随着5G、大数据、人工智能、区块链等技术不断落地应用，我国数字经济和信息产业蓬勃发展，数据规模不断扩大，数据泄露、滥用等风险日益凸显，防范数据安全风险、构建数据安全保障体系成为各方共识，国内外数据安全形势日趋严峻，面对内部人员、合作伙伴及外部黑客的数据安全风险与威胁，如何满足企业自身数据安全管理需求成为电信行业数据安全保障的核心问题。东方通网信通过以国家法律法规、行业标准规范、顶层设计理论为指引，结合电信行业数据安全现状，采用“管理管控双管齐下”的方式，围绕电信行业数据全生命周期特点，分阶段构建由内到外的数据安全纵深防御体系，从威胁防御、风险管控、数据追踪溯源、数据共享与交换等多个层面，打造数智一体化数据安全能力，提供符合电信行业特色的数据安全一站式全景化产品解决方案，全面落实电信企业数据分类分级、数据对外接口管理、数据安全风险监测、数据泄露分析溯源等多方面数据安全管理能力，具有“能力自动化、分析智能化、交互便捷化、效果可视化”等显著特点，从而辅助电信企业科学规划安全体系、全面提升企业自身数据安全防御及风险感知能力，赋能政企市场高质量发展，满足注智赋能需要。

基于OPENSOC架构（Flume + Kafka + Storm）实现“无损”异步流式处理引擎

如数据库类存储介质，使用传统JDBC方式实现，没有使用任何连接池技术，不会占用大量数据库连接，且使用JDBC的方式，只保存单连接，执行过程先打开数据库连接，执行数据抽取操作，将抽取的数据放入消息队列，抽取完成后关闭数据库连接，识别过程采用异步离线分析方式，识别过程不占用数据库链接。

Flume：数据采集框架；

Kafka：消息队列框架，主要用于抽取数据缓存，为Storm提供基础数据支撑；

Storm：流式处理框架，通过Storm中的Supervisor向Worker节点下发消息，Worker阶段中的Excutor根据接收的消息分析内容中是否包括敏感数据。

在技术选型的过程中，主要考虑业务场景、框架的优缺点、二次开发的难易程度、负载集群要求等因素最终确定采用OPENSOC架构完成构建异步流式处理引擎。

创新点一：电信行业数据安全治理最佳实践。

结合Gartner数据安全治理理念及DSMM数据安全能力成熟度模型，将理论与实际相结合，推导出符合电信行业能够快速落地的最佳实践方法,创新性的通过“五个步骤”，即可快速完成企业数据安全建设与演进工作，包括：

1.网络数据资源清单式管理

2.数据使用情况梳理

3.安全策略制定与下发

4.网络数据资源威胁及风险分析

5.数据安全问题处置与跟踪。

以人员为基础、以任务为驱动、以能力为抓手，构建“人员集中、任务集中、能力集中”的数据安全运营体系，将管理工作与工具化的数据安全能力深度拉通，并通过与现网其他平台的协同与联动，在金库场景反向稽核、涉敏人管理等多个方面，深化现网安全系统协同成效，解决单一系统仅能聚焦在特定领域等问题。

创新点二：基于“去混淆”技术及复核规则识别电信行业敏感数据。

基于“去混淆”技术，结合NLP、相似度、AI等多种复核规则的方式识别敏感数据，可对经过特殊处理的敏感数据，如数据杂质化、加密、模糊化的原始内容进行数据标识及验证，并且首次提出通过“错峰+断点+抽样+异步流式处理+脱敏+指令通道”等保障手段，能够在保证安全性的同时最大限度降低分类分级对业务侧的性能损耗。

创新点三：数据共享接口智能化管理。

结合AI算法，自动化识别API、FTP/SFTP、交换机旁路镜像等方式进行数据共享的对外接口，并创新性的以“工具化、脚本化”的形式，对外提供数据共享接口核查服务，仅需在设备上执行检测指令，即可了解该设备存在的数据共享接口，落地快速简单，可有效保证电信行业用户对于数据共享接口管理的全面性及准确性。

创新点四：结合“数据血缘”及互联网“画像”技术实现泄露过程中数据“变换”等数据安全风险问题。

依托“数据血缘”技术，对泄漏主体内容进行血缘分析，有效识别泄露数据“变换”类问题（如：原始文件做过分割、影像、杂质话等特殊处理），最终帮助管理人员定位泄露主体及泄露途径。并根据“UEBA”理论为基础，通过对自然人的行为规律进行AI建模及正态分布算法等，得出自然人行为基线轨迹，从而分析基线偏离的异常行为，自动化的找出数据安全问题和风险等，过程中无需任何策略配置，即可动态分析，有效支撑应对未知数据安全风险。

创新点五：构建符合密评数据传输要求的“数据安全可信安全网盘”。

基于多种数据安全管控能力，包括：数据识别、金库、脱敏、水印，结合商密算法，建立可信数据传输通道，彻底解决“敏感数据不落地”的问题，对非法数据外发进行威慑，有效降低数据泄露风险及隐患。

创新点六：实现SaaS化的数据安全服务模式，对内满足按需交付的新型服务模式，对外满足电信企业能力变现需要。

精选关键数据安全能力，适配云化防护特性及国产化需求，创新性的构建一套“数据安全能力货架”，打造基于租户的产品化、自助式、按需交付的IT云资源及安全支撑服务模式，形成集中管理、按需服务的安全场景化应用，赋能政企业务高质量发展，满足”注智赋能”需要。

解决问题一：电信行业如何开展数据安全治理工作。

国内外对于数据安全治理的理论依据及顶层设计众多，包括：国际Gartner数据治理框架DSG、国内DSMM数据安全能力成熟度模型等，如何将数据安全治理的理论依据及顶层设计的指导思想，结合国内电信行业现状，推导出符合当前电信行业现状的特点的数据安全治理解决方案，寻求企业最佳数据安全治理建设路径，是本次申报方案拟解决的首要问题。

解决问题二：电信行业数据安全保障体系应如何构建。

数据安全保障目标是保护数据权属性、保密性、完整性、可用性、可追溯性，实现数据“可管、可控、可信”。保障企业数据资产及用户隐私,应遵循国家层面对数据安全保障的重要指导精神为工作指引，全面规划落实各项数据安全保障手段，如何构建完善的数据安全保障体系，保障管理制度、安全生态、创新安全服务的有效落地，支撑业务健康发展及建设，将成为业链各环节主体的首要目标，是本次申报方案拟解决的第二个问题。

解决问题三：如何构建自动化数据安全技术支撑手段。

在国家对技术创新支持力度不断提升的大背景下，产业链各环节主体将数据脱敏、数据加密、数字水印算等数据安全关键技术的能力提升和创新发展提供有力支撑，联邦学习、多方安全计算等处于萌芽期的新兴技术，为解决数据利用，与数据保护之间的矛盾提供了新的解决方案，随着应用领域的不断扩展和需求的不断释放以及理论研究的不断深入，实现核心技术的持续演进，随着新老技术不断交替，企业如何构建符合自身要求的数据安全技术支撑手段，是本次申报方案拟解决的第三个问题。

解决问题四：电信行业数据安全运营应如何推进。

数据安全能力建设与数据安全运营应是相辅相成，只有能力没有运营，能力则成为了“空架子”，无法体现最终价值与成效，包括数据分析、风险管理、应急处置、策略优化、关键环节的风险隐患识别、防控、应急等方面的意识、明确关键岗位职责、加强日常培训等要求，都需要配套常态化运营保障机制，在有能力基础的前提下，只有真正将数据安全运营做的好，数据安全能力建设才会发挥最大的效能，故电信行业数据安全运营应如何推进，是本次申报方案拟解决的第四个问题。