中国电信天翼云数据安全治理发展历程

1.数据安全治理建设思路

天翼云对数据安全的重视由来已久，早在 2014 年，天翼云便提出了数据全生命周期安全防护体系方案，并在实践中不断探索落实。建设初期，面临数据资产不清晰、数据分类分级难、管理体系不健全、技术工具不完善等诸多问题和困难，经过多年探索实践，逐一攻克，已实现可管可控可信化的数据安全运营体系。回顾建设路标，从明确数据安全治理目标、建立健全管理制度、探索完善技术工具到建立常态运营指标，形成了一套完整的数据安全保障体系。
天翼云数据安全治理的总体思路，是以“管理 + 技术 + 运营”为闭环运转，螺旋式不断推进提升。以国家法律法规、行业标准为主线，结合业务场景和领域经验，构建完备的管理体系；以自研技术工具为依托，落实各项管控要求，实现全方位监控审计；建立统一运营指标，落实常态化运营工作，真正做到数据安全解决方案可落地与可实施。

2.数据安全治理实践

天翼云参与中国互联网协会《数据安全治理能力评估方法》团体标准的制定工作，并作为首批参评企业获得了数据安全治理能力优秀级证书。该标准以数据全生命周期的安全治理能力建设为切入点，定义了 18 个能力项，以评估企业在数据安全战略、数据全生命周期安全和基础安全方面的治理能力。
天翼云也是数据安全技术实践的先行者。经过不断实践探索，天翼云率先研发出国内首款大数据环境下的数据脱敏系统，支撑日均300T规模数据加密和脱敏，总保障数据PB级；自主研发的出口审计系统，可基于内容和行为进行检测，达到实时监控千量级规模接口审计，及时发现出口数据的泄露风险；用户操作管控方面，通过关联分析10+类日志全面监控用户操作数据行为，形成了数据安全事前加密脱敏、事中监控检测、事后审计追踪的保障机制。此外，天翼云也率先研发、部署敏感数据发现能力，实现敏感数据扫描、自动分类分级、敏感数据地图，打造数据全息可视化。

3.数据安全治理场景化解决方案

天翼云以多款自主研发的数据安全产品为支撑，保障数据全生命周期安全，形成统一的数据安全管控平台，可满足不同场景下数据安全治理的各类需求。
天翼云数据安全产品之一的数据安全平台采用先进的机器学习、自然语言处理技术，围绕数据全生命周期构建一套从数据采集、数据访问、数据使用、数据传输、数据共享、数据销毁的全生命周期大数据安全技术体系，具备敏感数据识别、数据脱敏、权限管控、智能异常检测、审计监测预警等数据安全能力，实现对企业核心数据的保护和管理。
在不同场景下，基于不同用户身份的数据访问请求，数据安全平台基于角色或策略进行HDFS、Hive、Hbase、Yarn、Strom、Kafka的访问控制，并根据细颗粒度授权实现数据访问的权限管控。同时，平台从接口日志、输出文件拉取数据到审计服务引擎，引擎依据审计管理平台配置的检测规则和审计策略，对日志、文件进行审计，有效监测数据出口并且防止数据泄露。数据安全平台具备用户操作审计功能，以数据操作行为为核心，根据业务模式、场景、对象的不同，利用智能分析引擎、用户行为分析等手段，分析用户访问敏感数据的情况，及时发现数据访问的异常行为，保障业务运营全流程可追溯、可审计。目前，天翼云已在智慧政务、智慧城市、智慧工业等不同领域推出满足不同业务类型的专属解决方案，数据安全治理能力也融入到天翼云诸葛AI平台，在为企业提供一站式AI解决方案的同时，捍卫企业用户隐私，为企业数字化转型夯实安全基石、为合规经营保驾护航。

参考文档

信通院数据安全治理实践指南-1.0