通信业用户信息安全事件分析与防护.docx

?

?

通信业用户信息安全事件分析与防护

?

?

摘要：通过分析通信业发生的几起典型用户信息安全事件，研究目前用户信息安全存在的威胁，归纳总结问题原因，并从用户信息保护、安全技术手段、敏感信息保护、安全管理体系等几个方面提出解决办法，为制定通信业用户信息安全体系提出建设性的意见和建议，对通信业而言，具有可实施性和一定的实用价值。

关键词：信息安全，用户信息，安全体系

1引言

近年来，我国的信息通信技术得到快速发展，不仅改变着人们的观念、生活方式和工作方式，也改变着企业的观念和经营方式。通信业务系统积累和掌握了大量的用户信息，主要包括客户信息、账号、资金、服务使用等信息，与此同时，通信服务提供商所拥有的用户信息被他人不正当利用甚至非法窃取的危险性也越来越高，且用户信息泄露事件屡次发生，账号被盗用、信息泄露、垃圾短信等用户信息安全问题引起了社会大众的关注，通信服务商如何确保用户信息的安全管理、不泄露，形成了对通信服务商的巨大挑战，这意味着对用户信息安全的研究被提上日程。

2用户信息安全事件

根据工业和信息化部公布的《电信和互联网用户个人信息保护规定》，用户个人信息指“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。

近期披露在媒体上的各种用户信息泄露事件层出不穷，而且至今还在不断的发展过程中。

2010年8月某运营商内部员工勾结私家侦探倒卖用户信息，运营商员工获刑。

2011年11月，某运营商的代理商利用掌握的用户信息进行商业广告短信群发获利被曝光。

2012年9月，部分通信服务提供商Wi-Fi的账号密码被盗用，导致部分用户费用增加，用户投诉增加，部分账号已在黑市上流通。

2012年12月，某运营商深陷“充值卡无效门”风波之中，安徽、广东、陕西、吉林等地的商户反映其在网上营业厅购买的电子充值卡出现失效问题，系登录账号密码被盗，盗号者通过获取充值卡账号和密码牟利。

2013年6月，中国电信网络安全中心发现，宽带家用无线宽带路由器中的DNS(域名解析服务)配置可能被黑客篡改，从而造成用户个人重要信息泄露。

2013年6月，美国情报部门前雇员斯诺登表示，美国国家安全局持续入侵中国多家主要电信运营商网络，获取手机短信信息。

以上事件暴露出的用户信息安全问题很可能只是冰山之一角，因为从信息利用的角度，非法取得大量用户信息的人，为获取不正当利益会进行各种非法活动。

这些非法行为严重侵害了用户的权益，常常具有如下特点：

·受损用户面广，用户不容易发现或损失金额小，易于逃避法律追究；

·通过隐蔽的方式进行攻击或非法操作，以逃避打击与追踪；

·通过网络进行交易，获利者隐于背后。

3用户信息安全面临的问题及需求

作为直接面向用户的通信服务提供商，不仅面临用户投诉及费用损失，最大的冲击应当是由于用户对通信服务商的信任危机，导致企业名誉受损、公信力降低、服务可用性破坏、系统控制权丧失。

3.1用户信息安全面临的问题

“前事不忘，后事之师”，从上述事件来看，用户信息安全可以归咎于安全管理与安全技术两方面的问题。

(1)管理方面

·高权限账号被滥用引起高危操作，导致内部操作人员违规获取、篡改相关信息；

·敏感信息缺乏模糊化处理，导致信息明文可见；

·业务系统存在业务操作缺陷，导致信息易获取；

·信息安全意识不高，采用弱密码或默认密码，导致被黑客破解利用。

(2)技术方面

·业务系统安全域缺乏规划，导致安全问题容易扩散；

·对信息非法访问缺乏审计监控，导致泄露源头无法溯源；

·业务系统存在安全漏洞，导致易被入侵网络内部；

·业务系统入侵检测能力不足，导致信息泄露难以及时发现。

3.2用户信息安全问题的原因

从上述通信服务提供商面临的安全管理与安全技术问题来看，可以归纳总结为个人信息保护意识不高、技术防护手段不足、敏感信息安全防护薄弱以及安全管理体系不完善4个方面原因，具体如下。

(1)个人信息保护意识不高

·通信用户安全意识薄弱，没有树立正确的防范意识，视信息安全为通信服务商的责任，如诸多通信服务采用了弱密码，缺乏有效的安全预防措施。

·信息安全常常从内部途径被泄露，作为通信服务商亦急需提高人员安全意识，加强内部宣传教育及制度管理，担负起维护信息安全的责任。

(2)技术防护手段不足

有些安全管控措施的落实，单凭制度约束是很难的，尤其是制度与其人员自身利益冲突，且违反制度的成本极低，或其不当行为不易被发现的情况下。缺乏有效、强制性的防护、监控、审计措施，不能保证用户信息安全的切实落地和执行。

(3)敏感信息安全防护薄弱

对敏感信息的产生、存储、使用、销毁等各个环节缺乏全生命周期管理，如