星河案例ㅣ联通数科：数据智能分类分级解决方案实践

▏摘要

为了加强自身数据安全技术保障能力建设，符合国家顶层战略部署，应对集团数据安全考核需求及数据运营安全需求的目标，中国联通在数据分类分级工作中，结合智能化技术，采用迭代“四步走”方法，不断夯实数据分类分级基础建设，为安全审计、精细化访问控制、数据脱敏等安全防护手段提供基础。

▏问题

为了满足合规性要求，中国联通将数据安全考核分解落实，2022年重点工作包括技术手段建设、重要数据安全管理和网络安全防护管理。数据安全技术手段建设的第一项考核指标就是数据资产管理（数据识别），因此中国联通开展重要数据的分类分级工作。

▏行动

• 对标工业和信息化部数据安全管理办法及集团相关制度要求，中国联通搭建涵盖决策层、管理层、执行层、监督层的数据安全工作体系；

• 在执行分类分级时，中国联通整体采用“先抓核心、后扩范围、逐渐管控”的思路进行，每个迭代分为“四步走”方式执行（项目调研->建立分类分级策略准则->执行分类分级->结果评估和维护改进）；

• 分类分级技术实现思路是构建分类分级知识库后对接元数据信息，基于规则引擎、AI模型引擎执行分类分级，产生字段分类分级关系，最后形成开放服务，将分类分级结果输出到下游的安全能力。

▏结果

• 通过数据安全分类分级，中国联通实现资源分配的合理性、风险控制的有效性、数据价值的最大化。

分享专家：贾玉武，联通数科研发交付总监

作者：沙丘社区分析师团队

案例企业

中国联合网络通信集团有限公司于2009年1月6日在原中国网通和原中国联通的基础上合并组建而成，在国内31个省 (自治区、直辖市) 和境外多个国家和地区设有分支机构，以及 130多个境外业务接入点，拥有覆盖全国、通达世界的现代通信网络和全球客户服务体系。

项目背景

随着数据作为新型生产要素，国家出台相关法律法规，推进公共数据、企业数据、个人数据分类分级确权授权使用，保障数据使用全流程安全性，维护各方合法权益。

解决方案

在合规性的驱动下，中国联通建立DSG体系，将国家法律法规、国家行业标准等作为理论支持，建设涵盖组织机构、管控制度、运营流程、安全策略、技术平台等多方面的技术框架，落实数据安全工作。

安全工作是“一把手工程”，需要得到企业高层领导的支持。在管理体系中，中国联通首先建立与企业架构相匹配的安全组织，明确组织内各个角色的安全职责，培养数据安全人员，并建立数据安全管理策略。

在运营体系中，中国联通建立与业务运营相对应的数据安全运营体系；在技术体系方面，在基础安全得到保障的基础上，强化数据安全管控工作，集中账号、集中权限，做好所有与数据相关的身份统一认证，基于IAM拉通数据治理、数据管理、数据资产管理平台和数据安全一体化平台的对接，然后进行数据分类分级，以数据分类分级工作为基础拉通数据全生命周期各个环节的数据安全能力，制定不同的数据安全策略管控对应级别数据，优化资源的配置和投入。数据分类分级的范围需要按照组织的数据安全管控粒度制定。

对标工业和信息化部数据安全管理办法及集团相关制度要求，中国联通搭建涵盖决策层、管理层、执行层、监督层的数据安全工作体系。

分类分级工作遵循如下原则：

第一，落实法律法规。《网络安全法》《数据安全法》《个人信息保护法》，以及网络数据安全管理条例（征求意见稿）等法律法规要求，深入探索研究，并按照本行业的监管要求落实。

第二，满足自身发展需求。随着业务不断深入，信息化水平不断提升，产生的数据种类、数量也呈现爆炸式的增长，前期做好数据管理方面的规划，有效降低后期维护成本。

第三，提升数据使用价值。更好地从数据中提取价值，持续性提供精准的数据服务。在数据流通时能够做出更好的判断，在提升运营能力同时，数据资产的精细化管理，将成为业务优化的发力点或突破点。

第四，兼容性原则。厘清数据资产，确定数据重要性或敏感度，针对性地采取适当、合理的管理手段和安全防护措施，从而减少数据遭受篡改、破坏、泄露、丢失或非法利用的可能。

第五，就高从严原则。分类分级功能是数据安全的基础，是拉通数据资产与安全间的核心能力，有效的数据分类分级，能对数据在数据流通时做出更好的共享开放判断。

在执行分类分级时，中国联通整体采用“先抓核心、后扩范围、逐渐管控”的思路进行，每个迭代分为“四步走”方式执行（项目调研->建立分类分级策略准则->执行分类分级->结果评估和维护改进）。

在落实数据分类分级工作时，中国联通首先建立组织及规定组织职责体系，包括三类组织结构：

• 数据主管部门：负责组织制定数据分类分级管理规范，指导和推进数据平台中关于数据分类分级工作，保障数据平台安全高效运行；定期做好数据安全审查工作，做好安全能力评估和绩效考核等工作。

• 数据提供部门：依照集团及公司准则进行数据分类分级工作操作、审批等流程，根据业务开展情况，确定分类分级结果，同时细化数据目录，保障数据分级的合理性，并落实数据分级安全防护工作。

• 数据使用部门：按照数据分类分级相关标准，落实数据使用过程的分级安全防护工作。

数据分类分级流程如下：首先进行数据资产梳理，确定数据编目对象，对数据所属的业务部门在分类分级系统内进行分类和分级，并组织相关数据安全和业务专家进行审批，然后完成数据目录上报，主管部门审批后，最终确定数据分类和定级结果。如果分类分级发生变更，则需要按照变更流程重新进行分类分级，后续安全体系内的安全能力管控策略都需要进行相应调整，最后完成数据分类分级的编目和发布。

当字段出现分类变化、敏感字段出现降级或编程非敏感字段时，会经过如下三个步骤，首先需要数据提供单位在目录平台上提出变更需求申请，然后数据主管部门对数据变更结果进行审核，最后发布新的数据分类/定级结果。

中国联通采用线分类法、面分类法和混合分类法。线分类法是第一阶段采用的方式，将现有数据按照分类树不断展开，但随着分类分级范围的不断扩展，线分类无法满足现有业务需求，因此采用面分类法，进行多维分类。最后采用混合分类法，在多维分类下采用线分类法，实现最终的分类结构。

根据数据分类分级结果，不同字段数据的存储策略、访问策略、审计策略需要进行差异化的配置管控，为下游数据安全能力分类分级支持，例如目录系统将分类分级结果提交至数源单位进行复核，统一各单位分类分级结果一致性和准确性。

分类分级技术实现思路如下：

首先构建分类分级知识库，包括多维分类、数据分级、分类分级规则策略，同时定义数据项，在分类分级系统中拉通数据元和分类分级规则之间的关系，构建数据元和分类分级规则策略之间的对应关系没沉淀分类分级知识库，此外，知识库中还包括行业维度，如国标、行标、企标等。有了知识库后，对接元数据，采集数仓中的元数据信息，包括结构化和非结构化信息，在表级别结合数据血缘能力，为后续的表分级提供数据支持。

构建知识库、对接元数据后，基于规则引擎、AI模型引擎执行分类分级，产生字段分类分级关系。有了字段信息后，可以拉通表级别的引擎，然后进行表的分级、目录的分级工作，最后形成开放服务，将分类分级结果输出到下游的安全能力中。

构建分类分级引擎的基本思路是针对结构化和非结构化样本数据，分别采用不同的处理方式进行，一是对于描述性文本，按照自然语言处理的语义识别，融合语料库，采用模型构建或预训练技术形成基于内容的敏感数据识别模型；二是对于结构化数据，基于机器学习构建分类或聚类模型，通过训练形成结构化数据模型。

价值与效果

通过数据安全分类分级，中国联通实现如下价值：

第一，资源分配的合理性。通过对数据进行分类分级，可以更加有效地进行资源分配和管理。对于高价值、敏感性较高的数据，组织可以投入更多的安全资源和技术手段进行保护，以确保其安全性；而对于低价值、一般性质的数据，则可以相对减少安全投入，做到安全成本的合理分配，从而可以提高信息安全管理的效率，在经济上实现资源的合理配置和成本的最优化。

第二，风险控制的有效性。不同级别的数据具有不同的安全风险，通过数据分类分级，可以有针对性地实施安全控制措施。对于高级别的数据，需要实施更为严格和复杂的安全控制措施；对于低级别的数据，可以采取较为简化和灵活的安全措施，从而有助于提高安全投入的效率，并减小安全风险所带来的经济损失。

第三，数据价值的最大化。通过对数据进行分类分级，可以更好地发挥数据的价值，促进数据的合理利用和共享。通过对高价值数据的重点保护，可以确保其知识产权和商业机密，促进创新和商业价值的实现；同时对于一般性质的数据，可以更好地实现信息资源的共享与流通，促进科学研究、决策分析和公共服务等方面的发展。

往期回顾