電信運營商數據防泄露體系研究

曲大林 張 尼 劉明輝 宮 雪

中國聯通研究院 北京 100032

前言

電信運營商詳細記錄了人在現代社會的信息指紋，極大地促進了電信運營商加快對數據價值的挖掘與應用[1]，但是與此同時也應該清醒地認識到大數據信息同樣帶來了巨大的安全風險，亟需加強對數據的監管和防護。

首先，電信運營商掌握的數據價值越來越高，已經成為黑客、不法人員的重點攻擊對象和盈利手段，而企業由于核心數據泄漏帶來的品牌、經濟等方面的損失也越來越大；并且隨著電信運營商IT系統及數據的逐步集中，數據安全風險一點點聚焦并迅速放大，量變極易積累成質變[2]。

其次，國資委、工信部等上級單位對電信運營商的監管要求越來越高。《中央企業商業秘密保護暫行規定》中對核心數據防泄漏做出了明確要求。數據安全正日益成為電信運營商企業安全管理和風險控制的核心內容。

近年來已經出現了數起電信運營商數據信息泄漏和客戶有價信息被篡改等惡性安全事件，已嚴重威脅企業的正常運營并影響了客戶滿意度，新形勢下電信運營商面臨的數據泄密風險極其嚴峻，不容樂觀，主要表現在以下幾個方面。1)數據的集中帶來泄漏風險的集中；2)人員和數據接觸方式復雜；3)開發、測試和生產環境混用；4)技術防護手段相對落后。

但是數據防泄漏是一項艱巨、復雜的任務，需要進行細致、科學的研究，降低風險、保護投資、提高防護效率；因此，需要建立一套完整的數據安全防護體系，從數據的全生命周期進行安全防泄漏保護，特別是對涉及客戶積分、話費信息等有價類信息進行深度防護，對可能造成重大損失的批量信息泄漏進行重點監控。

1 數據泄漏場景分析

1.1 數據泄漏的成因

數據泄漏是一個逐步的過程，從信息數據生成的源頭逐漸向外擴散，通常最終由非授權用戶通過不同的邊界途徑傳播到企業無法控制的外部環境，從而造成信息泄漏，如圖1所示。

圖1 電信運營商企業數據擴散模型

按照核心數據的分布和擴散，基本有以下區域和部門。1)核心生產區域，是核心數據的產生、保存和維護的區域；2)核心研發區域，是業務系統的開發和測試區域，主要使用生產系統獲得的數據進行開發和測試；3)企業辦公區域，核心數據經過分析處理，會通過辦公環境進行扭轉和發布使用；4)非企業區域，互聯網環境或第三方接口環境等。

核心數據從業務區域到研發區域，從業務區域到辦公區域，從辦公區域到企業外部環境，會產生逐級擴散的效應。數據安全管控需要逐級控制核心數據的傳遞，達到逐級降低風險的效果。

1.2 數據泄漏途徑

數據泄漏分析的核心思想是：核心數據->人->邊界。數據源于業務系統，數據的下載和傳播都是人為操作，需要通過邊界(網絡、終端、虛擬化等物理邊界和邏輯邊界)進行外泄，整個分析過程圍繞這個思路開展。數據泄漏途徑分析模型如圖2所示。

圖2 數據泄漏途徑分析模型

1) 數據通過外部網絡泄漏。數據流轉到終端域以后，互聯網泄漏是主要途徑之一，操作方式主要有郵件、Web應用等，數據可能會發送給外部監管部門、第三方合作伙伴、個人郵箱等，需要重點管控，根據不同的數據敏感級別，采取不同的管控行為和措施，降低互聯網泄漏風險。

2) 數據通過終端泄漏。數據流轉到終端域以后，可能通過終端的外設(U盤、刻錄、打印等)、終端應用(IM等)、終端外聯(WLAN、藍牙、紅外等)進行數據泄漏，需要對終端和終端的所屬人進行有效管控，降低數據泄漏風險。

3) 數據異常存儲分布。數據的違規存放是導致數據泄漏的原因之一。核心數據如果按照用戶訪問權限嚴格控制存放位置，可以使數據操作可知、可控。然而運維過程中數據的存放沒有嚴格管理，可能會導致數據存放在不受管理或權限管控未覆蓋的位置，導致數據的獲取更容易、更混亂，數據安全工作存在盲點，加大泄漏風險；因此，對數據的分布做到可知和可控，可以大大降低風險。

4) 數據批量下載和導出。數據產生于服務器域的業務和應用系統，數據產生后，由于業務分析、開發測試等需要，需要從生產系統批量下載和導出數據，這就是數據泄漏的源頭。在這個過程中存在人員權限濫用、違規操作、越權訪問和下載等風險，需要通過人員權限細分、控制、審計和考核來降低核心數據操作風險。

1.3 數據操作環節

電信運營商數據主要在開發、運維、使用三大環節上進行流轉和操作，各環節涉及的人員類型、具體的工作內容以及可能的數據操作情況如表1所示。

表1 數據操作環節涉及人員、內容及主要操作

1.4 數據泄露人員類型

以電信運營商BOSS系統和經營分析系統為例，在其開發、運維、使用各環節中，各種可能的泄漏途徑下相應的泄露人員分析如圖3、圖4所示。

這些人員和角色，在各個工作環節中，都有可能接觸到核心數據，都可能產生泄漏行為，最終可能通過終端邊界和互聯網邊界進行泄漏。

圖3 電信運營商BOSS系統數據泄露人員類型分析

圖4 電信運營商經分系統數據泄露人員類型分析

2 數據安全防護常用方法及問題分析

目前，電信運營商在進行數據安全防護建設的時候通常先經過專業咨詢公司，按照生命周期理論對數據的流轉過程進行梳理、識別，然后根據梳理情況對數據進行分類與分級，最后進行針對性的防護方案設計，流程如圖5所示。

圖5 電信運營商傳統數據防護流程

實踐證明這種方法存在很大的難度，雖然在資源和人力上投入很多，依然不能阻止泄露事件的發生。

難點1：安全管理部門職責所限，落實力度不夠；業務部門被動配合安全工作，主動安全意識不強。雙方信息不對稱使得數據安全工作很難落地。

難點2：數據過于龐大，系統過于復雜，識別階段步履艱難。電信運營商企業數據分散，內部任意流轉，分類分級管控不嚴；同時，數據出口太多，各部門有各自的管道訪問數據，也有各自的方式與外部交流，最終導致數據通過多種方式無控制流出。因此，建立一個有效的核心數據防泄漏體系，必須充分調動企業所有部門的力量，全面封堵數據泄露風險，信息安全責任落實到“人”，信息安全指南落實到“步驟”，信息安全度量落實到“指標”，才能實現數據安全管理工作的真正落地。

3 數據防泄漏體系模型

3.1 總體框架

根據上述分析，數據安全工作最重要的就是安全職責分工的明確和安全責任落實到每個人，因此，數據安全防護工作應以“數據安全責任矩陣”為核心，落實每個系統和每條數據的安全責任人，落實每個系統和每條數據的所有控制點、控制措施和流程，并以此為核心落實配套的安全崗位和職責、安全策略制度、安全流程、安全檢查審計體系以及安全技術防護措施。總體框架模型如圖6所示。

圖6 電信運營商數據防泄漏體系模型

通過“一個矩陣+技管結合”，可針對前文分析的數據泄露成因，完全覆蓋數據操作的各個環節、人員類型以及泄露途徑，有效保障核心數據的安全，詳見下文分析。

3.2 數據安全責任矩陣

數據安全責任矩陣包括1個總矩陣，填寫所有含核心數據的業務系統、核心數據類型及第一責任人；每個業務系統3個分解矩陣，覆蓋系統的開發環節、運行環節和維護環節，如圖7所示。

圖7 數據安全責任矩陣結構示意

各分矩陣的縱向設計以“系統生命周期”(規劃、需求分析、設計開發、測試、上線、運行、維護和下線)和“數據生命周期”(生成、存儲、使用、傳輸、歸檔、銷毀)為依據。

1) 業務開發環節：按系統生命周期確保全面性，重點關注設計開發、測試、開發測試環境、上線及變更、第三方人員(設計、開發及測試人員)等。

2) 業務運行環節：按數據使用的生命周期確保全面性，重點關注數據收集(采集/上傳/導入)、存放、發布/外發、一般性操作使用、批量下載與導出、第三方人員(合作伙伴)等。

3) 業務維護環節：以IT系統通用架構層次確保全面性，重點關注應用、服務器、數據庫、網絡、終端、數據及文檔、第三方人員(代維人員)。

各分矩陣的橫向設計以“數據的責任”為出發點，落實相關的控制點以及具體的責任人，主要包括以下幾點。

1) 管理責任：描述管理上的要求，推動相關管控要求的建立。

2) 執行責任：描述執行流程和管控要求，并建立落實管控要求的技術手段。

3) 檢查責任：描述監督檢查要求，推動檢查的制度和流程的建立以及相關支撐檢查技術手段的建設。

3.3 管理體系

在管理層面，以責任矩陣為指導，重點關注策略制度、管理流程和檢查審計，將制度中的控制點信息落實到具體的安全崗，在責任落實的推進中發現安全組織結構潛在的問題，進一步優化信息安全組織結構。體系架構如圖8所示。

圖8 數據防泄漏管理體系架構

3.4 技術體系

技術體系主要支撐責任矩陣中各環節的執行和檢查責任的落實[3]，體系架構如圖9所示。

圖9 數據防泄漏技術體系架構

4 云計算對數據防泄漏體系的影響

4.1 云計算下數據的生命周期管理

云計算環境下的數據安全，方法論沒有本質變化，仍然要遵循數據安全生命周期管理方法，在數據流轉的每個階段，進行安全控制，實現數據安全生態體系。

4.2 云計算下信息承載形式變化帶來的泄漏風險

傳統數據中心，業務數據大多保存在結構化系統中，要獲取數據需要經過網絡、主機、數據庫多層訪問控制，并通過復雜的查詢過程進行，受控程度高。

云化平臺下，信息承載和存在形式從數據庫變成了虛擬文件系統，存在虛擬文件系統被盜取和篡改的風險，需要加強虛擬文件系統的訪問控制，承載變化如圖10所示。

圖10 傳統和云化環境下數據承載的變化

4.3 云計算環境中的數據邊界泄漏風險與控制

虛擬化和云計算技術的采用，將改變現有傳統IT的體系架構，從物理邊界逐步發展到邏輯邊界。主要使用的技術有存儲虛擬化、網絡虛擬化、服務器虛擬化、終端桌面虛擬化等；因此，需要清晰定義云計算環境下數據的邏輯邊界。常見的邏輯邊界如圖11所示。

圖11 云計算環境下的數據邏輯邊界

1) 云核心邊界：主要是服務器虛擬化的邊界，可以控制核心數據向外擴散。

2) 云桌面邊界：核心數據可通過審批流程控制擴散到云桌面環境，云桌面邊界可以控制數據向外擴散。

3) 設備端邊界：核心數據經過處理后，經過審批流程，可以擴散到物理設備環境，設備端的邊界可以控制數據向外擴散，如網絡邊界、終端邊界等。

4) 云計算環境中數據泄露途徑模型的變化。其模型如圖12所示。

圖12 云計算環境下數據泄漏途徑分析模型

5) 云計算環境中責任矩陣的調整。依據數據訪問最小授權原則，在云計算環境下，和邊界控制同等重要的是人員權限控制。梳理每個用戶團體和個人應該被賦予的權限，而后進行權限細分和控制，目標是實現數據訪問的最小授權。

5 結束語

本文充分分析了電信運營商數據泄露途徑模型、泄露人員類型，以數據生命周期為基礎，結合數據在電信運營商主要的流轉使用環節，提出以數據安全責任矩陣為核心、管技結合一體化的新的數據安全防護模型以及相應的管理體系和技術體系建議，為解決電信運營商數據安全防護工作復雜、低效等問題進行了有益的探索。

數據安全責任矩陣的設計充分借鑒了“PDCA”的科學管理思想，將人員的角色分為管理者、執行者和檢查者三類，將閉環管理思想貫徹到崗位職責中，保證了責任矩陣的全面性和可落地性。

同時，針對云計算的發展和技術特點，提出云計算環境下電信運營商數據安全的關注點，包括新的泄露風險、數據邊界變化等；面對這些變化，電信運營商需如何完善數據安全風險模型、如何調整數據安全責任矩陣，將是下一步研究的重點。

參考文獻

[1]童曉渝,張云勇,房秉毅,等.大數據時代電信運營商的機遇[J].信息通信技術,2013,7(1):6-8

[2]華汪明,張新躍,汪飛.電信運營商敏感信息保護體系研究與設計[J].現代電信科技,2011(11):52-53

[3]胡坤,劉明輝,宮雪,等.電信運營商應用數據的安全管控與隱私保護研究[J].信息通信技術,2013,7(6):64-65