NGBOSS敏感数据保护研究项目.doc

成果上报申请书 成果名称 湖南移动业务支撑网NGBOSS系统敏感数据保护研究 对企业现有标准规范的符合度： 《中国移动业务支撑数据安全管理办法》 《中国移动业务支撑十八大安全检查细则》 《中国移动客户信息保密管理规定》等 成果来源： 项目的年度：2012年 项目名称：湖南移动业务支撑网NGBOSS系统敏感数据保护研究软课题 类型：省公司自立项目 专利情况： 无。 成果简介： 本次NGBOSS系统敏感数据防护研究的主要目标包含三个方面： 1、敏感数据泄露途径和风险分析：沿着敏感数据维护业务场景、敏感数据生命周期的整体思路，调研应用资源、系统资源以及进一步的访问方式进行分析，给出全面的泄密途径；对业务支撑系统中敏感数据存在的漏洞和风险进行描述。 2、敏感数据防控策略方案：对前台敏感数据访问权限控制、后台数据库、敏感信息访问权限控制、接口防控策略以及最小化原则策略、前台模糊化、查询操作记录、数据加密等方面提出指导建议。 3、敏感数据分级分类：通过软课题研究进一步界定业务支撑系统数据安全保护等级与分类，在管控措施上可以根据数据安全分级标准对访问行为进行规范化、统一化管理，确保数据安全保护要求得到贯彻和落实。 本项目成果的经济效益体现在，通过发现NGBOSS系统现存敏感数据泄露风险，提出相关的补全措施和管理办法，切断了可能形成的敏感信息泄露黑色产业链，同时为NGBOSS系统的后续建设提出相关要求，避免系统上线后的二次改造工作。 省内试运行效果： 按照本项目成果，湖南移动NGBOSS、CRM系统对前台页面的敏感数据进行了模糊化补全，对前台敏感数据查询操作进行了日志记录补全，并对后续的系统建设提出了相关要求。 文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明8”。 “成果上报申请书”的填写说明： 1、“成果专业类别”指：核心网、无线、传输、IP、网管、业务支撑、管理信息系统、市场研究、数据业务、数据网络、通信电源、空调、其他。 2、“成果研究类别”指：超前研究、新产品开发、相关网络解决方案、现有业务优化、其他。 3、“所属专业部门”指：完成该成果的单位在省公司或地市分公司所属的专业部门线条。可填写：规划计划线条、网络线条、业务支撑线条、管理信息系统线条、数据线条、市场线条、集团客户线条、其他。 4、“省内评审结果”指：优秀、通过。 5、“对企业现有标准规范的符合度”指：列举该成果使用并符合的中国移动统一发布的企业标准的名称和编号，详细描述该成果在现有的企业标准基础上所需新增的功能要求（如业务流程的改变、设备新增的功能要求等）。 6、成果来源指：如果该成果来源于集团研发项目，请填写研发项目的年度、项目名称和类型（类型包括：集团重大研发项目、集团重点研发项目、省公司自立项目）。 7、专利情况指： 1)类型：发明、实用新型、外观 2）名称：该成果申请专利的名称 3）申请号：由知识产权审查机构授予的该成果专利申请号 4）状态：申请中、已授权 8、“文章主体”：根据不同科技成果分类实施不同的主体要求，具体如下： 1）超前研究类成果主体包括： 背景情况 技术特点分析 标准化情况 其他运营商应用情况（可选） 技术发展趋势 引入策略分析 2）相关网络解决方案类成果主体包括： 背景情况 技术方案：概述、网络解决方案（如果涉及到网络方面的改造，信令改造，路由改造等，应有详细的描述）、设备及系统改造/建设要求、码号资源需求 效果（解决了哪些问题） 本省应用推广情况 3）新产品开发类成果主体包括： 业务及功能简介：业务概述、业务主要功能介绍 技术实现方案：包括业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程、码号要求等 业务申请和开通：包括用户范围及业务使用范围、业务申请与注销等 业务商务模式及资费：包括商务模式、业务资费模式、业务收费方式等 市场前景分析 4）现有业务优化类成果主体包括： 业务及功能简介：业务概述、业务主要功能介绍 现有业务存在的问题：现有缺陷分析、解决问题的思路 原有业务方案/流程：业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程 优化后的方案/流程：业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程 优化后达到的效果，产生的经济效益 5）其他类成果主体，参考1）－4）的成果主体要求，阐述清楚项目背景、实现方案、解决的问题、取得的社会和经济效益等。 以下为研究成果主体内容 一、研究背景及目标 湖南移动业务支撑系统中存在大量管理、经营、服务方面的敏感数据。客户资料泄漏问题的复杂性和严重性在过去很长时间内被低估。基于应用漏洞的数据外泄、内外部人员窃取客户信息外卖等数据安全事件造成的社会影响和经济损失