常 玺

中国联合网络通信有限公司西安软件研究院 陕西 西安710000

如今,企业都在进行信息化建设,多数企业在建设过程中,都过于重视功能的实现,忽略了防护措施的构建,从而导致出现了一系列的信息安全事件。例如用户信息泄露、被窃取等等,导致用户越来越不信任运营商。近几年,国家以及政府部门都在加强信息安全建设,相关政策不断出台,使得单位员工安全意识得到了明显的提高,同时用户信息安全也有了很大的改观。

一、运营商用户数据信息存储和使用情况

(一)用户数据信息的产生。运营商用户信息的产生主要体现在以下几个方面。第一方面,用户到营业点办理业务时,会填写相关的身份信息,这些信息会录入到运营商内部信息管理系统中,并且还会将纸质档案保存。第二方面,一些用户会通过运营商电话来预约办理业务,或者运营商上门为用户办理业务,在办理业务过程中,客服会询问用户相关信息,将信息直接录入到系统中[1]。第三方面,部分用户无法到营业点办理业务,所以会选择在运营商创建的自助服务平台办理业务,在登录平台时,会需要用户输入身份信息进行实名认证,这些信息会直接存入到管理系统中。第四方面,当用户出现问题或者故障时,运营商会向工作人员发送相关业务单,工作人员在帮助用户解决问题和故障时,会对用户的一些信息进行记录,之后形成纸质档案进行保存。

(二)用户数据信息的使用。运营商内部以下几种工作人员会对用户信息进行访问和使用。第一种,营业人员和客户经理在为用户办理相关业务时,会对用户的基本信息以及订购业务等进行核查。第二种,客服人员在为用户进行业务服务时,会对用户的有效信息等进行核查。第三种,客户经理在维护用户时,会对用户的信息进行查询。第四,安装维修人员在上门为用户解决问题和故障时,会对用户的故障信息和地理位置信息等进行查询。第五种,信息管理系统的工作人员在对系统进行更新和维护时,需要对用户的具体信息进行查询和处理。

对于运营商外部来说,代理商在为用户办理相关业务时,会对用户的信息和业务订购信息等进行查询。除此之外,用户可以在服务平台上查询到与自身相关的业务信息和消费信息等。另外,运营商在为用户提供增值等服务时,会对用户的有效信息进行查询和校验。

(三)用户数据信息的存档和销毁。不同客户信息的有效性存在一定的差异,运营商在对不同客户信息进行存储时,会设置不同的存储类型,与此同时,保存的时间以及封存的时间也会有相关的规定。当客户信息超过规定时间之后,会对无效信息进行归档和封存,超过封存期的用户数据会进行销毁处理。

二、运营商用户数据安全防护体系构建对策

(一)信息分级和脱敏。运营商会存储大量的用户信息,并且每种类型信息的敏感程度都不尽相同。为了提高安全防护的整体效率,要根据信息的重要程度来对用户信息进行分级处理,并根据客户的级别来设置相关的安全管控措施,同时对数据信息进行防护。对于敏感度较高的数据信息,运营商要利用模糊处理或加密处理来降低信息的敏感性。

(二)权限管理。对于用户有效信息以及信息管理系统中存储的用户数据来说,访问操作权限的控制是安全防护体系的关键[2]。因此,运营商要按照权限最小化的标准来对工作人员的信息访问权限进行设置,并且要规定工作人员只能访问对应级别的用户有效信息,不能跨级进行访问。与此同时,运营商要对系统账号的安全性进行管控,防止账号信息出现泄漏等情况。

(三)构建信息安全基础设施。对于电子形式的客户信息,运营商要构建完整的信息安全防护基础设施。构建信息安全防护技术设施可以从以下几点进行。首先,运营商可以利用终端认证、漏洞扫描以及木马查杀等设施来对终端进行管控,避免其他外部终端进入到运营商内部网络中,同时要规定外部终端只有符合安全条件才能够进行访问。其次,利用网络行为审计以及防火墙等基础设施来对用户信息传输的网络进行管控,以此来保证用户数据信息能够安全、稳定的进行传输。第三,利用数据库操作审计和漏洞扫描等基础设施来对数据信息数据库进行管控,避免数据库被入侵和非法访问,防止出现数据泄露的情况。最后,要对数据库系统、文件系统以及应用系统进行加密,对一些敏感用户数据信息要采用密文的形式进行存储,防止出现信息安全事故。

(四)开展网络安全攻防演练。运营商要不定期的开展网络安全攻防演练,通过虚拟的用户数据来检测相关系统的安全性,以此来提高上技术人员安全防护和应急处置能力[3]。运营商可以邀请经验丰富的专家组成攻击队,将企业内部技术人员组成防守队,不限制攻击路径和攻击手段,来进行网络攻击,获取运营商系统中的虚拟用户信息。在整个过程中观察内部技术人员的解决手段、解决时间以及后续完善工作,在攻防演练结束之后,运营商要根据演练的结果来对系统进行完善,同时对技术人员进行培训,从而提高网络安全的综合防控能力。

结束语

总而言之,用户数据安全防护体系构建是一项系统、复杂的工程,需要运营商不断的进行探索和实践才能构建出完整的安全防护体系。虽然我国运营商在数据安全防护方面已经开展了大量的工作,但是与国外相比还存在着一些差距。因此,运营商要对业务范围的用户数据信息进行有效识别,并通过安全防护体系来对用户数据进行管控,从而防止用户数据被泄露。