根據科技部數據，我國數字經濟規模位居世界第二，發展數字經濟是把握新一輪科技革命和產業變革新機遇的戰略選擇。如何發揮數據價值成為事關國家安全和經濟社會發展的重大議題，構建與之相應的數據安全保障體系，合理保障數字化轉型也尤為重要。在2022中國數字企業峰會“數據資產與安全”論壇上，中國移動浙江公司信息技術與數據管理部安全主管徐良，為大家分享了中國移動浙江公司數據安全實踐探索的經驗與成果。

01中國移動浙江公司數據安全發展經歷五個階段

第一階段，加強訪問權限控制。建設用戶管理系統、加強人員入職到離職的全生命周期管理、建立主從賬號管理體系、規范賬號權限的申請審批管理；建設C系統，加強系統級應用訪問管控，包括集中賬號授權操作、強認證、訪問代理和單點登錄；制定客戶敏感信息的保護規定，建立涉敏人員的清單、收斂涉敏人員的數量，加強涉敏功能訪問的權限控制。

第二階段，開展數據不出網工程。收斂應有敏感信息的查詢入口，制定接口的操作管理制度；將涉及客戶敏感資料、訂購關系、位置信息、通話詳單等高價值信息的關鍵操作和批量操作納入監控模式管控，強制要求必須由具備相應權限的兩名及以上員工共同協作完成；開展生產運維數據導出的管控，通過云桌面規范敏感數據交換。

第三階段，開展數據分級分類管理。建立數據分級分類的安全管理體系、進行敏感數據的檢測、建立涉敏資產的清單；基于分級分類管控要求，實施敏感數據訪問的動態脫敏；建設授權網關，保護數據開放共享安全。

第四階段，重點加強個人信息保護。開展APP個人隱私保護的專項整治，避免APP違規收集使用個人信息過度索權問題。建設 APP 信息監測體系，針對虛假身份開卡、人臉識別、位置欺詐、設備篡改等，對移動應用上線后的動態運行安全問題進行風險監測、應急處置。另外，構建反爬衛士防范客戶敏感信息非法爬取問題。

第五階段，重點開展數據安全能力服務化，實現對外賦能。將數據庫流量審計、敏感數據檢測等安全能力進行云化、容器化的改造；以集中開放、智能隨需為導向，建設數據安全智慧中臺，通過能力上臺資源領航，開展數據安全的對外的賦能。

02打造“綜合、立體”的數據安全防御體系

在數據安全能力建設方面，中國移動浙江公司參考IPDRR模型，以云化、智能化、能力內化、服務化為導向，打造“綜合、立體”的數據安全防御體系，覆蓋風險識別、安全防御、持續監測、安全響應、安全恢復四個方面，為業務提供快速、智能、高效的數據安全解決方案，助力公司數字化轉型發展。

在數據安全運營方面，中國移動浙江公司秉承“敏感數據不出網、網內受控隨便用”的理念，結合PDCA思想和方法論，構建風險態勢、管控服務、分析服務、處置服務四位一體的閉環安全運營管控能力，全面直觀地了解數據安全風險態勢、數據安全合規、數據安全風險預警、數據安全事件響應處置的整體狀況，以提高數據安全運營的效力，實現安全運營的可持續迭代優化。

敏感數據分類分級是數據安全治理的基礎。對標零基礎電信企業數據分類分級方法，中國移動浙江公司利用數據特征對比技術、自然語義處理技術、圖像識別技術等多種方法，建設敏感數據檢測及分類分級能力，對多平臺、多數據源條件下的結構化和非結構化數據進行檢測識別，建立數據分類分級清單，為公司數據安全治理奠定基礎。

此外，深入推進數據分類分級的灌標工作，在敏感數據檢測識別的基礎上，推進敏感數據資產管理工作，包括變化監控、報備認領、分類分級、涉敏資產備案，有效解決了數據存儲不清、分布不明、價值模糊的問題，同時也滿足了國家數據安全合規監管的要求。

在數據流轉監測防護方面，整合文檔加密授權和終端泄露防護的能力。通過統一客戶端，實現兩者之間的有效協同，支持涉敏文檔落地管控、內部流轉管控和外發管控。

針對涉敏文檔落地管控：第一，防拷貝。涉敏文件在業務系統導出時，調用文檔安全管控服務，實現落地加密。由于文件權限的全局控制，即使拷貝也無法閱讀。第二，權限控制。涉敏文檔在流程類系統當中，分發到不同對象時，用戶下載即進行權限控制，只允許本人使用，不允許隨意分發，同時對使用時間等方面進行限制。

針對文檔內部流轉管控：第一，內部流轉加密，主要針對內部信息共享類文檔。按照用戶體驗優先、不影響生產效率的原則，只要安裝了文檔加密授權的客戶端員工，就可以查看文檔。第二，針對敏感級別比較高的文檔，在加密授權后進行流轉。對于此類文檔流轉給其他非授權的人員，屬主需要根據需求，進行轉授權。授權策略由服務端進行全局控制，實時生效。

針對文件外發管控：第一，加密文檔通過密文外發包與外部進行交互，第三方通過密碼校驗、授權碼校驗才能打開外發包。從而防止截屏、防打印、防拍照，并且打開的次數和有效時間均有限制，防止外發文檔二次泄密。第二，明文外發審批。系統提供解密的流程以及明文外發的審批流程，與OA之間集成，明文文件審批后外發，日志全程更新。

通過建設反爬衛士實現外掛監測、攔截、封停一站式處理。中國移動浙江公司的業務系統大多數采用BS架構，雖然具備一定的安全防護能力，但是，對于高頻訪問、爬蟲等外掛行為仍是力不從心。為防止用外掛程序違規批量辦理業務、批量登陸爬取數據、進行虛假交易等，中國移動浙江公司建設反爬衛士集成監測審計、 AI 分析、動態防護、自動化應急處置等安全能力，以智能威脅檢測加動態安全，實現從用戶端到服務端的全方位“主動防護”，有效甄別非法客戶端及仿冒正常請求等自動化攻擊，保護業務交易及數據安全。反爬衛士自運行以來，累計封停的賬號有 5000 余個，封停準確率達到了 98% 以上。

中國移動浙江公司將大數據對外業務合作納入互聯網新技術新業務安全評估管理范圍，建立安全運營九步法，加強數據分析挖掘與對外開放的安全管理。其中，安全設置為兩個環節。第一環節，安全一審。主要協同公司的安全部門、法務部門對業務合作模式、合作方是否有外資背景、合作運營安全條例的承諾情況、數據分析挖掘與對外開放的合理性、合法性以及合作協議的條款進行審核，確保大數據對外業務合作滿足合法、用戶知情同意、服務數據最小化、數據對外脫敏等原則。第二環節，安全二審。主要對網關配置的合規性、數據輸出的符合性、安全網關日志記錄的完整性進行審核，確保實際數據的輸出與安全一審的結果保持一致。評審備案通過后，數據方可對外開放。

中國移動浙江公司探索“原始數據不出域、數據可用不可見”的交易范式，打造“1+X”多方安全計算技術框架和技術底座。“1”指一個自由統一的技術底座。實現對資源數據和系統的統一管控；“X”指同時集成多個軟件功能提供方的算法，滿足不同用戶多樣性的需求，例如疫情防控、公共安全、態勢感知等數據安全服務場景。

在疫情防控精準施策方面，與政府部門合作，通過共享聯邦學習，聯合建立疫情密接人群的識別模型，識別精準度提高14.5%；在銀行信貸風控審核方面，與杭州銀行合作，聯合建立信用分規則模型，加強信貸風控的審核；在公共安全態勢感知方面，與政府部門合作，聯合建立區域安全態勢感知模型，日均提供有效管控預警提醒 200 余條；在電商平臺營銷洞察方面，聯合建立電商平臺洞察營銷模型，查準率提升5%，查全率提升13.6%，廣告點擊率提升14.6%。

03“商羊”數據安全能力中心實現安全能力服務協同

中國移動浙江公司提供“一湖?四中心”數據安全能力，構筑“多元立體、集中開放、智能隨需”的企業級數據安全防御體系，實現數據安全能力的服務化、協同化。“商羊”數據安全能力中心包括數據治理中心、訪問控制中心、數據監控中心、數據管控中心以及安全數據庫。

數據治理中心以數據資產為中心，提供敏感數據資產檢測識別、分類分級和資產管理能力。同時針對各類合規檢查要求，提供自動化的合規檢測服務，支持訪問控制中心將數據安全訪問控制能力進行集中管理，統一調用，面向業務系統提供敏感數據脫敏、文檔加密水印、訪問控制、數據銷毀等服務。

數據監控中心開發了 60 余種安全威脅模型，實現對生產運營各環節數據的異常訪問和泄露行為的實時監測，提升了數據安全風險管控能力，實現了高精準率的惡意內部人員威脅行為檢測、敏感數據外發、業務數據異常訪問、敏感數據泄露等場景的實時風險監測分析能力，有效解決數據流轉威脅分析難的問題，數據安全風險預警的誤報率和漏報率得到了明顯的改善，人工審計處理的工作量減少40%。

數據管控中心借助安全編排技術，將人員流程編入劇本中，為應急處置場景提供惡意賬號 、IP 域名智能分堵、高 VIP 賬號關注、黑產號碼漏洞等情報管理的安全能力，數據安全風險阻斷與處置能力得到了明顯提升。

安全數據湖以安全數據集中運營、內部共享為目標，基于大數據平臺提供基礎數據管理環境支撐能力，打破各系統間的數據孤島，實現各安全支撐系統的標準化數據采集架構，集中化安全數據管理，強化數據內部關聯，支持數據分析應用的內部共享。

04積極開展數據安全合作與能力創新

中國移動浙江公司積極與行業監管機構和高校開展數據安全合作。例如，與中國信通院簽約成立“大數據應用與安全創新實驗室浙江中心”，以“場景導向、服務賦能、安全示范”為導向開展合作。針對大數據應用面臨的各種安全問題，在數據安全標準規范編制、產品驗證測試、技術創新、人才培養等方面開展深入合作，共同構建數據安全產品和服務創新體系，提升數據安全管控能力，助力行業數據安全管理和技術水平的提升；與浙江大學網絡空間安全學院簽署戰略合作協議，以促進成果轉化為生產力、推動產學研深度融合為宗旨，在科技創新、項目孵化、人才培養等方面開展全面合作。

在安全創新方面，依托大數據應用與安全聯合實驗室，開展產學研合作，進行安全技術創新研究與應用。在能力變現方面，構建數據安全產品和售后服務體系，依托中國移動的創新院、智慧中臺、智云領航三個橋梁紐帶，提供數據安全產品和服務，滿足客戶安全風險防范和合規管理的需求。

總結

第一，助力國家疫情防控。參與政府疫情防控，聯合建立疫情密接人群識別模型，提高疫情密接人群識別率精度，平臺對數據調用場景及應用安全保駕護航。

第二，助力社會公共安全。助力社會安全，嚴厲打擊詐騙行為，提供可疑線索，處置涉詐號碼。

第三，保障對內精準營銷。加速數據資源內部安全流動，促進大數據賦能精確營銷，提高精確營銷成功率。

第四，保障對外價值變現。數據安全能力保障個人隱私，促進了數據的流通應用和價值變現，為公司業績帶來了新的增長點。