江西联通 X 保旺达：数据安全分级分类平台建设实践

作者：沙丘社区分析师团队

中国联通江西分公司（以下简称“江西联通”）是中国联通驻江西分支机构，公司的固定资产投资规模超过一百亿，基站数量2万余座，移动通信用户、固定电话、宽带互联网用户逾1000万户。

江西联通以“数字信息基础设施运营服务国家队、网络强国数字中国智慧社会建设主力军、数字技术融合创新排头兵”定位为引领，全面落实“强基固本、守正创新、融合开放”战略，近年来发展进步很快，尤其是在政企领域上，多项业务已成为各省公司同比增长最快的之一。

随着国家数字强国战略推进和数据安全相关法律法规的密集出台，数据安全强监管时代已经成为业界共识。面对日益严格的监管政策和考核要求，江西联通面临合规难度大、数据变化快、协同工作难、数据覆盖不全、动态数据管控难等痛点。

基于以上痛点，江西联通旨在建设一个由合规和安全双驱动的数据安全分级分类平台，实现如下目标：

第一，满足合规。满足国家、行业、企业各级合规性要求和考核目标。

第二，提升安全。梳理数据资产，明确数据安全治理目标，为精准风险评估提供数据支撑。

第三，提升管理效率，降低成本。结合企业自身数据安全管理流程，完成数据资产摸底，减少数据资产梳理工作的人力投入，降低参与人员的能力门槛。

基于以上目标，江西联通与保旺达合作，构建合规和安全双驱动的数据安全体系。江苏保旺达软件技术有限公司聚焦数据安全、身份和访问安全(IAM)、安全管理与运营、安全服务等专业安全领域，为用户提供安全、合规、全生命周期、全业务场景的信息安全整体解决方案和服务，为企业数字化转型提供数字安全保障。

合规和安全双驱动的数据安全体系包括三大目标、五大体系、八大场景和十五大产品，具体来看：

• 三大目标：包括数据安全防护、数据监管合规和数据安全流通；

• 五大体系：为了满足以上三大目标，需要五大体系作为支撑、实现有效配合，包括数据安全管理体系、数据安全组织体系、数据安全合规体系、数据安全技术体系和数据安全运营体系；

• 八大场景：数据安全与业务场景和流程息息相关，解决方案需要紧贴场景，目前数据安全体系可满足生产、办公、运维、开发、测试、数据内部共享、数据外部流转、数据出境等业务应用场景。

• 十五大产品：包括两大基础平台、九大能力子系统和四大管理平台。

合规和安全双驱动的数据安全体系具有如下特点：

特点1：围绕数据全方位梳理数据特性

数据梳理工作围绕数据全方位展开，具体包括：

• 理清数据安全相关规范制度，作为数据安全工作的依据和指导；

• 理清关联业务，了解目标数据的流转过程；

• 完成数据分类分级，掌握敏感数据范围和内容；

• 绘制数据地图，从业务、应用、数据源、物理位置等多个维度摸清数据在企业内的分布情况；

• 根据业务、应用、人员情况，明确各类数据的受访问权限；

• 明确数据梳理过程中各部门的协作流程，使所有参与人员能够了解自身在工作中的职责；

• 了解现有安全措施建设情况和实施效果，明确现状和目标的差距。

特点2：提取数据“静”态特性

保旺达方舟平台负责管理、维护、展现，提供统一的数据安全工作入口，数据扫描引擎接收方舟平台的扫描规则和计划，并对目标数据源进行扫描，扫描内容包括、数据量、元数据、数据内容（抽样/全量）、账号和权限，扫描引擎将结果反馈给平台，由平台完成对结果的分析、标注和展现。

特点3：提取数据“动”态特性

数据流转探针采集各API的流量并进行解析，并将解析结果发送给方舟平台，采集的流量包括应用服务和页面间的流量、组织内的应用间流量、组织内应用和组织外应用间的流量、组织内的应用和组织内的存储间流量、组织内的应用和组织外的存储间流量。方舟平台结合数据扫描结果、备案的业务/应用/数据源关系，按数据类型和敏感等级将数据进行关联，并通过关系图展现数据流转情况。

特点4：数据自动分类能力

从多维度对目标数据的特征进行识别，关联多维度识别结果综合判断。

内置行业/企业分类分级标准，充分保障合规需求，预置70+的数据特征规则，开箱即用，无须用户额外编写数据的特征规则，即可覆盖90%的个人信息自动识别；内置机器学习“算法”和“模型”，针对难以定义特征规则的企业自身数据，通过样本训练自动提取其特征。

特点5：数据梳理过程流程化

数据梳理工作要跟数据使用流程结合起来，通过内置的可配置流程，使安全部门的安全专家可以协同各业务部门的业务专家借助平台共同完成数据梳理工作，提升数据梳理结果的质量。

通过以上解决方案，江西联通实现：

• 绘制敏感数据分布拓扑，了解自身的数据家底；

• 持续监视数据资产的变动，及时发现敏感数据扩散情况，提升了数据资产的时效性；

• 跟踪数据流转，将复杂的流转过程以简单、直观的方式呈现，提供了“动”“静”结合的数据梳理结果；

• 通过可视化的数据资产报告，辅助决策数据安全建设的投资方向和大小；

• 对内、对外提供一致的数据资产清单和自动化数据分类分级能力，为统一安全策略、避免安全孤岛提供数据支撑，同时减少重复投资。

江西联通数据安全分级分类平台成功建设的关键要素如下：

第一，战略指引。将数据安全作为企业的战略目标之一，企业决策层需要高度重视数据安全。

第二，组织完善、职责明确。构建数据安全治理组织体系，明确决策部门、牵头部门、实施部门及相关的责任人。

第三，制度保障。建立相应的管理制度来保障数据安全治理的落地。

第四，流程协同。制定明确的数据安全治理流程，有效推动跨部门的协同治理活动。

第五，技术支撑。建设数据梳理系统，实现“动”、“静”相结合的数据梳理效果。

第六，降低门槛。低使用门槛的产品才可以在推广、使用过程中被使用者接受。

在项目执行过程中，江西联通总结如下经验教训：

第一，控制范围，厘清数据治理和数据安全治理的关系，聚焦合规和安全。数据治理的目的是为了更好的发挥数据价值，而数据安全治理的目的是确保安全合规。两者的目的不同，工作范围、复杂性、工作方法也有所不同。建议合理控制范围，聚焦合规和安全，主要关注重要数据和核心数据，数据涉及的应用场景和节点，每个节点对应用数据的访问角色和权限，每个点可能产生的泄露风险和应对措施。

第二，先把一个系统一个部门数据梳理清楚，分系统分步实施。数据安全问题不可能一次性全部解决，建议做好规划，分步实施，明确重点，不断迭代。建议分为多个阶段，将合规、组织、管理、技术、运营体系思路贯穿在每个阶段建设任务中，重点先解决合规问题、考核问题和重点安全问题。先纳管重点数据和重点系统，快速达成阶段目标，取得好的治理效果后，做好复盘和迭代，再逐步纳管其他系统。

第三，以业务系统为抓手，结合实际场景去抓数据安全管控。数据安全是高度场景化的，是和业务流程密切相关的，不是采购一套标准化产品就能解决问题，必须结合业务场景体系性去解决问题。数据结合业务场景才更有价值，数据安全要以业务系统为抓手，才更具有针对性，也能起到更好的效果。

第四，闭环的、持续运营才能见实效。只是部署一套系统或平台，只是数据分级分类工作的一小部分。整个数据分级分类的识别、审批、确认、对比、分析等过程要通过系统和流程实现闭环，能够实现分级分类工作的闭环管理和持续运营，这样才能起到实际的效果。