曲大林 張 尼 劉明輝 宮 雪

中國聯(lián)通研究院 北京 100032

前言

電信運營商詳細(xì)記錄了人在現(xiàn)代社會的信息指紋，極大地促進了電信運營商加快對數(shù)據(jù)價值的挖掘與應(yīng)用[1]，但是與此同時也應(yīng)該清醒地認(rèn)識到大數(shù)據(jù)信息同樣帶來了巨大的安全風(fēng)險，亟需加強對數(shù)據(jù)的監(jiān)管和防護。

首先，電信運營商掌握的數(shù)據(jù)價值越來越高，已經(jīng)成為黑客、不法人員的重點攻擊對象和盈利手段，而企業(yè)由于核心數(shù)據(jù)泄漏帶來的品牌、經(jīng)濟等方面的損失也越來越大；并且隨著電信運營商IT系統(tǒng)及數(shù)據(jù)的逐步集中，數(shù)據(jù)安全風(fēng)險一點點聚焦并迅速放大，量變極易積累成質(zhì)變[2]。

其次，國資委、工信部等上級單位對電信運營商的監(jiān)管要求越來越高。《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》中對核心數(shù)據(jù)防泄漏做出了明確要求。數(shù)據(jù)安全正日益成為電信運營商企業(yè)安全管理和風(fēng)險控制的核心內(nèi)容。

近年來已經(jīng)出現(xiàn)了數(shù)起電信運營商數(shù)據(jù)信息泄漏和客戶有價信息被篡改等惡性安全事件，已嚴(yán)重威脅企業(yè)的正常運營并影響了客戶滿意度，新形勢下電信運營商面臨的數(shù)據(jù)泄密風(fēng)險極其嚴(yán)峻，不容樂觀，主要表現(xiàn)在以下幾個方面。1)數(shù)據(jù)的集中帶來泄漏風(fēng)險的集中；2)人員和數(shù)據(jù)接觸方式復(fù)雜；3)開發(fā)、測試和生產(chǎn)環(huán)境混用；4)技術(shù)防護手段相對落后。

但是數(shù)據(jù)防泄漏是一項艱巨、復(fù)雜的任務(wù)，需要進行細(xì)致、科學(xué)的研究，降低風(fēng)險、保護投資、提高防護效率；因此，需要建立一套完整的數(shù)據(jù)安全防護體系，從數(shù)據(jù)的全生命周期進行安全防泄漏保護，特別是對涉及客戶積分、話費信息等有價類信息進行深度防護，對可能造成重大損失的批量信息泄漏進行重點監(jiān)控。

1 數(shù)據(jù)泄漏場景分析

1.1 數(shù)據(jù)泄漏的成因

數(shù)據(jù)泄漏是一個逐步的過程，從信息數(shù)據(jù)生成的源頭逐漸向外擴散，通常最終由非授權(quán)用戶通過不同的邊界途徑傳播到企業(yè)無法控制的外部環(huán)境，從而造成信息泄漏，如圖1所示。

圖1 電信運營商企業(yè)數(shù)據(jù)擴散模型

按照核心數(shù)據(jù)的分布和擴散，基本有以下區(qū)域和部門。1)核心生產(chǎn)區(qū)域，是核心數(shù)據(jù)的產(chǎn)生、保存和維護的區(qū)域；2)核心研發(fā)區(qū)域，是業(yè)務(wù)系統(tǒng)的開發(fā)和測試區(qū)域，主要使用生產(chǎn)系統(tǒng)獲得的數(shù)據(jù)進行開發(fā)和測試；3)企業(yè)辦公區(qū)域，核心數(shù)據(jù)經(jīng)過分析處理，會通過辦公環(huán)境進行扭轉(zhuǎn)和發(fā)布使用；4)非企業(yè)區(qū)域，互聯(lián)網(wǎng)環(huán)境或第三方接口環(huán)境等。

核心數(shù)據(jù)從業(yè)務(wù)區(qū)域到研發(fā)區(qū)域，從業(yè)務(wù)區(qū)域到辦公區(qū)域，從辦公區(qū)域到企業(yè)外部環(huán)境，會產(chǎn)生逐級擴散的效應(yīng)。數(shù)據(jù)安全管控需要逐級控制核心數(shù)據(jù)的傳遞，達到逐級降低風(fēng)險的效果。

1.2 數(shù)據(jù)泄漏途徑

數(shù)據(jù)泄漏分析的核心思想是：核心數(shù)據(jù)->人->邊界。數(shù)據(jù)源于業(yè)務(wù)系統(tǒng)，數(shù)據(jù)的下載和傳播都是人為操作，需要通過邊界(網(wǎng)絡(luò)、終端、虛擬化等物理邊界和邏輯邊界)進行外泄，整個分析過程圍繞這個思路開展。數(shù)據(jù)泄漏途徑分析模型如圖2所示。

圖2 數(shù)據(jù)泄漏途徑分析模型

1) 數(shù)據(jù)通過外部網(wǎng)絡(luò)泄漏。數(shù)據(jù)流轉(zhuǎn)到終端域以后，互聯(lián)網(wǎng)泄漏是主要途徑之一，操作方式主要有郵件、Web應(yīng)用等，數(shù)據(jù)可能會發(fā)送給外部監(jiān)管部門、第三方合作伙伴、個人郵箱等，需要重點管控，根據(jù)不同的數(shù)據(jù)敏感級別，采取不同的管控行為和措施，降低互聯(lián)網(wǎng)泄漏風(fēng)險。

2) 數(shù)據(jù)通過終端泄漏。數(shù)據(jù)流轉(zhuǎn)到終端域以后，可能通過終端的外設(shè)(U盤、刻錄、打印等)、終端應(yīng)用(IM等)、終端外聯(lián)(WLAN、藍牙、紅外等)進行數(shù)據(jù)泄漏，需要對終端和終端的所屬人進行有效管控，降低數(shù)據(jù)泄漏風(fēng)險。

3) 數(shù)據(jù)異常存儲分布。數(shù)據(jù)的違規(guī)存放是導(dǎo)致數(shù)據(jù)泄漏的原因之一。核心數(shù)據(jù)如果按照用戶訪問權(quán)限嚴(yán)格控制存放位置，可以使數(shù)據(jù)操作可知、可控。然而運維過程中數(shù)據(jù)的存放沒有嚴(yán)格管理，可能會導(dǎo)致數(shù)據(jù)存放在不受管理或權(quán)限管控未覆蓋的位置，導(dǎo)致數(shù)據(jù)的獲取更容易、更混亂，數(shù)據(jù)安全工作存在盲點，加大泄漏風(fēng)險；因此，對數(shù)據(jù)的分布做到可知和可控，可以大大降低風(fēng)險。

4) 數(shù)據(jù)批量下載和導(dǎo)出。數(shù)據(jù)產(chǎn)生于服務(wù)器域的業(yè)務(wù)和應(yīng)用系統(tǒng)，數(shù)據(jù)產(chǎn)生后，由于業(yè)務(wù)分析、開發(fā)測試等需要，需要從生產(chǎn)系統(tǒng)批量下載和導(dǎo)出數(shù)據(jù)，這就是數(shù)據(jù)泄漏的源頭。在這個過程中存在人員權(quán)限濫用、違規(guī)操作、越權(quán)訪問和下載等風(fēng)險，需要通過人員權(quán)限細(xì)分、控制、審計和考核來降低核心數(shù)據(jù)操作風(fēng)險。

1.3 數(shù)據(jù)操作環(huán)節(jié)

電信運營商數(shù)據(jù)主要在開發(fā)、運維、使用三大環(huán)節(jié)上進行流轉(zhuǎn)和操作，各環(huán)節(jié)涉及的人員類型、具體的工作內(nèi)容以及可能的數(shù)據(jù)操作情況如表1所示。

表1 數(shù)據(jù)操作環(huán)節(jié)涉及人員、內(nèi)容及主要操作

1.4 數(shù)據(jù)泄露人員類型

以電信運營商BOSS系統(tǒng)和經(jīng)營分析系統(tǒng)為例，在其開發(fā)、運維、使用各環(huán)節(jié)中，各種可能的泄漏途徑下相應(yīng)的泄露人員分析如圖3、圖4所示。

這些人員和角色，在各個工作環(huán)節(jié)中，都有可能接觸到核心數(shù)據(jù)，都可能產(chǎn)生泄漏行為，最終可能通過終端邊界和互聯(lián)網(wǎng)邊界進行泄漏。

圖3 電信運營商BOSS系統(tǒng)數(shù)據(jù)泄露人員類型分析

圖4 電信運營商經(jīng)分系統(tǒng)數(shù)據(jù)泄露人員類型分析

2 數(shù)據(jù)安全防護常用方法及問題分析

目前，電信運營商在進行數(shù)據(jù)安全防護建設(shè)的時候通常先經(jīng)過專業(yè)咨詢公司，按照生命周期理論對數(shù)據(jù)的流轉(zhuǎn)過程進行梳理、識別，然后根據(jù)梳理情況對數(shù)據(jù)進行分類與分級，最后進行針對性的防護方案設(shè)計，流程如圖5所示。

圖5 電信運營商傳統(tǒng)數(shù)據(jù)防護流程

實踐證明這種方法存在很大的難度，雖然在資源和人力上投入很多，依然不能阻止泄露事件的發(fā)生。

難點1：安全管理部門職責(zé)所限，落實力度不夠；業(yè)務(wù)部門被動配合安全工作，主動安全意識不強。雙方信息不對稱使得數(shù)據(jù)安全工作很難落地。

難點2：數(shù)據(jù)過于龐大，系統(tǒng)過于復(fù)雜，識別階段步履艱難。電信運營商企業(yè)數(shù)據(jù)分散，內(nèi)部任意流轉(zhuǎn)，分類分級管控不嚴(yán)；同時，數(shù)據(jù)出口太多，各部門有各自的管道訪問數(shù)據(jù)，也有各自的方式與外部交流，最終導(dǎo)致數(shù)據(jù)通過多種方式無控制流出。因此，建立一個有效的核心數(shù)據(jù)防泄漏體系，必須充分調(diào)動企業(yè)所有部門的力量，全面封堵數(shù)據(jù)泄露風(fēng)險，信息安全責(zé)任落實到“人”，信息安全指南落實到“步驟”，信息安全度量落實到“指標(biāo)”，才能實現(xiàn)數(shù)據(jù)安全管理工作的真正落地。

3 數(shù)據(jù)防泄漏體系模型

3.1 總體框架

根據(jù)上述分析，數(shù)據(jù)安全工作最重要的就是安全職責(zé)分工的明確和安全責(zé)任落實到每個人，因此，數(shù)據(jù)安全防護工作應(yīng)以“數(shù)據(jù)安全責(zé)任矩陣”為核心，落實每個系統(tǒng)和每條數(shù)據(jù)的安全責(zé)任人，落實每個系統(tǒng)和每條數(shù)據(jù)的所有控制點、控制措施和流程，并以此為核心落實配套的安全崗位和職責(zé)、安全策略制度、安全流程、安全檢查審計體系以及安全技術(shù)防護措施?？傮w框架模型如圖6所示。

圖6 電信運營商數(shù)據(jù)防泄漏體系模型

通過“一個矩陣+技管結(jié)合”，可針對前文分析的數(shù)據(jù)泄露成因，完全覆蓋數(shù)據(jù)操作的各個環(huán)節(jié)、人員類型以及泄露途徑，有效保障核心數(shù)據(jù)的安全，詳見下文分析。

3.2 數(shù)據(jù)安全責(zé)任矩陣

數(shù)據(jù)安全責(zé)任矩陣包括1個總矩陣，填寫所有含核心數(shù)據(jù)的業(yè)務(wù)系統(tǒng)、核心數(shù)據(jù)類型及第一責(zé)任人；每個業(yè)務(wù)系統(tǒng)3個分解矩陣，覆蓋系統(tǒng)的開發(fā)環(huán)節(jié)、運行環(huán)節(jié)和維護環(huán)節(jié)，如圖7所示。

圖7 數(shù)據(jù)安全責(zé)任矩陣結(jié)構(gòu)示意

各分矩陣的縱向設(shè)計以“系統(tǒng)生命周期”(規(guī)劃、需求分析、設(shè)計開發(fā)、測試、上線、運行、維護和下線)和“數(shù)據(jù)生命周期”(生成、存儲、使用、傳輸、歸檔、銷毀)為依據(jù)。

1) 業(yè)務(wù)開發(fā)環(huán)節(jié)：按系統(tǒng)生命周期確保全面性，重點關(guān)注設(shè)計開發(fā)、測試、開發(fā)測試環(huán)境、上線及變更、第三方人員(設(shè)計、開發(fā)及測試人員)等。

2) 業(yè)務(wù)運行環(huán)節(jié)：按數(shù)據(jù)使用的生命周期確保全面性，重點關(guān)注數(shù)據(jù)收集(采集/上傳/導(dǎo)入)、存放、發(fā)布/外發(fā)、一般性操作使用、批量下載與導(dǎo)出、第三方人員(合作伙伴)等。

3) 業(yè)務(wù)維護環(huán)節(jié)：以IT系統(tǒng)通用架構(gòu)層次確保全面性，重點關(guān)注應(yīng)用、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)、終端、數(shù)據(jù)及文檔、第三方人員(代維人員)。

各分矩陣的橫向設(shè)計以“數(shù)據(jù)的責(zé)任”為出發(fā)點，落實相關(guān)的控制點以及具體的責(zé)任人，主要包括以下幾點。

1) 管理責(zé)任：描述管理上的要求，推動相關(guān)管控要求的建立。

2) 執(zhí)行責(zé)任：描述執(zhí)行流程和管控要求，并建立落實管控要求的技術(shù)手段。

3) 檢查責(zé)任：描述監(jiān)督檢查要求，推動檢查的制度和流程的建立以及相關(guān)支撐檢查技術(shù)手段的建設(shè)。

3.3 管理體系

在管理層面，以責(zé)任矩陣為指導(dǎo)，重點關(guān)注策略制度、管理流程和檢查審計，將制度中的控制點信息落實到具體的安全崗，在責(zé)任落實的推進中發(fā)現(xiàn)安全組織結(jié)構(gòu)潛在的問題，進一步優(yōu)化信息安全組織結(jié)構(gòu)。體系架構(gòu)如圖8所示。

圖8 數(shù)據(jù)防泄漏管理體系架構(gòu)

3.4 技術(shù)體系

技術(shù)體系主要支撐責(zé)任矩陣中各環(huán)節(jié)的執(zhí)行和檢查責(zé)任的落實[3]，體系架構(gòu)如圖9所示。

圖9 數(shù)據(jù)防泄漏技術(shù)體系架構(gòu)

4 云計算對數(shù)據(jù)防泄漏體系的影響

4.1 云計算下數(shù)據(jù)的生命周期管理

云計算環(huán)境下的數(shù)據(jù)安全，方法論沒有本質(zhì)變化，仍然要遵循數(shù)據(jù)安全生命周期管理方法，在數(shù)據(jù)流轉(zhuǎn)的每個階段，進行安全控制，實現(xiàn)數(shù)據(jù)安全生態(tài)體系。

4.2 云計算下信息承載形式變化帶來的泄漏風(fēng)險

傳統(tǒng)數(shù)據(jù)中心，業(yè)務(wù)數(shù)據(jù)大多保存在結(jié)構(gòu)化系統(tǒng)中，要獲取數(shù)據(jù)需要經(jīng)過網(wǎng)絡(luò)、主機、數(shù)據(jù)庫多層訪問控制，并通過復(fù)雜的查詢過程進行，受控程度高。

云化平臺下，信息承載和存在形式從數(shù)據(jù)庫變成了虛擬文件系統(tǒng)，存在虛擬文件系統(tǒng)被盜取和篡改的風(fēng)險，需要加強虛擬文件系統(tǒng)的訪問控制，承載變化如圖10所示。

圖10 傳統(tǒng)和云化環(huán)境下數(shù)據(jù)承載的變化

4.3 云計算環(huán)境中的數(shù)據(jù)邊界泄漏風(fēng)險與控制

虛擬化和云計算技術(shù)的采用，將改變現(xiàn)有傳統(tǒng)IT的體系架構(gòu)，從物理邊界逐步發(fā)展到邏輯邊界。主要使用的技術(shù)有存儲虛擬化、網(wǎng)絡(luò)虛擬化、服務(wù)器虛擬化、終端桌面虛擬化等；因此，需要清晰定義云計算環(huán)境下數(shù)據(jù)的邏輯邊界。常見的邏輯邊界如圖11所示。

圖11 云計算環(huán)境下的數(shù)據(jù)邏輯邊界

1) 云核心邊界：主要是服務(wù)器虛擬化的邊界，可以控制核心數(shù)據(jù)向外擴散。

2) 云桌面邊界：核心數(shù)據(jù)可通過審批流程控制擴散到云桌面環(huán)境，云桌面邊界可以控制數(shù)據(jù)向外擴散。

3) 設(shè)備端邊界：核心數(shù)據(jù)經(jīng)過處理后，經(jīng)過審批流程，可以擴散到物理設(shè)備環(huán)境，設(shè)備端的邊界可以控制數(shù)據(jù)向外擴散，如網(wǎng)絡(luò)邊界、終端邊界等。

4) 云計算環(huán)境中數(shù)據(jù)泄露途徑模型的變化。其模型如圖12所示。

圖12 云計算環(huán)境下數(shù)據(jù)泄漏途徑分析模型

5) 云計算環(huán)境中責(zé)任矩陣的調(diào)整。依據(jù)數(shù)據(jù)訪問最小授權(quán)原則，在云計算環(huán)境下，和邊界控制同等重要的是人員權(quán)限控制。梳理每個用戶團體和個人應(yīng)該被賦予的權(quán)限，而后進行權(quán)限細(xì)分和控制，目標(biāo)是實現(xiàn)數(shù)據(jù)訪問的最小授權(quán)。

5 結(jié)束語

本文充分分析了電信運營商數(shù)據(jù)泄露途徑模型、泄露人員類型，以數(shù)據(jù)生命周期為基礎(chǔ)，結(jié)合數(shù)據(jù)在電信運營商主要的流轉(zhuǎn)使用環(huán)節(jié)，提出以數(shù)據(jù)安全責(zé)任矩陣為核心、管技結(jié)合一體化的新的數(shù)據(jù)安全防護模型以及相應(yīng)的管理體系和技術(shù)體系建議，為解決電信運營商數(shù)據(jù)安全防護工作復(fù)雜、低效等問題進行了有益的探索。

數(shù)據(jù)安全責(zé)任矩陣的設(shè)計充分借鑒了“PDCA”的科學(xué)管理思想，將人員的角色分為管理者、執(zhí)行者和檢查者三類，將閉環(huán)管理思想貫徹到崗位職責(zé)中，保證了責(zé)任矩陣的全面性和可落地性。

同時，針對云計算的發(fā)展和技術(shù)特點，提出云計算環(huán)境下電信運營商數(shù)據(jù)安全的關(guān)注點，包括新的泄露風(fēng)險、數(shù)據(jù)邊界變化等；面對這些變化，電信運營商需如何完善數(shù)據(jù)安全風(fēng)險模型、如何調(diào)整數(shù)據(jù)安全責(zé)任矩陣，將是下一步研究的重點。

參考文獻

[1]童曉渝,張云勇,房秉毅,等.大數(shù)據(jù)時代電信運營商的機遇[J].信息通信技術(shù),2013,7(1):6-8

[2]華汪明,張新躍,汪飛.電信運營商敏感信息保護體系研究與設(shè)計[J].現(xiàn)代電信科技,2011(11):52-53

[3]胡坤,劉明輝,宮雪,等.電信運營商應(yīng)用數(shù)據(jù)的安全管控與隱私保護研究[J].信息通信技術(shù),2013,7(6):64-65