运营商大数据信息安全风险评估指标体系研究

摘要：运营商大数据面临着越来越严峻的安全威胁，有必要进行信息安全风险分析，认清大数据的利弊并充分利用其优势。本文用定性研究的方法对运营商大数据信息安全风险问题进行分析，提出一种运营商大数据信息安全风险评估的指标体系。

关键词：大数据；信息安全；指标体系

大数据给通信行业带来新的发展机遇，同时，因数据的集中管理、数据对外开放、设备虚拟化等新技术特点和业务新形态应用，也给业务发展带来新的安全问题，一旦发生安全事件则对企业声誉、公司利益、用户隐私产生重大影响。因此，对大数据面临的安全威胁和风险进行分析，有助于认清大数据的利弊，充分利用其优势，进一步采取适当安全措施避免损失。

1.信息安全风险来源

运营商在发展大数据业务，提供大数据服务的同时，也面临着大数据带来的诸多安全隐患问题，如隐私泄漏，大数据开源组件漏洞、数据可用性和完整性破坏等，大数据安全已成为大数据应用成败的关键，其关键安全风险来源于数据集中管理、基础设施虚拟化、平台组件开源、敏感数据共享以及数据对外开放。

2.信息安全主要风险

2.1业务应用安全风险

业务应用系统自身可能会存在漏洞或业务逻辑权限处理不当情况，导致非授权用户越权访问或获取数据操作权限；在提供自有应用时有可能出现不良信息的安全隐患。

2.2应用支撑安全风险

应用支撑层可能存在对上层应用认证及权限管理不当，引发非法用户非授权访问；对数据导出行为不予控制，引发数据泄漏；缺乏对敏感数据识别及发现机制，使得上层应用有可能获取用户敏感数据。

2.3数据存储安全风险

敏感数据存储在公共访问区域、采取明文存储或弱加密算法、脱敏措施不到位、容灾备份管理不完善等均易造成数据泄漏或丢失损坏。

2.4 接口传输安全风险

通过不安全的通道进行数据传输时，可能出现中间人攻击导致数据被恶意截获的安全隐患；数据传输时未加密或密钥管理机制不完善等，造成数据泄漏；平台内部各组件接口之间的不兼容等问题。

2.5基础设施安全风险

服务器、路由器等设备面临着物理损坏、电力供应中断、电磁干扰等问题，设备存放的物理环境面临着防水、防电、防雷击等问题，平台网络面临着DDOS攻击等问题。

2.6平台运维安全风险

开发或代维人员往往拥有管理员权限，存在个别开发或运维人员从后台直接导出高价值敏感数据的风险；在运维过程中关键操作，缺少多人授权管控机制，容易引发数据泄漏；第三方厂商开发人员可能内置软件后门，非法窃取敏感信息。

2.7对外合作安全风险

合作营业厅、第三方服务渠道等在用户办理业务时留存或通过CRM系统等查询积累用户敏感信息；第三方利用敏感数据加密或脱敏不当的安全漏洞，通过逆向穷举攻击，关联其他数据，推算演绎等手段还原原始敏感数据；缺乏数据追踪溯源手段，一旦出现安全事件，无法及时定位数据的责任方以及泄漏点。

3.评价指标体系构建

3.1 指標体系构建原则

运营商大数据信息安全风险评估是一项复杂的系统工程，它具有连续性、持续性、动态性和调整性的特点。根据以上特点，必须贯彻三点指导思想：一是努力实现评价指标的全面和完整；二是坚持多维度评估运营商大数据信息安全的风险；三是重点考虑评价指标体系的普适性。

3.2评价指标选取方法

在大数据信息安全风险评估中，选取合适的评价指标至关重要。综合评价的结果准确与否直接受被评价指标的选取合适与否所影响。通过大量查阅有关参考文献，识别运营商大数据信息安全风险中的主要问题；在此基础上，深入分析指标体系，合并同类指标、去除重复和不重要的指标。然后进一步调整指标，使指标体系更加科学、合理，从而建立一套相对完整的运营商大数据信息安全风险评估指标体系。

3.3指标体系构建

按照上述的指标体系的构建原则和评价指标的选取方法，建立信息安全风险评估指标体系，包括2个一级指标、7个二级指标和21个三级指标。

一级指标“应用安全风险”以应用实现功能、使用情况为基本出发点，紧扣运营商大数据业务的对外合作安全风险、业务应用安全风险和应用支撑安全风险。其中二级指标“对外合作安全风险”包括“合作方留存积累敏感数据”“脱敏数据逆向还原破解”“缺乏数据追踪溯源手段”3个三级指标；“业务应用安全风险”包括“系统存在安全漏洞”“系统存在不良信息”2个三级指标；“应用支撑安全风险”包括“认证及权限管理不当”“未控制数据导出行为”“缺乏对敏感数据识别”3个三级指标。

一级指标“平台安全风险”聚焦承载大数据业务的系统平台，包括数据存储安全风险、接口传输安全风险、基础设施安全风险以及平台运维安全风险。其中二级指标“数据存储安全风险”包括“不同安全级别数据混合存储”“数据未加密或脱敏存储”“容灾备份方案不完善”3个三级指标；二级指标“接口传输安全风险”包括“数据被恶意截获”“数据未加密传输”“各组件接口不兼容”3个三级指标；二级指标“基础设施安全风险”包括“机房环境威胁”“平台设备故障”“平台网络遭受DDOS等攻击”“平台网络未做安全域隔离”4个三级指标；二级指标“平台运维安全风险”包括“第三方厂商留置后门”“第三方厂商权限缺乏管控”“操作缺乏授权管控机制”3个三级指标。

总结

本文针对现有运营商大数据信息安全面临的安全风险问题，用定性研究的方法对风险问题进行分析，大量收集关于运营商大数据风险评估的指标和相关内容，得到风险评估的三级指标体系，为运营商大数据提供一个综合性的信息安全风险评估指标体系。

参考文献：

[1]陈文捷，蔡立志.大数据安全及其评估[J].计算机应用与软件，2016，33（4）：34-38.

[2]佟鑫，任望，冯运波.大数据平台安全风险分析与评估方法[J].保密科学技术，2018（02）：6-14.

作者简介：

郑毓武（1988.10- ），男，汉族，广东汕头，本科，从事网络安全管理工作。