中国移动张滨:怎么构建客户信息安全保护体系

12月12日,全球首个探讨产业互联网的大型会议,2014 CVW﹒产业互联网大会在北京亦庄召开,并通过纽约时代广场大屏幕同步呈现。大会由亚信集团、云基地和亦庄经济技术开发区联合举办,汇聚超过5000名关注互联网和传统产业发展的全球IT和传统行业领袖和精英,探讨“互联网进入传统行业”、“传统行业互联网化”的演进以及产业互联网的技术模式和业务创新。

在下午的“网络安全@互联网”主题论坛上,中国移动通信信息安全管理与运营中心总经理张滨带来《打造金库模式,构建客户信息安全保护体系》主题演讲。

以下是他的演讲全文:

张滨:很高兴参加产业互联网大会,我第一感觉,当时李总给我们说参加互联网大会,我第一感觉就是说互联网都没有整好,怎么搞好产业互联网?这是第一反应。因为做安全有日子以后,发展业务的同时第一反应就是安全不安全?因为我们搞业务搞开发的同事,更多是从发展这个视角去看问题,基本都是正向思维,都是看好的方面。就跟我搞移动电话搞了这么多年,大家说移动电话带来多少便利?现在大家发现移动电话把活都弄来了,你到哪儿领导都可以找到你。任何事情都有正面也有反面,我今天非常高兴,能参加这种产业互联网大会安全的论坛。至少来讲在我们整个谈论这种产业互联网发展这个正向,好处的同时也考虑到它的坏处,或者考虑到它的风险,某种意义来讲也是一个进步,某种意义来讲也是大家观念的改变。所以说非常高兴有机会跟大家探讨一下安全的问题。

选的题目非常小,打造金库模式,构建客户信息安全保护体系,选的题目很小。但是说我就是想通过这么一个小题目,能跟大家探讨一下安全到底怎么做?怎么想?我的报告分几个方面,一个是总体形式,一个是客户信息保护面临的挑战,另外一个是基于金库模式客户信息的体系,做一个简单介绍。党的十八大已经明确提出健全信息安全的保障体系,同时国家这个层面已经成立了国家安全委和中央网信组,并且都是最高领导担任这个事情。从这个角度来讲,足以看到信息安全工作的重要性和重视程度,我们开会一般喜欢让领导讲话。不是领导讲话可以带来什么东西,是因为领导讲话代表领导的重视程度。按照中国人的行为模式,最高领导担当安全相关的,小组的职务,某种意义就是体现对于这个事情高度重视,重视的事儿就是最危险的事儿,就是风险最大的事儿。

所以这个就是说国家对于信息安全高度重视,移动互联网的迅速发展带来了诸多安全方面的挑战,因为大家都知道,不管是终端的智能化、网络IT化还是业务多元化,这几化在全流程,给大家带来了所有的工作和生活便利的同时,一样给大家带来了很多风险和烦恼,像终端智能化,原来是用傻终端,没有那么多骚扰电话和病毒。那么他智能化以后,一个小的手机终端成了一个小电脑,他在上面可以干很多事儿。可以用它进行支付,病毒和相关的人,可以通过他在你身上偷钱,一样的。那么网络IP化很简单,原来电信网是一个工具的花园。我们家的邻居是谁,邻居的邻居是谁,邻居他爸是谁,都是清清楚楚,明明白白的。IT化以后你不知道你们家是谁,你不知道你们家邻居他爸是谁,很多事情都不清楚。但是咱们的技术进步,包括我们的管理,要进行相关的一些改变的话,是需要有一个过程,这个过程对我们来讲是致命的。我们还在按照原来封闭模式管理我们体系的时候,世界已经变了。这样的话出现了所谓的电信欺诈,相关的一系列的事情。

业务多元化也带来一些问题,原来很简单,就是话音、短信。但是随着传输速度的不断提升,视频、音乐、阅读各个方面,业务形态越来越丰富,越来越快。这个中间很可能出现的问题越来越多。前一段时间网上曝出来,通过黑客像类似智能交通的系统,远程控制探头,你们家你们小区的所有情况,可能都可以在互联网上通过探头可以看到。移动互联网给人们的发展带来正面效益的同时,也带来很多风险。那么也就是说这些也就是现在面临的相关挑战。在大挑战的同时,客户信息安全保护同样面临着相关挑战。随着大数据时代的来临,各类信息数据已经成为各种不同的利益群体争夺和挖掘的,一个宝贵的资产。客户信息的泄露已经成为信息安全里面的重要区域,这里说了几个案例。一个是说美国信用卡信息的被盗,甲骨文80万客户资料被盗,我们一个著名的电商员工非法兜售客户信息。像快递公司这些信息被盗非常恐怖,你在网上可以用假用或者用N多,因为它跟你的实际生活不发生联系。

快递公司,永远不会用假名字让人给你送快递,所以他的真实性对你造成的伤害应该是直接的,实实在在的损害。我说的是损害不是风险,所以说国内、国际客户信息泄露的事件频发。国家对于信息安全保护提出更高的要求,全国人大关于加强网络信息保护的决定,已经提出了规定。同时工信部为个人信息保护提出了相关的管理规定。那么客户信息保护它的难点在哪儿?实际比较简单。两个难点,一个难点系统太多,客户敏感信息分布的太广,除了正常网络,在我们的业务体系,我们的敏感信息无所不在。比如业务平台上,我们的订购关系,客户的位置,那么我们的行业应用里面也有我们的相关资料,我们自有应用里面,有好友列表、消费记录,我们有上网记录、短信彩信发送记录,在我们通信网络,不管在电信还是IMS领域,都是存在着大量数据。

接受我们信息的人员非常多,有给你提供一线的业务人员,有后台做支撑处理的支撑人员,还有第三家做维护的人员,所有这些都要做相关工作。那么这些人的工作就是一个很大的问题,所以大部分人是好人,少部分是坏人。但是只要中间有一个坏人做系统,任何小的问题乘以13亿都是大问题。任何一个小概率的坏人,乘以N多点都是一个大问题。所以不管系统管理还是人员上,都是一个大的问题。我们要谈的监控模式的问题,中国移动一直高度重视网络信息安全工作,我们也是秉承习总书记,没有网络安全就没有国家安全,我们按照规范有体系、支撑有手段、保障有团队,整体的工作和逻辑推进这个事情。为什么刚才说客户信息保护,只是安全问题的一个面。我经常喜欢讲一句话,安全问题是鬼来了。你不知道鬼在哪儿?你必须做体系相关的事情,你必须有一套体系。这套体系对你来讲非常重要,这就是我们的中国移动规划出来的信息安全,包括我们的管理和执行,依托这个大框架我们针对各种出现的情况,以不变应万变做好相关工作。

那么回到金库模式,金库模式实际用银行这个概念。你进入金库很简单,两个人开锁,一个人开锁,两个人同时在场才能进入。我们把金库模式称之为双人操作或者多人操作模式,主要指涉及到公司重大利益的关键操作,必须强制要求有两个,或者有相应权利的人控制这个操作,通过互相监督确保安全,那么就像我们的业务这个模式,营业员做这个操作,如果是高风险的操作,他必须得到他的主管授权。授权以后两把锁同时开,才能把客户资料进行整理。如果你批量找数据,类似这样的敏感操作可能需要做相关工作,我们监控模式整体的思路大概是说,从事前事中事后操作,形成全流程的操作。在事前做到开发和上线要合理,很简单。开发人员肯定是说,怎么简单怎么来?你像安全代码这个事儿要花费开发人员大量精力。但是这种工具一旦上线以后,没有人对它的安全代码进行审计,去管这个事儿,你这里面很可能上线的软件存在安全隐患,只有把开发和上线分离。上线的人就是说我用你的东西,主要考虑上线安全性,他必须对开发人员形成一个制约。

事中操作和授权合理,事后维护合理,不能说维护的人怎么办都可以,你后面缺乏机制,这样会带来风险,所以这是总体的形势。我们金库模式关键的原则是聚焦,一个是聚焦在关键系统的关键操作,聚焦高价值企业,不是所有的东西都搞金库模式,都搞金库模式活没有办法干了。再一个就是关键操作,再一个原则就是操作不授权,授权不操作,管控对象主要是高价值的信息,主要是前台人员和后台的维护人员进行管控。金库模式第一个就是集中化的模式,基于4A进行金库模式的改造。通过4A系统的对应,对帐号进行集中管理,日志进行集中审计。因为事情的发展,操作要有一个过程。在关键操作里面,在现有的系统里面,如果4A不能覆盖到,前期进行一些改造,前期通过这种模式把授权加进去。

第二个就是对前台、后台进行感觉,对于后台维护帐户严格授权,当敏感帐号登陆要触发金库授权,前台人员在前台办理业务的时候,访问敏感信息的时候,触发金库授权,授权经过以后才能开展相关工作。远程授权,可以通过短信、审批单子。另外一个就是多种手段进行手段互补,形成保护机制。我们可以利用敏感信息,比如说信息的模糊化,不该看到信息的不看到信息,别让这个信息对所有人有诱惑力。另外一个对于DLP系统,对于一些日常行为进行相关的管控,这样形成整体的一套体系。通过金库模式的实施,可以把这个难题进行解决,主要解决人员的难题,另外一个操作难题。高风险操作缺乏审批和监控,我们这个东西已经提交,形成CCSA的管理行标,在今年应该可以正式ISO联合发布的国际标准。为什么刚才说选择一个金库模式,作为一个小课题,小的话题来说个事儿。我重复一下刚才的话,安全这个问题永远跟鬼在打架,你不知道它的安全风险在哪里?它引发了这些风险在哪儿?坦率的讲大家都不知道,大家都是在猜。那么这种风险怎么应对?就像中国人把板蓝根看成万能的神药一样。但是对于我们来讲,做安全工作来讲一个是有安全意识,第二个来讲要有一套安全的方法论或者是工作规范,只有在工作规范或者工作模式建立了以后,那么才能够以不变应万变。任何损伤任何安全风险都有它的规律和特征,比如发现安全风险,业务安全的地方很简单,别人在这儿可以拿到钱,人可以获得利。你通过这个东西,黑客可以拿到钱,他能拿到的东西,他肯定会在这里出问题。早年移动手机为什么没有出现这种问题?早年的傻瓜机干不了什么事,也不会做移动支付,带来不了利益,所以黑客不在上面玩。现在有了智能手机,这方面可以给你带来很多便利,但是黑客也可以在这个上面干很多事儿。如果我们有一套方法论,有一批人始终想客户所想,急客户所急做这个事情,这样我们才能做客户利益的保护者,把我们的工作做到极致。我选的是一个小模式,但是它体现我们做任何事情的方法和态度,中国移动愿意积极和业界携手,联合创新,合作共赢把客户信息保护和信息安全工作贯穿整个工作的全流程,在移动互联网时代,在行业互联网时代为客户信息安全保驾护航。谢谢大家!