劉佳, 杜雪濤, 冀文, 張琳（中國移動通信集團設(shè)計院有限公司，北京 100080）

客戶信息安全保護的標(biāo)準(zhǔn)化進(jìn)展及解決方案

劉佳, 杜雪濤, 冀文, 張琳
（中國移動通信集團設(shè)計院有限公司，北京 100080）

摘 要本文跟蹤了信息安全及客戶信息安全相關(guān)標(biāo)準(zhǔn)的進(jìn)展，并重點對客戶信息安全保護的相關(guān)標(biāo)準(zhǔn)進(jìn)行了全面解讀，提出需要技術(shù)管理相結(jié)合的方式對運營商企業(yè)的客戶信息進(jìn)行全面保護的方案。

關(guān)鍵詞信息安全；客戶信息；技管結(jié)合

1　引言

近年來，個人信息被泄露的情況時有發(fā)生，國家以及整個行業(yè)都對客戶信息泄露問題十分重視。國家對客戶信息保護有一些明確的要求，2009年《中華人民共和國刑法修正案》明確規(guī)定將本單位在履行職責(zé)和提供服務(wù)過程中獲得公民個人信息，出售或者非法提供給他人，這樣的行為都要受到刑法的處罰。

工信部在《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法》中也規(guī)定，電信企業(yè)應(yīng)該依法保護客戶信息安全，企業(yè)及其工作人員不得擅自向他人提供用戶使用電信網(wǎng)絡(luò)所傳輸?shù)男畔?nèi)容，有關(guān)資料應(yīng)該依法保護。所以保護客戶信息安全是電信運營商應(yīng)該承擔(dān)的社會責(zé)任，也是高度關(guān)注的敏感話題。

2　信息安全及客戶信息安全標(biāo)準(zhǔn)化進(jìn)展

隨著人們對信息安全風(fēng)險管理的日益重視，世界各國、國際組織紛紛推出相應(yīng)的標(biāo)準(zhǔn)，以指導(dǎo)信息安全風(fēng)險管理實踐?？蛻粜畔踩鳛樘厥獾囊徊糠郑灿邢鄳?yīng)的行業(yè)標(biāo)準(zhǔn)相繼提出。本文將就信息安全及客戶信息安全標(biāo)準(zhǔn)的制定進(jìn)展進(jìn)行梳理。

2.1信息安全標(biāo)準(zhǔn)化進(jìn)展

2.1.1 國際標(biāo)準(zhǔn)化組織

國際標(biāo)準(zhǔn)化組織（ISO）制定了ISO/IEC15408、ISO/IEC13335、ISO/IEC17799、ISO/IEC27001等信息安全領(lǐng)域的若干標(biāo)準(zhǔn)。其中，ISO/IEC 15408對應(yīng)的是由美國的NSA、NIST的代表會同加拿大、英國、荷蘭、法國、德國共同起草的通用標(biāo)準(zhǔn)CC（Common Criteria），它吸收了《可信計算機系統(tǒng)評估準(zhǔn)則TCSEC》、《加拿大可信計算機產(chǎn)品評估準(zhǔn)則CTCPEC》以及《信息技術(shù)安全評估準(zhǔn)則ITSEC》等內(nèi)容，是通用的信息技術(shù)產(chǎn)品和系統(tǒng)安全性的評估準(zhǔn)則；ISO/IEC 13335標(biāo)準(zhǔn)則主要對信息安全的概念與模型、安全管理與策劃、安全管理技術(shù)、防護措施的選擇、網(wǎng)絡(luò)安全管理等多方面內(nèi)容進(jìn)行了較為詳細(xì)的闡述；ISO/IEC

17799、ISO/IEC 27001，分別對應(yīng)BS 7799-1與BS 7799-2，建立了信息安全管理系統(tǒng)的一套需求規(guī)范，其中詳細(xì)說明了建立、實施和維護信息安全管理體系的要求。

2.1.2 英國

英國標(biāo)準(zhǔn)協(xié)會（BSI）制定了BS7799-1、BS7799-2，后來分別被國際標(biāo)準(zhǔn)化組織接受，成為ISO/IEC 17799、ISO/IEC27001。目前，BS7799認(rèn)證已成為衡量信息安全管理水平的通用標(biāo)準(zhǔn)。由于BS7799本身不具有很強的可實施性，BSI組織提供了一組有針對性指導(dǎo)文件。另外，英國政府的中央計算機和通信機構(gòu)（CCTA）提出了著名的IT基礎(chǔ)架構(gòu)庫（ITIL），在歐洲、北美乃至全世界都非常盛行，得到了世界的廣泛認(rèn)可，很多IT著名廠商都根據(jù)ITIL制定了自己的服務(wù)管理模型。

2.1.3 美國

美國國家標(biāo)準(zhǔn)技術(shù)局（NIST）制定了一系列標(biāo)準(zhǔn)，如SP 800-18《IT系統(tǒng)安全計劃開發(fā)指南》、SP 800-26《IT系統(tǒng)安全自評估指南》、SP 800-30《IT系統(tǒng)風(fēng)險管理指南》、SP 800-30《IT系統(tǒng)風(fēng)險管理指南》等。2.1.4 中國

我國制定的有關(guān)信息安全管理的標(biāo)準(zhǔn)主要有《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》；GB/T 18336-2001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》；GB/T 19716-2005《信息技術(shù) 信息安全管理實用規(guī)則》；GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》；GB/T 20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架》等標(biāo)準(zhǔn)。

2.2客戶信息安全標(biāo)準(zhǔn)化進(jìn)展

客戶信息安全在國內(nèi)運營商企業(yè)內(nèi)，一直作為安全重點問題備受重視。因此也在中國通信標(biāo)準(zhǔn)化協(xié)會CCSA上相繼提出了若干標(biāo)準(zhǔn)，目前已經(jīng)發(fā)布的有YD/T 2670-2013《基礎(chǔ)電信運營企業(yè)移動網(wǎng)絡(luò)客戶信息安全管理框架》和YD/T 2671-2013《分權(quán)模式（金庫模式）客戶信息安全保護技術(shù)要求》兩個行業(yè)標(biāo)準(zhǔn)，其中YD/T 2670-2013《基礎(chǔ)電信運營企業(yè)移動網(wǎng)絡(luò)客戶信息安全管理框架》在制定過程中參照和ISO 27001系列并做了嚴(yán)格對標(biāo)，重點從客戶信息的管理手段、技術(shù)保護手段等方面進(jìn)行規(guī)范；YD/T 2671-2013《分權(quán)模式（金庫模式）客戶信息安全保護技術(shù)要求》是針對客戶信息安全保護提出了一種“多人操作”共同協(xié)作完成客戶信息操作的實現(xiàn)方法，標(biāo)準(zhǔn)中詳細(xì)講解了分權(quán)模式的授權(quán)、觸發(fā)模式以及實現(xiàn)流程，是客戶信息安全保護的一種具體實現(xiàn)方式。

3　客戶信息安全保護方案解讀

本節(jié)將重點針對《基礎(chǔ)電信運營企業(yè)移動網(wǎng)絡(luò)客戶信息安全管理框架》進(jìn)行解讀，并把《分權(quán)模式（金庫模式）客戶信息安全保護技術(shù)要求》作為客戶信息安全保護的一種特殊技術(shù)與《基礎(chǔ)電信運營企業(yè)移動網(wǎng)絡(luò)客戶信息安全管理框架》相結(jié)合，闡述技管結(jié)合的客戶信息完整保護方案。

3.1客戶信息操作的管理方案

3.1.1 人員對客戶信息的操作管理

業(yè)務(wù)人員、運維支撐人員、開發(fā)人員在進(jìn)行業(yè)務(wù)操作時，會接觸大量的客戶信息，存在客戶信息泄露的風(fēng)險。因此，人員對客戶信息的操作必須遵循相應(yīng)的授權(quán)審批流程。

（1）根據(jù)業(yè)務(wù)人員接觸到客戶信息的重要程度，一般采取的授權(quán)審批流程略有不同。業(yè)務(wù)人員在進(jìn)行涉及普通客戶信息的操作時要獲得客戶的同意，并且按照正常的鑒權(quán)流程通過身份認(rèn)證，鑒權(quán)一般采取有效證件或服務(wù)密碼驗證，并保留業(yè)務(wù)受理單據(jù)；如果是涉及客戶通話詳單、集團客戶詳細(xì)資料等客戶信息的查詢，業(yè)務(wù)人員只能在響應(yīng)客戶請求時，并且客戶自身按照正常流程通過身份鑒權(quán)的情況下，協(xié)助客戶查詢，禁止服務(wù)營銷人員擅自進(jìn)行查詢，查詢需保留業(yè)務(wù)受理單據(jù)；如果是其他人員因投訴處理、營銷策劃、經(jīng)營分析等工作需要查詢和提取客戶信息的，業(yè)務(wù)管理部門應(yīng)建立明確的

操作審批流程，定期進(jìn)行嚴(yán)密的事后審核。

（2） 針對運維支撐人員，需制定并維護業(yè)務(wù)系統(tǒng)的層角色權(quán)限矩陣，明確各崗位角色對客戶信息的訪問權(quán)限，明確未經(jīng)授權(quán)的運維支撐人員不允許有客戶信息的訪問權(quán)限。除此之外，運維支撐人員對業(yè)務(wù)系統(tǒng)的應(yīng)用層的訪問權(quán)限必須具有明確的工單并經(jīng)過審批，在開發(fā)測試環(huán)境下導(dǎo)出的客戶信息必須進(jìn)行模糊化。

（3）開發(fā)人員在系統(tǒng)開發(fā)、測試、上線等環(huán)節(jié)中，會接觸到各類客戶信息。因此，除了簽署嚴(yán)格的安全協(xié)議，開發(fā)人員的工作區(qū)域應(yīng)與生產(chǎn)、內(nèi)部辦公、維護區(qū)域分離，并應(yīng)采用嚴(yán)格的訪問控制策略和管控手段；使用的測試數(shù)據(jù)不應(yīng)當(dāng)反映用戶的真實信息，必須是經(jīng)過模糊化處理的數(shù)據(jù)。

3.1.2 客戶信息安全審核

安全審核主要分為操作日志審核、合規(guī)性審核和日常例行安全審核與風(fēng)險評估。

（1）日志審核是對操作日志與工單等原始憑證進(jìn)行比對，分析查找違規(guī)行為。日志審核是發(fā)現(xiàn)客戶信息泄露的主要途徑之一。安全員的設(shè)置要遵循“職責(zé)不相容”原則，即安全員應(yīng)與系統(tǒng)管理員、業(yè)務(wù)操作人員分開，由專人擔(dān)任，安全員應(yīng)定期開展安全審核。

（2）合規(guī)性審核是根據(jù)法律法規(guī)、安全策略和標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)等要求，對客戶信息的安全防護工作的符合性進(jìn)行檢查?？蛻粜畔踩雷o包括事前預(yù)防、事中控制、事后審核。合規(guī)性審核的總體范圍涵蓋客戶信息安全防護的各個方面。

（3）日常例行安全審核是指運維支撐部門對所負(fù)責(zé)維護的系統(tǒng)進(jìn)行的常規(guī)性安全審核，包括日常日志審核、漏洞掃描、基線審核等。日常例行安全審核屬于日常維護審核的范疇，應(yīng)制定每日、周、月、季度日常檢查報表，并按相應(yīng)頻次進(jìn)行檢查；風(fēng)險評估是對系統(tǒng)面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用帶來風(fēng)險的可能性進(jìn)行評估?？蛻粜畔⑾到y(tǒng)的風(fēng)險評估頻次原則上為每半年一次。但在重大活動或敏感時期，應(yīng)根據(jù)要求開展專項風(fēng)險評估。

3.2客戶信息系統(tǒng)的技術(shù)管控

客戶信息系統(tǒng)的技術(shù)管控主要包括系統(tǒng)安全防護、用戶訪問操作安全管控、敏感數(shù)據(jù)傳輸安全管控。

3.2.1 系統(tǒng)安全防護

系統(tǒng)安全防護是從系統(tǒng)設(shè)計到日常運行維護的各個方面采用技術(shù)手段對系統(tǒng)進(jìn)行安全防護。主要安全技術(shù)手段包括：首先，確保包含客戶信息的系統(tǒng)位于核心安全域，嚴(yán)格管理和限制涉及客戶信息的系統(tǒng)與其他系統(tǒng)的互聯(lián)互通的能力和范圍，安全域邊界部署防火墻、IDS等設(shè)備進(jìn)行安全域的隔離，并且這些安全邊界的網(wǎng)絡(luò)設(shè)備應(yīng)定期進(jìn)行安全評估和審核；其次，需要加強系統(tǒng)自身安全，在系統(tǒng)設(shè)計、系統(tǒng)交付和系統(tǒng)上線階段，根據(jù)接口和流程涉及到客戶信息的類型和操作類型（查詢、修改、增刪），來定義安全需求，進(jìn)行安全評估，基線審查、日常安全運維等安全防護。

3.2.2 統(tǒng)一安全管控系統(tǒng)

用戶訪問操作安全管控包括統(tǒng)一安全管控系統(tǒng)和遠(yuǎn)程接入管控系統(tǒng)兩方面內(nèi)容。統(tǒng)一安全管控系統(tǒng)從技術(shù)上限制非授權(quán)用戶接觸客戶信息。遠(yuǎn)程接入管控系統(tǒng)對遠(yuǎn)程登錄用戶的操作進(jìn)行管控。

為了從技術(shù)上限制非授權(quán)用戶接觸客戶信息，涉及客戶信息的支撐系統(tǒng)、業(yè)務(wù)平臺、通信系統(tǒng)等應(yīng)納入統(tǒng)一安全管理。統(tǒng)一安全管理即指運維人員訪問敏感信息系統(tǒng)的唯一入口，運維人員訪問敏感信息的權(quán)限由統(tǒng)一安全管理系統(tǒng)進(jìn)行管控，運維人員接觸敏感信息，均需在統(tǒng)一安全管理系統(tǒng)進(jìn)行強認(rèn)證，同時，完整的操作日志均由統(tǒng)一安全管理系統(tǒng)進(jìn)行記錄以備審核。

遠(yuǎn)程接入作為一種特殊的接入方式，一般由企業(yè)內(nèi)部員工或者需要進(jìn)行緊急故障處理的非內(nèi)部人員才能有此權(quán)限，遠(yuǎn)程登錄必須通過統(tǒng)一安全管控系統(tǒng)進(jìn)行集中認(rèn)證、授權(quán)和審核，應(yīng)遵循權(quán)限最小化原則，開放用戶能訪問的系統(tǒng)及權(quán)限。

YD/T 2671-2013《分權(quán)模式（金庫模式）客戶信息安全保護技術(shù)要求》中提到的金庫模式實際也是一種統(tǒng)一安全管控技術(shù)，即在用戶登入各類客戶信息系統(tǒng)中

時，觸發(fā)金庫模式，需要多人操作才能進(jìn)行后續(xù)操作，可以理解為是一種增強型的安全管控技術(shù)。

3.2.3 客戶信息泄密防護系統(tǒng)

從支撐系統(tǒng)、業(yè)務(wù)平臺或通信系統(tǒng)中提取客戶信息時，應(yīng)從技術(shù)手段上防止其被泄密?？梢圆捎梅佬姑芗夹g(shù)手段包括文檔安全管理、終端安全管理、敏感信息監(jiān)控等。

（1）文檔安全管理

文檔安全管理系統(tǒng)能夠通過采用加密、授權(quán)、數(shù)字水印、數(shù)字簽名等技術(shù)手段對文檔進(jìn)行安全保護，能夠基于用戶角色或主機的進(jìn)行文檔授權(quán)，使其成為受控文檔，僅有被授權(quán)的特定用戶或終端才能打開受控文檔，未被授權(quán)的人或終端無法打開文檔。

（2）終端安全管理

對能處理客戶信息的終端，需采取統(tǒng)一的接入控制，并定期掃描終端漏洞，統(tǒng)一安裝防病毒軟件，限制移動存儲介質(zhì)的使用，限制無線網(wǎng)絡(luò)的使用。

（3）敏感信息監(jiān)控系統(tǒng)

敏感信息監(jiān)控系統(tǒng)一般對在業(yè)務(wù)支撐網(wǎng)和OA網(wǎng)內(nèi)，可傳輸?shù)目蛻粜畔⑦M(jìn)行監(jiān)控；對通過QQ、MSN、飛信、電子郵件、http等網(wǎng)絡(luò)途徑泄密客戶信息進(jìn)行監(jiān)控；對監(jiān)控到的批量傳輸客戶信息的行為進(jìn)行預(yù)警。

4　總結(jié)

對于運營商而言，客戶信息一直是被高度關(guān)注的敏感話題，因此客戶信息的保護是一項重要又艱巨的任務(wù)。本文通過對相關(guān)標(biāo)準(zhǔn)的進(jìn)展和方案進(jìn)行全面解讀，提出了通過技管集合的方案，將客戶信息保護工作落實到位，并徹底貫徹到客戶信息的整個生命周期，只有這樣才能做到客戶信息的全方位保護。

參考文獻(xiàn)

[1] YD/T 2670-2013. 基礎(chǔ)電信運營企業(yè)移動網(wǎng)絡(luò)客戶信息安全管理框架[S]. 2013.

[2] YD/T 2671-2013.分權(quán)模式（金庫模式）客戶信息安全保護技術(shù)要求[S]. 2013.

[3] 范紅. 信息安全風(fēng)險評估規(guī)范國家標(biāo)準(zhǔn)理解與實施[M]. 北京：中國標(biāo)準(zhǔn)出版社， 2008.

Standardization progress and solution of customer information security protection

LIU Jia, DU Xue-tao, JI Wen, ZHANG Lin
(China Mobile Group Design Institute Co., Ltd., Beijing 100080, China)

AbstractThe progress of the relevant standards of the information security and the customer information security is summarized in the paper. The standards of the customer information are interpreted. And it is put forward that the customer information should be protected by technology and management.

Keywordsinformation security； the customer information security； technology and management

收稿日期：2015-07-08

中圖分類號TP918

文獻(xiàn)標(biāo)識碼A

文章編號1008-5599（2015）11-0050-04