隨著電信行業的快速發展,新技術、新模式得到廣泛運用,用戶個人信息的泄露風險和保護難度不斷增大。國家相繼出臺法律法規及行業規范,對運營商數據安全監管提出了明確的要求。依據《2023年基礎電信企業專業公司網絡與信息安全工作考核要點與評分標準》、《電信和互聯網企業網絡數據安全合規性評估要點(2023年版)》和《工業和信息化領域數據安全管理辦法》,運營商需建立終端敏感數據識別、文檔加密及權限管控等能力,以滿足“具備對數據資產的識別脫敏能力”和“識別重要數據,形成重要數據清單”的考核要求,落實“存儲重要數據的,還應當采用校驗技術、密碼技術等措施進行安全存儲”的管理辦法。
運營商行業分支機構眾多、系統龐雜、覆蓋大量敏感數據,且企業自身安全技術團隊架構需要完善。在此背景下,如何做好數據安全保護,落實國家法律、法規及上級部門監管要求,成為運營商企業共同的難題。
需求分析
01運營商內部數據泄露事件頻發
根據近20起運營商重大數據泄露案件匯總(中國研究院整理)統計,因自身安全管理缺陷導致的數據泄露占70%。2023年,CCTV《今日說法》欄目報道了公安部督辦916電信詐騙黑灰產大案,揭露犯罪分子和某運營商公司的內鬼勾搭,從福建、河南、吉林等分公司內部獲取海量手機號碼直接在機房注冊虛假微信,賣給境外電信詐騙集團,造成數千萬經濟損失。
對于運營商來說,數據的安全處于內憂大于外患的情況中,急需內防為主的安全防護手段。
02代理商數據安全意識薄弱
因業務開展所需,運營商的客戶信息大量存在于代理商終端,且大部分信息涉及個人敏感數據。據中國研究院整理,因合作伙伴安全過失造成的數據泄露占25%。
代理商的數據安全意識往往比較薄弱,缺乏足夠的安全知識和技能,可能導致終端留存的數據被有意或無意地外發泄露、被黑客惡意獲取等情況。因此,需要采用必要的技術手段,避免代理商終端數據泄露的風險,保護客戶數據的安全。
二、解決方案
通過對標《網絡安全法》《數據安全法》《個人信息保護法》的相關要求,建立有標準、有執行、有檢查、有獎懲、有改進的數據安全保護“五有”工作體系,以數據安全高效管理保障業務高質量發展。管理上,不斷完善監督檢查工作機制和閉環管理體系;技術上,形成數據安全技術管控體系,提升防護能力。
堅持以查促改,以評促改,不斷完善技術手段管控,強化渠道、代理商、支撐單位等合作伙伴管理,落實各環節閉環監督檢查。通過建設數據安全檢測工具,有效避免渠道數據泄露風險問題,幫助渠道代理商快速檢索和發現業務受理電腦內儲存的敏感文件(含文件內敏感數據),對相關數據進行查看、刪除、標記白名單等操作,并對業務受理電腦的開機密碼、安全軟件等進行檢測和風險提示,幫助運營商在終端數據防泄露能力的基礎上增強渠道敏感數據檢測能力。
整體設計
▲數據安全合規檢查工具架構圖
數據安全合規檢查終端工具通過關鍵字、正則表達式等多維度規則,對常見office辦公文檔、壓縮包、圖片等格式內容進行識別掃描,支持快速查找及詳細掃描模式,對終端敏感數據進行合規檢查并追溯記錄,大大提高了終端數據安全級別,降低因不合規存放的數據外泄導致的安全風險。
數據安全合規檢查工具采用C/S架構和B/S架構相結合,內外網互通的架構思路,支持運營商行業開展全面檢查、部門自查、個人自查和整改復查等多維度檢查模式,并提供完善的統計分析報表等功能,實現保密檢查工作的網絡化、規范化、常態化管理,極大提高運營商保密檢查效率和保密管理工作水平。
三、主要能力
01 主動檢測
主動檢測掃描可自定義掃描路徑、規則、文檔格式等,對用戶終端的本地文檔進行全盤掃描,并對含敏感數據的文檔做審計、刪除處理、定位目錄、添加白名單等,有效保護終端數據安全。
02 自動檢測
自動檢測掃描可根據預先定義的規則和策略,配置自動檢測的條件,例如配置檢測執行路徑、檢測跳過路徑、文檔類型、文檔大小、允許自動檢測啟動和執行的終端性能指標等,通過控制臺下發周期性掃描任務,從而對終端敏感數據進行自動掃描防護。
03 終端環境檢查
終端資產檢查包括系統檢測,賬戶檢測,硬件檢測和軟件檢測。通過對系統全方位的檢測,直觀地展示出終端的資產情況,并生成可行性報告,通過控制臺可快速查看檢測結果,更好地滿足監管快速檢查的場景。
04 掃描規則配置
根據預先定義的規則對終端本地文檔內容進行掃描,進而對敏感文檔進行審計。掃描規則支持實時更新,系統還支持設置不同的掃描模式:一種是以效率優先的快速掃描模式;一種是以掃描內容更全面的詳細掃描模式。用戶可以根據關注業務的類型選擇不同的掃描模式。
05 掃描結果動態展示
將終端主動掃描結果進行動態展示,包括文件名、大小、存放路徑、文檔格式等,提供便捷有效的終端敏感文檔掃描定位手段。
四、實現效果
? 提高運營商敏感數據防泄露能力
通過建設和推廣,某運營商不僅提高了自身敏感數據泄露行為分析監測和處置能力,還為運營商行業敏感數據泄露防護能力的整體提升提供了很好的標桿示范作用,填補了傳統加密技術安全風險的不確定性。
? 賦能千行百業
作為等保重點保護對象及關鍵基礎設施的身份擔當,運營商通過增強對敏感數據泄露行為的分析監測與處置能力,持續優化敏感信息保護機制,確保數據資源可視、可管、可控,為數據的有序流動保駕護航。讓數據賦能千行百業,充分發揮數據生產要素的價值,推動數字化轉型,提升國家的綜合競爭力。
? 樹立良好的企業形象
通過增強數據安全檢測能力,運營商可以很好地補足合作方終端數據安全工作,確保數據安全,預防敏感數據泄露事件發生,增強用戶的認可度,用實際行動踐行《數據安全法》等法律法規的要求,為社會尤其是擁有大量敏感數據的企業樹立了正向的榜樣。
