摘要：運營商大數(shù)據(jù)面臨著越來越嚴峻的安全威脅，有必要進行信息安全風險分析，認清大數(shù)據(jù)的利弊并充分利用其優(yōu)勢。本文用定性研究的方法對運營商大數(shù)據(jù)信息安全風險問題進行分析，提出一種運營商大數(shù)據(jù)信息安全風險評估的指標體系。

關鍵詞：大數(shù)據(jù)；信息安全；指標體系

大數(shù)據(jù)給通信行業(yè)帶來新的發(fā)展機遇，同時，因數(shù)據(jù)的集中管理、數(shù)據(jù)對外開放、設備虛擬化等新技術特點和業(yè)務新形態(tài)應用，也給業(yè)務發(fā)展帶來新的安全問題，一旦發(fā)生安全事件則對企業(yè)聲譽、公司利益、用戶隱私產(chǎn)生重大影響。因此，對大數(shù)據(jù)面臨的安全威脅和風險進行分析，有助于認清大數(shù)據(jù)的利弊，充分利用其優(yōu)勢，進一步采取適當安全措施避免損失。

1.信息安全風險來源

運營商在發(fā)展大數(shù)據(jù)業(yè)務，提供大數(shù)據(jù)服務的同時，也面臨著大數(shù)據(jù)帶來的諸多安全隱患問題，如隱私泄漏，大數(shù)據(jù)開源組件漏洞、數(shù)據(jù)可用性和完整性破壞等，大數(shù)據(jù)安全已成為大數(shù)據(jù)應用成敗的關鍵，其關鍵安全風險來源于數(shù)據(jù)集中管理、基礎設施虛擬化、平臺組件開源、敏感數(shù)據(jù)共享以及數(shù)據(jù)對外開放。

2.信息安全主要風險

2.1業(yè)務應用安全風險

業(yè)務應用系統(tǒng)自身可能會存在漏洞或業(yè)務邏輯權限處理不當情況，導致非授權用戶越權訪問或獲取數(shù)據(jù)操作權限；在提供自有應用時有可能出現(xiàn)不良信息的安全隱患。

2.2應用支撐安全風險

應用支撐層可能存在對上層應用認證及權限管理不當，引發(fā)非法用戶非授權訪問；對數(shù)據(jù)導出行為不予控制，引發(fā)數(shù)據(jù)泄漏；缺乏對敏感數(shù)據(jù)識別及發(fā)現(xiàn)機制，使得上層應用有可能獲取用戶敏感數(shù)據(jù)。

2.3數(shù)據(jù)存儲安全風險

敏感數(shù)據(jù)存儲在公共訪問區(qū)域、采取明文存儲或弱加密算法、脫敏措施不到位、容災備份管理不完善等均易造成數(shù)據(jù)泄漏或丟失損壞。

2.4 接口傳輸安全風險

通過不安全的通道進行數(shù)據(jù)傳輸時，可能出現(xiàn)中間人攻擊導致數(shù)據(jù)被惡意截獲的安全隱患；數(shù)據(jù)傳輸時未加密或密鑰管理機制不完善等，造成數(shù)據(jù)泄漏；平臺內(nèi)部各組件接口之間的不兼容等問題。

2.5基礎設施安全風險

服務器、路由器等設備面臨著物理損壞、電力供應中斷、電磁干擾等問題，設備存放的物理環(huán)境面臨著防水、防電、防雷擊等問題，平臺網(wǎng)絡面臨著DDOS攻擊等問題。

2.6平臺運維安全風險

開發(fā)或代維人員往往擁有管理員權限，存在個別開發(fā)或運維人員從后臺直接導出高價值敏感數(shù)據(jù)的風險；在運維過程中關鍵操作，缺少多人授權管控機制，容易引發(fā)數(shù)據(jù)泄漏；第三方廠商開發(fā)人員可能內(nèi)置軟件后門，非法竊取敏感信息。

2.7對外合作安全風險

合作營業(yè)廳、第三方服務渠道等在用戶辦理業(yè)務時留存或通過CRM系統(tǒng)等查詢積累用戶敏感信息；第三方利用敏感數(shù)據(jù)加密或脫敏不當?shù)陌踩┒矗ㄟ^逆向窮舉攻擊，關聯(lián)其他數(shù)據(jù)，推算演繹等手段還原原始敏感數(shù)據(jù)；缺乏數(shù)據(jù)追蹤溯源手段，一旦出現(xiàn)安全事件，無法及時定位數(shù)據(jù)的責任方以及泄漏點。

3.評價指標體系構建

3.1 指標體系構建原則

運營商大數(shù)據(jù)信息安全風險評估是一項復雜的系統(tǒng)工程，它具有連續(xù)性、持續(xù)性、動態(tài)性和調(diào)整性的特點。根據(jù)以上特點，必須貫徹三點指導思想：一是努力實現(xiàn)評價指標的全面和完整；二是堅持多維度評估運營商大數(shù)據(jù)信息安全的風險；三是重點考慮評價指標體系的普適性。

3.2評價指標選取方法

在大數(shù)據(jù)信息安全風險評估中，選取合適的評價指標至關重要。綜合評價的結(jié)果準確與否直接受被評價指標的選取合適與否所影響。通過大量查閱有關參考文獻，識別運營商大數(shù)據(jù)信息安全風險中的主要問題；在此基礎上，深入分析指標體系，合并同類指標、去除重復和不重要的指標。然后進一步調(diào)整指標，使指標體系更加科學、合理，從而建立一套相對完整的運營商大數(shù)據(jù)信息安全風險評估指標體系。

3.3指標體系構建

按照上述的指標體系的構建原則和評價指標的選取方法，建立信息安全風險評估指標體系，包括2個一級指標、7個二級指標和21個三級指標。

一級指標“應用安全風險”以應用實現(xiàn)功能、使用情況為基本出發(fā)點，緊扣運營商大數(shù)據(jù)業(yè)務的對外合作安全風險、業(yè)務應用安全風險和應用支撐安全風險。其中二級指標“對外合作安全風險”包括“合作方留存積累敏感數(shù)據(jù)”“脫敏數(shù)據(jù)逆向還原破解”“缺乏數(shù)據(jù)追蹤溯源手段”3個三級指標；“業(yè)務應用安全風險”包括“系統(tǒng)存在安全漏洞”“系統(tǒng)存在不良信息”2個三級指標；“應用支撐安全風險”包括“認證及權限管理不當”“未控制數(shù)據(jù)導出行為”“缺乏對敏感數(shù)據(jù)識別”3個三級指標。

一級指標“平臺安全風險”聚焦承載大數(shù)據(jù)業(yè)務的系統(tǒng)平臺，包括數(shù)據(jù)存儲安全風險、接口傳輸安全風險、基礎設施安全風險以及平臺運維安全風險。其中二級指標“數(shù)據(jù)存儲安全風險”包括“不同安全級別數(shù)據(jù)混合存儲”“數(shù)據(jù)未加密或脫敏存儲”“容災備份方案不完善”3個三級指標；二級指標“接口傳輸安全風險”包括“數(shù)據(jù)被惡意截獲”“數(shù)據(jù)未加密傳輸”“各組件接口不兼容”3個三級指標；二級指標“基礎設施安全風險”包括“機房環(huán)境威脅”“平臺設備故障”“平臺網(wǎng)絡遭受DDOS等攻擊”“平臺網(wǎng)絡未做安全域隔離”4個三級指標；二級指標“平臺運維安全風險”包括“第三方廠商留置后門”“第三方廠商權限缺乏管控”“操作缺乏授權管控機制”3個三級指標。

總結(jié)

本文針對現(xiàn)有運營商大數(shù)據(jù)信息安全面臨的安全風險問題，用定性研究的方法對風險問題進行分析，大量收集關于運營商大數(shù)據(jù)風險評估的指標和相關內(nèi)容，得到風險評估的三級指標體系，為運營商大數(shù)據(jù)提供一個綜合性的信息安全風險評估指標體系。

參考文獻：

[1]陳文捷，蔡立志.大數(shù)據(jù)安全及其評估[J].計算機應用與軟件，2016，33（4）：34-38.

[2]佟鑫，任望，馮運波.大數(shù)據(jù)平臺安全風險分析與評估方法[J].保密科學技術，2018（02）：6-14.

作者簡介：

鄭毓武（1988.10- ），男，漢族，廣東汕頭，本科，從事網(wǎng)絡安全管理工作。