在数据安全建设方面，浙江移动主要面临如下问题：一是在数据全生命周期重要环节方面还存在一些安全隐患，二是通用安全过程域方面，监测与管理效能、风险问题应急、组织与制度保障等存在不足，仍需系统性、全面性的提升公司数据安全治理能力和水平。

行动

浙江移动围绕“一运营管理四技术中心”大数据安全综合管控体系，以数据全生命周期各阶段共12项基础技防能力为基础，结合经营过程中发现的两类安全痛点，制定“3项”重点管理保障举措，创新“1类”智能应用，构建“1套”全流程安全管理提升方案，形成“3+1+1”企业级数据安全治理体系实践工作思路，确保数据合法合规使用。主要措施包括完善数据安全管理责任矩阵，压实数据安全责任管理；统筹全公司各部门提高安全管理水平；优化监测审计规则，提升日常审计能力；针对敏感数据识别、分类分级、加密存储、权限控制等重要环节开展了系统性的优化，提升数据存储和使用安全；结合AI技术完善了告警降噪、自动化漏洞验证及事件溯源等安全技术能力，提升数据安全管理效率。

结果

浙江移动通过打造数据智典、创新AI应用，为安全技术升级和安全管理优化的提供了智能化基础，提高了管理效率和及时性、稳定性；通过优化加密技术、增强隔离技术，确保安全管理规范化，有效降低了各类安全风险。根据四层三环的数据安全保障体系，在原有管理责任矩阵的基础上创新数据安全管理责任矩阵，并对涉敏环境的数据管控制度做出了优化创新，实现了多方面的理论创新，达到了安全技术全面升级，双重治理能力显著提升的实用效果。

浙江移动积极输出安全管理建设经验，实现了广泛的社会价值；各类安全创新举措为业界提供了可借鉴、可复制的实践经验，具有良好的推广性；各个环节的数据安防技术在完成对内降本增效的同时已可形成整体方案对外输出变现。

01案例企业

中国移动通信集团浙江有限公司（简称“浙江移动”）隶属于中国移动通信集团有限公司，在全省拥有11个市分公司，是集团标杆企业，数字化转型领先者。截至2022年底，浙江移动员工总数1.9万人，总资产规模超1200亿元，全年实现通信服务收入超过685亿元，净利润超过137亿元，是全集团标杆企业、省内规模最大的电信运营商。同时公司一直是我国通信领域先行先试的创新探索者，4G、VoLTE、蜂窝物联网、5G等连续创造多项全国、全球记录，5G发展实现领跑全国、领先全球，成为第19界杭州亚运会官方通信服务合作伙伴。并以实际行动践行了网信领域央企的使命担当，为经济社会高质量发展积极贡献力量，得到了集团公司等上级单位和社会各界的广泛认可，被评为浙江省企业社会责任标杆示范单位和中国移动通信集团公司社会责任建设标杆单位。

02项目背景

随着数字经济时代的不断蓬勃发展，数据安全已成为国家发展数字经济战略的重要组成部分，相关规定频频发布，工业、金融等多个行业领域数据安全治理体系正在加快构建，数据安全管理办法正在多个行业加速落地，监管常态化时代已经到来。

在国家层面，国家高度重视数据安全，出台了一系列法律法规和政策文件，推动数据安全管理的制度化和规范化。习近平总书记在党的二十大报告中指出，强化国家安全工作协调机制，完善国家安全法治、重点领域安全保障等体系，强化网络、数据等领域的安全保障体系建设，为数据安全治理提供了方向和依据。《数据二十条》的发布从数据产品、流通交易、收益分配和安全治理等方面构建了数据基础制度，促进数据要素市场高质量发展。围绕数据要素安全治理，国家陆续出台“四法一条例”等法规政策，进一步推动数据安全体系的完善和落地。

在管理部门层面，各级管理部门积极落实国家数据安全战略，推进数据安全治理的制度化和规范化。工信部出台《工业和信息化领域数据安全管理办法(试行)》，提出构建“部-地方-企业”三级联动的数据安全工作机制，并进一步细化并明确了数据全生命周期安全管理、应急处置等方面的数据安全保护义务。

在公司层面，积极响应国家和管理部门的数据安全政策，构建全面的数据安全治理体系。其中2024年浙江公司工作会议上，浙江移动总经理明确提出，“要切实防范网络安全风险，推动党委网络安全工作责任制落实进一步常态化、长效化。完善分级分类的数据安全治理体系，提升数据安全防护能力，确保不发生重大数据泄露事故”。为履行数据安全保护义务，解决业务发展中的数据安全问题，浙江移动从技术上提升数据全生命周期的安全防护水平，从制度上强化数据安全保障基础，创新企业级数据安全治理体系。

浙江移动在数据安全领域的国家标准——数据安全能力成熟度模型（DSMM）的指导下，发现在数据全生命周期重要环节和通用安全过程域方面还存在一些安全隐患，一些关键节点仍有提升空间，仍需系统性、全面性的提升公司数据安全治理能力和水平。

痛点一：数据全生命周期重要环节存在安全隐患

在针对数据全生命周的风险梳理和分析的过程中，发现风险主要集中在数据的收集、存储、使用和开放四个阶段。收集阶段发现基于传统技术手段的敏感数据识别能力较弱、敏感数据分类分级效率低、分类分级的准则不清晰，可能存在部分数据不能被有效识别为敏感数据，导致出现保护盲点；存储阶段发现加密存储的技术和涉及范围均有优化空间，如部分敏感信息为明文存储，缺少良好的防护机制和举措；使用阶段对数据访问缺少精细化管控手段和制度，存在部分涉数人员数据访问权限过大、涉数团队内部数据权限滥用等风险；开放阶段存在开放范围、权限过大和规则漏洞等问题，一旦出现安全事件后，缺乏完整的溯源记录和根源追踪手段。

痛点二：通用安全过程管理还存在不足

浙江移动作为数据要素市场的重要参与者，目前已经完成数据基础制度体系的构建，并始终致力于在安全合规的前提下高效激活数据价值。但由于数据安全工作本身具有复杂性高、涉及面广、管控难等特点，因此在通用安全过程管理的细节上仍有一些不足。其中监测与管理效能方面，存在数据审计和监管及风险控制覆盖度不足，系统日志纳管不全面，应急事件响应速度及反应处理速度有待提升，处理结果标准不一致，整体安全效率低等；组织与制度保障方面存在安全职责边界不够清晰、保障执行能力仍可提升，安全保障内容不够完善，约束能力不够健全等。

03 解决方案

浙江移动围绕“一运营管理四技术中心”大数据安全综合管控体系，以数据全生命周期各阶段共12项基础技防能力为基础，结合经营过程中发现的两类安全痛点，制定“3项”重点管理保障举措，创新“1类”智能应用，构建“1套”全流程安全管理提升方案，形成“3+1+1”企业级数据安全治理体系实践工作思路。“3项”重点管理保障举措即强化顶层设计、统筹企业运营优化和压实监控审计责任。“1类”智能应用即通过创新AI技术应用提升多个环节的管理效率。“1套”全流程安全管理提升方案即涵盖数据全生命周期安全管理各个环节的针对性提升方案。

浙江移动围绕“3+1+1”企业级数据安全治理体系实践工作思路，构建全面的数据安全治理体系，确保数据合法合规使用。主要措施包括完善数据安全管理责任矩阵，压实数据安全责任管理；统筹全公司各部门提高安全管理水平；优化监测审计规则，提升日常审计能力；针对敏感数据识别、分类分级、加密存储、权限控制等重要环节开展了系统性的优化，提升数据存储和使用安全；结合AI技术完善了告警降噪、自动化漏洞验证及事件溯源等安全技术能力，提升数据安全管理效率。

方向1：强化管理顶层设计，确保安全责任落实

浙江移动通过安全管理领域权责边界的明确与有效执行，确保每个安全管理活动和责任均能合理有效的落实到具体执行人员。

为压实数据安全管理责任，基于“谁负责业务、谁负责业务数据、谁负责业务数据安全”的原则和“四层三环” 数据安全保障体系及实际安全需求，浙江移动在原有的安全管理体系的基础上，进一步将数据安全管理责任矩阵包括的4大类22子类数据安全管理活动，按层级细分为企业级统筹活动、领域级管理活动和部门级执行活动，明确了更精细的数据安全职责分工。

方向2 统筹企业运营优化，提高安全管理水平

浙江移动以信数部、信安部为核心，建立“四层三环”数据安全管理体系，建立专班机制，加强统筹协同，组织专项检查，开展运营通报，强化技术赋能，全面提升各部门数据安全技术能力、管理水平、执行效果和风险自查能力，降低公司数据安全风险。

方向3 压实监测审计责任，形成长效优化机制

浙江移动通过压实审计责任、完善安全审计闭环、强化日常审计协同等举措，进一步提升了数据安全审计的效果和效率。其中压实审计责任方面建立“11+7”的新审计责任体系、由原有统一审计的模式优化为分级审计，大大提升审计效率，缩短风险识别周期；提升日常审计效果方面通过对夯实审计基础、完善审计举措、做好数据支撑三个维度的优化（如新增超30条审计策略和形成定期审计检查、通报制度)，进一步提升了数据安全审计运营效果。

方向4 完善数据全生命周期安全管理，构建技术坚盾形成防护强能力

浙江移动通过全面梳理涉敏数据、强化识别能力，实施数据分类分级，并加密敏感信息保障存储安全。同时，重构账号权限体系以规范数据访问，建立用数隔离体系控制数据开放风险，并明确数据开放场景形成专项策略，有效降低了数据暴露和过度开放的风险，提升了数据安全性和管理效率。

（1）全面梳理涉敏数据，强化识别准确能力

浙江移动针对业务需求开展了涉敏数据资产的全面梳理和识别。主要手段包括建立涵盖归属业务系统、使用部门、责任人、涉敏等级的库级资产清单，完成超1400万张字段级数据表涉敏梳理工作及形成一套完整的常态化更新机制。

（2）涉敏数据分类分级，提升数据开放质量

浙江移动针对工作业务系统复杂和海量数据表、字段数据的特点，打造数据智典，元数据自动生成，提升自动化分类分级扫描能力，并在此基础上结合自主研发的大模型，提升敏感数据的识别能力和识别速率，当前定级准确率超过93%。

（3）加密敏感核心信息，强化数据存储安全

为降低敏感数据暴露面，浙江移动通过制定数据加密规则实现地市集市数据100%去标识化；通过建设加解密管理平台提供秘钥管理、数据加解密服务能力；通过建设数据密文使用、数据解密使用流程，规范地市加密数据集市用数，解密操作100%记录，实现数据解密流程可追溯。从而满足数据安全管控要求与地市涉敏数据使用需求。其中加密对象主要涉及手机号码、imei、用户编码等9类。

（4）重构账号权限体系，规范数据访问权限

围绕“账号权限最小必要”的原则，浙江移动通过梳理数据权限角色、建立角色数据资源映射、构建在线管理流程三大举措，实现数据权限的精细划分和有效管理，目前单个涉数账号的授权数据量可下降80%，有效降低数据访问权限过大风险。

同时基于敏感表管控的原则，构建表级权限管控机制，进一步强化了底层数据库层面的涉敏权限管理能力。其中所运用到的SQL技术支持正则表达式，支持动态构建和解析SQL语句，支持Hive、Gbase、Oracle、Mysql等数据库。

（5）建立用数隔离体系，强控数据开放风险

围绕涉敏数据暴露面过大的问题，浙江移动建设基于研发流水线的可持续集成架构，重点推动生产涉密数据有效隔离，开发测试数据抽样合成实现脱敏，确保数据安全；推动平台模块化拆分部署，为生产系统连续性保障奠定基础；落实基于研发流水线的业务代码持续集成，提升开发规范性和开发体验。其中平台层面建立开发、测试、调度生产三大平台，并打造数据开发新模式，通过部署隔离、数据隔离等举措实现数据开发与生产系统有效分离；数据层面制定了开发测试数据差异化管控策略，加强生产环节的数据脱敏和敏感数据出库前的静态脱敏，有效降低生产数据暴露风险。运用数据合成关键技术满足复杂场景数据测试需求和安全隐私需求；代码层面重新设计多环境下数据开发流程，基于研发流水线的业务代码持续集成，提升开发规范性和开发体验，同时保证数据开发的安全和效率。

（6）明确数据开放场景，形成专项开放策略

浙江移动通过调整数据开放策略、优化开放管理流程、健全开放审计机制等举措，实现数据对内开放管理办法的有效优化有效降低数据开放暴露面过大、数据过度开放等风险。

方向5 创新 A I 技术应用，助力管理效能提升

浙江移动充分考虑业务场景需求，结合AI大模型技术能力，优化安全告警研判模式，大幅降低人工操作需求和工作量。具体技术方面以数据智典的源数据生产技术为基础，构建ChatSec等大模型，结合API审计智能体、告警研判智能体及浙江移动业务开展过程中发现的海量安全告警分析效率低、安全风险梳理工作量大、出现安全事件难以追溯等业务场景实际具有的需求，完成了海量告警降噪、漏洞自动化验证和自动化溯源和处置等应用。

04价值与效果

浙江移动通过打造数据智典、创新AI应用，为安全技术升级和安全管理优化的提供了智能化基础，提高了管理效率和及时性、稳定性；通过优化加密技术、增强隔离技术，确保安全管理规范化，有效降低了各类安全风险。

浙江移动根据四层三环的数据安全保障体系，在原有管理责任矩阵的基础上创新数据安全管理责任矩阵，并对涉敏环境的数据管控制度做出了优化创新，实现了多方面的理论创新，达到了安全技术全面升级，双重治理能力显著提升的实用效果。

浙江移动积极输出安全管理建设经验，实现了广泛的社会价值；各类安全创新举措为业界提供了可借鉴、可复制的实践经验，具有良好的推广性；各个环节的数据安防技术在完成对内降本增效的同时已可形成整体方案对外输出变现。

浙江移动数据安全治理成果得到行业多方认可，如获得工信部2023年数据安全典型案例荣誉、2022年信通院数据安全“星熠”案例数据安全合规治理实践优秀案例和数据安全技术与产品应用优秀案例、2022年度大数据“星河”案例数据安全优秀案例以及在获得DCMM数据管理能力成熟度等级证书过程中于数据安全审计、数据安全策略、数据安全管理三个安全指标项获得高分。并在对外推广过程中获得了多个政府部门的感谢信。