R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



                 三、电信领域数据安全合规治理面临挑战和建议

                 （一）电信领域数据安全风险和合规挑战
                 电信行业是全球数字化进程的先行行业。随着数字化进程的迅猛推进，数据
             安全风险暴露面、攻击面越来越广，再加上数据价值的提升和数据市场的发展，

             围绕电信领域的各种数据安全风险如数据泄露、数据窃取、数据非法交易、数据
             滥用及其他数据安全事件愈演愈烈。

                 1. 电信领域数据安全风险
                 大数据给电信领域带来新的业务形态发展机遇，但随之而来的是数据的集中
             化管控、数据供应链的复杂化、数据开发利用的普遍化、平台组件的开源化等新
             技术特点和新业务形态应用，也给业务发展带来了新的安全问题。电信领域数据

             安全主要面临如下风险。
                 （1）数据集中化管控安全风险
                 在电信企业大数据平台中，集中存储有不同安全域的业务运营数据、企业管

             理数据、用户相关数据、网络与系统的建设及运行维护类数据等各类电信数据。
             一旦这些数据的集中管控风险转化为安全事件，则可能涉及大量电信用户敏感信
             息和其他类型敏感数据遭受泄露或破坏，从而有可能带来相关敏感数据和个人信
             息保护的安全违法违规风险。

                 （2）电信企业特定数据处理活动场景下的安全风险
                 电信企业客服门户网站、小程序数据收集、存储和使用场景下存在以下安全
             性风险：数据传输过程中安全风险、数据存储和使用环境云化和虚拟化安全风险、

             数据使用和加工过程安全风险、电信数据跨主体流动安全风险、API 数据访问接
             口安全风险、电信数据出境安全风险等。
                 （3）数据存储和使用环境云化和虚拟化安全风险
                 越来越多的电信企业大数据部署在云资源池、云存储环境中，再加上电信的

             存储环境和计算环境的虚拟化，导致攻击者可以利用已有的虚拟主机使用权限，
             对同一虚拟化平台和网络上的其他虚拟主机进行非法访问、嗅探和攻击等，从而
             因为数据集中化部署和虚拟化环境带来隐患产生数据泄露、数据丢失等风险。

                 （4）平台组件开源化安全风险
                 电信企业大数据平台普遍采用了 Hdoop、Spark、HDFS 等开源组件和系统，


             124