段炼
(中国移动通信集团江苏有限公司,南京 210012)
大数据资产是电信运营商推动创业布局、创新发展和转型突破的战略性资源。电信运营商大数据的特点是丰富、精准、可信。首先,数据可以对应到具体用户,数据真实程度很高;其次,通过对大数据的采集可以得到精确的用户敏感信息,例如位置信息;再次,通过大数据之间的关联分析,可以全面了解用户各种行为爱好。电信运营商所拥有的大数据资源几乎涵盖了所有个人和大量设备的行为数据,理论上讲可以在外部共享应用中挖掘出巨大的商业价值,但是出于个人信息保护、数据开放安全等因素的考虑,目前外部应用受到很大影响。工信部在《大数据产业发展规划(2016-2020)》中将电信行业作为重点领域,在鼓励大数据业务发展创新的同时要求建设完善重要数据资源和信息系统的安全保密防护体系,防止其收集的众多用户数据受到侵害。因此,保护好用户隐私和数据资产,持续强化大数据安全管理和保障,已成为发展大数据业务的关键。
电信运营商在推广大数据业务时往往只追求业务的快速发展,当业务发展与安全要求矛盾时,未能将安全工作嵌入到业务流程中,造成了安全监管缺失。另外,目前已有的传统安全防护手段关注的重点是通信网络,面对大数据平台的新特性、新变化难以进行有效管控,造成了技术手段缺失。根据往年上级主管单位检查情况,目前公司内部的大数据信息安全存在以下风险。
一方面,电信运营商在数据共享、数据分析、运维支撑等方面与外部单位开展广泛合作,一旦发生安全事件,将对企业声誉、公司利益、业务开展、用户隐私等产生重大影响。现阶段与合作方签署的保密协议或信息安全承诺书往往没有明确其在数据开放共享、数据试用、代分析挖掘及业务合作过程中对敏感数据保护的责任,对合作方的危险操作及敏感信息泄露无法控制和处罚。
另外,在实际工作中未建立包括合作方背景调查、安全资质审查等内容的数据安全管控制度;针对对外提供的各类数据,缺乏专项数据安全风险评估和客户信息安全审核。特别是面向大数据金融系统在开展数据变现类大数据业务过程中,未对合作伙伴的既往合作情况及运营历史背景进行调查,且未签署保密协议,缺乏对数据使用、转售等具体场景的安全保密要求。
目前在电信运营商内部,大数据管理模式延续了传统集团客户/行业客户业务管理模式,市场运营线条、业务支撑线条、网络维护线条和信息安全线条分别承担相应职责,共同为大数据消费方提供大数据业务服务。其中,政企客户部门作为大数据业务管理方,承担大数据业务推广职能,负责制定大数据的业务规划,开发大数据业务产品,实施大数据业务应用、数据运营及内容服务;业务支撑部门和网络维护部门作为大数据提供方,承担大数据生产职能,负责数据的采集、传输、处理工作,并建设运维大数据平台,为大数据业务应用提供数据挖掘、数据分析、数据脱敏等能力支撑;信息安全部门作为大数据安全管理方,承担大数据安全管理职能,负责制定大数据安全保护管理制度,研究大数据安全保护的技术手段,定期组织大数据安全检查,从总体上对大数据安全管理起到指导、协调、监督等作用。
传统的面向集团客户/行业客户产品主要是一些标准化产品和行业应用,这类产品运营过程中产生的数据均保存在公司内部,不涉及对外合作。因此,在传统信息安全管理体系中,相关部门只需做到公司内部的关键环节可管可控,即可满足安全防护的需求。大数据业务作为一种新兴业态,较传统业务相比增加了数据共享环节,数据消费方大多为外部合作单位,必然造成数据在大量外部合作单位中开放共享,任一方措施不当,都可能引起数据泄漏。然而目前的管理职责分工中,没有明确各部门在大数据对外合作监管中应承担的主体责任,造成了工作边界不清,部门间相互推诿的现象时有发生。
笔者曾就大数据对外合作责任归属问题访谈了大数据提供方、大数据业务管理方、大数据安全管理方的相关人员。大数据提供方认为,一旦数据离开了大数据平台,数据的权属就转移到数据业务管理方,按照“谁使用、谁负责”的原则,应该由大数据业务管理方对外部合作单位进行监管。大数据业务管理方认为,作为前台的经营部门,其职责主要在业务开发和推广上,安全管理工作应该由信息安全管理部门统一扎口。大数据安全管理方认为,大数据保护与业务流程紧密相关,只有将安全管控嵌入到日常业务流程中,才能将大数据安全管理办法真正落地,大数据业务管理方作为大数据主管部门责无旁贷。从访谈结果可以看出,由于公司内部缺少大数据对外合作监管的框架,各方对于职责划分看法不一致,使得合作单位成为了“三不管”的监管死角。
大数据业务涉及数据的全生命周期管理,与传统业务相比关键环节多,涉及到众多外部合作单位,在实际工作中容易造成监管缺失。要解决合作单位安全监管职责不清的问题,需要各部门通力合作,加强沟通协调,厘清工作界面,共同推动监管工作落地,如图1所示。
图1 合作单位安全监管分工界面
大数据业务管理部门与合作单位的联系最为密切,需要把好第一道关卡。在合作单位提出合作申请时,应该对其基本资质进行严格审核,筛选掉以往存在不良记录的合作单位。大数据业务管理部门还承担着合作单位和其他相关部门的沟通桥梁作用,牵头协调相关部门对合作单位开展各层面的调查,并将合作单位的情况及时反馈到公司内部。在大数据业务完成后,大数据业务管理部门还需要对合作方进行后评估,为后续合作开展提供参考。
大数据提供部门作为数据所有者,在开展安全监管时拥有很大的主动权。在业务开展之前,应该对合作单位需求的可行性进行审核,对于违反数据保护规定的需求应予以拒绝。围绕着数据的全生命周期的各个阶段,大数据提供部门应采取相应的安全管理和技术手段直接对合作单位进行过程管控。大数据提供部门还应定期对合作单位的大数据使用情况进行审计,及时发现问题并责令其整改,确保形成管理闭环。
大数据安全管理部门作为安全归口管理部门,应对合作单位的安全资质进行审查,对于安全管理制度和安全防护手段进行评估,防止合作单位存在安全管理或技术漏洞而导致数据泄露。大数据安全管理部门以问题为导向对合作单位进行监管,通过定期检查的方式发现各类安全隐患和违规问题,及时为业务发展“踩刹车”。
通过对合作单位安全监管要求的梳理,按照事前、事中、事后的顺序将监管职责细分3个阶段、9项任务,并明确大数据提供方、大数据业务管理方和大数据安全管理方的责任矩阵,如表1所示。
表1 合作单位安全监管责任矩阵
2.1.1 合作单位资质审查
要解决合作单位监管问题,首先必须从源头抓起,在大数据业务开展之前针对合作单位开展全面的调研审查,确定其是否具备开展大数据业务相关的能力,是否具备完善的安全管理和技术能力,是否存在数据泄露而危害国家安全、用户权益的风险。
在这一过程中,由大数据业务管理部门开展合作单位背景调查,重点做好合作方股权关系、境内外合作关系、既往合作情况、运营历史背景等的调查。如涉及与境外单位合作,需要及时上报上级主管部门,经批准后方可开展合作。合作单位自身的安全水平也非常重要,应由大数据安全管理部门开展合作方安全资质审查,包括综合评估合作单位的信息安全保障能力、安全管理制度、技术防护手段等。
2.1.2 业务需求审查
合法合规是开展大数据相关业务的前提。对于合作单位来说,如能获取原始数据,经过二次分析后便能得到更多更有价值的信息。合作单位在提出合作需求时,总是希望能共享到原始数据而不是经过处理的数据。针对这个情况,必须制定完善的大数据业务需求审批流程,按照公司大数据分类分级标准,对合作单位需求中涉及的数据内容、交接方式、敏感程度以及应用范围等进行严格审核,对应用输出数据的必要性和安全性进行审核。未经正式审批的企业内部数据严禁泄露、出售或者非法向他人或外部单位提供。
2.1.3 签订保密协议
目前与合作单位的安全保密协议仍沿用传统集团客户业务的模板,未包含数据共享相关责任条款。应该在《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《侵害消费者权益行为处罚办法》等法律法规的框架内重新修订安全保密协议,界定双方在大数据业务开展中的安全责任,对于用户授权、数据应用、权责分配、接入细节等内容进行约定,明确合作单位的保密责任、保密内容、保密有效期及违约罚则;明确合作单位数据使用范围和场景,限制数据转租转售行为,明确合作单位应承担的安全责任,并明确处罚机制;要求合作单位建立数据保护制度,具备应有的数据保护手段,与其员工签订保密协议,并明确员工的保密责任、违约罚则。
2.2.1 人员账号权限管理
当合作单位需要与我公司系统对接,或者使用我公司系统进行数据分析时,可以向大数据业务管理部门提交账号申请,说明需要使用的系统、访问数据范围、数据类型等信息,由大数据业务管理部门按照“权限明确、职责分离、最小特权”的原则进行审批,为合作单位分配适当的权限,避免合作单位越权访问数据。
尤其是未经脱敏处理的用户个人隐私数据等敏感数据,数据必须经数据输出审核(包括技术和管理双重审核),审核通过后才能对外输出。
2.2.2 数据全生命周期管理
从数据运营的角度,依据数据全生命周期各环节面临不同的安全环境和安全威胁,将日常安全管理工作嵌入到采集、传输、存储、使用、共享和销毁各环节中。并将身份认证、访问控制、金库模式、安全审计、异常行为监测预警、数据加密、数据脱敏、数据防泄漏等数据安全防护能力嵌入到大数据平台、后台运维管理系统中,或与其进行无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中充分落地。
2.2.3 安全预警管理
大数据安全管理部门应按照“谁主管谁负责、谁运行谁负责”的原则,组织相关干系方对大数据基础设施开展安全监测工作,从管理、技术、人员等方面建立完善的监测预警和应急响应机制,为大数据基础设施制定应急响应计划,做好应急预案、风险监测、实时预警、事态遏制、问题根除、系统恢复、跟踪总结等各项举措,并定期演练,确保在紧急情况下重要信息资源的可用性。
2.3.1 安全审计
根据“职责分离”原则在大数据提供部门设置独立的安全审计员,安全审计员应开展定期的大数据安全日常审计和不定期的专项审计。日常审计至少每月一次,主要针对大数据平台的系统访问日志进行审计,一是审计操作人员、操作时间、操作内容等信息,确认是否存在违规访问与操作;二是对数据导出行为进行审计,确认行为是否规范、数据是否模糊化处理。
专项审计主要聚焦大数据平台和业务的安全管理和技术要求落实情况、大数据平台系统和业务访问情况、大数据平台用户个人信息访问情况。通过人员访谈、审阅台账、现场验证、技术检测等方式及时发现系统存在的安全隐患和安全威胁,并有针对性的提出改进措施,跟踪整改情况,对未在规定时限内完成整改的,应依据相关规定进行处罚。安全审计员将情况汇总后,梳理存在问题,通报审计结果;针对发现的重大安全隐患或违规行为,应向管理层汇报。
2.3.2 安全合规检查
大数据安全管理部门负责对合作单位进行大数据管理合规性检查,主要分为日常合规检查和专项合规检查两种。日常合规检查至少每月一次,检查数据合作单位的数据使用、管理等方面的安全制度和执行情况。对检查过程中发现的问题应责成合作单位在规定时限内整改,未及时完成的应依据相关规定进行处罚。专项合规检查范围更广,每年至少进行一次。在开展安全合规检查前,与合作单位沟通检查范围、检查内容、检查方法、检查任务、检查报告及相应流程。检查结束后及时汇总检查情况,梳理存在问题,通报结果;针对发现的重大安全隐患或违规行为,应向公司管理层汇报。
2.3.3 评价追责
围绕以往安全协议的履行情况建立合作伙伴评价机制和黑名单机制,评价结果作为开展后续合作的依据。黑名单内的合作单位在一定期限内不予准入。在后评估中如果发现合作单位违反合同协议中明确规定的数据安全保护的义务,公司可以采取必要手段进行处惩,例如解除合同关系,甚至对合作单位提起违约或侵权民事诉讼,要求承诺人承担相应的民事责任。
电信运营商作为央企,构筑国家通信基础设施和重要信息系统的安全屏障是义不容辞的政治任务和社会责任;提供安全可信的大数据服务是维护用户权益、提升客户感知的必然要求;“以安全保发展,以发展促安全”是企业在新常态下持续健康发展的有力保障。大数据安全保障工作无所不在,涉及到大部分业务部门和单位,涉及大量重点岗位,涉及所有第三方合作伙伴,也是公司所有员工的共同责任。大数据安全管理工作是一个复杂的系统性工程,我们要充分意识到目前面临的威胁并做好各项应对措施,只有这样才能更好地利用大数据而不被大数据利用。