賈英來 中國電信股份有限公司青海分公司工程師

發(fā)展策略

運營企業(yè)用戶信息安全保護淺析

賈英來 中國電信股份有限公司青海分公司工程師

通過分析電信運營商IT支撐系統(tǒng)在用戶信息保護方面遇到的實際問題，以及用戶信息泄露的路徑，結合電信運營商IT支撐系統(tǒng)特點，提出電信運營商用戶信息安全保護的實施對策，為企用戶信息安全保護能力建設提供了可操作的參考和借鑒。

IT支撐系統(tǒng) 敏感數據 網絡與信息化

1 引言

當前，在網絡和信息化條件下，各種涉及個人用戶信息泄露、銀行卡被盜用、個人用戶信息被買賣的信息安全事件頻發(fā)，給用戶信息保護帶來了極大的危害。為加強網絡與信息安全保護，近年來國務院、全國人大和工業(yè)和信息化部相繼出臺了《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》、《關于加強網絡信息保護的決定》和《電信和互聯網用戶個人信息保護規(guī)定》等法規(guī)，從制度層面明確了用戶信息保護的具體要求。

作為面向廣大用戶提供基礎網絡和綜合信息服務的電信運營商，做好用戶信息保護，既是企業(yè)的社會責任，也是企業(yè)戰(zhàn)略轉型、提升競爭力和保護自身商業(yè)秘密的根本需要。

就用戶信息而言，主要是指用戶向電信運營商提供的與用戶相關的各種信息，以及用戶在使用中國電信通信服務的過程中產生的各種通信記錄和消費記錄等非通信信息。具體包括：

（1）身份信息

個人身份信息包括個人姓名、個人有效證件類別和編號、居住地址和有效通信聯系方式等；單位身份信息包括單位名稱、單位有效證件類別和編號、法定代表人或負責人信息、辦公或注冊地址和有效通信聯系方式等。

（2）合作信息

包括各類用戶的入網協(xié)議、業(yè)務申請/變更/終止協(xié)議、業(yè)務使用協(xié)議、與用戶簽訂的各類商業(yè)合作合同等。

（3）通信信息

包括用戶使用通信服務產生的通信記錄、設置的業(yè)務賬號和登錄密碼、客戶密碼、在各類系統(tǒng)中留存的與通信行為相關的數據信息及用戶的位置信息等。

（4）消費信息

包括用戶使用通信服務的消費記錄、繳費信息、欠費信息、賬戶余額變動信息等。

2 用戶信息泄露路徑分析

從近年來頻發(fā)的用戶信息泄露事件來看，有的用戶信息泄露事件是利用商業(yè)軟件的后門、漏洞引發(fā)，有的由于IT支撐系統(tǒng)安全防護手段缺失在互聯網上能夠方便地查到用戶信息，還有一些甚至是企業(yè)內部人員受經濟利益驅動內外勾結非法獲取用戶信息，所有這些事件的一再發(fā)生，在敲響警鐘的同時，也反映出做好用戶信息保護工作的迫切性、復雜性和多樣性。

為了適應全業(yè)務運營和市場競爭的需要，電信運營商自身的信息化水平也在不斷提高，逐步建立起了滿足用戶套餐辦理、業(yè)務開通、計費、銷賬、客服和對用戶消費行為進行統(tǒng)計分析的各類IT支撐系統(tǒng)。這些IT支撐系統(tǒng)有的直接存儲用戶信息，有的需要調用和用戶信息相關的服務。進行用戶信息泄露途徑分析，就是要從IT支撐系統(tǒng)外圍，對用戶信息的訪問、存儲以及數據流向進行深入探究，進而為構建用戶信息安全保護體系提供依據。

涉及用戶信息的敏感數據存儲在數據庫或文件服務器中，通過終端的訪問或者應用的調用，敏感數據由數據庫或者文件服務器通過批量下載或者導出流向終端，終端通過移動存儲介質、打印、IM應用或者Wi-Fi、3G無線上網卡造成信息泄露。敏感數據也可能通過部署在互聯網或合作伙伴的外部服務器與內網數據庫/文件服務器的交互被泄露；還有可能通過向互聯網發(fā)送郵件進行泄露?？梢詺w納出以下敏感數據泄露路徑和數據流量路徑：

（1）互聯網外泄路徑

數據庫/文件服務器、內部其他服務器→終端→郵件、IM、FTP等；數據庫/文件服務器、內部其他服務器→外部服務器→第三方系統(tǒng)、內外部人員。

（2）終端外泄路徑

終端→U盤、外設、屏幕截取、Wi-Fi、3G無線上網卡等。

（3）敏感數據流向路徑

數據庫/文件服務器→外部服務器；數據庫/文件服務器→內部其他服務器→終端；數據庫/文件服務器、內部其他服務器→終端。

3 用戶信息保護對策

做好用戶信息保護，就是要從隔絕用戶信息非法泄露路徑和完善IT支撐系統(tǒng)安全管控功能兩個方面來建立管理和技術體系，最終實現對IT支撐系統(tǒng)用戶信息安全保護的保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）抗抵賴性（Non-repudiation）、可控性（Controllability）、可追溯性（Accountability）等方面的目標。

（1）用戶信息泄露途徑方面的防護對策

●互聯網邊界防護

在互聯網邊界防護方面存在兩種情況，一種是外部服務器需要和內網IT支撐系統(tǒng)服務器交互，在此種情況下，一方面要采用防火墻、IPS、WAF等技術手段對互聯網邊界加強保護；另一方面要對外部服務器和內網IT支撐系統(tǒng)服務器的交互方式進行管控，要盡可能采用安全的交互方式（如服務調用，避免數據庫直接訪問或者采用認證、鑒權的手段）。

另一種情況是由于日常工作的需要內部終端需要通過互聯網郵件服務器收發(fā)工作郵件、通過IM應用進行工作聯系、或者訪問特定的互聯網站點等。在此種情況下，為了避免信息泄露要在網絡邊界串聯部署上網行為管理平臺來對郵件或者IM應用進行審計，從而來實現通過郵件或者IM應用方式的信息泄露進行告警、阻斷。

●終端安全防護

終端安全防護是通過在內網部署終端安全管理系統(tǒng)來進行管控，在終端接入網絡之前通過終端安全檢查策略對終端是否感染了病毒和木馬、是否更新了操作系統(tǒng)補丁、是否安裝了防病毒軟件等進行檢查。終端符合安全檢查策略要求，訪問IT支撐系統(tǒng)時通過終端準入控制策略限制內網的所有終端對內部所有IT支撐系統(tǒng)的訪問，控制策略以滿足工作需要為準。另外，終端在使用過程中通過終端安全管理策略來對終端使用移動存儲介質、打印機、藍牙、Wi-Fi、3G無線上網卡等進行控制或者審計，隔絕終端泄密通道。終端安全管理系統(tǒng)架構如圖1所示。

（2）IT支撐系統(tǒng)安全保護對策

用戶信息安全保護除了要隔絕用戶信息泄密的通道，還要從信息安全管控功能完善方面來確保從源頭上杜絕信息泄露的風險，具體安全管控功能需求如下：

●用戶信息脫敏

用戶信息脫敏是指結合“分權、分域、分級”區(qū)分各種業(yè)務場景下的查詢操作權限管理要求，對用戶信息進行部分屏蔽處理，限制對敏感數據的全部或部分顯示。

●批量數據操作

批量數據操作主要在涉及用戶信息的數據提供、測試數據生成等過程中，通過對操作過程的訪問控制、數據變形、數據加密等手段，確保對數據訪問的可控、批量數據發(fā)布的范圍受限。

●日志審計

日志審計主要是確保用戶信息訪問的不抵賴性和可追溯性，能夠詳細地記錄具有系統(tǒng)查詢、訪問權限的人員的訪問軌跡。對系統(tǒng)的訪問主要分為通過前臺Web頁面訪問和對系統(tǒng)的主機、數據庫、中間件資源的后臺訪問。

有了具體的功能需求，從技術實現的層面來考慮可以分別采用如下對策：

圖1 終端安全管理系統(tǒng)架構

——用戶信息脫敏的實施

用戶信息脫敏需要IT支撐系統(tǒng)自身通過脫敏規(guī)則來實現，對用戶信息進行強加密是進行用戶信息脫敏最徹底的方式，但是由于涉及用戶信息安全的這一類IT支撐系統(tǒng)業(yè)務邏輯復雜、接口眾多并且在業(yè)務連續(xù)性方面有很高的要求，因此實施風險較大。通過對用戶信息的某些字符位進行變形、屏蔽等手段更易于實施，也能夠實現用戶信息可靠保護。

——批量數據操作的實施

批量數據操作可以區(qū)分兩種情況，第一種情況是在IT支撐系統(tǒng)的Web頁面直接操作，對于這種情況下提供的批量數據首先要進行脫敏，具體實現如上文所述。第二種情況是對IT支撐系統(tǒng)的后臺訪問，這種情況下的操作要通過堡壘主機或者4A平臺來管控，確保操作過程可追溯、日志可審計，批量數據提取到堡壘主機或4A平臺后通過對數據進行加密及訪問認證，即使非法獲取數據后也無法使用。圖2為堡壘主機系統(tǒng)示意圖。

——日志審計的實施

圖2 堡壘主機系統(tǒng)示意圖

由于涉及用戶信息安全的這一類IT支撐系統(tǒng)，業(yè)務邏輯復雜、交互頻繁、日志數據量大，一般情況下系統(tǒng)的日志管理功能只會記錄增、刪、改的日志，查詢類的日志信息IT支撐系統(tǒng)無法記錄。日志審計的實施，就是通過部署數據庫審計平臺，來對通過應用服務器

阿爾卡特朗訊推出可擴展波長路由技術

阿爾卡特朗訊日前宣布實現光路由技術的突破性創(chuàng)新，該技術可為運營商在新型光傳輸網絡部署方面提供更多靈活性。當前運營商正苦于無法周全地應對容量、速度和效率需求，而阿爾卡特朗訊推出的可擴展波長路由技術則為通信行業(yè)帶來一把鑰匙，幫助他們打開了目前面臨的諸多枷鎖。Verizon將在其北美超長途光網絡當中部署該技術。

阿爾卡特朗訊全球解決方案高級副總裁Brian Fitzgerald表示：“運營商對不受限的網絡彈性和可擴展性青睞有加。因此可編程IP/光結構就必不可少。以我們的波長路由技術為基礎，在光層中進行大規(guī)模部署，可提升其所需的網絡效能，帶來無可比擬的靈活性。該解決方案讓大規(guī)模部署無約束波長網絡成為可能。”

上海貝爾助力中國電信擴展LTE超寬帶服務

近日，上海貝爾宣布入選中國電信前三大網絡供應商，助力其在全中國范圍內推出移動超寬帶服務。隨著越來越多的消費者對LTE網絡的速度、容量和效率有更高追求，運營商需要不斷推出新技術以提升網絡性能。中國電信擁有大約1.86億移動用戶。隨著中國政府頒發(fā)FDDLTE牌照，中國電信將著手進行國內現有地區(qū)和新建地區(qū)的LTE業(yè)務擴展，以滿足客戶對高性能數據和視頻內容日益增長的需求。

根據協(xié)議，上海貝爾將作為中國電信前三大網絡供應商之一，在上海、江蘇、山東、浙江、湖南、湖北、廣西、福建、江西、陜西、內蒙古和遼寧12個省市的40個城市部署LTE移動超寬帶接入技術。此前，上海貝爾曾在2013年12月與中國電信簽訂LTE試驗網部署合同。訪問數據庫的流量通過鏡像的方式進行抓取，通過應用關聯分析來實現具體的哪個賬號通過哪個IP地址來對系統(tǒng)進行了哪些查詢操作。圖3為數據庫審計部署示意圖。

圖3 數據庫審計部署示意圖

4 結束語

隨著云計算、虛擬化、大數據應用等技術的發(fā)展，企業(yè)IT支撐系統(tǒng)的架構，數據存儲、提取、分析的方式都將順應發(fā)生改變，同時黑客攻擊、漏洞利用的技術都在不斷地發(fā)展，所有這些都使用戶信息保護面臨著新的挑戰(zhàn)，只有在具體實踐過程中通過不斷地完善信息安全管理、技術體系才能達到最佳的防護效果，用戶信息安全才能夠得到保證。

1 YD/T 1728-2008.電信網和互聯網安全防護管理指南

2 YD/T 1736-2008.工信部支撐網安全防護要求

3 2013年中華人民共和國工業(yè)和信息化部第24號令.電信和互聯網用戶個人信息保護規(guī)定

4 中國電信【2012】308號文件.關于印發(fā)中國電信用戶信息安全管理辦法的通知

5 中國電信【2012】760號文件.關于印發(fā)中國電信IT安全保障體系建設規(guī)范V2.0的通知

6 ISO/IEC27001∶2013信息安全管理體系

2015-03-10）