董学励， 孙晓波

（①哈尔滨工业大学（威海）信息与电气工程学院，山东 威海 264209；②中国移动通信集团山东有限公司，山东 济南 250001）

0 引言

文中研究的是用户在使用移动通信产品全生命周期过程中的客户信息保护模式，客户信息全生命周期包括入网、传输、存储、处理、消费、离网等闭环过程。以1995年由英国医学会提出的BMA信息安全模型为框架，研究客户信息保护的措施，并分析客户信息保护的重要环节中应采取的保护手段，提出有效可行的客户信息保护解决方案。

近几年，因电信运营商在管理、流程和技术等方面的漏洞造成客户信息泄露的事件时有发生，严重的案例是触犯了国家法律，当事人被追究了刑事责任。虽然各运营商都在客户信息保护方面采取了大量的措施，但仍然面临诸多的挑战，主要包括以下几个方面：

1）在管理制度方面，虽然颁布了客户信息安全管理规定，“五项禁令”制度，但制度的执行力度和效果还有待评估。

2）在操作行为方面，因为技术条件的限制，仍然存在前台、后台、第三方等违规查询客户信息、批量导出客户信息的风险，也存在客户位置信息查询流程不当的风险。

3）在行为审计方面，有些涉及客户信息的系统缺乏日志，导致无法进行溯源和审计。

4）在系统安全方面，涉及客户信息的系统仍然存在弱口令、密码策略和配置不当的风险，某些系统接口存在安全漏洞，还有些系统存在明文存储和传递敏感客户信息的情况。

5）在客户信息安全控制措施方面，存在敏感客户信息操作权限过度授权，员工系统账号管理不当，操作审核措施不足，客户服务密码保护不足，客户信息业务处理和审批流程规范性不足，客户详单查询业务过程涉及不合理，移动介质管控不规范，职责分工冲突，纸质资料管理不善等诸多风险。

1 BMA安全模型

1995年，英国医学协会（BMA， British Medical Association）针对国家健康服务（NHS，National Health Service）网络提出了攻击模型、安全策略以及结构，从而形成了 BMA安全模型的基础，后来由于其通用性，在国际安全领域被定义为一种经典多边安全模型[1]。

BMA安全模型的主要原理是由客体同意主题可以有条件的查看并使用客体信息，目的是保证客体信息的完整性和可用性。

BMA安全模型的主要规则如下：

1）访问控制表。每一份病历记录都有一个访问控制表标记，用以说明可以读取和添加数据的人和组。

2）打开记录。医生可以打开访问控制列表中和他有关的病人的病例，但需要经过病人委托。

3）控制。在每个访问控制列表中必须有一个是可信的，只有他才能对病例进行写入。

4）同意和通报。可靠的医生在打开病历时，应将访问控制列表中的名字、后续条件和可靠性的传递通知病人。

5）持续性。任何人都不能删除病历记录，除非它已过期。

6）日志。记录对病历记录的全部访问。

7）可信计算。处理以上原理的计算机应该有一个有效的方法实现，实现方法需要由独立专家评估。

医疗行业如何保护病人的个人医疗信息是电信行业中客户信息保护的最佳效仿对象，而作为医疗记录BMA模型也适用于指导电信业的客户信息防护。

2 客户信息系统

在电信企业中，客户信息主要包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信息这4大类。存储和处理客户信息的系统包括支撑系统、业务平台、通信系统这3大类。

3 客户信息安全防护

BMA作为一个技术模型，其主要的规则集中在保护策略和技术保障的技术侧面。就保护策略、技术保障两个方面分别予以说明。

3.1 保护策略

电信企业应制定灵活科学的客户信息保护策略来指导企业做好客户信息的安全防护工作。

（1）访问控制

根据客户类别不同，将客户信息进行分类，对于不同类型的客户信息进行分级授权，授权原则依据职责分离和“知必所需”的最小化原则，将能够访问客户信息的人员范围缩小到最小[2]。

（2）信息操作原则

金库式管理：不管是前台的营业还是后台的系统维护、统计查询，对客户信息的批量操作都要遵循金库管理的模式。

客户授权知会原则：业务人员在访问涉及到客户相关的详单、位置等信息时，需要经过客户的授权方可进行访问，访问后应通过短信、邮件等方式通知客户。

模糊化原则：在客户服务、营业办理环节，需要访问客户的基础信息时，应对显示的客户信息进行模糊化处理。

时代的进步，技术的发展，出现了很多的新生事物，诸如云计算、大数据等方面。信息技术和数据处理技术的发展进步，对社会资源的需求量的增大，都表现出智慧校园这种体系的建设。在传统的校园，纸质版的表现形式是资源进行有效呈现和存储的主要方式，但是现今，无纸化的办公室的获取资源的方式转化为技术高度发展。资源贡献这种方式也因为高校体育信息平台的出现而具备了很大的发展前景，但是也出现了信息平台自身所要面临的瓶颈。当前，把云计算作为建设的技术基础，建设高校的共享体育平台服务的智慧校园理念，目的是为了更好地让信息化建设进入共享资源和工作管理中，把高校体育教学工作的整体效果和实效性开展得更为全面和深度。

自动化原则：尽可能采用系统自动化处理的方式，减少人为的干预，从而减低人为疏忽与错误。

3.2 技术保障

技术保障主要是按照保护策略的要求从技术的各个方面有针对性的采取措施限制批量操作和未授权操作，防止通过技术手段对客户信息进行未授权操作或者将客户信息拿走。

1）物理安全。应采用门禁、摄像机等各种方式保证工作场所、客户纸质信息物理地点、客户信息相关系统物理机房的安全性，严格控制出入，严禁将带有客户信息的纸质文档带离工作场所。

2）网络隔离。应对客户信息相关的系统进行安全域划分，并在网络边界加载防火墙、IDS等安全设备，制定严格的网络访问控制策略[3-4]。

3）4A系统。为了从技术上限制非授权用户接触客户信息，原则上，涉及客户信息的支撑系统、业务平台、通信系统等应纳入4A系统的集中管控。

4）加密。数据在未授权用户可能访问的网络上进行传输或不安全的系统中存储时应加密；关键客户信息如客服密码在系统中存储备份时应采用加密方式。

5）数据防泄密。采用文档安全管理、终端安全管理、敏感信息监控等技术手段防止文件形式客户信息的泄密，确保业务数据只保留在业务操作用的电脑上，而不会被员工带走。

6）应用安全。采用安全扫描、应用防火墙、代码检查等技术手段确保应用系统的安全性，防御黑客对客户数据信息的攻击和窃取[5-6]。

7）数据脱敏。在外包时，如果需要把生产数据交给第三方，必须经过严格的数据脱敏过程，确保第三方拿到的数据里不包含客户的真实信息和交易记录。

8）安全监控。通过自动化系统或者人工方式定期检查上述技术措施的有效性。

4 结语

通过控制措施的运用能够看到、得到客户信息的人很少，即使因工作需要拥有查询这些客户信息权限的岗位，也会对其操作进行严格控制，使其无法将数据带走。可以有效防止客户信息的泄露。但是如果客户信息最终还是被泄露出去，公司还可以利用技术手段收集泄露客户信息的证据，然后根据这些证据，通过法律手段对信息泄露人进行起诉。

导致客户信息泄露的途径有很多，文中在研究中只局限于电信企业本身的范围，对于超出电信企业范围之外的途径未作研究。同时也未对法律法规方面进行研究。

[1] HARRIS S.CISSP All in one Exam Guide[M].北京：科学出版社，2009：123-157.

[2] 李改成．金融信息安全工程[M]. 北京：机械工业出版社，2010：67-89.

[3] 张友能．基于网闸技术的网络安全研究[J]．通信技术，2008，41(05)：133-135．

[4] 瑞通公司.3G移动通信系统的安全体系与防范策略[J].信息安全与通信保密,2009(08)：22-23.

[5] 谭荆.无线局域网通信安全问题探讨[J].通信技术,2010,43(07)：84-85.

[6] 李东.网络安全分析[J].信息安全与通信保密,2007(01)：166-168.