中国移动

行业背景

随着信息化的大力发展和“互联网+”服务能力的持续提升，运营商行业已步入大数据时代，运营商已经较全面建立了信息化的业务系统，其核心业务系统积累并掌握着大量的用户身份信息、生产数据和运营信息等重要数据信息，如固网业务中集计费、结算、营业、账务、客服与决策支撑统一平台的综合业务系统（BOSS）,以及移动办公、网上营业、增值服务平台等业务系统都存储着大量的数据，涉及到国家政策、个人隐私、运营商自身发展等多方面。

数据在个人终端存储、内部业务系统流转、数据离网及外发等环境下都存在泄密的风险。因此，必须从技术手段上提供针对性的支撑和限制，采取合理的综合管控手段，配合切实有效的管理，才能起到防护实效，降低敏感信息泄露风险。

国家相继出台法律法规出台及行业法规，对运营商数据安全监管提出了明确的要求：

国家法规层面：《网络安全法》以及即将发布的《数据安全法》都从法律制度层面对数据的安全提出了相关防护要求。

行业监管层面：工信部网络安全管理局下发《各省级基础电信企业网络与信息安全工作考核要点与评分标准》、工信部办公厅下发《电信和互联网行业提升网络数据安全保护能力专项行动》等规范都对运营商数据安全的合规性建设提出了相关的要求。

需求分析

中国移动某省公司业务遍布全省各地，机构内部附加产生了大量的IT外设及业务系统。这些IT外设在加速中移动信息化进程的同时，也带给中国移动大量的安全隐患，尤其是内部员工的意外或主动泄密更是防不胜防。同时，在日益激烈的市场竞争中，更可能造成间谍、黑客利用数据安全漏洞直接打击、泄漏运营商信息安全的局面。

运营商的核心业务系统积累并掌握着大量的用户身份信息、上网喜好、位置信息、社交特征、消费账单、通信使用情况、手机终端型号数据等重要数据信息。数据防泄露成为刚需，每个运营商单位都需要具备数据防护能力。

与此同时，敏感数据信息在处理、共享和使用过程中也面临被违规越权使用或被用于非法用途等数据信息泄漏的安全风险。一方面，数据处理过程中大量个人隐私数据需要保护；另一方面，数据统计分析所形成的各类报表作为重要信息的传递处理存在着一定的风险。

另外中国移动某省公司内部终端上存有大量的敏感信息，包括用户的姓名、身份证号、手机号、住址等个人隐私数据，一旦泄漏会造成巨大损失以及恶劣的影响。

因此，需要通过建立内网安全管控平台，实现对公司涉密涉敏数据文件的全生命周期安全保护，包括文档加密、权限管控、水印等。对内网用户违规行为进行管控，并确保接入内网的终端符合公司网络与信息安全相关要求，降低内网潜在的安全风险，做到敏感信息发送可审计追溯。

解决方案

▪ 对数据导出进行加密，并增加水印或者文档授权等管控。

▪ 数据落地终端后，进行文档生命周期管控，流程化机制包括转授权审批和解密外发审批。

▪ 文件获取途径充满不确定，可能经过多次流转，以内容或者密级标识进行认定最为准确。

▪ DLP具备普通的关键字、类型检测，也有高级的指纹识别、语义分析，借助此能力大幅减少错判误判。

▪ 鉴于目前该运营商客户终端文档发送边界的管理现状，采取先松后紧的方案，逐渐收缩文档出口，既保证了业务的连续性，也降低了数据泄漏的风险。

▪ 非涉密或者外发合规文件予以默认放行；核心涉密文件强制阻断；特定文件具备审批放行功能，采取密文+明文双重保障机制。

客户收益

1. 对员工操作敏感信息、外发邮件、设备流出的文件进行内容识别、记入日志，进行行为审计，解决用户的“有意”、“无意”数据泄漏行为。

2. 使用数据发现模块，对存放在各终端的敏感文件，根据移动文件分类分级标准进行扫描并形成分布地图，了解敏感数据分布位置。

3. 对敏感文件进行文档权限管控，对部分敏感文件选择加密，确保敏感数据落地后保障数据的安全性，避免用户个人信息造成泄漏。

4. 将加密和DLP与中国移动集团内网安全统一管控平台以及4A系统进行对接，确保集团的统一标准。

5. 最终实现电子文件“打不开、拿不走、赖不掉”的控制目标及效果，实现重要经营决策、战略发展规划、财务报表等核心知识产权和商业机密的精细化授权及控制。