电信运营商数据防泄露体系研究

业务与运营Business&Operation17前言电信运营商详细记录了人在现代社会的信息指纹，极大地促进了电信运营商加快对数据价值的挖掘与应用[1]，但是与此同时也应该清醒地认识到大数据信息同样带来了巨大的安全风险，亟需加强对数据的监管和防护。首先，电信运营商掌握的数据价值越来越高，已经成为黑客、不法人员的重点攻击对象和盈利手段，而企业由于核心数据泄漏带来的品牌、经济等方面的损失也越来越大；并且随着电信运营商IT系统及数据的逐步集中，数据安全风险一点点聚焦并迅速放大，量变极易积累成质变[2]。其次，国资委、工信部等上级单位对电信运营商的监管要求越来越高。《中央企业商业秘密保护暂行规定》中对核心数据防泄漏做出了明确要求。数据安全正日益成为电信运营商企业安全管理和风险控制的核心内容。近年来已经出现了数起电信运营商数据信息泄漏和客户有价信息被篡改等恶性安全事件，已严重威胁企业的正常运营并影响了客户满意度，新形势下电信运营商面临的数据泄密风险极其严峻，不容乐观，主要表现在以下几个方面。1)数据的集中带来泄漏风险的集中；2)人员和数据接触方式复杂；3)开发、测试和生产环境混用；4)技术防护手段相对落后。但是数据防泄漏是一项艰巨、复杂的任务，需要进行细致、科学的研究，降低风险、保护投资、提高防护效率；因此，需要建立一套完整的数据安全防护体系，从数据的全生命周期进行安全防泄漏保护，特别是对涉及客户积分、话费信息等有价类信息进行深度防护，对可能造成重大损失的批量信息泄漏进行重点监控。1数据泄漏场景分析1.1数据泄漏的成因数据泄漏是一个逐步的过程，从信息数据生成的源头逐渐向外扩散，通常最终由非授权用户通过不同的边界途径传播到企业无法控制的外部环境，从而造成信息泄漏，如图1所示。ႅ୞႑တၠഓᄽྔևકොࢃ႐ᄽခ൶ᇘࢃ႐ჺ݀൶ᇘഓᄽӸࠅ൶ᇘݥഓᄽ൶ᇘևோक़႑တدڿ图1电信运营商企业数据扩散模型按照核心数据的分布和扩散，基本有以下区域和部电信运营商数据防泄露体系研究曲大林张尼刘明辉宫雪中国联通研究院北京100032摘　要随着系统的逐步开放和数据的不断集中，电信运营商面临的数据安全风险正在急剧增加。通过对电信运营商数据泄漏各种场景的分析，结合国内外各大组织的研究成果、标准规范及最佳实践，梳理出一套适合电信运营商的数据安全防护方法，提出电信运营商数据防泄漏体系模型，并进一步给出未来云化环境下的演进建议，供电信运营商及同类企业在实施数据安全防护时参考。关键词数据安全；防泄漏；电信运营商；责任矩阵；云计算业务与运营Business&Operation18门。1)核心生产区域，是核心数据的产生、保存和维护的区域；2)核心研发区域，是业务系统的开发和测试区域，主要使用生产系统获得的数据进行开发和测试；3)企业办公区域，核心数据经过分析处理，会通过办公环境进行扭转和发布使用；4)非企业区域，互联网环境或第三方接口环境等。核心数据从业务区域到研发区域，从业务区域到办公区域，从办公区域到企业外部环境，会产生逐级扩散的效应。数据安全管控需要逐级控制核心数据的传递，达到逐级降低风险的效果。1.2数据泄漏途径数据泄漏分析的核心思想是：核心数据-人-边界。数据源于业务系统，数据的下载和传播都是人为操作，需要通过边界(网络、终端、虚拟化等物理边界和逻辑边界)进行外泄，整个分析过程围绕这个思路开展。数据泄漏途径分析模型如图2所示。ྔևྪஏVಎ0ٶᆇ0ഄ໲ྔยJNᆌᆩXMBO04Hዕ܋ᇘዕ܋ྔยዕ܋ᆌᆩዕ܋࿮၍ฉྪഄ໱փᅟ॔੦཰০ටᇵ0ዕ܋ටᇵᇑዕ܋࠶૙๮܎तܠዖഄ໱रຍాྪ0ᄽခ0ᆌᆩᅴ׉ڦ٪ئݴք಼ଉူሜ0ڞ؜ాևޜခഗྔևޜခഗᄽခဣཥዘᄲຕ਍ޜခഗᇘ36245图2数据泄漏途径分析模型1)数据通过外部网络泄漏。数据流转到终端域以后，互联网泄漏是主要途径之一，操作方式主要有邮件、Web应用等，数据可能会发送给外部监管部门、第三方合作伙伴、个人邮箱等，需要重点管控，根据不同的数据敏感级别，采取不同的管控行为和措施，降低互联网泄漏风险。2)数据通过终端泄漏。数据流转到终端域以后，可能通过终端的外设(U盘、刻录、打印等)、终端应用(IM等)、终端外联(WLAN、蓝牙、红外等)进行数据泄漏，需要对终端和终端的所属人进行有效管控，降低数据泄漏风险。3)数据异常存储分布。数据的违规存放是导致数据泄漏的原因之一。核心数据如果按照用户访问权限严格控制存放位置，可以使数据操作可知、可控。然而运维过程中数据的存放没有严格管理，可能会导致数据存放在不受管理或权限管控未覆盖的位置，导致数据的获取更容易、更混乱，数据安全工作存在盲点，加大泄漏风险；因此，对数据的分布做到可知和可控，可以大大降低风险。4)数据批量下载和导出。数据产生于服务器域的业务和应用系统，数据产生后，由于业务分析、开发测试等需要，需要从生产系统批量下载和导出数据，这就是数据泄漏的源头。在这个过程中存在人员权限滥用、违规操作、越权访问和下载等风险，需要通过人员权限细分、控制、审计和考核来降低核心数据操作风险。1.3数据操作环节电信运营商数据主要在开发、运维、使用三大环节上进行流转和操作，各环节涉及的人员类型、具体的工作内容以及可能的数据操作情况如表1所示。表1数据操作环节涉及人员、内容及主要操作环节人员类型工作内容数据操作开发集成商、第三方、运营商开发和测试人员、外围系统人员应用开发、测试、数据迁移、应用接口等从生产数据获取批量数据，进行适当改造后进行开发测试，仍然保留很多敏感数据运维运营商维护人员、代维厂商主机管理、数据库管理、应用管理、安全管理、存储管理、网络管理等可接触到生产系统的核心数据，如经营分析、统计处理等工作使用客服坐席、营业厅、渠道代销合作伙伴、合作营业厅、自助服务、网上服务业务办理、统计查询、市场营销等可接触到统计分析后的数据，如客户资料、市场分析数据等1.4数据泄露人员类型以电信运营商BOSS系统和经营分析系统为例，在其开发、运维、使用各环节中，各种可能的泄漏途径下相应的泄露人员分析如图3、图4所示。这些人员和角色，在各个工作环节中，都有可能接触到核心数据，都可能产生泄漏行为，最终可能通过终端边界和互联网边界进行泄漏。业务与运营Business&Operation19CPTT௺ߌຕ਍ਜ਼ࢽጨଙ೵ཚਜ਼ࢽጨଙٷਜ਼ࢽጨଙणཷਜ਼ࢽጨଙऺݯቭခຕ਍ၘڇቭڇቭခ႑တऻ୤ཥऺຕ਍ཥऺԒ՗঳໙Ԓ՗ਜ਼ޜဣཥᆐᄽ࠶૙ᆐၨ࠶૙ࢇፕअӵਸ֪݀๬ဣཥሏྼਜ਼ޜമ໼ਜ਼ޜࢫ໼ᆐᄽമ໼ᆐᄽࢫ໼ዕ܋ႅ୞ࢻ૴ྪႅ୞ਜ਼ޜፖဝਜ਼ޜዷ࠶മ໼ᆐᄽཐᆐᄽዷ࠶๨ׇᆐၨටᇵࢇፕअӵࠅິටᇵڼෙݛ׍ฆටᇵဣཥ࠶૙ᇵྪஏ࠶૙ᇵຕ਍ੰ࠶૙ᇵ٪ئ࠶૙ᇵᄽခྼࢺ࠶૙ᇵҾඇ࠶૙ᇵ图3电信运营商BOSS系统数据泄露人员类型分析ঢ়ݴ௺ߌຕ਍ਜ਼ޜဣཥXFC݀քଣ้Ԓ՗नဝֱკਸ֪݀๬ဣཥሏྼਜ਼ޜമ໼ਜ਼ޜࢫ໼ዕ܋ႅ୞ࢻ૴ྪႅ୞ਜ਼ޜፖဝਜ਼ޜዷ࠶ࠅິටᇵڼෙݛ׍ฆටᇵဣཥ࠶૙ᇵྪஏ࠶૙ᇵຕ਍ੰ࠶૙ᇵ٪ئ࠶૙ᇵᄽခྼࢺ࠶૙ᇵҾඇ࠶૙ᇵঢ়ᆐݴဆཥऺຕ਍ঢ়ᆐݴဆฉԒጺևຕ਍ঢ়ᆐݴဆዷ༶ݴဆຕ਍ٷਜ਼ࢽঢ়૙णཷਜ਼ࢽঢ়૙ঢ়ᆐݴဆ฾Ԓ՗ටᇵ๨ׇևĂଶڞٷਜ਼ࢽঢ়૙๨ׇᆐၨටᇵ图4电信运营商经分系统数据泄露人员类型分析2数据安全防护常用方法及问题分析目前，电信运营商在进行数据安全防护建设的时候通常先经过专业咨询公司，按照生命周期理论对数据的流转过程进行梳理、识别，然后根据梳理情况对数据进行分类与分级，最后进行针对性的防护方案设计，流程如图5所示。ਨ௢ऐ௢2!ຕ਍๎՚3!ຕ਍ݴप4!ຕ਍ԍࢺᄽခୁײ႑တဣཥຕ਍႑တ࿔ڗݴप࿔ڗՔ๎ჺ݀֎ခ֑ࠔට๚๨ׇၨ๳බጨ዆ሰJUႜአččččຕ਍ੰ࿔ॲޜခഗӸࠅۉసᅎۯยԢׂ೗཮ኽׯԨॏ߭ਜ਼ࢽ൧Ԓ֎ခຕ਍ຕ਍ݴपՔጚຕ਍ݴपԍࢺ࿔ڗप՚࿔ڗૌ႙๑ᆩݔྷሜ༹ႚ๕Ԩ࿔ڗྺࠅິऐ௢࿔ڗLj࿄ঢ়ກ௬Ⴙ੗Ljփڥᅜඪࢆႚ๕ၠڼෙݛཪ୞ăࠅິԍାܔฉຎႜྺ৊ႜጕ৯ڦ඄૧ăాև࠲॰ᄽခĂဣཥᇑຕ਍๎՚࿔ڗݴૌݴपᇑ࿔ڗՔ๎ຕ਍٪ئĂୁገᇑ๑ᆩԍࢺ݀၄߰૗෸أᅎۯ඄၌੦዆े௢॔੦ݞݔे௢ยԢ੦዆े௢ݞኹް዆ĂቕཌྷĂٶᆇĂপೡĂཚࡗᆰॲدڿຕ਍٪ئຕ਍ୁገຕ਍๑ᆩ௢ሃ࠶૙Ăጲۯे௢॔๫ĂཚኪĂݞݔํแĂอऺĂၚᆌ图5电信运营商传统数据防护流程实践证明这种方法存在很大的难度，虽然在资源和人力上投入很多，依然不能阻止泄露事件的发生。难点1：安全管理部门职责所限，落实力度不够；业务部门被动配合安全工作，主动安全意识不强。双方信息不对称使得数据安全工作很难落地。难点2：数据过于庞大，系统过于复杂，识别阶段步履艰难。电信运营商企业数据分散，内部任意流转，分类分级管控不严；同时，数据出口太多，各部门有各自的管道访问数据，也有各自的方式与外部交流，最终导致数据通过多种方式无控制流出。因此，建立一个有效的核心数据防泄漏体系，必须充分调动企业所有部门的力量，全面封堵数据泄露风险，信息安全责任落实到“人”，信息安全指南落实到“步骤”，信息安全度量落实到“指标”，才能实现数据安全管理工作的真正落地。3数据防泄漏体系模型3.1总体框架根据上述分析，数据安全工作最重要的就是安全职责分工的明确和安全责任落实到每个人，因此，数据安全防护工作应以“数据安全责任矩阵”为核心，落实每个系统和每条数据的安全责任人，落实每个系统和每条数据的所有控制点、控制措施和流程，并以此为核心落实配套的安全岗位和职责、安全策略制度、安全流程、安全检查审计体系以及安全技术防护措施。总体框架模型如图6所示。Ҿඇ࠶૙֫௬֧୼዆܈࠶૙ୁײॠֱอऺҾඇ࠶૙ሴඪਈንࢃ႐ຕ਍ڦҾඇҾඇरຍ֫௬ਸ݀࣍বሏྼ࣍বሏႜ๑ᆩ࣍বᆩࢽ࠶૙ิׂຕ਍एإॐࠓဣཥ5Bᆌᆩ5Bቭࡽ඄၌֡ፕणዐอऺ௺ߌຕ਍ۨᅭ௺ߌຕ਍ڦݴք௺ߌຕ਍ڦ֡ፕࢅت૙ୁײྪஏዷऐຕ਍ੰዕ܋ᆌᆩ图6电信运营商数据防泄漏体系模型通过“一个矩阵+技管结合”，可针对前文分析的数据泄露成因，完全覆盖数据操作的各个环节、人员类业务与运营Business&Operation20型以及泄露途径，有效保障核心数据的安全，详见下文分析。3.2数据安全责任矩阵数据安全责任矩阵包括1个总矩阵，填写所有含核心数据的业务系统、核心数据类型及第一责任人；每个业务系统3个分解矩阵，覆盖系统的开发环节、运行环节和维护环节，如图7所示。ຕ਍Ҿඇሴඪጺਈንᄽခဣཥ2ڼᅃሴඪටᄽခဣཥoڼᅃሴඪටččਸ݀࣍বሴඪݴਈንሏႜ࣍বሴඪݴਈንྼࢺ࣍বሴඪݴਈን图7数据安全责任矩阵结构示意各分矩阵的纵向设计以“系统生命周期”(规划、需求分析、设计开发、测试、上线、运行、维护和下线)和“数据生命周期”(生成、存储、使用、传输、归档、销毁)为依据。1)业务开发环节：按系统生命周期确保全面性，重点关注设计开发、测试、开发测试环境、上线及变更、第三方人员(设计、开发及测试人员)等。2)业务运行环节：按数据使用的生命周期确保全面性，重点关注数据收集(采集/上传/导入)、存放、发布/外发、一般性操作使用、批量下载与导出、第三方人员(合作伙伴)等。3)业务维护环节：以IT系统通用架构层次确保全面性，重点关注应用、服务器、数据库、网络、终端、数据及文档、第三方人员(代维人员)。各分矩阵的横向设计以“数据的责任”为出发点，落实相关的控制点以及具体的责任人，主要包括以下几点。1)管理责任：描述管理上的要求，推动相关管控要求的建立。2)执行责任：描述执行流程和管控要求，并建立落实管控要求的技术手段。3)检查责任：描述监督检查要求，推动检查的制度和流程的建立以及相关支撑检查技术手段的建设。3.3管理体系在管理层面，以责任矩阵为指导，重点关注策略制度、管理流程和检查审计，将制度中的控制点信息落实到具体的安全岗，在责任落实的推进中发现安全组织结构潜在的问题，进一步优化信息安全组织结构。体系架构如图8所示。࠶૙ሴඪኴႜሴඪॠֱሴඪ֧୼዆܈࠶૙ୁײॠֱอऺਸ݀࣍বሏႜ࣍বྼࢺ࣍বยऺਸ݀त֪๬ຕ਍Ҿඇ࠶૙዆܈ဣཥฉ၍Ҿඇೠࠚࡀݔत֡ፕᄲ൱ࢃ႐ຕ਍֡ፕ๑ᆩҾඇ࠶૙ࡀۨຕ਍ੰ௺ߌ֡ፕ֡ፕҾඇ࠶૙ࡀۨएإยแҾඇए၍࠶૙ࡀݔࢃ႐ຕ਍ԢݻतࡃڗҾඇ࠶૙዆܈ဣཥҾඇሏྼ࠶૙