在数据安全建设方面，上海电信主要存在以下痛点：第一，数据价值凸显，面临的巨大数据泄露风险考验；第二，数据安全风险场景个性化程度高，难以固定标准定义；第三，数据安全普遍缺乏完整的联动防护体系。

行动

上海电信从业务风险角度出发，建立业务与数据安全相结合的风险模型，利用UEBA系统从业务人员视角基于应用日志内具体的人机互动操作行为建立常态行为基线，通过制定不同的模型策略——例如定义日志关注周期、人员范围、 操作行为，从海量日志中发现人员异常登录及异常数据拉取等行为。同时利用已有的安全风险闭环处置体系及时派发并跟进工单情况，关停异常人员账号并进行身份及行为溯源，以完成风险闭环处置。

结果

将数据安全风险监测与企业真实业务运营流程相关联，利用后端技术在分析异常场景，避免数据泄露的同时，也帮助前端针对订单流失、携号转网等数据进行可能的原因分析、定位到问题人员等，降低公司经营风险。

01 案例企业

中国电信股份有限公司上海分公司（简称"上海电信"）是中国电信集团旗下核心企业，作为上海地区主导通信运营商，始终致力于推动城市数字化转型。公司拥有覆盖全市的千兆光网和5G网络，构建了云网融合的新型基础设施，在云计算、大数据、人工智能等领域保持技术领先。面向个人用户提供智慧家庭服务，面向政企客户提供定制化ICT解决方案，在金融、政务、工业互联网等重点行业树立标杆案例。上海电信积极履行社会责任，推出适老化服务，保障重大活动通信，持续为上海建设国际数字之都贡献力量。

02 项目背景

数据是信息资源的重要载体，是其所有者的基础性战略资源。随着数据的开放、共享与交叉使用日益频繁，其价值不断凸显增。近年来，数字经济的浪潮席卷全球，国家高度重视数据安全，相继颁布了《数据安全法》《个人隐私保护法》，从数据全生命周期对数据安全保护进行了阐释。2023 年全球数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平，单个数据泄露事件造成了平均高达 445 万美元的损失，全球数据泄露成本在过去两年间上涨近15%。数据泄露风险已经成为企业最担心的问题。

现阶段，在数据安全方面，上海电信面临以下痛点问题：

痛点一：企业现下面临的巨大数据泄露风险考验

运营商等企业的业务系统及网络系统经过多年建设，已形成数据结构复杂的大型数据库，如何应对新的网络安全形势下的数据保障要求，确保核心数据的保密性、完整性和可用性，在保障用户利益、体验和隐私的基础上充分发挥数据价值，成为业界密切关注的议题。对外，随着运营商掌握的数据价值越来越高，数据逐渐成为黑产的重点交易对象，同时核心数据泄露带来的社会形象、经济等方面的损失也越来越大；对内，信息传递方式变得简单多样，不法人员利用职务上的便利，将公司内的商业机会非法转移至其他公司的。这个行为不仅影响了公司的经济收入与口碑，且在信息转发过程中还极易造成用户个人敏感信息的非法外泄。‌

痛点二：企业数据安全风险场景个性化程度高，难以固定标准定义

区别于网络安全的威胁有标准可定义，只要接入网络安全监测及防护设备即可有告警；数据安全与前端业务息息相关，需贴合公司本身的运营模式摸清业务条线与需求去定义威胁模型，才能真正发现企业隐藏的数据安全风险场景，有效防止用户个人信息泄露。

痛点三：数据安全普遍缺乏完整的联动防护体系

在攻防两端的较量中，大量记载核心敏感信息的重要数据生产、运营、存储系统也成了首当其冲的攻击目标。然而现有数据安全泄露行为防护或基于设备堆叠、或为孤岛型单点分析，普遍未能真正实现事前监测、事中防护、事后审计追溯的体系化运转。

03 解决方案

上海电信通从业务风险切入，以数据资产与用户实体为研究对象，根据数据资产与用户历史行为以及同群体行为作为基线，将UEBA 技术（用户实体行为分析）与数据相结合，以用户群体行为为基线，从多个上下文关联行为入手分析，提早发现异常账号、异常数据访问、取用行为，通过客保单一键派发、直通各业务单位处置“现场”，形成可闭环式防御体系，进一步增强了数据泄露防护能力，降低用户信息非法外泄风险。

举措一梳理应用流程，形成日志采集策略

区别于网络安全的威胁有标准可定义，只要接入网络安全监测及防护设备即可有告警；数据安全需贴合公司本身的运营模式去定义威胁模型，发现泄露风险。因为企业架构、运营模式的千差万别，数安规则的建立就显得非常个性化，上海电信基于业务角度出发，通过对13个涉及用户敏感信息的重点系统进行受理人员与受理流程的梳理，通过关联分析用户携出数据、套餐价值、员工跨区查询、撤单行为等，结合业务部门需求聚焦确定移动用户携出、员工异常操作、账号复用、高频查询导出等多个可利用的重点数据安全风险场景。

在此基础上形成对应用日志分析字段的标准，确认关键操作字段（见下图），例如：工号、时间、操作内容（增删改查等），并在UEBA（用户实体行为分析）系统中完成日志解析，对关键操作进行定义。

举措二基于现实场景，建立多种关联模型

基于前期定位的风险场景，上海电信配置相关模型以发现业务受理人员产生的异常行为，与其可能带来的数据泄露风险。通过多个维度关联分析和聚类算法、结合数据制定不同的模型策略，深挖了登录、权限、接口等多类异常分析模型，以及基于发现的异常登录、异常订单、异常接口的数据维度，从海量日志中发现异常行为，识别异常操作人员。

举措三计算行为基线，预测数据安全事件

在基础模型风险运营的基础上，上海电信利用UEBA分析能力，区别于传统的孤立事件分析，从聚焦事件内容本身转移到行为，通过数据处理 （ETL）对往期日志数据实施清洗/过滤、标准化、关联补齐、添加标签等处理，将标准数据加载到数据存储中进行进一步的行为挖掘，基于CUBE多维度行为基线引擎与行为会话重组引擎，计算包括罕见值模型、时间序列模型以及聚类等无监督模型，为行为序列模型提供行为特征。最终定义出如用户登录时间基线、用户操作频次基线等行为基线。一般个人在正常工作情况下进行普通操作不会大幅度偏离由大量历史数据计算得出的自身行为基线特征，基于此可通过基线特征偏移度来预测异常人员、异常行为可能会带来的安全事件，并以此做到早发现早防护，尽早介入数据泄露行为管控。

举措四建立风险闭环处置机制，筑牢业务数据安全防线

上海电信根据业务系统所涉及的数据安全风险，以业务实际流程与数据本身为核心，针对数据异常行为建立了风险闭环处置机制。参考已有数据安全风险处置体系，利用工单管控系统一键派单，及时派发并跟进工单情况，关停异常人员账号并进行身份及行为溯源，以完成风险闭环处置。

04 价值与效果

上海电信以业务风险角度出发，利用UEBA（用户实体行为分析）技术简化亿级日志，快速定位异常行为及人员。对公司内部 CRM 系统两个月 26 亿条日志进行收集、整理和分析，在一周内实现了超大量日志之间的关联分析；利用公司内部的大数据底座，将UEBA引擎进行拆分，控制数据调用出口，降低了因引入非自研分析能力时可能带来的数据泄露风险的同时也提高了资源利用率；将数据安全风险监测与企业真实业务运营流程相关联，利用后端技术在分析异常场景，保护数据避免泄露的同时，也帮助前端针对订单流失、携号转网等数据进行可能的原因分析、定位到问题人员等，避免公司经营的直接损失。

让海量无意义日志“活 ”起来

通过此项目，我们将过往留给系统备查的日志利用了起来，日志不再只是满足合规需求。通过将应用日志与安全类日志结合（例如准入日志），发现潜在的内生风险，例如账号复用、沉默账号、超期账号、违规链接等。上海电信通过日志的关联分析，处置关停760 个违规账号。另外将前台操作行为与业务风险相结合，利用日志分析的技术，发现高风险人群，关注高风险人群，尽早地对数据泄露风险行为做阻断。

操作关联运营，被动查询转为主动监测

结合UEBA能力，数据使用的行为监测不仅仅局限于模型，通过长期数据的统计灵活的变更基线值。减少了人为处理批量日志地同时，可以更直观地发现风险，尽早开始进行管控及干预。项目运行中发现高风险人员 14 人，以公客套餐199 元为标准进行计算，若每月流失订单 20 单，一年损失额可多达66 万。通过UEBA（用户实体行为分析）的分析，及时阻止了公司损失。