您现在的位置是:首页 > IT基础架构 > 网络与安全 >
电信运营商客户信息泄密频发 CIO如何防内鬼
摘要据报道,国内某电信运营商的第三方合作公司技术人员,在电信运营商处技术服务期间,因个人利益驱使,利用工作之便,勾结内部员工,潜入电信运营商办公内网,获取内部核心数据几百万条, 出售获利;同样,在今年年初,也出现过多家电信运营商内鬼泄露公民个人信息牟利事件。针...
据报道,国内某电信运营商的第三方合作公司技术人员,在电信运营商处技术服务期间,因个人利益驱使,利用工作之便,勾结内部员工,潜入电信运营商办公内网,获取内部核心数据几百万条, 出售获利;同样,在今年年初,也出现过多家电信运营商内鬼泄露公民个人信息牟利事件。针对上述问题,法院已向电信运营商发送了司法建议函。
此类信息安全事件频频出现,暴露的问题和风险表明,电信运营商在信息安全保护方面存在管理制度缺失、系统管理不规范、技术防控手段支撑不到位等诸多问题,同时也严重损害了公司利益,破坏了公司声誉。电信运营商们纷纷表示,将强化监督部门的监督作用,并通过网络设备账号权限分级、平台系统建设等技术防控手段,严密保护客户的个人信息;建立起对核心业务数据保护,对通信减少由于数据泄露所带来的财务、竞争力、公信度损失,提高客户、合作伙伴的信任度刻不容缓。
保护信息安全,特别是客户信息安全是电信企业应承担的社会责任,业已成为社会关注的敏感话题。
对此国家极为重视,《中华人民共和国刑法修正案》和工信部《基础电信企业信息安全责任管理办法(试行)》都对客户信息安全提出了明确要求。
某电信运营商为做好客户信息保护,率先下发了多个重要文件,例如《客户信息安全保密规定》、《数据安全管理办法》等等。各省公司在总部规定的基础上,也采取了相应的技术措施和规定来降低客户信息泄露的风险,对规范客户信息的访问和使用起到了相应的作用。
但是保护好客户信息,仅从管理上提要求是不够的。单靠管理手段的限制无法从根本上解决客户信息泄露的问题。由于客户信息涉及的系统和人员很多,必须从技术手段上提供针对性的支撑和限制,采取合理的综合管控手段,配合切实有效的管理,才能起到实效。
电信运营商的核心目的是通过网络技术来加快人与人之间信息化交流,因此目前国内各大电信运营商的IT建设相对超前与其他行业,业务网络也存在区域分散、数据分散、系统繁多、环境复杂的特点。建设了包括boss系统、bomc系统、客服系统等业务支撑系统,同时还包括OA、CRM系统等常规办公系统;系统上积累了大量的客户信息、生产数据和运营信息,业务系统也已成为这些重要数据的存储、交换和处理中心;由于每个系统所关注的业务角度不同,因此其涉及到的人员也有所不同;在此基础上,每个系统的人员又根据“使用环节”和“运维环节”而定义出不同的工作形态。如此诸多特性,使得数据在不同的阶段均存在不同的风险点。
在目前电信运营商的业务体系中,数据在应用过程中不管在服务器上还是在终端计算机上,都是处于明文存储状态,任何人只要接触这个文件既可以进行恣意的传播。虽然业务系统本身提供很多系统运行相关的日志,但是对于敏感信息保存在各终端计算机以后就完全失去了监控权,信息即使出现泄密也无法准确的找到泄密的源头,无法追究相关的责任;同时,由于业务系统过于庞大,使用角色过多,所以人员身份的核实也需要进行相关的加强。再次,由于前端人员的对工作效率的需求较强,因此网络准入、桌面管控等也应作为技术辅助。
电信运营商业务及人员的复杂性,数据风险的不确定性,传统的加密、控制等方式已经无法有效的满足系统安全建设需要,而“一刀切”的解决思路更不合适于当前环境,势必需要建立一套切实可行的数据安全解决方案。面对各大安全厂商推出的数据安全防护解决方案和产品,北京明朝万达科技有限公司专家团队经过对电信运营商行业信息化建设多年的研究和服务经验,提出了Chinasec(安元)数据安全解决方案,此方案紧密结合电信运营商业务体系、网络构架情况和风险点,以其高可靠性、稳定性、可扩展性和易管理性等诸多优势得到了电信运营商行业的认可,已先后部署了山西移动、佛山移动、肇庆移动、内蒙古移动等重大项目。
明朝万达根据电信运营商数据风险差异,管理对象的差异,应用场景的不同而提供的多元化的数据保密解决方案,从业务系统、终端DLP和移动安全管理三个角度切入:
一、业务系统专属数据安全解决方案
随着竞争的加剧,各电信运营商不断的依赖各个管理系统来提高自己管理水平及服务水平,目前,各管理系统分布广泛,使用人员众多,当拥有权限的人从管理系统上导出数据后,就无法保证数据的安全性,为了规避此类风险,Chinasec(安元)应用保护系统为电信运营商业务系统构建了数据保密体系,精确定位数据泄密风险,客户端采用插件形式部署,当用户登陆系统后从受保护的业务系统导出数据,系统自动实现数据落地加密及权限控制。通过对业务系统上下载的文件采用加密技术不仅仅精确定位受保护的数据而且还有效的规避了数据泄密的源头和风险点。方案具体实现通过业务系统精准定位、文件落地加密及权限管理、联动审批流程进行文档权限变更及外发、全程日志审计等实现。
二、终端DLP整体解决方案
针对移动内部人员应用比较复杂,内部数据交换频繁,数据传输量较大的特点,因此建议电信运营商内部人员采用“区域内透明,区域外保护”的保护思路,就是要求根据环境对涉及到的敏感数据终端进行安全的防护,当数据在受信任的区域内存放时,用户可以随意对数据进行操作。当数据脱离受信任的区域时,数据就会受到相关权限的控制,Chinasec(安元)内网安全管理平台通过对网络、U盘、外设、磁盘、直连等出口的控制来实现。
对于第三方办公人员采用“安全准入,模式切换”的保密思路,提供不同程度的安全防范策略对应不同的工作场景。就是对于要访问到业务系统,进行业务维护的时候,需要经过认证的并实施了安全策略的终端才有资格连接到业务系统,进行维护工作,产生到本地的数据保存在安全工作盘中。当终端切换至另一个工作模式中,安全工作盘自动关闭。并且可以根据每个维护人员角色的不同,对其能访问的服务器资源进行具体定义。
三、移动安全管理解决方案
随着移动业务的发展,除了传统的终端安全管理,运营商内网也逐步延伸到各种移动终端设备上;并且各种增值业务也随之出现,特别是针对大型行业用户。如何保障移动办公安全需求和个人安全需求,成为运营商前进的向企业推动采购的最大竞争力与赠分点。Chinasec(安元)移动安全管理平台,结合PKI体系为企业用户提供安全接入身份认证、私密通道保护、移动终端安全应用等。支持企业将工作网络的网络访问管理和数据安全延伸到移动设备,让IT实现与传统终端一样的控制。有效防止身份冒认、网络窃听、终端丢失带来的数据泄密风险等。
业务系统专属数据安全解决方案以精准的数据定位,简化管理目标,达到既安全又方便;终端DLP整体解决方案以特定网络边界为防护,减轻内部运营压力;移动安全管理解决方案对脱离边界数据实行有效防护,为运营商的对外业务提供保驾护航能力。方案中所有体系既可以独立,也可以互相组合形成更完整的解决方案,具有极优良的扩展性,使得运营商内部办公场景以及对外业务的数据信息得到全方位的保护。
通信世界不再单纯是网络的世界,终端和业务在信息消费过程中扮演着越来越重要的角色。而且,终端、网络、业务三者在信息通信发展中具有一些本质规律和辨证关系。在未来的全业务运营中,如何依照这些规律来综合定制出更加完善的数据安全解决方案,必是我们要继续探索和努力的。
(本文不涉密)
责任编辑: