23·2014年第12期·电信工程技术与标准化CHINAMOBILENETWORKANDINFORMATIONSECURITYCOLUMN中国移动业务支撑网客户信息安全保护徐党生(中国移动通信集团吉林有限公司,长春130021摘要中国移动业务支撑系统积累和掌握了大量的客户信息,如何实现对业务支撑网客户信息的安全管理,确保业务支撑网客户信息的机密性,成为当前安全建设的重中之重。本文根据中国移动的业务特点和实际情况针对业务支撑系统客户信息安全管理的实现架构进行分析和描述,提出构建从客户信息分级、电子审批、提取控制、数字水印、文档控制、审计等方面来加强数据安全控制。关键词客户信息;数据安全;电子审批;数字水印中图分类号TN918文献标识码A文章编号1008-5599(201412-0023-05收稿日期:2014-11-161客户信息安全保护背景中国移动业务支撑系统中积累和掌握了大量的客户信息,存储和处理客户信息的支撑系统包括业务支撑系统(BOSS、经营分析系统、CRM、网管系统、客户服务支撑系统等。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息和客户通信内容信息等4大类。(1客户基本资料包括但不限于集团客户资料、个人客户资料、渠道及合作伙伴资料、精确营销目标客户群数据和各类特殊名单。(2客户身份鉴权信息包括但不限于客户的服务密码和客户登录各种业务系统的密码。(3客户通信信息包括但不限于详单、原始话单、账单、客户位置信息、客户消费信息、基本业务订购关系、增值业务(含数据业务订购关系、增值业务信息、客户通信行为信息和客户通信录等。(4客户通信内容信息包括但不限于客户通信内容记录、客户上网内容及记录和行业应用平台上交互的信息内容。客户信息安全面临的风险和威胁主要包括因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。2客户信息安全保护的目标客户信息安全保护的目标如下。(1利用安全保护手段和审计系统对业务支撑网客户信息的数据泄漏及篡改做到事前预防、事中控制、事后审计。(2通过管理制度及细化管理流程强化客户信息安DOI:10.13992/j.cnki.tetas.2014.12.007---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---·2014年第12期·TELECOMENGINEERINGTECHNICSANDSTANDARDIZATIONCHINAMOBILENETWORKANDINFORMATIONSECURITYCOLUMN24全的日常管理和审核,及时处理客户信息泄密事件的处理,落实信息泄露的惩罚措施。3客户信息安全保护的要求客户信息安全保护的总体要求如下。(1对业务支撑网客户信息按数据价值、数据安全需求两方面进行分级管理。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---(2对业务支撑网客户信息的所有存储方式及获取途径应进行深入分析,及时发现并弥补业务层面和系统层面中可能导致客户信息被篡改和泄漏的漏洞。(3利用安全技术和管理手段加强客户信息管控,避免数据泄露和非法篡改。4总体设计结合业务支撑网客户信息安全保护要求给出安全保护体系架构、功能模块。主要从客户信息授权鉴权、电子审批、数据提取控制、维护工具管理、数字水印、文档管控、操作行为审计等方面加强客户信息安全控制,提高业务支撑系统的客户信息安全保障能力。4.1体系架构整个体系由数据层、应用层、服务层构成,每个层次分别对应客户信息安全保护的主要功能模块。客户信息安全保护体系的逻辑架构如图1所示。4.2功能模块设计整个客户信息安全保护体系功能模块设计和系统交互,如图2所示。下面针对每个部分进行详细功能设计。4.2.1授权与访问控制通过4A管理平台实现维护终端集中化授权与访问控制。4A管理平台上采用堡垒主机的技术,基于用户的权限,进行统一的资源层和应用层访问控制,避免维护人员使用不安全的终端直接访问客户信息。4A管理平台进行统一的审计操作,原有系统功能和性能不会受到影响,在减轻管理员负担的同时,提高图1客户信息安全保护体系逻辑架构图25---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---·2014年第12期·...