常 璽

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司西安軟件研究院 陜西 西安710000

如今,企業(yè)都在進(jìn)行信息化建設(shè),多數(shù)企業(yè)在建設(shè)過程中,都過于重視功能的實(shí)現(xiàn),忽略了防護(hù)措施的構(gòu)建,從而導(dǎo)致出現(xiàn)了一系列的信息安全事件。例如用戶信息泄露、被竊取等等,導(dǎo)致用戶越來(lái)越不信任運(yùn)營(yíng)商。近幾年,國(guó)家以及政府部門都在加強(qiáng)信息安全建設(shè),相關(guān)政策不斷出臺(tái),使得單位員工安全意識(shí)得到了明顯的提高,同時(shí)用戶信息安全也有了很大的改觀。

一、運(yùn)營(yíng)商用戶數(shù)據(jù)信息存儲(chǔ)和使用情況

(一)用戶數(shù)據(jù)信息的產(chǎn)生。運(yùn)營(yíng)商用戶信息的產(chǎn)生主要體現(xiàn)在以下幾個(gè)方面。第一方面,用戶到營(yíng)業(yè)點(diǎn)辦理業(yè)務(wù)時(shí),會(huì)填寫相關(guān)的身份信息,這些信息會(huì)錄入到運(yùn)營(yíng)商內(nèi)部信息管理系統(tǒng)中,并且還會(huì)將紙質(zhì)檔案保存。第二方面,一些用戶會(huì)通過運(yùn)營(yíng)商電話來(lái)預(yù)約辦理業(yè)務(wù),或者運(yùn)營(yíng)商上門為用戶辦理業(yè)務(wù),在辦理業(yè)務(wù)過程中,客服會(huì)詢問用戶相關(guān)信息,將信息直接錄入到系統(tǒng)中[1]。第三方面,部分用戶無(wú)法到營(yíng)業(yè)點(diǎn)辦理業(yè)務(wù),所以會(huì)選擇在運(yùn)營(yíng)商創(chuàng)建的自助服務(wù)平臺(tái)辦理業(yè)務(wù),在登錄平臺(tái)時(shí),會(huì)需要用戶輸入身份信息進(jìn)行實(shí)名認(rèn)證,這些信息會(huì)直接存入到管理系統(tǒng)中。第四方面,當(dāng)用戶出現(xiàn)問題或者故障時(shí),運(yùn)營(yíng)商會(huì)向工作人員發(fā)送相關(guān)業(yè)務(wù)單,工作人員在幫助用戶解決問題和故障時(shí),會(huì)對(duì)用戶的一些信息進(jìn)行記錄,之后形成紙質(zhì)檔案進(jìn)行保存。

(二)用戶數(shù)據(jù)信息的使用。運(yùn)營(yíng)商內(nèi)部以下幾種工作人員會(huì)對(duì)用戶信息進(jìn)行訪問和使用。第一種,營(yíng)業(yè)人員和客戶經(jīng)理在為用戶辦理相關(guān)業(yè)務(wù)時(shí),會(huì)對(duì)用戶的基本信息以及訂購(gòu)業(yè)務(wù)等進(jìn)行核查。第二種,客服人員在為用戶進(jìn)行業(yè)務(wù)服務(wù)時(shí),會(huì)對(duì)用戶的有效信息等進(jìn)行核查。第三種,客戶經(jīng)理在維護(hù)用戶時(shí),會(huì)對(duì)用戶的信息進(jìn)行查詢。第四,安裝維修人員在上門為用戶解決問題和故障時(shí),會(huì)對(duì)用戶的故障信息和地理位置信息等進(jìn)行查詢。第五種,信息管理系統(tǒng)的工作人員在對(duì)系統(tǒng)進(jìn)行更新和維護(hù)時(shí),需要對(duì)用戶的具體信息進(jìn)行查詢和處理。

對(duì)于運(yùn)營(yíng)商外部來(lái)說,代理商在為用戶辦理相關(guān)業(yè)務(wù)時(shí),會(huì)對(duì)用戶的信息和業(yè)務(wù)訂購(gòu)信息等進(jìn)行查詢。除此之外,用戶可以在服務(wù)平臺(tái)上查詢到與自身相關(guān)的業(yè)務(wù)信息和消費(fèi)信息等。另外,運(yùn)營(yíng)商在為用戶提供增值等服務(wù)時(shí),會(huì)對(duì)用戶的有效信息進(jìn)行查詢和校驗(yàn)。

(三)用戶數(shù)據(jù)信息的存檔和銷毀。不同客戶信息的有效性存在一定的差異,運(yùn)營(yíng)商在對(duì)不同客戶信息進(jìn)行存儲(chǔ)時(shí),會(huì)設(shè)置不同的存儲(chǔ)類型,與此同時(shí),保存的時(shí)間以及封存的時(shí)間也會(huì)有相關(guān)的規(guī)定。當(dāng)客戶信息超過規(guī)定時(shí)間之后,會(huì)對(duì)無(wú)效信息進(jìn)行歸檔和封存,超過封存期的用戶數(shù)據(jù)會(huì)進(jìn)行銷毀處理。

二、運(yùn)營(yíng)商用戶數(shù)據(jù)安全防護(hù)體系構(gòu)建對(duì)策

(一)信息分級(jí)和脫敏。運(yùn)營(yíng)商會(huì)存儲(chǔ)大量的用戶信息,并且每種類型信息的敏感程度都不盡相同。為了提高安全防護(hù)的整體效率,要根據(jù)信息的重要程度來(lái)對(duì)用戶信息進(jìn)行分級(jí)處理,并根據(jù)客戶的級(jí)別來(lái)設(shè)置相關(guān)的安全管控措施,同時(shí)對(duì)數(shù)據(jù)信息進(jìn)行防護(hù)。對(duì)于敏感度較高的數(shù)據(jù)信息,運(yùn)營(yíng)商要利用模糊處理或加密處理來(lái)降低信息的敏感性。

(二)權(quán)限管理。對(duì)于用戶有效信息以及信息管理系統(tǒng)中存儲(chǔ)的用戶數(shù)據(jù)來(lái)說,訪問操作權(quán)限的控制是安全防護(hù)體系的關(guān)鍵[2]。因此,運(yùn)營(yíng)商要按照權(quán)限最小化的標(biāo)準(zhǔn)來(lái)對(duì)工作人員的信息訪問權(quán)限進(jìn)行設(shè)置,并且要規(guī)定工作人員只能訪問對(duì)應(yīng)級(jí)別的用戶有效信息,不能跨級(jí)進(jìn)行訪問。與此同時(shí),運(yùn)營(yíng)商要對(duì)系統(tǒng)賬號(hào)的安全性進(jìn)行管控,防止賬號(hào)信息出現(xiàn)泄漏等情況。

(三)構(gòu)建信息安全基礎(chǔ)設(shè)施。對(duì)于電子形式的客戶信息,運(yùn)營(yíng)商要構(gòu)建完整的信息安全防護(hù)基礎(chǔ)設(shè)施。構(gòu)建信息安全防護(hù)技術(shù)設(shè)施可以從以下幾點(diǎn)進(jìn)行。首先,運(yùn)營(yíng)商可以利用終端認(rèn)證、漏洞掃描以及木馬查殺等設(shè)施來(lái)對(duì)終端進(jìn)行管控,避免其他外部終端進(jìn)入到運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)中,同時(shí)要規(guī)定外部終端只有符合安全條件才能夠進(jìn)行訪問。其次,利用網(wǎng)絡(luò)行為審計(jì)以及防火墻等基礎(chǔ)設(shè)施來(lái)對(duì)用戶信息傳輸?shù)木W(wǎng)絡(luò)進(jìn)行管控,以此來(lái)保證用戶數(shù)據(jù)信息能夠安全、穩(wěn)定的進(jìn)行傳輸。第三,利用數(shù)據(jù)庫(kù)操作審計(jì)和漏洞掃描等基礎(chǔ)設(shè)施來(lái)對(duì)數(shù)據(jù)信息數(shù)據(jù)庫(kù)進(jìn)行管控,避免數(shù)據(jù)庫(kù)被入侵和非法訪問,防止出現(xiàn)數(shù)據(jù)泄露的情況。最后,要對(duì)數(shù)據(jù)庫(kù)系統(tǒng)、文件系統(tǒng)以及應(yīng)用系統(tǒng)進(jìn)行加密,對(duì)一些敏感用戶數(shù)據(jù)信息要采用密文的形式進(jìn)行存儲(chǔ),防止出現(xiàn)信息安全事故。

(四)開展網(wǎng)絡(luò)安全攻防演練。運(yùn)營(yíng)商要不定期的開展網(wǎng)絡(luò)安全攻防演練,通過虛擬的用戶數(shù)據(jù)來(lái)檢測(cè)相關(guān)系統(tǒng)的安全性,以此來(lái)提高上技術(shù)人員安全防護(hù)和應(yīng)急處置能力[3]。運(yùn)營(yíng)商可以邀請(qǐng)經(jīng)驗(yàn)豐富的專家組成攻擊隊(duì),將企業(yè)內(nèi)部技術(shù)人員組成防守隊(duì),不限制攻擊路徑和攻擊手段,來(lái)進(jìn)行網(wǎng)絡(luò)攻擊,獲取運(yùn)營(yíng)商系統(tǒng)中的虛擬用戶信息。在整個(gè)過程中觀察內(nèi)部技術(shù)人員的解決手段、解決時(shí)間以及后續(xù)完善工作,在攻防演練結(jié)束之后,運(yùn)營(yíng)商要根據(jù)演練的結(jié)果來(lái)對(duì)系統(tǒng)進(jìn)行完善,同時(shí)對(duì)技術(shù)人員進(jìn)行培訓(xùn),從而提高網(wǎng)絡(luò)安全的綜合防控能力。

結(jié)束語(yǔ)

總而言之,用戶數(shù)據(jù)安全防護(hù)體系構(gòu)建是一項(xiàng)系統(tǒng)、復(fù)雜的工程,需要運(yùn)營(yíng)商不斷的進(jìn)行探索和實(shí)踐才能構(gòu)建出完整的安全防護(hù)體系。雖然我國(guó)運(yùn)營(yíng)商在數(shù)據(jù)安全防護(hù)方面已經(jīng)開展了大量的工作,但是與國(guó)外相比還存在著一些差距。因此,運(yùn)營(yíng)商要對(duì)業(yè)務(wù)范圍的用戶數(shù)據(jù)信息進(jìn)行有效識(shí)別,并通過安全防護(hù)體系來(lái)對(duì)用戶數(shù)據(jù)進(jìn)行管控,從而防止用戶數(shù)據(jù)被泄露。