摘 要：随着市场环境的迅速变化和竞争的日益加剧，业务支撑系统BSS已成为各大电信运营企业竞争的焦点。对BSS系统进行主动式管理涉及技术、管理、维护等方面，本文主要从电信行业角度分析，针对中国电信bss系统信息安全方案应用进行研究，主要从业务支撑系统BSS的信息安全解决方案和系统安全方案的应用进行深入研究和探讨。

1、引言

随着市场环境的迅速变化和竞争的日益加剧，业务支撑系统BSS（Billing Supporting System）已成為各大电信运营企业竞争的焦点，从中国移动的BOSS到中国电信的CTG-BOSS，各电信运营商都在逐年加大对业务支撑系统BSS的投资。本文主要针对中国电信bss系统信息安全方案应用进行深入探索研究，主要从业务支撑系统BSS的信息安全解决方案和系统安全方案的应用两个主要方面进行深入研究和探讨。

2、中国电信bss系统信息安全解决方案

本文主要采取了数据请求RSA加密策略和敏感数据MD5加密策略两种方法来保证系统的安全。

2.1 求RSA加密策略

中国电信bss系统运行在内网环境下，本中国电信bss系统采用RSA加密策略进行数据交互请求的加密和解密。

RSA加密由一对公钥（PK）与私钥（SK）组成。加密算法E和解密算法D也都是公开的。RSA算法中密钥的长度越长，破解的难度也就越大。但是密钥长度越长，加密所需的时间也随之增加，对中国电信bss系统的性能有一定的影响。目前主要使用的密钥长度为1024 bit。

但是，RSA非对称加密内容长度有限制，1024位key的最多只能加密127位数据。而中国电信bss系统报文常常会超过此限制。因此，我们对报文进行分段处理，报文分段后依次加密，然后组装成整体，服务端接收后对报文分段，再依次解密。解密后的报文重新组装，转发给总后台，以此解决了RSA加密算法对加密内容长度的限制问题。

2.2 敏感数据MD5加密策略

MD5也就是消息摘要算法第五版，该算法的主要用来提供消息的完整性保护。用户注册和登录前先在服务端生产随机16位盐值。取得盐值后，用盐值对用户密码进行加密。加密后的密文作为用户密码字段进行传输。后台接受到报文后，根据盐值对其进行解密。用户在注册用户信息时，中国电信bss系统将密码明文用户账号作为key经过MD5哈希算法获取MD5值，并将加密的字符串存储到数据库来保证密码的安全。用户登录时，对解密后的内容进行MD5运算。计算结果再与数据库中的值进行比对，从而不会有用户密码的明文信息出现，保护了用户的隐私。

3、中国电信bss系统信息安全方案应用

互联网作为一个开放的环境，它的优点被大家所公认，但其安全性也成为用户所担心的问题。所以中国电信bss系统的设计与实现在建设过程中将安全工作作为一个重点进行考虑。中国电信bss系统首先从安全防护机制来考虑，通过对安全建设的各层进行防护，提高系统对入侵等的防护功能，保障数据的安全可靠；其次，中国电信bss系统应该建立安全审查机制，对云环境中的位置数据、运单数据等进行授权，实现对数据操作行为的追踪，从而保证云数据流向的安全可靠。

3.1 安全性要求

中国电信bss系统的设计与实现为非涉密中国电信bss系统。依据《信息安全等级保护管理办法》的安全等级划分，中国电信bss系统应该能达到第三级的安全保护需求对应的技术指标。除此之外，中国电信bss系统的设计与实现满足以下3方面的安全要求① 用户在登录业务中国电信bss系统时需要使用手机短信验证码，如手机丢失，可通过安全恢复功能，接触特定终端或者号码的权限授权。② 视频会议录像的查阅权限单独设置。③ 在设计与实现中国电信bss系统时，应加入以下技术：（a）传输使用AES加密。（b）会议密码。（c）会议安全等级。（d）分级授权。

3.2 物理层安全

物理层安全主要是针对中国电信bss系统中硬件设施以及设施之间的链路连接的安全建设。中国电信bss系统在物理层安全策略上从环境安全、设备安全以及网络链路安全这三个方面入手进行建设。通过建立妥善的制度首先限制物理设施等的访问权限，其次进行场地安全管理建设与监督，然后通过冗余的方式保障设备通讯的安全。

3.3 网络安全

中国电信bss系统对于网络安全的建设主要以防火墙为主，其他多种网络安全防护手段相辅的策略。首先在网络接入点部署防火墙，中国电信bss系统采用华为的USG5000防火墙，然后结合SSL、网络专线、黑白名单等的方式保障网络通信安全。将USG5000部署在网络域中不同的地方，使其有不同的安全防护作用。

3.4 中国电信bss系统安全

中国电信bss系统安全主要是通过防病毒软件进行入侵检测，漏洞扫掐和评估、防病毒的安全措施，同时在数据库服务器部分使用双机热备和共享磁盘阵列的方式，通过软硬件双重防备的安全措施来提高中国电信bss系统的安全性与可靠性。

在中国电信bss系统中，采用华为的IDS进行入侵检测，OpenVAS进行漏洞扫描和评估，从中国电信bss系统整体进行安全防护。入侵检测中国电信bss系统的主要功能是监测和控制非法入侵，而漏洞扫描中国电信bss系统是通过专业软件检查中国电信bss系统存在的容易被攻击的漏洞，提醒人员修复漏洞，提前进行安全防护；网络安全评估中国电信bss系统可以动态地评测中国电信bss系统风险，检测网络安全级别，从而为中国电信bss系统的安全运行提供保证；防病毒软件可以加强对病毒文件的过滤，并且可以定期杀毒。

3.5 环境安全

环境安全主要包括中国电信bss系统的访问控制以及数据安全。

（1）访问控制。中国电信bss系统采用客户端分类的方式，将客户端分为不同使用者的访问入口，从而控制用户的访问内容和权限。（2）数据安全。由于中国电信bss系统为数据库和操作中国电信bss系统分别配置了不同的登录入口，如果是同一个工作人员进行这两个登录操作，必将引入不安全因素，所以模仿保险箱钥匙的分人管理的模式，建议对这两个登录入口分别配备不同的工作人员进行管理。

3.6 终端安全

监测中国电信bss系统的终端安全服务平台是为保障用户业务安全，实现紧急情况下的信息保护与风险防范的重要基础设施。安全服务平台整体架构包括两个部分：车辆位置实时监测中国电信bss系统的终端安全服务平台和安全客户端。安全客户端为中国电信bss系统的初始入口提供安全接口。安全接口主要是身份认证功能以及基于数字证书技术的签名/验签。终端安全服务平台是对从安全客户端的安全接口传送的用户信息进行验证。

（1）安全中间件。安全中间件基于PKI设计，面向业务应用提供加密/解密、数字证书解析、数字签名、XML签名等功能。

（2）业务中国电信bss系统安全套件。由证书应用服务端和客户端组成业务中国电信bss系统应用安全套件。

（3）客户端接口。不同的客户端有专有的接口，专用的接口调用程序只调用用户的接口，不关心用户的使用情况；在应用服务器上，服务器端的接口通过对客户端接口的辨别，接收并处理不同客户端发送到的安全认证、数据加密/解密和签名验证等系列安全处理请求。

4、结论

随着市场环境的迅速变化和竞争的日益加剧，业务支撑系统BSS已成为各大电信运营企业竞争的焦点。本文主要从电信行业角度分析，针对中国电信bss系统信息安全方案应用进行深入探索研究，主要从业务支撑系统BSS的信息安全解决方案和系统安全方案的应用两个主要方面进行深入研究和探讨。

参考文献：

[1] 付明明. 面向电信系统的信息安全风险评估研究及应用[D]. 重庆理工大学， 2016.

[2] 谢科阳. 基于大数据的电信网络信息安全管控平台的建设研究[D]. 浙江工业大学， 2017.

[3] 李荣荣， 寇建涛， 董刚，等. 面向智慧园区的RFID系统信息安全认证方案[J]. 电信科学， 2016， 32（2）：164-169.

[4] 刘智琼， 华竹轩， 黎莎菲. 面向BSS系统的权限管理模型研究[J]. 广东通信技术， 2016， 36（11）：16-22.

作者简介：

李翔（1984年2月21日），男 ， 汉， 福建省南平市，大学本科，工程师。