中國(guó)電信bss系統(tǒng)信息安全方案應(yīng)用研究

摘 要：隨著市場(chǎng)環(huán)境的迅速變化和競(jìng)爭(zhēng)的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS已成為各大電信運(yùn)營(yíng)企業(yè)競(jìng)爭(zhēng)的焦點(diǎn)。對(duì)BSS系統(tǒng)進(jìn)行主動(dòng)式管理涉及技術(shù)、管理、維護(hù)等方面，本文主要從電信行業(yè)角度分析，針對(duì)中國(guó)電信bss系統(tǒng)信息安全方案應(yīng)用進(jìn)行研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用進(jìn)行深入研究和探討。

1、引言

隨著市場(chǎng)環(huán)境的迅速變化和競(jìng)爭(zhēng)的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS（Billing Supporting System）已成為各大電信運(yùn)營(yíng)企業(yè)競(jìng)爭(zhēng)的焦點(diǎn)，從中國(guó)移動(dòng)的BOSS到中國(guó)電信的CTG-BOSS，各電信運(yùn)營(yíng)商都在逐年加大對(duì)業(yè)務(wù)支撐系統(tǒng)BSS的投資。本文主要針對(duì)中國(guó)電信bss系統(tǒng)信息安全方案應(yīng)用進(jìn)行深入探索研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用兩個(gè)主要方面進(jìn)行深入研究和探討。

2、中國(guó)電信bss系統(tǒng)信息安全解決方案

本文主要采取了數(shù)據(jù)請(qǐng)求RSA加密策略和敏感數(shù)據(jù)MD5加密策略?xún)煞N方法來(lái)保證系統(tǒng)的安全。

2.1 求RSA加密策略

中國(guó)電信bss系統(tǒng)運(yùn)行在內(nèi)網(wǎng)環(huán)境下，本中國(guó)電信bss系統(tǒng)采用RSA加密策略進(jìn)行數(shù)據(jù)交互請(qǐng)求的加密和解密。

RSA加密由一對(duì)公鑰（PK）與私鑰（SK）組成。加密算法E和解密算法D也都是公開(kāi)的。RSA算法中密鑰的長(zhǎng)度越長(zhǎng)，破解的難度也就越大。但是密鑰長(zhǎng)度越長(zhǎng)，加密所需的時(shí)間也隨之增加，對(duì)中國(guó)電信bss系統(tǒng)的性能有一定的影響。目前主要使用的密鑰長(zhǎng)度為1024 bit。

但是，RSA非對(duì)稱(chēng)加密內(nèi)容長(zhǎng)度有限制，1024位key的最多只能加密127位數(shù)據(jù)。而中國(guó)電信bss系統(tǒng)報(bào)文常常會(huì)超過(guò)此限制。因此，我們對(duì)報(bào)文進(jìn)行分段處理，報(bào)文分段后依次加密，然后組裝成整體，服務(wù)端接收后對(duì)報(bào)文分段，再依次解密。解密后的報(bào)文重新組裝，轉(zhuǎn)發(fā)給總后臺(tái)，以此解決了RSA加密算法對(duì)加密內(nèi)容長(zhǎng)度的限制問(wèn)題。

2.2 敏感數(shù)據(jù)MD5加密策略

MD5也就是消息摘要算法第五版，該算法的主要用來(lái)提供消息的完整性保護(hù)。用戶(hù)注冊(cè)和登錄前先在服務(wù)端生產(chǎn)隨機(jī)16位鹽值。取得鹽值后，用鹽值對(duì)用戶(hù)密碼進(jìn)行加密。加密后的密文作為用戶(hù)密碼字段進(jìn)行傳輸。后臺(tái)接受到報(bào)文后，根據(jù)鹽值對(duì)其進(jìn)行解密。用戶(hù)在注冊(cè)用戶(hù)信息時(shí)，中國(guó)電信bss系統(tǒng)將密碼明文用戶(hù)賬號(hào)作為key經(jīng)過(guò)MD5哈希算法獲取MD5值，并將加密的字符串存儲(chǔ)到數(shù)據(jù)庫(kù)來(lái)保證密碼的安全。用戶(hù)登錄時(shí)，對(duì)解密后的內(nèi)容進(jìn)行MD5運(yùn)算。計(jì)算結(jié)果再與數(shù)據(jù)庫(kù)中的值進(jìn)行比對(duì)，從而不會(huì)有用戶(hù)密碼的明文信息出現(xiàn)，保護(hù)了用戶(hù)的隱私。

3、中國(guó)電信bss系統(tǒng)信息安全方案應(yīng)用

互聯(lián)網(wǎng)作為一個(gè)開(kāi)放的環(huán)境，它的優(yōu)點(diǎn)被大家所公認(rèn)，但其安全性也成為用戶(hù)所擔(dān)心的問(wèn)題。所以中國(guó)電信bss系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)在建設(shè)過(guò)程中將安全工作作為一個(gè)重點(diǎn)進(jìn)行考慮。中國(guó)電信bss系統(tǒng)首先從安全防護(hù)機(jī)制來(lái)考慮，通過(guò)對(duì)安全建設(shè)的各層進(jìn)行防護(hù)，提高系統(tǒng)對(duì)入侵等的防護(hù)功能，保障數(shù)據(jù)的安全可靠；其次，中國(guó)電信bss系統(tǒng)應(yīng)該建立安全審查機(jī)制，對(duì)云環(huán)境中的位置數(shù)據(jù)、運(yùn)單數(shù)據(jù)等進(jìn)行授權(quán)，實(shí)現(xiàn)對(duì)數(shù)據(jù)操作行為的追蹤，從而保證云數(shù)據(jù)流向的安全可靠。

3.1 安全性要求

中國(guó)電信bss系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)為非涉密中國(guó)電信bss系統(tǒng)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》的安全等級(jí)劃分，中國(guó)電信bss系統(tǒng)應(yīng)該能達(dá)到第三級(jí)的安全保護(hù)需求對(duì)應(yīng)的技術(shù)指標(biāo)。除此之外，中國(guó)電信bss系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)滿足以下3方面的安全要求① 用戶(hù)在登錄業(yè)務(wù)中國(guó)電信bss系統(tǒng)時(shí)需要使用手機(jī)短信驗(yàn)證碼，如手機(jī)丟失，可通過(guò)安全恢復(fù)功能，接觸特定終端或者號(hào)碼的權(quán)限授權(quán)。② 視頻會(huì)議錄像的查閱權(quán)限單獨(dú)設(shè)置。③ 在設(shè)計(jì)與實(shí)現(xiàn)中國(guó)電信bss系統(tǒng)時(shí)，應(yīng)加入以下技術(shù)：（a）傳輸使用AES加密。（b）會(huì)議密碼。（c）會(huì)議安全等級(jí)。（d）分級(jí)授權(quán)。

3.2 物理層安全

物理層安全主要是針對(duì)中國(guó)電信bss系統(tǒng)中硬件設(shè)施以及設(shè)施之間的鏈路連接的安全建設(shè)。中國(guó)電信bss系統(tǒng)在物理層安全策略上從環(huán)境安全、設(shè)備安全以及網(wǎng)絡(luò)鏈路安全這三個(gè)方面入手進(jìn)行建設(shè)。通過(guò)建立妥善的制度首先限制物理設(shè)施等的訪問(wèn)權(quán)限，其次進(jìn)行場(chǎng)地安全管理建設(shè)與監(jiān)督，然后通過(guò)冗余的方式保障設(shè)備通訊的安全。

3.3 網(wǎng)絡(luò)安全

中國(guó)電信bss系統(tǒng)對(duì)于網(wǎng)絡(luò)安全的建設(shè)主要以防火墻為主，其他多種網(wǎng)絡(luò)安全防護(hù)手段相輔的策略。首先在網(wǎng)絡(luò)接入點(diǎn)部署防火墻，中國(guó)電信bss系統(tǒng)采用華為的USG5000防火墻，然后結(jié)合SSL、網(wǎng)絡(luò)專(zhuān)線、黑白名單等的方式保障網(wǎng)絡(luò)通信安全。將USG5000部署在網(wǎng)絡(luò)域中不同的地方，使其有不同的安全防護(hù)作用。

3.4 中國(guó)電信bss系統(tǒng)安全

中國(guó)電信bss系統(tǒng)安全主要是通過(guò)防病毒軟件進(jìn)行入侵檢測(cè)，漏洞掃掐和評(píng)估、防病毒的安全措施，同時(shí)在數(shù)據(jù)庫(kù)服務(wù)器部分使用雙機(jī)熱備和共享磁盤(pán)陣列的方式，通過(guò)軟硬件雙重防備的安全措施來(lái)提高中國(guó)電信bss系統(tǒng)的安全性與可靠性。

在中國(guó)電信bss系統(tǒng)中，采用華為的IDS進(jìn)行入侵檢測(cè)，OpenVAS進(jìn)行漏洞掃描和評(píng)估，從中國(guó)電信bss系統(tǒng)整體進(jìn)行安全防護(hù)。入侵檢測(cè)中國(guó)電信bss系統(tǒng)的主要功能是監(jiān)測(cè)和控制非法入侵，而漏洞掃描中國(guó)電信bss系統(tǒng)是通過(guò)專(zhuān)業(yè)軟件檢查中國(guó)電信bss系統(tǒng)存在的容易被攻擊的漏洞，提醒人員修復(fù)漏洞，提前進(jìn)行安全防護(hù)；網(wǎng)絡(luò)安全評(píng)估中國(guó)電信bss系統(tǒng)可以動(dòng)態(tài)地評(píng)測(cè)中國(guó)電信bss系統(tǒng)風(fēng)險(xiǎn)，檢測(cè)網(wǎng)絡(luò)安全級(jí)別，從而為中國(guó)電信bss系統(tǒng)的安全運(yùn)行提供保證；防病毒軟件可以加強(qiáng)對(duì)病毒文件的過(guò)濾，并且可以定期殺毒。

3.5 環(huán)境安全

環(huán)境安全主要包括中國(guó)電信bss系統(tǒng)的訪問(wèn)控制以及數(shù)據(jù)安全。

（1）訪問(wèn)控制。中國(guó)電信bss系統(tǒng)采用客戶(hù)端分類(lèi)的方式，將客戶(hù)端分為不同使用者的訪問(wèn)入口，從而控制用戶(hù)的訪問(wèn)內(nèi)容和權(quán)限。（2）數(shù)據(jù)安全。由于中國(guó)電信bss系統(tǒng)為數(shù)據(jù)庫(kù)和操作中國(guó)電信bss系統(tǒng)分別配置了不同的登錄入口，如果是同一個(gè)工作人員進(jìn)行這兩個(gè)登錄操作，必將引入不安全因素，所以模仿保險(xiǎn)箱鑰匙的分人管理的模式，建議對(duì)這兩個(gè)登錄入口分別配備不同的工作人員進(jìn)行管理。

3.6 終端安全

監(jiān)測(cè)中國(guó)電信bss系統(tǒng)的終端安全服務(wù)平臺(tái)是為保障用戶(hù)業(yè)務(wù)安全，實(shí)現(xiàn)緊急情況下的信息保護(hù)與風(fēng)險(xiǎn)防范的重要基礎(chǔ)設(shè)施。安全服務(wù)平臺(tái)整體架構(gòu)包括兩個(gè)部分：車(chē)輛位置實(shí)時(shí)監(jiān)測(cè)中國(guó)電信bss系統(tǒng)的終端安全服務(wù)平臺(tái)和安全客戶(hù)端。安全客戶(hù)端為中國(guó)電信bss系統(tǒng)的初始入口提供安全接口。安全接口主要是身份認(rèn)證功能以及基于數(shù)字證書(shū)技術(shù)的簽名/驗(yàn)簽。終端安全服務(wù)平臺(tái)是對(duì)從安全客戶(hù)端的安全接口傳送的用戶(hù)信息進(jìn)行驗(yàn)證。

（1）安全中間件。安全中間件基于PKI設(shè)計(jì)，面向業(yè)務(wù)應(yīng)用提供加密/解密、數(shù)字證書(shū)解析、數(shù)字簽名、XML簽名等功能。

（2）業(yè)務(wù)中國(guó)電信bss系統(tǒng)安全套件。由證書(shū)應(yīng)用服務(wù)端和客戶(hù)端組成業(yè)務(wù)中國(guó)電信bss系統(tǒng)應(yīng)用安全套件。

（3）客戶(hù)端接口。不同的客戶(hù)端有專(zhuān)有的接口，專(zhuān)用的接口調(diào)用程序只調(diào)用用戶(hù)的接口，不關(guān)心用戶(hù)的使用情況；在應(yīng)用服務(wù)器上，服務(wù)器端的接口通過(guò)對(duì)客戶(hù)端接口的辨別，接收并處理不同客戶(hù)端發(fā)送到的安全認(rèn)證、數(shù)據(jù)加密/解密和簽名驗(yàn)證等系列安全處理請(qǐng)求。

4、結(jié)論

隨著市場(chǎng)環(huán)境的迅速變化和競(jìng)爭(zhēng)的日益加劇，業(yè)務(wù)支撐系統(tǒng)BSS已成為各大電信運(yùn)營(yíng)企業(yè)競(jìng)爭(zhēng)的焦點(diǎn)。本文主要從電信行業(yè)角度分析，針對(duì)中國(guó)電信bss系統(tǒng)信息安全方案應(yīng)用進(jìn)行深入探索研究，主要從業(yè)務(wù)支撐系統(tǒng)BSS的信息安全解決方案和系統(tǒng)安全方案的應(yīng)用兩個(gè)主要方面進(jìn)行深入研究和探討。

參考文獻(xiàn)：

[1] 付明明. 面向電信系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估研究及應(yīng)用[D]. 重慶理工大學(xué)， 2016.

[2] 謝科陽(yáng). 基于大數(shù)據(jù)的電信網(wǎng)絡(luò)信息安全管控平臺(tái)的建設(shè)研究[D]. 浙江工業(yè)大學(xué)， 2017.

[3] 李榮榮， 寇建濤， 董剛，等. 面向智慧園區(qū)的RFID系統(tǒng)信息安全認(rèn)證方案[J]. 電信科學(xué)， 2016， 32（2）：164-169.

[4] 劉智瓊， 華竹軒， 黎莎菲. 面向BSS系統(tǒng)的權(quán)限管理模型研究[J]. 廣東通信技術(shù)， 2016， 36（11）：16-22.

作者簡(jiǎn)介：

李翔（1984年2月21日），男 ， 漢， 福建省南平市，大學(xué)本科，工程師。