適用于基礎電信行業的數據安全技術模型研究*

張晉源，田春平，劉 青，武靖瑩，韓 方，周關萍

（中國電信股份有限公司云南分公司，云南 昆明 650000）

0 引言

我國工信部近年來針對數據安全的管理力度及處置力度日益增大，這也促使了眾多行業不斷完善數據安全體系建設和數據安全技術創新?；A電信行業用戶面廣，信息繁雜，數據海量的特點更是成為數據安全的重點關注行業。本文主要從數據安全“H”技術模型來研究適用于基礎電信行業的數據安全技術模型。

1 數據安全“H”模型

電信運營商數據可大致分為三類：第一類是用戶信息數據，包括用戶身份信息，終端信息等；第二類是用戶消費類數據，包括用戶通信消費情況、賬單等；第三類是用戶行為數據，包括用戶通話行為記錄、上網行為記錄等[1]。根據對數據的操作內容，可以將數據安全的完整生命周期劃分為6個階段，即數據采集、數據傳輸、數據存儲、數據使用、數據開放共享和數據銷毀。利用業內共識的各階段標簽，結合客觀的流量感知手段，建立了數據安全的“H模型”，如圖1所示。下面將對數據安全技術模型中的數據標簽和流量感知進行闡述和說明。

圖1 數據安全“H”技術模型

2 “H”模型的數據標簽

數據是客觀存在的，通常由數據用途及特征決定其內容和字段。在讀取數據時，得到的信息是其直接傳遞的，無法從數據本身直觀看到數據來源。如果為數據源打上數據標簽，標簽中含有數據源的IP地址、系統名稱、MAC地址、傳遞時間等信息，數據在傳遞的過程中，約定雙方不得改變這些由采集源賦予的特征標簽值，即可讓數據具備可追溯性和問責性，如圖2所示。數據標簽通常是不可察的，它與數據共享數據塊緊密結合并隱藏其中，成為源數據不可分離的一部分，并經過不破壞源數據使用價值的操作保存下來[2]。

圖2 數據標簽示例

帶上了數據標簽的數據，具備了識別數據來源的功能，能夠實現源數據的追溯，從而進一步為問責機制的建立創造了條件，在對一些異常數據和垃圾數據的分析中具有重要的作用。例如，在某一生產場景中，發現某條數據數值異常，僅從數值來看，無法得知是哪個數據源存在問題導致的數值異常，若采用數據標簽的形式，可以清楚追溯數據來源。在基礎電信行業的信息系統中，常常會有多系統來源的數據，數據標簽模式無疑是更好的數據安全實踐，同時針對數據跨域、跨境傳輸具有非常有效的管控力。

采用數據特征字段加密的方法，實現其機密性和完整性。即在數據唯一特征值后增加數據來源特征標識，再利用高級加密標準（Advanced Encryption Standard，AES）等高級加密算法加密后存儲、傳輸。利用AES加密算法的特性，保證了數據在流動中的完整性不被破壞，同時其密鑰僅被少數數據安全管理人員持有，確保了數據標簽的機密性，如圖3所示。

在5G應用場景中，為實現低時延要求，常常將5G核心能力之一的移動邊緣計算（Mobile Edge Computing，MEC）能力下沉到近用戶側，這樣在某種場景下會多用戶共用MEC，對于數據安全的要求也就越高。5G的高速特性將激發更多的數據被產生和傳輸。5G被應用于社會生產和關鍵應用，其中會包含影響到人身和物理安全的關鍵數據[3]。若采用數據標簽管控的方式，既解決了數據流向管控的問題，也有效降低了數據泄露事件帶來的影響。

數據標簽為數據本身在存儲、傳輸、加工、銷毀過程中提供了安全保證，同時，也需要企業從規范管理的角度來要求規范性的開發策略，特別對于新技術和新業務的發展更是如此。但對于擁有長久發展歷史的基礎電信行業來說，存量數據的管控同等重要，通過客觀的原始流量（數據包）數據分析，即可感知和管控數據流向、數據接口狀態等形成數據資產的多維畫像。

3 “H”模型的流量感知

數據不會一直靜默不動，任何信息系統之間的交互都需要數據流動的支撐，數據的流動即產生了網絡流量。由于因特網的普遍性和易操作性，態勢感知在其中有著廣泛的應用，利用態勢感知強大的全局監控能力，可實時掌握網絡的運行狀態并采取對應的安全措施，保證網絡系統的安全[4]。對于基礎電信行業的信息系統而言，最常見的網絡拓撲結構是樹型和星型，少量追求高可靠性的網絡使用網狀結構。對于這兩種拓撲來說，任何服務器都存在“唯一”的網絡出口，如果通過技術手段抓取系統網絡出口交換機或深度報文檢測（Deep Packet Inspection，DPI）等分流設備的下聯口（業務口）的雙向流量鏡像，即可做到業務系統出、入流量的全面感知，同時不影響正常業務的進行。

如圖4所示，不同的鏡像流適用于不同的場景。在分析系統內部之間的數據流時，常接入近系統側的交換機鏡像流，例如鏡像流1和鏡像流2，這種情況下能夠分析出交換機下掛資產中數據之間流通的情況，分析顆粒度也更為精細化。而如果需要分析不同系統之間的數據互通情況，則需要接入系統上層匯聚交換機的流量。鏡像流的采集和控制，需要由實際分析需求去定義。而在基礎電信行業統一建設安全技術能力的時候，往往是考慮到流量的覆蓋性，常使用鏡像流3的方式配置。通過合理的流量鏡像部署方案和分析方法，可以客觀、準確地實現數據資產的發現、數據接口的狀態監控和數據流量的監測預警。

圖3 數據標簽加密過程

圖4 流量感知工具運行拓撲

3.1 數據資產發現

數據資產是數據安全保護的基礎，只有梳理清楚系統內部存在的數據資產，才能夠對其進行后續的安全部署。但對于基礎電信行業來說，資產龐大、結構復雜是一個重要的特點，從而也給數據資產的梳理帶來了困難。電信運營商在對網絡資產進行漏洞掃描、加固等安全防護工作時，齊全的資產信息可以避免出現安全盲區，同時通過對資產信息的分析，可以及時全面掌握現網設備的漏洞、風險情況[5]。在前者的基礎上，通過流量感知技術結合協議發現技術，能夠客觀、清楚地梳理出系統在當前網絡環境下的絕大部分資產和服務，實現數據資產全方位發現分析。

首先，可以通過源目網絡地址（Internet Protocol Address，IP）的識別，得到網絡內部的IP清單，然后通過“源目端口+源目IP”的識別，得到網絡內部開放服務的清單。例如，在某次梳理過程中，收集到了N個IP，其中每個IP都開放了22端口、23端口，由此可以判定，網絡內部共有N個資產，每個資產開放了2個服務，根據安全基線合規的要求，即可以針對性地對這兩個服務進行精細化防護。

得到IP和服務對應關系后，需要對這種對應關系打上資產標簽，用于識別其歸屬的資產組/資源組，最終形成一份完整的數據資產發現清單，如圖5所示。數據資產的發現，奠定了數據安全的基礎，為數據安全工作的開展提供了重要依據。

3.2 數據接口狀態監控

在業務系統數據傳輸的過程中，少不了數據接口的交互，任何數據的流動都需要通過數據接口或特定協議進行。在基礎電信行業中，常常通過數據接口進行業務系統之間的數據交互，或者是數據資產之間的數據同步。在流量感知狀態下，能夠實時監控到一些異常行為的發生。例如，在話單同步場景下，A系統每天固定向B系統發送1TB數據，數據安全管理員通過數據接口狀態監控發現某天僅發送了2 MB數據，其立即可以判斷，此數據接口異常，原因可能為系統故障或網絡故障。除此之外，通過監控數據接口的異常返回包、異常請求包，亦可發現針對業務系統的異常攻擊行為，做到防患于未然。

圖5 數據資產發現

3.3 數據流向監控

通過數據資產發現，定義了系統內部數據資產，進一步通過對數據資產的分組，可劃定系統內部的資產組。結合數據接口的發現和監控，就能夠清晰地看到系統內部數據與外部資產的交互情況。例如，話單同步場景下，A系統固定每天9點向B系統發送大量話單數據，數據安全管理員通過數據接口狀態監控發現某天10點A系統發送了少量話單數據到C系統，即可以判斷此種數據接口狀態為異常，可能發生了數據泄露事件，如圖6所示。

圖6 數據流向監控

4 結語

結合數據標簽和流量感知技術，能夠做到數據采集、存儲、傳輸、共享、加工、銷毀六個生命周期中的安全管控和評估。在基礎電信行業中，利用自有網絡資源的優勢，可以通過網絡流量對數據資產、數據接口、數據流向的監控和發現來全面感知數據安全態勢，全面發現數據安全問題。這種方法不僅適用于行業內部，對此類資產龐大的企業更能有效、準確地對企業數據安全現狀做出評估。其中，數據標簽技術，提高了流量感知中溯源的效率；流量感知技術彌補了數據標簽靜態化傳遞的局限性。兩者相輔相成，構建出一套基礎電信行業數據安全“H型”技術模型。