（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

從信息安全中挖掘服務(wù)和業(yè)務(wù)價(jià)值

肖子玉，孫萍

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

從兩部委對(duì)信息安全監(jiān)控提出的新需求入手，分析并提出了信息安全發(fā)展的兩個(gè)趨勢(shì)——個(gè)性化和全面有效覆蓋。面對(duì)新需求通過(guò)兩個(gè)建設(shè)方案實(shí)例分析，提出如何從信息安全中挖掘服務(wù)和業(yè)務(wù)價(jià)值。最后總結(jié)了創(chuàng)造信息安全服務(wù)價(jià)值面臨的挑戰(zhàn)，并提出信息安全服務(wù)架構(gòu)的思路。

信息安全；服務(wù)和業(yè)務(wù)價(jià)值；垃圾短信；手機(jī)惡意軟件

肖子玉 教授級(jí)高級(jí)工程師，中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司高級(jí)一級(jí)咨詢(xún)?cè)O(shè)計(jì)師，主要從事移動(dòng)通信核心網(wǎng)、IMS、信息安全監(jiān)控等領(lǐng)域研究及網(wǎng)絡(luò)規(guī)劃咨詢(xún)等工作。

1 信息安全系統(tǒng)概述

1.1 信息安全系統(tǒng)總體架構(gòu)

各電信運(yùn)營(yíng)商均已開(kāi)展了大規(guī)模的信息安全系統(tǒng)建設(shè)。以中國(guó)移動(dòng)為例，其于2012年提出信息安全集中管控的思路，并啟動(dòng)平臺(tái)建設(shè)。該系統(tǒng)將垃圾短彩信、騷擾電話(huà)、虛假主叫、手機(jī)惡意軟件、不良信息監(jiān)控納入信息安全集中管控平臺(tái)進(jìn)行統(tǒng)一運(yùn)營(yíng)、統(tǒng)一功能、統(tǒng)一策略和統(tǒng)一仲裁的管理。整個(gè)系統(tǒng)采用二級(jí)架構(gòu)，由業(yè)務(wù)網(wǎng)元從網(wǎng)絡(luò)側(cè)進(jìn)行數(shù)據(jù)采集，依據(jù)集中管控平臺(tái)下發(fā)的運(yùn)營(yíng)策略進(jìn)行監(jiān)控和數(shù)據(jù)挖掘，將產(chǎn)生的疑似數(shù)據(jù)和監(jiān)控?cái)?shù)據(jù)上報(bào)集中管控平臺(tái)進(jìn)行分析、仲裁和處理。圖1為信息安全集中管控總體架構(gòu)圖。

為實(shí)現(xiàn)垃圾短信、騷擾電話(huà)、虛假主叫及手機(jī)惡意軟件監(jiān)控治理的全國(guó)集中運(yùn)營(yíng)，信息安全集中管控一期工程已完成相關(guān)系統(tǒng)的部署。由于監(jiān)控方案涉及海量數(shù)據(jù)的采集、實(shí)時(shí)數(shù)據(jù)處理、海量數(shù)據(jù)挖掘和疑似數(shù)據(jù)的仲裁處理，處理需求大，對(duì)系統(tǒng)性能要求高，高性能對(duì)應(yīng)系統(tǒng)較大的投資。以垃圾短信集中管控為例，垃圾短信集中管控中央平臺(tái)實(shí)現(xiàn)垃圾短信集中策略管理、集中仲裁和啟動(dòng)監(jiān)控處理流程，中央平臺(tái)處理能力需達(dá)到萬(wàn)條/秒的級(jí)別，各省監(jiān)控系統(tǒng)已達(dá)到約為百萬(wàn)條/秒的處理能力。面對(duì)信息安全項(xiàng)目的巨大投入，如何從信息安全監(jiān)控中實(shí)現(xiàn)業(yè)務(wù)價(jià)值是一個(gè)值得思考的問(wèn)題。

圖1 信息安全集中管控總體架構(gòu)圖

1.2 面對(duì)信息安全新需求是否應(yīng)重新定位

1．2．1 需求1

2012年12月28日第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)的“全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定”中第七和第八條提出：

“七、任何組織和個(gè)人未經(jīng)電子信息接收者同意或者請(qǐng)求，或者電子信息接收者明確表示拒絕的，不得向其固定電話(huà)、移動(dòng)電話(huà)或者個(gè)人電子郵箱發(fā)送商業(yè)性電子信息。

八、公民發(fā)現(xiàn)泄露個(gè)人身份、散布個(gè)人隱私等侵害其合法權(quán)益的網(wǎng)絡(luò)信息，或者受到商業(yè)性電子信息侵?jǐn)_的，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止?！?/p>

以上兩條涉及到“電子信息接收者”的意愿，同時(shí)涉及到“網(wǎng)絡(luò)服務(wù)提供者”的制止義務(wù)。這是針對(duì)個(gè)人用戶(hù)意愿，網(wǎng)絡(luò)提供商進(jìn)行個(gè)性化信息過(guò)濾的需求。原有垃圾短信監(jiān)控系統(tǒng)無(wú)此功能，如支持針對(duì)個(gè)人用戶(hù)的受限名單過(guò)濾，則面臨系統(tǒng)性能下降和更大的建設(shè)成本投入。

思考：網(wǎng)絡(luò)側(cè)的監(jiān)控系統(tǒng)是否要面向大眾滿(mǎn)足個(gè)性化定制業(yè)務(wù)需求？智能手機(jī)的黑名名單過(guò)濾功能可以有效解決此問(wèn)題，短信增值業(yè)務(wù)系統(tǒng)也可以把這個(gè)需求做一項(xiàng)增值業(yè)務(wù)推向用戶(hù)，且是可增值的。網(wǎng)絡(luò)側(cè)監(jiān)控系統(tǒng)該如何定位？同時(shí)我們也看到網(wǎng)絡(luò)信息安全已開(kāi)始逐步向面向個(gè)人的個(gè)性化信息安全發(fā)展和轉(zhuǎn)變。

1．2．2 需求2

國(guó)資委、工信部?jī)刹课墓ば疟：?013）467號(hào)文要求“移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)平臺(tái)應(yīng)覆蓋全部移動(dòng)互聯(lián)網(wǎng)網(wǎng)內(nèi)出口帶寬?！?工信廳保[2012]247號(hào)中要求“按照《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)和處置機(jī)制》（工信部保[2011] 545號(hào)）等文件和相關(guān)標(biāo)準(zhǔn)的要求，建設(shè)公共互聯(lián)網(wǎng)環(huán)境治理技術(shù)手段”并且“能有效覆蓋省公司”?！兑苿?dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)和處置機(jī)制》（工信部保[2011]545號(hào)）第六條“移動(dòng)通信運(yùn)營(yíng)企業(yè)應(yīng)不斷提高移動(dòng)互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測(cè)處置能力，建設(shè)完善相關(guān)技術(shù)平臺(tái)。移動(dòng)通信運(yùn)營(yíng)企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測(cè)處置能力”。工信部聯(lián)保(2012)551號(hào)文《關(guān)于開(kāi)展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見(jiàn)》和全國(guó)人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》要求對(duì)運(yùn)營(yíng)商各省公司開(kāi)展信息安全治理的考核工作，并下發(fā)考核要求和標(biāo)準(zhǔn)。

從以上新信息安全新需求可以看出，中國(guó)移動(dòng)信息安全集中管控平臺(tái)手機(jī)惡意軟件監(jiān)控子系統(tǒng)一期工程進(jìn)行的幾個(gè)大省用戶(hù)上網(wǎng)日志采集分析，抽樣GPRS鏈路實(shí)時(shí)流量樣本監(jiān)控的方案，該方案制定時(shí)覆蓋中毒用戶(hù)占比約為已發(fā)現(xiàn)全網(wǎng)中毒用戶(hù)總量的40%。但按兩部委最新要求，該覆蓋范圍已遠(yuǎn)遠(yuǎn)無(wú)法滿(mǎn)足要求，需擴(kuò)大省端監(jiān)測(cè)系統(tǒng)的建設(shè)范圍，以實(shí)現(xiàn)全國(guó)31省覆蓋，并對(duì)中央節(jié)點(diǎn)進(jìn)行相應(yīng)的擴(kuò)容。這又將面臨近億元的投資。

思考：信息安全的需求已從重點(diǎn)打擊向全面覆蓋延伸，這必將盡致大量建設(shè)資金的投入。中國(guó)移動(dòng)在彰顯社會(huì)責(zé)任，凈化移動(dòng)互聯(lián)網(wǎng)的同時(shí)，是否應(yīng)從挖掘其服務(wù)和業(yè)務(wù)價(jià)值入手，發(fā)掘信息安全系統(tǒng)的業(yè)務(wù)潛力，創(chuàng)造其服務(wù)和業(yè)務(wù)價(jià)值。

2 挖掘服務(wù)和業(yè)務(wù)價(jià)值實(shí)例分析

2.1 挖掘服務(wù)和業(yè)務(wù)價(jià)值實(shí)例1：滿(mǎn)足需求1，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)短信投訴處理及監(jiān)控

2．1．1 垃圾短信監(jiān)控系統(tǒng)實(shí)現(xiàn)方案

圖2 投訴用戶(hù)點(diǎn)對(duì)點(diǎn)監(jiān)控系統(tǒng)架構(gòu)示意圖

從需求1不難看出，為滿(mǎn)足上述需求1，省垃圾短信監(jiān)控系統(tǒng)需求增加用戶(hù)的個(gè)性受限名單的管理和監(jiān)控功能。如圖2所示，用戶(hù)的受限下發(fā)名單是個(gè)人用戶(hù)定制的要求，因該名單來(lái)源于用戶(hù)投訴，因此該受限名單的管理和下發(fā)由客服平臺(tái)完成，通過(guò)各省CRM定期同步到省監(jiān)控系統(tǒng)。而用戶(hù)定制的受限號(hào)碼可能為本省號(hào)碼、外省號(hào)碼和外網(wǎng)號(hào)碼。因此受限名單的形成和管理還需要跨省的流轉(zhuǎn)，受限名單的設(shè)置也不局限于用戶(hù)歸屬省發(fā)端實(shí)時(shí)垃圾短信監(jiān)控系統(tǒng)，還涉及受限名單用戶(hù)所在的省端垃圾短信監(jiān)控系統(tǒng)。該需求涉及全網(wǎng)31省垃圾短監(jiān)控系統(tǒng)的改造、省CRM及一級(jí)客服系統(tǒng)的配合改造，僅垃圾短信監(jiān)控系統(tǒng)的改造就已發(fā)生建設(shè)投資達(dá)幾千萬(wàn)元人民幣。

從上述方案描述不難看出，該方案不僅實(shí)現(xiàn)較為復(fù)雜，投資較大。

同時(shí)，對(duì)用戶(hù)需求的分析可以看出，當(dāng)用戶(hù)了解到運(yùn)營(yíng)商應(yīng)對(duì)其短信接收進(jìn)行限制，也可能面臨用戶(hù)激增，系統(tǒng)超負(fù)荷的風(fēng)險(xiǎn)。目前該方案的系統(tǒng)處理能力預(yù)測(cè)來(lái)自于近年來(lái)垃圾短信的投訴量，以2011和2012年垃圾短信月投訴量峰值為依據(jù)核定的。由于投訴量較小，因此各省監(jiān)控系統(tǒng)配置容量配按廠家可以支持的最大容量進(jìn)行配置，約可滿(mǎn)足400～500萬(wàn)/省用戶(hù)的需求。而該功能的配置對(duì)各廠家系統(tǒng)均導(dǎo)致全系統(tǒng)性能下降10%～15%。各廠家需要通過(guò)優(yōu)化或增配硬件滿(mǎn)足需求。如產(chǎn)生用戶(hù)激增，則對(duì)于部分大省該容量遠(yuǎn)不能滿(mǎn)足需求。

2．1．2 發(fā)掘服務(wù)和業(yè)務(wù)潛力，業(yè)務(wù)提供與信息安全監(jiān)控相結(jié)合

中國(guó)移動(dòng)短信增值業(yè)務(wù)平臺(tái)（Data Center for SMS）于2007年開(kāi)始部署，目前已展開(kāi)三期工程的建設(shè)，業(yè)務(wù)提供覆蓋全網(wǎng)。DCS業(yè)務(wù)平臺(tái)提供主叫短信回執(zhí)、短信簽名檔、被叫短信回執(zhí)、短信轉(zhuǎn)移、短信過(guò)濾、短信倉(cāng)庫(kù)等6類(lèi)增值業(yè)務(wù)。其中短信過(guò)濾業(yè)務(wù)為用戶(hù)提供了基于用戶(hù)個(gè)人意愿，將特定手機(jī)號(hào)碼或SP代碼設(shè)置到黑名單對(duì)用戶(hù)短信進(jìn)行過(guò)濾的功能。該功能與上述需求1中所述信息安全要求有很高的相似度，僅當(dāng)用戶(hù)投訴外網(wǎng)號(hào)碼時(shí)，DCS系統(tǒng)暫不支持對(duì)外網(wǎng)號(hào)碼設(shè)置黑名單的功能。

DCS系統(tǒng)僅需在現(xiàn)有用戶(hù)簽約字段中增加外網(wǎng)號(hào)碼的設(shè)置要求，并在BOSS系統(tǒng)進(jìn)行業(yè)務(wù)開(kāi)通時(shí)支持對(duì)外網(wǎng)號(hào)碼的設(shè)置，即可在現(xiàn)有業(yè)務(wù)流程下完成按用戶(hù)意愿進(jìn)行個(gè)性化短信過(guò)濾和限制的功能。該方案不僅能有效滿(mǎn)足信息安全監(jiān)控的個(gè)性化需求，且通過(guò)該需求的優(yōu)化，同時(shí)優(yōu)化了DCS短信過(guò)濾業(yè)務(wù)的業(yè)務(wù)屬性。據(jù)統(tǒng)計(jì)，垃圾短信跨網(wǎng)發(fā)送量占到垃圾短信總量的50%。該屬性的優(yōu)化能有效提供該業(yè)務(wù)對(duì)用戶(hù)的吸引力，實(shí)現(xiàn)雙贏。

2.2 挖掘服務(wù)和業(yè)務(wù)價(jià)值實(shí)例2：手機(jī)惡意軟件監(jiān)控

2．2．1 手機(jī)惡意軟件監(jiān)控實(shí)現(xiàn)方案

如圖3所示，手機(jī)惡意軟件監(jiān)控由3大功能組成。

首先是信息采集，即從GPRS網(wǎng)絡(luò)側(cè)收集疑似傳播惡意軟件的傳播源IP地址/URL、疑似惡意軟件文件樣本、受害用戶(hù)信息及其行為特征。

第二步，是研判分析，即由專(zhuān)業(yè)運(yùn)營(yíng)團(tuán)隊(duì)利用集中設(shè)置的監(jiān)測(cè)系統(tǒng)及工具，對(duì)上報(bào)的疑似行為日志進(jìn)行分析并上網(wǎng)爬取和收集，或直接獲取上報(bào)疑似文件樣本，對(duì)樣本信息進(jìn)行惡意軟件的認(rèn)定，發(fā)現(xiàn)新型惡意軟件，發(fā)布惡意軟件特征庫(kù)和查殺引擎；同時(shí)分析惡意軟件發(fā)展趨勢(shì)，為管理部門(mén)制定管理辦法提供統(tǒng)計(jì)分析數(shù)據(jù)。

第三步為封堵和治理環(huán)節(jié)，即對(duì)已發(fā)現(xiàn)的惡意軟件傳播網(wǎng)絡(luò)地址和主要途徑進(jìn)行攔截。

該方案可以提供有效的技術(shù)手段完成對(duì)移動(dòng)互聯(lián)網(wǎng)傳播的手機(jī)惡意軟件進(jìn)行監(jiān)控和治理。目前僅部署范圍尚不滿(mǎn)足兩部委實(shí)現(xiàn)31省有效監(jiān)測(cè)和惡意軟件傳播事件發(fā)現(xiàn)的要求。

圖3 手機(jī)惡意軟件監(jiān)控實(shí)現(xiàn)方案架構(gòu)圖

為實(shí)現(xiàn)各省有效覆蓋和監(jiān)控的需求，可以擴(kuò)展一期工程三省市到全網(wǎng)31省市，即各省部署惡意軟件匯聚代理SCA設(shè)備進(jìn)日志采集和分析，部署文件樣本采集檢測(cè)代理DA設(shè)備，對(duì)各省進(jìn)行文件樣本的實(shí)時(shí)檢測(cè)。由于全網(wǎng)PS域流量巨大，一期工程采用日志全量采集分析+文件樣本抽樣采集方式部署。本期工程如按一期方案部署，全網(wǎng)還需投資近億元。

2．2．2 挖掘用戶(hù)異常行為，發(fā)現(xiàn)服務(wù)價(jià)值

為有效降低系統(tǒng)投資，同時(shí)保證各省監(jiān)控的有效性，對(duì)日志和文件樣本檢測(cè)方式進(jìn)行了對(duì)比分析，如表1所示。經(jīng)分析確定本期工程建設(shè)策略：監(jiān)控全網(wǎng)網(wǎng)絡(luò)日志，按省或時(shí)間段進(jìn)行抽樣提取分析，以此作為手機(jī)惡意軟件監(jiān)控的主要技術(shù)手段。該建設(shè)策略有效降低建設(shè)成本，同時(shí)滿(mǎn)足兩部委要求。

從以上方案論證可以看出，通過(guò)海量用戶(hù)上網(wǎng)日志的挖掘和分析，不僅可以發(fā)現(xiàn)含有惡意軟件的URL/IP地址，還可以通過(guò)用戶(hù)特定的行為特征發(fā)現(xiàn)中毒用戶(hù)，并記錄中毒用戶(hù)信息，后續(xù)結(jié)合業(yè)務(wù)發(fā)展需求，為用戶(hù)提供告知和病毒查殺服務(wù)。

2.3 需求分析及應(yīng)對(duì)措施

通過(guò)上述信息安全需求和建設(shè)方案實(shí)例的分析，不難得出如下結(jié)論。

2．3．1 信息安全需求的兩個(gè)趨勢(shì)

從信息安全監(jiān)控的需求看，信息安全正在從面向網(wǎng)絡(luò)大眾用戶(hù)的統(tǒng)一服務(wù)向個(gè)人定制的個(gè)性化服務(wù)演進(jìn)；信息安全監(jiān)管要求正在向全網(wǎng)部署有效監(jiān)控和覆蓋的技術(shù)手段要求邁進(jìn)。

這兩項(xiàng)需求如果依然僅從信息安全網(wǎng)絡(luò)側(cè)監(jiān)控部署，實(shí)現(xiàn)安全監(jiān)控的功能，則必將需要配置大容量高性能的信息安全監(jiān)控設(shè)備，產(chǎn)生大量的建設(shè)資金的投入。

表1 日志分析與文件樣本采集方案對(duì)比表

2．3．2 面對(duì)信息安全需求，從服務(wù)入手創(chuàng)造信息安全系統(tǒng)的價(jià)值

面對(duì)信息安全面向個(gè)人個(gè)性化的需求，結(jié)合各部門(mén)業(yè)務(wù)發(fā)展規(guī)劃，以業(yè)務(wù)和服務(wù)的形式面向個(gè)人用戶(hù)提供增值的個(gè)性化信息安全類(lèi)服務(wù)，為提升和優(yōu)化業(yè)務(wù)特征，為用戶(hù)提供信息安全增值服務(wù)。

面對(duì)信息安全全面有效覆蓋的要求，評(píng)估多種技術(shù)手段，分析用戶(hù)行為特征，從用戶(hù)行為中發(fā)現(xiàn)服務(wù)價(jià)值，實(shí)現(xiàn)服務(wù)用戶(hù)的目標(biāo)。

3 面向未來(lái)：發(fā)揮技術(shù)優(yōu)勢(shì)，創(chuàng)造信息安全領(lǐng)域的服務(wù)價(jià)值

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展、智能終端普及率攀升，以及新技術(shù)如LTE的引入等，不僅電信監(jiān)管部門(mén)對(duì)運(yùn)營(yíng)商信息安全監(jiān)控提出了越來(lái)越高的要求，用戶(hù)也越來(lái)越多地直接面對(duì)信息安全產(chǎn)生的問(wèn)題。因此面向未來(lái)，發(fā)揮技術(shù)優(yōu)勢(shì)，創(chuàng)造信息安全領(lǐng)域的服務(wù)價(jià)值也就成為了未來(lái)信息安全領(lǐng)域的一個(gè)重要方向。

圖4 信息安全服務(wù)的架構(gòu)

對(duì)運(yùn)營(yíng)商而言，信息安全系統(tǒng)自成體系，如何將信息安全納入業(yè)務(wù)和服務(wù)的統(tǒng)一規(guī)劃和管理以實(shí)現(xiàn)服務(wù)價(jià)值，還面臨著諸多挑戰(zhàn)。市場(chǎng)策略的規(guī)劃、業(yè)務(wù)、支撐和信息安全系統(tǒng)技術(shù)架構(gòu)合理整合和聯(lián)動(dòng)，跨部門(mén)的職責(zé)劃分和有效協(xié)調(diào)均是信息安全服務(wù)提供的必備條件。圖4為信息安全服務(wù)的架構(gòu)的思路之一，可供參考。

[1] 中國(guó)移動(dòng)投訴客戶(hù)點(diǎn)對(duì)點(diǎn)短信屏蔽系統(tǒng)技術(shù)規(guī)范[S]．

[2] 中國(guó)移動(dòng)手機(jī)惡意軟件監(jiān)測(cè)系統(tǒng)總體技術(shù)要求[S]．

Mining services and value from information security systems

XIAO Zi-yu, SUN Ping
(China Mobile Group Design Institute Co., Ltd., Beijing 100080, China)

According to the new demands of MII about information security monitoring, this article analyzes and presents two trends of information security development - personalized and comprehensive coverage. Faced with the new demand, this paper analyzes two scenarios instance, raised the main subject: how to dig services and business value from the information security system. Finally, the article summarizes the challenges facing the creation of the value from information security systems, and proposed the idea of information security services architecture.

information security; service value; spam messages; mobile phone malware

TN915

A

1008-5599（2014）10-0001-05

2014-06-30