，积极实施云改数转战略，助力网络强省，维护网信安全，服务社会民生，着力打造“服务型、科技型、安全型”企业。

2.案例背景

在当今信息化快速发展的时代，数据安全已成为企业面临的重大挑战。随着云计算和大数据技术的广泛应用，企业的数据存储和处理方式发生了根本性变化，且以网为基础、以云为核心，深度融合“云 + 网”IT 系统的云网融合一体化服务，已成为助力企业从单纯通信类业务向综合信息服务转型的重要抓手与业务着力点，然而随之而来的是复杂环境下数据流动和技术能力分散带来的数据安全风险，传统的安全防护措施无法应对复杂多变的网络环境和日益增长的安全威胁，导致数据泄露、篡改和滥用等事件频发。

如何在复杂的网络环境、超多的业务使用场景下，有效识别、监测和应对数据安全风险，确保数据在采集、存储、传输和使用的全生命周期过程中的安全，成为企业必须重视的问题。

数据安全治理方面，江苏电信存在以下痛点：

痛点一：传统的数据分类分级方法规则僵化且适应性差，难以准确识别多样性数据。传统数据分类分级方法的效率低下、准确度不足、适应性较差等问题，限制了其在实际应用中的效果，特别是在大数据时代背景下，如何高效、准确地对海量多样性的数据进行分类分级成为亟待解决的关键挑战。

痛点二：流量分散且规模大，传统数据流量风险监测和分析技术效果不理想，无法感知到全局的数据安全风险。运营商行业规模庞大、系统繁杂、人员众多，日常工作中数据明文传输、违规访问、非法导出等不合格操作行为难以及时发现，缺乏统一化数据安全态势视图，给电信行业内部数据安全事件的预防和调查造成困扰。如何以数据流量监测技术形成数据全链路流转过程的安全监测与整合分析成为当前电信行业亟需完善的数据安全防护手段。

痛点三：规则式审计策略僵化，误报频繁，导致审计效率低下，难以发现潜在威胁。规则式审计方法往往导致大量误报，消耗审计人员的精力，降低工作效率。同时，由于规则的局限性，某些潜在的安全威胁可能被漏报，增加了数据安全风险。审计人员不仅需要花费额外的时间来筛选误报，还面临无法及时发现真正威胁的困境，从而影响整体安全防护能力和响应速度。

痛点四：对数据访问控制、存储和传输过程管控手段颗粒度较大，数据流动控制不足，易造成数据泄露或滥用。在企业日常运营中，数据频繁地在前端应用、后端数据库以及不同系统之间流动。然而，现有的访问控制、存储和传输过程中的安全措施往往不够精细和完善，导致数据面临泄露或滥用的风险。这些薄弱环节不仅威胁到企业的信息安全，也可能导致严重的合规问题及经济损失。

3.实现方案

江苏电信以企业数据和个人信息为抓手，从单点数据安全防护到体系化防护转型，综合运用人员、数据、场景“三位一体”的数据安全治理思路，制定 “四平台三网关”数据安全保障框架并开展建设。明确“数据有序流动、安全受控使用”的目标、编制生产运营活动的规范、固化相关流程，研发数据安全管控平台、网信日志集中审计平台等数据安全能力手段，各数据安全组件实现海量安全数据汇集融通、能力联动，打造“万数追踪”数据安全品牌。

方法一：高效化的数据分类分级：双平台通力合作，实现结构化和非结构化数据的自动且智能化的分级分类，助力摸清数据家底。

基于“四平台”中的数据安全管控平台和文档安全平台，分别针对结构化数据和非结构化数据进行识别管理，通过人工智能技术实现数据分类分级智能辅助，摸清数据资产家底。

建设数据安全管控平台的智能化的自动分类分级技术，进行数据资产的自动梳理，根据数据特征自动识别敏感数据，形成分布地图，并向各系统管理员，快速输出数据分类分级清单。智能化的数据自动分类分级关键技术包括：

• 建立分类分级标签库，依据分类分级策略自动生成分类分级标签库。

• 系统内建识别算法，综合运用正则表达式、机器学习等技术，通过字段名、数据、字段描述三要素进行数据特征识别，发现敏感数据。

• 通过表名/字段名/描述，与智能分析或检索条件的关联统计，帮助“业务分类”进行统计确认，并可生成更加精确的分类策略。

• 通过表名的分析，自动生成“主从表”关系，一键完成主表分类结果复制到关联从表。

• 智能化分析字段名及字段描述，了解和定义数据的“业务分类”，还原业务流程。

紧密结合工信部行标和通信行业字段识别的特点，使用自然语义等技术准确识别。

方法二：智能化的数据风险监测：基于流量统一采集和AI技术关联分析实现数据安全态势感知。

基于“四平台”中的数据安全监测平台实时收集各个系统的生产流量，统一进行格式化清洗，基于大数据AI技术开展关联分析，并通过可视化组件动态展示数据资产运营视图、应用资产备案视图、数据流转视图、安全策略运营视图、风险事件视图、安全风险分析视图和安全事件追溯视图，实现整体数据安全态势感知，对数据安全风险事件进行实时监控和告警。

方法三：场景化的数据安全审计：基于日志审计平台，实现数据安全风险行为审计和闭环响应处置。

通过“四平台”中的日志审计平台，统一采集汇聚各类主机、安全设备、数据库、应用系统等六大类日志，根据访问行为、操作行为、账号安全等场景定制六大场景化审计策略；同时固化审计事件自动派单的闭环处置流程，同时和三网关进行联动，有效遏制风险操作，例如，针对对离职人员发生的违规操作场景，通过日志审计平台的定制相应的审计策略，一旦当发现存在离职人员违规操作立即与“三网关”进行协同，及时阻断相应操作。

数据安全审计系统突破传统的阈值分析手段，利用了大数据的算法做了分析建模，实现从历史数据里提取规则或模式来把数据转换成信息，数据预处理后形成特征，根据特征创建模型，通过学习后的模型对实时数据异常检测，提高告警的准确性。

同时建立用户行为基线模型，对流量日志数据、操作行为日志数据等应用系统日志进行深度数据挖掘，从用户访问行为中遍历用户频繁使用路径，并通过实时分析用户的行为轨迹，预先发现用户的一些操作异动，进一步将这些异动和既有的知识库中的标准访问路径进行比对匹配，能有效预测风险发生的可能性。

经平台分析挖掘的安全告警，生成工单信息，经流转派发和处理，审计员将处理结果回填到系统，实现信息安全生产管理闭环。整个流程中每个关键点的责任部门、处置方式、响应时间均可根据实际情况灵活调整，既实现了自动化审计派单的全流程闭环，又能够反向推动数据风险分析模型的持续优化。

方法四：精细化的数据访问监管：三类数据网关严格把关数据流动，实现数据全生命周期的安全防护。

基于“三网关”实现数据前端使用、后端入库和端-端传输的安全保护。

应用安全网关，旨在基于应用前台用户使用场景实现人员权限精细化控制，利用现有平台、终端安全准入等网络组件逐步实现边界防护，解决APP隐身、隐智能终端接入及终端数据防泄漏安全管理。

数据安全网关，基于应用前台数据到后端数据库的统一控制，实现数据库的数据识别、数据加解密、数据脱敏、数据泄露、访问控制、数据库防火墙等统一管理。

接口安全网关，借助接口能力开放平台实现企业全量数据接口认证、注册管理、服务管理、流量控制、接口审计，面向合作方开放的数据接口至少要具备接口认证鉴权与安全监控能力。

4.建设成效

江苏电信基于“四平台”实现全网安全数据集约管理、汇聚融通，支撑云网安全事件联动分析、集中展现与智能感知；基于“三网关”实现数据前端使用、后端入库和端-端传输的全路径穿透管理，增强全流程数据安全动态保护能力；通过专家经验固化、流程按需编排、能力打磨沉淀，以精准运营为牵引，实现数据安全事件的持续压降和预防。显著提升江苏电信数据安全管控能力及效率，完善数据安全治理体系。 

江苏电信发布三级管理制度，固化11类安全流程，穿透23类生产场景，高效开展数据治理工作；复用并结合网安的流量监测能力，实现数据流通全链路的安全监测，扩大数据安全监测范围的同时节约成本。