電信運營商客戶信息安全方案

【摘要】本文對于電信運營商客戶信息安全現狀、體系、建設流程進行了描述，從整體上初步論述了客戶信息安全建設方案。

【關鍵詞】通信運營企業客戶信息安全安全域SOC

一、電信運營商客戶信息安全現狀

目前電信運營商對信息系統依賴性日益增強，而掃描探測、DDOS等攻擊數量急劇上升，漏洞利用的速度縮小到了天。但是作為電信運營商，由于網絡結構復雜，導致系統管理維護困難。一般會有網管網、計費網、辦公網、互聯網接口、新業務、地市公司等多張網，安全防護困難。

同時在運營商中也發生過一些客戶信息泄密的案例，“3.15”晚會也曝光過一些。電信運營商的客戶資料、充值卡、財務報表、發展計劃等商業機密的實際價值遠遠超過了固定的有形資產。

因此電信運營商如何保證客戶信息安全，成為了重要課題。

二、客戶信息安全體系

客戶信息生命周期包括了信息的產生、傳輸、存儲、處理、銷毀，因此我們在設計安全體系時，要按照“堅持積極防御、綜合防范的方針”，將安全組織、策略和運作流程等管理手段和安全技術緊密結合。

下面參考信息安全保障體系框架IATF和BS7799，以項目中的實踐來分別說明：

人是信息體系的主體，包括管理者、維護人員、使用者、第三方。電信運營商應該建立安全領導小組，專門的安全管理員、安全顧問、安全審計員。

制定信息安全責任矩陣，組織范圍內的信息安全落實到人，尤其外包的安全，第三方必須簽定保密協議。離職或調動時，必須清理信息系統賬號，避免用戶權限只有增加沒有減少。

資產進行分類與控制，梳理客戶信息相關的資產，標明重要性等級以及制定相應管理辦法。如客戶資料、充值卡等就是重要信息，必須重點防護。

制定完善的維護作業計劃，對設備性能、安全狀況進行監控，分清日、月、年不同層次的維護內容，包括電源、主機、中間件、數據庫、應用、安全事件、備份、調優等。

定期進行安全評估和加固，減少系統風險，可以找專業的安全廠商進行滲透測試。設定各系統的安全基線，保證系統必須達到的最基本的安全配置要求。如果某臺服務器上突然多了一個來歷不明的進程，就有必要檢查是否有安全風險。

業務過程中可以通過金庫模式等加強業務過程中的安全管控，即關鍵業務需第二個人授權之后才能夠操作，通過多人的相互監督進行制約，如批量查詢客戶資料、詳單時。同時定期進行日志稽核，進行事后的控制。所有的業務操作有相應的工單、審批單、業務受理單，如果沒有這樣的工單，則可以認為操作是不合規的。

在信息系統生命周期過程中，要全面審查信息系統的設計、操作、使用和管理是否符合組織安全政策和標準。系統開發和建設過程中，就要明確系統的安全要求，確保安全機制被內建于信息系統內；控制應用系統的安全，防止應用系統中存在的后門、孤立網頁造成用戶數據的丟失、被修改或誤用。上線前及早進行安全評估和掃描，提前發現漏洞。注意不要隨便使用真實敏感數據，測試數據的清理、保護。

三、客戶信息安全工程建設過程

客戶信息安全建設過程中應注意業務可用與安全性平衡原則，采用統籌規劃、分步實施的方法。

作為一個電信運營商，信息安全建設的短期目標是具有基本的信息安全管理組織機構和流程，主要的安全策略和基本的技術體系，基礎的安全管理平臺，客戶資料、信息資產的梳理。主要進行安全域、網絡安全加固，主機安全、終端安全，訪問控制，防病毒等技術手段的建設。

而中長期目標，作好信息安全管理組織體系、策略體系、技術體系的運行工作，建立基于ITIL的運維流程，逐步梳理信息安全基線，建設4A、SOC中心，數據加密、容災，以全方位落實、廣度發展為主要思路。