運用大數據分析加強運營商用戶信息保護的探討

◆韓 超

運用大數據分析加強運營商用戶信息保護的探討

◆韓 超

（中移鐵通有限公司浙江分公司 浙江 310006）

互聯網、大數據極大地促進了社會經濟的繁榮，卻讓用戶個人信息泄露問題變得更為突出，給運營商的用戶信息保護工作帶來了新挑戰。本文在研究當前運營商用戶信息保護現狀的基礎上，思考和探討如何利用大數據分析技術加強用戶信息保護力度，促進運營商不斷提升服務品質，樹立良好品牌形象。

大數據分析；運營商；用戶信息保護

0 前言

進入新時代后，中國數字經濟體量逐年快速增長，互聯網的繁榮讓人們在享受便利的同時，也讓網絡與信息安全問題變得更加嚴峻。大數據時代的互聯網，用戶個人信息泄露、篡改、灰色產業鏈的形成已成為全社會廣泛關注的問題。運營商是國內基礎通信網絡的提供者，肩負著維護國家網絡與信息安全的重要社會責任。因此，在擁抱互聯網生活的同時，運營商需構建強有力的用戶信息保護體系，加大重要數據的保護力度，才能不斷適應技術變革帶來的新挑戰和新問題。本文就是從運營商目前用戶信息保護現狀出發，探討相關保護措施，并嘗試思考利用大數據分析技術加強用戶敏感信息保護的可行性，促使運營商不斷提升服務品質。

1 大數據分析概述

大數據分析指的是對規模巨大的數據進行分析，得到有價值的數據。其分析主要體現在以下幾方面：第一，可視化分析。可以將數據直接展示出來，并將最終結果傳遞給用戶。在數據分析中，可視化是最基本的要求。第二，數據挖掘算法。大數據分析的理論核心就是數據挖掘算法。分割、集群、孤立點分析以及其他算法可從最大程度上挖掘數據價值。第三，預測性分析能力。大數據分析最終應用領域之一就是預測性分析，通過科學建模帶入新數據，從而預測未來的數據[1]。第四，語義引擎。作為一種工具可以從各類“文檔”中對信息進行智能提取，從而實現更好的人機交互體驗。第五，數據質量與管理。在處理數據時，利用科學的工具與標準化流程，可讓人們快速獲得高質量的、提前定義好的分析結果。第六，數據倉庫。一種按照特定存儲模式建立成的關系型數據庫，其目的就是對數據進行多角度展示與多維分析。大數據已不再是數據大，只有通過分析才能獲取更多智能的、敏感的、有價值的信息。

2 運營商用戶信息保護存在的問題

用戶個人信息是構成大數據的重要源泉。隨著數字經濟產業規模不斷增大，信息安全問題已成為全社會的焦點問題。有效防范用戶敏感信息泄露受到了多方面因素的制約，更多是來自外部多變的環境。

（1）IT網安全

首先，運營商雖然認識到了信息安全的重要性，并加強了對其的重視，但涉及信息保護的各類IT網絡建設卻較為落后。在安全保護意識、技術以及人才等相對缺乏下，并未建立健全的用戶信息保護體系。其次，網絡連接混亂，亂建、私搭等問題長期存在，加大了訪問控制實施難度，網絡結構變得越來越復雜，系統間關系混亂，讓接入訪問面臨著嚴重的安全威脅，用戶信息安全管控難以執行。最后，在萬物互聯的趨勢背景下用戶敏感信息呈現多樣性、復雜性、變化快等特點，這就給運營商如何有效保護用戶敏感信息提出了更高要求。

（2）識別困難

識別困難也是當前用戶信息保護中存在的問題，而這主要是由于運營商不了解用戶敏感信息分布情況而造成的。比如，云計算技術讓個人信息遠離終端，用戶對于個人信息的控制能力大大降低，移動互聯網讓信息收集變得無處不在。雖然運營商可以通過賬號管理、終端控制以及文件加密等方法對用戶信息進行保護，但在大數據環境下目前敏感信息在各項業務中都有所涉及，這使得傳統的保護方法無法充分發揮其作用。同時，因為缺乏對用戶信息分布具體情況的準確了解，運營商無法對相關信息進行全面而系統地監控，這也就使得很難及時識別安全風險。

（3）新技術挑戰

大數據、人工智能等新技術展現出的對個人行為和思想的透視和操控能力，加大了用戶個人信息安全風險，我們已經意識到用戶個人信息的價值與安全成反比。目前，在數量大、獨立設計以及類型多樣等因素的影響下，信息在采集、處理、傳輸、存儲以及應用等環節中面臨著巨大的威脅及風險。在安全管控方面，大數據環境下用戶信息識別困難，運營商在對外合作中也存在著眾多安全隱患，管理職責不明確。在安全運營方面，同樣面臨著權限管理、供應鏈、業務設計、安全評估、軟件開發以及第三方合作引入等多種安全風險。

3 構建運營商用戶信息保護體系

意識到目前運營商在用戶信息保護上存在著諸多問題和挑戰。因此，加強信息保護力度，構建健全的用戶信息保護體系已箭在弦上。

3.1 保護體系構建的必要性

2017年6月1日《中華人民共和國網絡安全法》（簡稱《網絡安全法》）正式實施。根據《網絡安全法》第四十條至四十四條的規定，網絡運營者應當建立健全用戶信息保護制度，采取技術措施和其他必要措施，確保個人信息安全，防止信息泄露、毀損、丟失，非法收集、處理個人信息所產生的行政責任更加明確。在信息化高速發展的今天，信息“可識別性”的界限越發難以判斷，運營商必須嚴格遵守法律法規的要求，以法律作為有力保障，對持有的用戶信息承擔安全責任，積極構建強有力的用戶信息保護體系。

3.2 用戶信息分級保護模式

大數據環境下，構建用戶信息保護體系的重要性不言而喻，但是過度保護則會抑制網絡創新。對信息進行分級分類保護能夠避免“一刀切”帶來的失衡，運營商需根據敏感程度不同，可采取適當的、與信息安全風險相適應的保護措施和技術手段實現互聯網發展與個人權利的平衡。

（1）根據內容的用戶信息分類

將用戶信息按照內容分為用戶身份和鑒權信息、用戶數據及服務內容信息、用戶服務相關信息等三類信息。用戶身份信息是能識別特定用戶身份的信息，主要有身份鑒權信息（如密碼）、通訊信息、基本資料等；用戶數據及服務內容信息包括服務內容信息、聯系人信息、私有數據資料、私密社交內容等；用戶服務相關信息包括業務訂購關系、消費信息、位置數據、訪問信息（如IP地址）、行為記錄等。

（2）根據敏感程度對用戶信息分級

在分類的基礎上，依據信息敏感程度對用戶信息進行分級，主要考慮以下四方面因素：①是否能依據該信息直接識別出特定用戶；②與用戶線下生活的緊密度；③是否能通過該信息獲得其他關聯信息；④信息安全風險[2]。劃分為極敏感級、敏感級、較敏感級和低敏感級四類。再按照分類分級的管控要求，進一步確定數據的涉敏場景及相應的涉敏人員范圍。

（3）用戶信息的分級管控原則

用戶信息的分級管控體現為對信息流轉各個環節保護行為的要求。信息從用戶流向最終使用者完成一個生命周期，需經過收集、傳輸、存儲、使用、共享、銷毀六個環節。需根據信息的敏感程度在生命周期的相關階段進行分級管控來保護用戶信息。對于低敏感級（第一級）和較敏感級（第二級）應實施基本和必要的技術和管理措施，確保數據生命周期安全。對于敏感級（第三極）和極敏感級（第四級）應實施嚴格的技術和管理措施，保護數據的機密性和完整性，確保數據訪問控制安全，建立嚴格數據安全管理規范以及數據準實時監控機制。

3.3 用戶信息保護的具體措施

（1）構建大數據分析平臺

在當前時代背景下，大數據技術為政府提供了監控能力，為企業提升了市場洞察力，運營商通過大數據分析得到了有價值的商業數據，同樣也可以利用該技術對用戶信息進行有效保護。構建大數據分析平臺，在用戶信息流轉的生命周期內對網絡異常行為進行分析，并通過對數據的深入挖掘，找出具體的安全問題，充分發揮大數據分析優勢。

大數據分析的運用主要在采集、檢索、存儲以及智能分析。一方面，在數據檢索、采集以及存儲中利用相關技術可有效提高分析效率。對于不同的數據，應該采取不一樣的采集方式。例如，使用Flume、Kafka等可采集日志和消息隊列；對于流數據，可以采取流量景象方法，通過Spark Streaming/Storm技術；而對于上層業務數據，用HiveSQL與MapReduce進行分析，Hadoop框架是目前主流的大數據平臺架構。另一方面，要想深入挖掘安全問題，還應該加強對智能化分析工具的利用。關聯分析方法、概率圖模型以及分類預測分析等是用戶信息分析中常見的大數據分析法[3]。前文提到了應對用戶信息進行分級保護，在大數據分析平臺中也可用相同的原則將信息分為敏感信息與非敏感信息，從而進行針對性處理。運營商應利用大數據平臺的分層架構，對用戶敏感信息的安全風險進行識別。采集層涉及到的是傳輸與收集，要保證數據的準確性與鏈路安全；存儲層涉及到的是挖掘與存儲，要保證數據的完整性與保密性；而應用層則涉及到信息的使用，要保證訪問的安全性。如圖1所示。

圖 1 大數據分析平臺加強用戶敏感數據保護的邏輯結構

事實上，擁抱大數據與保護用戶信息并不存在對立面，而在于是否有所作為。運營商在充分掌握信息保護技術的同時，根據其適用環境與特點，對大數據分析平臺架構進行合理設計，就能有效加強用戶敏感信息的保護。

（2）合理使用安全技術

合理使用安全技術也是對用戶敏感信息進行有效保護的一種手段，目前，運營商最常使用的安全技術是金庫模式與模糊化。金庫模式也稱為“雙人操作”或“多人操作”模式，指對于涉及到敏感信息的操作，強制要求必須由兩人或以上有相應權限的員工共同協作完成操作的用戶信息保護方式。金庫模式的核心就是以制衡的方法來監督、控制高權限的使用。同時，這一模式的最終目的就是保證關鍵業務系統的安全，規范人員實際操作行為，盡可能降低因違規操作、賬號濫用、信息篡改以及信息泄露等造成的不良影響。在對這一模式進行管理時，應該合理設計關鍵環節，并保證人員分配的合理性，以此來保障用戶敏感信息的安全。

在新的網絡環境下，隨著信息收集的日益普遍，事前的控制力相對來說已經不再那么重要，而應該更加關注數據使用環節的安全風險。模糊化指的就是運營商為了避免在服務中泄露用戶私密信息而進行的一種操作[4]。在具體操作中，運營商會對數據的關鍵信息進行屏蔽，如屏蔽身份證號中的某些數字等，以此來保護用戶信息安全。在具體實施過程中，應遵循幾方面原則：第一，目的明確。必須在目的明確的基礎上有效控制使用范圍。第二，信息最少夠用原則。在滿足業務需求的基礎上，使用最少的個人信息。第三，最大化原則。在不會給使用帶來不良影響的前提下，最大程度模糊用戶的個人信息。第四，源頭處理。盡量將模糊化處理在運營商服務器完成，因工作需要從支撐系統、業務平臺或通信系統中提取的文件包含用戶敏感信息，應從技術手段上防止其被泄密。

（3）做好監測和問責工作

由于用戶信息具有范圍廣、內容多等特點，若僅憑借技術手段進行保護，無法有效杜絕泄露等問題。因此，還應該做好日常監測工作，以此來全面保護用戶敏感信息。首先，應該通過人工方式與相關工具的結合，充分調查可能泄露客戶信息的各種渠道，如各類電商網站、搜索引擎、微博、微信及論壇等社交平臺。對非法出售用戶敏感信息的渠道進行收集與整理，并通過實名測試手機號碼向相關賣家購買通信詳細記錄和基本資料等客戶信息，及時進行取證調查記錄在案，為后續工作提供依據。其次，應加大問責力度，對在大數據應用中獲益的合作方應當加強對其在用戶信息保護方面的問責。這類問責除通過法律來追究，還可以通過合同機制對其行為進行約束。最后，對于已經發生的泄露事件，應進行嚴肅核查，找出信息泄露的主要途徑，并對相關工作人員進行追責。同時，還要及時排除網絡信息安全隱患，最大程度上避免信息泄露問題的出現，從而有效保障用戶的敏感信息。

4 結論

本文從當前用戶信息保護存在的問題出發，強調構建用戶信息保護體系的必要性，給出了利用信息分級保護模式、合理的安全技術和做好監測與問責等具體措施提高用戶信息的安全性，思考和探討了運用大數據分析技術構建分層平臺加強用戶信息保護力度的可行性。

綜上所述，在信息化高速發展的今天，數據已經成為一種戰略資源，數據安全與國家安全、社會安全、政企機構安全和個人安全四個層面都息息相關。作為國家通信產業的支柱，運營商唯有擔起用戶信息守護者的重任，將提升用戶信息保護能力視為企業核心競爭力，才能贏得用戶持續的信任，構建起信息社會的健康生態。

[1]張安妮,張慶安.基于大數據技術的智慧水利信息化技術研究.2018（第六屆）中國水利信息化技術論壇論文集,2018.

[2]陳麗慧等.個人信息泄露的事前防范研究—以監管和行業自律為切入點[J].法制與社會,2018.

[3]黃煒.一種基于大數據分析技術的信息安全綜合管理平臺[J].網絡安全技術與應用,2018.

[4]楊東.基于后臺操作模糊化的大數據平臺客戶敏感信息保護[J].電信網絡技術, 2017.