一. 概述

中國工業和信息化部今年發布數據稱，截至2013年1月底，中國電話用戶數達到14.0032億戶，其中手機用戶11.2億戶，固定電話用戶2.8億戶，二者之和已經超過了中國大陸的人口數。

隨著手機用戶量的增加，運營商行業的客戶數據量也隨之增長。個人用戶對于數據泄露問題的意識也逐漸增強。比如大家所熟知的 3 月 15 日消費者權益日的“3.15”事件，據新聞媒體披露，某地運營商以短信形式泄露了客戶的敏感信息。另外還有第三方代維人員私自下載VIP用戶數據進行倒賣獲利。

315晚會后，運營商積極配合公安機關調查涉事單位，并且要求所有分公司自查并制定信息安全保護的法規。某運營商下屬分公司技術專家表示，“上到我們母公司，下到我們的管理人員和開式員工，我們都會非常認真地對待這一問題，我們已經斥巨資進行數據泄露防護。”

二. DLP項目的驅動力

規避自身法律風險是運營商行業推進DLP項目最主要的驅動力。

另外，隨著一些APT攻擊持續被曝光，如何防范APT攻擊也是運營商的一項長期任務。從運營商行業泄密的案例來看，APT攻擊的對象一般是商密信息、客戶資料、VIP信息、通話、短信記錄等較容易被竊取，涉及的人員主要是第三方代維人員和有權限獲取敏感信息的內部員工。因此建立運營商行業在APT攻擊下的數據防泄漏體系方案是緊急且重要的任務。

三. 用戶所面臨的問題

用戶雖然已有安全管理平臺實現對業務操作賬號管理、登陸認證、操作授權、操作內容進行審計和管理，但是敏感信息一旦從安全管控平臺流出后，即無法實現對敏感信息進行有效的安全管控。

3.1 涉及到的敏感信息

1. 內部系統的敏感信息主要集中在客戶的話單文件、位置信息、VIP客戶的詳細信息等;

2. 可通過內部系統的數據庫獲取到相關信息;

3. 各類含用戶信息、系統信息、帳號口令信息的日志、配置等的導出文件(以excel文件為主)。

3.2 哪些人擁有敏感信息?

1. 訪問OA網絡網管部門員工;

2. 系統操作維護人員：

a) 主要是各內部系統的建設廠商員工;

b) 對內部系統架構非常熟悉，對內部系統的操作權限甚至比管理者高;

c) 維護人員清楚系統操作的死角，有能力避開管理人員的監控獲取敏感信息或操作。

3. 現場開發人員;

4. 報表系統前端。

四. 數據防泄密需求

4.1 數據泄露風險點

1. 維護人員直接操作服務器：現場維護人員直接進入機房，對服務器進行訪問與操作，并將數據導出后通過U盤帶走;

2. 維護人員通過通過內部系統導出數據：維護人員接入內部系統后，通過客戶端管理工具訪問數據庫后，將數據導出到維護終端，并通過U盤、FTP、WEB上傳、郵件、QQ等方式將數據帶走;

3. OA人員有意或無意泄露數據：移動內部辦公人員從運維人員處獲取數據后，通過U盤、FTP、WEB上傳、郵件、QQ等方式將數據帶走;

4. 報表系統前臺查詢人員：通過報表系統訪問后端數據庫，并導出查詢數據帶走;

5. 維護人員/系統開發人員通過前端服務器訪問后端數據：維護人員通過前端服務器(如WEB、中間件等服務器)連接數據庫服務器，將導出的數據存儲在前端服務器上，然后通過U盤、網絡等方式將數據帶走。系統開發人員對系統非常了解與熟悉，可能會不通過前臺直接連接后臺服務器，并導出數據帶走。

4.2 加密需求

1. 信息加解密必須是強制的;

2. 不改變用戶的使用習慣;

3. 文件的解密工作可由用戶提出，并按照內部的工作習慣進行流程審批;

4. 轉換授權后的文檔具有使用時限、瀏覽次數等控制;

5. 在特殊情況下，計算機能夠脫離網絡環境使用，同時保證信息安全性;

6. 計算機離線能夠由用戶提出申請，按照內部的工作習慣進行流程審批;

4.3 審計需求

1. 能夠對所有人員通過U盤、郵件、QQ、FTP、WEB上傳、WEBMAIL等方式向外部傳遞敏感信息做記錄與報警;

2. 支持對文件打印、刻錄等行為進行監控;

3. 支持Office、純文本、PDF、html、xml等格式文件;

4. 審計記錄信息需足夠詳細可信，誤報率低，只記錄所定義的敏感文件的操作信息;

5. 支持客戶端軟件利用空閑時間掃描;

6. 終端離開網絡后進行的文件操作記錄，在連回網絡后，可將斷網期間的文件導入導出行為記錄傳回審計服務器，即終端離開網絡也不會影響操作的審計;

五. 解決方案

在4A網絡(以下以4A平臺為例，不同客戶可能會有不同的系統)中天榕數據加密與審計服務器部署在4A平臺的核心交換區，通過4A平臺的網絡系統同其它各個系統進行連接。系統連接圖如下：

圖示1-系統連接圖

兩臺服務器分別安裝天榕數據加密模塊和天榕數據審計模塊，天榕數據加密服務器負責天榕數據加密模塊的策略的制定、數據庫、報告呈現等主控功能。

天榕數據審計模塊服務器負責天榕數據審計模塊的策略的制定、數據庫、報告呈現等主控功能，天榕數據加密與審計終端

天榕數據加密與審計終端主要實現對終端的加密、審計管控工作，需要在每臺終端上安裝部署。

天榕數據加密與審計終端納入4A的管理，其前臺和后臺都通過4A統一進行管理和登陸。

針對網管系統特殊情況，在OA網絡中部署一臺數據審計服務器，對所有網管系統的OA 終端進行敏感信息管控。