運營商大數(shù)據(jù)信息安全風(fēng)險評估指標(biāo)體系研究

摘要：運營商大數(shù)據(jù)面臨著越來越嚴(yán)峻的安全威脅，有必要進行信息安全風(fēng)險分析，認(rèn)清大數(shù)據(jù)的利弊并充分利用其優(yōu)勢。本文用定性研究的方法對運營商大數(shù)據(jù)信息安全風(fēng)險問題進行分析，提出一種運營商大數(shù)據(jù)信息安全風(fēng)險評估的指標(biāo)體系。

關(guān)鍵詞：大數(shù)據(jù)；信息安全；指標(biāo)體系

大數(shù)據(jù)給通信行業(yè)帶來新的發(fā)展機遇，同時，因數(shù)據(jù)的集中管理、數(shù)據(jù)對外開放、設(shè)備虛擬化等新技術(shù)特點和業(yè)務(wù)新形態(tài)應(yīng)用，也給業(yè)務(wù)發(fā)展帶來新的安全問題，一旦發(fā)生安全事件則對企業(yè)聲譽、公司利益、用戶隱私產(chǎn)生重大影響。因此，對大數(shù)據(jù)面臨的安全威脅和風(fēng)險進行分析，有助于認(rèn)清大數(shù)據(jù)的利弊，充分利用其優(yōu)勢，進一步采取適當(dāng)安全措施避免損失。

1.信息安全風(fēng)險來源

運營商在發(fā)展大數(shù)據(jù)業(yè)務(wù)，提供大數(shù)據(jù)服務(wù)的同時，也面臨著大數(shù)據(jù)帶來的諸多安全隱患問題，如隱私泄漏，大數(shù)據(jù)開源組件漏洞、數(shù)據(jù)可用性和完整性破壞等，大數(shù)據(jù)安全已成為大數(shù)據(jù)應(yīng)用成敗的關(guān)鍵，其關(guān)鍵安全風(fēng)險來源于數(shù)據(jù)集中管理、基礎(chǔ)設(shè)施虛擬化、平臺組件開源、敏感數(shù)據(jù)共享以及數(shù)據(jù)對外開放。

2.信息安全主要風(fēng)險

2.1業(yè)務(wù)應(yīng)用安全風(fēng)險

業(yè)務(wù)應(yīng)用系統(tǒng)自身可能會存在漏洞或業(yè)務(wù)邏輯權(quán)限處理不當(dāng)情況，導(dǎo)致非授權(quán)用戶越權(quán)訪問或獲取數(shù)據(jù)操作權(quán)限；在提供自有應(yīng)用時有可能出現(xiàn)不良信息的安全隱患。

2.2應(yīng)用支撐安全風(fēng)險

應(yīng)用支撐層可能存在對上層應(yīng)用認(rèn)證及權(quán)限管理不當(dāng)，引發(fā)非法用戶非授權(quán)訪問；對數(shù)據(jù)導(dǎo)出行為不予控制，引發(fā)數(shù)據(jù)泄漏；缺乏對敏感數(shù)據(jù)識別及發(fā)現(xiàn)機制，使得上層應(yīng)用有可能獲取用戶敏感數(shù)據(jù)。

2.3數(shù)據(jù)存儲安全風(fēng)險

敏感數(shù)據(jù)存儲在公共訪問區(qū)域、采取明文存儲或弱加密算法、脫敏措施不到位、容災(zāi)備份管理不完善等均易造成數(shù)據(jù)泄漏或丟失損壞。

2.4 接口傳輸安全風(fēng)險

通過不安全的通道進行數(shù)據(jù)傳輸時，可能出現(xiàn)中間人攻擊導(dǎo)致數(shù)據(jù)被惡意截獲的安全隱患；數(shù)據(jù)傳輸時未加密或密鑰管理機制不完善等，造成數(shù)據(jù)泄漏；平臺內(nèi)部各組件接口之間的不兼容等問題。

2.5基礎(chǔ)設(shè)施安全風(fēng)險

服務(wù)器、路由器等設(shè)備面臨著物理損壞、電力供應(yīng)中斷、電磁干擾等問題，設(shè)備存放的物理環(huán)境面臨著防水、防電、防雷擊等問題，平臺網(wǎng)絡(luò)面臨著DDOS攻擊等問題。

2.6平臺運維安全風(fēng)險

開發(fā)或代維人員往往擁有管理員權(quán)限，存在個別開發(fā)或運維人員從后臺直接導(dǎo)出高價值敏感數(shù)據(jù)的風(fēng)險；在運維過程中關(guān)鍵操作，缺少多人授權(quán)管控機制，容易引發(fā)數(shù)據(jù)泄漏；第三方廠商開發(fā)人員可能內(nèi)置軟件后門，非法竊取敏感信息。

2.7對外合作安全風(fēng)險

合作營業(yè)廳、第三方服務(wù)渠道等在用戶辦理業(yè)務(wù)時留存或通過CRM系統(tǒng)等查詢積累用戶敏感信息；第三方利用敏感數(shù)據(jù)加密或脫敏不當(dāng)?shù)陌踩┒?，通過逆向窮舉攻擊，關(guān)聯(lián)其他數(shù)據(jù)，推算演繹等手段還原原始敏感數(shù)據(jù)；缺乏數(shù)據(jù)追蹤溯源手段，一旦出現(xiàn)安全事件，無法及時定位數(shù)據(jù)的責(zé)任方以及泄漏點。

3.評價指標(biāo)體系構(gòu)建

3.1 指標(biāo)體系構(gòu)建原則

運營商大數(shù)據(jù)信息安全風(fēng)險評估是一項復(fù)雜的系統(tǒng)工程，它具有連續(xù)性、持續(xù)性、動態(tài)性和調(diào)整性的特點。根據(jù)以上特點，必須貫徹三點指導(dǎo)思想：一是努力實現(xiàn)評價指標(biāo)的全面和完整；二是堅持多維度評估運營商大數(shù)據(jù)信息安全的風(fēng)險；三是重點考慮評價指標(biāo)體系的普適性。

3.2評價指標(biāo)選取方法

在大數(shù)據(jù)信息安全風(fēng)險評估中，選取合適的評價指標(biāo)至關(guān)重要。綜合評價的結(jié)果準(zhǔn)確與否直接受被評價指標(biāo)的選取合適與否所影響。通過大量查閱有關(guān)參考文獻，識別運營商大數(shù)據(jù)信息安全風(fēng)險中的主要問題；在此基礎(chǔ)上，深入分析指標(biāo)體系，合并同類指標(biāo)、去除重復(fù)和不重要的指標(biāo)。然后進一步調(diào)整指標(biāo)，使指標(biāo)體系更加科學(xué)、合理，從而建立一套相對完整的運營商大數(shù)據(jù)信息安全風(fēng)險評估指標(biāo)體系。

3.3指標(biāo)體系構(gòu)建

按照上述的指標(biāo)體系的構(gòu)建原則和評價指標(biāo)的選取方法，建立信息安全風(fēng)險評估指標(biāo)體系，包括2個一級指標(biāo)、7個二級指標(biāo)和21個三級指標(biāo)。

一級指標(biāo)“應(yīng)用安全風(fēng)險”以應(yīng)用實現(xiàn)功能、使用情況為基本出發(fā)點，緊扣運營商大數(shù)據(jù)業(yè)務(wù)的對外合作安全風(fēng)險、業(yè)務(wù)應(yīng)用安全風(fēng)險和應(yīng)用支撐安全風(fēng)險。其中二級指標(biāo)“對外合作安全風(fēng)險”包括“合作方留存積累敏感數(shù)據(jù)”“脫敏數(shù)據(jù)逆向還原破解”“缺乏數(shù)據(jù)追蹤溯源手段”3個三級指標(biāo)；“業(yè)務(wù)應(yīng)用安全風(fēng)險”包括“系統(tǒng)存在安全漏洞”“系統(tǒng)存在不良信息”2個三級指標(biāo)；“應(yīng)用支撐安全風(fēng)險”包括“認(rèn)證及權(quán)限管理不當(dāng)”“未控制數(shù)據(jù)導(dǎo)出行為”“缺乏對敏感數(shù)據(jù)識別”3個三級指標(biāo)。

一級指標(biāo)“平臺安全風(fēng)險”聚焦承載大數(shù)據(jù)業(yè)務(wù)的系統(tǒng)平臺，包括數(shù)據(jù)存儲安全風(fēng)險、接口傳輸安全風(fēng)險、基礎(chǔ)設(shè)施安全風(fēng)險以及平臺運維安全風(fēng)險。其中二級指標(biāo)“數(shù)據(jù)存儲安全風(fēng)險”包括“不同安全級別數(shù)據(jù)混合存儲”“數(shù)據(jù)未加密或脫敏存儲”“容災(zāi)備份方案不完善”3個三級指標(biāo)；二級指標(biāo)“接口傳輸安全風(fēng)險”包括“數(shù)據(jù)被惡意截獲”“數(shù)據(jù)未加密傳輸”“各組件接口不兼容”3個三級指標(biāo)；二級指標(biāo)“基礎(chǔ)設(shè)施安全風(fēng)險”包括“機房環(huán)境威脅”“平臺設(shè)備故障”“平臺網(wǎng)絡(luò)遭受DDOS等攻擊”“平臺網(wǎng)絡(luò)未做安全域隔離”4個三級指標(biāo)；二級指標(biāo)“平臺運維安全風(fēng)險”包括“第三方廠商留置后門”“第三方廠商權(quán)限缺乏管控”“操作缺乏授權(quán)管控機制”3個三級指標(biāo)。

總結(jié)

本文針對現(xiàn)有運營商大數(shù)據(jù)信息安全面臨的安全風(fēng)險問題，用定性研究的方法對風(fēng)險問題進行分析，大量收集關(guān)于運營商大數(shù)據(jù)風(fēng)險評估的指標(biāo)和相關(guān)內(nèi)容，得到風(fēng)險評估的三級指標(biāo)體系，為運營商大數(shù)據(jù)提供一個綜合性的信息安全風(fēng)險評估指標(biāo)體系。

參考文獻：

[1]陳文捷，蔡立志.大數(shù)據(jù)安全及其評估[J].計算機應(yīng)用與軟件，2016，33（4）：34-38.

[2]佟鑫，任望，馮運波.大數(shù)據(jù)平臺安全風(fēng)險分析與評估方法[J].保密科學(xué)技術(shù)，2018（02）：6-14.

作者簡介：

鄭毓武（1988.10- ），男，漢族，廣東汕頭，本科，從事網(wǎng)絡(luò)安全管理工作。