裴金棟　趙旺飛

摘要：為確保運營商大數(shù)據(jù)安全風險的可管可控，分析了運營商大數(shù)據(jù)的發(fā)展趨勢及面臨的安全問題，提出了一種運營商大數(shù)據(jù)全生命周期安全管控策略。通過基于運營商大數(shù)據(jù)系統(tǒng)建設(shè)的五個層級，建立數(shù)據(jù)采集、傳輸、存儲、共享、使用、審計、銷毀等七個環(huán)節(jié)的端到端安全管理體系。針對運營商敏感數(shù)據(jù)建立統(tǒng)一客戶敏感數(shù)據(jù)管理平臺，并從檢測、響應(yīng)、恢復(fù)及加固四個環(huán)節(jié)建立大數(shù)據(jù)安全事件閉環(huán)管控流程，提升大數(shù)據(jù)安全事件快速分析能力，對增強安全事件發(fā)生后的應(yīng)對處置能力起到有效作用。

關(guān)鍵詞：大數(shù)據(jù) 數(shù)據(jù)安全 安全分析 安全技術(shù) 安全防護

1 引言

隨著大數(shù)據(jù)技術(shù)日益發(fā)展成熟，運營商通過多年的發(fā)展積累了龐大的數(shù)據(jù)資源，基于數(shù)據(jù)資源方面的顯著優(yōu)勢，在確保數(shù)據(jù)安全使用的前提下，積極開展大數(shù)據(jù)外部旅游、交通、政府、地產(chǎn)、人力資源、汽車、公共服務(wù)等行業(yè)的營銷實踐，可實現(xiàn)大數(shù)據(jù)經(jīng)濟效益和社會效益的雙重提升。

《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》明確指出，要“實施國家大數(shù)據(jù)戰(zhàn)略”，“加快推動數(shù)據(jù)資源共享開放和開發(fā)應(yīng)用”；要“加強數(shù)據(jù)資源安全保護”，“保障安全高效可信應(yīng)用”。國務(wù)院頒布的《促進大數(shù)據(jù)發(fā)展行動綱要》提出，要深化大數(shù)據(jù)在各行業(yè)的創(chuàng)新應(yīng)用，同步建立健全大數(shù)據(jù)安全保障體系，切實保障數(shù)據(jù)安全。

但是，隨著運營商大數(shù)據(jù)應(yīng)用需求的快速增加，其面臨的安全風險也在不斷增大，為貫徹落實國家的相關(guān)要求，確保運營商大數(shù)據(jù)安全風險可管可控，在確保安全的前提下發(fā)揮數(shù)據(jù)價值，開展運營商大數(shù)據(jù)安全管理策略研究，對實現(xiàn)運營商大數(shù)據(jù)安全管理具有重要的意義。

2 運營商大數(shù)據(jù)全生命周期安全管控

運營商建設(shè)大數(shù)據(jù)系統(tǒng)通常分為五個層級：

（1）數(shù)據(jù)采集層：主要是對移動通信網(wǎng)絡(luò)、家庭寬帶網(wǎng)絡(luò)、集團專線網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)平臺側(cè)進行數(shù)據(jù)分光復(fù)用、流量鏡像等配置操作。

（2）數(shù)據(jù)處理層：基于服務(wù)器資源對傳輸過來的原始數(shù)據(jù)進行解析，生產(chǎn)準實時數(shù)據(jù)，其中包括位置數(shù)據(jù)、通話數(shù)據(jù)、漫游數(shù)據(jù)、上網(wǎng)數(shù)據(jù)等明細數(shù)據(jù)。

（3）數(shù)據(jù)標簽層：根據(jù)上層應(yīng)用功能需求，對數(shù)據(jù)處理層生成的基礎(chǔ)明細數(shù)據(jù)進行建模，生產(chǎn)滿足各個應(yīng)用場景的小時/日/周/月寬表數(shù)據(jù)和用戶畫像標簽。

（4）功能模塊層：為支撐各種不同行業(yè)產(chǎn)品的需求，需要提供對外數(shù)據(jù)推送的OpenAPI接口，實現(xiàn)與外部需求系統(tǒng)的協(xié)議適配、準實時推送、定時分發(fā)和實時查詢等功能。同時對外輸出分析報告、數(shù)據(jù)產(chǎn)品和行業(yè)解決方案。

（5）行業(yè)應(yīng)用層：根據(jù)行業(yè)特征和需求，針對客戶、產(chǎn)品、服務(wù)等方面進行分析研究，并輸出大數(shù)據(jù)開放接口、大數(shù)據(jù)分析報告、大數(shù)據(jù)解決方案及大數(shù)據(jù)產(chǎn)品，提升客戶在各行業(yè)進行業(yè)務(wù)管理、產(chǎn)品運營、精準營銷等方面的能力，實現(xiàn)運輸商大數(shù)據(jù)變現(xiàn)。

基于運營商大數(shù)據(jù)系統(tǒng)建設(shè)的五個層級，構(gòu)建大數(shù)據(jù)全生命周期安全管控如圖1所示。

對于運營商大數(shù)據(jù)全生命周期安全管控，需要建立數(shù)據(jù)采集、傳輸、存儲、共享、使用、審計、銷毀等七個環(huán)節(jié)的端到端安全管理體系。

（1） 采集環(huán)節(jié)

在數(shù)據(jù)采集過程中，應(yīng)確保數(shù)據(jù)采集和處理均在運營商機房內(nèi)，確保核心數(shù)據(jù)不出機房。采集所使用的分光器應(yīng)在建設(shè)時做好包括端口、位置等信息在內(nèi)的記錄，并定期開展審計。

（2）傳輸環(huán)節(jié)

針對跨安全域傳輸?shù)却嬖跐撛诎踩L險的環(huán)境，應(yīng)對敏感信息的傳輸進行加密保護，并根據(jù)數(shù)據(jù)敏感級別采用相應(yīng)的加密手段。對于目前已使用的未進行數(shù)據(jù)加密傳輸，應(yīng)令廠家盡快加入加密模塊，并在傳輸兩端協(xié)商好加解密算法與密鑰，密鑰應(yīng)做到定期更換。

（3）存儲環(huán)節(jié)

針對存在潛在安全風險的存儲環(huán)境，例如hadoop中的數(shù)據(jù)庫、磁盤陣列等，應(yīng)對大數(shù)據(jù)中的敏感信息加密存儲，確保其保密性，保障數(shù)據(jù)完整性，做好數(shù)據(jù)容災(zāi)備份。

建立從設(shè)備到操作系統(tǒng)、從平臺應(yīng)用到數(shù)據(jù)庫、從業(yè)務(wù)到數(shù)據(jù)等多角度的容災(zāi)備份方案，大數(shù)據(jù)安全管理員從應(yīng)急預(yù)案、風險檢測、實時預(yù)警、風險遏制、問題根除、系統(tǒng)恢復(fù)、跟蹤總結(jié)各環(huán)節(jié)建立落實大數(shù)據(jù)安全事件應(yīng)急響應(yīng)方案，定期開展演練。

（4 ）使用環(huán)節(jié)

大數(shù)據(jù)平臺的所有設(shè)備及平臺應(yīng)用必須全量接入安全審計系統(tǒng)，并實施繞行訪問控制，禁止直連訪問。對涉及用戶身份、位置等敏感信息提取的操作采用“金庫模式”管控。對用戶敏感信息進行對外查詢、展現(xiàn)、統(tǒng)計、導(dǎo)出等操作時，必須首先經(jīng)過模糊化處理或脫敏處理。

（5 ）共享環(huán)節(jié)

針對跨部門的大數(shù)據(jù)共享，通過保密協(xié)議等方式明確數(shù)據(jù)共享雙方應(yīng)承擔的安全責任、應(yīng)具備的數(shù)據(jù)保護手段、限制數(shù)據(jù)使用范圍和場景等。一切離開大數(shù)據(jù)平臺的敏感數(shù)據(jù)都需要先進行加密，確保未授權(quán)的人員無法訪問其內(nèi)容。

（6）審計環(huán)節(jié)

用戶登錄大數(shù)據(jù)平臺后的任何操作必須有詳細的日志記錄，日志log文件中應(yīng)至少包括“何時、何地、何賬號、何操作”，涉及大數(shù)據(jù)的具體操作，日志中還應(yīng)該記錄關(guān)鍵字段名稱。

（7）銷毀環(huán)節(jié)

涉及用戶敏感信息的大數(shù)據(jù)平臺下線或分析工作結(jié)束后留在系統(tǒng)內(nèi)部的敏感信息，應(yīng)采用技術(shù)手段刪除，確保信息不可還原。對于分析工作結(jié)束后留在系統(tǒng)內(nèi)部的敏感信息，應(yīng)根據(jù)數(shù)據(jù)需求工單中的數(shù)據(jù)有效期進行銷毀。

3 構(gòu)建統(tǒng)一客戶敏感數(shù)據(jù)管理

運營商大數(shù)據(jù)涉及到用戶的行為特征，可以分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)。敏感數(shù)據(jù)是不可下載本地系統(tǒng)進行操作，只允許在統(tǒng)一客戶敏感數(shù)據(jù)管理平臺中對其進行直接操作，而非敏感數(shù)據(jù)是可以下載本地進行操作，非敏感數(shù)據(jù)的下載只允許通過數(shù)據(jù)提取系統(tǒng)進行下載。統(tǒng)一客戶敏感數(shù)據(jù)管理系統(tǒng)架構(gòu)如圖2所示。

在市場需求人員提出需求單之后，數(shù)據(jù)分析接口管理人員必須能夠識別是否為敏感數(shù)據(jù)和非敏感數(shù)據(jù)。

3.1 非敏感數(shù)保護原則

（1）市場營銷人員提出需求單，數(shù)據(jù)分析接口管理人員把此需求單定義為非敏感數(shù)據(jù)后，數(shù)據(jù)分析人員把分析的結(jié)果上傳到數(shù)據(jù)上載區(qū)的非敏感數(shù)據(jù)區(qū)。

（2）數(shù)據(jù)分析人員把非敏感數(shù)據(jù)區(qū)的數(shù)據(jù)上載到數(shù)據(jù)提取系統(tǒng)中。

（3）審核人員對此需求單的數(shù)據(jù)進行審核。

（4）市場營銷人員通過數(shù)據(jù)提取系統(tǒng)下載非敏感數(shù)據(jù)，整個非敏感數(shù)據(jù)流向都需要日志審計。

（5）數(shù)據(jù)上載區(qū)的非敏感數(shù)據(jù)區(qū)只有數(shù)據(jù)分析人員有讀、寫、刪等權(quán)限，其它人員無任何權(quán)限。

3.2 敏感數(shù)據(jù)保護原則

（1）市場營銷人員提出需求單，數(shù)據(jù)分析接口管理人員把此需求單定義為敏感數(shù)據(jù)后，數(shù)據(jù)分析人員把分析的結(jié)果上傳到數(shù)據(jù)上載區(qū)的敏感數(shù)據(jù)區(qū)。

（2）由數(shù)據(jù)分析人員把敏感數(shù)據(jù)區(qū)的數(shù)據(jù)放置審核區(qū)。

（3）由審核人員進行審核審核區(qū)的數(shù)據(jù)之后，放置個人工作區(qū)。

（4）市場營銷人員直接操作個人工作區(qū)的數(shù)據(jù)，也可放置該數(shù)據(jù)至共享工作區(qū)，以便其它市場營銷人員訪問。

（5）數(shù)據(jù)上載區(qū)的敏感數(shù)據(jù)區(qū)，僅僅只有數(shù)據(jù)分析人員有讀、寫、刪等完全控制權(quán)限，其它人員無任何權(quán)限。

（6）審核區(qū)僅僅只有審核人員有讀、寫、刪等完全控制權(quán)限。

（7）數(shù)據(jù)操作區(qū)的個人工作區(qū)，市場營銷人員分別對自己的個人工作區(qū)有讀、寫、刪等完全控制權(quán)限，而審核人員對個人工作區(qū)有寫權(quán)限。

（8）數(shù)據(jù)操作區(qū)的共享工作區(qū)，市場營銷人員僅僅對該部門或者該單位的共享工作區(qū)有讀、寫、刪等完全控制權(quán)限，但是無上一級共享工作區(qū)的權(quán)限。

3.3 敏感數(shù)據(jù)使用原則

（1）獲得授權(quán)的用戶（數(shù)據(jù)提取人員、審核人員、市場營銷人員），必須在系統(tǒng)安全域中分配相應(yīng)的賬號和密碼。

（2）數(shù)據(jù)提取人員遵循的原則

數(shù)據(jù)分析人員只能通過專有的無盤瘦客戶端登陸到應(yīng)用交付系統(tǒng)進行正常業(yè)務(wù)工作，該無盤瘦客戶端無硬盤、光驅(qū)及USB接口，無法將數(shù)據(jù)復(fù)制到本地。

數(shù)據(jù)分析人員在數(shù)據(jù)提取系統(tǒng)接到需求單時，需區(qū)分該需求單得出的數(shù)據(jù)是敏感數(shù)據(jù)還是非敏感數(shù)據(jù)。

數(shù)據(jù)分析人員在后臺業(yè)務(wù)數(shù)據(jù)取得數(shù)據(jù)以后，必須把該數(shù)據(jù)放到數(shù)據(jù)上載區(qū)，建議把敏感數(shù)據(jù)放到數(shù)據(jù)上載區(qū)的敏感數(shù)據(jù)區(qū)，把非敏感數(shù)放到數(shù)據(jù)上載區(qū)的非敏感數(shù)據(jù)區(qū)。

數(shù)據(jù)分析人員在數(shù)據(jù)管理服務(wù)器上，非敏感數(shù)據(jù)區(qū)的數(shù)據(jù)只能上傳至數(shù)據(jù)提取系統(tǒng)中，以給審核人員進行審核。

數(shù)據(jù)分析人員在數(shù)據(jù)管理服務(wù)器上，敏感數(shù)據(jù)區(qū)的數(shù)據(jù)只能上傳至審核區(qū)中，以給審核人員進行審核。

（3）審核人員遵循的原則

對于非敏感數(shù)據(jù)，審核人員登陸數(shù)據(jù)提取系統(tǒng)，根據(jù)數(shù)據(jù)提取人員上傳的數(shù)據(jù)進行審核，審核通過后，由市場營銷人員下載到本地（此本地為市場營銷的辦公電腦）。

對于敏感數(shù)據(jù)，審核人員進入數(shù)據(jù)管理服務(wù)器的審計區(qū)，對該區(qū)的數(shù)據(jù)進行審核，并根據(jù)該數(shù)據(jù)的需求人把數(shù)據(jù)上載到個人工作區(qū)（需求人工作區(qū)）。

（4）市場營銷人員遵循的原則

對于非敏感數(shù)據(jù)，市場營銷人員登錄數(shù)據(jù)提取系統(tǒng)后，下載已經(jīng)審核通過的非敏感數(shù)據(jù)至本地，然后在本地對非敏感數(shù)據(jù)進行操作。

對于敏感數(shù)據(jù)，市場營銷人員通過應(yīng)用交付系統(tǒng)進入數(shù)據(jù)管理服務(wù)器的個人工作區(qū)，然后直接對敏感數(shù)據(jù)進行操作。

敏感數(shù)據(jù)需要進行共享，則必須由市場營銷個人把數(shù)據(jù)從個人工作區(qū)拷貝到共享工作區(qū)中，然后其他營銷人員進行拷貝或者直接進行操作。

4 大數(shù)據(jù)安全事件閉環(huán)管控

4.1 建立大數(shù)據(jù)安全事件閉環(huán)管控流程

大數(shù)據(jù)安全從檢測、響應(yīng)、恢復(fù)及加固四個環(huán)節(jié)開展大數(shù)據(jù)安全事件的全流程管控。

（1）建立大數(shù)據(jù)系統(tǒng)的安全屬性庫，考慮系統(tǒng)的可用性、完整性和保密性，針對系統(tǒng)的弱點屬性如系統(tǒng)漏洞信息、安全配置信息等，進行完整記錄和及時更新機制。

（2）建立必要的大數(shù)據(jù)安全防御手段，包括防火墻、入侵防御、防病毒、終端管理、上網(wǎng)行為管理、數(shù)據(jù)防泄漏等。

（3）發(fā)生安全事件時觸發(fā)預(yù)警/告警，安全監(jiān)控人員及時進行數(shù)據(jù)采集解析、事件識別、實時數(shù)據(jù)分析、歷史數(shù)據(jù)分析，進行事件溯源，并啟動工單系統(tǒng)，生成安全事件工單，派發(fā)相應(yīng)運維人員處理。

（4）安全運維人員開展事件處理、系統(tǒng)加固、安全策略調(diào)整，實現(xiàn)大數(shù)據(jù)安全的閉環(huán)管控。

大數(shù)據(jù)安全事件閉環(huán)管控流程如圖3所示。

4.2 建立大數(shù)據(jù)安全事件快速分析能力

大數(shù)據(jù)安全事件發(fā)生后的首要任務(wù)是及時開展安全事件的分析，具備完整、及時的安全數(shù)據(jù)分析能力是縮短安全事件的處置、減小損失的關(guān)鍵。

（1）建立全面、及時的安全數(shù)據(jù)的搜集。通過SNMP、SYSLOG、Agent、Netflow、API接口、數(shù)據(jù)庫接口、FTP、HDFS、KAFKA、端口鏡像、Netflow等數(shù)據(jù)源接口對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、主機、數(shù)據(jù)庫等開展數(shù)據(jù)采集。

（2）數(shù)據(jù)解析處理：通過安全數(shù)據(jù)字段的識別、時間字段偵測、時間同步等技術(shù)提升數(shù)據(jù)的解析成功率。

（3）建立數(shù)據(jù)關(guān)聯(lián)分析模型：基于Spark Streaming技術(shù)對系統(tǒng)采集的實時數(shù)據(jù)流進行關(guān)聯(lián)分析，關(guān)聯(lián)的模式包括統(tǒng)計關(guān)聯(lián)、設(shè)備關(guān)聯(lián)、信息關(guān)聯(lián)、模式關(guān)聯(lián)、漏洞關(guān)聯(lián)、策略關(guān)聯(lián)等，并內(nèi)置安全關(guān)聯(lián)規(guī)則。

（4）用戶行為畫像：建立特定用戶的畫像，包括其合法行為白名單和行為基線。通過用戶行為分析引擎?zhèn)蓽y用戶的異常行為，例如異常時間、從可疑位置登錄，或是訪問和平時完全不同的數(shù)據(jù)或數(shù)據(jù)量，或是把數(shù)據(jù)上傳至公司外部的可疑地址，提供可疑用戶最近的所有行為給安全管理員進行進一步的詳細調(diào)查。

（5）建立分等級的告警規(guī)則：根據(jù)監(jiān)控內(nèi)容，對不同設(shè)備和系統(tǒng)的異常情況進行告警，并對告警進行分類，例如高級告警、中級告警等。制定監(jiān)控告警生成事件的規(guī)則，如主要告警可以生成安全事件進行跟蹤和處理。

常見的高級告警：違規(guī)安全軟件、違規(guī)登錄系統(tǒng)、終端數(shù)據(jù)泄漏；中級告警：違規(guī)上網(wǎng)訪問、密碼未定期更新、終端病毒感染、終端惡意掃描；低級告警：補丁未及時更新、惡意卸載軟件。大數(shù)據(jù)安全分析能力模型如圖4所示。

5 結(jié)論

本方案分析了運營商大數(shù)據(jù)發(fā)展的趨勢，重點闡述了當前面臨嚴峻的安全挑戰(zhàn)，并為運營商大數(shù)據(jù)開展內(nèi)外部變現(xiàn)提出了一種運營商大數(shù)據(jù)全生命周期安全管控策略，通過基于運營商大數(shù)據(jù)系統(tǒng)建設(shè)的五個層級，建立數(shù)據(jù)采集、傳輸、存儲、共享、使用、審計、銷毀等七個環(huán)節(jié)的端到端安全管理體系。

運營商大數(shù)據(jù)由于涉及到用戶敏感數(shù)據(jù)，一方面可以建立統(tǒng)一客戶敏感數(shù)據(jù)管理平臺，對數(shù)據(jù)進行分級管理，定制差異化審批審計流程。另一方面從檢測、響應(yīng)、恢復(fù)及加固四個環(huán)節(jié)建立大數(shù)據(jù)安全事件閉環(huán)管控流程，并提升大數(shù)據(jù)安全事件快速分析能力，將有效增強安全事件發(fā)生后的應(yīng)對處置能力。

參考文獻：

[1] 中國移動通信集團公司. 中國移動大數(shù)據(jù)安全風險防控工作指引[Z]. 2016.

[2] 中國移動通信集團廣東有限公司. 廣東公司DPI（2/3/4G軟硬采）數(shù)據(jù)安全管理規(guī)定[Z]. 2016.

[3] 王準. 大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全策略研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2016（5）： 48-49.

[4] 李戰(zhàn)克，丁夢娟. 大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究[J]. 信息安全與技術(shù)， 2015（6）.

[5] 陳左寧，王廣益，胡蘇太，等. 大數(shù)據(jù)安全與自主可控[J]. 科學通報， 2015（Z1）： 427-432.

[6] 陳立樞. 中國大數(shù)據(jù)產(chǎn)業(yè)發(fā)展態(tài)勢及政策體系構(gòu)建[J]. 改革與戰(zhàn)略， 2015（6）： 144-147.

[7] 王倩，朱宏峰，劉天華. 大數(shù)據(jù)安全的現(xiàn)狀與發(fā)展[J]. 計算機與網(wǎng)絡(luò)， 2013（16）： 66-69.

[8] 王長杰，王衛(wèi)華. 大數(shù)據(jù)時代下信息安全保護研究[J]. 清遠職業(yè)技術(shù)學院學報， 2016（1）： 42-47.

[9] 唐瑋杰，黃文明. 大數(shù)據(jù)時代下的數(shù)據(jù)安全管理體系討論[J]. 網(wǎng)絡(luò)空間安全， 2016（7）： 58-61.

[10] 李慶陽. 數(shù)據(jù)資產(chǎn)安全管理平臺關(guān)鍵技術(shù)研究與實現(xiàn)[D]. 北京： 北京郵電大學， 2015. ★