基于在信網關查詢安全提升改造方案

王玉玲 王堯永

【摘要】 本文針對在信網關查詢系統存在弊端，從用戶感知角度出發，以增強信息安全控制、提升體驗為方向，進行可行性分析，對在信網關查詢系統數據源進行統一加密管理，對查詢系統進行內容分級改造，以實現提高在信網關查詢系統信息安全管控能力、提升用戶體驗的雙重目標。

【關鍵詞】 在信網關 信息安全 內容分級 白名單

一、引言

隨著在信業務的發展，某運營商先后建立了全國在信網關、VAC在信網關、行業網關三套在信網關來承載不同sP在信業務。三套網關分別提供查詢系統，供維護及客服人員使用。查詢系統具有操作簡單、查詢速度快的優點，在日常工作中得到廣泛應用。隨著投訴前移工作的推進，客服人員實際使用過程中因系統分散導致多系統登錄，使用不方便的問題H益突出；并且查詢系統在信息安全控制方面存在缺乏內容分級控制、未過濾敏感信息等安全隱患，無法滿足不斷提升的信息安全管理要求。

鑒于此，本文針對在信網關查詢系統存在多系統登錄及內容查詢存在安全隱患問題進行分析并制定方案，通過數據統一入庫、優化程序等措施，實現了報表統一查詢以及內容分級查詢，有效平衡了日常使用的便捷性與信息安全問題。

二、改造思路及可行性分析

為解決多系統登錄問題，減少客服人員登錄次數，方便使用，考慮將全國在信網關、行業網關、VAC在信網關三個網關的可供查詢數據進行整合。合并后將所有在信信息統一入庫管理，提供統一查詢管控，提升使用人員感知。

為了解決查詢系統不能進行內容分級查詢問題，首先考慮從查詢系統的用戶權限管理方面著手分析。

查詢系統的授權方式為組授權，即不同級別的用戶隸屬于不同的組，不同組擁有不同查詢模板，通過設定不同的查詢模板，進而實現對用戶查詢權限的分級。現有用戶組模板提供包含內容與不含內容兩種查詢權限，但查詢模板不能按號碼等關鍵字進行設置，無法單純依靠權限來實現對在信內容的分級查詢功能。

其次考慮通過分析查詢程序來尋找突破點。通過對查詢程序進行分析，找到查詢控制輸出部分相關程序，控制程序的作用是按判斷條件返回查詢結果，根據用戶組屬性變量取值而定，如值為高級用戶組，則輸出在信內容，否則進行內容屏蔽。輸出控制程序與組授權協同作用，共同實現了按組對查詢結果輸出內容與不輸出內容的控制。若要實現內容分級控制，可對輸出控制程序進行改造，對于查詢結果輸出內容部分，增加SP白名單控制，實現按白名單控制輸出內容，進而可實現對內容的分級。

三、改造方案

3.1 源數據統一加密入庫管控

將全國在信網關、行業網關、VAC在信網關三個網關的可供查詢數據進行整合，對涉密內容進行加密，實現數據源統一入庫管控。

3.2 內容分級控制方案

在現有查詢系統組授權管理基礎上，根據兩級用戶組權限劃分，制定內容分級控制方案，如表l所示。

注：在信基本信息包含主叫號碼，被叫號碼、提交時問、最后時間、消息狀態、SPID，服務代碼。

四、改造實現

4.1 源數據統一加密入庫實現

將全國在信網關、行業網關、VAC在信網關三個網關的海量話單數據進行采集、分析、統一入庫。為確保在信內容安全性，針對不同在信類型的消息內容制定不同級別安全策略，在信內容在入庫時，采用AES（Advanced EncryptionStandard）加密算法，使用128位密鑰對內容進行加密處理。在查詢時通過白名單控制，根據查詢權限對在信內容解密呈現。將采集數據統一入庫到在信統一查詢數據庫中，以實現查詢數據來源的統一管控。改造在信查詢系統，將查詢數據指向在信統一查詢數據庫。解決原來系統分散，需要多系統查詢問題，實現在信信息統一數據查詢。支持對在信數據長期保存，從而提供了對在信業務運營情況長期分析的可能。

4.2 內容分級控制實現

l、白名單接入碼管理。在查詢系統數據庫中增加白名單配置表，存放可供查詢在信內容的sP號碼。白名單配置表中存儲客服、導航等行業白名單SP號碼數據。系統增加白名單管理功能，實現對接入號碼的增刪改管理，滿足日常管理維護需求。

2、程序實現。SP號碼發送的短信不僅數量大而且可能含有驗證碼等敏感信息，如果在信查詢系統以SP號碼做為條件查詢，不僅會加大服務器的負荷，而且存在一定的信息安全風險。為有效降低信息泄漏的風險，通過系統限定每次查詢只能以手機號碼作為條件查詢一個號碼的信息，而不能查詢某個sP號碼下發的批量信息。在查詢程序開始運行時，判斷主叫號碼是否為SP而被叫號碼為全部號碼。如是，程序自動彈出友情提示窗口，并拒絕執行。從而將被叫號碼查詢限定為單個手機號碼，大大減少了信息泄露的風險。

在原輸出控制程序權限判斷與內容輸出之間增加一級判斷，如果用戶歸屬高級用戶組且查詢SP代碼在白名單配置表中，則進行解密并顯示全部在信內容；否則屏蔽在信內容，只顯示提示信息“**內容已屏蔽**”，告知在信內容被程序屏蔽，而非sP發送的原因，提升程序的友好性，改善用戶體驗。

系統實現了對海量話單數據進行準實時入庫、中長期管理和保存，維護人員結合長期設備運營經驗，能夠基于話單進行統計分析，有利于及時發現問題并制定系統優化方案。查詢系統在保障信息安全的前提下，滿足投訴前移工作要求，為客服人員高效準確處理在信用戶投訴提供系統支撐。

五、改造效果

本次改造解決了在信查詢系統多系統登錄查詢問題，實現了統一數據查詢控制，提升了使用人員體驗及感知。有效控制了實際使用中存在的信息安全隱患問題，與用戶組模板結合實現了按白名單控制內容分級查詢控制。

六、結束語

某運營商通過本次對查詢系統的自主改造，解決了在信內容分級查詢問題，有效平衡了使用的便捷性與信息安全保障問題。此方案也為存在此類在信系統電信運營商提供了借鑒。