星河案例ㅣ江苏移动：基于AI和信任评估的数据安全治理体系实践

▏摘要

江苏移动结合AI、持续信任评估、大数据等技术，构建全局治理、全链监测、全时防护为目标的自动化、智能化数据安全治理体系，解决数据安全管控措施落地难题，显著提升江苏移动数据安全管控能力及管理效率，完善数据安全治理体系。

▏问题

在数据安全建设方面，江苏移动主要面临如下问题：第一，基于传统的技术手段的数据分类分级效率低、可用性不高；第二，传统敏感数据监测无法识别新威胁和新风险；第三，现网对数据访问权限缺少精细化管控手段；第四，现网对恶意软件变种难以识别。

▏行动

• 江苏移动围绕敏感数据全生命周期完善数据安全治理体系，基于异步流处理等技术实现数据分类分级高效性、安全性，基于行为基线、AI、数据血缘建模提升数据安全风险监测及数据溯源能力，基于持续信任评估模型提升数据安全访问管控能力，基于AI实现数据安全未知风险感知能力，完善了敏感数据的收集、传输、存储、使用、提供、销毁等环节的安全管控，提升江苏移动公司数据安全治理水平。

▏结果

• 通过数据安全治理体系建设，江苏移动实现数据分类分级的高效性、安全性，提升数据安全风险监测、数据溯源能力、数据安全访问管控及数据安全未知风险感知能力，完善了敏感数据的全生命周期安全治理体系，有效提升江苏移动整体数据安全管控能力。

分享专家：陈若鹏，江苏移动省级专家

作者：沙丘社区分析师团队

案例企业

中国移动通信集团江苏有限公司（以下简称“江苏移动”）是中国移动有限公司在江苏设立的全资子公司。江苏移动是省内移动用户数、家宽用户数双领先的第一大运营商，积极落实“网络强省”战略，推进网络向高速化、智能化升级，为经济社会信息化发展提供有力支撑；加快产业升级，促进新一代信息技术与江苏省工业制造深度融合，推动江苏制造向江苏智造加速转变；加快服务升级，坚持以人民为中心的发展思想，聚焦“惠民利民便民”，满足人民群众对美好生活的向往。

项目背景

数据只有在流动中才能创造价值，但近年来外部网络安全威胁形势愈加严峻、安全威胁事件不断增多，国家对数据安全监管要求不断提高，数据安全建设的重要性日益凸显。同时，随着大数据、云原生、5G、AI等新技术的应用不断加快，数据攻击途径、攻击手段呈现多样化、智能化的趋势。

通信运营商的数据安全特点在于数据量大、类型多、价值高、监管严，不仅有个人隐私数据，还有关乎国家安全、国计民生的重要和核心数据，因此通信运营商的数据保护尤为重要。

现阶段，在数据安全建设方面，江苏移动主要面临如下问题：

第一，基于传统的技术手段的数据分类分级效率低、可用性不高。现阶段电信行业数据分类分级因工作业务系统复杂，海量的数据表和字段数据，基于传统的技术手段的数据分类分级可用性差、准确率不足60%，同时缺少自动化、智能化的技术手段来持续性支撑海量的数据分类分级工作。

第二，传统敏感数据监测无法识别新威胁和新风险。传统的敏感数据监测需根据不同的场景设置不同的监测策略，面对新的威胁和新的风险时难以及时发现和溯源，给电信行业内部数据安全事件的预防和调查造成困扰。

第三，现网对数据访问权限缺少精细化管控手段。随着数据价值不断凸显，数据攻击手段不断变化，现网的静态传统帐号权限管理体系对数据访问权限过大、数据权限滥用等问题缺少精细化管控手段，给数据安全访问带来风险。

第四，现网对恶意软件变种难以识别。目前基于规则阀值模型设置的数据安全风险感策略中的门限值缺乏有效的数据支撑，对于策略的合理性与准确性缺乏验证，对变种的APT软件、勒索软件等恶意软件变种难以识别，给数据安全带来未知风险。

解决方案

数据安全建设需要管理层的重视和推动，江苏移动成立网络安全领导小组，自上而下实施数据安全策略，公司不断强化员工数据安全意识，提高公司数据安全管理能力。

网络安全领导小组负责全面统筹指导，网络与信息安全管理中心协调整体工作，业务管理部门、人力资源部门、运维支撑部门共同保障数据安全工作。

数据安全工作整体框架是以法律法规监管要求和业务发展需要为输入，结合数据安全在组织建设、制度流程和技术工具的执行要求，匹配相应人员的具体能力，围绕数据生命周期各个过程域实施数据安全治理工作。

在治理体系建设上，对于面临的数据安全建设挑战，江苏移动以AI和信任评估赋能数据安全治理体系建设，实现数据安全管控向自动化、智能化方向转变。

江苏移动遵循国家法律法规、行业标准规范及移动集团公司数据安全建设要求，围绕敏感数据全生命周期完善数据安全治理体系，基于异步流处理等技术实现数据分类分级高效性、安全性，基于行为基线、 AI、数据血缘建模提升数据安全风险监测及数据溯源能力，基于持续信任评估模型提升数据安全访问管控能力，基于AI实现数据安全未知风险感知能力，完善了敏感数据的收集、传输、存储、使用、提供、销毁等环节的安全管控，提升江苏移动公司数据安全治理水平。

方向1：AI赋能数据分类分级

在深化数据治理的过程中，数据分类分级扮演着基石的作用。数据状态分为两大类，一类是静态数据，如数据库、文件等；另一类是流量数据，属于动态数据，对实时性要求较高。

对于静态数据，基于AI的数据特征提取技术，通过错峰扫描静态数据进行分类分级，针对数据库、大数据组件、文件等静态存储的数据资产，采用多种手段结合的方式识别敏感数据，以高识别率快速存储在数据库和文件中的敏感数据。

对于动态数据，基于AI、NLP技术，对API调用、文件传输等流量数据内容建立实时的分类分级AI检测模型，将新发现的数据内容放入模型中识别，完成分类分级。

为解决传统敏感数据识别梳理效率低、准确性差、汇总难等问题，采用基于正则、自然语言处理、知识库、文本相似度等语义分析模型与机器学习相结合的技术，实现自动化的完成敏感数据的识别发现、分类与定级工作。提供敏感远程扫描、探针自动扫描等多种扫描方式，适配不同类型的数据源，提升了敏感数据识别与发现的整体水平。

方向2：AI赋能敏感数据流动扩散跟踪与风险评估

数据在流动使用过程中会变形，变形的敏感数据无法直接识别，但可以通过AI对其流转轨迹进行分析，找到敏感源头，从而分析传输链路风险。

一方面，依托AI技术，构建数据地图系统，对数据扩散内容进行溯源分析，有效识别数据扩散“变换”类问题，找到敏感数据的传播链路，发现其扩散轨迹。另一方面，围绕当前数据流转场景下的人、资产、内容、以及可关联、可预判的上下文，进行AI建模，围绕数据流转进行动态风险评估，实现风险的量化。另外，针对发现的敏感数据，自动加入日后管控，实现敏感数据金库的自动化、智能化管控。

当前敏感表使用过程存在数据扩散行为，扩散无法被及时管控，因此，江苏移动建立数据地图系统，通过对用户操作日志实时监控，实时发现敏感数据表复制扩散行为，此外，还通过AI训练发现疑似敏感特征，发现疑似敏感数据表。最终，扩散表自动添加金库，实现新增敏感表的金库管控，操作行为分析敏感数据扩散行为与敏感表内容扫描形成互补，有效保障敏感数据安全管控。

在传统运维场景中，使用主机工具、数据库工具进行业务处理，已经实现操作行为审计；在一些核心涉敏岗位通常采用屏幕录像的方式对用户的特殊工具操作行为进行监控记录，传统依靠人工检查屏幕录像非常耗费人力。对此，江苏公司构建的屏幕录像安全能力通过优先算法对相似祯进行筛选过滤，识别效率比传统每祯识别速度提升90%，同时通过工具建模，精准定位录像中的识别区域，大幅提升识别精度和数据安全监测能力。

随着大数据、微服务化、容器化、国产化等先进技术的快速发展，江苏公司金库管控能力积极进行多元化建设：适配国产化数据库管控，携手容器共护云端安全，提高金库工单使用联动性、加强金库理由使用合规分析和堡垒文件不落地等技术创新优化，适应日益复杂和多变的业务环境，构建全新的安全防御场景，以满足企业对于数据安全和合规管控的多样要求。

方向3：AI赋能未知风险发现分析

风险识别是保障数据安全的核心，在数据收集、传输、存储、使用、共享、销毁全生命周期中都有发生风险的可能。安全风险可分为已知风险和未知风险，对于已知风险，聚焦数据、人、行为的特征的合规性及潜在风险进行深度分析，形成完善的风险特征库和策略库，用于发现已知的数据安全风险；对于未知风险，一是建立用户和数据资源的行为基线，判断是否存在偏离基线的行为或资产，二是通过对已知风险的分析、恶意软件特征进行AI建模，以此找到未知风险，通过基因图谱分析形成深度学习模型，从而发现未知软件的攻击行为。

方向4：持续信任评估提升数据访问管控能力

首先对数据访问主客体风险、上下文数据进行采集汇聚，然后利用所有上下文通过持续的信任度量计算出实时的信任度，通过动态访问控制、结合预设的安全策略，一旦发现风险访问行为，可以根据信用评估得分进行操作阻断、会话中断、权限降级、二次认证等操作。

在信任评估中，采用KDE算法模型提升信任评估的准确度，在动态访问管控中，通过对接国家公安部CTID可信身份认证平台，从而保证实人认证的权威性。

持续信任评估的风险计算模型是一个动态的模型，与传统的模型有两点不同之处：一是引入环境上下文作为接入控制判决的重要因素，并以访问行为的信任度作为判决的依据；二是对信任度的度量是持续活跃在整个访问过程的，并且接入控制策略随着行为和环境的变化而动态调整。

在信任度评估计算中，一方面基于KDE算法，另一方面通过智能审计驱动动态信任的信用评估模型，不断优化，从而持续提升动态信任评估的准确性。

基于动态评估的结果，一旦发现有风险的数据访问行为，可以结合外部各类的安全处理能力，根据信任评估得分进行操作阻断、会话中断、权限降级、二次认证等操作。其中，操作认证过程中为了保证用户的真实性，防止账号被冒用，窃取后进行数据违规访问，江苏移动通过对接国家公安部CTID可信身份认证平台。当动态评任评级较低时或用户进行高危敏感操作时，系统会强制进行二次认证，此时，系统可以采用人脸识别、指纹的方式进行认证，实人认证过程由国家公安部CTID可信身份认证平台负责，从而保证实人认证的权威性。

方向5：基于安全编排的自动化处置流程

为了提高数据安全的处置效率，阻止数据事故和风险扩散，协同各个数据安全的管控能力，引入安全自动化编排和响应技术，相比人工处置，可以及时阻断风险的传播，减少经济损失，同时节省管理成本。

对于已知风险，通过流量编排能力将数据流转风险处置方案进行固化，通过能力对接，将外部的安全能力以安全可调用模块的方式接入系统；对于未知风险，通过AI风险识别模型找到其属于的已知风险变种，从而对已知风险流程处置的节点进行调整，最后由负责人判断处置流程是否可行。

在安全自动化编排和响应中，主要拉通人员安全能力和流程之间的关系，构建基于安全编排的自动化处置剧本，建立长效快速处置机制。基于前序风险评估数字化分析结果的输入，自动执行后续安全防护处置手段，达到整体动态防控、实时响应。

通过流程编排能力将数据流转安全处置内部解决方案进行固化，通过能力对接，将外部安全能力以安全可调用模块方式接入系统。

价值与效果

江苏移动围绕数据分类分级、数据风险监测、数据安全访问控制、威胁感知多个层面，结合AI、持续信任评估、大数据等技术，构建全局治理、全链监测、全时防护为目标的自动化、智能化数据安全治理体系，解决数据安全管控措施落地难题，显著提升江苏移动数据安全管控能力及管理效率，完善数据安全治理体系。

通过数据安全治理项目的实施，实现江苏移动数据分类分级的高效性、安全性，提升数据安全风险监测、数据溯源能力、数据安全访问管控及数据安全未知风险感知能力，完善了敏感数据的全生命周期安全治理体系，有效提升江苏移动整体数据安全管控能力。

本成果实施以来，敏感数据识别和分类分级扫描文件达9万份，纳管敏感表和字段8万个，发现疑似违规操作200+起，准确识别病毒传播400+次，检测出病毒变种100+个，有效支撑江苏移动数据安全保障工作，具有极高的经济价值和社会价值。

往期回顾