運營商用戶數據安全防護體系的探索與實踐

2020-03-29 17:24:49常璽

探索科學(學術版) 2020年12期

常璽

中國聯合網絡通信有限公司西安軟件研究院陜西西安710000

如今,企業都在進行信息化建設,多數企業在建設過程中,都過于重視功能的實現,忽略了防護措施的構建,從而導致出現了一系列的信息安全事件。例如用戶信息泄露、被竊取等等,導致用戶越來越不信任運營商。近幾年,國家以及政府部門都在加強信息安全建設,相關政策不斷出臺,使得單位員工安全意識得到了明顯的提高,同時用戶信息安全也有了很大的改觀。

一、運營商用戶數據信息存儲和使用情況

(一)用戶數據信息的產生。運營商用戶信息的產生主要體現在以下幾個方面。第一方面,用戶到營業點辦理業務時,會填寫相關的身份信息,這些信息會錄入到運營商內部信息管理系統中,并且還會將紙質檔案保存。第二方面,一些用戶會通過運營商電話來預約辦理業務,或者運營商上門為用戶辦理業務,在辦理業務過程中,客服會詢問用戶相關信息,將信息直接錄入到系統中[1]。第三方面,部分用戶無法到營業點辦理業務,所以會選擇在運營商創建的自助服務平臺辦理業務,在登錄平臺時,會需要用戶輸入身份信息進行實名認證,這些信息會直接存入到管理系統中。第四方面,當用戶出現問題或者故障時,運營商會向工作人員發送相關業務單,工作人員在幫助用戶解決問題和故障時,會對用戶的一些信息進行記錄,之后形成紙質檔案進行保存。

(二)用戶數據信息的使用。運營商內部以下幾種工作人員會對用戶信息進行訪問和使用。第一種,營業人員和客戶經理在為用戶辦理相關業務時,會對用戶的基本信息以及訂購業務等進行核查。第二種,客服人員在為用戶進行業務服務時,會對用戶的有效信息等進行核查。第三種,客戶經理在維護用戶時,會對用戶的信息進行查詢。第四,安裝維修人員在上門為用戶解決問題和故障時,會對用戶的故障信息和地理位置信息等進行查詢。第五種,信息管理系統的工作人員在對系統進行更新和維護時,需要對用戶的具體信息進行查詢和處理。

對于運營商外部來說,代理商在為用戶辦理相關業務時,會對用戶的信息和業務訂購信息等進行查詢。除此之外,用戶可以在服務平臺上查詢到與自身相關的業務信息和消費信息等。另外,運營商在為用戶提供增值等服務時,會對用戶的有效信息進行查詢和校驗。

(三)用戶數據信息的存檔和銷毀。不同客戶信息的有效性存在一定的差異,運營商在對不同客戶信息進行存儲時,會設置不同的存儲類型,與此同時,保存的時間以及封存的時間也會有相關的規定。當客戶信息超過規定時間之后,會對無效信息進行歸檔和封存,超過封存期的用戶數據會進行銷毀處理。

二、運營商用戶數據安全防護體系構建對策

(一)信息分級和脫敏。運營商會存儲大量的用戶信息,并且每種類型信息的敏感程度都不盡相同。為了提高安全防護的整體效率,要根據信息的重要程度來對用戶信息進行分級處理,并根據客戶的級別來設置相關的安全管控措施,同時對數據信息進行防護。對于敏感度較高的數據信息,運營商要利用模糊處理或加密處理來降低信息的敏感性。

(二)權限管理。對于用戶有效信息以及信息管理系統中存儲的用戶數據來說,訪問操作權限的控制是安全防護體系的關鍵[2]。因此,運營商要按照權限最小化的標準來對工作人員的信息訪問權限進行設置,并且要規定工作人員只能訪問對應級別的用戶有效信息,不能跨級進行訪問。與此同時,運營商要對系統賬號的安全性進行管控,防止賬號信息出現泄漏等情況。

(三)構建信息安全基礎設施。對于電子形式的客戶信息,運營商要構建完整的信息安全防護基礎設施。構建信息安全防護技術設施可以從以下幾點進行。首先,運營商可以利用終端認證、漏洞掃描以及木馬查殺等設施來對終端進行管控,避免其他外部終端進入到運營商內部網絡中,同時要規定外部終端只有符合安全條件才能夠進行訪問。其次,利用網絡行為審計以及防火墻等基礎設施來對用戶信息傳輸的網絡進行管控,以此來保證用戶數據信息能夠安全、穩定的進行傳輸。第三,利用數據庫操作審計和漏洞掃描等基礎設施來對數據信息數據庫進行管控,避免數據庫被入侵和非法訪問,防止出現數據泄露的情況。最后,要對數據庫系統、文件系統以及應用系統進行加密,對一些敏感用戶數據信息要采用密文的形式進行存儲,防止出現信息安全事故。

(四)開展網絡安全攻防演練。運營商要不定期的開展網絡安全攻防演練,通過虛擬的用戶數據來檢測相關系統的安全性,以此來提高上技術人員安全防護和應急處置能力[3]。運營商可以邀請經驗豐富的專家組成攻擊隊,將企業內部技術人員組成防守隊,不限制攻擊路徑和攻擊手段,來進行網絡攻擊,獲取運營商系統中的虛擬用戶信息。在整個過程中觀察內部技術人員的解決手段、解決時間以及后續完善工作,在攻防演練結束之后,運營商要根據演練的結果來對系統進行完善,同時對技術人員進行培訓,從而提高網絡安全的綜合防控能力。

結束語

總而言之,用戶數據安全防護體系構建是一項系統、復雜的工程,需要運營商不斷的進行探索和實踐才能構建出完整的安全防護體系。雖然我國運營商在數據安全防護方面已經開展了大量的工作,但是與國外相比還存在著一些差距。因此,運營商要對業務范圍的用戶數據信息進行有效識別,并通過安全防護體系來對用戶數據進行管控,從而防止用戶數據被泄露。