運營商用戶信息檢測與安全分析研究

于文良 馬田良 黃 鵬 邱 杰

1(中國電信集團有限責(zé)任公司 北京 100029)2(北京易華錄信息技術(shù)股份有限公司 北京 100043)3(中電信數(shù)智科技有限公司 北京 100035) (yuwl@chinatelecom.cn)

運營商用戶信息是指用戶身份、用戶細分、用戶需求、用戶聯(lián)系方式、用戶服務(wù)內(nèi)容等基本資料，如用戶身份和標(biāo)識信息、用戶網(wǎng)絡(luò)身份鑒權(quán)信息、服務(wù)內(nèi)容和資料數(shù)據(jù)、用戶服務(wù)使用數(shù)據(jù)、設(shè)備信息等.運營商用戶信息是運營商核心的無形資產(chǎn)和企業(yè)的重要生產(chǎn)要素[1].這類信息如果被違規(guī)存儲、使用、泄露，會導(dǎo)致企業(yè)信譽品牌受到重創(chuàng)[2]，還可能會給用戶信息的所有者帶來重大的損失.電信詐騙就是最典型的事件，運營商用戶信息是電信詐騙活動所需的關(guān)鍵要素[3].當(dāng)前網(wǎng)絡(luò)應(yīng)用非常普及，網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息非常容易被獲取，各國對用戶信息安全保護也非常重視.放眼國際，歐盟將個人信息作為公民基本人權(quán)加以嚴格保護[4].Michelfelder[5]提出了個人隱私信息的保護主要運用到企業(yè)自律、技術(shù)手段、法律支撐3種方式.在國內(nèi)，中國運營商的移動通信網(wǎng)絡(luò)成為用戶信息安全的關(guān)鍵出入口[6].我國也出臺了相關(guān)的法律，來保護個人信息不被違法濫用.但是，因各方面的原因，網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息安全按照相關(guān)政策和要求落地實施存在一定困難.因此，需要對重要網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息數(shù)據(jù)進行安全檢查，以發(fā)現(xiàn)其中存在的潛在用戶信息數(shù)據(jù)泄露風(fēng)險，提前對風(fēng)險進行預(yù)警和處置.

用戶信息數(shù)據(jù)是系統(tǒng)關(guān)鍵數(shù)據(jù)之一.隨著技術(shù)的發(fā)展和新的應(yīng)用場景出現(xiàn)，對用戶信息數(shù)據(jù)安全進行檢測越來越重要.預(yù)防運營商用戶信息泄露在一定程度上可以預(yù)防網(wǎng)絡(luò)電信詐騙.

1 運營商用戶信息檢測內(nèi)容

根據(jù)《中華人民共和國個人信息保護法》《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》和工信部《2021年基礎(chǔ)電信企業(yè)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》等相關(guān)要求，對運營商核心系統(tǒng)中的用戶信息進行安全檢測，檢測其是否存在用戶信息不合規(guī)情況或安全風(fēng)險.

運營商用戶信息的檢測包括全生命周期安全評估和技術(shù)檢測2個方面，以保證檢測結(jié)果的全面性和準(zhǔn)確性.全生命周期安全評估包括：數(shù)據(jù)采集、數(shù)據(jù)識別、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)開放共享、數(shù)據(jù)銷毀等；技術(shù)檢測包括：數(shù)據(jù)泄露防護、操作審計、接口安全管理等檢測項.

2 運營商用戶信息檢測方法和工具

對運營商用戶信息進行安全檢測，現(xiàn)有的方法是生成多個用戶信息最優(yōu)特征子集，再進行學(xué)習(xí)和檢測，忽略了用戶信息的權(quán)重，導(dǎo)致檢測結(jié)果偏差大[7]，也有基于脆弱性網(wǎng)絡(luò)的用戶信息安全檢測[8]和基于用戶行為日志的采集和分析的安全檢測技術(shù)[9].本文分析了當(dāng)前已有用戶信息的安全檢測方法的優(yōu)缺點，采用了動靜結(jié)合檢測的方法，即對檢測目標(biāo)中的用戶信息根據(jù)其環(huán)境進行分類：動態(tài)環(huán)境中的用戶信息采用動態(tài)檢測法，靜態(tài)環(huán)境中的用戶信息采用靜態(tài)檢測法，而對于很分散的終端上的用戶信息，則采用agent或代理模式的終端檢測法.

2.1 用戶信息動態(tài)檢測法

用戶信息動態(tài)檢測法主要流程如下：1)收集系統(tǒng)相關(guān)信息，以確定檢測目標(biāo)對象；2)對業(yè)務(wù)行為數(shù)據(jù)進行分析，創(chuàng)建正常業(yè)務(wù)行為模型；3)使用離群挖掘方法計算各行為離群度，對歷史安全事件行為信息進行數(shù)據(jù)訓(xùn)練.用戶信息安全動態(tài)檢測，根據(jù)文件、應(yīng)用及數(shù)據(jù)庫表的操作日志和訪問日志，以及SQL語句的解析、API的調(diào)用等構(gòu)建分析主體、設(shè)備、應(yīng)用和數(shù)據(jù)庫表的行為關(guān)系圖譜，明確數(shù)據(jù)資產(chǎn)分布、數(shù)據(jù)流動情況，作為動態(tài)分析.

信息安全行業(yè)常用的動態(tài)采集方式有以下幾類：1)snmp trap方式.利用簡單網(wǎng)絡(luò)管理協(xié)議對網(wǎng)絡(luò)進行管理和信息采集，snmp trap是將snmp mib作為基礎(chǔ)對設(shè)備信息進行收集，如果設(shè)備參數(shù)或者狀態(tài)出現(xiàn)變化，會自動更新相關(guān)信息和數(shù)據(jù).2)日志采集方式.日志服務(wù)器中配置安全設(shè)備日志管理，對日志數(shù)據(jù)進行接收，并將日志數(shù)據(jù)寫入數(shù)據(jù)庫.3)鏡像流量方式.是指復(fù)制交換機等網(wǎng)絡(luò)設(shè)備端口流量到另外端口，通過文件還原的方式解析出需要的信息，如SQL語句的執(zhí)行情況、API接口的調(diào)用等.4)使用蜜罐、APT沙箱等檢測工具，對傳輸過程中的app，exe等可執(zhí)行文件進行沙箱模擬運行，形成安全性報告.

綜合上述動態(tài)檢測工具和方法，在日志和流量方式的基礎(chǔ)上，增加用戶實體行為分析(user entity behavior analytics, UEBA)的數(shù)據(jù)建模能力，來分析和檢測運營商網(wǎng)絡(luò)中用戶信息的安全.其處理過程如下：1)從文件、日志、數(shù)據(jù)庫等采集用戶數(shù)據(jù)；2)對數(shù)據(jù)處理緩存和格式化處理，將處理后數(shù)據(jù)存儲到數(shù)據(jù)庫；3)通過規(guī)則引擎、用戶屬性、基線數(shù)據(jù)庫等，進行關(guān)聯(lián)分析和風(fēng)險分析；4)分析的結(jié)果存儲到數(shù)據(jù)庫.UEBA模型邏輯處理如圖1所示：

圖1 UEBA模型邏輯處理

UEBA對系統(tǒng)日志、設(shè)備日志、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志等進行規(guī)范化預(yù)處理，并提供存儲、檢測、分析、檢索功能.支持對日志、網(wǎng)絡(luò)層元數(shù)據(jù)、應(yīng)用層元數(shù)據(jù)等結(jié)構(gòu)化數(shù)據(jù)的分布式存儲.對結(jié)構(gòu)/半結(jié)構(gòu)/非結(jié)構(gòu)化數(shù)據(jù)進行索引，并對所收集到的日志數(shù)據(jù)進行索引.

UEBA區(qū)別于傳統(tǒng)的規(guī)則和特征分析技術(shù)，更加注重于行為異常的分析，目前主要使用2種行為挖掘引擎：

1) 多維度行為基線引擎.

該引擎通過提供罕見值模型、時間序列模型以及聚類等無監(jiān)督學(xué)習(xí)模型，分析用戶行為來判斷運營商用戶信息的風(fēng)險情況.

2) 用戶及實體的行為會話重組引擎.

該引擎為行為序列模型提供行為特征的分析計算，以部門、個人、資產(chǎn)等為單位，建立多維度動態(tài)行為基線，關(guān)聯(lián)用戶與資產(chǎn)的行為，用機器學(xué)習(xí)算法(基于數(shù)量、關(guān)聯(lián)關(guān)系、行為序列，上百個模型)和預(yù)定義規(guī)則找出嚴重偏離基線的異常行為，判斷用戶信息是否存在異常風(fēng)險.

2.2 用戶信息靜態(tài)檢測法

用戶信息靜態(tài)檢測法主要是對系統(tǒng)中的數(shù)據(jù)庫數(shù)據(jù)、文件數(shù)據(jù)、大數(shù)據(jù)平臺中存儲的數(shù)據(jù)進行分析和檢測.其檢測過程如下：1)用戶信息資產(chǎn)自動發(fā)現(xiàn).采用網(wǎng)絡(luò)嗅探、端口掃描等技術(shù)，實現(xiàn)指定IP和端口范圍內(nèi)存活的數(shù)據(jù)庫及ftp/sftp資產(chǎn)中用戶信息的自動發(fā)現(xiàn).2)基于用戶敏感信息特征、識別策略及識別模型，使用爬蟲等技術(shù)掃描文件系統(tǒng)，用數(shù)據(jù)庫掃描工具進行用戶敏感信息識別定位，形成敏感用戶信息識別策略集.

根據(jù)建立的敏感信息策略集，通過白盒測試方法，對系統(tǒng)中的文件、數(shù)據(jù)庫中數(shù)據(jù)、大數(shù)據(jù)平臺中存儲的數(shù)據(jù)進行靜態(tài)掃描，發(fā)現(xiàn)敏感的用戶信息是否進行了保密性處理等.

2.3 終端信息檢測法

對于非存儲型終端采用agent與代理的方式進行數(shù)據(jù)采集.目前agent主要分為用戶態(tài)和內(nèi)核態(tài)，代理方式主要采用透明代理.

agent用戶態(tài)：主要用于掃描當(dāng)前終端中存儲的數(shù)據(jù)是否涉敏.

agent內(nèi)核態(tài)：主要用于解決https等加密流量的動態(tài)收集.

透明代理：由于agent的內(nèi)核態(tài)會消耗相當(dāng)一部分的硬件性能以及設(shè)備的帶寬，因此更普遍的方式為采用代理的方式進行https等加密流量的動態(tài)收集.

目前針對于終端加密流量(SSL流量)的分析處理，主要采用SSL卸載的方法來實現(xiàn).

3 通過檢測工具檢測用戶信息合規(guī)性

為確保用戶信息安全管理符合要求，根據(jù)主管部門相關(guān)工作考核要點與評分標(biāo)準(zhǔn)，從數(shù)據(jù)識別能力、數(shù)據(jù)脫敏能力、接口安全管控能力、數(shù)據(jù)防泄露能力及數(shù)據(jù)庫審計能力等方面進行評估檢測.

對網(wǎng)絡(luò)或應(yīng)用系統(tǒng)中的用戶信息安全檢測主要包括管理面的檢查和技術(shù)面檢測.管理面的檢測主要以訪談、資料審查的方式進行，技術(shù)面檢查主要通過檢測工具進行檢測.

1) 用戶信息識別配置.對工具按檢測的流程進行配置，包括用戶信息資產(chǎn)的發(fā)現(xiàn)和識別、敏感信息策略配置等，如圖2所示：

圖2 用戶信息資產(chǎn)識別

通過工具掃描探測功能，發(fā)現(xiàn)被檢網(wǎng)絡(luò)中可承載用戶信息的IT資產(chǎn)信息.對于已知的資產(chǎn)信息，直接通過模板導(dǎo)入到系統(tǒng)，再根據(jù)系統(tǒng)賬號，對關(guān)鍵資產(chǎn)按檢查項進行配置，如數(shù)據(jù)庫、文件系統(tǒng)等.

2) 策略配置.根據(jù)確定的敏感信息，選擇敏感信息策略.在配置策略時，如果敏感字段信息不包含在工具中，通過自定義策略進行添加.敏感用戶信息識別策略如圖3所示.

3) 檢測掃描.對選定的資產(chǎn)目標(biāo)按策略進行掃描檢測.在檢測過程中，工具不能直接判定的檢測內(nèi)容，輔以人工檢測方式.最后得到安全檢測的結(jié)果，如表1和表2所示.

表1是檢測中發(fā)現(xiàn)存在的風(fēng)險項，在本次檢測中，主要問題是存在的敏感信息未脫敏的情況.因為被測系統(tǒng)是僅限公司內(nèi)部有限人員訪問，所以風(fēng)險等級評估結(jié)果是“低”.如果這類系統(tǒng)面向互聯(lián)網(wǎng)或外部人員開發(fā)，風(fēng)險等級評估結(jié)果就會是“高”.

表1 存在的風(fēng)險項

表2中列出了技術(shù)安全檢查項和檢測結(jié)果.在本次實踐檢測中，數(shù)據(jù)脫敏不完全通過.

通過圖4可以看出，用戶信息在傳輸、展示和流轉(zhuǎn)過程中，被檢測系統(tǒng)存在對敏感數(shù)據(jù)脫敏處理不完全的問題.

圖3 敏感用戶信息識別策略

表2 技術(shù)安全檢查結(jié)果

圖4 用戶信息脫敏

4 安全分析

運營商用戶信息的安全檢查非常復(fù)雜，其安全檢查項也非常多，很難在短時間內(nèi)完成全覆蓋檢測，需要根據(jù)實際的檢測場景，有針對性地對關(guān)鍵環(huán)節(jié)、關(guān)鍵點進行檢測.單一的人工檢測無法發(fā)現(xiàn)隱藏的風(fēng)險，完全依靠檢測工具容易存在漏判和誤判，需要檢測工具加人工輔助才能盡可能保證檢測的效果.結(jié)合用戶信息檢測實踐，運營商用戶信息的安全問題主要集中在3個方面.這也是在運營商用戶信息安全工作中需要重點關(guān)注的風(fēng)險點.

1) 賬號、權(quán)限、API等是用戶信息保護的薄弱點.

用戶憑證泄露是導(dǎo)致用戶信息泄露的主要因素.賬號作為主體訪問客體的重要憑證，在通過安全驗證后可以直接訪問數(shù)據(jù)庫、數(shù)據(jù)倉庫等載體的數(shù)據(jù)資源，保障賬號安全是用戶信息安全工作的重要內(nèi)容之一.應(yīng)用系統(tǒng)在不斷增加，系統(tǒng)間的數(shù)據(jù)交互越來越普遍，但對系統(tǒng)API的調(diào)用沒有給予最小化的訪問權(quán)限.同時，高頻數(shù)據(jù)訪問賬號的共享及弱口令設(shè)置等問題也特別突出.這一系列問題會導(dǎo)致用戶信息保護的風(fēng)險點進一步增加.

2) API防護缺失，成為用戶信息泄露最大的風(fēng)險.

API作為系統(tǒng)數(shù)據(jù)連接方式，其安全風(fēng)險重視程度有待提高.API格式的多樣性、復(fù)雜性增大安全挑戰(zhàn).隨著業(yè)務(wù)場景的動態(tài)發(fā)展，API的協(xié)議和格式也發(fā)生快速變化，API在廣泛應(yīng)用的同時，也引入了大量數(shù)據(jù)安全挑戰(zhàn).

3) 用戶信息安全狀態(tài)持續(xù)保障是落地難點.

用戶信息資產(chǎn)梳理不全面導(dǎo)致安全保障不徹底.隨著數(shù)據(jù)處理技術(shù)的不斷成熟，數(shù)據(jù)量呈PB級增長，業(yè)務(wù)的持續(xù)擴大與數(shù)據(jù)應(yīng)用的不斷裂變，海量、多元和非結(jié)構(gòu)化成為數(shù)據(jù)發(fā)展新常態(tài).企業(yè)通常在數(shù)據(jù)治理階段并未全面考慮相關(guān)的安全特性，數(shù)據(jù)本身又因為特征多、分布散，關(guān)聯(lián)關(guān)系復(fù)雜等特性，造成大量低質(zhì)量、關(guān)系模糊的數(shù)據(jù)存儲在分散的數(shù)據(jù)載體中.這給企業(yè)用戶信息資產(chǎn)梳理造成了困難，而建立在用戶信息資產(chǎn)梳理基礎(chǔ)之上的持續(xù)安全保障更是難以實施.

5 結(jié) 論

用戶信息融入在網(wǎng)絡(luò)和系統(tǒng)各個層面，特別是運營商用戶信息其重要性不言而喻，安全性也更復(fù)雜.對運營商用戶信息進行安全檢測是非常必要的.在系統(tǒng)的不同節(jié)點，運營商用戶信息的安全建設(shè)和檢測方法不盡相同，所以對運營商用戶信息的檢測需要結(jié)合具體的場景施行相應(yīng)的檢測方案，不能僅通過工具進行定期檢查或檢測.對于系統(tǒng)中用戶信息數(shù)據(jù)的薄弱點需要增強檢測力度和頻度，根據(jù)檢測結(jié)果督促及時整改，以確保運營商用戶信息全生命周期的安全性.