中國電信bss系統(tǒng)信息安全方案應(yīng)用研究

摘 要：隨著市場環(huán)境的迅速變化和競爭的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS已成為各大電信運營企業(yè)競爭的焦點。對BSS系統(tǒng)進行主動式管理涉及技術(shù)、管理、維護等方面，本文主要從電信行業(yè)角度分析，針對中國電信bss系統(tǒng)信息安全方案應(yīng)用進行研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用進行深入研究和探討。

1、引言

隨著市場環(huán)境的迅速變化和競爭的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS（Billing Supporting System）已成為各大電信運營企業(yè)競爭的焦點，從中國移動的BOSS到中國電信的CTG-BOSS，各電信運營商都在逐年加大對業(yè)務(wù)支撐系統(tǒng)BSS的投資。本文主要針對中國電信bss系統(tǒng)信息安全方案應(yīng)用進行深入探索研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用兩個主要方面進行深入研究和探討。

2、中國電信bss系統(tǒng)信息安全解決方案

本文主要采取了數(shù)據(jù)請求RSA加密策略和敏感數(shù)據(jù)MD5加密策略兩種方法來保證系統(tǒng)的安全。

2.1 求RSA加密策略

中國電信bss系統(tǒng)運行在內(nèi)網(wǎng)環(huán)境下，本中國電信bss系統(tǒng)采用RSA加密策略進行數(shù)據(jù)交互請求的加密和解密。

RSA加密由一對公鑰（PK）與私鑰（SK）組成。加密算法E和解密算法D也都是公開的。RSA算法中密鑰的長度越長，破解的難度也就越大。但是密鑰長度越長，加密所需的時間也隨之增加，對中國電信bss系統(tǒng)的性能有一定的影響。目前主要使用的密鑰長度為1024 bit。

但是，RSA非對稱加密內(nèi)容長度有限制，1024位key的最多只能加密127位數(shù)據(jù)。而中國電信bss系統(tǒng)報文常常會超過此限制。因此，我們對報文進行分段處理，報文分段后依次加密，然后組裝成整體，服務(wù)端接收后對報文分段，再依次解密。解密后的報文重新組裝，轉(zhuǎn)發(fā)給總后臺，以此解決了RSA加密算法對加密內(nèi)容長度的限制問題。

2.2 敏感數(shù)據(jù)MD5加密策略

MD5也就是消息摘要算法第五版，該算法的主要用來提供消息的完整性保護。用戶注冊和登錄前先在服務(wù)端生產(chǎn)隨機16位鹽值。取得鹽值后，用鹽值對用戶密碼進行加密。加密后的密文作為用戶密碼字段進行傳輸。后臺接受到報文后，根據(jù)鹽值對其進行解密。用戶在注冊用戶信息時，中國電信bss系統(tǒng)將密碼明文用戶賬號作為key經(jīng)過MD5哈希算法獲取MD5值，并將加密的字符串存儲到數(shù)據(jù)庫來保證密碼的安全。用戶登錄時，對解密后的內(nèi)容進行MD5運算。計算結(jié)果再與數(shù)據(jù)庫中的值進行比對，從而不會有用戶密碼的明文信息出現(xiàn)，保護了用戶的隱私。

3、中國電信bss系統(tǒng)信息安全方案應(yīng)用

互聯(lián)網(wǎng)作為一個開放的環(huán)境，它的優(yōu)點被大家所公認，但其安全性也成為用戶所擔(dān)心的問題。所以中國電信bss系統(tǒng)的設(shè)計與實現(xiàn)在建設(shè)過程中將安全工作作為一個重點進行考慮。中國電信bss系統(tǒng)首先從安全防護機制來考慮，通過對安全建設(shè)的各層進行防護，提高系統(tǒng)對入侵等的防護功能，保障數(shù)據(jù)的安全可靠；其次，中國電信bss系統(tǒng)應(yīng)該建立安全審查機制，對云環(huán)境中的位置數(shù)據(jù)、運單數(shù)據(jù)等進行授權(quán)，實現(xiàn)對數(shù)據(jù)操作行為的追蹤，從而保證云數(shù)據(jù)流向的安全可靠。

3.1 安全性要求

中國電信bss系統(tǒng)的設(shè)計與實現(xiàn)為非涉密中國電信bss系統(tǒng)。依據(jù)《信息安全等級保護管理辦法》的安全等級劃分，中國電信bss系統(tǒng)應(yīng)該能達到第三級的安全保護需求對應(yīng)的技術(shù)指標(biāo)。除此之外，中國電信bss系統(tǒng)的設(shè)計與實現(xiàn)滿足以下3方面的安全要求① 用戶在登錄業(yè)務(wù)中國電信bss系統(tǒng)時需要使用手機短信驗證碼，如手機丟失，可通過安全恢復(fù)功能，接觸特定終端或者號碼的權(quán)限授權(quán)。② 視頻會議錄像的查閱權(quán)限單獨設(shè)置。③ 在設(shè)計與實現(xiàn)中國電信bss系統(tǒng)時，應(yīng)加入以下技術(shù)：（a）傳輸使用AES加密。（b）會議密碼。（c）會議安全等級。（d）分級授權(quán)。

3.2 物理層安全

物理層安全主要是針對中國電信bss系統(tǒng)中硬件設(shè)施以及設(shè)施之間的鏈路連接的安全建設(shè)。中國電信bss系統(tǒng)在物理層安全策略上從環(huán)境安全、設(shè)備安全以及網(wǎng)絡(luò)鏈路安全這三個方面入手進行建設(shè)。通過建立妥善的制度首先限制物理設(shè)施等的訪問權(quán)限，其次進行場地安全管理建設(shè)與監(jiān)督，然后通過冗余的方式保障設(shè)備通訊的安全。

3.3 網(wǎng)絡(luò)安全

中國電信bss系統(tǒng)對于網(wǎng)絡(luò)安全的建設(shè)主要以防火墻為主，其他多種網(wǎng)絡(luò)安全防護手段相輔的策略。首先在網(wǎng)絡(luò)接入點部署防火墻，中國電信bss系統(tǒng)采用華為的USG5000防火墻，然后結(jié)合SSL、網(wǎng)絡(luò)專線、黑白名單等的方式保障網(wǎng)絡(luò)通信安全。將USG5000部署在網(wǎng)絡(luò)域中不同的地方，使其有不同的安全防護作用。

3.4 中國電信bss系統(tǒng)安全

中國電信bss系統(tǒng)安全主要是通過防病毒軟件進行入侵檢測，漏洞掃掐和評估、防病毒的安全措施，同時在數(shù)據(jù)庫服務(wù)器部分使用雙機熱備和共享磁盤陣列的方式，通過軟硬件雙重防備的安全措施來提高中國電信bss系統(tǒng)的安全性與可靠性。

在中國電信bss系統(tǒng)中，采用華為的IDS進行入侵檢測，OpenVAS進行漏洞掃描和評估，從中國電信bss系統(tǒng)整體進行安全防護。入侵檢測中國電信bss系統(tǒng)的主要功能是監(jiān)測和控制非法入侵，而漏洞掃描中國電信bss系統(tǒng)是通過專業(yè)軟件檢查中國電信bss系統(tǒng)存在的容易被攻擊的漏洞，提醒人員修復(fù)漏洞，提前進行安全防護；網(wǎng)絡(luò)安全評估中國電信bss系統(tǒng)可以動態(tài)地評測中國電信bss系統(tǒng)風(fēng)險，檢測網(wǎng)絡(luò)安全級別，從而為中國電信bss系統(tǒng)的安全運行提供保證；防病毒軟件可以加強對病毒文件的過濾，并且可以定期殺毒。

3.5 環(huán)境安全

環(huán)境安全主要包括中國電信bss系統(tǒng)的訪問控制以及數(shù)據(jù)安全。

（1）訪問控制。中國電信bss系統(tǒng)采用客戶端分類的方式，將客戶端分為不同使用者的訪問入口，從而控制用戶的訪問內(nèi)容和權(quán)限。（2）數(shù)據(jù)安全。由于中國電信bss系統(tǒng)為數(shù)據(jù)庫和操作中國電信bss系統(tǒng)分別配置了不同的登錄入口，如果是同一個工作人員進行這兩個登錄操作，必將引入不安全因素，所以模仿保險箱鑰匙的分人管理的模式，建議對這兩個登錄入口分別配備不同的工作人員進行管理。

3.6 終端安全

監(jiān)測中國電信bss系統(tǒng)的終端安全服務(wù)平臺是為保障用戶業(yè)務(wù)安全，實現(xiàn)緊急情況下的信息保護與風(fēng)險防范的重要基礎(chǔ)設(shè)施。安全服務(wù)平臺整體架構(gòu)包括兩個部分：車輛位置實時監(jiān)測中國電信bss系統(tǒng)的終端安全服務(wù)平臺和安全客戶端。安全客戶端為中國電信bss系統(tǒng)的初始入口提供安全接口。安全接口主要是身份認證功能以及基于數(shù)字證書技術(shù)的簽名/驗簽。終端安全服務(wù)平臺是對從安全客戶端的安全接口傳送的用戶信息進行驗證。

（1）安全中間件。安全中間件基于PKI設(shè)計，面向業(yè)務(wù)應(yīng)用提供加密/解密、數(shù)字證書解析、數(shù)字簽名、XML簽名等功能。

（2）業(yè)務(wù)中國電信bss系統(tǒng)安全套件。由證書應(yīng)用服務(wù)端和客戶端組成業(yè)務(wù)中國電信bss系統(tǒng)應(yīng)用安全套件。

（3）客戶端接口。不同的客戶端有專有的接口，專用的接口調(diào)用程序只調(diào)用用戶的接口，不關(guān)心用戶的使用情況；在應(yīng)用服務(wù)器上，服務(wù)器端的接口通過對客戶端接口的辨別，接收并處理不同客戶端發(fā)送到的安全認證、數(shù)據(jù)加密/解密和簽名驗證等系列安全處理請求。

4、結(jié)論

隨著市場環(huán)境的迅速變化和競爭的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS已成為各大電信運營企業(yè)競爭的焦點。本文主要從電信行業(yè)角度分析，針對中國電信bss系統(tǒng)信息安全方案應(yīng)用進行深入探索研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用兩個主要方面進行深入研究和探討。

參考文獻：

[1] 付明明. 面向電信系統(tǒng)的信息安全風(fēng)險評估研究及應(yīng)用[D]. 重慶理工大學(xué)， 2016.

[2] 謝科陽. 基于大數(shù)據(jù)的電信網(wǎng)絡(luò)信息安全管控平臺的建設(shè)研究[D]. 浙江工業(yè)大學(xué)， 2017.

[3] 李榮榮， 寇建濤， 董剛，等. 面向智慧園區(qū)的RFID系統(tǒng)信息安全認證方案[J]. 電信科學(xué)， 2016， 32（2）：164-169.

[4] 劉智瓊， 華竹軒， 黎莎菲. 面向BSS系統(tǒng)的權(quán)限管理模型研究[J]. 廣東通信技術(shù)， 2016， 36（11）：16-22.

作者簡介：

李翔（1984年2月21日），男 ， 漢， 福建省南平市，大學(xué)本科，工程師。