2026-06-15 05:18:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文针对央企数字化转型中的数据安全风险，提出基于数据安全标签的全链路管控体系。该体系通过数据分类分级、敏感数据识别、安全标签标注、与第三方安全服务联动及全链路可视化，实现数据从采集到销毁的全生命周期安全管控。研究表明该体系可有效弥补现有防护短板，提升数据安全治理能力，并以某国有大型商业银行案例验证其在降低泄露风险、提升运营效率和增强合规水平方面的显著成效。 综合评分： 87 文章分类： 数据安全,安全建设,解决方案,应用安全,网络安全

cover_image

【转载】基于央企场景下数据安全标签的全链路数据安全管控体系研究

江南信安

2026年6月2日 16:49 北京

在小说阅读器读本章

去阅读

以下文章来源于信息安全与通信保密杂志社，作者Cismag

信息安全与通信保密杂志社 .

网络强国建设的思想库、安全产业发展的情报站、创新企业腾飞的动力源

编者荐语

本文提出基于安全标签的全链路管控体系：给每份数据赋予“安全身份证”，从分类分级到标签标注，从自动打标到策略联动，让数据在采集、流转、使用、销毁各环节“自带安全基因”。

引用本文

王培春 . 基于央企场景下数据安全标签的全链路数据安全管控体系研究[J]. 信息安全与通信保密 , 2026(2):66-74.

文章摘要

随着央企数字化转型加速，数据湖规模快速扩张，数据安全风险日益凸显。当前央企数据安全防护以监测为主，主动防护效能相对不足。为提升央企数据安全保障能力，基于安全标签技术，构建全链路数据安全管控体系，围绕元数据分类分级、敏感数据识别、数据字段定级及安全标签制定开展研究。结果表明，该方案可有效弥补现有防护短板，强化数据全流程安全管控能力。此外，创新性提出面向央企数据湖的安全标签全链路管控模式，为提升央企数据安全管控能力提供实践参考。

0 引言

随着信息技术的发展，数据已经成为央企的核心资产，在决策、运营和市场竞争中发挥着关键作用。然而，随着数据的不断增长和流通，数据泄露、数据篡改、数据滥用等问题也日益突出，给央企安全稳定运行带来了巨大的风险。因此，如何保障全链路的数据安全，成为当前亟待解决的问题。

全链路数据安全，是指围绕数据全生命周期，对数据实施全程、统一、严格的安全管控与保护。具体而言，在数据采集中，先对数据进行分类、分级，并对敏感数据在采集、传输、存储、处理、交换、销毁等全环节实施严格安全控制；在数据传输中，采用加密通道并建立数据传输线路冗余机制，确保数据传输的可靠性和网络线路的可用性；在数据存储中，利用加密算法对核心数据进行加密，保证每个最小化单元的数据安全；在数据流通全过程中，实时监测登录设备、IP、时间戳等信息，构建坚实可靠的防攻击系统。

针对上述问题，本文提出了一种基于数据安全标签的全链路数据安全管控体系。该体系通过数据分类分级、数据安全标签设定、系统关联实现及全链路可视化等手段，旨在提升数据全链路的安全性与可控性，为央企的数据安全保障提供有力支持。

1央企业务数据安全现状

1.1 央企数据的重要性和高价值属性

随着央企业务模式向复杂化、多元化深度演进，数据已成为驱动其业务发展的核心战略资产。与一般市场主体不同，央企数据在形式、内容与指向上具有显著特殊性：从形式上看，其涵盖了结构化数据、半结构化数据与非结构化数据；从内容上看，其既包括核心业务数据，也包含敏感信息数据；从指向性分析，其数据不仅服务于央企自身的经营决策，更与产业链上下游协同、区域经济发展乃至国家宏观调控紧密相关。这些数据在业务系统间高速流转，不仅为运营效率提升提供了关键支撑，还在数据共享协同、驱动决策、资产化运营及要素流通交易等方面，充分彰显了央企数据的核心价值与战略重要性。

1.2 央企数据安全的政策驱动力

2020—2024年，我国数据安全相关法规政策密集出台，相继颁布了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》及《网络数据安全管理条例》等法律法规，逐步构建起较为完善的数据安全法规体系，为央企的数据安全活动确立了明确要求与规范。与之相配套的一系列数据安全合规执法行动也同步推进，包括：四部委App专项治理行动，该行动聚焦App强制授权、过度索权、超范围收集个人信息等问题，通过闭环推进合规整治，配套信息范围相关规定，构建个人信息保护长效监管机制，是数据安全合规执法的关键举措；网信办牵头的网络安全审查，确保了相关的法律法规有效落地。作为行业示范引领者，央企应在数据安全政策的驱动下，加快构建数据安全防护体系，持续增强数据安全防御能力。

1.3 央企业务数据面临的安全风险

随着信息技术的快速发展，越来越多的央企业务数据同步到云平台的互联网区域，部门间的信息共享、业务流程优化已经成为必然趋势。从数据采集、整合、提取、分析到归档，整个业务链条均需依托一套安全完整的应用系统程序支撑。在“数据湖”模式下，大规模数据集中处理使业务系统的运行和维护难度不断上升，访问控制机制薄弱（如弱口令、权限缺乏管理）、加密机制失效、安全漏洞、撞库拖库、未脱敏处理，以及内部人员违规行为（如违规查看、下载、外发数据）等问题，均可能导致数据安全事件的发生。因此，处理央企业务数据的信息系统不仅需要具备高效的数据处理能力，还须具备覆盖全链路的数据安全管控能力。

1.4 央企数据安全防护的高难度

央企数据安全防护的难度主要体现在以下4个方面：

（1）数据安全责任边界模糊：数据与业务流程、业务信息系统高度耦合，数据流动与开放导致副本众多，各环节安全责任归属难以清晰界定。

（2）流动数据安全防护困难：数据持续流动导致数据暴露面增大，安全边界日趋模糊。当前防护工作多采取单点防护措施，缺乏策略联动，难以有效应对全局性数据安全风险。

（3）数据安全与网络安全融合不足：数据安全风险与策略管理尚未充分融入网络安全态势。唯有推动数据安全与网络安全深度融合、一体防控，才能从根本上防范App强制授权、过度索权、超范围收集个人信息等问题，切实筑牢数据与个人信息安全防线。

（4）对业务动态变化的适应力不足：业务模式持续演进，要求数据安全措施具备动态调整能力。

2基于数据安全标签的全链路安全标识管控体系

2.1 整体体系架构

在数字经济成为国民经济增长核心引擎的宏观背景下，央企作为国家战略实施的重要载体，其数据资产不仅涵盖国家关键基础设施、核心产业技术、产业链协同等多重敏感信息，还兼具企业经营价值、产业安全价值与国家战略价值的复合属性。

随着央企业务数字化转型的深入推进，数据在全生命周期中的流转场景日趋复杂，传统以“边界防护”为核心的静态安全管控模式已难以有效应对数据跨系统、跨主体流转过程中带来的动态安全风险。

从国内外研究现状来看，数据安全标签已成为实现全链路管控的核心技术抓手。在国际层面，美国国防部早在1991年发布的《网络协议安全选项》中，就明确要求网络协议包含安全标识位，为数据标签技术奠定了早期框架；欧盟则在《通用数据保护条例》（General Data Protection Regulation, GDPR）合规要求下，推动标签技术与数据最小化、目的限制原则深度结合，形成了“标签定义—权限管控—合规审计”的闭环机制，其研究更侧重于跨区域数据流通中的标签互认标准。国内研究则紧密围绕政策导向与央企场景特性展开，国家数据局在2024年印发的《可信数据空间发展行动计划（2024—2028年）》中明确提出，推动数据标识、语义发现、元数据智能识别等数据互通技术集成应用，以提升数据跨域互通、溯源管理与资源发现能力。

数据安全标签能够通过对数据进行标准化的分类分级标注与安全属性定义，为数据赋予可识别、可追溯、可管控的“安全身份标识”，从而实现数据安全策略与数据全链路流转行为的精准协同。在此背景下，构建基于数据安全标签的全链路安全标识管控体系，既是央企落实《数据安全法》《个人信息保护法》等法律法规要求的合规之举，也是破解数据安全与数据价值释放矛盾、填补现有研究空白、提升数据安全治理体系和治理能力现代化水平的关键路径。

为了实现全链路数据安全管控，需要制定一套完整的方案，全链路安全标识管控平台整体架构如图1所示。

图1 全链路安全标识管控平台整体架构

该体系的服务和功能内容如下：

（1）提供数据分类分级服务：根据《网络安全法》《数据安全法》《个人信息保护法》等国家法律，结合各种国标、行标、地标等安全规范要求，对系统数据进行分类和分级。不同级别的数据需要采取不同的安全措施，以保证数据的安全性和可控性。

（2）提供敏感数据识别服务：能够自动化发掘业务系统中存在的结构化/非结构化数据，并智能判断该敏感数据是否需要进行数据安全标注。

（3）提供数据安全标签标注服务：为每个数据对象设定唯一的安全标签，用于标识该数据对象的分类、等级以及其他安全相关信息，从而便于对数据进行统一管理和控制。

（4）提供数据处理服务：通过应用程序编程接口（application programming interface, API）方式，与第三方加解密服务、第三方脱敏服务等系统进行联动，实现数据的安全保障和风险控制。

（5）全链路可视化：通过可视化技术，灵活展示数据全链路的敏感数据视图、标注内容分布、数据处理结果、调用频率等安全相关内容，便于管理人员及时掌握数据安全情况并进行相应的调整和优化。

2.2 全链路数据安全管控体系

2.2.1 数据分类分级服务

为了更好地管理和保护数据，需要对数据进行分类和分级。根据数据的属性特征和重要程度，将其分为多个级别，每个级别对应不同的安全措施。具体的划分依据、原则和方式如下：

（1）划分依据：根据数据的属性特征和重要程度，将数据进行分类和分级。例如，根据数据的类型、来源、内容、使用范围等特征进行分类，根据数据的价值、敏感性、机密性、完整性等特征进行分级。

（2）划分原则：分类分级应遵循以下原则。

①简单易懂：分类分级的名称应该简单易懂，避免过于专业的术语和缩写。

②可操作性强：分类分级的标准和措施应该具有可操作性，能够被有效地执行和监控。

③稳定性高：分类分级的标准和措施应该具有较高的稳定性，避免频繁的变更和调整。

（3）划分方式：可以采用表格或树状结构等方式进行数据分类分级。例如，当采用表格形式对数据进行分类和分级时，每一行表示一个数据对象，每一列表示一个分类或分级的标准。

在本文所涉及的央企业务系统中，针对数据的分类、分级设置如表1、表2所示。

表1 某央企系统数据分类信息表

表2 某央企系统数据分级信息表

2.2.2 敏感数据发掘服务

敏感数据发掘服务是一种用于发现和标识敏感数据的综合性解决方案。该服务主要针对结构化数据和非结构化数据进行识别，同时可通过人工补录特殊信息和智能提示待标注信息，进一步提升数据安全性，具体包括：

（1）识别结构化数据：对于存储在数据库中的结构化数据，敏感数据发掘服务需要手动设置数据库实例的绝对路径。然后，程序通过定时任务定期扫描业务系统所有实例的数据库表，以判断所有表是否已完成数据安全标签标注。

（2）识别非结构化数据：对于非结构化数据，如文件形式的敏感信息，需要手动指定文件存放的绝对路径，再进行扫描和判断操作。

（3）人工补录特殊信息：在数据发掘过程中，若存在特殊情况或无法通过自动化识别确定的数据，需进行人工补录。

（4）智能提示待标注信息：针对待标注信息，敏感数据发掘服务可提供智能提示功能，帮助用户快速、准确地识别与标注敏感数据。

2.2.3 安全标签标注服务

为了标识每个数据对象的安全等级和其他相关信息，需要为每个数据对象设定一个唯一的安全标签。设定标签的具体步骤如下：

（1）确定标签的属性：标签应该包含以下属性。

①数据对象标识：用于标识该数据对象的唯一标识符。

②安全等级：用于标识该数据对象的安全等级。

③其他相关信息：如数据的创建时间、修改时间、访问时间等。数据安全标签组成结构如图2所示。

图2 数据安全标签组成结构

（2）确定标签的编码方式：可以采用二进制编码、十六进制编码等方式对标签进行编码。编码方式应该简单易懂，易于操作和维护。

（3）设定标签的生成规则：可以采用随机数生成、加密算法生成等方式生成标签。生成规则应该具有较高的随机性和不可预测性，以确保标签的安全性。

（4）设定标签的优化规则：可以根据实际情况对标签进行优化，例如对标签进行加密、对标签的属性进行扩展等。优化规则应该具有较高的灵活性和可扩展性，以适应不同的应用场景。

（5）设定标签的自动化规则：可以设定标签的自动化生成、更新和维护等规则。自动化规则应该具有较高的效率和准确性，以减少人工操作的风险和错误。

在本体系中，采用了雪花算法分布式自增方式生成安全标识的唯一ID流水号，其实现原理如图3所示。

图3 雪花算法（SnowFlake）实现原理

雪花算法的组成结构：

占位符：默认为0。

时间戳：记录毫秒级的时间，采用当前时间戳与固定开始时间戳的差值，可以使产生的ID从更小的值开始；41位的时间戳可以使用69年。

数据中心：设置是否为同一个数据中心。

节点：设置是否为同一个计算节点。

序列号：自增值支持同一毫秒内同一个节点可以生成4096个ID。

2.2.4 数据安全管控服务

为了实现数据的安全保障和风险控制，需要将数据安全标签与第三方加解密服务、第三方脱敏服务等系统通过API或SDK方式进行关联。实现联动的主要步骤如下：

（1）确定联动系统的接口规范：需要确定关联系统的接口规范，包括输入输出格式、参数设置等。

（2）开发接口程序：根据接口规范，开发接口程序，实现与联动系统的数据交互和安全保障。

（3）测试接口程序：对接口程序进行测试，确保程序的正确性和稳定性。

（4）部署接口程序：将接口程序部署到相应的系统中，实现数据的交互和安全保障。

2.2.5 数据安全监测服务

全链路可视化是通过可视化工具对数据流通进行实时监控和展示的过程。通过可视化工具，可以清晰地展示数据的来源、去向、安全等级和保护措施等信息，有助于管理人员及时了解数据的安全状态，及时发现和处理安全问题。

在数据入库场景中，可视化工具可以展示数据从何而来，经过何种处理，以及存储位置等信息。在数据出库场景中，可视化工具可以展示数据将流向何处、出库原因等信息。按业务类型展示全景可以帮助管理人员全面了解业务数据的保护情况，及时发现和应对潜在的安全威胁。

2.3 案例分析和量化评估

当前已有部分央企开展数据安全标签体系的落地实践，为构建全链路管控体系提供了宝贵经验。以某国有大型商业银行（金融领域核心央企）为例，其数据涵盖客户隐私信息、信贷交易流水、跨境支付数据、风控模型参数等关键信息，兼具高敏感性、强关联性与监管强约束性，亟须通过标签技术实现全链路精准管控。该银行构建了“分类分级—标签定义—自动打标—策略联动”的全链路安全标识管控体系：首先，依据《数据安全法》《银行保险机构数据安全管理办法》等法规标准，将数据划分为核心数据、重要数据、敏感数据、一般数据4个级别，同步定义“数据类型—安全等级—访问权限—脱敏规则—留存期限—审计频率”多维标签属性；其次，基于BERT-TextCNN-CRF融合模型搭建智能打标引擎，实现结构化交易数据与非结构化贷款合同、客户影像等多模态数据的自动标注；最后，建立标签与安全策略的联动机制，将标签信息嵌入数据流转的各个环节，实现访问权限的动态适配与异常交易行为的实时预警。

从量化评估维度来看，该体系的实施成效可通过安全效能、运营效率、合规水平3大核心指标验证。在安全效能方面，实施后客户信息泄露事件发生率较此前下降，针对核心信贷数据的非法访问拦截率达到一定程度，风险响应时间从分钟级缩短至毫秒级；在运营效率方面，智能打标引擎使数据标签化处理效率提升8倍，相较于传统人工标注模式，每年节省人力成本约百万元；在合规水平方面，数据全生命周期合规审计覆盖率实施前后有所提升，满足《网络数据安全管理条例》《银行保险机构数据安全管理办法》等政策对数据分类分级管控的要求，顺利通过数据安全专项核查。这一实践充分证明，基于数据安全标签的全链路安全标识管控体系能够有效破解金融类央企数据安全治理痛点。

数据安全标签通过对数据进行标准化的分类分级标注与安全属性定义，为数据赋予可识别、可追溯、可管控的“安全身份标识”，从而实现数据安全策略与全链路流转行为的精准联动。在此背景下，构建基于数据安全标签的全链路安全标识管控体系，既是央企落实《数据安全法》《个人信息保护法》等法律法规要求的合规要求，也是破解数据安全与价值释放矛盾、填补现有研究空白、推动数据安全治理体系和治理能力现代化的关键路径。

3 结语

本文研究的基于数据安全标签的数据安全管控技术，弥补了现有数据安全在采集、传输、存储、处理、交换、销毁等流转过程中的不足，提升了数据安全整体的防护能力和水平。目前，该技术已经在央企数据安全领域得到应用，有效提升央企数据安全数据分类分级、数据定位、数据共享与利用以及数据安全管控的能力，真正实现了集数据分类分级、数据管控和数据监测于一体的数据安全防护体系。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：江南信安《【转载】基于央企场景下数据安全标签的全链路数据安全管控体系研究》