摘 要：隨著市場環(huán)境的迅速變化和競爭的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS已成為各大電信運(yùn)營企業(yè)競爭的焦點(diǎn)。對BSS系統(tǒng)進(jìn)行主動(dòng)式管理涉及技術(shù)、管理、維護(hù)等方面，本文主要從電信行業(yè)角度分析，針對中國電信bss系統(tǒng)信息安全方案應(yīng)用進(jìn)行研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用進(jìn)行深入研究和探討。

1、引言

隨著市場環(huán)境的迅速變化和競爭的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS（Billing Supporting System）已成為各大電信運(yùn)營企業(yè)競爭的焦點(diǎn)，從中國移動(dòng)的BOSS到中國電信的CTG-BOSS，各電信運(yùn)營商都在逐年加大對業(yè)務(wù)支撐系統(tǒng)BSS的投資。本文主要針對中國電信bss系統(tǒng)信息安全方案應(yīng)用進(jìn)行深入探索研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用兩個(gè)主要方面進(jìn)行深入研究和探討。

2、中國電信bss系統(tǒng)信息安全解決方案

本文主要采取了數(shù)據(jù)請求RSA加密策略和敏感數(shù)據(jù)MD5加密策略兩種方法來保證系統(tǒng)的安全。

2.1 求RSA加密策略

中國電信bss系統(tǒng)運(yùn)行在內(nèi)網(wǎng)環(huán)境下，本中國電信bss系統(tǒng)采用RSA加密策略進(jìn)行數(shù)據(jù)交互請求的加密和解密。

RSA加密由一對公鑰（PK）與私鑰（SK）組成。加密算法E和解密算法D也都是公開的。RSA算法中密鑰的長度越長，破解的難度也就越大。但是密鑰長度越長，加密所需的時(shí)間也隨之增加，對中國電信bss系統(tǒng)的性能有一定的影響。目前主要使用的密鑰長度為1024 bit。

但是，RSA非對稱加密內(nèi)容長度有限制，1024位key的最多只能加密127位數(shù)據(jù)。而中國電信bss系統(tǒng)報(bào)文常常會(huì)超過此限制。因此，我們對報(bào)文進(jìn)行分段處理，報(bào)文分段后依次加密，然后組裝成整體，服務(wù)端接收后對報(bào)文分段，再依次解密。解密后的報(bào)文重新組裝，轉(zhuǎn)發(fā)給總后臺(tái)，以此解決了RSA加密算法對加密內(nèi)容長度的限制問題。

2.2 敏感數(shù)據(jù)MD5加密策略

MD5也就是消息摘要算法第五版，該算法的主要用來提供消息的完整性保護(hù)。用戶注冊和登錄前先在服務(wù)端生產(chǎn)隨機(jī)16位鹽值。取得鹽值后，用鹽值對用戶密碼進(jìn)行加密。加密后的密文作為用戶密碼字段進(jìn)行傳輸。后臺(tái)接受到報(bào)文后，根據(jù)鹽值對其進(jìn)行解密。用戶在注冊用戶信息時(shí)，中國電信bss系統(tǒng)將密碼明文用戶賬號(hào)作為key經(jīng)過MD5哈希算法獲取MD5值，并將加密的字符串存儲(chǔ)到數(shù)據(jù)庫來保證密碼的安全。用戶登錄時(shí)，對解密后的內(nèi)容進(jìn)行MD5運(yùn)算。計(jì)算結(jié)果再與數(shù)據(jù)庫中的值進(jìn)行比對，從而不會(huì)有用戶密碼的明文信息出現(xiàn)，保護(hù)了用戶的隱私。

3、中國電信bss系統(tǒng)信息安全方案應(yīng)用

互聯(lián)網(wǎng)作為一個(gè)開放的環(huán)境，它的優(yōu)點(diǎn)被大家所公認(rèn)，但其安全性也成為用戶所擔(dān)心的問題。所以中國電信bss系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)在建設(shè)過程中將安全工作作為一個(gè)重點(diǎn)進(jìn)行考慮。中國電信bss系統(tǒng)首先從安全防護(hù)機(jī)制來考慮，通過對安全建設(shè)的各層進(jìn)行防護(hù)，提高系統(tǒng)對入侵等的防護(hù)功能，保障數(shù)據(jù)的安全可靠；其次，中國電信bss系統(tǒng)應(yīng)該建立安全審查機(jī)制，對云環(huán)境中的位置數(shù)據(jù)、運(yùn)單數(shù)據(jù)等進(jìn)行授權(quán)，實(shí)現(xiàn)對數(shù)據(jù)操作行為的追蹤，從而保證云數(shù)據(jù)流向的安全可靠。

3.1 安全性要求

中國電信bss系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)為非涉密中國電信bss系統(tǒng)。依據(jù)《信息安全等級保護(hù)管理辦法》的安全等級劃分，中國電信bss系統(tǒng)應(yīng)該能達(dá)到第三級的安全保護(hù)需求對應(yīng)的技術(shù)指標(biāo)。除此之外，中國電信bss系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)滿足以下3方面的安全要求① 用戶在登錄業(yè)務(wù)中國電信bss系統(tǒng)時(shí)需要使用手機(jī)短信驗(yàn)證碼，如手機(jī)丟失，可通過安全恢復(fù)功能，接觸特定終端或者號(hào)碼的權(quán)限授權(quán)。② 視頻會(huì)議錄像的查閱權(quán)限單獨(dú)設(shè)置。③ 在設(shè)計(jì)與實(shí)現(xiàn)中國電信bss系統(tǒng)時(shí)，應(yīng)加入以下技術(shù)：（a）傳輸使用AES加密。（b）會(huì)議密碼。（c）會(huì)議安全等級。（d）分級授權(quán)。

3.2 物理層安全

物理層安全主要是針對中國電信bss系統(tǒng)中硬件設(shè)施以及設(shè)施之間的鏈路連接的安全建設(shè)。中國電信bss系統(tǒng)在物理層安全策略上從環(huán)境安全、設(shè)備安全以及網(wǎng)絡(luò)鏈路安全這三個(gè)方面入手進(jìn)行建設(shè)。通過建立妥善的制度首先限制物理設(shè)施等的訪問權(quán)限，其次進(jìn)行場地安全管理建設(shè)與監(jiān)督，然后通過冗余的方式保障設(shè)備通訊的安全。

3.3 網(wǎng)絡(luò)安全

中國電信bss系統(tǒng)對于網(wǎng)絡(luò)安全的建設(shè)主要以防火墻為主，其他多種網(wǎng)絡(luò)安全防護(hù)手段相輔的策略。首先在網(wǎng)絡(luò)接入點(diǎn)部署防火墻，中國電信bss系統(tǒng)采用華為的USG5000防火墻，然后結(jié)合SSL、網(wǎng)絡(luò)專線、黑白名單等的方式保障網(wǎng)絡(luò)通信安全。將USG5000部署在網(wǎng)絡(luò)域中不同的地方，使其有不同的安全防護(hù)作用。

3.4 中國電信bss系統(tǒng)安全

中國電信bss系統(tǒng)安全主要是通過防病毒軟件進(jìn)行入侵檢測，漏洞掃掐和評估、防病毒的安全措施，同時(shí)在數(shù)據(jù)庫服務(wù)器部分使用雙機(jī)熱備和共享磁盤陣列的方式，通過軟硬件雙重防備的安全措施來提高中國電信bss系統(tǒng)的安全性與可靠性。

在中國電信bss系統(tǒng)中，采用華為的IDS進(jìn)行入侵檢測，OpenVAS進(jìn)行漏洞掃描和評估，從中國電信bss系統(tǒng)整體進(jìn)行安全防護(hù)。入侵檢測中國電信bss系統(tǒng)的主要功能是監(jiān)測和控制非法入侵，而漏洞掃描中國電信bss系統(tǒng)是通過專業(yè)軟件檢查中國電信bss系統(tǒng)存在的容易被攻擊的漏洞，提醒人員修復(fù)漏洞，提前進(jìn)行安全防護(hù)；網(wǎng)絡(luò)安全評估中國電信bss系統(tǒng)可以動(dòng)態(tài)地評測中國電信bss系統(tǒng)風(fēng)險(xiǎn)，檢測網(wǎng)絡(luò)安全級別，從而為中國電信bss系統(tǒng)的安全運(yùn)行提供保證；防病毒軟件可以加強(qiáng)對病毒文件的過濾，并且可以定期殺毒。

3.5 環(huán)境安全

環(huán)境安全主要包括中國電信bss系統(tǒng)的訪問控制以及數(shù)據(jù)安全。

（1）訪問控制。中國電信bss系統(tǒng)采用客戶端分類的方式，將客戶端分為不同使用者的訪問入口，從而控制用戶的訪問內(nèi)容和權(quán)限。（2）數(shù)據(jù)安全。由于中國電信bss系統(tǒng)為數(shù)據(jù)庫和操作中國電信bss系統(tǒng)分別配置了不同的登錄入口，如果是同一個(gè)工作人員進(jìn)行這兩個(gè)登錄操作，必將引入不安全因素，所以模仿保險(xiǎn)箱鑰匙的分人管理的模式，建議對這兩個(gè)登錄入口分別配備不同的工作人員進(jìn)行管理。

3.6 終端安全

監(jiān)測中國電信bss系統(tǒng)的終端安全服務(wù)平臺(tái)是為保障用戶業(yè)務(wù)安全，實(shí)現(xiàn)緊急情況下的信息保護(hù)與風(fēng)險(xiǎn)防范的重要基礎(chǔ)設(shè)施。安全服務(wù)平臺(tái)整體架構(gòu)包括兩個(gè)部分：車輛位置實(shí)時(shí)監(jiān)測中國電信bss系統(tǒng)的終端安全服務(wù)平臺(tái)和安全客戶端。安全客戶端為中國電信bss系統(tǒng)的初始入口提供安全接口。安全接口主要是身份認(rèn)證功能以及基于數(shù)字證書技術(shù)的簽名/驗(yàn)簽。終端安全服務(wù)平臺(tái)是對從安全客戶端的安全接口傳送的用戶信息進(jìn)行驗(yàn)證。

（1）安全中間件。安全中間件基于PKI設(shè)計(jì)，面向業(yè)務(wù)應(yīng)用提供加密/解密、數(shù)字證書解析、數(shù)字簽名、XML簽名等功能。

（2）業(yè)務(wù)中國電信bss系統(tǒng)安全套件。由證書應(yīng)用服務(wù)端和客戶端組成業(yè)務(wù)中國電信bss系統(tǒng)應(yīng)用安全套件。

（3）客戶端接口。不同的客戶端有專有的接口，專用的接口調(diào)用程序只調(diào)用用戶的接口，不關(guān)心用戶的使用情況；在應(yīng)用服務(wù)器上，服務(wù)器端的接口通過對客戶端接口的辨別，接收并處理不同客戶端發(fā)送到的安全認(rèn)證、數(shù)據(jù)加密/解密和簽名驗(yàn)證等系列安全處理請求。

4、結(jié)論

隨著市場環(huán)境的迅速變化和競爭的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS已成為各大電信運(yùn)營企業(yè)競爭的焦點(diǎn)。本文主要從電信行業(yè)角度分析，針對中國電信bss系統(tǒng)信息安全方案應(yīng)用進(jìn)行深入探索研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用兩個(gè)主要方面進(jìn)行深入研究和探討。

參考文獻(xiàn)：

[1] 付明明. 面向電信系統(tǒng)的信息安全風(fēng)險(xiǎn)評估研究及應(yīng)用[D]. 重慶理工大學(xué)， 2016.

[2] 謝科陽. 基于大數(shù)據(jù)的電信網(wǎng)絡(luò)信息安全管控平臺(tái)的建設(shè)研究[D]. 浙江工業(yè)大學(xué)， 2017.

[3] 李榮榮， 寇建濤， 董剛，等. 面向智慧園區(qū)的RFID系統(tǒng)信息安全認(rèn)證方案[J]. 電信科學(xué)， 2016， 32（2）：164-169.

[4] 劉智瓊， 華竹軒， 黎莎菲. 面向BSS系統(tǒng)的權(quán)限管理模型研究[J]. 廣東通信技術(shù)， 2016， 36（11）：16-22.

作者簡介：

李翔（1984年2月21日），男 ， 漢， 福建省南平市，大學(xué)本科，工程師。