适用于基础电信行业的数据安全技术模型研究

0引言我国工信部近年来针对数据安全的管理力度及处置力度日益增大，这也促使了众多行业不断完善数据安全体系建设和数据安全技术创新。基础电信行业用户面广，信息繁杂，数据海量的特点更是成为数据安全的重点关注行业。本文主要从数据安全“H”技术模型来研究适用于基础电信行业的数据安全技术模型。1数据安全“H”模型电信运营商数据可大致分为三类：第一类是用户信息数据，包括用户身份信息，终端信息等；第二类是用户消费类数据，包括用户通信消费情况、账单等；第三类是用户行为数据，包括用户通话行为记录、上网行为记录等。根据对数据的操作内容，可以将数据安全的完整生命周期划分为6个阶段，即数据采集、数据传输、数据存储、数据使用、数据开放共享和数据销毁。利用业内共识的各阶段标签，结合客观的流量感知手段，建立了数据安全的“H模型”，如图1所示。下面，将对数据安全技术模型中的数据标签和流量感知进行阐述和说明。图1数据安全“H”技术模型2“H”模型的数据标签数据是客观存在的，通常由数据用途及特征决定其内容和字段。在读取数据时，得到的信息是其直接传递的，无法从数据本身直观看到数据来源。如果为数据源打上数据标签，标签中含有数据源的IP地址、系统名称、MAC地址、传递时间等信息，数据在传递的过程中，约定双方不得改变这些由采集源赋予的特征标签值，即可让数据具备可追溯性和问责性，如图2所示。数据标签通常是不可察的，它与数据共享数据块紧密结合并隐藏其中，成为源数据不可分离的一部分，并经过不破坏源数据使用价值的操作保存下来。图2数据标签示例带上了数据标签的数据，具备了识别数据来源的功能，能够实现源数据的追溯，从而进一步为问责机制的建立创造了条件，在对一些异常数据和垃圾数据的分析中具有重要的作用。例如，在某一生产场景中，发现某条数据数值异常，仅从数值来看，无法得知是哪个数据源存在问题导致的数值异常，若采用数据标签的形式，可以清楚追溯数据来源。在基础电信行业的信息系统中，常常会有多系统来源的数据，数据标签模式无疑是更好的数据安全实践，同时针对数据跨域、跨境传输具有非常有效的管控力。图3数据标签加密过程采用数据特征字段加密的方法，实现其机密性和完整性。即在数据唯一特征值后增加数据来源特征标识，再利用高级加密标准(AdvancedEncryptionStandard,AES)等高级加密算法加密后存储、传输。利用AES加密算法的特性，保证了数据在流动中的完整性不被破坏，同时其密钥仅被少数数据安全管理人员持有，确保了数据标签的机密性，如图3所示。在5G应用场景中，为实现低时延要求，常常将5G核心能力之一的移动边缘计算（MobileEdgeComputing，MEC）能力下沉到近用户侧，这样在某种场景下会多用户共用MEC，对于数据安全的要求也就越高。5G的高速特性将激发更多的数据被产生和传输。5G被应用于社会生产和关键应用，其中会包含影响到人身和物理安全的关键数据。若采用数据标签管控的方式，既解决了数据流向管控的问题，也有效降低了数据泄露事件带来的影响。数据标签为数据本身在存储、传输、加工、销毁过程中提供了安全保证，同时，也需要企业从规范管理的角度来要求规范性的开发策略，特别对于新技术和新业务的发展更是如此。但对于拥有长久发展历史的基础电信行业来说，存量数据的管控同等重要，通过客观的原始流量（数据包）数据分析，即可感知和管控数据流向、数据接口状态等形成数据资产的多维画像。3“H”模型的流量感知数据不会一直静默不动，任何信息系统之间的交互都需要数据流动的支撑，数据的流动即产生了网络流量。由于因特网的普遍性和易操作性，态势感知在其中有着广泛的应用，利用态势感知强大的全局监控能力，可实时掌握网络的运行状态并采取对应的安全措施，保证网络系统的安全。对于基础电信行业的信息系统而言，最常见的网络拓扑结构是树型和星型，少量追求高可靠性的网络使用网状结构。对于这两种拓扑来说，任何服务器都存在“唯一”的网络出口，如果通过技术手段抓取系统网络出口交换机或深度报文检测(DeepPacketInspection,DPI)等分流设备的下联口（业务口）的双向流量镜像，即可做到业务系统出、入流量的全面感知，同时不影响正常业务的进行。图4流量感知工具运行拓扑如图4所示，不同的镜像流适用于不同的场景。在分析系统内部之间的数据流时，常接入近系统侧的交换机镜像流，例如镜像流1和镜像流2，这种情况下能够分析出交换机下挂资产中数据之间流通的情况，分析颗粒度也更为精细化。而如果需要分析不同系统之间的数据互通情况，则需要接入系统上层汇聚交换机的流量。镜像流的采集和控制，需要由实际分析需求去定义。而在基础电信行业统一建设安全技术能力的时候，往往是考虑到流量的覆盖性，常使用镜像流3的方式配置。通过合理的流量镜像部署方案和分析方法，可以客观、准确地实现数据资产的发现、数据接口的状态监控和数据流量的监测预警。3.1数据资产发现数据资产是数据安全保护的基础，只有梳理清楚系统内部存在的数据资产，才能够对其进行后续的安全部署。但对于基础电信行业来说，资产庞大、结构复杂是一个重要的特点，从而也给数据资产的梳理带来了困难。电信运营商在对网络资产进行漏洞扫描、加固等安全防护工作时，齐全的资产信息可以避免出现安全盲区，同时通过对资产信息的分析，可以及时全面掌握现网设备的漏洞、风险情况。在前者的基础上，通过流量感知技术结合协议发现技术，能够客观、清楚地梳理出系统在当前网络环境下的绝大部分资产和服务，实现数据资产全方位发现分析。首先，可以通过源目网络地址(InternetProtocolAddress,IP)的识别，得到网络内部的IP清单，然后通过“源目端口+源目IP”的识别，得到网络内部开放服务的清单。例如，在某次梳理过程中，收集到了N个IP，其中每个IP都开放了22端口、23端口，由此可以判定，网络内部共有N个资产，每个资产开放了2个服务，根据安全基线合规的要求，即可以针对性地对这两个服务进行精细化防护。图5数据资产发现得到IP和服务对应关系后，需要对这种对应关系打上资产标签，用于识别其归属的资产组/资源组，最终形成一份完整的数据资产发现清单，如图5所示。数据资产的发现，奠定了数据安全的基础，为数据安全工作的开展提供了重要依据。3.2数据接口状态监控在业务系统数据传输的过程中，少不了数据接口的交互，任何数据的流动都需要通过数据接口或特定协议进行。在基础电信行业中，常常通过数据接口进行业务系统之间的数据交互，或者是数据资产之间的数据同步。在流量感知状态下，能够实时监控到一些异常行为的发生。例如，在话单同步场景下，A系统每天固定向B系统发送1TB数据，数据安全管理员通过数据接口状态监控发现某天仅发送了2MB数据，其立即可以判断，此数据接口异常，原因可能为系统故障或网络故障。除此之外，通过监控数据接口的异常返回包、异常请求包，亦可发现针对业务系统的异常攻击行为，做到防患于未然。3.3数据流向监控通过数据资产发现，定义了系统内部数据资产，进一步通过对数据资产的分组，可划定系统内部的资产组。结合数据接口的发现和监控，就能够清晰地看到系统内部数据与外部资产的交互情况。例如，话单同步场景下，A系统固定每天9点向B系统发送大量话单数据，数据安全管理员通过数据接口状态监控发现某天10点A系统发送了少量话单数据到C系统，即可以判断此种数据接口状态为异常，可能发生了数据泄露事件，如图6所示。图6数据流向监控4结语结合数据标签和流量感知技术，能够做到数据采集、存储、传输、共享、加工、销毁六个生命周期中的安全管控和评估。在基础电信行业中，利用自有网络资源的优势，可以通过网络流量对