Xx运营商行业数据系统安全管理解决方案.doc

运营商行业数据系统安全管理解决方案 目 录 第一章 行业背景分析 4 1.1 行业信息安全背景 4 1.2 行业面临问题和挑战 5 1.2.1 现存问题 5 1.2.2 目标需求 6 第二章 解决方案描述 8 2.1 方案背景与分析 8 2.1.1 运营商信息化建设背景分析 8 2.1.2 运营商数据管理过程分析 9 2.1.3 运营商业务管理过程分析 9 2.1.4 运营商数据安全管理总结 10 2.2 方案构成与特性 12 2.2.1 系统物理架构 12 2.2.2 系统应用架构 14 2.2.3 解决方案特点 15 2.3 方案优势与受益 16 第三章 成功案例分享 17 3.1 广东联通 17 3.1.1 应用背景 17 3.1.2 项目分析 17 3.1.3 项目范围 18 3.1.4 项目规模 18 3.1.5 解决方案 18 行业背景分析 行业信息安全背景 随着运营商信息化进程的迅速加快，信息化、网络化的建设已提高到一个全新的水平。但长期以来，运营商信息化建设都是偏重于业务管理方面的建设，很少对数据的安全保护进行重视。 在原有六大运营商进行重组之后，我国目前的运营商行业基本上可以分为以下几种：中国移动、中国电信、中国联通和其他二三级宽带运营商。其业务仍可基本分别固网业务、移动业务两大类。 固网业务中包括了多种应用系统，如计费、结算、营业、帐务、客服和决策支撑系统于一个统一平台的综合业务系统， 互联网服务平台、中小企业信息化平台、客服系统、 DNS 系统、邮件系统、 CRM 系统等。 移动业务同样包括如计费系统，综合营帐， CRM 系统，网上营业厅系统，移动办公系统，短信、彩铃、彩信、无线宽带等增值服务等。 随着各种应用系统的增加，近年来，运营商信息安全事件频发，2009年3.15晚会，曝光山东移动公司非法发送垃圾短信，出售个人用户信息，严重侵害了消费者的休息权，安全权，隐私正常的工作被打扰，也涉及到消费者的财产安全甚至生命安全；2010年5月，浙江电信违规操作泄露用户核心数据，导致3G天翼电信卡资料被不法分子盗取，大量复制，以低于市场1500多元的价格在网络上出售，致使浙江电信直接损失近千万元。 面对这些触目惊心的现实存在情况，国家已出台相关法律法规加以约束。2009年修订的《刑法》增加了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”的内容; 《计算机信息系统安全保护等级划分准则》规定：其中自主访问控制要求，允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。工信部于2009年颁布的《第三代移动通信服务规范（试行）》中明确指出“电信业务经营者依照法律和有关规定对客户资料负有保密义务。未经客户同意，不得将客户信息用于查询服务或提供给第三方，不得泄露、删除、篡改客户信息。” 而对于运营商企业来讲，需要尽快对重要机密电子文档进行统计和分类，并有针对性地采取安全保护技术措施来加强对这些资料全生命周期的管理，消除由于信息窃密、泄密和失密给企业所带来的重大损失（包括直接损失和间接损失）。 行业面临问题和挑战 现存问题 随着信息化建设的发展，运营商行业都已建立起较为全面的信息化系统，如固网业务中包括了多种应用系统：计费、结算、营业、帐务、客服和决策支撑系统于一个统一平台的综合业务系统（BOSS）， 互联网服务平台、中小企业信息化平台、客服系统、 DNS 系统、邮件系统、 CRM 系统等。 移动业务同样包括如计费系统，综合营帐， CRM 系统，网上营业厅系统，移动办公系统，短信、彩铃、彩信、无线宽带等增值服务等。如何保证这些数据的安全已成为运营商行业领导急待解决的问题。针对运营商行业的特点，在数据安全方面存在如下一些问题： 用户终端的数据安全：用户从各类应用系统中下载数据，人员操作产生的数据，存储在个人终端中，终端数据可由任意人员进行任意操作。数据存在着木马病毒窃取，终端硬件问题遗失，人员主动泄密等问题，可能带来极其严重的损失。 数据内部流转安全：数据存储与计算机终端后，由于业务需要，数据会经过业务系统或者内部网络进行交互传输，在该过程中，可能存在数据网络窃取，误操作导致错发等问题，使企业数据面临威胁。 数据离网及外发安全：数据离开企业内部环境后，数据无法得到有效控制，任何接触数据的人员均可进行传播，存在着二次泄漏的风险，这也往往是运营商数据泄漏事件的罪魁祸