中國電信bss系統信息安全方案應用研究

摘 要：隨著市場環境的迅速變化和競爭的日益加劇，業務支撐系統BSS已成為各大電信運營企業競爭的焦點。對BSS系統進行主動式管理涉及技術、管理、維護等方面，本文主要從電信行業角度分析，針對中國電信bss系統信息安全方案應用進行研究，主要從業務支撐系統BSS的信息安全解決方案和系統安全方案的應用進行深入研究和探討。

1、引言

隨著市場環境的迅速變化和競爭的日益加劇，業務支撐系統BSS（Billing Supporting System）已成為各大電信運營企業競爭的焦點，從中國移動的BOSS到中國電信的CTG-BOSS，各電信運營商都在逐年加大對業務支撐系統BSS的投資。本文主要針對中國電信bss系統信息安全方案應用進行深入探索研究，主要從業務支撐系統BSS的信息安全解決方案和系統安全方案的應用兩個主要方面進行深入研究和探討。

2、中國電信bss系統信息安全解決方案

本文主要采取了數據請求RSA加密策略和敏感數據MD5加密策略兩種方法來保證系統的安全。

2.1 求RSA加密策略

中國電信bss系統運行在內網環境下，本中國電信bss系統采用RSA加密策略進行數據交互請求的加密和解密。

RSA加密由一對公鑰（PK）與私鑰（SK）組成。加密算法E和解密算法D也都是公開的。RSA算法中密鑰的長度越長，破解的難度也就越大。但是密鑰長度越長，加密所需的時間也隨之增加，對中國電信bss系統的性能有一定的影響。目前主要使用的密鑰長度為1024 bit。

但是，RSA非對稱加密內容長度有限制，1024位key的最多只能加密127位數據。而中國電信bss系統報文常常會超過此限制。因此，我們對報文進行分段處理，報文分段后依次加密，然后組裝成整體，服務端接收后對報文分段，再依次解密。解密后的報文重新組裝，轉發給總后臺，以此解決了RSA加密算法對加密內容長度的限制問題。

2.2 敏感數據MD5加密策略

MD5也就是消息摘要算法第五版，該算法的主要用來提供消息的完整性保護。用戶注冊和登錄前先在服務端生產隨機16位鹽值。取得鹽值后，用鹽值對用戶密碼進行加密。加密后的密文作為用戶密碼字段進行傳輸。后臺接受到報文后，根據鹽值對其進行解密。用戶在注冊用戶信息時，中國電信bss系統將密碼明文用戶賬號作為key經過MD5哈希算法獲取MD5值，并將加密的字符串存儲到數據庫來保證密碼的安全。用戶登錄時，對解密后的內容進行MD5運算。計算結果再與數據庫中的值進行比對，從而不會有用戶密碼的明文信息出現，保護了用戶的隱私。

3、中國電信bss系統信息安全方案應用

互聯網作為一個開放的環境，它的優點被大家所公認，但其安全性也成為用戶所擔心的問題。所以中國電信bss系統的設計與實現在建設過程中將安全工作作為一個重點進行考慮。中國電信bss系統首先從安全防護機制來考慮，通過對安全建設的各層進行防護，提高系統對入侵等的防護功能，保障數據的安全可靠；其次，中國電信bss系統應該建立安全審查機制，對云環境中的位置數據、運單數據等進行授權，實現對數據操作行為的追蹤，從而保證云數據流向的安全可靠。

3.1 安全性要求

中國電信bss系統的設計與實現為非涉密中國電信bss系統。依據《信息安全等級保護管理辦法》的安全等級劃分，中國電信bss系統應該能達到第三級的安全保護需求對應的技術指標。除此之外，中國電信bss系統的設計與實現滿足以下3方面的安全要求① 用戶在登錄業務中國電信bss系統時需要使用手機短信驗證碼，如手機丟失，可通過安全恢復功能，接觸特定終端或者號碼的權限授權。② 視頻會議錄像的查閱權限單獨設置。③ 在設計與實現中國電信bss系統時，應加入以下技術：（a）傳輸使用AES加密。（b）會議密碼。（c）會議安全等級。（d）分級授權。

3.2 物理層安全

物理層安全主要是針對中國電信bss系統中硬件設施以及設施之間的鏈路連接的安全建設。中國電信bss系統在物理層安全策略上從環境安全、設備安全以及網絡鏈路安全這三個方面入手進行建設。通過建立妥善的制度首先限制物理設施等的訪問權限，其次進行場地安全管理建設與監督，然后通過冗余的方式保障設備通訊的安全。

3.3 網絡安全

中國電信bss系統對于網絡安全的建設主要以防火墻為主，其他多種網絡安全防護手段相輔的策略。首先在網絡接入點部署防火墻，中國電信bss系統采用華為的USG5000防火墻，然后結合SSL、網絡專線、黑白名單等的方式保障網絡通信安全。將USG5000部署在網絡域中不同的地方，使其有不同的安全防護作用。

3.4 中國電信bss系統安全

中國電信bss系統安全主要是通過防病毒軟件進行入侵檢測，漏洞掃掐和評估、防病毒的安全措施，同時在數據庫服務器部分使用雙機熱備和共享磁盤陣列的方式，通過軟硬件雙重防備的安全措施來提高中國電信bss系統的安全性與可靠性。

在中國電信bss系統中，采用華為的IDS進行入侵檢測，OpenVAS進行漏洞掃描和評估，從中國電信bss系統整體進行安全防護。入侵檢測中國電信bss系統的主要功能是監測和控制非法入侵，而漏洞掃描中國電信bss系統是通過專業軟件檢查中國電信bss系統存在的容易被攻擊的漏洞，提醒人員修復漏洞，提前進行安全防護；網絡安全評估中國電信bss系統可以動態地評測中國電信bss系統風險，檢測網絡安全級別，從而為中國電信bss系統的安全運行提供保證；防病毒軟件可以加強對病毒文件的過濾，并且可以定期殺毒。

3.5 環境安全

環境安全主要包括中國電信bss系統的訪問控制以及數據安全。

（1）訪問控制。中國電信bss系統采用客戶端分類的方式，將客戶端分為不同使用者的訪問入口，從而控制用戶的訪問內容和權限。（2）數據安全。由于中國電信bss系統為數據庫和操作中國電信bss系統分別配置了不同的登錄入口，如果是同一個工作人員進行這兩個登錄操作，必將引入不安全因素，所以模仿保險箱鑰匙的分人管理的模式，建議對這兩個登錄入口分別配備不同的工作人員進行管理。

3.6 終端安全

監測中國電信bss系統的終端安全服務平臺是為保障用戶業務安全，實現緊急情況下的信息保護與風險防范的重要基礎設施。安全服務平臺整體架構包括兩個部分：車輛位置實時監測中國電信bss系統的終端安全服務平臺和安全客戶端。安全客戶端為中國電信bss系統的初始入口提供安全接口。安全接口主要是身份認證功能以及基于數字證書技術的簽名/驗簽。終端安全服務平臺是對從安全客戶端的安全接口傳送的用戶信息進行驗證。

（1）安全中間件。安全中間件基于PKI設計，面向業務應用提供加密/解密、數字證書解析、數字簽名、XML簽名等功能。

（2）業務中國電信bss系統安全套件。由證書應用服務端和客戶端組成業務中國電信bss系統應用安全套件。

（3）客戶端接口。不同的客戶端有專有的接口，專用的接口調用程序只調用用戶的接口，不關心用戶的使用情況；在應用服務器上，服務器端的接口通過對客戶端接口的辨別，接收并處理不同客戶端發送到的安全認證、數據加密/解密和簽名驗證等系列安全處理請求。

4、結論

隨著市場環境的迅速變化和競爭的日益加劇，業務支撐系統BSS已成為各大電信運營企業競爭的焦點。本文主要從電信行業角度分析，針對中國電信bss系統信息安全方案應用進行深入探索研究，主要從業務支撐系統BSS的信息安全解決方案和系統安全方案的應用兩個主要方面進行深入研究和探討。

參考文獻：

[1] 付明明. 面向電信系統的信息安全風險評估研究及應用[D]. 重慶理工大學， 2016.

[2] 謝科陽. 基于大數據的電信網絡信息安全管控平臺的建設研究[D]. 浙江工業大學， 2017.

[3] 李榮榮， 寇建濤， 董剛，等. 面向智慧園區的RFID系統信息安全認證方案[J]. 電信科學， 2016， 32（2）：164-169.

[4] 劉智瓊， 華竹軒， 黎莎菲. 面向BSS系統的權限管理模型研究[J]. 廣東通信技術， 2016， 36（11）：16-22.

作者簡介：

李翔（1984年2月21日），男 ， 漢， 福建省南平市，大學本科，工程師。