2020年网络数据安全合规性评估入选优秀案例系列展示之六 浙江移动大数据业务安全评估优秀案例丨安全助力数字化服务创新
数字经济是新兴技术和先进生产力的代表,把握数字经济发展大势,以信息化培育新动能,用新动能推动新发展,助力政府“最多跑一次”改革,协助公安部门开展通信诈骗防范,承担社会责任,是运营商的职责所在。
浙江移动已经率先开展大数据业务应用实践,主要分为内部应用和外部应用。内部主要应用在网络运维优化、市场竞争支撑、运营管理提升等场景。外部应用范围较广,根据国家相关部门在健康医疗、交通旅游服务、气象、农业农村、国土资源等领域出台的大数据发展文件,常见应用模式包括:统计报告、身份识别、客流分析等。
为综合防范大数据业务安全风险、保护用户个人隐私、保障公司业务健康发展,根据国家相关法律法规、电信主管部门及相关标准规范要求,对标工信部下发的《基础电信企业数据安全合规性评估要点》,浙江移动制定出一套适用于自身特点的大数据业务安全评估管理机制与方法,对业务运营中可能引发的各类数据安全风险进行分析评估,并明确管理要求和安全管控技术措施。
浙江移动大数据业务开展需要遵循五项基本原则,即:数据不出门原则;数据脱敏原则;个人信息授权原则;信息最小化原则;保密协议签署原则。同时建立大数据业务安全评估体系,包括评估准备、组织实施、评估总结、风险整改与复核、评估结果报备五个环节。坚持“责任明确、授权合理、流程规范、技管结合”的方针,按照“谁主管,谁负责;谁运营,谁负责;谁使用,谁负责;谁接入,谁负责”的原则,兼顾发展与安全,坚持发展与管理并重,充分发挥管理与技术的先进性优势,严格落实数据安全评估的各项工作,保障大数据业务安全。
图一:敏感数据分类分级示意图
落实《网络安全法》和电信主管部门要求, 按照大数据的类别属性、重要及敏感程度、使用目的等,对大数据进行分类分级。利用敏感数据存储检测平台,对目前存储在大数据组件(Hive、Hbase等)和MPP数据库(Gbase等)、以及关系型数据(teradata、oracle、pg等)中的海量数据进行敏感数据的识别与定位,对敏感数据标签化,实现敏感数据的分类分级呈现。通过对敏感数据的类型和属性分析、抽象出细粒度敏感数据关键字和元素。
图二: 大数据业务安全评估流程
严格落实数据对外使用过程中的合规评估,将大数据业务纳入互联网新技术新业务安全评估管理范围。明确大数据业务开展之前需要开展两轮安全评估,第一轮评估由业务责任部门负责开展,第二轮评估由法务、业务、安全管理部门共同建立评估组,并配套建设了大数据业务上线前数据安全合规评估线上电子流程,有效改善数据安全评估过程中的跨部门协作,大幅提升协作效率,固化流程,确保数据分析挖掘与对外开放的安全风险可控。
在大数据业务通过安全评估上线后,为了实时监管数据库访问情况,及时阻止违规操作,浙江移动还建设了数据安全网关,对数据调用情况进行记录及审计。已经建设服务管理层、服务提供层与安全管理层等模块, 重点增强敏感数据识别、数据访问脱敏处理、安全审计与安全控制能力等。数据安全网关提供了包括黑白名单管控(IP地址)、密钥配置、算法配置、规则配置等功能,还可以针对API配置的内容提供丰富的支持。
图三:数据安全网关管控流程
制定安全审计细则,包括操作审计、开发审计及输出审计三个方面。
一是操作审计,对客户合作人员的日常运维操作日志进行审计,防止在系统中违规操作或者预留后门程序。二是开发审计,对客户程序发布上线进行审计,防止程序漏洞或把高价值数据隐藏为低价值数据输出。三是输出审计,对输出的数据进行审计,防止输出数据与申请数据不一致,预防数据资产流失,保障数据价值。
安全是赋能业务稳定运行、企业可持续发展的必要前提。浙江移动自上而下推动大数据业务安全管理体系建设和管控手段落地,各部门联合作战,实现大数据业务的全生命周期安全保障;深化大数据在各行业创新应用,促进大数据产业健康发展,助推公司数字化转型升级,助力数字化服务创新发展。
声明:本文来自人民邮电报,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。