一、项目背景

在数字经济高速发展的背景下，数据要素成为推动经济发展的核心动力。然而，随着数据经济不断深化，国家层面和行业监管部门对数据安全的重视程度也在显著提升。为了应对新的技术环境和安全挑战，国家密集出台了一系列数据安全政策法规，要求各行业强化数据资产台账管理、提升数据安全防护水平，并加强对数据流转的监测。尤其是通信运营商作为数据密集型行业，面临巨大的数据资产管理挑战和不断加剧的外部网络安全威胁。新技术如大数据、云原生和5G的广泛应用，使得数据攻击的途径和手段日益多样化和智能化。传统数据安全手段在数据分类分级、敏感数据监测、数据访问权限管控及恶意软件变种识别等方面已显得力不从心。因此，构建更加完善的数据安全体系，提升数据保护和风险管理能力，成为通信运营商亟需解决的问题。

二、面临挑战

现阶段，在数据安全建设方面，贵州移动和中移集成主要面临挑战有：

1.未知数据资产发现难、识别难、管理难

为支撑业务生产的运营，积累了庞大的数据资产，随着业务规模的动态调整和持续演进，导致了数据资产新增速度快、更新不及时，在此过程中，存在一些未被有效发现和纳管的未知数据资产，包括数据库资产、文件资产、API接口资产，这些未纳管的数据资产处于游离状态，脱离当前的数据安全管理和控制之外，构成了潜在的管理盲点和风险点。

2.接口资产数据传输风险监测难

对外开放接口数据传输过程中，存在接口数据访问异常行为、API攻击、僵尸API等风险点。面临互联网不断加剧的网络安全威胁，给接口资产的风险监测和防范带来了很大的挑战，采用传统的风险识别规则，很难及时发现异常行为；

3.数据资产流转测绘难、溯源难

为实现数据要素价值，数据资产需要流通和共享。由于数据量大、数据流转节点多、流转方式多、流转访问频繁等情况，在动态访问流动过程中，很难动态测绘数据资产访问的轨迹链路及通过链路进行数据流转的溯源跟踪，什么数据、什么时间被谁以什么方式泄露，现在很多安全事件查不出泄露的主体用户，对安全事件审计追溯难以闭环。

三、解决方案

贵州移动、中移集成联合保旺达通过流量+日志结合的方式发现识别未知数据资产及接口，结合数据分类分级能力对敏感数据资产及对外接口的敏感数据进行监测，结合多种机器学习模型并借助LLM强大的推理能力，实现接口行为分析模型，提升异常行为风险分析能力，实现数据的全链路测绘和溯源，做到用户、应用、数据库资产的数据访问操作的关联，全面实现数据资产全链路智能风险分析与测绘溯源。

1. 总体架构

本次项目采用多层次架构，包括功能层、数据层、大数据处理组件等，提供接口资产管理、接口调用监测、接口安全防护、接口态势分析等功能。整体流程涵盖数据识别、数据监测、数据溯源三个核心环节，实现数据全覆盖、接口全覆盖、环节全覆盖。

2.关键技术与实施细节

2.1 数据资产扫描与发现

结合网络扫描与流量监测，自动比对已纳管资产，发现未知数据资产。支持结构化与非结构化数据的识别，结合NLP与机器学习技术提升数据识别准确率。通过端口扫描、数据资产扫描工具等手段，自动探测和识别数据资产，并建立数据资产台账，实现资产分类分级和敏感数据标注。

2.2 接口数据风险监测

采用多线程分布式分析技术，对接口异常行为和传输内容进行分析，包括关键字分析、计算字段分析、阈值计算分析、事件相关性分析、模型关联分析等。对内部和外部数据接口的调用行为进行全面监测，从访问方、调用频率、数据量、数据分类分级等多个维度进行分析，及时发现接口安全风险。

2.3 数据追踪溯源测绘

通过流量还原日志，记录数据流转活动，构建用户与应用、应用与数据等关系图谱，实现智能双向溯源。存储应用、API、账号对敏感数据的访问行为日志，提供详细的搜索手段，支持“以人追数”和“以数追人”，有效收窄泄密事件排查范围。

四、实施成效

1. 未知数据资产发现能力

通过建立网络扫描+流量监测相结合的方式，实现了对未知数据资产的主动和被动互补发现，支持结构化和非结构化数据的识别，并与已备案数据资产进行对比，形成纳管流程闭环。系统支持对多种类型的数据资产进行识别，包括数据库、API接口等，能够自动补充元信息和资产责任人信息，落实数据认责。

2. 与业务场景关联的接口风险分析

采用多线程分布式分析技术，结合实际业务场景对接口异常行为和传输内容进行分析，全面感知接口安全风险。监控两大出口，日监测数据达17万+条，内置20+条监控告警规则，实时发现接口异常，包括敏感数据传输、异常请求数据量、伪脱敏未鉴权敏感接口等多种风险。

3. 基于数据接口访问的多层关联跟踪技术

项目提供了核心业务系统的数据链路测绘能力，实现全链路数据访问跟踪，支持对应用访问和接口调用链路节点的钻取查看。通过可视化视角实时查询数据接口访问情况，支持多层关联的数据访问链路测绘，包括数据库访问链路、业务访问链路、终端访问链路等。

4. 对外暴露面收敛治理

通过自定义评估模型对链路的数据访问和脆弱性风险进行安全评估，提出对外接口的暴露面收敛、归并等合理化建议。基于接口异常风险评分及接口失活状态，提出治理建议，有效降低了互联网资产暴露面风险。

五、价值与效果

通过实施数据资产全链路智能风险分析与测绘溯源项目，贵州移动和中移集成显著提升了数据安全管控能力及管理效率，完善了敏感数据的全生命周期安全治理体系。项目实施以来，已纳管贵州移动和中移集成敏感表和字段数万个，发现疑似违规操作数百起，有效支撑了数据安全保障工作，具有非常高的经济价值和社会价值。项目形成的多项标准被行业标准体系收入，技术方案已在20多个省级公司推广应用，累计发现未知数据库资产 4.7 万个、监测 API 接口 35 万 +，大幅降低数据泄露风险事件发生率。目前已形成可复制的 “技术输出 - 场景落地 - 标准共建” 模式，适用于金融、医疗等多行业数据安全治理需求，为数字中国建设提供核心技术支撑。