行业背景

目前数据显示，三家基础电信企业的移动用户总数达15.9亿，其中4G用户规模为12.73亿。在海量数据的价值需要流通、融合、共享中进一步被挖掘和提升。运营商大数据平台聚合了生产运营、网络承载、企业管理的数据，涉及万种属性，对外可输出八大类核心数据能力。如何促进数据安全与数据发展，提升数据安全治理和数据开发利用水平，促进以数据为关键要素的数字经济发展，成为运营商企业面临的重要难题。

通过数据共享，运营商隐藏的数据价值被释放，为企业、合作方提供决策支持。伴随数据价值逐渐被挖掘和重视，数据成为更多黑客的攻击目标，数据泄露事件随之频繁发生，近几年国内外数据泄露时间呈上升趋势，后果日益严重，运营商面临的外部安全威胁问题越来越严峻。

同时，随着业务版块不断丰富，数据收集分析需求增大，内部则需要更全面的安全防护手段和隐私保护技术来保证业务发展过程中的数据安全，防止在挖掘分析数据价值的过程中发生泄漏事件。如内部安全措施的不完善及外部威胁加剧，那么在未来很长一段时间数据安全问题将长期阻碍运营商发展。

运营商数据安全主要具有比例较大、类型多、敏感数据管理难，敏感数据分布广、资产梳理较复杂，数据流转路径多、数据融合度不够，5G服务难向上发展等因素。

安全需求

运营商数据安全管理及防护痛点

由于数据泄露、电信诈骗等安全事件的频繁发生，国家法律法规和内部管理对个人信息安全的保护要求不断提升，面向数据价值挖掘的数据融合共享一直未能得到深入发展。因此，如何促进数据安全与数据发展，提升数据安全治理和数据开发利用水平，促进以数据为关键要素的数字经济发展，成为运营商企业面临的难题。

法律法规及国家标准要求

在法律层面则需遵循已发布实施的《中华人民共和国网络安全法》，并参照《中华人民共和国数据安全法》、《个人信息保护法》。在国家标准层面，主要遵循《信息安全技术 个人信息安全规范》、《信息安全技术 大数据服务安全能力要求》、《信息安全技术 数据安全能力成熟度模型》、《信息安全技术 大数据安全管理指南》。

内部管理需求

由于过去烟囱式的开发方式和各业务独立的运营模式，运营商数据分布在不同部门，造成数据条块的分裂，不同系统之间数据标准不一致，敏感数据分散分布，管理人员难协调难管理。

对外服务需求

运营商开展数据对外服务目前面临的主要障碍是数据隐私保护问题，由于合作方不完全可信，而服务数据会涉及个人信息，这就面临着个人信息保护的巨大挑战。

解决方案

风险识别：在风险识别过程中，可采取数据识别技术识别出数据中的敏感数据，并依据数据分类分级标准将数据识别为不同的类别级别。数据识别一般发生在数据生命周期中的数据采集或存储阶段，为数据采集、存储、出来、共存等过程的差异化措施提供依据，降低数据泄露风险。

数据鉴别：在安全防御过程中，可采用数据源鉴别技术对数据的被采集方进行身份鉴别，保证数据来源的可靠性，防止非法数据源系统的接入和虚假数据的注入。数据源鉴别一般发正在数据生命周期中的数据采集阶段。

数据水印：采用数据水印技术向数据中注入标识信息，进而实现数据泄露后的追踪溯源。数据水印一般在数据共享阶段使用，如果共享数据发生泄露，数据水印技术可以实现数据泄露后的泄露源定位以及追踪溯源，起到一定的威慑作用，防止数据泄露事件再次发生。

数据脱敏：在数据处理、数据共享过程中，可采用数据脱敏技术对敏感数据按照脱敏规则进行数据的变形，实现在不泄露敏感数据的前提下保证业务的正常运行。数据脱敏处理的诗句范围包括用户个人信息与企业内部，保证在数据使用、共享等阶段使用过程中不被泄露。

数据加密：采用数据加密技术对敏感数据进行保护，能够实现敏感数据暴露后仍保持敏感数据的机密性。

安全审计：采用日志审计技术监督和检测系统内部用户的行为，防止企业敏感数据或重要数据流失。在用户行为发生后，通过对日志数据的收集、累积、分析，能够发现系统内部用户的异常行为，并及时提醒审计人员。

数据监控：通过对收集到的全量日志采取机器学习算法，进行精量化威胁分析，得出数据画像和用户画像，并实时监控数据访问和用户行为，然后结合数据的依赖关系和攻击手段，预测潜在的危险行为。

数据安全态势感知：利用数据安全态势感知技术动态、整体的洞悉安全风险，提升对数据安全威胁的发现识别、理解分析和响应处置能力，并以可视化方式将分析能力及结果进行展示。

创安恒宇认为要解决运营商当前面临的数据安全困境，需促进各数据系统的统一、融合。数据采集与预处理层对数据进行统一的清洗、预处理，便于上层进行统一的调用处理。通用能力层对不同数据源采集的数据进行格式转换、数据加密等处理，实现一致管控。专用能力层整合数据安全隐私处理能力，面向具体应用提供数据处理支撑。在5G时代，网络切片、边缘计算等新场景对数据安全提出了新的挑战，是运营商需要重点关注且保障的应用场景，数据共享、云计算等不同场景具有各自不同的安全需求，依赖专用能力层的安全技术，可满足多种不同场景的防护需求，提升集中管理能力，降低分散分布各自开发的开销和风险。

为了更好的发挥数据价值，解决数据孤岛问题，数据需要配合业务进行流转分发。但同时数据流转过程也是最容易出现安全问题的阶段。目前的数据安全技术手段更多的是静态防护，下一步需要从数据动态流转的角度来考虑数据安全问题。结合运行商数据量大、数据类型复杂、数据流转频繁的特点，未来将考虑以数据为中心，结合数据资产识别、数据流量解析等技术，建立以数据为中心、描绘数据流转路径和处理过程的抽象网络，解决数据既需要流转又需要保护的难题。