由中国通信企业协会增值服务专业委员会主办,C114中国通信网与中国IDC产业联盟网承办的“2010中国数据中心网络与信息安全论坛”于7月29日在北京京都信苑饭店隆重召开。结合行业所面临的全新挑战和机遇,中国通信企业协会特此举办2101数据中心网络与信息安全论坛。希望能够汇集产业链的各方群策群力,进一步提高数据中心信息安全水平,使我国的信息安全提升到一个新的高度。C114中国通信网对本次会议作全程直播。
以下为中国移动信息安全管理部技术支持处冯运波处长给的演讲全文,主题为“关于客户信息保护手段的思考”。
中国移动信息安全管理部技术支持处负责人 冯运波
冯运波:大家好!我是来自中国移动的冯运波。今天跟大家分享一下关于客户信息保护方面的思考。
客户信息保护在中国移动来说,这几年也发生过一些泄密的案例,包括中央电视台“3.15”晚会也曝光过一些,应该也确实存在过的一些案例。基于这些背景,我们在客户信息安全保护和管理方面现在要做的一些考虑跟大家做一个分享。
首先国家对客户信息保护有一些明确的要求,09年《中华人民共和国刑法修正案》明确规定将本单位在履行职责和提供服务过程中获得公民个人信息,出售或者非法提供给他人,这样的行为都要受到刑法的处罚。包括对单位的,如果是个人和单位都会进行处罚。工信部在《基础电信企业信息安全责任管理办法》中也规定,电信企业应该依法保护客户信息安全,企业及其工作人员不得擅自向他人提供用户使用电信网络所传输的信息内容,有关资料应该依法保护。所以保护客户信息安全是企业应该承担的社会责任,也是高度关注的敏感话题。
为了加强客户信息安全,中移动也出台了一些相关的办法。比如网络部发布了《客户信息安全保密规定》,市场部发布了《五条禁令》,业务支撑系统部也发布了《数据安全管理办法》,这里边主要是对DDoS客户信息分级保护的办法。
今年信息安全管理部成立之后,也制定了相应的更细化的管理办法和规定,一个是《客户信息安全保护管理规定》,制定了客户信息安全控制矩阵、检查矩阵。客户信息安全保护管理主要是围绕着产生传输、存储、处理、消费,整个客户信息全生命周期的安全保护,提出了怎么样在生命周期过程中,各个环节怎么样做保护。涵盖了客户信息的各项内容,包括客户信息内容和保护等级的划分、操作权限、操作流程、操作日志稽核和系统安全管理要求等。通用、转向分类检查,矩阵分为通用和转向检查矩阵。检查矩阵是对控制矩阵的控制要求,又制定了每项具体检查的方法和步骤。检测控制点有51个,又成立了116个检查点,涉及到11大类的风险。
虽然我们在管理方面已经做了很多的工作,很多的努力,应该来说制定的规范、制度已经是比较完备了,但是这种客户信息的客户如果没有技术手段相辅助,就很难达到必要的效果。所以我们也是考虑在技术手段上面,陆陆续续的采取一些技术手段,也有些是计划准备,思考过程中的,正准备采取的手段,在这里跟大家分享一下。
主要有这样几个方面:
1、加强中端安全管理,防止非法终端接入。涉及到客户信息的系统应该非常多的,因为通信系统、业务平台,包括资深系统、经营分析系统等平台非常多,这些系统中都可能会存在一些客户信息,这些客户信息使用的人员,包括合作伙伴的人员,内部的人员数量是相当庞大的。怎么样来加强这个保护,首先终端的接入控制,终端的安全保护,这是保证客户信息部泄密的第一步。
2、实施安全加固,减少系统安全风险。所有的客户信息系统现在要求一个是定期进行风险评估,进行安全加固,通过这种加固,来减少系统自身存在的各种安全风险,只有把系统的安全风险降到最低,才能防止第三方恶意的人想办法获取敏感的客户资料。
3、通过4A的集中管控,对客户信息访问进行集中的认证、授权和安全审计,并且实现统一的证号管理。4A管控也是我们全集团上下目前正在推动的一项重大工程,就是在分省、分系统、分专业在推动4A系统的建设。
4、部署DLP设备、对客户信息泄密行为进行监控。
5、实施文档安全管理,对客户资料文档进行加密,防止信息泄密。因为我们大量的客户资料可能在数据库存在的,但是在有些数据交换是以文档、电子文件的形式存在,对于这种形式存在的文档现在要求用加密的方法,通过文档安全管理的方法,来防止泄密,把文档变成受控文档,经过授权、加密,经过严格的权限控制之后,这个文档即使被泄密出去了也没关系,因为这个文档别人拿到之后打不开。
6、通过日志稽核,加强操作合规性审计。
7、引入金库认证模式,加强事中的安全管控。一定是有第二个人同时在场,进行授权之后才能够进行进一步的操作。通过多种技术手段,来达到保护客户信息的目的。
终端管理有几个方面的要求:
1、网络接入认证,现在是全网统一部署的终端管理平台来实施网络接入认证。
实现病毒的集中检测,实现系统补丁管理,实现安全策略管理,对用户登录的身份认证。
网络接入认证,保证合法的终端才能接入网络,客户端要安装专门的接入认证客户端软件,并且要在接入认证的同时,对客户端进行安全检查,包括安全策略和安全漏洞的检查。只有合规的,符合要求的终端,才能够接入到网络。这样主要是防止第三方或者非授权的终端进入到办公网络或者支撑网络。
2、实施系统安全加固,减少系统自身的安全风险。如果说系统存在一些高风险的漏洞,最终包括入口令、账号,或者被植入木马,因为现在很多网上营业厅对公众用户可以访问的,像这样的系统一定要通过系统自身的安全,来减少系统风险,减少客户信息被黑客和第三方所窃取的可能性。
这些是部署了进行评估加固,第一个方面评估加固,包括从风险评估的角度,从深度测试、安全基线、系统加固这几方面完善,加强自身的安全。风险评估大家很清楚,渗透测试主要是从内外进行远程的渗透测试。安全基线,针对不同系统的安全基线或者安全配制规范,保证系统自身应该必须达到最基本的安全配制要求。
同时我们也下发了安全域的规范,三大IT网络都下发了安全域的规范,通过安全域的划分,来实施对每个域不同安全等级、不同域之间,通过防火墙,通过安全隔离设备,来实现分层次、分等级的安全防护。同时也加强了安全防护体系的建设,安全客户体系包括上网行为管理系统、漏洞扫描等多种防护手段。
安全域最重要的工作就是划分安全域,划分安全域从等级来说,有五个等级的安全域,公共区域是完全外部的,半安全区、核心安全区、安全区和内部业务区。每个不同等级的安全域之间,都需要用防火墙来进行隔离。根据安全域的划分规范,明确安全域的技术要求和设备要求,同时根据等级保护的要求,确定安全域的威胁等级和保护等级。
3、实施4A集中管控,4A系统是全网正在推动的重要系统,现在是所有涉及客户信息的系统都要纳入4A系统的集中管控。通过4A系统,主要加强事前、事中、事后的控制。第一个A就是统一用户管理,第二个A统一用户认证,第三个A统一授权,第四个A就是审计,还有第五个A,就是访问控制。事前、事中和事后的审计,保证所有访问到后台系统都能在这4A系统上进行集中的控制。
我们在4A系统实施过程当中,要要建立一个堡垒主机,所起的作用就是说要求所有的维护人员的操纵,都必须通过统一的防控关关才能去访问,可以模拟用户的登录,可以支持EWB的浏览。但是这个维护用户要问后台的时候,必须得登录到访问控制网关上,进行集中认证,然后才能访问后台资源。后台的资源可以有各种各样的登录工具,我们都发布在统一控制网关上面。通过Oralce、BD2、HAP等一些登陆工具。所有的操纵在防空网关上都有图象,鼠标电机操作的话,是有录像的日志。如果文本的命令行方式操作的话,是有文本的操作日志,通过集中的接入控制网关,来对维护人员,特别是第三方的代维人员进行统一的接入访问控制,所有的操作,在事后都可以进行审计。
4、部署DLP设备,对泄密行为进行监控。数据防泄密的设备目标是防客户资料外协。管理目标,加强泄密风险的监控,及时发现外泄风险。建立客户资料动态分布视图和泄密风险视图。在发生泄密事件时,能及时追查。
客户信息泄密的途径,比如说我从一个承载客户资料的系统中去下载,可以去访问客户资料的时候,我们都可以进行记录。第二个是考到终端上之后,终端上通过U盘或者通过即时工具往外发的时候,终端上有专门的检测,终端上是不是保存了敏感的客户资料。另外通过互联网Web的方式或者邮件的方式去发送客户信息的时候,我也可以通过互联网的泄密监控发现。在内部的系统之间流转,也可以通过相当于镜像的流量监控,发现有没有客户资料。
有几个方式,一个是批量客户资料操作监控,数据库到终端,终端到U盘、外设等等手段,可以把它监控起来。互联网泄密,通过监控镜像流量来发现邮件、IM或者FTP传输有没有泄密。通过服务器的敏感信息扫描和隔离,发现服务器、存储和终端上有没有客户信息的资料。
5、实施文档加密的保护。一个是文档加解密码应该有这么几个方面,文档的权限控制、管理、实施,分散的文件管理、集中管理信息,离线文档完全控制。通过智能化动态加解密,支持多种文档类型,机密文件相关备份。客户资料加密,比如我对客户话单,可以采用不可逆的强加密手段,不仅仅是加密,首先对要保护的文档进行严格的权限控制,客户资料即使拷贝出去之后也打不开,只有在我们这个网络环境里面才能够打开。并且也受集中的权限控制服务器所控制的。
未授权人获得加密后的清单或者客户资料之后,他想泄密,一般来说,泄密之后也没有用。还有在内部假如说有的时候确实要使用客户资料,我们会对清单的号码后4位进行加密,这样的话不影响市场分析,不影响需要一些精确营销或者需要一些策略分析的时候使用这些子资料,比如对手机号码的后4位进行加密。还有一个用户认证方式,包括支持强认证、动态令牌。
6、通过日志稽核,加强操作合规性审计。日志稽核主要在事后,强调事后的控制。因为要求里面规定的是强调所有的操作有相应的工单、审批单、业务受理单,如果没有这样的操作工单、审批单和业务受理单,认为对客户信息的查询操作都是不合规的。我们可以通过事后稽核的方法,来确定查询、访问是不是合规的。现在也在采取一些稽核的工具,这些稽核工具是我们采用了一些方法,把最有可能导致客户信息泄密或者我们认为可能会存在违规操作的日志筛选出来,首先要有所有操作的日志,然后对日志筛选出有可能是违规操作的出来。筛选完之后,对所有可能的日志逐一的和他的工单、审批单、业务受理单进行对应,如果没有对应,就认为是违规。内部的管控也是通过事后的管控、审计,也可以加强。
日志稽核的步骤,首先日志要完整性;二是对操作行为,通过日志来分析,提炼筛选点,通过工具来筛选出可能违规的操作日志,通过筛选后的日志和工单、审批单对比,检查是否有违规操作的日记。
7、引入金库认证模式,加强事中的安全管控。刚才前面有事前,有事后,金库是想加强事中的控制。事中的控制主要是利用反馈信息,通过作业合算和现场观测获取信息,及时把输出量与控制目标进行比较分析,做出纠正偏差的控制措施,不断消除由于干扰产生的不良后果,确保计划目标的实现。
要有完整的准确的统计资料和完备的现场活动信息,要有高效的信息处理系统。金库模式也称为双人操作或多人操作,主要是对于涉及客户信息的关键操作、强制要求必须由两个或者以上有相应全县的员工共同协作完成操作,通过相互监督、利益知觉确保关键造作的安全性。用原来授权的话,是把权限授给某个人之后,他会受到利益的趋势,现在客户信息也是可以卖钱的,这样的话,他就有可能围绕这些利益铤而走险。特别是敏感操作,通过双人和多人操作,相互监督个制约。这个银行系统用的比较多,我们这个业务模式当然跟他的不太一样,所以是参考他的业务模式,来加强事中的安全管理。
这种模式首先是关键系统的关键操作中引入金库模式,对敏感信息的查询包括客户资料、详单、话单、账单、通信内容、订购信息、位置信息。与金钱相关的信息,比如充值卡、积分、基肥数据。操作日志,涉及公司记忆的文件。干间操作,基于操作的类型、频次和对象来判定。操作类型,插入与修改、删除、导入与导出。他操作的时候会弹出一个对话框,要第二个人进行授权,第二个人授权之后才能进行下一步操作,才能获取相关的信息。
这是在客户信息保护方面7个保护的手段,有些在审批过程中,有些在采用,对做安全的集成商来说,不知道是不是可以有一些参考和借鉴。谢谢大家!
