电信运营商客户信息安全方案

【摘要】本文对于电信运营商客户信息安全现状、体系、建设流程进行了描述，从整体上初步论述了客户信息安全建设方案。

【关键词】通信运营企业客户信息安全安全域SOC

一、电信运营商客户信息安全现状

目前电信运营商对信息系统依赖性日益增强，而扫描探测、DDOS等攻击数量急剧上升，漏洞利用的速度缩小到了天。但是作为电信运营商，由于网络结构复杂，导致系统管理维护困难。一般会有网管网、计费网、办公网、互联网接口、新业务、地市公司等多张网，安全防护困难。

同时在运营商中也发生过一些客户信息泄密的案例，“3.15”晚会也曝光过一些。电信运营商的客户资料、充值卡、财务报表、发展计划等商业机密的实际价值远远超过了固定的有形资产。

因此电信运营商如何保证客户信息安全，成为了重要课题。

二、客户信息安全体系

客户信息生命周期包括了信息的产生、传输、存储、处理、销毁，因此我们在设计安全体系时，要按照“坚持积极防御、综合防范的方针”，将安全组织、策略和运作流程等管理手段和安全技术紧密结合。

下面参考信息安全保障体系框架IATF和BS7799，以项目中的实践来分别说明：

人是信息体系的主体，包括管理者、维护人员、使用者、第三方。电信运营商应该建立安全领导小组，专门的安全管理员、安全顾问、安全审计员。

制定信息安全责任矩阵，组织范围内的信息安全落实到人，尤其外包的安全，第三方必须签定保密协议。离职或调动时，必须清理信息系统账号，避免用户权限只有增加没有减少。

资产进行分类与控制，梳理客户信息相关的资产，标明重要性等级以及制定相应管理办法。如客户资料、充值卡等就是重要信息，必须重点防护。

制定完善的维护作业计划，对设备性能、安全状况进行监控，分清日、月、年不同层次的维护内容，包括电源、主机、中间件、数据库、应用、安全事件、备份、调优等。

定期进行安全评估和加固，减少系统风险，可以找专业的安全厂商进行渗透测试。设定各系统的安全基线，保证系统必须达到的最基本的安全配置要求。如果某台服务器上突然多了一个来历不明的进程，就有必要检查是否有安全风险。

业务过程中可以通过金库模式等加强业务过程中的安全管控，即关键业务需第二个人授权之后才能够操作，通过多人的相互监督进行制约，如批量查询客户资料、详单时。同时定期进行日志稽核，进行事后的控制。所有的业务操作有相应的工单、审批单、业务受理单，如果没有这样的工单，则可以认为操作是不合规的。

在信息系统生命周期过程中，要全面审查信息系统的设计、操作、使用和管理是否符合组织安全政策和标准。系统开发和建设过程中，就要明确系统的安全要求，确保安全机制被内建于信息系统内；控制应用系统的安全，防止应用系统中存在的后门、孤立网页造成用户数据的丢失、被修改或误用。上线前及早进行安全评估和扫描，提前发现漏洞。注意不要随便使用真实敏感数据，测试数据的清理、保护。

三、客户信息安全工程建设过程

客户信息安全建设过程中应注意业务可用与安全性平衡原则，采用统筹规划、分步实施的方法。

作为一个电信运营商，信息安全建设的短期目标是具有基本的信息安全管理组织机构和流程，主要的安全策略和基本的技术体系，基础的安全管理平台，客户资料、信息资产的梳理。主要进行安全域、网络安全加固，主机安全、终端安全，访问控制，防病毒等技术手段的建设。

而中长期目标，作好信息安全管理组织体系、策略体系、技术体系的运行工作，建立基于ITIL的运维流程，逐步梳理信息安全基线，建设4A、SOC中心，数据加密、容灾，以全方位落实、广度发展为主要思路。