基于BMA安全模型的客戶信息保護

董學勵， 孫曉波

（①哈爾濱工業大學（威海）信息與電氣工程學院，山東 威海 264209；②中國移動通信集團山東有限公司，山東 濟南 250001）

0 引言

文中研究的是用戶在使用移動通信產品全生命周期過程中的客戶信息保護模式，客戶信息全生命周期包括入網、傳輸、存儲、處理、消費、離網等閉環過程。以1995年由英國醫學會提出的BMA信息安全模型為框架，研究客戶信息保護的措施，并分析客戶信息保護的重要環節中應采取的保護手段，提出有效可行的客戶信息保護解決方案。

近幾年，因電信運營商在管理、流程和技術等方面的漏洞造成客戶信息泄露的事件時有發生，嚴重的案例是觸犯了國家法律，當事人被追究了刑事責任。雖然各運營商都在客戶信息保護方面采取了大量的措施，但仍然面臨諸多的挑戰，主要包括以下幾個方面：

1）在管理制度方面，雖然頒布了客戶信息安全管理規定，“五項禁令”制度，但制度的執行力度和效果還有待評估。

2）在操作行為方面，因為技術條件的限制，仍然存在前臺、后臺、第三方等違規查詢客戶信息、批量導出客戶信息的風險，也存在客戶位置信息查詢流程不當的風險。

3）在行為審計方面，有些涉及客戶信息的系統缺乏日志，導致無法進行溯源和審計。

4）在系統安全方面，涉及客戶信息的系統仍然存在弱口令、密碼策略和配置不當的風險，某些系統接口存在安全漏洞，還有些系統存在明文存儲和傳遞敏感客戶信息的情況。

5）在客戶信息安全控制措施方面，存在敏感客戶信息操作權限過度授權，員工系統賬號管理不當，操作審核措施不足，客戶服務密碼保護不足，客戶信息業務處理和審批流程規范性不足，客戶詳單查詢業務過程涉及不合理，移動介質管控不規范，職責分工沖突，紙質資料管理不善等諸多風險。

1 BMA安全模型

1995年，英國醫學協會（BMA， British Medical Association）針對國家健康服務（NHS，National Health Service）網絡提出了攻擊模型、安全策略以及結構，從而形成了 BMA安全模型的基礎，后來由于其通用性，在國際安全領域被定義為一種經典多邊安全模型[1]。

BMA安全模型的主要原理是由客體同意主題可以有條件的查看并使用客體信息，目的是保證客體信息的完整性和可用性。

BMA安全模型的主要規則如下：

1）訪問控制表。每一份病歷記錄都有一個訪問控制表標記，用以說明可以讀取和添加數據的人和組。

2）打開記錄。醫生可以打開訪問控制列表中和他有關的病人的病例，但需要經過病人委托。

3）控制。在每個訪問控制列表中必須有一個是可信的，只有他才能對病例進行寫入。

4）同意和通報。可靠的醫生在打開病歷時，應將訪問控制列表中的名字、后續條件和可靠性的傳遞通知病人。

5）持續性。任何人都不能刪除病歷記錄，除非它已過期。

6）日志。記錄對病歷記錄的全部訪問。

7）可信計算。處理以上原理的計算機應該有一個有效的方法實現，實現方法需要由獨立專家評估。

醫療行業如何保護病人的個人醫療信息是電信行業中客戶信息保護的最佳效仿對象，而作為醫療記錄BMA模型也適用于指導電信業的客戶信息防護。

2 客戶信息系統

在電信企業中，客戶信息主要包括客戶基本資料、客戶身份鑒權信息、客戶通信信息、客戶通信內容信息這4大類。存儲和處理客戶信息的系統包括支撐系統、業務平臺、通信系統這3大類。

3 客戶信息安全防護

BMA作為一個技術模型，其主要的規則集中在保護策略和技術保障的技術側面。就保護策略、技術保障兩個方面分別予以說明。

3.1 保護策略

電信企業應制定靈活科學的客戶信息保護策略來指導企業做好客戶信息的安全防護工作。

（1）訪問控制

根據客戶類別不同，將客戶信息進行分類，對于不同類型的客戶信息進行分級授權，授權原則依據職責分離和“知必所需”的最小化原則，將能夠訪問客戶信息的人員范圍縮小到最小[2]。

（2）信息操作原則

金庫式管理：不管是前臺的營業還是后臺的系統維護、統計查詢，對客戶信息的批量操作都要遵循金庫管理的模式。

客戶授權知會原則：業務人員在訪問涉及到客戶相關的詳單、位置等信息時，需要經過客戶的授權方可進行訪問，訪問后應通過短信、郵件等方式通知客戶。

模糊化原則：在客戶服務、營業辦理環節，需要訪問客戶的基礎信息時，應對顯示的客戶信息進行模糊化處理。

時代的進步，技術的發展，出現了很多的新生事物，諸如云計算、大數據等方面。信息技術和數據處理技術的發展進步，對社會資源的需求量的增大，都表現出智慧校園這種體系的建設。在傳統的校園，紙質版的表現形式是資源進行有效呈現和存儲的主要方式，但是現今，無紙化的辦公室的獲取資源的方式轉化為技術高度發展。資源貢獻這種方式也因為高校體育信息平臺的出現而具備了很大的發展前景，但是也出現了信息平臺自身所要面臨的瓶頸。當前，把云計算作為建設的技術基礎，建設高校的共享體育平臺服務的智慧校園理念，目的是為了更好地讓信息化建設進入共享資源和工作管理中，把高校體育教學工作的整體效果和實效性開展得更為全面和深度。

自動化原則：盡可能采用系統自動化處理的方式，減少人為的干預，從而減低人為疏忽與錯誤。

3.2 技術保障

技術保障主要是按照保護策略的要求從技術的各個方面有針對性的采取措施限制批量操作和未授權操作，防止通過技術手段對客戶信息進行未授權操作或者將客戶信息拿走。

1）物理安全。應采用門禁、攝像機等各種方式保證工作場所、客戶紙質信息物理地點、客戶信息相關系統物理機房的安全性，嚴格控制出入，嚴禁將帶有客戶信息的紙質文檔帶離工作場所。

2）網絡隔離。應對客戶信息相關的系統進行安全域劃分，并在網絡邊界加載防火墻、IDS等安全設備，制定嚴格的網絡訪問控制策略[3-4]。

3）4A系統。為了從技術上限制非授權用戶接觸客戶信息，原則上，涉及客戶信息的支撐系統、業務平臺、通信系統等應納入4A系統的集中管控。

4）加密。數據在未授權用戶可能訪問的網絡上進行傳輸或不安全的系統中存儲時應加密；關鍵客戶信息如客服密碼在系統中存儲備份時應采用加密方式。

5）數據防泄密。采用文檔安全管理、終端安全管理、敏感信息監控等技術手段防止文件形式客戶信息的泄密，確保業務數據只保留在業務操作用的電腦上，而不會被員工帶走。

6）應用安全。采用安全掃描、應用防火墻、代碼檢查等技術手段確保應用系統的安全性，防御黑客對客戶數據信息的攻擊和竊取[5-6]。

7）數據脫敏。在外包時，如果需要把生產數據交給第三方，必須經過嚴格的數據脫敏過程，確保第三方拿到的數據里不包含客戶的真實信息和交易記錄。

8）安全監控。通過自動化系統或者人工方式定期檢查上述技術措施的有效性。

4 結語

通過控制措施的運用能夠看到、得到客戶信息的人很少，即使因工作需要擁有查詢這些客戶信息權限的崗位，也會對其操作進行嚴格控制，使其無法將數據帶走。可以有效防止客戶信息的泄露。但是如果客戶信息最終還是被泄露出去，公司還可以利用技術手段收集泄露客戶信息的證據，然后根據這些證據，通過法律手段對信息泄露人進行起訴。

導致客戶信息泄露的途徑有很多，文中在研究中只局限于電信企業本身的范圍，對于超出電信企業范圍之外的途徑未作研究。同時也未對法律法規方面進行研究。

[1] HARRIS S.CISSP All in one Exam Guide[M].北京：科學出版社，2009：123-157.

[2] 李改成．金融信息安全工程[M]. 北京：機械工業出版社，2010：67-89.

[3] 張友能．基于網閘技術的網絡安全研究[J]．通信技術，2008，41(05)：133-135．

[4] 瑞通公司.3G移動通信系統的安全體系與防范策略[J].信息安全與通信保密,2009(08)：22-23.

[5] 譚荊.無線局域網通信安全問題探討[J].通信技術,2010,43(07)：84-85.

[6] 李東.網絡安全分析[J].信息安全與通信保密,2007(01)：166-168.