中国移动业务支撑网客户信息安全保护

（中国移动通信集团吉林有限公司，长春 130021）

中国移动业务支撑网客户信息安全保护

徐党生

（中国移动通信集团吉林有限公司，长春 130021）

中国移动业务支撑系统积累和掌握了大量的客户信息，如何实现对业务支撑网客户信息的安全管理，确保业务支撑网客户信息的机密性，成为当前安全建设的重中之重。本文根据中国移动的业务特点和实际情况针对业务支撑系统客户信息安全管理的实现架构进行分析和描述，提出构建从客户信息分级、电子审批、提取控制、数字水印、文档控制、审计等方面来加强数据安全控制。

客户信息；数据安全；电子审批；数字水印

1 客户信息安全保护背景

中国移动业务支撑系统中积累和掌握了大量的客户信息，存储和处理客户信息的支撑系统包括业务支撑系统（BOSS）、经营分析系统、CRM、网管系统、客户服务支撑系统等。

客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息和客户通信内容信息等4大类。

（1）客户基本资料包括但不限于集团客户资料、个人客户资料、渠道及合作伙伴资料、精确营销目标客户群数据和各类特殊名单。

（2）客户身份鉴权信息包括但不限于客户的服务密码和客户登录各种业务系统的密码。

（3）客户通信信息包括但不限于详单、原始话单、账单、客户位置信息、客户消费信息、基本业务订购关系、增值业务（含数据业务）订购关系、增值业务信息、客户通信行为信息和客户通信录等。

（4）客户通信内容信息包括但不限于客户通信内容记录、客户上网内容及记录和行业应用平台上交互的信息内容。

客户信息安全面临的风险和威胁主要包括因为权限管理与控制不当，导致客户信息被随意处置；因为流程设计与管理不当，导致客户信息被不当获取；因为安全管控措施落实不到位，导致客户信息被窃取等。

2 客户信息安全保护的目标

客户信息安全保护的目标如下。

（1）利用安全保护手段和审计系统对业务支撑网客户信息的数据泄漏及篡改做到事前预防、事中控制、事后审计。

（2）通过管理制度及细化管理流程强化客户信息安全的日常管理和审核，及时处理客户信息泄密事件的处理，落实信息泄露的惩罚措施。

3 客户信息安全保护的要求

客户信息安全保护的总体要求如下。

（1）对业务支撑网客户信息按数据价值、数据安全需求两方面进行分级管理。

（2）对业务支撑网客户信息的所有存储方式及获取途径应进行深入分析，及时发现并弥补业务层面和系统层面中可能导致客户信息被篡改和泄漏的漏洞。

（3）利用安全技术和管理手段加强客户信息管控，避免数据泄露和非法篡改。

4 总体设计

结合业务支撑网客户信息安全保护要求给出安全保护体系架构、功能模块。主要从客户信息授权鉴权、电子审批、数据提取控制、维护工具管理、数字水印、文档管控、操作行为审计等方面加强客户信息安全控制，提高业务支撑系统的客户信息安全保障能力。

4.1 体系架构

整个体系由数据层、应用层、服务层构成，每个层次分别对应客户信息安全保护的主要功能模块。客户信息安全保护体系的逻辑架构如图1所示。

4.2 功能模块设计

整个客户信息安全保护体系功能模块设计和系统交互，如图2所示。

下面针对每个部分进行详细功能设计。

4．2．1 授权与访问控制

通过4A管理平台实现维护终端集中化授权与访问控制。4A管理平台上采用堡垒主机的技术，基于用户的权限，进行统一的资源层和应用层访问控制，避免维护人员使用不安全的终端直接访问客户信息。

4A管理平台进行统一的审计操作，原有系统功能和性能不会受到影响，在减轻管理员负担的同时，提高了账号控制和操作审计。

图1 客户信息安全保护体系逻辑架构图

图2 客户信息安全保护功能模块图

4．2．2 客户信息鉴权控制

客户信息鉴权控制首先对业务支撑网中所存储的数据进行梳理调研，根据数据机密性把数据分为敏感数据和非敏感数据两大类，并对敏感数据按机密程度级别进行分类。

鉴权控制模块包括数据属性综合分析、实体敏感度定义、内容敏感度定义、属性敏感度定义、敏感度分级、敏感度分级核查和数据安全鉴权控制调度等7部分；本文工程数据安全鉴权控制主要实现以下目标。

（1）数据属性综合分析：制定敏感数据定义原则，并对全网的数据进行分析整理，分析出当前业务支撑网中的所有敏感数据的存储位置和访问方式。

（2）实体敏感度：实体敏感度是根据实体（如表、视图）的保密程度来划分的敏感度。数据库表实体根据业务内容和行业背景等视角的不同，其敏感级别也有所不同。

（3）内容敏感度：根据实体内容（如表中的记录）的保密程度来设定的敏感度。根据数据库实体关键属性值的不同，其相对的保密程度也有所不同。如按月周期（或其它周期）属性来划分，将数据分为当月、3个月内、6个月内，并分别设置不同的敏感级别，拥有不同级别的用户所能查看的KPI周期范围就会不同。内容敏感度的优先级低于实体敏感度。

（4）属性敏感度：属性敏感度是根据实体属性（如字段）的保密程度来划分的敏感度。梳理系统的所有数据库表及其字段信息，运用这些集中管理的实体属性内容，给每个属性设置相应的敏感级别。在数据敏感度控制方面，属性敏感度的优先级仅次于实体敏感度。用户首先要有实体的浏览权限，才进一步考虑属性敏感度。

（5）敏感度分级：根据敏感数据的实体敏感度、内容敏感度、属性敏感度来计算出数据的敏感度级别。

（6）敏感度分级核查：根据预订的检查策略和规则对敏感数据的分级进行核查。

（7）数据安全鉴权控制调度：实现对数据安全鉴权控制的整体调度管理，负责对敏感数据模块的整体控制。

4．2．3 电子审批管理

电子审批模块包括自管理模块、审批内容管理、审批时间管理、电子审批引擎、电子审批服务支撑、审批赋权管理、电子验证码管理、临时访问审批管理、永久赋权审批管理和审批任务管理等。

用户访问业务支撑网时，如需要临时性获得直接上级某个功能点的用户权限，访问用户需进行权限升级的电子审批，将电子验证码传给业务支撑门户，由业务支撑应用门户向访问用户的直接上级发送。直接上级如同意该申请则转发电子验证码到访问用户，访问用户输入该电子验证码通过审批，用户通过审批后在限定时间内获得查看权限；如直接上级不同意该申请则不进行转发。

4．2．4 数字水印管理

数字水印模块包括自管理模块、敏感度内容配置、数字水印生成引擎、数字水印调用管理、用户数据采集、数字水印配置服务、条形码规则管理、水印校验服务和流程管理接口等。主要实现以下目标。

（1）自管理模块：负责数字水印服务自身的配置管理，主要包括用户管理、敏感数据内容控制等功能。

（2）敏感度内容配置：负责数字水印服务自身的配置管理，主要包括用户管理、敏感数据内容控制等功能。

（3）数字水印生成引擎：水印生成引擎给请求的应用返回数字水印图片文件，数字水印图片文件由用户的条码图多次重复出现形成，用户条码图用请求应用的用户ID计算得出的，不同的用户ID生成不同的条码图。

（4）数字水印调用管理：负责对业务支撑系统提供数字水印服务的整套调度和支撑管理。

（5）用户数据采集：根据数字水印的生成需要，采集业务支撑系统的访问员工ID、时间日期、登录IP及菜单ID等信息。

（6）数字水印配置服务：负责用户访问页面时调用数字水印服务的配置管理，通过配置来定义哪些业务支撑网内容需要提供数字水印服务。

（7）条形码规则管理：定义数字水印的条形码规则，根据规则实现计算、加密、编码并进一步生成用户条码。

（8）水印校验服务：提供后台服务，管理人员可以通过该功能解读条形码并找出真正的用户姓名。

用户访问页面时可以根据访问员工ID、时间日期、登录IP及菜单ID生成数字水印信息内容，将数字水印信息内容传送给业务支撑系统，由业务支撑系统门户进行水印展现。

4．2．5 客户信息取数控制

4A管理平台针对客户信息访问提供了图形化工具与审计相结合的集中管理，构建了一个完整的用户管理、用户鉴权、操作审计和访问控制的体系。不再允许用户对数据库后台资源的直接访问；需要将通过数据库的堡垒取数控制主机来访问，由堡垒主机预装的图形化工具访问数据库的后台资源。

客户信息取数控制架构如图3所示。

4．2．6 维护工具集中管理

客户信息的维护工具通过4A管理平台进行统一的Web发布，将系统运行维护工作所涉及的应用软件或工具集中部署在4A管理平台服务器上。通过Web方式来向不同用户或用户群发布并仅发布其所需应用；用户在客户端通过IE浏览器访问权限访问内的客户信息。

4．2．7 客户信息文档管控

针对业务支撑网中涉及客户信息访问的维护人员都建立一个个人文件夹，个人文件夹的文件存放在4A文档服务器上，通过4A管理平台访问每个账号的文件夹。文件夹设置权限为只能某个主账号访问。管理中心通过FTP协议访问文档服务器的目录，客户端通过HTTP协议管理文件夹，上传下载通过HTTP/FTP协议。

图3 客户信息取数控制示意图

实现客户信息批量文档下载操作行为的可控化，如果维护人员的确因业务需要下载用户数据，则需要根据事先约定的申请、审批等环节，同时通过短信通知上级主管，形成基于信息安全监察机制的闭环控制体系。

4．2．8 客户信息访问审计

通过4A管理平台任何用户使用和应用的过程可以被全程监控，其审计的内容包括录像审计、SecurerCRT审计、Sql访问审计、客户信息批量下载审计等。

任何用户使用维护功能的过程将被全程监控：用户的操作行为及显示器上的内容变化可以存放到集中存储上，然后在需要的时候像看电影一样回放。

为有效利用资源和保护隐私，客户信息访问审计允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。

业务支撑系统从各环节层次抽取的审计日志信息，按照4A管理平台的要求对其进行重新过滤和格式化整理，并最终进行日志信息入库。整个过程需实现处理的流程化及自动调度机制，以保证4A管理平台能够及时地获取日志数据。4A管理平台提供统一日志采集接口（API或WebServices），所有应用系统都可以调用该接口，记录日志信息。

5 意义

客户信息保护体系的建设是以强化业务支撑系统数据安全管理，实现信息安全审计、数据安全保护为最终目的。通过对系统权限、操作日志、访问控制等安全措施，满足中国移动在客户信息安全保护方面的需求，提升业务支撑系统抗客户信息安全风险能力，更进一步推动业务支撑系统的持续、健康发展。

6 结束语

本文在分析了中国移动客户信息安全保护的需求基础上，对客户信息保护体系的关键实现机制进行了研究，并对客户信息保护体系的实现架构、功能要求、管控方法进行了分析和描述。

在客户信息保护体系的实际应用中需要紧密地与业务支撑系统的实际情况，形成CRM系统、经营分析系统客户信息安全管控策略，提高了安全机制的推广效率。随着用户的深入使用，功能将越来越强大。

Customer information protection of business support systems

XU Dang-sheng
(China Mobile Group Jilin Co., Ltd., Changchun 130021, China)

Business support systems accumulated the large amount of customer information. How to protect the customer information security, business support network to achieve the security of sensitive data management, business support network to ensure the conf dentiality of sensitive data has become the top priority of the current securitybuilding. This paper analyze and describe the actual situation of business support systems sensitive data security management framework.Proposed to build the classification of sensitive data, electronic approval, data extraction control, digital watermarking, audit logs, etc. to enhance the data security controls.

customer information; data security; electronic approval; digital watermarking

TN918

A

1008-5599（2014）12-0023-05

2014-11-16