數(shù)字經(jīng)濟是新興技術和先進生產(chǎn)力的代表�,把握數(shù)字經(jīng)濟發(fā)展大勢��,以信息化培育新動能����,用新動能推動新發(fā)展,助力政府“最多跑一次”改革����,協(xié)助公安部門開展通信詐騙防范,承擔社會責任�����,是運營商的職責所在�。
浙江移動已經(jīng)率先開展大數(shù)據(jù)業(yè)務應用實踐,主要分為內(nèi)部應用和外部應用�。內(nèi)部主要應用在網(wǎng)絡運維優(yōu)化、市場競爭支撐��、運營管理提升等場景����。外部應用范圍較廣����,根據(jù)國家相關部門在健康醫(yī)療����、交通旅游服務、氣象���、農(nóng)業(yè)農(nóng)村�����、國土資源等領域出臺的大數(shù)據(jù)發(fā)展文件���,常見應用模式包括:統(tǒng)計報告、身份識別�、客流分析等。
為綜合防范大數(shù)據(jù)業(yè)務安全風險��、保護用戶個人隱私���、保障公司業(yè)務健康發(fā)展�,根據(jù)國家相關法律法規(guī)��、電信主管部門及相關標準規(guī)范要求�����,對標工信部下發(fā)的《基礎電信企業(yè)數(shù)據(jù)安全合規(guī)性評估要點》�����,浙江移動制定出一套適用于自身特點的大數(shù)據(jù)業(yè)務安全評估管理機制與方法���,對業(yè)務運營中可能引發(fā)的各類數(shù)據(jù)安全風險進行分析評估��,并明確管理要求和安全管控技術措施��。
浙江移動大數(shù)據(jù)業(yè)務開展需要遵循五項基本原則��,即:數(shù)據(jù)不出門原則;數(shù)據(jù)脫敏原則;個人信息授權原則;信息最小化原則;保密協(xié)議簽署原則���。同時建立大數(shù)據(jù)業(yè)務安全評估體系,包括評估準備��、組織實施�、評估總結(jié)�����、風險整改與復核����、評估結(jié)果報備五個環(huán)節(jié)���。堅持“責任明確����、授權合理�、流程規(guī)范、技管結(jié)合”的方針�,按照“誰主管,誰負責;誰運營����,誰負責;誰使用,誰負責;誰接入��,誰負責”的原則�����,兼顧發(fā)展與安全,堅持發(fā)展與管理并重�����,充分發(fā)揮管理與技術的先進性優(yōu)勢�,嚴格落實數(shù)據(jù)安全評估的各項工作�����,保障大數(shù)據(jù)業(yè)務安全���。
圖一:敏感數(shù)據(jù)分類分級示意圖
落實《網(wǎng)絡安全法》和電信主管部門要求�,
按照大數(shù)據(jù)的類別屬性�、重要及敏感程度、使用目的等��,對大數(shù)據(jù)進行分類分級���。利用敏感數(shù)據(jù)存儲檢測平臺���,對目前存儲在大數(shù)據(jù)組件(Hive、Hbase等)和MPP數(shù)據(jù)庫(Gbase等)����、以及關系型數(shù)據(jù)(teradata�����、oracle�����、pg等)中的海量數(shù)據(jù)進行敏感數(shù)據(jù)的識別與定位����,對敏感數(shù)據(jù)標簽化����,實現(xiàn)敏感數(shù)據(jù)的分類分級呈現(xiàn)。通過對敏感數(shù)據(jù)的類型和屬性分析����、抽象出細粒度敏感數(shù)據(jù)關鍵字和元素。
圖二: 大數(shù)據(jù)業(yè)務安全評估流程
嚴格落實數(shù)據(jù)對外使用過程中的合規(guī)評估�����,將大數(shù)據(jù)業(yè)務納入互聯(lián)網(wǎng)新技術新業(yè)務安全評估管理范圍��。明確大數(shù)據(jù)業(yè)務開展之前需要開展兩輪安全評估,第一輪評估由業(yè)務責任部門負責開展��,第二輪評估由法務�����、業(yè)務��、安全管理部門共同建立評估組���,并配套建設了大數(shù)據(jù)業(yè)務上線前數(shù)據(jù)安全合規(guī)評估線上電子流程,有效改善數(shù)據(jù)安全評估過程中的跨部門協(xié)作��,大幅提升協(xié)作效率�,固化流程,確保數(shù)據(jù)分析挖掘與對外開放的安全風險可控��。
在大數(shù)據(jù)業(yè)務通過安全評估上線后��,為了實時監(jiān)管數(shù)據(jù)庫訪問情況�����,及時阻止違規(guī)操作�����,浙江移動還建設了數(shù)據(jù)安全網(wǎng)關,對數(shù)據(jù)調(diào)用情況進行記錄及審計��。已經(jīng)建設服務管理層�、服務提供層與安全管理層等模塊,
重點增強敏感數(shù)據(jù)識別����、數(shù)據(jù)訪問脫敏處理、安全審計與安全控制能力等���。數(shù)據(jù)安全網(wǎng)關提供了包括黑白名單管控(IP地址)�����、密鑰配置����、算法配置���、規(guī)則配置等功能����,還可以針對API配置的內(nèi)容提供豐富的支持。
圖三:數(shù)據(jù)安全網(wǎng)關管控流程
制定安全審計細則����,包括操作審計、開發(fā)審計及輸出審計三個方面�。
一是操作審計,對客戶合作人員的日常運維操作日志進行審計����,防止在系統(tǒng)中違規(guī)操作或者預留后門程序。二是開發(fā)審計���,對客戶程序發(fā)布上線進行審計,防止程序漏洞或把高價值數(shù)據(jù)隱藏為低價值數(shù)據(jù)輸出���。三是輸出審計��,對輸出的數(shù)據(jù)進行審計����,防止輸出數(shù)據(jù)與申請數(shù)據(jù)不一致��,預防數(shù)據(jù)資產(chǎn)流失���,保障數(shù)據(jù)價值�。
安全是賦能業(yè)務穩(wěn)定運行、企業(yè)可持續(xù)發(fā)展的必要前提���。浙江移動自上而下推動大數(shù)據(jù)業(yè)務安全管理體系建設和管控手段落地�,各部門聯(lián)合作戰(zhàn)����,實現(xiàn)大數(shù)據(jù)業(yè)務的全生命周期安全保障;深化大數(shù)據(jù)在各行業(yè)創(chuàng)新應用,促進大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展���,助推公司數(shù)字化轉(zhuǎn)型升級�����,助力數(shù)字化服務創(chuàng)新發(fā)展��。
聲明:本文來自人民郵電報�����,版權歸作者所有���。文章內(nèi)容僅代表作者獨立觀點�,不代表本站立場���,轉(zhuǎn)載目的在于傳遞更多信息��。如有侵權����,請聯(lián)系刪除�����。
等保測評咨詢
