于文良 馬田良 黃 鵬 邱 杰

1(中國電信集團(tuán)有限責(zé)任公司 北京 100029)2(北京易華錄信息技術(shù)股份有限公司 北京 100043)3(中電信數(shù)智科技有限公司 北京 100035) (yuwl@chinatelecom.cn)

運(yùn)營商用戶信息是指用戶身份、用戶細(xì)分、用戶需求、用戶聯(lián)系方式、用戶服務(wù)內(nèi)容等基本資料，如用戶身份和標(biāo)識(shí)信息、用戶網(wǎng)絡(luò)身份鑒權(quán)信息、服務(wù)內(nèi)容和資料數(shù)據(jù)、用戶服務(wù)使用數(shù)據(jù)、設(shè)備信息等.運(yùn)營商用戶信息是運(yùn)營商核心的無形資產(chǎn)和企業(yè)的重要生產(chǎn)要素[1].這類信息如果被違規(guī)存儲(chǔ)、使用、泄露，會(huì)導(dǎo)致企業(yè)信譽(yù)品牌受到重創(chuàng)[2]，還可能會(huì)給用戶信息的所有者帶來重大的損失.電信詐騙就是最典型的事件，運(yùn)營商用戶信息是電信詐騙活動(dòng)所需的關(guān)鍵要素[3].當(dāng)前網(wǎng)絡(luò)應(yīng)用非常普及，網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息非常容易被獲取，各國對用戶信息安全保護(hù)也非常重視.放眼國際，歐盟將個(gè)人信息作為公民基本人權(quán)加以嚴(yán)格保護(hù)[4].Michelfelder[5]提出了個(gè)人隱私信息的保護(hù)主要運(yùn)用到企業(yè)自律、技術(shù)手段、法律支撐3種方式.在國內(nèi)，中國運(yùn)營商的移動(dòng)通信網(wǎng)絡(luò)成為用戶信息安全的關(guān)鍵出入口[6].我國也出臺(tái)了相關(guān)的法律，來保護(hù)個(gè)人信息不被違法濫用.但是，因各方面的原因，網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息安全按照相關(guān)政策和要求落地實(shí)施存在一定困難.因此，需要對重要網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息數(shù)據(jù)進(jìn)行安全檢查，以發(fā)現(xiàn)其中存在的潛在用戶信息數(shù)據(jù)泄露風(fēng)險(xiǎn)，提前對風(fēng)險(xiǎn)進(jìn)行預(yù)警和處置.

用戶信息數(shù)據(jù)是系統(tǒng)關(guān)鍵數(shù)據(jù)之一.隨著技術(shù)的發(fā)展和新的應(yīng)用場景出現(xiàn)，對用戶信息數(shù)據(jù)安全進(jìn)行檢測越來越重要.預(yù)防運(yùn)營商用戶信息泄露在一定程度上可以預(yù)防網(wǎng)絡(luò)電信詐騙.

1 運(yùn)營商用戶信息檢測內(nèi)容

根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》和工信部《2021年基礎(chǔ)電信企業(yè)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》等相關(guān)要求，對運(yùn)營商核心系統(tǒng)中的用戶信息進(jìn)行安全檢測，檢測其是否存在用戶信息不合規(guī)情況或安全風(fēng)險(xiǎn).

運(yùn)營商用戶信息的檢測包括全生命周期安全評估和技術(shù)檢測2個(gè)方面，以保證檢測結(jié)果的全面性和準(zhǔn)確性.全生命周期安全評估包括：數(shù)據(jù)采集、數(shù)據(jù)識(shí)別、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)開放共享、數(shù)據(jù)銷毀等；技術(shù)檢測包括：數(shù)據(jù)泄露防護(hù)、操作審計(jì)、接口安全管理等檢測項(xiàng).

2 運(yùn)營商用戶信息檢測方法和工具

對運(yùn)營商用戶信息進(jìn)行安全檢測，現(xiàn)有的方法是生成多個(gè)用戶信息最優(yōu)特征子集，再進(jìn)行學(xué)習(xí)和檢測，忽略了用戶信息的權(quán)重，導(dǎo)致檢測結(jié)果偏差大[7]，也有基于脆弱性網(wǎng)絡(luò)的用戶信息安全檢測[8]和基于用戶行為日志的采集和分析的安全檢測技術(shù)[9].本文分析了當(dāng)前已有用戶信息的安全檢測方法的優(yōu)缺點(diǎn)，采用了動(dòng)靜結(jié)合檢測的方法，即對檢測目標(biāo)中的用戶信息根據(jù)其環(huán)境進(jìn)行分類：動(dòng)態(tài)環(huán)境中的用戶信息采用動(dòng)態(tài)檢測法，靜態(tài)環(huán)境中的用戶信息采用靜態(tài)檢測法，而對于很分散的終端上的用戶信息，則采用agent或代理模式的終端檢測法.

2.1 用戶信息動(dòng)態(tài)檢測法

用戶信息動(dòng)態(tài)檢測法主要流程如下：1)收集系統(tǒng)相關(guān)信息，以確定檢測目標(biāo)對象；2)對業(yè)務(wù)行為數(shù)據(jù)進(jìn)行分析，創(chuàng)建正常業(yè)務(wù)行為模型；3)使用離群挖掘方法計(jì)算各行為離群度，對歷史安全事件行為信息進(jìn)行數(shù)據(jù)訓(xùn)練.用戶信息安全動(dòng)態(tài)檢測，根據(jù)文件、應(yīng)用及數(shù)據(jù)庫表的操作日志和訪問日志，以及SQL語句的解析、API的調(diào)用等構(gòu)建分析主體、設(shè)備、應(yīng)用和數(shù)據(jù)庫表的行為關(guān)系圖譜，明確數(shù)據(jù)資產(chǎn)分布、數(shù)據(jù)流動(dòng)情況，作為動(dòng)態(tài)分析.

信息安全行業(yè)常用的動(dòng)態(tài)采集方式有以下幾類：1)snmp trap方式.利用簡單網(wǎng)絡(luò)管理協(xié)議對網(wǎng)絡(luò)進(jìn)行管理和信息采集，snmp trap是將snmp mib作為基礎(chǔ)對設(shè)備信息進(jìn)行收集，如果設(shè)備參數(shù)或者狀態(tài)出現(xiàn)變化，會(huì)自動(dòng)更新相關(guān)信息和數(shù)據(jù).2)日志采集方式.日志服務(wù)器中配置安全設(shè)備日志管理，對日志數(shù)據(jù)進(jìn)行接收，并將日志數(shù)據(jù)寫入數(shù)據(jù)庫.3)鏡像流量方式.是指復(fù)制交換機(jī)等網(wǎng)絡(luò)設(shè)備端口流量到另外端口，通過文件還原的方式解析出需要的信息，如SQL語句的執(zhí)行情況、API接口的調(diào)用等.4)使用蜜罐、APT沙箱等檢測工具，對傳輸過程中的app，exe等可執(zhí)行文件進(jìn)行沙箱模擬運(yùn)行，形成安全性報(bào)告.

綜合上述動(dòng)態(tài)檢測工具和方法，在日志和流量方式的基礎(chǔ)上，增加用戶實(shí)體行為分析(user entity behavior analytics, UEBA)的數(shù)據(jù)建模能力，來分析和檢測運(yùn)營商網(wǎng)絡(luò)中用戶信息的安全.其處理過程如下：1)從文件、日志、數(shù)據(jù)庫等采集用戶數(shù)據(jù)；2)對數(shù)據(jù)處理緩存和格式化處理，將處理后數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫；3)通過規(guī)則引擎、用戶屬性、基線數(shù)據(jù)庫等，進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)分析；4)分析的結(jié)果存儲(chǔ)到數(shù)據(jù)庫.UEBA模型邏輯處理如圖1所示：

圖1 UEBA模型邏輯處理

UEBA對系統(tǒng)日志、設(shè)備日志、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志等進(jìn)行規(guī)范化預(yù)處理，并提供存儲(chǔ)、檢測、分析、檢索功能.支持對日志、網(wǎng)絡(luò)層元數(shù)據(jù)、應(yīng)用層元數(shù)據(jù)等結(jié)構(gòu)化數(shù)據(jù)的分布式存儲(chǔ).對結(jié)構(gòu)/半結(jié)構(gòu)/非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行索引，并對所收集到的日志數(shù)據(jù)進(jìn)行索引.

UEBA區(qū)別于傳統(tǒng)的規(guī)則和特征分析技術(shù)，更加注重于行為異常的分析，目前主要使用2種行為挖掘引擎：

1) 多維度行為基線引擎.

該引擎通過提供罕見值模型、時(shí)間序列模型以及聚類等無監(jiān)督學(xué)習(xí)模型，分析用戶行為來判斷運(yùn)營商用戶信息的風(fēng)險(xiǎn)情況.

2) 用戶及實(shí)體的行為會(huì)話重組引擎.

該引擎為行為序列模型提供行為特征的分析計(jì)算，以部門、個(gè)人、資產(chǎn)等為單位，建立多維度動(dòng)態(tài)行為基線，關(guān)聯(lián)用戶與資產(chǎn)的行為，用機(jī)器學(xué)習(xí)算法(基于數(shù)量、關(guān)聯(lián)關(guān)系、行為序列，上百個(gè)模型)和預(yù)定義規(guī)則找出嚴(yán)重偏離基線的異常行為，判斷用戶信息是否存在異常風(fēng)險(xiǎn).

2.2 用戶信息靜態(tài)檢測法

用戶信息靜態(tài)檢測法主要是對系統(tǒng)中的數(shù)據(jù)庫數(shù)據(jù)、文件數(shù)據(jù)、大數(shù)據(jù)平臺(tái)中存儲(chǔ)的數(shù)據(jù)進(jìn)行分析和檢測.其檢測過程如下：1)用戶信息資產(chǎn)自動(dòng)發(fā)現(xiàn).采用網(wǎng)絡(luò)嗅探、端口掃描等技術(shù)，實(shí)現(xiàn)指定IP和端口范圍內(nèi)存活的數(shù)據(jù)庫及ftp/sftp資產(chǎn)中用戶信息的自動(dòng)發(fā)現(xiàn).2)基于用戶敏感信息特征、識(shí)別策略及識(shí)別模型，使用爬蟲等技術(shù)掃描文件系統(tǒng)，用數(shù)據(jù)庫掃描工具進(jìn)行用戶敏感信息識(shí)別定位，形成敏感用戶信息識(shí)別策略集.

根據(jù)建立的敏感信息策略集，通過白盒測試方法，對系統(tǒng)中的文件、數(shù)據(jù)庫中數(shù)據(jù)、大數(shù)據(jù)平臺(tái)中存儲(chǔ)的數(shù)據(jù)進(jìn)行靜態(tài)掃描，發(fā)現(xiàn)敏感的用戶信息是否進(jìn)行了保密性處理等.

2.3 終端信息檢測法

對于非存儲(chǔ)型終端采用agent與代理的方式進(jìn)行數(shù)據(jù)采集.目前agent主要分為用戶態(tài)和內(nèi)核態(tài)，代理方式主要采用透明代理.

agent用戶態(tài)：主要用于掃描當(dāng)前終端中存儲(chǔ)的數(shù)據(jù)是否涉敏.

agent內(nèi)核態(tài)：主要用于解決https等加密流量的動(dòng)態(tài)收集.

透明代理：由于agent的內(nèi)核態(tài)會(huì)消耗相當(dāng)一部分的硬件性能以及設(shè)備的帶寬，因此更普遍的方式為采用代理的方式進(jìn)行https等加密流量的動(dòng)態(tài)收集.

目前針對于終端加密流量(SSL流量)的分析處理，主要采用SSL卸載的方法來實(shí)現(xiàn).

3 通過檢測工具檢測用戶信息合規(guī)性

為確保用戶信息安全管理符合要求，根據(jù)主管部門相關(guān)工作考核要點(diǎn)與評分標(biāo)準(zhǔn)，從數(shù)據(jù)識(shí)別能力、數(shù)據(jù)脫敏能力、接口安全管控能力、數(shù)據(jù)防泄露能力及數(shù)據(jù)庫審計(jì)能力等方面進(jìn)行評估檢測.

對網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息安全檢測主要包括管理面的檢查和技術(shù)面檢測.管理面的檢測主要以訪談、資料審查的方式進(jìn)行，技術(shù)面檢查主要通過檢測工具進(jìn)行檢測.

1) 用戶信息識(shí)別配置.對工具按檢測的流程進(jìn)行配置，包括用戶信息資產(chǎn)的發(fā)現(xiàn)和識(shí)別、敏感信息策略配置等，如圖2所示：

圖2 用戶信息資產(chǎn)識(shí)別

通過工具掃描探測功能，發(fā)現(xiàn)被檢網(wǎng)絡(luò)中可承載用戶信息的IT資產(chǎn)信息.對于已知的資產(chǎn)信息，直接通過模板導(dǎo)入到系統(tǒng)，再根據(jù)系統(tǒng)賬號(hào)，對關(guān)鍵資產(chǎn)按檢查項(xiàng)進(jìn)行配置，如數(shù)據(jù)庫、文件系統(tǒng)等.

2) 策略配置.根據(jù)確定的敏感信息，選擇敏感信息策略.在配置策略時(shí)，如果敏感字段信息不包含在工具中，通過自定義策略進(jìn)行添加.敏感用戶信息識(shí)別策略如圖3所示.

3) 檢測掃描.對選定的資產(chǎn)目標(biāo)按策略進(jìn)行掃描檢測.在檢測過程中，工具不能直接判定的檢測內(nèi)容，輔以人工檢測方式.最后得到安全檢測的結(jié)果，如表1和表2所示.

表1是檢測中發(fā)現(xiàn)存在的風(fēng)險(xiǎn)項(xiàng)，在本次檢測中，主要問題是存在的敏感信息未脫敏的情況.因?yàn)楸粶y系統(tǒng)是僅限公司內(nèi)部有限人員訪問，所以風(fēng)險(xiǎn)等級評估結(jié)果是“低”.如果這類系統(tǒng)面向互聯(lián)網(wǎng)或外部人員開發(fā)，風(fēng)險(xiǎn)等級評估結(jié)果就會(huì)是“高”.

表1 存在的風(fēng)險(xiǎn)項(xiàng)

表2中列出了技術(shù)安全檢查項(xiàng)和檢測結(jié)果.在本次實(shí)踐檢測中，數(shù)據(jù)脫敏不完全通過.

通過圖4可以看出，用戶信息在傳輸、展示和流轉(zhuǎn)過程中，被檢測系統(tǒng)存在對敏感數(shù)據(jù)脫敏處理不完全的問題.

圖3 敏感用戶信息識(shí)別策略

表2 技術(shù)安全檢查結(jié)果

圖4 用戶信息脫敏

4 安全分析

運(yùn)營商用戶信息的安全檢查非常復(fù)雜，其安全檢查項(xiàng)也非常多，很難在短時(shí)間內(nèi)完成全覆蓋檢測，需要根據(jù)實(shí)際的檢測場景，有針對性地對關(guān)鍵環(huán)節(jié)、關(guān)鍵點(diǎn)進(jìn)行檢測.單一的人工檢測無法發(fā)現(xiàn)隱藏的風(fēng)險(xiǎn)，完全依靠檢測工具容易存在漏判和誤判，需要檢測工具加人工輔助才能盡可能保證檢測的效果.結(jié)合用戶信息檢測實(shí)踐，運(yùn)營商用戶信息的安全問題主要集中在3個(gè)方面.這也是在運(yùn)營商用戶信息安全工作中需要重點(diǎn)關(guān)注的風(fēng)險(xiǎn)點(diǎn).

1) 賬號(hào)、權(quán)限、API等是用戶信息保護(hù)的薄弱點(diǎn).

用戶憑證泄露是導(dǎo)致用戶信息泄露的主要因素.賬號(hào)作為主體訪問客體的重要憑證，在通過安全驗(yàn)證后可以直接訪問數(shù)據(jù)庫、數(shù)據(jù)倉庫等載體的數(shù)據(jù)資源，保障賬號(hào)安全是用戶信息安全工作的重要內(nèi)容之一.應(yīng)用系統(tǒng)在不斷增加，系統(tǒng)間的數(shù)據(jù)交互越來越普遍，但對系統(tǒng)API的調(diào)用沒有給予最小化的訪問權(quán)限.同時(shí)，高頻數(shù)據(jù)訪問賬號(hào)的共享及弱口令設(shè)置等問題也特別突出.這一系列問題會(huì)導(dǎo)致用戶信息保護(hù)的風(fēng)險(xiǎn)點(diǎn)進(jìn)一步增加.

2) API防護(hù)缺失，成為用戶信息泄露最大的風(fēng)險(xiǎn).

API作為系統(tǒng)數(shù)據(jù)連接方式，其安全風(fēng)險(xiǎn)重視程度有待提高.API格式的多樣性、復(fù)雜性增大安全挑戰(zhàn).隨著業(yè)務(wù)場景的動(dòng)態(tài)發(fā)展，API的協(xié)議和格式也發(fā)生快速變化，API在廣泛應(yīng)用的同時(shí)，也引入了大量數(shù)據(jù)安全挑戰(zhàn).

3) 用戶信息安全狀態(tài)持續(xù)保障是落地難點(diǎn).

用戶信息資產(chǎn)梳理不全面導(dǎo)致安全保障不徹底.隨著數(shù)據(jù)處理技術(shù)的不斷成熟，數(shù)據(jù)量呈PB級增長，業(yè)務(wù)的持續(xù)擴(kuò)大與數(shù)據(jù)應(yīng)用的不斷裂變，海量、多元和非結(jié)構(gòu)化成為數(shù)據(jù)發(fā)展新常態(tài).企業(yè)通常在數(shù)據(jù)治理階段并未全面考慮相關(guān)的安全特性，數(shù)據(jù)本身又因?yàn)樘卣鞫?、分布散，關(guān)聯(lián)關(guān)系復(fù)雜等特性，造成大量低質(zhì)量、關(guān)系模糊的數(shù)據(jù)存儲(chǔ)在分散的數(shù)據(jù)載體中.這給企業(yè)用戶信息資產(chǎn)梳理造成了困難，而建立在用戶信息資產(chǎn)梳理基礎(chǔ)之上的持續(xù)安全保障更是難以實(shí)施.

5 結(jié) 論

用戶信息融入在網(wǎng)絡(luò)和系統(tǒng)各個(gè)層面，特別是運(yùn)營商用戶信息其重要性不言而喻，安全性也更復(fù)雜.對運(yùn)營商用戶信息進(jìn)行安全檢測是非常必要的.在系統(tǒng)的不同節(jié)點(diǎn)，運(yùn)營商用戶信息的安全建設(shè)和檢測方法不盡相同，所以對運(yùn)營商用戶信息的檢測需要結(jié)合具體的場景施行相應(yīng)的檢測方案，不能僅通過工具進(jìn)行定期檢查或檢測.對于系統(tǒng)中用戶信息數(shù)據(jù)的薄弱點(diǎn)需要增強(qiáng)檢測力度和頻度，根據(jù)檢測結(jié)果督促及時(shí)整改，以確保運(yùn)營商用戶信息全生命周期的安全性.