運(yùn)營商用戶數(shù)據(jù)安全防護(hù)體系的探索與實(shí)踐

常 璽

中國聯(lián)合網(wǎng)絡(luò)通信有限公司西安軟件研究院 陜西 西安710000

如今,企業(yè)都在進(jìn)行信息化建設(shè),多數(shù)企業(yè)在建設(shè)過程中,都過于重視功能的實(shí)現(xiàn),忽略了防護(hù)措施的構(gòu)建,從而導(dǎo)致出現(xiàn)了一系列的信息安全事件。例如用戶信息泄露、被竊取等等,導(dǎo)致用戶越來越不信任運(yùn)營商。近幾年,國家以及政府部門都在加強(qiáng)信息安全建設(shè),相關(guān)政策不斷出臺,使得單位員工安全意識得到了明顯的提高,同時用戶信息安全也有了很大的改觀。

一、運(yùn)營商用戶數(shù)據(jù)信息存儲和使用情況

(一)用戶數(shù)據(jù)信息的產(chǎn)生。運(yùn)營商用戶信息的產(chǎn)生主要體現(xiàn)在以下幾個方面。第一方面,用戶到營業(yè)點(diǎn)辦理業(yè)務(wù)時,會填寫相關(guān)的身份信息,這些信息會錄入到運(yùn)營商內(nèi)部信息管理系統(tǒng)中,并且還會將紙質(zhì)檔案保存。第二方面,一些用戶會通過運(yùn)營商電話來預(yù)約辦理業(yè)務(wù),或者運(yùn)營商上門為用戶辦理業(yè)務(wù),在辦理業(yè)務(wù)過程中,客服會詢問用戶相關(guān)信息,將信息直接錄入到系統(tǒng)中[1]。第三方面,部分用戶無法到營業(yè)點(diǎn)辦理業(yè)務(wù),所以會選擇在運(yùn)營商創(chuàng)建的自助服務(wù)平臺辦理業(yè)務(wù),在登錄平臺時,會需要用戶輸入身份信息進(jìn)行實(shí)名認(rèn)證,這些信息會直接存入到管理系統(tǒng)中。第四方面,當(dāng)用戶出現(xiàn)問題或者故障時,運(yùn)營商會向工作人員發(fā)送相關(guān)業(yè)務(wù)單,工作人員在幫助用戶解決問題和故障時,會對用戶的一些信息進(jìn)行記錄,之后形成紙質(zhì)檔案進(jìn)行保存。

(二)用戶數(shù)據(jù)信息的使用。運(yùn)營商內(nèi)部以下幾種工作人員會對用戶信息進(jìn)行訪問和使用。第一種,營業(yè)人員和客戶經(jīng)理在為用戶辦理相關(guān)業(yè)務(wù)時,會對用戶的基本信息以及訂購業(yè)務(wù)等進(jìn)行核查。第二種,客服人員在為用戶進(jìn)行業(yè)務(wù)服務(wù)時,會對用戶的有效信息等進(jìn)行核查。第三種,客戶經(jīng)理在維護(hù)用戶時,會對用戶的信息進(jìn)行查詢。第四,安裝維修人員在上門為用戶解決問題和故障時,會對用戶的故障信息和地理位置信息等進(jìn)行查詢。第五種,信息管理系統(tǒng)的工作人員在對系統(tǒng)進(jìn)行更新和維護(hù)時,需要對用戶的具體信息進(jìn)行查詢和處理。

對于運(yùn)營商外部來說,代理商在為用戶辦理相關(guān)業(yè)務(wù)時,會對用戶的信息和業(yè)務(wù)訂購信息等進(jìn)行查詢。除此之外,用戶可以在服務(wù)平臺上查詢到與自身相關(guān)的業(yè)務(wù)信息和消費(fèi)信息等。另外,運(yùn)營商在為用戶提供增值等服務(wù)時,會對用戶的有效信息進(jìn)行查詢和校驗(yàn)。

(三)用戶數(shù)據(jù)信息的存檔和銷毀。不同客戶信息的有效性存在一定的差異,運(yùn)營商在對不同客戶信息進(jìn)行存儲時,會設(shè)置不同的存儲類型,與此同時,保存的時間以及封存的時間也會有相關(guān)的規(guī)定。當(dāng)客戶信息超過規(guī)定時間之后,會對無效信息進(jìn)行歸檔和封存,超過封存期的用戶數(shù)據(jù)會進(jìn)行銷毀處理。

二、運(yùn)營商用戶數(shù)據(jù)安全防護(hù)體系構(gòu)建對策

(一)信息分級和脫敏。運(yùn)營商會存儲大量的用戶信息,并且每種類型信息的敏感程度都不盡相同。為了提高安全防護(hù)的整體效率,要根據(jù)信息的重要程度來對用戶信息進(jìn)行分級處理,并根據(jù)客戶的級別來設(shè)置相關(guān)的安全管控措施,同時對數(shù)據(jù)信息進(jìn)行防護(hù)。對于敏感度較高的數(shù)據(jù)信息,運(yùn)營商要利用模糊處理或加密處理來降低信息的敏感性。

(二)權(quán)限管理。對于用戶有效信息以及信息管理系統(tǒng)中存儲的用戶數(shù)據(jù)來說,訪問操作權(quán)限的控制是安全防護(hù)體系的關(guān)鍵[2]。因此,運(yùn)營商要按照權(quán)限最小化的標(biāo)準(zhǔn)來對工作人員的信息訪問權(quán)限進(jìn)行設(shè)置,并且要規(guī)定工作人員只能訪問對應(yīng)級別的用戶有效信息,不能跨級進(jìn)行訪問。與此同時,運(yùn)營商要對系統(tǒng)賬號的安全性進(jìn)行管控,防止賬號信息出現(xiàn)泄漏等情況。

(三)構(gòu)建信息安全基礎(chǔ)設(shè)施。對于電子形式的客戶信息,運(yùn)營商要構(gòu)建完整的信息安全防護(hù)基礎(chǔ)設(shè)施。構(gòu)建信息安全防護(hù)技術(shù)設(shè)施可以從以下幾點(diǎn)進(jìn)行。首先,運(yùn)營商可以利用終端認(rèn)證、漏洞掃描以及木馬查殺等設(shè)施來對終端進(jìn)行管控,避免其他外部終端進(jìn)入到運(yùn)營商內(nèi)部網(wǎng)絡(luò)中,同時要規(guī)定外部終端只有符合安全條件才能夠進(jìn)行訪問。其次,利用網(wǎng)絡(luò)行為審計(jì)以及防火墻等基礎(chǔ)設(shè)施來對用戶信息傳輸?shù)木W(wǎng)絡(luò)進(jìn)行管控,以此來保證用戶數(shù)據(jù)信息能夠安全、穩(wěn)定的進(jìn)行傳輸。第三,利用數(shù)據(jù)庫操作審計(jì)和漏洞掃描等基礎(chǔ)設(shè)施來對數(shù)據(jù)信息數(shù)據(jù)庫進(jìn)行管控,避免數(shù)據(jù)庫被入侵和非法訪問,防止出現(xiàn)數(shù)據(jù)泄露的情況。最后,要對數(shù)據(jù)庫系統(tǒng)、文件系統(tǒng)以及應(yīng)用系統(tǒng)進(jìn)行加密,對一些敏感用戶數(shù)據(jù)信息要采用密文的形式進(jìn)行存儲,防止出現(xiàn)信息安全事故。

(四)開展網(wǎng)絡(luò)安全攻防演練。運(yùn)營商要不定期的開展網(wǎng)絡(luò)安全攻防演練,通過虛擬的用戶數(shù)據(jù)來檢測相關(guān)系統(tǒng)的安全性,以此來提高上技術(shù)人員安全防護(hù)和應(yīng)急處置能力[3]。運(yùn)營商可以邀請經(jīng)驗(yàn)豐富的專家組成攻擊隊(duì),將企業(yè)內(nèi)部技術(shù)人員組成防守隊(duì),不限制攻擊路徑和攻擊手段,來進(jìn)行網(wǎng)絡(luò)攻擊,獲取運(yùn)營商系統(tǒng)中的虛擬用戶信息。在整個過程中觀察內(nèi)部技術(shù)人員的解決手段、解決時間以及后續(xù)完善工作,在攻防演練結(jié)束之后,運(yùn)營商要根據(jù)演練的結(jié)果來對系統(tǒng)進(jìn)行完善,同時對技術(shù)人員進(jìn)行培訓(xùn),從而提高網(wǎng)絡(luò)安全的綜合防控能力。

結(jié)束語

總而言之,用戶數(shù)據(jù)安全防護(hù)體系構(gòu)建是一項(xiàng)系統(tǒng)、復(fù)雜的工程,需要運(yùn)營商不斷的進(jìn)行探索和實(shí)踐才能構(gòu)建出完整的安全防護(hù)體系。雖然我國運(yùn)營商在數(shù)據(jù)安全防護(hù)方面已經(jīng)開展了大量的工作,但是與國外相比還存在著一些差距。因此,運(yùn)營商要對業(yè)務(wù)范圍的用戶數(shù)據(jù)信息進(jìn)行有效識別,并通過安全防護(hù)體系來對用戶數(shù)據(jù)進(jìn)行管控,從而防止用戶數(shù)據(jù)被泄露。