运营商大数据安全管理策略研究.docVIP

运营商大数据安全管理策略研究 摘要：为确保运营商大数据安全风险的可管可控，分析了运营商大 数据的发展趋势及面临的安全问题，提出了一种运营商大数据全生命周期 安全管控策略。通过基于运营商大数据系统建设的五个层级，建立数据采 集、传输、存储、共享、使用、审计、销毁等七个环节的端到端安全管理 体系。针对运营商敏感数据建立统一客户敏感数据管理平台，并从检测、 响应、恢复及加固四个环节建立大数据安全事件闭环管控流程，提升大数 据安全事件快速分析能力，对增强安全事件发生后的应对处置能力起到有 效作用。 关键词：大数据 数据安全安全分析安全技术安全防护 1引言 随着大数据技术日益发展成熟，运营商通过多年的发展积累了庞大的 数据资源，基于数据资源方面的显著优势，在确保数据安全使用的前提下, 积极开展大数据外部旅游、交通、政府、地产、人力资源、汽车、公共服 务等行业的营销实践，可实现人数据经济效益和社会效益的双重提升。 《中华人民共和国国民经济和社会发展第十三个五年规划纲要》明确 指出，要“实施国家大数据战略”，“加快推动数据资源共享开放和开发应 用”；耍“加强数据资源安全保护”，“保障安全高效可信应用”。国务院颁 布的《促进大数据发展行动纲要》提出，要深化大数据在各行业的创新应 用，同步建立健全大数据安全保障体系，切实保障数据安全。 但是，随着运营商大数据应用需求的快速增加，其面临的安全风险也 在不断增大，为贯彻落实国家的相关要求，确保运营商大数据安全风险可 管可控，在确保安全的前提下发挥数据价值，开展运营商大数据安全管理 策略研究，对实现运营商大数据安全管理具有重要的意义。 2运营商大数据全生命周期安全管控 运营商建设大数据系统通常分为五个层级： （1） 数据采集层：主要是对移动通信网络、家庭宽带网络、集团专 线网络的网络设备及业务平台侧进行数据分光复用、流量镜像等配置操 作。 （2） 数据处理层：基丁服务器资源对传输过来的原始数据进行解析, 生产准实时数据，其中包括位置数据、通话数据、漫游数据、上网数据等 明细数据。 （3） 数据标签层：根据上层应用功能需求，对数据处理层生成的基 础明细数据进行建模，生产满足各个应用场景的小吋/日/周/月宽表数据 和用户画像标签。 （4） 功能模块层：为支撑各种不同行业产品的需求，需要提供对外 数据推送的OpenAPI接口，实现与外部需求系统的协议适配、准实时推送、 定时分发和实时查询等功能。同时对外输出分析报告、数据产品和行业解 决方案。 （5） 行业应用层：根据行业特征和需求，针对客户、产品、服务等 方面进行分析研究，并输出大数据开放接口、大数据分析报告、大数据解 决方案及大数据产品，提升客户在各行业进行业务管理、产品运营、精准 营销等方面的能力，实现运输商大数据变现。 基于运营商大数据系统建设的五个层级，构建大数据全生命周期安全 管控如图1所示。 对于运营商大数据全生命周期安全管控，需要建立数据采集、传输、 存储、共亨、使用、审计、销毁等七个环节的端到端安全管理体系。 （1） 采集环节 在数据采集过程中，应确保数据采集和处理均在运营商机房内，确保 核心数据不出机房。采集所使用的分光器应在建设时做好包括端口、位置 等信息在内的记录，并定期开展审计。 （2） 传输环节 针对跨安全域传输等存在潜在安全风险的环境，应对敏感信息的传输 进行加密保护，并根据数据敏感级别釆用相应的加密手段。对于目前已使 用的未进行数据加密传输，应令厂家尽快加入加密模块，并在传输两端协 商好加解密算法与密钥，密钥应做到定期更换。 （3） 存储环节 针对存在潜在安全风险的存储环境，例如hadoop中的数据库、磁盘 阵列等，应对大数据中的敏感信息加密存储，确保其保密性，保障数据完 整性，做好数据容灾备份。 建立从设备到操作系统、从平台应用到数据库、从业务到数据等多角 度的容灾备份方案，大数据安全管理员从应急预案、风险检测、实时预警、 风险遏制、问题根除、系统恢复、跟踪总结各环节建立落实大数据安全事 件应急响应方案，定期开展演练。 （4 ）使用环节 大数据平台的所有设备及平台应用必须全量接入安全审计系统，并实 施绕行访问控制，禁止直连访问。对涉及用户身份、位置等敏感信息提取 的操作采用“金库模式”管控。对用户敏感信息进行对外查询、展现、统 计、导出等操作时，必须首先经过模糊化处理或脱敏处理。 （5 ）共享环节 针对跨部门的大数据共享，通过保密协议等方式明确数据共享双方应 承担的安全责任、应具备的数据保护手段、限制数据使用范围和场景等。 一切离开大数据平台的敏感数据都需要先进行加密，确保未授权的人员无 法访问其内容。 （6） 审计环节 用户登录大数据平台后的任何操作必须有详细的□志记录，□志log 文件屮应至少包括“何时、何地、何账号、何