中国移动 运营商数据安全白皮书 m o c . 运营商数据安全 5 b 白皮书 u h t i g 中国移动研究院 中国移动 运营商数据安全白皮书 前言 2018 年底中央经济工作会议指出，“加快 5G 商用步伐，加强人 工智能、工业互联网、物联网等新型基础设施建设”。5G 作为新基建 的领衔，近两年迎来了高速发展，到 2020 年底，三大运营商预计将 完成 55 万基站的建设。5G 的快速发展将会把更多的行业、应用引入 运营商的业务服务中，汇集更大量的数据，这势必给数据安全防护带 来新的巨大挑战。数据安全法、个人信息保护法的发布更是将数据安 m o c . 5 全提升到法律层面，也对运营商数据保护提出了新的严格要求。 为了提高运营商数据安全的防护能力促进数据价值释放，编写 《运营商数据安全白皮书》，基于数据安全面临的风险和挑战，对可 b u 用的安全管理手段、安全技术手段进行总结，最后针对典型场景阐述 安全防护要点。 h t i g 参与单位：中国移动通信有限公司研究院、中国电信研究院安全 工程中心、联通大数据有限公司、武汉大学、东软集团股份有限公司、 成都思维世纪科技有限责任公司、杭州迪普科技股份有限公司。 参编人员：杨亭亭、张鑫月、何申、常嘉岳、粟栗、陆黎、耿慧 拯、李春梅、张星、王钰、陈晶、罗铁、何欣、章明珠、黄磊、王雪 琼、钟立、裴超、凌颖、韩增帆、李凡、周旭华、范东媛、虞海、侯 硕鹏。 中国移动 运营商数据安全白皮书 目 1 2 3 4 运营商数据安全发展状况 ....................................................................................................... 3 1.1 数据规模快速增长，运营商面临发展新机遇 ........................................................... 3 1.2 数据泄露事件频发，外部安全威胁不断上升 ........................................................... 3 1.3 业务线条多且复杂，内部安全需求持续增加 ........................................................... 3 1.4 数据价值释放遇阻，安全成为未来发展瓶颈 ........................................................... 4 运营商数据安全特点............................................................................................................... 5 2.1 比例较大类型多，敏感数据管理难 ........................................................................... 5 2.2 敏感数据分布广，资产梳理较复杂 ........................................................................... 5 2.3 数据流转路径多，5G 时代更开放 ............................................................................. 5 2.4 数据融合度不够，5G 服务难开展 ............................................................................. 6 m o c . 5 运营商数据安全需求............................................................................................................... 7 3.1 运营商数据安全管理及防护痛点 ............................................................................... 7 3.2 法律法规及国家标准要求 ........................................................................................... 7 3.3 内部管理需求............................................................................................................... 8 3.4 对外服务需求............................................................................................................... 9 b u 数据安全防护体系构建 ......................................................................................................... 10 h t i g 4.1 数据安全防护体系架构 ............................................................................................. 10 4.2 管理制度及手段......................................................................................................... 11 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.3 5 录 数据资产管理 ................................................................................................. 11 第三方管理 ..................................................................................................... 11 数据安全评估 ................................................................................................. 12 应急响应机制 ................................................................................................. 12 个人信息保护 ................................................................................................. 13 数据出境管理 ................................................................................................. 13 技术手段及工具......................................................................................................... 14 4.3.1 风险识别-数据识别 ....................................................................................... 14 4.3.2 安全防御-数据源鉴别 ................................................................................... 14 4.3.3 安全防御-数据水印 ....................................................................................... 15 4.3.4 安全防御-数据脱敏 ....................................................................................... 15 4.3.5 安全防御-数据加密 ....................................................................................... 16 4.3.6 安全防御-数据血缘 ....................................................................................... 16 4.3.7 安全防御-安全多方计算................................................................................ 17 4.3.8 安全检测-日志审计 ....................................................................................... 20 4.3.9 安全检测-监控预警 ....................................................................................... 21 4.3.10 安全检测-数据安全态势感知........................................................................ 21 数据安全防护