【摘要】本文對(duì)于電信運(yùn)營商客戶信息安全現(xiàn)狀、體系、建設(shè)流程進(jìn)行了描述，從整體上初步論述了客戶信息安全建設(shè)方案。

【關(guān)鍵詞】通信運(yùn)營企業(yè)客戶信息安全安全域SOC

一、電信運(yùn)營商客戶信息安全現(xiàn)狀

目前電信運(yùn)營商對(duì)信息系統(tǒng)依賴性日益增強(qiáng)，而掃描探測(cè)、DDOS等攻擊數(shù)量急劇上升，漏洞利用的速度縮小到了天。但是作為電信運(yùn)營商，由于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，導(dǎo)致系統(tǒng)管理維護(hù)困難。一般會(huì)有網(wǎng)管網(wǎng)、計(jì)費(fèi)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)接口、新業(yè)務(wù)、地市公司等多張網(wǎng)，安全防護(hù)困難。

同時(shí)在運(yùn)營商中也發(fā)生過一些客戶信息泄密的案例，“3.15”晚會(huì)也曝光過一些。電信運(yùn)營商的客戶資料、充值卡、財(cái)務(wù)報(bào)表、發(fā)展計(jì)劃等商業(yè)機(jī)密的實(shí)際價(jià)值遠(yuǎn)遠(yuǎn)超過了固定的有形資產(chǎn)。

因此電信運(yùn)營商如何保證客戶信息安全，成為了重要課題。

二、客戶信息安全體系

客戶信息生命周期包括了信息的產(chǎn)生、傳輸、存儲(chǔ)、處理、銷毀，因此我們?cè)谠O(shè)計(jì)安全體系時(shí)，要按照“堅(jiān)持積極防御、綜合防范的方針”，將安全組織、策略和運(yùn)作流程等管理手段和安全技術(shù)緊密結(jié)合。

下面參考信息安全保障體系框架IATF和BS7799，以項(xiàng)目中的實(shí)踐來分別說明：

人是信息體系的主體，包括管理者、維護(hù)人員、使用者、第三方。電信運(yùn)營商應(yīng)該建立安全領(lǐng)導(dǎo)小組，專門的安全管理員、安全顧問、安全審計(jì)員。

制定信息安全責(zé)任矩陣，組織范圍內(nèi)的信息安全落實(shí)到人，尤其外包的安全，第三方必須簽定保密協(xié)議。離職或調(diào)動(dòng)時(shí)，必須清理信息系統(tǒng)賬號(hào)，避免用戶權(quán)限只有增加沒有減少。

資產(chǎn)進(jìn)行分類與控制，梳理客戶信息相關(guān)的資產(chǎn)，標(biāo)明重要性等級(jí)以及制定相應(yīng)管理辦法。如客戶資料、充值卡等就是重要信息，必須重點(diǎn)防護(hù)。

制定完善的維護(hù)作業(yè)計(jì)劃，對(duì)設(shè)備性能、安全狀況進(jìn)行監(jiān)控，分清日、月、年不同層次的維護(hù)內(nèi)容，包括電源、主機(jī)、中間件、數(shù)據(jù)庫、應(yīng)用、安全事件、備份、調(diào)優(yōu)等。

定期進(jìn)行安全評(píng)估和加固，減少系統(tǒng)風(fēng)險(xiǎn)，可以找專業(yè)的安全廠商進(jìn)行滲透測(cè)試。設(shè)定各系統(tǒng)的安全基線，保證系統(tǒng)必須達(dá)到的最基本的安全配置要求。如果某臺(tái)服務(wù)器上突然多了一個(gè)來歷不明的進(jìn)程，就有必要檢查是否有安全風(fēng)險(xiǎn)。

業(yè)務(wù)過程中可以通過金庫模式等加強(qiáng)業(yè)務(wù)過程中的安全管控，即關(guān)鍵業(yè)務(wù)需第二個(gè)人授權(quán)之后才能夠操作，通過多人的相互監(jiān)督進(jìn)行制約，如批量查詢客戶資料、詳單時(shí)。同時(shí)定期進(jìn)行日志稽核，進(jìn)行事后的控制。所有的業(yè)務(wù)操作有相應(yīng)的工單、審批單、業(yè)務(wù)受理單，如果沒有這樣的工單，則可以認(rèn)為操作是不合規(guī)的。

在信息系統(tǒng)生命周期過程中，要全面審查信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理是否符合組織安全政策和標(biāo)準(zhǔn)。系統(tǒng)開發(fā)和建設(shè)過程中，就要明確系統(tǒng)的安全要求，確保安全機(jī)制被內(nèi)建于信息系統(tǒng)內(nèi)；控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中存在的后門、孤立網(wǎng)頁造成用戶數(shù)據(jù)的丟失、被修改或誤用。上線前及早進(jìn)行安全評(píng)估和掃描，提前發(fā)現(xiàn)漏洞。注意不要隨便使用真實(shí)敏感數(shù)據(jù)，測(cè)試數(shù)據(jù)的清理、保護(hù)。

三、客戶信息安全工程建設(shè)過程

客戶信息安全建設(shè)過程中應(yīng)注意業(yè)務(wù)可用與安全性平衡原則，采用統(tǒng)籌規(guī)劃、分步實(shí)施的方法。

作為一個(gè)電信運(yùn)營商，信息安全建設(shè)的短期目標(biāo)是具有基本的信息安全管理組織機(jī)構(gòu)和流程，主要的安全策略和基本的技術(shù)體系，基礎(chǔ)的安全管理平臺(tái)，客戶資料、信息資產(chǎn)的梳理。主要進(jìn)行安全域、網(wǎng)絡(luò)安全加固，主機(jī)安全、終端安全，訪問控制，防病毒等技術(shù)手段的建設(shè)。

而中長期目標(biāo)，作好信息安全管理組織體系、策略體系、技術(shù)體系的運(yùn)行工作，建立基于ITIL的運(yùn)維流程，逐步梳理信息安全基線，建設(shè)4A、SOC中心，數(shù)據(jù)加密、容災(zāi)，以全方位落實(shí)、廣度發(fā)展為主要思路。