董學(xué)勵(lì)， 孫曉波

（①哈爾濱工業(yè)大學(xué)（威海）信息與電氣工程學(xué)院，山東 威海 264209；②中國(guó)移動(dòng)通信集團(tuán)山東有限公司，山東 濟(jì)南 250001）

0 引言

文中研究的是用戶在使用移動(dòng)通信產(chǎn)品全生命周期過(guò)程中的客戶信息保護(hù)模式，客戶信息全生命周期包括入網(wǎng)、傳輸、存儲(chǔ)、處理、消費(fèi)、離網(wǎng)等閉環(huán)過(guò)程。以1995年由英國(guó)醫(yī)學(xué)會(huì)提出的BMA信息安全模型為框架，研究客戶信息保護(hù)的措施，并分析客戶信息保護(hù)的重要環(huán)節(jié)中應(yīng)采取的保護(hù)手段，提出有效可行的客戶信息保護(hù)解決方案。

近幾年，因電信運(yùn)營(yíng)商在管理、流程和技術(shù)等方面的漏洞造成客戶信息泄露的事件時(shí)有發(fā)生，嚴(yán)重的案例是觸犯了國(guó)家法律，當(dāng)事人被追究了刑事責(zé)任。雖然各運(yùn)營(yíng)商都在客戶信息保護(hù)方面采取了大量的措施，但仍然面臨諸多的挑戰(zhàn)，主要包括以下幾個(gè)方面：

1）在管理制度方面，雖然頒布了客戶信息安全管理規(guī)定，“五項(xiàng)禁令”制度，但制度的執(zhí)行力度和效果還有待評(píng)估。

2）在操作行為方面，因?yàn)榧夹g(shù)條件的限制，仍然存在前臺(tái)、后臺(tái)、第三方等違規(guī)查詢客戶信息、批量導(dǎo)出客戶信息的風(fēng)險(xiǎn)，也存在客戶位置信息查詢流程不當(dāng)?shù)娘L(fēng)險(xiǎn)。

3）在行為審計(jì)方面，有些涉及客戶信息的系統(tǒng)缺乏日志，導(dǎo)致無(wú)法進(jìn)行溯源和審計(jì)。

4）在系統(tǒng)安全方面，涉及客戶信息的系統(tǒng)仍然存在弱口令、密碼策略和配置不當(dāng)?shù)娘L(fēng)險(xiǎn)，某些系統(tǒng)接口存在安全漏洞，還有些系統(tǒng)存在明文存儲(chǔ)和傳遞敏感客戶信息的情況。

5）在客戶信息安全控制措施方面，存在敏感客戶信息操作權(quán)限過(guò)度授權(quán)，員工系統(tǒng)賬號(hào)管理不當(dāng)，操作審核措施不足，客戶服務(wù)密碼保護(hù)不足，客戶信息業(yè)務(wù)處理和審批流程規(guī)范性不足，客戶詳單查詢業(yè)務(wù)過(guò)程涉及不合理，移動(dòng)介質(zhì)管控不規(guī)范，職責(zé)分工沖突，紙質(zhì)資料管理不善等諸多風(fēng)險(xiǎn)。

1 BMA安全模型

1995年，英國(guó)醫(yī)學(xué)協(xié)會(huì)（BMA， British Medical Association）針對(duì)國(guó)家健康服務(wù)（NHS，National Health Service）網(wǎng)絡(luò)提出了攻擊模型、安全策略以及結(jié)構(gòu)，從而形成了 BMA安全模型的基礎(chǔ)，后來(lái)由于其通用性，在國(guó)際安全領(lǐng)域被定義為一種經(jīng)典多邊安全模型[1]。

BMA安全模型的主要原理是由客體同意主題可以有條件的查看并使用客體信息，目的是保證客體信息的完整性和可用性。

BMA安全模型的主要規(guī)則如下：

1）訪問(wèn)控制表。每一份病歷記錄都有一個(gè)訪問(wèn)控制表標(biāo)記，用以說(shuō)明可以讀取和添加數(shù)據(jù)的人和組。

2）打開記錄。醫(yī)生可以打開訪問(wèn)控制列表中和他有關(guān)的病人的病例，但需要經(jīng)過(guò)病人委托。

3）控制。在每個(gè)訪問(wèn)控制列表中必須有一個(gè)是可信的，只有他才能對(duì)病例進(jìn)行寫入。

4）同意和通報(bào)?？煽康尼t(yī)生在打開病歷時(shí)，應(yīng)將訪問(wèn)控制列表中的名字、后續(xù)條件和可靠性的傳遞通知病人。

5）持續(xù)性。任何人都不能刪除病歷記錄，除非它已過(guò)期。

6）日志。記錄對(duì)病歷記錄的全部訪問(wèn)。

7）可信計(jì)算。處理以上原理的計(jì)算機(jī)應(yīng)該有一個(gè)有效的方法實(shí)現(xiàn)，實(shí)現(xiàn)方法需要由獨(dú)立專家評(píng)估。

醫(yī)療行業(yè)如何保護(hù)病人的個(gè)人醫(yī)療信息是電信行業(yè)中客戶信息保護(hù)的最佳效仿對(duì)象，而作為醫(yī)療記錄BMA模型也適用于指導(dǎo)電信業(yè)的客戶信息防護(hù)。

2 客戶信息系統(tǒng)

在電信企業(yè)中，客戶信息主要包括客戶基本資料、客戶身份鑒權(quán)信息、客戶通信信息、客戶通信內(nèi)容信息這4大類。存儲(chǔ)和處理客戶信息的系統(tǒng)包括支撐系統(tǒng)、業(yè)務(wù)平臺(tái)、通信系統(tǒng)這3大類。

3 客戶信息安全防護(hù)

BMA作為一個(gè)技術(shù)模型，其主要的規(guī)則集中在保護(hù)策略和技術(shù)保障的技術(shù)側(cè)面。就保護(hù)策略、技術(shù)保障兩個(gè)方面分別予以說(shuō)明。

3.1 保護(hù)策略

電信企業(yè)應(yīng)制定靈活科學(xué)的客戶信息保護(hù)策略來(lái)指導(dǎo)企業(yè)做好客戶信息的安全防護(hù)工作。

（1）訪問(wèn)控制

根據(jù)客戶類別不同，將客戶信息進(jìn)行分類，對(duì)于不同類型的客戶信息進(jìn)行分級(jí)授權(quán)，授權(quán)原則依據(jù)職責(zé)分離和“知必所需”的最小化原則，將能夠訪問(wèn)客戶信息的人員范圍縮小到最小[2]。

（2）信息操作原則

金庫(kù)式管理：不管是前臺(tái)的營(yíng)業(yè)還是后臺(tái)的系統(tǒng)維護(hù)、統(tǒng)計(jì)查詢，對(duì)客戶信息的批量操作都要遵循金庫(kù)管理的模式。

客戶授權(quán)知會(huì)原則：業(yè)務(wù)人員在訪問(wèn)涉及到客戶相關(guān)的詳單、位置等信息時(shí)，需要經(jīng)過(guò)客戶的授權(quán)方可進(jìn)行訪問(wèn)，訪問(wèn)后應(yīng)通過(guò)短信、郵件等方式通知客戶。

模糊化原則：在客戶服務(wù)、營(yíng)業(yè)辦理環(huán)節(jié)，需要訪問(wèn)客戶的基礎(chǔ)信息時(shí)，應(yīng)對(duì)顯示的客戶信息進(jìn)行模糊化處理。

時(shí)代的進(jìn)步，技術(shù)的發(fā)展，出現(xiàn)了很多的新生事物，諸如云計(jì)算、大數(shù)據(jù)等方面。信息技術(shù)和數(shù)據(jù)處理技術(shù)的發(fā)展進(jìn)步，對(duì)社會(huì)資源的需求量的增大，都表現(xiàn)出智慧校園這種體系的建設(shè)。在傳統(tǒng)的校園，紙質(zhì)版的表現(xiàn)形式是資源進(jìn)行有效呈現(xiàn)和存儲(chǔ)的主要方式，但是現(xiàn)今，無(wú)紙化的辦公室的獲取資源的方式轉(zhuǎn)化為技術(shù)高度發(fā)展。資源貢獻(xiàn)這種方式也因?yàn)楦咝ｓw育信息平臺(tái)的出現(xiàn)而具備了很大的發(fā)展前景，但是也出現(xiàn)了信息平臺(tái)自身所要面臨的瓶頸。當(dāng)前，把云計(jì)算作為建設(shè)的技術(shù)基礎(chǔ)，建設(shè)高校的共享體育平臺(tái)服務(wù)的智慧校園理念，目的是為了更好地讓信息化建設(shè)進(jìn)入共享資源和工作管理中，把高校體育教學(xué)工作的整體效果和實(shí)效性開展得更為全面和深度。

自動(dòng)化原則：盡可能采用系統(tǒng)自動(dòng)化處理的方式，減少人為的干預(yù)，從而減低人為疏忽與錯(cuò)誤。

3.2 技術(shù)保障

技術(shù)保障主要是按照保護(hù)策略的要求從技術(shù)的各個(gè)方面有針對(duì)性的采取措施限制批量操作和未授權(quán)操作，防止通過(guò)技術(shù)手段對(duì)客戶信息進(jìn)行未授權(quán)操作或者將客戶信息拿走。

1）物理安全。應(yīng)采用門禁、攝像機(jī)等各種方式保證工作場(chǎng)所、客戶紙質(zhì)信息物理地點(diǎn)、客戶信息相關(guān)系統(tǒng)物理機(jī)房的安全性，嚴(yán)格控制出入，嚴(yán)禁將帶有客戶信息的紙質(zhì)文檔帶離工作場(chǎng)所。

2）網(wǎng)絡(luò)隔離。應(yīng)對(duì)客戶信息相關(guān)的系統(tǒng)進(jìn)行安全域劃分，并在網(wǎng)絡(luò)邊界加載防火墻、IDS等安全設(shè)備，制定嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制策略[3-4]。

3）4A系統(tǒng)。為了從技術(shù)上限制非授權(quán)用戶接觸客戶信息，原則上，涉及客戶信息的支撐系統(tǒng)、業(yè)務(wù)平臺(tái)、通信系統(tǒng)等應(yīng)納入4A系統(tǒng)的集中管控。

4）加密。數(shù)據(jù)在未授權(quán)用戶可能訪問(wèn)的網(wǎng)絡(luò)上進(jìn)行傳輸或不安全的系統(tǒng)中存儲(chǔ)時(shí)應(yīng)加密；關(guān)鍵客戶信息如客服密碼在系統(tǒng)中存儲(chǔ)備份時(shí)應(yīng)采用加密方式。

5）數(shù)據(jù)防泄密。采用文檔安全管理、終端安全管理、敏感信息監(jiān)控等技術(shù)手段防止文件形式客戶信息的泄密，確保業(yè)務(wù)數(shù)據(jù)只保留在業(yè)務(wù)操作用的電腦上，而不會(huì)被員工帶走。

6）應(yīng)用安全。采用安全掃描、應(yīng)用防火墻、代碼檢查等技術(shù)手段確保應(yīng)用系統(tǒng)的安全性，防御黑客對(duì)客戶數(shù)據(jù)信息的攻擊和竊取[5-6]。

7）數(shù)據(jù)脫敏。在外包時(shí)，如果需要把生產(chǎn)數(shù)據(jù)交給第三方，必須經(jīng)過(guò)嚴(yán)格的數(shù)據(jù)脫敏過(guò)程，確保第三方拿到的數(shù)據(jù)里不包含客戶的真實(shí)信息和交易記錄。

8）安全監(jiān)控。通過(guò)自動(dòng)化系統(tǒng)或者人工方式定期檢查上述技術(shù)措施的有效性。

4 結(jié)語(yǔ)

通過(guò)控制措施的運(yùn)用能夠看到、得到客戶信息的人很少，即使因工作需要擁有查詢這些客戶信息權(quán)限的崗位，也會(huì)對(duì)其操作進(jìn)行嚴(yán)格控制，使其無(wú)法將數(shù)據(jù)帶走?？梢杂行Х乐箍蛻粜畔⒌男孤丁５侨绻蛻粜畔⒆罱K還是被泄露出去，公司還可以利用技術(shù)手段收集泄露客戶信息的證據(jù)，然后根據(jù)這些證據(jù)，通過(guò)法律手段對(duì)信息泄露人進(jìn)行起訴。

導(dǎo)致客戶信息泄露的途徑有很多，文中在研究中只局限于電信企業(yè)本身的范圍，對(duì)于超出電信企業(yè)范圍之外的途徑未作研究。同時(shí)也未對(duì)法律法規(guī)方面進(jìn)行研究。

[1] HARRIS S.CISSP All in one Exam Guide[M].北京：科學(xué)出版社，2009：123-157.

[2] 李改成．金融信息安全工程[M]. 北京：機(jī)械工業(yè)出版社，2010：67-89.

[3] 張友能．基于網(wǎng)閘技術(shù)的網(wǎng)絡(luò)安全研究[J]．通信技術(shù)，2008，41(05)：133-135．

[4] 瑞通公司.3G移動(dòng)通信系統(tǒng)的安全體系與防范策略[J].信息安全與通信保密,2009(08)：22-23.

[5] 譚荊.無(wú)線局域網(wǎng)通信安全問(wèn)題探討[J].通信技術(shù),2010,43(07)：84-85.

[6] 李東.網(wǎng)絡(luò)安全分析[J].信息安全與通信保密,2007(01)：166-168.