運營商數(shù)據(jù)安全防護體系研究與實踐*

關(guān)昕健

（中移動信息技術(shù)有限公司，廣東 廣州 510620）

0 引言

近年來，數(shù)字經(jīng)濟的浪潮席卷全球，國家高度重視數(shù)據(jù)安全，相繼頒布了《數(shù)據(jù)安全法》《個人隱私保護法》，從數(shù)據(jù)全生命周期對數(shù)據(jù)安全保護進行了闡釋。2022年12月，中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（以下簡稱《意見》），《意見》指出，數(shù)據(jù)正在成為企業(yè)重要的生產(chǎn)資料，并且會在流動、交換的過程中創(chuàng)造新的價值。IBM Security發(fā)布的《2023年數(shù)據(jù)泄露成本報告》顯示[1]，2023年全球數(shù)據(jù)泄露事件給企業(yè)和組織造成的經(jīng)濟損失和影響力度達到前所未有的水平，單個數(shù)據(jù)泄露事件造成了平均高達445萬美元的損失，全球數(shù)據(jù)泄露成本在過去兩年間上漲近15%。數(shù)據(jù)泄露風(fēng)險已經(jīng)成為企業(yè)最擔(dān)心的問題。

運營商的業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)經(jīng)過多年建設(shè)，已形成數(shù)據(jù)結(jié)構(gòu)復(fù)雜的大型數(shù)據(jù)庫，如何應(yīng)對新的網(wǎng)絡(luò)安全形勢下的數(shù)據(jù)保障要求，確保核心數(shù)據(jù)的保密性、完整性和可用性，在保障用戶利益、體驗和隱私的基礎(chǔ)上充分發(fā)揮數(shù)據(jù)價值，成為業(yè)界密切關(guān)注的議題。本文調(diào)研了運營商數(shù)據(jù)資產(chǎn)以及數(shù)據(jù)安全防護現(xiàn)狀，闡述了企業(yè)數(shù)據(jù)防護體系研究與實踐成果。

1 研究背景

1.1 運營商數(shù)據(jù)資產(chǎn)現(xiàn)狀

《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》[2]中，依據(jù)數(shù)據(jù)對象發(fā)生安全事件時對國家安全、社會公共利益、企業(yè)利益及用戶利益的影響程度，將數(shù)據(jù)安全級別的劃分從高到低分為4級、3級、2級、1級。運營商涉敏數(shù)據(jù)可大致分為3類：第一類是用戶信息數(shù)據(jù)，包括用戶身份信息、終端信息等；第二類是用戶消費類數(shù)據(jù)，包括用戶通信消費情況、賬單等；第三類是用戶行為數(shù)據(jù)，包括用戶通話行為記錄、上網(wǎng)行為記錄等。由于在數(shù)據(jù)對外應(yīng)用和開放過程中存在大量數(shù)據(jù)的產(chǎn)生、存儲和分析，使得運營商面臨數(shù)據(jù)保密、用戶隱私、商業(yè)合作等一系列問題[3]。

由于業(yè)務(wù)系統(tǒng)隨業(yè)務(wù)發(fā)展不斷建設(shè)擴容，導(dǎo)致數(shù)據(jù)來源非常龐雜，數(shù)據(jù)體量大、維度多[4]，不同系統(tǒng)數(shù)據(jù)之間存在一定關(guān)聯(lián)，數(shù)據(jù)流轉(zhuǎn)場景多變。整體來說，數(shù)據(jù)資產(chǎn)呈現(xiàn)部署分散、敏感數(shù)據(jù)關(guān)聯(lián)度高、數(shù)據(jù)交換共享場景多的特點。

1.2 數(shù)據(jù)安全防護的挑戰(zhàn)

隨著運營商掌握的數(shù)據(jù)價值越來越高，數(shù)據(jù)逐漸成為黑產(chǎn)的重點交易對象，同時核心數(shù)據(jù)泄露帶來的社會形象、經(jīng)濟等方面的損失也越來越大，并且隨著電信運營商云網(wǎng)融合等戰(zhàn)略背景下IT系統(tǒng)陸續(xù)上云，數(shù)據(jù)進一步集中、流通使得數(shù)據(jù)安全風(fēng)險迅速增大。此前，企業(yè)網(wǎng)絡(luò)安全的重點放在通用安全層面，對于數(shù)據(jù)安全防護層面的研究起步較晚。數(shù)據(jù)在采集、傳輸、存儲、使用等環(huán)節(jié)都面臨諸多安全挑戰(zhàn)，包括：海量數(shù)據(jù)收集過程中，數(shù)據(jù)真實性難以得到保證；數(shù)據(jù)傳輸過程中，數(shù)據(jù)被竊取、篡改；數(shù)據(jù)處理過程中，內(nèi)部人員違規(guī)、越權(quán)、惡意操作導(dǎo)致數(shù)據(jù)泄露；數(shù)據(jù)開放和共享過程中，數(shù)據(jù)流轉(zhuǎn)到第三方、數(shù)據(jù)流出管理邊界，難以管控和防范敏感數(shù)據(jù)被外泄或數(shù)據(jù)被二次分發(fā)[5]；新舊系統(tǒng)替換過程中，由于模擬割接環(huán)境及測試環(huán)境數(shù)據(jù)的管控缺失，存在數(shù)據(jù)批量泄露的風(fēng)險。

在數(shù)據(jù)資產(chǎn)眾多且分散的情況下，依靠人工參與并結(jié)合自動化技術(shù)來開展數(shù)據(jù)資產(chǎn)管理、識別敏感數(shù)據(jù)的方式，無法滿足時間和效果方面的需求。敏感數(shù)據(jù)防護手段主要依賴于業(yè)務(wù)系統(tǒng)自查實現(xiàn)，難以保證同一級別數(shù)據(jù)在不同系統(tǒng)上能夠?qū)嵤┑燃壱恢碌臄?shù)據(jù)安全策略。因此，當(dāng)敏感數(shù)據(jù)流轉(zhuǎn)到安全防護能力較低的系統(tǒng)時，有可能因短板效應(yīng)而導(dǎo)致系統(tǒng)防護失效；運營商業(yè)務(wù)系統(tǒng)由于業(yè)務(wù)壓力倉促上線，導(dǎo)致敏感數(shù)據(jù)未實施相應(yīng)的數(shù)據(jù)安全防護措施，這類問題給數(shù)據(jù)安全防護措施的開展帶來很大的挑戰(zhàn)。

2 數(shù)據(jù)安全防護體系實踐

數(shù)據(jù)安全防護體系建設(shè)是一個長期持續(xù)的過程，需要在企業(yè)內(nèi)落實數(shù)據(jù)安全管理和技術(shù)要求，并基于企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)以及業(yè)務(wù)流程的自身特點、具體業(yè)務(wù)場景不斷調(diào)整和優(yōu)化，根據(jù)安全趨勢選擇好用易用的技術(shù)工具，形成數(shù)據(jù)安全運營長效機制。本文基于國家、行業(yè)以及公司管理要求，結(jié)合運營商企業(yè)現(xiàn)狀及數(shù)據(jù)安全目標，介紹了數(shù)據(jù)安全防護體系實踐經(jīng)驗。

數(shù)據(jù)安全防護體系中數(shù)據(jù)安全合規(guī)制度作為上層建筑，如圖1所示，指導(dǎo)數(shù)據(jù)安全技術(shù)建設(shè)及數(shù)據(jù)安全運營開展。數(shù)據(jù)安全合規(guī)制度分為宏觀戰(zhàn)略、中觀管理和微觀實施3個層面。其中，宏觀戰(zhàn)略是由國家數(shù)據(jù)安全相關(guān)的四法四例四規(guī)組成；中觀管理是企業(yè)基于行業(yè)及企業(yè)內(nèi)部場景制定的數(shù)據(jù)安全管理制度及辦法，讓實際落地具備可行性；微觀實施是制定相應(yīng)的數(shù)據(jù)安全細則及操作規(guī)范。數(shù)據(jù)安全技術(shù)管控和數(shù)據(jù)安全運營支撐數(shù)據(jù)安全合規(guī)制度落地。在實踐過程中，數(shù)據(jù)安全技術(shù)管控并不是單獨建設(shè)數(shù)據(jù)安全技術(shù)平臺，而是基于企業(yè)已有的安全技術(shù)能力之上完善數(shù)據(jù)安全防護能力，構(gòu)建更全面的數(shù)據(jù)安全防護技術(shù)底座；數(shù)據(jù)安全運營是人與技術(shù)的有機結(jié)合，高效運營離不開人員對數(shù)據(jù)安全判斷力的提升，通過全面檢查及響應(yīng)演練機制進一步提升數(shù)據(jù)安全實戰(zhàn)能力，做到業(yè)務(wù)與安全的有效整合。

圖1 數(shù)據(jù)安全防護體系

2.1 數(shù)據(jù)安全組織架構(gòu)

運營商的數(shù)據(jù)安全防護體系落地需要在組織架構(gòu)層面明確數(shù)據(jù)安全防護是業(yè)務(wù)和安全團隊共同的目標[6]，在體系建設(shè)過程中平衡好數(shù)據(jù)安全與業(yè)務(wù)發(fā)展之間的關(guān)系。通過明確數(shù)據(jù)安全責(zé)任驅(qū)動企業(yè)全員參與數(shù)據(jù)安全保護工作[7]，建立企業(yè)數(shù)據(jù)安全合規(guī)文化，實現(xiàn)數(shù)據(jù)安全責(zé)任全員工覆蓋、數(shù)據(jù)全生命周期安全管理覆蓋，在履行法律義務(wù)的同時，為企業(yè)數(shù)字化發(fā)展營造良好的生產(chǎn)經(jīng)營環(huán)境。數(shù)據(jù)安全組織架構(gòu)及角色職責(zé)如圖2所示。

圖2 數(shù)據(jù)安全組織架構(gòu)及角色職責(zé)

數(shù)據(jù)安全領(lǐng)導(dǎo)層由公司領(lǐng)導(dǎo)層負責(zé)，要具備跨部門橫向協(xié)調(diào)的能力，負責(zé)企業(yè)數(shù)據(jù)安全制度決策，并且授權(quán)安全管理部門推動數(shù)據(jù)安全措施落地。

數(shù)據(jù)安全管理層由安全管理部門負責(zé)，由數(shù)據(jù)安全領(lǐng)導(dǎo)層授權(quán)其制定數(shù)據(jù)安全管理辦法、數(shù)據(jù)分類分級管理辦法等，指導(dǎo)和監(jiān)督業(yè)務(wù)部門開展數(shù)據(jù)安全工作，包括但不限于明確數(shù)據(jù)所有者，制定數(shù)據(jù)風(fēng)險所有者分擔(dān)策略，保證數(shù)據(jù)安全相關(guān)人員穩(wěn)定性，通過安全三同步將數(shù)據(jù)安全治理嵌入系統(tǒng)建設(shè)全生命周期，實現(xiàn)安全與業(yè)務(wù)的緊耦合。數(shù)據(jù)安全管理要求應(yīng)嵌入系統(tǒng)規(guī)劃、需求分析、設(shè)計方案、開發(fā)測試、上線運營直至系統(tǒng)下線的各個環(huán)節(jié)中，如圖3所示。

圖3 數(shù)據(jù)安全嵌入系統(tǒng)全生命周期同步開展

數(shù)據(jù)安全執(zhí)行層是由各個業(yè)務(wù)部門負責(zé)，在新建、擴容、運營系統(tǒng)過程中，按數(shù)據(jù)安全制度要求實施數(shù)據(jù)安全策略，包括但不限于在系統(tǒng)建設(shè)過程中落實安全三同步、定期開展數(shù)據(jù)安全應(yīng)急預(yù)案的更新與演練、根據(jù)安全監(jiān)測告警啟動安全應(yīng)急處置、實現(xiàn)安全災(zāi)難恢復(fù)等相關(guān)工作。業(yè)務(wù)部門系統(tǒng)負責(zé)人在開展業(yè)務(wù)時要圍繞數(shù)據(jù)市場價值、數(shù)據(jù)泄露危害程度及脆弱程度，聯(lián)合數(shù)據(jù)安全管理部門進行針對性的數(shù)據(jù)安全風(fēng)險分析，將數(shù)據(jù)安全管控措施落實到業(yè)務(wù)處理流程中。

數(shù)據(jù)安全參與層由內(nèi)部員工及供應(yīng)商合作伙伴負責(zé)，強調(diào)數(shù)據(jù)安全人人有責(zé)，包括但不限于參加與數(shù)據(jù)安全相關(guān)的培訓(xùn)，在日常工作中遵守數(shù)據(jù)安全合規(guī)要求。數(shù)據(jù)安全組織架構(gòu)是從上到下，貫穿企業(yè)所有業(yè)務(wù)流程，涉及企業(yè)內(nèi)外部成員。

2.2 基于零信任的數(shù)據(jù)安全防護方案

2019年4月，美國技術(shù)委員會發(fā)布的《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢》白皮書指出[8]，零信任是一種關(guān)注數(shù)據(jù)保護的架構(gòu)方法，提供了一種基于身份的更細粒度的訪問控制方法。網(wǎng)絡(luò)中的一切實體，不區(qū)分外網(wǎng)與內(nèi)網(wǎng)，均默認為不可信的，都需要經(jīng)過認證和授權(quán)。對實體的認證與授權(quán)以單次連接為單位進行，訪問控制策略隨狀態(tài)變化而動態(tài)調(diào)整?；凇耙陨矸轂橹行?、以權(quán)限為邊界、持續(xù)信任評估、動態(tài)訪問控制”的零信任理念，對數(shù)據(jù)訪問主體進行身份化、規(guī)范化管理，采用基于密碼技術(shù)的數(shù)字證書作為可信標識[9]，聯(lián)動統(tǒng)一的授權(quán)管理服務(wù)和安全審計服務(wù)，對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)查詢控制、數(shù)據(jù)下載控制、數(shù)據(jù)共享調(diào)用、數(shù)據(jù)銷毀服務(wù)等不同場景提供動態(tài)、持續(xù)的強身份認證與權(quán)限控制，通過行為分析及責(zé)任認定實現(xiàn)運營對象的可信、可控、可管、可追溯。

在零信任理念下建設(shè)數(shù)據(jù)安全體系，需要自下而上地建設(shè)一套安全訪問控制機制，并經(jīng)過層層認證、處處授權(quán)、時時評估[10]，以確保數(shù)據(jù)在采集、存儲、使用、傳輸和銷毀每一個環(huán)節(jié)及每一個參與數(shù)據(jù)處理的單元都是經(jīng)過驗證的、可信的。分散在企業(yè)內(nèi)部的不同系統(tǒng)可能存在數(shù)據(jù)安全策略不統(tǒng)一的情況，木桶短板的隱患容易引發(fā)數(shù)據(jù)安全問題，建立統(tǒng)一協(xié)調(diào)的安全策略可避免各業(yè)務(wù)分支因安全人員能力或理解差異導(dǎo)致的安全策略參差不齊的問題。

在實際工作開展過程中，業(yè)務(wù)系統(tǒng)的訪問人員角色多變，既包括內(nèi)部員工，也包括供應(yīng)商運維人員，終端環(huán)境、訪問場景差異較大。在統(tǒng)一身份認證的基礎(chǔ)上，實時監(jiān)控數(shù)據(jù)流轉(zhuǎn)及訪問行為，根據(jù)分析模型開展信任評估，調(diào)用數(shù)據(jù)防護平臺能力實施動態(tài)訪問控制，能夠有效防御數(shù)據(jù)泄露風(fēng)險和保護數(shù)據(jù)安全，基于零信任的數(shù)據(jù)安全防護方案如圖4所示。與通過身份認證即可訪問數(shù)據(jù)靜態(tài)權(quán)限的管控方式不同，基于零信任的數(shù)據(jù)防護架構(gòu)更著重于動態(tài)訪問控制，結(jié)合訪問環(huán)境、訪問行為等行為監(jiān)控方式檢測操作行為及數(shù)據(jù)流轉(zhuǎn)，基于身份模型及行為模型開展信任評估，授予相應(yīng)的訪問權(quán)限；根據(jù)所訪問數(shù)據(jù)的敏感級別，調(diào)用數(shù)據(jù)防護中臺，按照策略完成數(shù)據(jù)加密、數(shù)據(jù)水印等操作再回傳給訪問源，實現(xiàn)數(shù)據(jù)合規(guī)訪問，避免數(shù)據(jù)泄露風(fēng)險。

圖4 基于零信任的數(shù)據(jù)安全防護方案

2.3 數(shù)據(jù)安全防護中臺建設(shè)實踐

在某運營商企業(yè)數(shù)據(jù)安全防護中臺建設(shè)實踐的過程中，數(shù)據(jù)安全防護中臺并不是一個獨立于其他安全系統(tǒng)的工具，而是通過整合現(xiàn)有安全防護能力，以零信任為指導(dǎo)，構(gòu)建的一個以數(shù)據(jù)為核心的安全管控手段。數(shù)據(jù)安全防護系統(tǒng)的外圍系統(tǒng)包括態(tài)勢感知、終端防護、4A系統(tǒng)、業(yè)務(wù)系統(tǒng)。數(shù)據(jù)安全防護平臺能夠?qū)崿F(xiàn)與業(yè)務(wù)系統(tǒng)的數(shù)據(jù)對接識別、數(shù)據(jù)流轉(zhuǎn)監(jiān)控及數(shù)據(jù)安全策略的管理與實施，每個環(huán)節(jié)、每個流程都可視可見，從而提升數(shù)據(jù)安全脆弱面的識別力，及時完成數(shù)據(jù)安全鞏固措施，提升數(shù)據(jù)安全整體安全性。

數(shù)據(jù)安全防護中臺架構(gòu)如圖5所示，一共包括4層：第一層是數(shù)據(jù)總線層，通過數(shù)據(jù)庫網(wǎng)關(guān)實現(xiàn)對業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫的統(tǒng)一接入，開展協(xié)議解析及數(shù)據(jù)清洗，收集數(shù)據(jù)庫基本信息；通過日志網(wǎng)關(guān)收集4A系統(tǒng)及終端防護系統(tǒng)日志數(shù)據(jù)，收集用戶及訪問日志信息。第二層是數(shù)據(jù)匯聚層，主要功能是實現(xiàn)數(shù)據(jù)資產(chǎn)管理及數(shù)據(jù)分類分級，通過人工加智能識別提高敏感數(shù)據(jù)識別效率。第三層是場景分析層，該層屬于核心部分，基于模式識別、場景配置、AI智能分析、策略管理、規(guī)則引擎開展信任評估及動態(tài)訪問控制。第四層是能力應(yīng)用層，數(shù)據(jù)安全防護能力均在該層完成注冊管理，根據(jù)場景分析結(jié)果，針對數(shù)據(jù)實施動態(tài)數(shù)據(jù)安全防護措施，實現(xiàn)從用戶、應(yīng)用到業(yè)務(wù)中臺敏感數(shù)據(jù)間的合規(guī)合法使用，避免發(fā)生數(shù)據(jù)泄露等安全問題。

圖5 數(shù)據(jù)安全防護中臺架構(gòu)

多年來，由于電信運營商業(yè)務(wù)系統(tǒng)復(fù)雜多樣，由業(yè)務(wù)系統(tǒng)各自實現(xiàn)數(shù)據(jù)防護的成本過高，因此統(tǒng)一建設(shè)數(shù)據(jù)防護能力應(yīng)用層，為業(yè)務(wù)系統(tǒng)提供密碼服務(wù)、數(shù)據(jù)脫敏服務(wù)、數(shù)字水印等防護能力。密碼服務(wù)包括密鑰管理及商用密碼硬件平臺，便于各個業(yè)務(wù)系統(tǒng)根據(jù)業(yè)務(wù)特性需要，接入平臺選擇合適的加解密算法，避免業(yè)務(wù)系統(tǒng)各自為政、重復(fù)開發(fā)。數(shù)據(jù)脫敏技術(shù)分為靜態(tài)脫敏和動態(tài)脫敏兩種。靜態(tài)脫敏是將生產(chǎn)數(shù)據(jù)脫敏到測試環(huán)境，避免敏感數(shù)據(jù)泄露，同時引入數(shù)據(jù)動態(tài)脫敏技術(shù)可以有效解決數(shù)據(jù)在展示層外泄的隱患，在實際使用時根據(jù)業(yè)務(wù)人員、運維人員及外包開發(fā)人員的不同權(quán)限采用差異化脫敏方式對相同的敏感數(shù)據(jù)進行讀取。數(shù)字水印技術(shù)用于敏感文件的查看及分發(fā)過程，能夠?qū)崿F(xiàn)數(shù)據(jù)泄露事件溯源。

在企業(yè)實踐中應(yīng)充分整合現(xiàn)有安全系統(tǒng)能力，從各個維度拉齊數(shù)據(jù)安全場景策略，形成整體的數(shù)據(jù)安全防護方案。通過數(shù)據(jù)防護中臺能力集中建設(shè)，可以有效避免重復(fù)建設(shè)，節(jié)約安全防護成本，實現(xiàn)安全防護能力擴充及面向業(yè)務(wù)系統(tǒng)快速接入，縮短新系統(tǒng)同步安全建設(shè)周期，提升數(shù)據(jù)安全防護成效。

2.4 業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全運營評估

隨著數(shù)字化時代的來臨，數(shù)據(jù)每天都在企業(yè)內(nèi)部生成、流轉(zhuǎn)、銷毀，僅僅通過已建立的管理及技術(shù)措施難以保障業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全。數(shù)據(jù)安全運營的本質(zhì)是通過壓實組織成員安全責(zé)任、利用安全技術(shù)工具發(fā)現(xiàn)安全脆弱面，通過分析風(fēng)險問題、開展響應(yīng)處置、解決問題并持續(xù)迭代優(yōu)化，最終逐步實現(xiàn)保障數(shù)據(jù)安全可用、避免數(shù)據(jù)泄露的安全目標。數(shù)據(jù)安全管理層通過借助系統(tǒng)安全審計能力及人工檢查評估可以開展隱患排查、風(fēng)險評估，推動數(shù)據(jù)安全層持續(xù)規(guī)范業(yè)務(wù)流程、完善數(shù)據(jù)安全保護，形成閉環(huán)管理并不斷提升體系化水平。

為形成數(shù)據(jù)安全治理的良性循環(huán)，本文提出一種業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全運營評估方法，關(guān)注業(yè)務(wù)系統(tǒng)數(shù)據(jù)全生命周期的安全策略及措施開展情況，量化評估業(yè)務(wù)系統(tǒng)數(shù)據(jù)防護能力水平，促進企業(yè)以數(shù)據(jù)安全為中心的數(shù)據(jù)安全防護體系落地，有助于為數(shù)據(jù)安全防護運營提供最佳實踐。

業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全運營評價共有5個維度，13個因子。系統(tǒng)數(shù)據(jù)安全評價量化因子如表1所示，5個維度分別是系統(tǒng)數(shù)據(jù)資產(chǎn)梳理能力、數(shù)據(jù)環(huán)境安全能力、數(shù)據(jù)處理合規(guī)能力、數(shù)據(jù)安全管控能力、數(shù)據(jù)安全事件處置能力。根據(jù)不同業(yè)務(wù)系統(tǒng)數(shù)據(jù)風(fēng)險情況，可以對5個維度所占的權(quán)重進行調(diào)整，呈現(xiàn)出對不同業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全的重點訴求。

表1 系統(tǒng)數(shù)據(jù)安全評價量化因子

定期評估業(yè)務(wù)系統(tǒng)得分形式有助于企業(yè)領(lǐng)導(dǎo)、安全管理部門清晰掌握目前企業(yè)具備的數(shù)據(jù)安全治理能力及需要完善的方向，促進業(yè)務(wù)系統(tǒng)定位查找數(shù)據(jù)安全防護不足之處，不斷推進業(yè)務(wù)系統(tǒng)全面落實數(shù)據(jù)安全管控措施。

3 結(jié)語

本文以運營商數(shù)據(jù)安全防護體系為出發(fā)點，闡述了制度—技術(shù)—運營三位一體的數(shù)據(jù)防護體系建設(shè)，明確角色職責(zé)的組織架構(gòu)，從根本上提高數(shù)據(jù)安全的組織協(xié)同性?；诹阈湃蔚臄?shù)據(jù)管控方案有助于提升特殊敏感數(shù)據(jù)的風(fēng)險防范能力，開展業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全運營評價，推動企業(yè)閉環(huán)管理，持續(xù)提升數(shù)據(jù)防護能力。在方案實踐過程中，整合企業(yè)內(nèi)部現(xiàn)有安全能力，建設(shè)數(shù)據(jù)安全防護中臺，將所有數(shù)據(jù)安全防護能力輸出形成統(tǒng)一服務(wù)標準供業(yè)務(wù)使用，可以降低業(yè)務(wù)采用數(shù)據(jù)安全防護技術(shù)門檻、簡易化集成工作、快速實現(xiàn)業(yè)務(wù)系統(tǒng)接入數(shù)據(jù)安全防護能力，達到降本增效的目標。數(shù)據(jù)安全運營是將安全管理與技術(shù)工具有機結(jié)合，幫助企業(yè)掌握業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全的全景圖譜，有針對性強化數(shù)據(jù)安全管控，確保數(shù)據(jù)合法有序地流動、共享、交易，積極推動自身數(shù)字化轉(zhuǎn)型升級和業(yè)務(wù)增長。同時，實踐經(jīng)驗為企業(yè)開展數(shù)據(jù)安全防護體系建設(shè)指明了一條落地路徑，制定多部門共同參與的機制，采用管理和技術(shù)相結(jié)合的方式，建立持續(xù)自適應(yīng)的數(shù)據(jù)安全風(fēng)險和信任評估機制閉環(huán)推動體系優(yōu)化落地，真正發(fā)揮數(shù)據(jù)作為第五大生產(chǎn)要素的功能，促進數(shù)字經(jīng)濟的發(fā)展。