運營商大數據信息安全風險評估指標體系研究

摘要：運營商大數據面臨著越來越嚴峻的安全威脅，有必要進行信息安全風險分析，認清大數據的利弊并充分利用其優勢。本文用定性研究的方法對運營商大數據信息安全風險問題進行分析，提出一種運營商大數據信息安全風險評估的指標體系。

關鍵詞：大數據；信息安全；指標體系

大數據給通信行業帶來新的發展機遇，同時，因數據的集中管理、數據對外開放、設備虛擬化等新技術特點和業務新形態應用，也給業務發展帶來新的安全問題，一旦發生安全事件則對企業聲譽、公司利益、用戶隱私產生重大影響。因此，對大數據面臨的安全威脅和風險進行分析，有助于認清大數據的利弊，充分利用其優勢，進一步采取適當安全措施避免損失。

1.信息安全風險來源

運營商在發展大數據業務，提供大數據服務的同時，也面臨著大數據帶來的諸多安全隱患問題，如隱私泄漏，大數據開源組件漏洞、數據可用性和完整性破壞等，大數據安全已成為大數據應用成敗的關鍵，其關鍵安全風險來源于數據集中管理、基礎設施虛擬化、平臺組件開源、敏感數據共享以及數據對外開放。

2.信息安全主要風險

2.1業務應用安全風險

業務應用系統自身可能會存在漏洞或業務邏輯權限處理不當情況，導致非授權用戶越權訪問或獲取數據操作權限；在提供自有應用時有可能出現不良信息的安全隱患。

2.2應用支撐安全風險

應用支撐層可能存在對上層應用認證及權限管理不當，引發非法用戶非授權訪問；對數據導出行為不予控制，引發數據泄漏；缺乏對敏感數據識別及發現機制，使得上層應用有可能獲取用戶敏感數據。

2.3數據存儲安全風險

敏感數據存儲在公共訪問區域、采取明文存儲或弱加密算法、脫敏措施不到位、容災備份管理不完善等均易造成數據泄漏或丟失損壞。

2.4 接口傳輸安全風險

通過不安全的通道進行數據傳輸時，可能出現中間人攻擊導致數據被惡意截獲的安全隱患；數據傳輸時未加密或密鑰管理機制不完善等，造成數據泄漏；平臺內部各組件接口之間的不兼容等問題。

2.5基礎設施安全風險

服務器、路由器等設備面臨著物理損壞、電力供應中斷、電磁干擾等問題，設備存放的物理環境面臨著防水、防電、防雷擊等問題，平臺網絡面臨著DDOS攻擊等問題。

2.6平臺運維安全風險

開發或代維人員往往擁有管理員權限，存在個別開發或運維人員從后臺直接導出高價值敏感數據的風險；在運維過程中關鍵操作，缺少多人授權管控機制，容易引發數據泄漏；第三方廠商開發人員可能內置軟件后門，非法竊取敏感信息。

2.7對外合作安全風險

合作營業廳、第三方服務渠道等在用戶辦理業務時留存或通過CRM系統等查詢積累用戶敏感信息；第三方利用敏感數據加密或脫敏不當的安全漏洞，通過逆向窮舉攻擊，關聯其他數據，推算演繹等手段還原原始敏感數據；缺乏數據追蹤溯源手段，一旦出現安全事件，無法及時定位數據的責任方以及泄漏點。

3.評價指標體系構建

3.1 指標體系構建原則

運營商大數據信息安全風險評估是一項復雜的系統工程，它具有連續性、持續性、動態性和調整性的特點。根據以上特點，必須貫徹三點指導思想：一是努力實現評價指標的全面和完整；二是堅持多維度評估運營商大數據信息安全的風險；三是重點考慮評價指標體系的普適性。

3.2評價指標選取方法

在大數據信息安全風險評估中，選取合適的評價指標至關重要。綜合評價的結果準確與否直接受被評價指標的選取合適與否所影響。通過大量查閱有關參考文獻，識別運營商大數據信息安全風險中的主要問題；在此基礎上，深入分析指標體系，合并同類指標、去除重復和不重要的指標。然后進一步調整指標，使指標體系更加科學、合理，從而建立一套相對完整的運營商大數據信息安全風險評估指標體系。

3.3指標體系構建

按照上述的指標體系的構建原則和評價指標的選取方法，建立信息安全風險評估指標體系，包括2個一級指標、7個二級指標和21個三級指標。

一級指標“應用安全風險”以應用實現功能、使用情況為基本出發點，緊扣運營商大數據業務的對外合作安全風險、業務應用安全風險和應用支撐安全風險。其中二級指標“對外合作安全風險”包括“合作方留存積累敏感數據”“脫敏數據逆向還原破解”“缺乏數據追蹤溯源手段”3個三級指標；“業務應用安全風險”包括“系統存在安全漏洞”“系統存在不良信息”2個三級指標；“應用支撐安全風險”包括“認證及權限管理不當”“未控制數據導出行為”“缺乏對敏感數據識別”3個三級指標。

一級指標“平臺安全風險”聚焦承載大數據業務的系統平臺，包括數據存儲安全風險、接口傳輸安全風險、基礎設施安全風險以及平臺運維安全風險。其中二級指標“數據存儲安全風險”包括“不同安全級別數據混合存儲”“數據未加密或脫敏存儲”“容災備份方案不完善”3個三級指標；二級指標“接口傳輸安全風險”包括“數據被惡意截獲”“數據未加密傳輸”“各組件接口不兼容”3個三級指標；二級指標“基礎設施安全風險”包括“機房環境威脅”“平臺設備故障”“平臺網絡遭受DDOS等攻擊”“平臺網絡未做安全域隔離”4個三級指標；二級指標“平臺運維安全風險”包括“第三方廠商留置后門”“第三方廠商權限缺乏管控”“操作缺乏授權管控機制”3個三級指標。

總結

本文針對現有運營商大數據信息安全面臨的安全風險問題，用定性研究的方法對風險問題進行分析，大量收集關于運營商大數據風險評估的指標和相關內容，得到風險評估的三級指標體系，為運營商大數據提供一個綜合性的信息安全風險評估指標體系。

參考文獻：

[1]陳文捷，蔡立志.大數據安全及其評估[J].計算機應用與軟件，2016，33（4）：34-38.

[2]佟鑫，任望，馮運波.大數據平臺安全風險分析與評估方法[J].保密科學技術，2018（02）：6-14.

作者簡介：

鄭毓武（1988.10- ），男，漢族，廣東汕頭，本科，從事網絡安全管理工作。