电信运营商数据防泄露体系研究

曲大林 张 尼 刘明辉 宫 雪

中国联通研究院 北京 100032

前言

电信运营商详细记录了人在现代社会的信息指纹，极大地促进了电信运营商加快对数据价值的挖掘与应用[1]，但是与此同时也应该清醒地认识到大数据信息同样带来了巨大的安全风险，亟需加强对数据的监管和防护。

首先，电信运营商掌握的数据价值越来越高，已经成为黑客、不法人员的重点攻击对象和盈利手段，而企业由于核心数据泄漏带来的品牌、经济等方面的损失也越来越大；并且随着电信运营商IT系统及数据的逐步集中，数据安全风险一点点聚焦并迅速放大，量变极易积累成质变[2]。

其次，国资委、工信部等上级单位对电信运营商的监管要求越来越高。《中央企业商业秘密保护暂行规定》中对核心数据防泄漏做出了明确要求。数据安全正日益成为电信运营商企业安全管理和风险控制的核心内容。

近年来已经出现了数起电信运营商数据信息泄漏和客户有价信息被篡改等恶性安全事件，已严重威胁企业的正常运营并影响了客户满意度，新形势下电信运营商面临的数据泄密风险极其严峻，不容乐观，主要表现在以下几个方面。1)数据的集中带来泄漏风险的集中；2)人员和数据接触方式复杂；3)开发、测试和生产环境混用；4)技术防护手段相对落后。

但是数据防泄漏是一项艰巨、复杂的任务，需要进行细致、科学的研究，降低风险、保护投资、提高防护效率；因此，需要建立一套完整的数据安全防护体系，从数据的全生命周期进行安全防泄漏保护，特别是对涉及客户积分、话费信息等有价类信息进行深度防护，对可能造成重大损失的批量信息泄漏进行重点监控。

1 数据泄漏场景分析

1.1 数据泄漏的成因

数据泄漏是一个逐步的过程，从信息数据生成的源头逐渐向外扩散，通常最终由非授权用户通过不同的边界途径传播到企业无法控制的外部环境，从而造成信息泄漏，如图1所示。

图1 电信运营商企业数据扩散模型

按照核心数据的分布和扩散，基本有以下区域和部门。1)核心生产区域，是核心数据的产生、保存和维护的区域；2)核心研发区域，是业务系统的开发和测试区域，主要使用生产系统获得的数据进行开发和测试；3)企业办公区域，核心数据经过分析处理，会通过办公环境进行扭转和发布使用；4)非企业区域，互联网环境或第三方接口环境等。

核心数据从业务区域到研发区域，从业务区域到办公区域，从办公区域到企业外部环境，会产生逐级扩散的效应。数据安全管控需要逐级控制核心数据的传递，达到逐级降低风险的效果。

1.2 数据泄漏途径

数据泄漏分析的核心思想是：核心数据->人->边界。数据源于业务系统，数据的下载和传播都是人为操作，需要通过边界(网络、终端、虚拟化等物理边界和逻辑边界)进行外泄，整个分析过程围绕这个思路开展。数据泄漏途径分析模型如图2所示。

图2 数据泄漏途径分析模型

1) 数据通过外部网络泄漏。数据流转到终端域以后，互联网泄漏是主要途径之一，操作方式主要有邮件、Web应用等，数据可能会发送给外部监管部门、第三方合作伙伴、个人邮箱等，需要重点管控，根据不同的数据敏感级别，采取不同的管控行为和措施，降低互联网泄漏风险。

2) 数据通过终端泄漏。数据流转到终端域以后，可能通过终端的外设(U盘、刻录、打印等)、终端应用(IM等)、终端外联(WLAN、蓝牙、红外等)进行数据泄漏，需要对终端和终端的所属人进行有效管控，降低数据泄漏风险。

3) 数据异常存储分布。数据的违规存放是导致数据泄漏的原因之一。核心数据如果按照用户访问权限严格控制存放位置，可以使数据操作可知、可控。然而运维过程中数据的存放没有严格管理，可能会导致数据存放在不受管理或权限管控未覆盖的位置，导致数据的获取更容易、更混乱，数据安全工作存在盲点，加大泄漏风险；因此，对数据的分布做到可知和可控，可以大大降低风险。

4) 数据批量下载和导出。数据产生于服务器域的业务和应用系统，数据产生后，由于业务分析、开发测试等需要，需要从生产系统批量下载和导出数据，这就是数据泄漏的源头。在这个过程中存在人员权限滥用、违规操作、越权访问和下载等风险，需要通过人员权限细分、控制、审计和考核来降低核心数据操作风险。

1.3 数据操作环节

电信运营商数据主要在开发、运维、使用三大环节上进行流转和操作，各环节涉及的人员类型、具体的工作内容以及可能的数据操作情况如表1所示。

表1 数据操作环节涉及人员、内容及主要操作

1.4 数据泄露人员类型

以电信运营商BOSS系统和经营分析系统为例，在其开发、运维、使用各环节中，各种可能的泄漏途径下相应的泄露人员分析如图3、图4所示。

这些人员和角色，在各个工作环节中，都有可能接触到核心数据，都可能产生泄漏行为，最终可能通过终端边界和互联网边界进行泄漏。

图3 电信运营商BOSS系统数据泄露人员类型分析

图4 电信运营商经分系统数据泄露人员类型分析

2 数据安全防护常用方法及问题分析

目前，电信运营商在进行数据安全防护建设的时候通常先经过专业咨询公司，按照生命周期理论对数据的流转过程进行梳理、识别，然后根据梳理情况对数据进行分类与分级，最后进行针对性的防护方案设计，流程如图5所示。

图5 电信运营商传统数据防护流程

实践证明这种方法存在很大的难度，虽然在资源和人力上投入很多，依然不能阻止泄露事件的发生。

难点1：安全管理部门职责所限，落实力度不够；业务部门被动配合安全工作，主动安全意识不强。双方信息不对称使得数据安全工作很难落地。

难点2：数据过于庞大，系统过于复杂，识别阶段步履艰难。电信运营商企业数据分散，内部任意流转，分类分级管控不严；同时，数据出口太多，各部门有各自的管道访问数据，也有各自的方式与外部交流，最终导致数据通过多种方式无控制流出。因此，建立一个有效的核心数据防泄漏体系，必须充分调动企业所有部门的力量，全面封堵数据泄露风险，信息安全责任落实到“人”，信息安全指南落实到“步骤”，信息安全度量落实到“指标”，才能实现数据安全管理工作的真正落地。

3 数据防泄漏体系模型

3.1 总体框架

根据上述分析，数据安全工作最重要的就是安全职责分工的明确和安全责任落实到每个人，因此，数据安全防护工作应以“数据安全责任矩阵”为核心，落实每个系统和每条数据的安全责任人，落实每个系统和每条数据的所有控制点、控制措施和流程，并以此为核心落实配套的安全岗位和职责、安全策略制度、安全流程、安全检查审计体系以及安全技术防护措施。总体框架模型如图6所示。

图6 电信运营商数据防泄漏体系模型

通过“一个矩阵+技管结合”，可针对前文分析的数据泄露成因，完全覆盖数据操作的各个环节、人员类型以及泄露途径，有效保障核心数据的安全，详见下文分析。

3.2 数据安全责任矩阵

数据安全责任矩阵包括1个总矩阵，填写所有含核心数据的业务系统、核心数据类型及第一责任人；每个业务系统3个分解矩阵，覆盖系统的开发环节、运行环节和维护环节，如图7所示。

图7 数据安全责任矩阵结构示意

各分矩阵的纵向设计以“系统生命周期”(规划、需求分析、设计开发、测试、上线、运行、维护和下线)和“数据生命周期”(生成、存储、使用、传输、归档、销毁)为依据。

1) 业务开发环节：按系统生命周期确保全面性，重点关注设计开发、测试、开发测试环境、上线及变更、第三方人员(设计、开发及测试人员)等。

2) 业务运行环节：按数据使用的生命周期确保全面性，重点关注数据收集(采集/上传/导入)、存放、发布/外发、一般性操作使用、批量下载与导出、第三方人员(合作伙伴)等。

3) 业务维护环节：以IT系统通用架构层次确保全面性，重点关注应用、服务器、数据库、网络、终端、数据及文档、第三方人员(代维人员)。

各分矩阵的横向设计以“数据的责任”为出发点，落实相关的控制点以及具体的责任人，主要包括以下几点。

1) 管理责任：描述管理上的要求，推动相关管控要求的建立。

2) 执行责任：描述执行流程和管控要求，并建立落实管控要求的技术手段。

3) 检查责任：描述监督检查要求，推动检查的制度和流程的建立以及相关支撑检查技术手段的建设。

3.3 管理体系

在管理层面，以责任矩阵为指导，重点关注策略制度、管理流程和检查审计，将制度中的控制点信息落实到具体的安全岗，在责任落实的推进中发现安全组织结构潜在的问题，进一步优化信息安全组织结构。体系架构如图8所示。

图8 数据防泄漏管理体系架构

3.4 技术体系

技术体系主要支撑责任矩阵中各环节的执行和检查责任的落实[3]，体系架构如图9所示。

图9 数据防泄漏技术体系架构

4 云计算对数据防泄漏体系的影响

4.1 云计算下数据的生命周期管理

云计算环境下的数据安全，方法论没有本质变化，仍然要遵循数据安全生命周期管理方法，在数据流转的每个阶段，进行安全控制，实现数据安全生态体系。

4.2 云计算下信息承载形式变化带来的泄漏风险

传统数据中心，业务数据大多保存在结构化系统中，要获取数据需要经过网络、主机、数据库多层访问控制，并通过复杂的查询过程进行，受控程度高。

云化平台下，信息承载和存在形式从数据库变成了虚拟文件系统，存在虚拟文件系统被盗取和篡改的风险，需要加强虚拟文件系统的访问控制，承载变化如图10所示。

图10 传统和云化环境下数据承载的变化

4.3 云计算环境中的数据边界泄漏风险与控制

虚拟化和云计算技术的采用，将改变现有传统IT的体系架构，从物理边界逐步发展到逻辑边界。主要使用的技术有存储虚拟化、网络虚拟化、服务器虚拟化、终端桌面虚拟化等；因此，需要清晰定义云计算环境下数据的逻辑边界。常见的逻辑边界如图11所示。

图11 云计算环境下的数据逻辑边界

1) 云核心边界：主要是服务器虚拟化的边界，可以控制核心数据向外扩散。

2) 云桌面边界：核心数据可通过审批流程控制扩散到云桌面环境，云桌面边界可以控制数据向外扩散。

3) 设备端边界：核心数据经过处理后，经过审批流程，可以扩散到物理设备环境，设备端的边界可以控制数据向外扩散，如网络边界、终端边界等。

4) 云计算环境中数据泄露途径模型的变化。其模型如图12所示。

图12 云计算环境下数据泄漏途径分析模型

5) 云计算环境中责任矩阵的调整。依据数据访问最小授权原则，在云计算环境下，和边界控制同等重要的是人员权限控制。梳理每个用户团体和个人应该被赋予的权限，而后进行权限细分和控制，目标是实现数据访问的最小授权。

5 结束语

本文充分分析了电信运营商数据泄露途径模型、泄露人员类型，以数据生命周期为基础，结合数据在电信运营商主要的流转使用环节，提出以数据安全责任矩阵为核心、管技结合一体化的新的数据安全防护模型以及相应的管理体系和技术体系建议，为解决电信运营商数据安全防护工作复杂、低效等问题进行了有益的探索。

数据安全责任矩阵的设计充分借鉴了“PDCA”的科学管理思想，将人员的角色分为管理者、执行者和检查者三类，将闭环管理思想贯彻到岗位职责中，保证了责任矩阵的全面性和可落地性。

同时，针对云计算的发展和技术特点，提出云计算环境下电信运营商数据安全的关注点，包括新的泄露风险、数据边界变化等；面对这些变化，电信运营商需如何完善数据安全风险模型、如何调整数据安全责任矩阵，将是下一步研究的重点。

参考文献

[1]童晓渝,张云勇,房秉毅,等.大数据时代电信运营商的机遇[J].信息通信技术,2013,7(1):6-8

[2]华汪明,张新跃,汪飞.电信运营商敏感信息保护体系研究与设计[J].现代电信科技,2011(11):52-53

[3]胡坤,刘明辉,宫雪,等.电信运营商应用数据的安全管控与隐私保护研究[J].信息通信技术,2013,7(6):64-65