郭林江

（中国移动通信集团河北有限公司，石家庄 050000）

数据安全防护体系在业务支撑中心的实践

郭林江

（中国移动通信集团河北有限公司，石家庄 050000）

当前电信运营商业务支撑系统一般具备基础的安全防护措施，例如防火墙、入侵检测、流量清洗等专用安全设备，但是随着电信业务运营的多样性发展，敏感数据越发为安全防护的重点，本文从典型的电信运营商网络架构开始分析，阐述了电信行业数据安全的防护重点，又结合中国移动河北公司业务支撑系统实际案例，重点介绍了数据安全防护的实践和经验，可以为电信运营商敏感数据防护提供经验借鉴。

业务支撑系统；数据安全防护体系；敏感数据

目前电信运营商在从基础网络提供商向综合信息提供商的战略转型中，业务形态呈现智能化、IP化和移动化，新业务形式重点实现以网络为载体的数据信息交换。在此过程中，信息安全以支持业务运营为驱动，尤其是敏感数据安全已经成为运营商进行业务拓展和创新的基础保障。通过建立敏感数据安全防护体系，使敏感信息处于可管、可控、可追溯的防护环境，确保各项业务的正常运营。

1 业务数据是运营商重要资产

电信运营商的全业务运营依赖于通信基础网络和信息支撑系统，业务数据分布广泛。面向公众提供服务及业务运营管理涉及业务数据的产生、使用、流转、交换和销毁过程。电信运营商业务数据至少包括客户信息、卡号资源信息、订购关系、位置信息、通话记录、上网记录、经营分析报表、财务报表、企业发展战略等。在电信运营商着力打造信息专家的过程中，业务数据和传统的设备、号卡资产一样，已经成为企业的重要资产，关乎企业社会形象与核心竞争力，因此，保障业务敏感数据的安全性、有效性、完整性、可用性具有战略性地位。

图1为省级电信典型运营商业务架构，敏感数据广泛分布在专业网络和业务系统之中，专业网络通信设备独立于数据通信网络，基本不具备接入并获取敏感数据的途径，相比较而言支撑系统集中保存有大量业务敏感数据，是敏感数据安全防护重点，以下重点介绍业务支撑系统的敏感数据防护措施。

2 敏感数据的防护是安全建设的重点

中国移动对于业务数据安全重点是业务运营、系统维护中的敏感数据防护，即针对含有敏感信息的业务数据的访问、使用、传输、转换、运维过程中对操作行为动机、身份、权限、渠道的管控。之所以将此作为重点建设内容，一方面源于传统的网络运营向信息运营的业务转型，一方面源于安全防护工作精细化、可信化的管理转型。为了加强敏感业务数据的安全防护，中国移动通信集团公司已经发布了一系列针对数据安全的专项防护措施。

图1 电信业务架构图

中国移动业务支撑信息安全体系建设以安全管理平台和4A平台为技术核心，分解为应用安全、数据安全、接入安全、网络安全、人员安全、流程安全、基线安全和物理安全，其中数据安全作为信息安全的重要组成部分，除了考虑数据库敏感数据安全之外，还要考虑主机类数据安全（如主机话单文件等）和应用类数据安全。

3 业务支撑系统敏感数据的防护

根据集团的要求和自身安全建设的需求，中国移动河北公司启动了业务数据安全防护体系的研究工作，针对业务数据安全防护在行业内率先开展了实践。

业务支撑系统敏感业务数据防护的建设思路如图2所示，共分为5个部分组成，分别是应用数据安全防护、数据库安全防护、主机数据安全防护、文档安全管理与数据安全审计，前3类安全防护是针对特定目标制定防护策略，执行不同的安全防护手段，文档安全是针对数据文件导出生命周期的管理，保证导出数据文件的安全性，安全审计是针对数据操作的统一审计管理，河北公司建立了云审计中心，统一存储各类审计应用和后台操作日志信息，为数据安全提供可追溯可审计的防护手段。

图2 业务支撑系统数据防护结构图

3.1 前台应用数据安全

业务支撑系统用户量最大的是前台应用人员，包括营业客服、电子渠道代理商用户，还包括公司内部经营分析用户，应用系统中包含有大量客户敏感客户信息、公司经营的核心数据，此部分涉及用户群比较复杂，是敏感数据管控的重点区域。

首先应用系统通过接入4A平台，实现对访问用户身份强认证，通过系统权限最小化原则对用户进行权限管理。针对用户敏感信息实现了数据脱敏操作，普通操作权限用户无法直接获取用户有价值信息，如姓名、身份证信息等，保证最大范围的普通用户无法直接获取用户的敏感信息；前台应用系统记录用户的操作行为形成统一接触审计数据，如果涉及用户信息泄露可以通过接触日志进行审计和追溯。

根据中国移动通信集团公司的《金库管理办法》，应用系统对于涉及批量操作客户资料、公司经营数据的21个应用场景进行了约定，通过金库（双人协作授权）模式实现操作，减少单人操作的风险，21个应用场景包含了应用系统对敏感数据的高风险批量操作，如表1所示。

页面审计是通过网络设备镜像获取网络层数据，还原应用操作页面信息的审计技术。页面审计需要采购部署单独的设备与软件产品，根据《业务支撑网数据安全管理办法》定义应用的敏感数据页面，目前河北公司业务支撑系统定义302个敏感数据页面，定义审计策略36条，每月产生告警工单8 000条左右，每天产生的告警工单通过分级审计系统分流到审计相关责任人进行审计，告警策略的设定需要根据各省实际情况不断摸索和设定，适合的告警策略可以有效出发告警工单，海量和极少的告警信息都会对审计效果产生影响。页面审计是从旁路获取审计证据，不依赖于应用系统记录的日志数据，页面还原审计证据直观有效，配合业务系统自身日志可以达到更好的审计效果，图3给出页面审计（河北公司安全审计平台）常规部署架构示意图。

针对应用前台的敏感数据管控，通过以上管控手机基本保证了应用级别的数据安全，可以达到应用敏感数据可控、可告警、可追溯、可审计的安全效果。

3.2 数据库和主机敏感数据安全

数据库是电信运营商存放核心数据的位置，必须使用多重管控和审计手段，共同起到敏感数据防护作用。

表1 金库管控场景表

图3 页面审计架构图

数据库防护重点人群是后台维护的数据库管理人员，首先把防护的数据库资源接入4A平台，只有对用户身份做合法强身份认证以后才会允许访问，非法用户会直接阻断。其次是记录用户访问数据库的所有交互数据，河北公司通过部署逻辑串行图形堡垒机实现数据库审计功能。

图形堡垒机具有应用发布的功能，数据库访问工具发布到图形堡垒机上，用户访问先登录4A平台验证合法用户和权限，然后登录图形堡垒机进行数据交互操作。

为了保证系统访问的可用性能要求，河北公司采用了多台图形堡垒机集群的部署方式，单台堡垒机故障不影响数据库的安全防护能力，也能保证后台数据库维护工作的性能要求。

针对关键业务系统的数据表，我们设定了金库保护模式，例如对关键表的DROP操作，需要业务审计人员审批才能进行操作，减少了针对关键数据表误操作和恶意破坏行为发生的概率。数据库中涉及个人信息的必要敏感数据进行加密存储，防止数据库数据被直接读取泄露关键信息，如系统密码和用户的身份信息进行加密存储，应用读取成功解密后进行展示。

业务支撑系统主机设备是承载数据库和应用的硬件载体，主机上涉及话单文件已经重要系统配置数据，主机数据安全防护重点是维护人员中的主机管理员。主机安全通过逻辑串行字符堡垒机实现，多台字符堡垒机构成集群，针对关键主机敏感指令采用金库防护手段，字符堡垒机记录访问主机的日志信息，为审计提供数据来源。

3.3 文档安全管理和云审计

应用使用人员和后台维护人员都有从系统导出数据文件的需求，数据文件脱离核心服务器失去正常的管控和审计，所以河北公司建立了文档管理系统，对导出的数据文件进行全量数据备份，根据定义策略对数据文件进行全量扫描审计，例如文件中保存有用户身份证信息则出发告警工单。文档管理系统定义了数据文件导出的保密措施，例如文档增加水印标志，文档进行加密，禁止拷贝，设定有效期等措施，可以保证数据文件具有可控手段，防止数据文件随意传输和扩散。

河北公司建立了基于Hadoop的云平台，充分利用云平台的大数据存储及快速检索优势建立了审计中心，云审计是各类防护手段的集中审计，应用数据审计、数据库审计、主机操作审计和文档管理系统都把审计日志传送给云审计中心进行统一的存储和管理，经过匹配触发告警的审计策略及时发现高风险违规操作，云审计与各专项技术防护关系如图4所示。

图4 云审计结构图

4 数据安全防护实践总结

当前电信基础网络作为业务运营与数据交流的载体，而业务数据将成为影响服务质量、业务竞争力、可持续发展、企业社会形象的重要因素。为落实电信行业监管部门以及集团公司提出的数据安全管理要求，通信企业正在确定业务数据安全的发展及规划，以敏感业务信息防护为重点的数据安全越发成为信息安全建设的重中之重。

中国移动河北公司搭建了“四位一体”的数据安全防护体系，从应用、主机、数据库、文档安全管理4个方面分别进行数据安全管控，而且建设了统一的云审计中心，有效提升了公司数据资产的防护水平。数据安全是业务支撑系统安全体系的组成部分，安全体系各方安全防护相辅相成，任何方面的漏洞都可能造成数据安全事件，所以进行全面安全体系规划，重点提升数据安全防护手段，可以有效保障业务支撑系统的数据安全。

Data security protection system in the practice of business support system

GUO Lin-jiang
(China Mobile Group Hebei Co., Ltd., Shijiazhuang 050021, China)

Safety protection measures of the telecom operation support systems generally have the foundation, such as fi rewall, intrusion detection, traff i c safety equipment for cleaning, but with the diversity development of telecom business, more focus on sensitive data security protection, this paper begins with the analysis of typical telecom operators, network architecture, the telecom industry data security key, and combining with China Mobile Hebei business case system support, mainly introduces the practice and experience of data security, for telecom operators to sensitive data protection experience.

business support system; data security protection system; sensitive data

TN918

A

1008-5599（2013）12-0032-05

锐捷网络＂牛顿“荣获最具价值产品奖

2013-11-22

News

首届全球互联网技术大会（GiTC）于12月5日在国家会议中心盛大召开，数十位代表国内乃至全球互联网最前端技术的演讲嘉宾齐聚一堂，以“技术造梦新世界”为主题，共同分享了互联网行业最前沿的技术创新成果。经评审团讨论，组委会最终将“2013年度互联网最具价值产品奖”颁给了锐捷网络的旗舰产品Newton 18000系列核心交换机（简称牛顿交换机）。锐捷网络总裁刘中东先生受邀参加本次技术盛宴，在代表锐捷领取该奖项的同时，他对民族企业“自主创新”之路中的责任，以及“中国创造”的使命进行了精彩解读。GiTC大会围绕“开源”、“大数据”、“云”等12个话题，从技术的角度透析了我国互联网行业取得的成就，同时也对全球互联网技术应用动态和未来发展趋势进行了深度探讨。