运营商数据安全白皮书.pdf

中国移动 运营商数据安全白皮书 运营商数据安全 白皮书 中国移动研究院 中国移动 运营商数据安全白皮书 前言 2018年底中央经济工作会议指出，“加快5G商用步伐，加强人 工智能、工业互联网、物联网等新型基础设施建设”。5G作为新基建 的领衔，近两年迎来了高速发展，到2020年底，三大运营商预计将 完成55万基站的建设。5G的快速发展将会把更多的行业、应用引入 运营商的业务服务中，汇集更大量的数据，这势必给数据安全防护带 来新的巨大挑战。数据安全法、个人信息保护法的发布更是将数据安 全提升到法律层面，也对运营商数据保护提出了新的严格要求。 为了提高运营商数据安全的防护能力促进数据价值释放，编写 运营商数据安全白皮书，基于数据安全面临的风险和挑战，对可 用的安全管理手段、安全技术手段进行总结，最后针对典型场景阐述 安全防护要点。 参与单位：中国移动通信有限公司研究院、中国电信研究院安全 工程中心、联通大数据有限公司、武汉大学、东软集团股份有限公司、 成都思维世纪科技有限责任公司、杭州迪普科技股份有限公司。 参编人员：杨亭亭、张鑫月、何申、常嘉岳、粟栗、陆黎、耿慧 拯、李春梅、张星、王钰、陈晶、罗铁、何欣、章明珠、黄磊、王雪 琼、钟立、裴超、凌颖、韩增帆、李凡、周旭华、范东媛、虞海、侯 硕鹏。 中国移动 运营商数据安全白皮书 1 目 录 1 运营商数据安全发展状况 . 3 1.1 数据规模快速增长，运营商面临发展新机遇 . 3 1.2 数据泄露事件频发，外部安全威胁不断上升 . 3 1.3 业务线条多且复杂，内部安全需求持续增加 . 3 1.4 数据价值释放遇阻，安全成为未来发展瓶颈 . 4 2 运营商数据安全特点 . 5 2.1 比例较大类型多，敏感数据管理难 . 5 2.2 敏感数据分布广，资产梳理较复杂 . 5 2.3 数据流转路径多，5G时代更开放 . 5 2.4 数据融合度不够，5G服务难开展 . 6 3 运营商数据安全需求 . 7 3.1 运营商数据安全管理及防护痛点 . 7 3.2 法律法规及国家标准要求 . 7 3.3 内部管理需求 . 8 3.4 对外服务需求 . 9 4 数据安全防护体系构建 . 10 4.1 数据安全防护体系架构 . 10 4.2 管理制度及手段 . 11 4.2.1 数据资产管理 . 11 4.2.2 第三方管理 . 11 4.2.3 数据安全评估 . 12 4.2.4 应急响应机制 . 12 4.2.5 个人信息保护 . 13 4.2.6 数据出境管理 . 13 4.3 技术手段及工具 . 14 4.3.1 风险识别-数据识别 . 14 4.3.2 安全防御-数据源鉴别 . 14 4.3.3 安全防御-数据水印 . 15 4.3.4 安全防御-数据脱敏 . 15 4.3.5 安全防御-数据加密 . 16 4.3.6 安全防御-数据血缘 . 16 4.3.7 安全防御-安全多方计算. 17 4.3.8 安全检测-日志审计 . 20 4.3.9 安全检测-监控预警 . 21 4.3.10 安全检测-数据安全态势感知. 21 5 数据安全防护典型场景 . 23 5.1 5G系统数据安全 . 23 中国移动 运营商数据安全白皮书 2 5.2 NFV/SDN数据安全 . 24 5.3 网络切片数据安全 . 26 5.4 边缘计算数据安全 . 27 5.5 数据对外共享 . 28 6 总结. 30 6.1 数据安全解决方案 . 30 6.2 下一步工作展望 . 30 缩略语列表 . 32 中国移动 运营商数据安全白皮书 3 1 运营商数据安全发展状况 1.1 数据规模快速增长，运营商面临发展新机遇 截至2020年5月底，三家基础电信企业的移动电话用户总数达15.9亿户， 其中4G用户规模为12.73亿户。截至2020年4月末，三家基础电信企业发展蜂 窝物联网终端用户达10.91亿户，其中应用于智慧制造、智慧公共事业和智慧交 通的终端用户增长均超过30%。目前中国5G用户总数已达3000万左右，在2020 年年底有望达到近2亿。 海量数据的价值需要在流通、融合、共享中进一步被挖掘和提升。运营商大 数据平台聚合了生产运营、网络承载、企业管理的数据，沉淀1600多类，涉及 3.8万属性，对外可输出通信、支付、社交、上网、身份、位置、时序、终端八 大类核心数据能力。如何促进数据安全与数据发展，提升数据安全治理和数据开 发利用水平，促进以数据为关键要素的数字经济发展，成为运营商企业面临的重 要课题。 1.2 数据泄露事件频发，外部安全威胁不断上升 通过数据共享，运营商隐藏的数据价值被释放，为企业、合作方提供决策支 持。伴随着数据价值逐渐被挖掘被重视，数据成为更多黑客的目标，数据泄露事 件也越来越频繁的发生。近几年国内外数据泄露事件均呈上升趋势，事件原因多 种多样，后果日益严重，运营商面临的外部安全威胁越来越严峻。 1.3 业务线条多且复杂，内部安全需求持续增加 随着运营商业务的不断丰富，数据收集分析的需求也越来越大。运营商内部 业务包括基础套餐类、卡类业务、增值业务、数据上网类业务、家庭类业务、集 团类业务等。在大数据时代，运营商也逐步探索数据共享与融合业务，如与交通 局、旅游局合作，使用统计数据提供人流量分析服务，与广告商合作，开展精准 营销业务。新业务的开展促进了企业内部多部门、多线条数据的融合，原有的安 中国移动 运营商数据安全白皮书 4 全机制不能满足新业务下数据流动、数据融合计算的安全防护需求，亟需更全面 的安全防护手段和隐私保护技术来保证合作过程中的数据安全，防止挖掘分析过 程中发生数据泄露。 1.4 数据价值释放遇阻，安全成为未来发展瓶颈 运营商数据蕴含着巨大的价值，但是由于外部威胁的加剧和内部安全措施的 不完善，目前仅能够使用统计形式数据开展对外服务，大数据价值仍未得到充分 挖掘释放。在未来一段时间内，数据安全整体环境和防护技术难以有飞跃性的改 变，数据安全问题仍将长期阻碍运营商发展，成为发展瓶颈。 中国移动 运营商数据安全白皮书 5 2 运营商数据安全特点 2.1 比例较大类型多，敏感数据管理难 运营商积累的业务数据包括用户属性数据、通话数据、位置数据、终端数据、 上网行为数据、消费数据等，数据类型多、数据规模大，通常单个省公司每日数 据量可10TB以上。运营商收集的业务数据一般是围绕用户展开，大部分属于个 人信息保护的范畴，敏感数据的比例高。在内部的处理流程中，数据又会经历数 据解析、清洗、转换等流程，数据会以XDR数据、结构化数据、文本数据等多 种形式进行存储、处理，这就加大了敏感数据管理难度。敏感数据分布广，资产 梳理较复杂。 2.2 敏感数据分布广，资产梳理较复杂 通常运营商对客户数据的收集一般通过多个业务系统进行，业务支撑系统负 责收集维护用户个人信息、消费信息、业务办理信息等，核心网负责为用户提供 通信服务，并在此过程中积累用户通信、上网数据。不同的系统由不同的部门负 责管理运营，这就导致敏感数据信息在运营商内部分布在不同部门、网络中。在 大数据业务开展的过程中，数据又在部门之间进行了流动。这就导致数据在运营 商内部的分布更为广泛，提高了敏感数据资产梳理的复杂度和统一管理的难度。 2.3 数据流转路径多，5G时代更开放 运营商通过打破内部部门壁垒，汇聚数据开展内部共享，以数据提供更多的 内部营销、决策，数据在内部流转路径不断增多。进入5G时代，以往的网络架 构发生改变，引入新的数据跟网元，数据流发生变化。同时，5G为垂直行业提 供服务，为运营商网络带来更多的外部访问，网络环境愈加开放，数据面临的安 全威胁也随之增加。 中国移动 运营商数据安全白皮书 6 2.4 数据融合度不够，5G服务难开展 随着5G+时代的来临，设备接入量和数据量逐渐爆发，运营商迅速拥有了繁 多数据类型的海量数据。5G基于切片、边缘计算等技术，逐步开展面向垂直行 业的应用，如自动驾驶、智能制造等。以自动驾驶为例，利用5G高带宽、低时 延的特性，将车辆面临的环境信息、自身参数信息等进行实时采集、快速处理后 做出驾驶判断，这些数据信息的采集、传输、处理过程的一环或几环会依赖运营 商网络完成。多方位数据的收集处理是开展5G服务的核心驱动，但目前数据融 合计算的能力、安全防护手段均不完善，这将会成为未来5G服务开展的壁垒。 中国移动 运营商数据安全白皮书 7 3 运营商数据安全需求 3.1 运营商数据安全管理及防护痛点 运营商数据系统主要分为BOM三域，B域解决计费、用户注册数据、经营 分析，O域主要是网络运维，网络采集的数据，M域是内部的ERP等办公类数 据，数据体量大、种类多，这三个域分布在三个不同部门，三个系统分别建设， 造成严重的数据孤岛现象。由于数据泄露、电信诈骗等安全事件的频繁发生，国 家法律法规和内部管理对个人信息安全的保护要求不断提升，面向数据价值挖掘 的数据融合共享一直未能得到深入发展。因此，如何促进数据安全与数据发展， 提升数据安全治理和数据开发利用水平，促进以数据为关键要素的数字经济发展， 成为运营商企业面临的重要课题。 3.2 法律法规及国家标准要求 在法律层面，主要遵循已发布实施的中华人民共和国网络安全法，并参 照中华人民共和国数据安全法（草案）、个人信息保护法（草案）。在国家 标准层面，主要遵循信息安全技术 个人信息安全规范、信息安全技术 大数 据服务安全能力要求、信息安全技术 数据安全能力成熟度模型、信息安全 技术 大数据安全管理指南。 中华人民共和国网络安全法中关于数据安全的要求主要强调对个人信息 安全的保护，其中包括：一是对收集的用户信息应严格保密；二是网络运营者收 集、使用个人信息应遵循一定的原则和要求；三是网络运营者不得泄露、篡改、 毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息；四是网 络运营者应采取必要措施确保收集的个人信息安全。 中华人民共和国数据安全法（草案）对企业开展数据活动过程中的安全 职责和安全能力提出了明确的要求，内容主要包括：一是企业必须对数据进行分 类分级，确定重要数据保护目录，并对列入目录的数据进行重点保护；二是重要 数据的处理者应当按照规定定期开展风险评估；三是加强风险监测，发现数据安 中国移动 运营商数据安全白皮书 8 全缺陷、漏洞等风险时，应当立即采取补救措施，发生数据安全事件时，应当及 时告知用户并向有关主管部门报告；四是企业应建立健全全流程数据安全管理制 度，保障数据安全。 个人信息保护法（草案）规定了个人信息处理规则、敏感个人信息范围、 数据出境管控规则等进行了规范，明确了个人信息处理权利，并对个人信息处理 活动中处理方的责任义务提出了要求。运营商在对用户个人信息、通话数据等数 据的收集处理过程中，需遵循相关要求。 信息安全技术 个人信息安全规范中对个人信息的收集、存储、使用， 个人信息主体的权利，个人信息的发布披露等进行了规定，并提供了个人信息的 示例。运营商收集处理的数据中的用户个人资料、通信信息等数据均数据个人信 息，应遵循本规范中相关要求。 信息安全技术 大数据服务安全能力要求对大数据服务提供者应具备的 安全能力提出基础要求和增强要求。运营商在大数据平台建设和业务开展过程中 需要用到其他组织机构提供的大数据服务，可参考本规范对提供方进行能力评定， 运营商也可以参照进行内部大数据安全能力建设。 信息安全技术 数据安全能力成熟度模型构建了三维模型，从能力构成、 组织建设、制度流程、技术工具、人员能力等方面对数据安全能力进行评估，可 以为运营商数据安全能力建设提供指导。 信息安全技术 大数据安全管理指南给出了管理原则、大数据活动及安 全要求，可作为数据安全管理工作开展的依据。 3.3 内部管理需求 由于过去烟囱式的开发方式和各业务独立的运营模式，运营商数据分布在不 同部门，造成数据条块的分裂，不同系统之间数据标准不一致，敏感数据分散分 布，管理人员难协调难管理。 在运营商机构中，有可能接触数据、使用数据的内部人员大致可分为三类： 业务部门员工、网络与系统运维人员、安全保障人员。 业务部门员工在处理不同数据源的业务时，面临的数据标准不同，需熟悉更 多的系统、数据格式和管理模式。当不同业务具有类似处理需求时难以合并处理， 中国移动 运营商数据安全白皮书 9 这就在无形中提高了业务人员的工作复杂度，也可能同时增加其接触的数据。因 此，多数据源融合处理，打通底层存储系统和计算平台，能够有效降低业务人员 工作难度，并减少不必要的数据授权。 网络与系统运维人员负责系统的日常运行维护，不同系统具有不同的管理员， 有时会使用代维的模式由第三方厂商负责系统运维。由于敏感数据分布较为分散， 使得大量系统的管理员都会接触到敏感数据，这就增大了涉敏人员管理难度，提 高人为的数据泄露风险。因此，需要将敏感数据集中存储，加强安全防护，减少 敏感数据暴露面。 安全保障人员一般是以部门为单位指定的安全专职人员，每个部门一般都有 多个系统，数据分散分布导致这些系统可能都存储着敏感数据，安全保障无重心。 统一数据格式、数据接口、数据管理方式，将敏感程度较高的数据集中存储，能 够提高安全保障人员工作针对性，减少不必要的敏感数据接触，同时降低安全保 障人员的工作审查难度。 3.4 对外服务需求 运营商开展数据对外服务目前面临的主要障碍是数据隐私保护问题，由于合 作方不完全可信，而服务数据会涉及个人信息，这就面临着个人信息保护的巨大 挑战。 在对外服务开展前，要保证合作方具有数据安全防护能力，需要一定的评测 能力对合作方进行评测，或由有资质的第三方开展数据安全防护能力评测。开展 对外服务的部门需评测数据服务内容、范围及合作方式，并与合作方签订保密协 议，在服务开展前预防数据泄露风险。 在服务开展过程中，需对合作方参与的人员进行管理，对数据分析模型进行 安全分析，并使用数据脱敏、数据水印等相关技术对数据进行处理，防止服务数 据泄露用户隐私信息与企业运营隐私信息。同时，定期开展数据安全服务的审计， 对操作敏感数据的重点账号、敏感数据开展数据安全审计，对可疑操作进行追溯。 在数据服务完成后，需保证合作方已对数据进行删除销毁，并具有数据追溯 能力，对违规泄露的数据能够进行追责。 中国移动 运营商数据安全白皮书 10 4 数据安全防护体系构建 4.1 数据安全防护体系架构 基于运营商的数据安全需求，围绕数据生命周期构建数据安全防护体系，以 期实现“数据安全可管、可控、可视”的防护目标。数据安全防护体系以关键数据 平台、重点网络节点、涉敏业务系统作为底层应用系统，从管理和技术两方面进 行防护能力构建。 管理支撑包括组织和制度建设：组织建设从组织架构、组织职责、协同机制 三方面进行组织机构的建设；制度流程建设涵盖数据资产管理、账号权限管理、 第三方管理、数据安全评估、安全监督检查、应急响应机制、个人信息安全保护、 数据出境管理等方面，制定相应的总体要求和实施细则。 技术支撑按照风险识别、安全防御、安全检测、安全处置的主动安全防护过 程进行技术能力构建。 1) 风险识别过程涉及的技术为：数据识别等； 2) 安全防御过程涉及的技术为：集中认证、细粒度授权、数据源鉴别、数 据加密、数据水印、安全多方计算、数据脱敏、数据血缘、数据销毁等； 3) 安全检测过程涉及的技术为：日志审计、监控预警、安全态势感知等； 中国移动 运营商数据安全白皮书 11 4) 安全处置过程涉及的技术为：数据恢复、数据追踪溯源等。 4.2 管理制度及手段 4.2.1 数据资产管理 资产管理职责划分：针对企业运营过程中通过网络收集、存储、传输、处理 和产生的各种数据，进行数据资产管理。建立公司层面的数据资产安全管理制度， 定义数据资产的相关角色定位和职责。 数据资产登记机制：通过手动梳理或自动扫描的方式进行数据梳理，建立数 据资产清单，明确数据资产管理范围和属性，确保组织内部重要的数据资产已有 明确的管理者或责任部门。依据数据分类分级方法，判定数据的类别和敏感级别， 并将数据的类别级别等属性信息纳入数据资产清单。 数据资产变更管理要求和变更审批机制：数据资产内容、类别、级别、标识、 管理者等发生变更时，同步更新数据资产清单。其中，对于密钥类数据资产，应 明确密钥管理安全要求，至少应涵盖密钥生成、备份、存储、使用、分发、更新、 销毁等相关的流程和要求。 4.2.2 第三方管理 第三方合作过程管理：运营商制定第三方管理规范或制度，明确考核内容、 考核要求及惩处措施，采用合同约束、信用管理等手段，来进行第三方监督管理； 在签订合作协议前对第三方进行背景调查和安全资质审查，综合评估第三方的数 据安全保障能力；对第三方进行约束管理，签订数据安全协议，明确第三方的数 据使用权限、安全保护责任、必要的安全保护措施以及违约责任和处罚条款等； 建立第三方数据安全风险监督管理机制，严禁第三方超出合同约定目的和范围使 用分析数据；业务合作结束后，督促第三方依照合同约定及时关闭数据接口、删 除数据。 第三方人员管理：对第三方人员账号进行管理，岗位职责与账号权限满足账 号权限管理要求；对第三方人员参与的收集系统接口调试、敏感数据脱敏、敏感 数据销毁等关键环节进行数据安全管控；对第三方人员工作区域、工作终端机进 中国移动 运营商数据安全白皮书 12 行管理。不对第三方人员分配系统管理员账号及其他涉敏权限账号，如因系统割 接、故障抢修、应急处置等活动确需第三方人员操作敏感数据的，采取临时授权 并严格监控的方式，留存授权审批记录，工作完成后及时收回权限。 注：第三方是指与运营商具有合作关系，向运营商提供服务（包括推广渠道商、业务服 务商、软件开发机构、平台建设厂家、运维支撑厂家等）的组织机构或个人。 4.2.3 数据安全评估 评估开展场景：按照相关规范标准要求，参照新技术新业务安全评估方法， 定期（至少每年开展一次）及在数据安全管理环境发生重大变更时，对数据安全 管理情况开展合规性评估。开展数据安全评估的情况包括： 数据安全相关法律法规发生变化时； 涉及客户信息等关键数据的新业务上线前； 向第三方提供客户信息等关键数据前； 因业务终止等涉及数据的承接、转移及销毁时； 其他数据安全管理环境重大变更的情况。 评估要点：根据上级要求编制细化数据安全评估要点，从机构人员、基本制 度、技术能力、重点环节等方面进行评估，评估内容覆盖数据安全风险情况、数 据收集使用合规情况、数据安全保障措施完善程度、合作方数据安全保护水平等。 对评估结果进行分析总结，生成评估报告并向相关管理部门报备，同时及时响应 整改，防止数据泄露发生。 4.2.4 应急响应机制 数据安全事件应急响应制度：包括明确数据安全事件管理责任分工、数据安 全事件发现及报告机制、应急保障措施、追踪溯源及处置流程、事件跟踪总结等； 制定数据安全事件应急预案，并根据应急预案定期组织应急演练（至少每年开展 一次）。 数据安全事件实施应急响应机制主要范围和手段： 数据安全应急响应范围包括数据泄露、数据丢失、数据勒索、数据备份 异常、存储介质损坏等； 中国移动 运营商数据安全白皮书 13 数据安全应急响应方式包括部门负责人向上级报告、系统向管理员发送 短信和邮件等； 针对不同的数据安全事件制定明确的数据恢复流程，包括事件原因排查 流程、备份数据切换操作流程、数据恢复操作流程等。 4.2.5 个人信息保护 用户授权管理：向合作方提供用户个人信息、境外存储用户个人信息等场景 下，确保用户知情同意并获得用户授权。同时，建立公开受理渠道，对用户发现 的错误个人信息予以更正。 服务最小化管理：在内部共享个人信息时，经用户授权后向合作方开放，按 权限最小化原则仅提供业务开展明确需要的数据属性、标签属性及规模，降低多 余数据外泄风险。 对外业务合作管理：对外业务合作范围涉及大数据交易、大数据代分析、代 理市场销售和技术服务等，一旦涉及收集、使用用户个人信息的，确保合作方具 备用户个人信息保护相关的安全资质，并对合作方业务开展过程的合规性进行不 定期监督检查。 个人信息模糊化处理：对用户敏感信息进行对外查询、展现、统计等操作时， 经过模糊化处理；对用户敏感信息进行开放前，通过数据脱敏、数据模糊标签化、 群体统计等方式进行处理，保证处理后的数据不能定位到个人。 4.2.6 数据出境管理 在境内运营中收集和产生的重要数据、客户信息，原则上在境内存储。因业 务需要，确需向境外提供的，按照国家相关制度规范进行安全评估，并明确统一 的数据跨境安全制度和管控措施。 中国移动 运营商数据安全白皮书 14 4.3 技术手段及工具 4.3.1 风险识别-数据识别 在风险识别过程，可采用数据识别技术识别出数据中的敏感数据，并依据数 据分类分级标准将数据标识为不同的类别级别。数据识别一般发生在数据生命周 期中的数据采集或存储阶段，为数据采集、存储、处理、共享等过程的差异化措 施提供依据，降低数据泄露风险。 数据识别的主体：包括结构化数据和非结构化数据，识别的范围主要包括用 户个人信息（如姓名、电话号码、公民身份号码、通信记录等）、网络信令数据、 企业内部资料（如员工资料、财务数据、业务运营数据、源代码等）等。 数据识别要点： 支持敏感数据定义，即可以配置敏感数据的匹配规则，当数据扫描时有数 据匹配到该规则，该数据即判定为敏感数据； 可以灵活配置数据识别方式，具体识别方式包括基于数据内容的正则匹配、 基于数据列名的识别、基于数据特征的匹配等； 支持黑白名单配置，运维人员可以手动配置黑白名单，提升数据识别效率； 数据识别需要考虑对线上系统的冲击，不能对正常业务有较大影响。 4.3.2 安全防御-数据源鉴别 在安全防御过程中，可采用数据源鉴别技术对数据的被采集方进行身份鉴别， 保证数据来源的可靠性，防止非法数据源系统的接入和虚假数据的注入。数据源 鉴别一般发生在数据生命周期中的数据采集阶段。 数据源鉴别要点： 开启双向认证，同时认证数据源和数据采集方的身份，保证数据来源和去 向的合法性； 通过IP地址、MAC地址、机器名、用户名等信息标识身份信息； 身份鉴别方式包括基于用户所知、用户所有、用户特征的鉴别方式，可以 根据业务场景灵活选取鉴别方式； 认证成功、失败均需在日志系统中做记录，方便后续审计。 中国移动 运营商数据安全白皮书 15 4.3.3 安全防御-数据水印 在安全防御过程中，可采用数据水印技术向数据中注入标识信息，进而实现 数据泄露后的追踪溯源。数据水印一般在数据共享阶段使用，如果共享的数据发 生泄漏，数据水印技术可以实现数据泄露后的泄露源定位以及追踪溯源，起到一 定的威慑作用，防止数据泄露事件再次发生。 根据数字水印的实施效果不同，数据水印算法可以分为有失真水印和无失真 水印，有失真水印对数据引入了失真，无失真水印对数据未引入失真。 数据水印要点： 支持水印算法选择，可以根据数据类型不同选取最适合的水印算法； 支持水印算法查询，给定一段添加过水印的数据，可以识别出该数据添加 了哪种类型的数据； 系统需要支持水印的添加和提取，且水印算法应有一定的健壮性，不能被 轻易删除或篡改； 需要考虑添加不同类型的水印对业务数据准确性、可用性的影响。 4.3.4 安全防御-数据脱敏 在数据处理、数据共享过程中，可采用数据脱敏技术对敏感数据按照脱敏规 则进行数据的变形，实现在不泄露敏感数据的前提下保证业务的正常运行。数据 脱敏一般在数据使用、共享等阶段使用，保证数据在使用、共享过程中不被泄露。 数据脱敏实施范围：脱敏处理的数据范围包括用户个人信息、企业内部 财务数据、员工资料、业务运营信息等。比如：用户姓名、出生日期、身份 证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用 户的信息；用户使用服务的时间、地点等个人信息；企业经营分析报告、财务报 表、源代码等企业信息。 数据脱敏形态：按照使实时性的不同，数据脱敏可分为静态脱敏和动态脱敏。 静态脱敏适用于非实时场景，生产环境中的数据脱敏后用于开发、测试、分析等 用途。动态脱敏适用于生产环境等实时处理场景，当用户访问敏感数据时实时进 行脱敏处理。 数据脱敏要点： 中国移动 运营商数据安全白皮书 16 能针对不同用户和不同敏感数据根据需求设置不同的脱敏算法； 能支持动态添加或删除脱敏算法，同时确保系统平滑升级，应用无需中断； 能支持管理员配置用户查询特定数据库特定表、特定列的脱敏算法； 所选择脱敏算法具有一定的安全性、健壮性，不能被轻易破解或还原； 数据脱敏之后不影响业务连续性，不对系统性能造成较大影响。 4.3.5 安全防御-数据加密 在安全防御过程中，可采用数据加密技术对敏感数据进行保护，能够实现敏 感数据暴露后仍保持敏感数据的机密性。数据加密一般在数据存储、数据传输等 阶段均有使用。 数据加密要点： 根据敏感数据的级别高低，对级别较高的数据采取加密存储。具体的数据 加密存储方法包括应用层加密、加密网关、文件级加密、基于TDE技术 的加密； 安全传输过程可采用TLS/SSL协议进行数据加密传输，也可采取建立VPN 加密传输通道方式行安全传输。 4.3.6 安全防御-数据血缘 在安全防御过程中，可采用数据血缘技术来追踪数据从采集到销毁整个生存 周期的流动过程，使得管理人员能够清晰了解数据从哪里来、到哪里去、在每个 数据节点发生了什么，从而可以确保数据来源是否可靠、使用是否合理、传播是 否安全。 数据血缘一般涉及数据的整个生存周期，通过对日志或流量的分析，可实现 对数据库、表、字段等层面的父子关系与衍变历程展现。 数据血缘要点： 数据血缘图谱：从数据采集阶段开始，用流程图可视化数据在大数据平台 各库各表之间的流动。包括具体的操作、用户、时间； 中国移动 运营商数据安全白皮书 17 数据表明细：在数据血缘图谱中的任一节点都代表一个数据表。详细展示 该表的多维情况。包括表结构、权限配置、脱敏配置、敏感程度、越权 日志等； 多表配置对比：对比数据血缘图谱中各节点的表情况，比如权限配置、脱 敏配置、用户集等。对于重要数据，及时发现漏配的环节，防止数据泄 露； 多表访问对比：对比各节点的实际访问情况，比如查询操作数、导出操作 数、越权操作数、用户数等。通过对比，可以发现热点数据分布和不常 使用的冷数据。 4.3.7 安全防御-安全多方计算 在安全防御过程中，可采用安全多方计算技术实现数据的可用不可见，不直 接向数据需求方提供数据，而是通过协同计算的方式满足其对数据的需求，来保 证数据的安全性与可用性。安全多方计算一般在数据共享阶段使用。 目前数据共享业务由于安全顾虑而停滞不前，一个重要的原因就是在共享过 程中，参与方互不信任，都不愿将数据交给对方。而安全多方计算框架能够整合 多种密码技术，使得多个使用方的数据都能够在密文状态下进行分析计算，解决 数据共享过程中的隐私保护问题。安全多方计算常用到四种基础密码学技术：秘 密共享、不经意传输、混淆电路和同态加密。一般来说，完成特定任务可能需要 使用两种或两种以上基础技术。这些技术通常在源头上把数据“加密”，使计算参 与方看到的都是“密文”，从而实现安全多方计算。 安全多方计算的概念 安全多方计算形式化描述如下：假设一组参与者null,null,. ,null，各自有秘密输 入null,null,. ,null，希望在不泄露私有秘密输入前提下，计算某个函数的值 (null,null,. ,null)。 如果有可信第三方，参与者只需将自己的输入保密传输给可信第三方，并由 这可信第三方计算这个约定函数后，将结果广播给每个参与者，上述问题就得以 解决。但现实场景中很难找到这样被各方都信任的第三方实体，因此，安全多方 中国移动 运营商数据安全白皮书 18 计算的研究就是针对在无可信第三方的情况下，如何安全计算一个约定函数的问 题。 安全多方计算中的角色 从完成功能来看，安全多方计算相关角色包括输入方、计算方和结果方。 输入方：指数据的原始所有者。在安全多方计算过程中，输入方将自己 控制的敏感数据提供给计算方。 计算方：指安全多方计算协议的实际执行者。安全多方计算过程中，计 算方接收来自输入方的数据，然后多个计算方之间执行安全多方计算协 议。 结果方：指安全多方计算结果的需求者。在安全多方计算过程中，结果 方接收来自计算方的计算结果。 从参与者诚实性来看，安全多方计算的参与者包括诚实参与者、半诚实 参与者和恶意参与者。 诚实参与者：在执行协议时，诚实参与者完全按照协议的要求执行协议， 同时将自己的输入、得到的中间结果以及最后输出的结果都进行保密。 半诚实参与者：在执行协议时，半诚实参与者会完全按照协议的要求执 行协议，但可能保留得到的中间结果，并试图推到出其他参与者的私 有信息或其不应该得到的信息。 恶意参与者：在执行协议时，恶意参与者会完全按照攻击者的指示完成 协议的每一步，他不但会将自己的输入、得到的中间结果以及最后输出 的结果泄露给供给者，还可以按照供给者的知识改变输入信息、中间结 果信息，甚至终止协议。 中国移动 运营商数据安全白皮书 19 安全多方计算解决的计算问题 协同计算 假设A想要将秘密null分享给n个人，他只需要构造一个n-1次多项式 null()=null+nullnull+nullnull+nullnullnullnullnullnull，然后用上述多项式分别求得n个点 null1,null(1)null,null2,null(2)null,(,null()，null(1),null(2),null()就是null的秘密分片。同理， B也可以将自己的秘密null分成n份：null(1),null(2),null()。秘密分享完成之后，每 个参与方i都拥有null和null的一个分片：null()、null()。因为n个点可以唯一确定一个 n-1次多项式，所以这n个参与方可以将秘密分片聚合得到null()、null()，从而得 到null=null(0)、null=null(0)。 此时如果A和B想要安全的进行加法运算，即得到null和null的和，但不想让对方 知晓自己的秘密，可以通过秘密分享的技术来实现。首先，A和B将自己的秘密 null、null按上述规则分享给n个参与方，每个参与方得到的只是秘密的一个分片， 无法知晓null、null的值。每个参与方i计算null =null()+null()，而(,null()+null()是多 项式null()+null()的解，所以可以恢复得到null()+null()，从而得到null+null= null(0)+null(0)。乘法运算同理，nullnull=null(0)null(0)。 很多安全多方计算的应用场景本质上都是在做协同计算，例如基金联合 收益计算、联合征信等级计算、联邦学习等。 数值比较 比较大小问题最早是由姚期智的百万富翁问题引出的：两个百万富翁想比较 一下谁更有钱，在没有可信第三方的情况下如何实现。这个问题可以抽象为A、 B两方各持有一个数字a、b，如何在不泄露双方隐私的情况下比较a、b的大小。 借助同态加密技术，可以通过如下协议实现： 1. 对于paillier算法，A选取公钥PK，私钥SK，用公钥加密a：null=()，将null和PK 发给B； 2. B选取随机数x、y，因为加密算法的同态属性，B可以用PK计算nullnull=(+)= ()null()和nullnull=(+)=()null()，将nullnull和nullnull发给A; 3. A用私钥SK解密得到+和+，从而可以比较a、b的大小，并将结果告知A。 中国移动 运营商数据安全白皮书 20 数据求交 考虑这样一个场景：两家公司，一家是广告商，一家是销售商。双方都想知 道有多少用户是通过广告商的广告点击，进入到销售商家进行购买的，从而评估 广告的转化率。那么只要两家公司分别提供两个数据集，然后求交集即可。但是， 这两家公司都不会愿意分享给对方自己的数据集。如何在不暴露自己数据集的前 提下实现双方数据集合求交，是安全多方计算一个比较重要的技术方向。 该问题可以抽象为：拥有数据集(null,null,null)，拥有数据集(null,null,null)， 如何在不泄露全部数据集的情况下计算两者交集。一个最直观的方法就是直接计 算数据集每个元素的hash值，比如计算(null),(null),(null)并发 送给，计算(null),(null),(null)并发送给，这样双方就可以计 算集合的交集。但这种方案有个比较明显的安全缺陷，如果元素的取值范围不够 大，则难以抵抗彩虹表攻击。借助Diffie-Hellman协议的思想，可以实现更安全的 隐私集合求交集协议： 1. 选取，计算(null)null,(null)null,(null)null)并发送给； 2. 选取，计算(null)null,(null)null,(null)null)并发送给，同时计算 (null)nullnull,(null)nullnull,(null)nullnull)； 3. 计算(null)nullnull,(null)nullnull,(null)nullnull)； 4. 双方可以通过比对(null)nullnull与(null)nullnull实现求集合交集，且不会泄露额外信息。 4.3.8 安全检测-日志审计 在安全检测过程中，可采用日志审计技术监督和检测系统内部用户的行为， 防止企业敏感数据或重要数据流失。在用户行为发生后，通过对日志数据的收集、 积累和分析，能够发现系统内部用户的异常行为，并及时提醒审计人员。日志审 计一般在数据生命周期的各个阶段均有涉及，是较为通用的技术。 日志审计范围包括平台用户操作日志、运维操作日志，系统软件日志等。 审计内容要点： 数据访问账号的创建、修改、查询、删除等； 账号是否最小化授权； 用户的登录、退出、数据查询、导入、导出等重要行为； 中国移动 运营商数据安全白皮书 21 对数据共享活动，审核超预期范围使用数据、敏感数据未经脱敏使用、敏 感数据无水印保护等问题； 对涉敏信息处置环节开展审计，审计敏感数据未采用加密、模糊化、水印、 防拷贝等问题。 4.3.9 安全检测-监控预警 在安全检测过程中，可采用监控预警技术对收集到的全量日志采取机器学习 算法，进行精量化威胁分析，得出数据画像和用户画像，并实时监控数据访问和 用户行为，然后结合数据的依赖关系和攻击手段，预测潜在的危险行为。监控预 警涉及数据的整个生存周期。 监控预警要点： 自定义配置告警策略，全面阻止影响数据安全的危险行为。 实时监测恶意攻击行为，对多次执行失败的用户立即采取处置措施。 预测敏感数据的流动趋势，及早发现和防止数据泄露行为。 预测数据敏感程度，主动发现重要数据，为管理人员配置敏感数据提供 依据。 针对即时发生的越权操作，立即告警。 4.3.10 安全检测-数据安全态势感知 在安全检测过程中，可采用数据安全态势感知技术动态地、整体地洞悉安全 风险，提升对数据安全威胁的发现识别、理解分析和响应处置能力，并以视图的 方式将分析能力及结果进行展示。安全态势感知涉及数据的整个生存周期。 数据安全态势感知要点： 支持数据态势全景可视化，能够展示大数据平台的架构、部署、运行、安 全现状，数据资产的量化、分布、涉敏范围，用户行为的实时并发、定 位和告警等全景概况信息； 支持敏感数据资源可视化，能够展示敏感数据在大数据平台的分布信息、 安全管控配置信息、实际访问信息等； 中国移动 运营商数据安全白皮书 22 支持用户行为可视化，能够展示用户的活跃时间、访问数据、使用命令、 使用IP、权限配置、行为轨迹分析等信息； 支持数据血缘可视化，结合数据血缘技术能够展示数据流转信息； 支持监控预警可视化，能够实时监控数据访问和用户行为，结合数据的依 赖关系和攻击手段，预测潜在的危险行为；对即时发生的越权操作，立 即告警。 中国移动 运营商数据安全白皮书 23 5 数据安全防护典型场景 5.1 5G系统数据安全 5G数据分布在各个网元、系统中，由于5G核