电信业新技术新业务网络数据安全分析
电信业新技术新业务网络数据安全分析
郭建南
(中国信息通信研究院安全研究所,北京100191)
摘要:随着电信行业技术革新和快速迭代,5G㊁人工智能㊁大数据分析㊁物联网等技术的不断涌现,为电信行业数字化和智能化转型提供了技术前提和基础平台㊂归纳了电信行业五大重点业务类型及应用前景,以业务支撑系统㊁大数据平台㊁云计算业务㊁物联网业务为典型案例,结合业务特点深度分析业务管理与技术方面的网络数据安全风险,提出数据安全管理工作体系搭建㊁数据安全技术保障能力配备的对策与建议,为电信企业积极应对新形势㊁新情况和新问题提供思路㊂
关键词:新技术;新业务;数据安全
1㊀引言
在5G时代,网络开启了万物互联新篇章,网络数
据收集能力也在飞速提升㊂电信企业作为通信管道主
导者,依托贴近客户的优势,结合人工智能㊁云计算㊁大
数据分析等多种技术,通过构建连接管理平台,整合通
2021元旦节放假安排几天
信资源,以提高网络服务和营销能力,为客户和合作伙
伴提供最佳个性化服务解决方案;同时,电信企业也是
生态的整合者,提供具有吸引力的应用开发环境,吸引
合作伙伴,协同实现生态体系整体效益的最大化[1]㊂与此同时,飞速发展的新技术新业务为电信企业带来
更多㊁更复杂的网络数据安全风险,需要电信企业寻求
全方位的解决方案以提升应变能力㊂
2㊀业务应用前景
2.1㊀大数据服务
电信企业拥有获取㊁存储并应用大数据的优势条
件,在法律许可范围内,在获得用户授权前提下,能够
基于大数据分析技术挖掘价值,提供新业务应用,例如
基于大数据的信任服务㊁城市治理等㊂
2.2㊀能力开放服务
网络能力开放是5G网络的重要特性,可向第三
方提供基于网元的操作能力,以此扩展出电信企业与
合作伙伴的多种应用,例如网络态势管理㊁恶意用户快速发现阻断等㊂
2.3㊀云网服务
高速网络特别适合海量数据的上传下载,而将电
信企业的高速网络和云计算服务有机地结合在一起,
以网促云,以云带网,可进一步推进云网融合的运营能
力,提升服务效率[2];继承云计算线上自助订购㊁一站受理全网部署的优势,依托网络延伸和覆盖的特点,实
现与现有互联网云服务商的差异化竞争㊂
2.4㊀垂直行业专网服务
电信企业通过构建专用网络切片,提供服务不同
行业的业务能力,其主要应用为垂直行业专网服务㊂
网络功能虚拟化提供了电信企业弹性网络部署的能
力,能让电信企业将网络资源按需按时划分,提供给不
同的用户使用㊂以此为底层基础构建网络切片,根据
用户对于通信服务质量要求分配不同资源,提供适用
于电力㊁运输㊁制造等行业客户需求的个性化网络㊂目
有什么好玩的游戏吗前,主要是将电信网络应用于工业制造行业,可以实现
远程工业操作,在面向矿山㊁隧道㊁电力巡检等一些极
端生产环境时,低时延㊁高可靠的5G网络,可以在减
少人类参与的同时保证生产安全进行㊂
2.5㊀输出安全服务能力
电信企业是设备接入网络的第一道关口,因此可
以站在网络入口的角度,提供设备或用户访问网络的
安全能力,如安全网关㊁安全审计等㊂特别是在物联网
应用方面,还可提供密钥服务㊁对物联网终端行为进行审计等㊂
3㊀网络数据安全分析
3.1㊀业务数据生命周期
根据不同业务实际运营特点,在数据的收集㊁传输㊁存储㊁加工㊁共享㊁删除等环节可能存在以下网络数据安全风险㊂
(1)收集环节㊂在网页及业务系统侧进行数据采集时,由于隐私政策不符合标准规范要求,存在违规收集个人信息及重要数据安全风险㊂
(2)传输环节㊂数据传输过程中存在个人敏感信息及重要数据未加密传输问题,加大数据泄露后被非法利用的风险㊂
(3)存储环节㊂一方面,运维人员权限管理㊁访问控制不当,可能导致未授权数据访问,造成数据泄露;另一方面,个人敏感信息及重要数据采用明文存储方式,无法保障企业及个人信息主体权益㊂(4)加工环节㊂在收集个人信息后立即进行去标识化处理,仅在个人信息使用前对个人信息进行去标识化处理,可能导致个人信息处理中重新识别到个人,存在个人信息泄露风险㊂怎么
(5)共享环节㊂如果未明确数据共享场景或共享原则,可能导致数据非法披露㊂如果共享接口缺少安全认证机制或加密机制,可能存在数据非法调用㊁数据完整性被破坏等情况㊂
(6)删除环节㊂存放重要数据的存储服务器㊁磁盘矩阵需要替换时,如果未建立硬盘数据销毁流程㊁确保数据彻底清除,未及时处理使用结束后保存线下数据的副本介质,重要数据可能会被不法分子还原,而数据超期未删除可能导致用户权益受损㊂
rpg游戏制作大师3.2㊀业务运营支撑系统
(1)业务支撑系统
电话交换机设置•支撑运营风险㊂业务支撑系统是业务可持续运行的重要组成,若出现权限管理㊁日志审计㊁应急响应㊁投诉处理不当等情况,可能引发安全事件,造成系统或平台内重要数据泄露或破坏,并影响业务可持续运行㊂
•运维管理风险㊂业务支撑系统访问人员主要为企业内部人员及第三方合作厂家,可能存在运行维护㊁账号权限㊁访问控制㊁人员操作㊁合作方监督等管理不到位的情况,从而带来严重安全隐患㊂(2)大数据平台
•平台系统风险㊂主要包括数据及应用层面风险㊁网络及系统层面风险和资产设备层面风险等㊂大数据平台存储海量数据,极易成为重点攻击目标,如果数据资产管理㊁第三方管理㊁权限管理㊁日志审计等方面存在隐患,可能造成个人敏感信息及重要数据泄露,给企业带来较大数据安全风险㊂
•对外合作风险㊂电信企业与第三方在系统建设㊁数据共享㊁运维支撑等方面合作时,可能存在资质审查欠缺㊁敏感数据直传㊁系统代维窃取㊁内置后门漏洞㊁业务合作留存等问题导致网络数据安全风险;且一旦发生安全事件,将对企业声誉㊁利益产生重大影响㊂3.3㊀典型业务举例
(1)云计算业务
•虚拟化及资源共享风险㊂虚拟化作为云计算网络区别于传统网络的特点之一,正面临虚拟化软件和虚拟机安全威胁,包括虚拟化软件自身漏洞和配置缺陷㊁虚拟机模板或镜像安全隐患等,其底层物理资源共享的特性也存在数据的非法篡改或泄露㊂•数据传输风险㊂云计算业务中数据传输涉及从用户端传输到云端㊁云端不同虚机间传输㊁云数据迁移等过程,任何一个阶段未对传输对象进行安全认证㊁未对敏感数据进行加密保护㊁未采用安全传输协议等,都可能导致传输数据的完整性和保密性被破坏㊂•云管平台风险㊂云管平台是实现云业务管理㊁资源分配㊁数据操作的运维管理平台,若账号权限管理㊁访问控制㊁行为监测㊁接口管理等方面保护措施落实不当,可能导致云业务数据泄露或破坏的风险㊂(2)物联网业务
•物联网应用和管理风险㊂物联网应用及管理平台作为用户使用和运维管理的重要部分,涉及数据采集㊁存储等重要环节;如果应用及平台存在代码缺陷㊁安全认证不完善㊁接口暴露等问题,可能导致应用及平台数据篡改或泄露风险㊂
•物联网网络风险㊂物联网业务基于移动无线网络,可能存在网络协议自身缺陷㊁传输通道未加密及IP网络攻击威胁等问题,导致物联网网络内传输数据被窃取或篡改㊂
•智能终端风险㊂智能终端的安全性很大程度上影响物联网业务的安全性,若终端自身系统㊁安全措施
㊁远程管理控制㊁使用范围管理等措施不到位,都可能引发物联网业务网络数据的安全风险㊂
4㊀安全保护对策及建议
4.1㊀健全内部安全管理制度
(1)制定内部安全管理细则㊂电信企业可制定详细的内部数据安全管理细则,明确数据安全管理部门及人员职责,协同相关业务部门共同推进并执行㊂(2)建立定期合规检查机制㊂电信企业可定期开展内部网络数据安全风险监督检查工作,发现管理与技术漏洞及时落实整改,确保管理机制及技术防护手段的有效落实㊂
4.2㊀加强数据资产及生命周期管理
(1)数据资产管理㊂全面梳理企业内部数据资产,形成数据资产清单,推进数据资产集中化管理能力;同时,基于数据资产安全分类分级策略对数据进行分类分级标识,开展数据标识结果的发布与审核㊂(2)数据全生命周期管理㊂制定数据全生命周期管理制度,细化生命周期各阶段的管理制度,同步配套安全防护手段,技管结合,编制切实可行的指导手册或实施指南,便于指导业务人员落地实践㊂
4.3㊀落实安全三同步原则
(1)规划建设㊂全面梳理安全风险,明确相关资源,及时关注供应链安全,对网络数据安全等风险进行全面分析和评估,并设计整体解决方案;同时,加强工程项目交付管理,确保系统现场施工环节严格按照方案进行实施与交付㊂
(2)系统上线㊂根据互联网新技术新业务安全评估相关要求,严格开展安全风险评估,根据评估结果进行整改复核,未经评估不得上线㊂
(3)运营监督㊂开展周期性风险评估检查㊁监测和审计,保证安全能力持续符合相关安全管理要求;另外,加强对设备退网环节的安全管理,对退网设备进行数据清理并及时下线,严禁闲置和非法挪用㊂
4.4㊀完善系统安全防护能力
(1)在数据及应用层面
•部署网络数据安全防护能力,在开发㊁测试及系统部署过程中落实网络数据安全防护能力,减少安全漏洞㊂
•健全数据容灾备份机制,完善数据备份和恢复手段,并通过保留多份备份数据㊁介质恢复演练等手段,保证数据的可恢复性及业务的连续性㊂
•落实应用安全防护手段,重点做好Web应用安全㊁对外接口安全㊁恶意代码检测清除等防护工作㊂•加强内容安全审核,避免存储分发 九不准 等违规不良信息内容㊂
(2)在网络及系统层面
•加强日志分析和审计,加强关键系统操作日志的定期审计,提前发现安全隐患,重要数据的配置日志应进行远程备份,并开展常态化审计工作㊂
•强化安全评估检查,对DPI㊁大数据平台等重要系统,定期开展安全风险督查检查,及时整改安全隐患㊂
•建立分权制衡机制,将相关系统关键操作纳入 金库模式 管控,涉及敏感数据操作,应多人共同协作完成,实现 关键操作,分权制衡 ㊂
•部署安全防护设备,采取安全域㊁防火墙㊁入侵检测㊁防DDoS等措施,加强设备自身的网络及数据安全防护;同时,对防火墙策略进行严格管理,建立管理闭环机制,并纳入 金库模式 管控㊂
此外,加强云基础设施中租户㊁资源池管理员以及业务系统管理员等多角管控,采取针对性安全措施,防范虚拟化软件安全㊁虚拟机安全㊁虚拟机交互等安全风险㊂
(3)在资产及设备层面
•加强资产安全管理,全面进行资产清查,尤其加强互联网暴露资产㊁现网闲置及新增设备的梳理,明确资产主体责任,落实责任到人;同时,对资产进行分级管理,集中资源,重点关注核心资产安全管控㊂•强化资产变更监控,加强重要系统内部资产信息的自动化监控,通过对IP地址指纹信息及互联网连接信息的实时监控及时发现内部资产的异常变更㊂•管理职责互斥分离,加强对高级权限的限制,对不同类型系统及设备的管理进行职责分离,防范权限过于集中导致安全隐患㊂
•严格防控设备直连操作,针对重要数据采集设备的维护必须通过4A管控,禁止直连方式进行维护;对于工程实施及紧急故障处理等特殊情况,事前需严
格审批,并将设备直连操作日志纳入4A管控㊂•加强机房安全管理,加强设备进出机房管理,防止未审批设备非法进入机房连接设备,同时强化机房安全监控管理,实施在机房关键位置部署摄像头等监控措施㊂
4.5㊀强化数据对外合作管理力度
(1)加强第三方安全管理
•开展合作方安全资质审核㊂对合作方数据安全保护能力进行合规性评估,确保其具备相应的保密及运营资质,确保合作方是合格授权者㊂在合作时涉及采集个人信息的,需对合作方个人信息保护工作进行合规性评估,评估通过后方可签订服务合同㊂在合作期限内,需求部门可定期组织企业相关业务部门对合作方进行动态合规性评估,及时发现存在的安全风险,并督促整改㊂
•明确业务合作方安全责任范围㊂按照 谁运营㊁谁负责 原则,建立合作方管理台账机制,梳理形成并定期更新组织机构各部门涉及的合作方清单(含合作方企业名称㊁合作业务或系统㊁合作形式㊁合作期限㊁合作方联系人等信息)㊂
•规范第三方渠道管理㊂规范合作营业厅㊁第三方代理渠道安全管理,明确敏感数据收集㊁传输㊁存储㊁使用㊁共享㊁销毁机制,完善敏感数据模糊化查询机制,避免敏感数据违规留存㊂
•加强第三方开发代维人员权限管理㊂禁止合作方人员掌握系统管理员权限,禁止为合作方人员分配具备创建系统账号或者其他超出工作范围权限的高权限账号;同时,定期对全量合作方账号进行严格审核,控制涉敏人员的范围㊂
(2)严格加强数据管控
•落实分级分类策略㊂明确分类分级管理适用范围㊁管控系统类型㊁数据全生命周期分类分级策略和管
理要求㊁分类分级策略标准变更流程和要求等内容;管控系统类型应完整覆盖企业相关数据处理活动涉及的平台系统
•实施差异化管理措施㊂针对不同类别级别的数据设置不同的安全管理要求及技术保障措施,包括配备相应的数据加密㊁数据脱敏㊁操作权限管理㊁数据流动记录㊁人员操作日志记录㊁数据备份与恢复等技术能力和措施㊂
•把控数据访问原则㊂按照数据访问权限管理制度和数据存储安全策略,针对不同数据存储平台系统配备对用户或业务的访问控制措施,确保非授权用户或业务不能访问数据㊂
•加强数据传输接口管控㊂针对传输接口管理和技术管控措施部署情况进行梳理,及时监控发现低活跃接口或废置接口,并采取相应处理措施㊂•及时对敏感数据进行脱敏㊂采取技术手段实施数据脱敏,数据脱敏工具可与数据权限管理平台实现协调联动,在数据使用前需结合数据分类分级管理要求实现脱敏㊂
4.6㊀完善应急处置机制
(1)完善应急响应机制㊂从应急预案㊁风险检测㊁实时预警㊁风险遏制㊁问题根除㊁系统恢复㊁跟踪总结各环节建立落实网络数据安全事件应急响应机制㊂(2)实施应急处理措施㊂在发生或可能发生敏感数
据泄露等情况时,应立即向相关主管部门报告,并根据应急预案实施相应的应急措施㊂若发生大规模用户个人信息泄露㊁毁损和丢失时,应采取合理㊁有效的方式通告事件情况㊂
4.7㊀定期开展监督检查
建立内部数据安全监督检查机制,通过安全评估㊁日常巡检㊁定期督查等方式,切实落地各项管理制度要求,及时发现业务存在的网络数据安全风险,全面强化人员数据安全保护意识,提高数据安全重视程度㊂
5㊀结束语
随着重大新兴技术的不断涌现,电信业新技术新业务将向开放融合化方向发展,依托更加灵活的网络架构㊁场景化服务能力㊁网络定制化能力,提供与互联网企业差异化的应用服务㊂面对新技术新业务的推出,业务网络数据安全风险凸显,建立企业数据安全管理体系㊁部署落实数据安全保障技术手段是防范业务网络数据安全风险的有效措施㊂本文从业务类型及应用前景分析,给出数据安全分析㊁安全保护对策及建议,旨在为电信企业有效分析新技术新业务网络数据安全风险㊁同步配套有效保障能力提供借鉴指引,为电信企业持续提升网络数据安全保护能力,积极应对新形势㊁新情况㊁新问题奠定基础㊂
参考文献
[1]孙路遥.电信运营商物联网业务发展策略思考[J].电信网技术,2018(03):38-43.
[2]徐晨.电信运营商云计算业务发展策略的思考与建议[J].中国电信业,2019(06):23-26.
[3]全国信息安全标准化技术委员会.GB/T35273-2017
信息安全技术个人信息安全规范[S].北京:中国标准出版社,2017.作者简介:
郭建南㊀中国信息通信研究院安全所工程师,硕士,研究方向为互联网新技术新业务安全评估及数
据安全
Network data security analysis of new technologies and new services
in the telecommunications industry
GUO Jiannan
(China Academy of Information and Communications Technology,Beijing100191,China) Abstract:With the technological innovation and rapid iteration of the telecommunications industry,5G,Artificial Intelligence,Big Data analysis,the Internet of Things and other technologies cont
inue to emerge,providing a technical premise and a basic platform for the digital and intelligent transformation of the telecommunications industry.This paper summarizes the five major services types and application prospects of the telecommunications industry.Taking business support systems,big data platforms,cloud computing services,and IoT services as typical cases,and combining services characteristics to analyze network data security risks in business management and technology,this paper proposes the countermeasures and suggestions for the establishment of a data security management work system and the improvement of data security technology support capabilities,and provide ideas for relevant companies in the telecommunications industry to actively respond to new trends,situations and problems.
Key words:new technology;new services;data security
(收稿日期:2019-12-30)
>哇组词和拼音

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。