曲大林 張 尼 劉明輝 宮 雪

中國聯(lián)通研究院 北京 100032

前言

電信運營商詳細記錄了人在現(xiàn)代社會的信息指紋，極大地促進了電信運營商加快對數(shù)據(jù)價值的挖掘與應用[1]，但是與此同時也應該清醒地認識到大數(shù)據(jù)信息同樣帶來了巨大的安全風險，亟需加強對數(shù)據(jù)的監(jiān)管和防護。

首先，電信運營商掌握的數(shù)據(jù)價值越來越高，已經成為黑客、不法人員的重點攻擊對象和盈利手段，而企業(yè)由于核心數(shù)據(jù)泄漏帶來的品牌、經濟等方面的損失也越來越大；并且隨著電信運營商IT系統(tǒng)及數(shù)據(jù)的逐步集中，數(shù)據(jù)安全風險一點點聚焦并迅速放大，量變極易積累成質變[2]。

其次，國資委、工信部等上級單位對電信運營商的監(jiān)管要求越來越高。《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》中對核心數(shù)據(jù)防泄漏做出了明確要求。數(shù)據(jù)安全正日益成為電信運營商企業(yè)安全管理和風險控制的核心內容。

近年來已經出現(xiàn)了數(shù)起電信運營商數(shù)據(jù)信息泄漏和客戶有價信息被篡改等惡性安全事件，已嚴重威脅企業(yè)的正常運營并影響了客戶滿意度，新形勢下電信運營商面臨的數(shù)據(jù)泄密風險極其嚴峻，不容樂觀，主要表現(xiàn)在以下幾個方面。1)數(shù)據(jù)的集中帶來泄漏風險的集中；2)人員和數(shù)據(jù)接觸方式復雜；3)開發(fā)、測試和生產環(huán)境混用；4)技術防護手段相對落后。

但是數(shù)據(jù)防泄漏是一項艱巨、復雜的任務，需要進行細致、科學的研究，降低風險、保護投資、提高防護效率；因此，需要建立一套完整的數(shù)據(jù)安全防護體系，從數(shù)據(jù)的全生命周期進行安全防泄漏保護，特別是對涉及客戶積分、話費信息等有價類信息進行深度防護，對可能造成重大損失的批量信息泄漏進行重點監(jiān)控。

1 數(shù)據(jù)泄漏場景分析

1.1 數(shù)據(jù)泄漏的成因

數(shù)據(jù)泄漏是一個逐步的過程，從信息數(shù)據(jù)生成的源頭逐漸向外擴散，通常最終由非授權用戶通過不同的邊界途徑傳播到企業(yè)無法控制的外部環(huán)境，從而造成信息泄漏，如圖1所示。

圖1 電信運營商企業(yè)數(shù)據(jù)擴散模型

按照核心數(shù)據(jù)的分布和擴散，基本有以下區(qū)域和部門。1)核心生產區(qū)域，是核心數(shù)據(jù)的產生、保存和維護的區(qū)域；2)核心研發(fā)區(qū)域，是業(yè)務系統(tǒng)的開發(fā)和測試區(qū)域，主要使用生產系統(tǒng)獲得的數(shù)據(jù)進行開發(fā)和測試；3)企業(yè)辦公區(qū)域，核心數(shù)據(jù)經過分析處理，會通過辦公環(huán)境進行扭轉和發(fā)布使用；4)非企業(yè)區(qū)域，互聯(lián)網(wǎng)環(huán)境或第三方接口環(huán)境等。

核心數(shù)據(jù)從業(yè)務區(qū)域到研發(fā)區(qū)域，從業(yè)務區(qū)域到辦公區(qū)域，從辦公區(qū)域到企業(yè)外部環(huán)境，會產生逐級擴散的效應。數(shù)據(jù)安全管控需要逐級控制核心數(shù)據(jù)的傳遞，達到逐級降低風險的效果。

1.2 數(shù)據(jù)泄漏途徑

數(shù)據(jù)泄漏分析的核心思想是：核心數(shù)據(jù)->人->邊界。數(shù)據(jù)源于業(yè)務系統(tǒng)，數(shù)據(jù)的下載和傳播都是人為操作，需要通過邊界(網(wǎng)絡、終端、虛擬化等物理邊界和邏輯邊界)進行外泄，整個分析過程圍繞這個思路開展。數(shù)據(jù)泄漏途徑分析模型如圖2所示。

圖2 數(shù)據(jù)泄漏途徑分析模型

1) 數(shù)據(jù)通過外部網(wǎng)絡泄漏。數(shù)據(jù)流轉到終端域以后，互聯(lián)網(wǎng)泄漏是主要途徑之一，操作方式主要有郵件、Web應用等，數(shù)據(jù)可能會發(fā)送給外部監(jiān)管部門、第三方合作伙伴、個人郵箱等，需要重點管控，根據(jù)不同的數(shù)據(jù)敏感級別，采取不同的管控行為和措施，降低互聯(lián)網(wǎng)泄漏風險。

2) 數(shù)據(jù)通過終端泄漏。數(shù)據(jù)流轉到終端域以后，可能通過終端的外設(U盤、刻錄、打印等)、終端應用(IM等)、終端外聯(lián)(WLAN、藍牙、紅外等)進行數(shù)據(jù)泄漏，需要對終端和終端的所屬人進行有效管控，降低數(shù)據(jù)泄漏風險。

3) 數(shù)據(jù)異常存儲分布。數(shù)據(jù)的違規(guī)存放是導致數(shù)據(jù)泄漏的原因之一。核心數(shù)據(jù)如果按照用戶訪問權限嚴格控制存放位置，可以使數(shù)據(jù)操作可知、可控。然而運維過程中數(shù)據(jù)的存放沒有嚴格管理，可能會導致數(shù)據(jù)存放在不受管理或權限管控未覆蓋的位置，導致數(shù)據(jù)的獲取更容易、更混亂，數(shù)據(jù)安全工作存在盲點，加大泄漏風險；因此，對數(shù)據(jù)的分布做到可知和可控，可以大大降低風險。

4) 數(shù)據(jù)批量下載和導出。數(shù)據(jù)產生于服務器域的業(yè)務和應用系統(tǒng)，數(shù)據(jù)產生后，由于業(yè)務分析、開發(fā)測試等需要，需要從生產系統(tǒng)批量下載和導出數(shù)據(jù)，這就是數(shù)據(jù)泄漏的源頭。在這個過程中存在人員權限濫用、違規(guī)操作、越權訪問和下載等風險，需要通過人員權限細分、控制、審計和考核來降低核心數(shù)據(jù)操作風險。

1.3 數(shù)據(jù)操作環(huán)節(jié)

電信運營商數(shù)據(jù)主要在開發(fā)、運維、使用三大環(huán)節(jié)上進行流轉和操作，各環(huán)節(jié)涉及的人員類型、具體的工作內容以及可能的數(shù)據(jù)操作情況如表1所示。

表1 數(shù)據(jù)操作環(huán)節(jié)涉及人員、內容及主要操作

1.4 數(shù)據(jù)泄露人員類型

以電信運營商BOSS系統(tǒng)和經營分析系統(tǒng)為例，在其開發(fā)、運維、使用各環(huán)節(jié)中，各種可能的泄漏途徑下相應的泄露人員分析如圖3、圖4所示。

這些人員和角色，在各個工作環(huán)節(jié)中，都有可能接觸到核心數(shù)據(jù)，都可能產生泄漏行為，最終可能通過終端邊界和互聯(lián)網(wǎng)邊界進行泄漏。

圖3 電信運營商BOSS系統(tǒng)數(shù)據(jù)泄露人員類型分析

圖4 電信運營商經分系統(tǒng)數(shù)據(jù)泄露人員類型分析

2 數(shù)據(jù)安全防護常用方法及問題分析

目前，電信運營商在進行數(shù)據(jù)安全防護建設的時候通常先經過專業(yè)咨詢公司，按照生命周期理論對數(shù)據(jù)的流轉過程進行梳理、識別，然后根據(jù)梳理情況對數(shù)據(jù)進行分類與分級，最后進行針對性的防護方案設計，流程如圖5所示。

圖5 電信運營商傳統(tǒng)數(shù)據(jù)防護流程

實踐證明這種方法存在很大的難度，雖然在資源和人力上投入很多，依然不能阻止泄露事件的發(fā)生。

難點1：安全管理部門職責所限，落實力度不夠；業(yè)務部門被動配合安全工作，主動安全意識不強。雙方信息不對稱使得數(shù)據(jù)安全工作很難落地。

難點2：數(shù)據(jù)過于龐大，系統(tǒng)過于復雜，識別階段步履艱難。電信運營商企業(yè)數(shù)據(jù)分散，內部任意流轉，分類分級管控不嚴；同時，數(shù)據(jù)出口太多，各部門有各自的管道訪問數(shù)據(jù)，也有各自的方式與外部交流，最終導致數(shù)據(jù)通過多種方式無控制流出。因此，建立一個有效的核心數(shù)據(jù)防泄漏體系，必須充分調動企業(yè)所有部門的力量，全面封堵數(shù)據(jù)泄露風險，信息安全責任落實到“人”，信息安全指南落實到“步驟”，信息安全度量落實到“指標”，才能實現(xiàn)數(shù)據(jù)安全管理工作的真正落地。

3 數(shù)據(jù)防泄漏體系模型

3.1 總體框架

根據(jù)上述分析，數(shù)據(jù)安全工作最重要的就是安全職責分工的明確和安全責任落實到每個人，因此，數(shù)據(jù)安全防護工作應以“數(shù)據(jù)安全責任矩陣”為核心，落實每個系統(tǒng)和每條數(shù)據(jù)的安全責任人，落實每個系統(tǒng)和每條數(shù)據(jù)的所有控制點、控制措施和流程，并以此為核心落實配套的安全崗位和職責、安全策略制度、安全流程、安全檢查審計體系以及安全技術防護措施?？傮w框架模型如圖6所示。

圖6 電信運營商數(shù)據(jù)防泄漏體系模型

通過“一個矩陣+技管結合”，可針對前文分析的數(shù)據(jù)泄露成因，完全覆蓋數(shù)據(jù)操作的各個環(huán)節(jié)、人員類型以及泄露途徑，有效保障核心數(shù)據(jù)的安全，詳見下文分析。

3.2 數(shù)據(jù)安全責任矩陣

數(shù)據(jù)安全責任矩陣包括1個總矩陣，填寫所有含核心數(shù)據(jù)的業(yè)務系統(tǒng)、核心數(shù)據(jù)類型及第一責任人；每個業(yè)務系統(tǒng)3個分解矩陣，覆蓋系統(tǒng)的開發(fā)環(huán)節(jié)、運行環(huán)節(jié)和維護環(huán)節(jié)，如圖7所示。

圖7 數(shù)據(jù)安全責任矩陣結構示意

各分矩陣的縱向設計以“系統(tǒng)生命周期”(規(guī)劃、需求分析、設計開發(fā)、測試、上線、運行、維護和下線)和“數(shù)據(jù)生命周期”(生成、存儲、使用、傳輸、歸檔、銷毀)為依據(jù)。

1) 業(yè)務開發(fā)環(huán)節(jié)：按系統(tǒng)生命周期確保全面性，重點關注設計開發(fā)、測試、開發(fā)測試環(huán)境、上線及變更、第三方人員(設計、開發(fā)及測試人員)等。

2) 業(yè)務運行環(huán)節(jié)：按數(shù)據(jù)使用的生命周期確保全面性，重點關注數(shù)據(jù)收集(采集/上傳/導入)、存放、發(fā)布/外發(fā)、一般性操作使用、批量下載與導出、第三方人員(合作伙伴)等。

3) 業(yè)務維護環(huán)節(jié)：以IT系統(tǒng)通用架構層次確保全面性，重點關注應用、服務器、數(shù)據(jù)庫、網(wǎng)絡、終端、數(shù)據(jù)及文檔、第三方人員(代維人員)。

各分矩陣的橫向設計以“數(shù)據(jù)的責任”為出發(fā)點，落實相關的控制點以及具體的責任人，主要包括以下幾點。

1) 管理責任：描述管理上的要求，推動相關管控要求的建立。

2) 執(zhí)行責任：描述執(zhí)行流程和管控要求，并建立落實管控要求的技術手段。

3) 檢查責任：描述監(jiān)督檢查要求，推動檢查的制度和流程的建立以及相關支撐檢查技術手段的建設。

3.3 管理體系

在管理層面，以責任矩陣為指導，重點關注策略制度、管理流程和檢查審計，將制度中的控制點信息落實到具體的安全崗，在責任落實的推進中發(fā)現(xiàn)安全組織結構潛在的問題，進一步優(yōu)化信息安全組織結構。體系架構如圖8所示。

圖8 數(shù)據(jù)防泄漏管理體系架構

3.4 技術體系

技術體系主要支撐責任矩陣中各環(huán)節(jié)的執(zhí)行和檢查責任的落實[3]，體系架構如圖9所示。

圖9 數(shù)據(jù)防泄漏技術體系架構

4 云計算對數(shù)據(jù)防泄漏體系的影響

4.1 云計算下數(shù)據(jù)的生命周期管理

云計算環(huán)境下的數(shù)據(jù)安全，方法論沒有本質變化，仍然要遵循數(shù)據(jù)安全生命周期管理方法，在數(shù)據(jù)流轉的每個階段，進行安全控制，實現(xiàn)數(shù)據(jù)安全生態(tài)體系。

4.2 云計算下信息承載形式變化帶來的泄漏風險

傳統(tǒng)數(shù)據(jù)中心，業(yè)務數(shù)據(jù)大多保存在結構化系統(tǒng)中，要獲取數(shù)據(jù)需要經過網(wǎng)絡、主機、數(shù)據(jù)庫多層訪問控制，并通過復雜的查詢過程進行，受控程度高。

云化平臺下，信息承載和存在形式從數(shù)據(jù)庫變成了虛擬文件系統(tǒng)，存在虛擬文件系統(tǒng)被盜取和篡改的風險，需要加強虛擬文件系統(tǒng)的訪問控制，承載變化如圖10所示。

圖10 傳統(tǒng)和云化環(huán)境下數(shù)據(jù)承載的變化

4.3 云計算環(huán)境中的數(shù)據(jù)邊界泄漏風險與控制

虛擬化和云計算技術的采用，將改變現(xiàn)有傳統(tǒng)IT的體系架構，從物理邊界逐步發(fā)展到邏輯邊界。主要使用的技術有存儲虛擬化、網(wǎng)絡虛擬化、服務器虛擬化、終端桌面虛擬化等；因此，需要清晰定義云計算環(huán)境下數(shù)據(jù)的邏輯邊界。常見的邏輯邊界如圖11所示。

圖11 云計算環(huán)境下的數(shù)據(jù)邏輯邊界

1) 云核心邊界：主要是服務器虛擬化的邊界，可以控制核心數(shù)據(jù)向外擴散。

2) 云桌面邊界：核心數(shù)據(jù)可通過審批流程控制擴散到云桌面環(huán)境，云桌面邊界可以控制數(shù)據(jù)向外擴散。

3) 設備端邊界：核心數(shù)據(jù)經過處理后，經過審批流程，可以擴散到物理設備環(huán)境，設備端的邊界可以控制數(shù)據(jù)向外擴散，如網(wǎng)絡邊界、終端邊界等。

4) 云計算環(huán)境中數(shù)據(jù)泄露途徑模型的變化。其模型如圖12所示。

圖12 云計算環(huán)境下數(shù)據(jù)泄漏途徑分析模型

5) 云計算環(huán)境中責任矩陣的調整。依據(jù)數(shù)據(jù)訪問最小授權原則，在云計算環(huán)境下，和邊界控制同等重要的是人員權限控制。梳理每個用戶團體和個人應該被賦予的權限，而后進行權限細分和控制，目標是實現(xiàn)數(shù)據(jù)訪問的最小授權。

5 結束語

本文充分分析了電信運營商數(shù)據(jù)泄露途徑模型、泄露人員類型，以數(shù)據(jù)生命周期為基礎，結合數(shù)據(jù)在電信運營商主要的流轉使用環(huán)節(jié)，提出以數(shù)據(jù)安全責任矩陣為核心、管技結合一體化的新的數(shù)據(jù)安全防護模型以及相應的管理體系和技術體系建議，為解決電信運營商數(shù)據(jù)安全防護工作復雜、低效等問題進行了有益的探索。

數(shù)據(jù)安全責任矩陣的設計充分借鑒了“PDCA”的科學管理思想，將人員的角色分為管理者、執(zhí)行者和檢查者三類，將閉環(huán)管理思想貫徹到崗位職責中，保證了責任矩陣的全面性和可落地性。

同時，針對云計算的發(fā)展和技術特點，提出云計算環(huán)境下電信運營商數(shù)據(jù)安全的關注點，包括新的泄露風險、數(shù)據(jù)邊界變化等；面對這些變化，電信運營商需如何完善數(shù)據(jù)安全風險模型、如何調整數(shù)據(jù)安全責任矩陣，將是下一步研究的重點。

參考文獻

[1]童曉渝,張云勇,房秉毅,等.大數(shù)據(jù)時代電信運營商的機遇[J].信息通信技術,2013,7(1):6-8

[2]華汪明,張新躍,汪飛.電信運營商敏感信息保護體系研究與設計[J].現(xiàn)代電信科技,2011(11):52-53

[3]胡坤,劉明輝,宮雪,等.電信運營商應用數(shù)據(jù)的安全管控與隱私保護研究[J].信息通信技術,2013,7(6):64-65