中国移动业务支撑网客户信息安全保护-徐党生..docVIP

23 ·2014年 第12期· 电信工程技术与标准化 C H I N A M O B I L E N E T W O R K AN D I N F O R M AT I O N S E C U R I T Y C O L U M N 中国移动业务支撑网客户信息安全保护 徐党生 (中国移动通信集团吉林有限公司,长春 130021 摘　要 　 中国移动业务支撑系统积累和掌握了大量的客户信息,如何实现对业务支撑网客户信息的安全管理,确保业 务支撑网客户信息的机密性,成为当前安全建设的重中之重。本文根据中国移动的业务特点和实际情况针对 业务支撑系统客户信息安全管理的实现架构进行分析和描述,提出构建从客户信息分级、电子审批、提取控 制、数字水印、文档控制、审计等方面来加强数据安全控制。 关键词 　 客户信息;数据安全;电子审批;数字水印 中图分类号 TN918 文献标识码 A 文章编号 1008-5599(201412-0023-05 收稿日期 :2014-11-16 1 客户信息安全保护背景 中国移动业务支撑系统中积累和掌握了大量的客户 信息,存储和处理客户信息的支撑系统包括业务支撑系 统(BOSS 、经营分析系统、CRM、网管系统、客户 服务支撑系统等。 客户信息包括客户基本资料、客户身份鉴权信息、 客户通信信息和客户通信内容信息等 4大类。 (1客户基本资料包括但不限于集团客户资料、个 人客户资料、渠道及合作伙伴资料、精确营销目标客户 群数据和各类特殊名单。 (2客户身份鉴权信息包括但不限于客户的服务密 码和客户登录各种业务系统的密码。 (3客户通信信息包括但不限于详单、原始话单、 账单、客户位置信息、客户消费信息、基本业务订购关 系、增值业务(含数据业务订购关系、增值业务信息、 客户通信行为信息和客户通信录等。 (4客户通信内容信息包括但不限于客户通信内容 记录、客户上网内容及记录和行业应用平台上交互的信 息内容。 客户信息安全面临的风险和威胁主要包括因为权限 管理与控制不当,导致客户信息被随意处置 ; 因为流程 设计与管理不当,导致客户信息被不当获取 ; 因为安全 管控措施落实不到位,导致客户信息被窃取等。 2 客户信息安全保护的目标 客户信息安全保护的目标如下。 (1利用安全保护手段和审计系统对业务支撑网客 户信息的数据泄漏及篡改做到事前预防、事中控制、事 后审计。 (2通过管理制度及细化管理流程强化客户信息安 DOI:10.13992/ki.tetas.2014.12.007 ·2014年 第12期· T E L E C O M E N G I N E E R I N G T E C H N I C S AN D S TA N D A R D I Z AT I O N C H I N A M O B I L E N E T W O R K AN D I N F O R M AT I O N S E C U R I T Y C O L U M N 24 全的日常管理和审核,及时处理客户信息泄密事件的处 理,落实信息泄露的惩罚措施。 3 客户信息安全保护的要求 客户信息安全保护的总体要求如下。 (1对业务支撑网客户信息按数据价值、数据安全 需求两方面进行分级管理。 (2对业务支撑网客户信息的所有存储方式及获取 途径应进行深入分析,及时发现并弥补业务层面和系统 层面中可能导致客户信息被篡改和泄漏的漏洞。 (3利用安全技术和管理手段加强客户信息管控, 避免数据泄露和非法篡改。 4 总体设计 结合业务支撑网客户信息安全保护要求给出安全保 护体系架构、功能模块。主要从客户信息授权鉴权、电 子审批、数据提取控制、维护工具管理、数字水印、文 档管控、操作行为审计等方面加强客户信息安全控制, 提高业务支撑系统的客户信息安全保障能力。 4.1 体系架构 整个体系由数据层、应用层、服务层构成,每个层 次分别对应客户信息安全保护的主要功能模块。客户信 息安全保护体系的逻辑架构如图 1所示。 4.2 功能模块设计 整个客户信息安全保护体系功能模块设计和系统交 互,如图 2所示。 下面针对每个部分进行详细功能设计。 4.2.1 授权与访问控制 通过 4A 管理平台实现维护终端集中化授权与访问 控制。4A 管理平台上采用堡垒主机的技术,基于用户 的权限,进行统一的资源层和应用层访问控制,避免维 护人员使用不安全的终端直接访问客户信息。 4A 管理平台进行统一的审计操作,原有系统功能 和性能不会受到影响,在减轻管理员负担的同时,提高 图1 客户信息安全保护体系逻辑架构图 25 ·2014年 第12期· 电信工程技术与标准化 C H I N A M O B I L E N E T W O R K AN D I N F O R M AT I O