电信行业加强数据安全保护，防止客户信息泄密

某国内电信运营商的第三方合作公司的技术人员因受利益诱使，利用在电信运营商处进行技术服务的工作之便，勾结电信的内部人员，从电信运营商的办公内网里获取了几百万条内部核心数据，并将这些数据出售牟利。在今年年初也曾出现过多起公民个人信息被电信运营商的内鬼泄露牟利的事件，造成了很坏的影响，鉴于电信运营商不断出现的上述问题，法院已向电信运营商发送了司法建议函。

 

此类信息安全事件频频出现，暴露的问题和风险表明，电信运营商在信息安全保护方面存在管理制度缺失、系统管理不规范、技术防控手段支撑不到位等诸多问题，同时也严重损害了公司利益，破坏了公司形象。电信运营商们纷纷表示，将强化监督部门的监督作用，并通过网络设备账号权限分级、平台系统建设等技术防控手段，严密保护客户的个人信息；建立起对核心业务数据保护，对通信减少由于数据泄露所带来的财务、竞争力、公信度损失，提高客户、合作伙伴的信任度刻不容缓。

 

保护信息安全，特别是客户信息安全是电信企业应承担的社会责任，业已成为社会关注的敏感话题。对此国家极为重视，《中华人民共和国刑法修正案》和工信部《基础电信企业信息安全责任管理办法（试行）》都对客户信息安全提出了明确要求。某电信运营商为做好客户信息保护，率先下发了多个重要文件，例如《客户信息安全保密规定》、《数据安全管理办法》等等。各省公司在总部规定的基础上，也采取了相应的技术措施和规定来降低客户信息泄露的风险，对规范客户信息的访问和使用起到了相应的作用。

 

但是保护好客户信息，仅从管理上提要求是不够的。单靠管理手段的限制无法从根本上解决客户信息泄露的问题。由于客户信息涉及的系统和人员很多，必须从技术手段上提供针对性的支撑和限制，采取合理的综合管控手段，配合切实有效的管理，才能起到实效。

 

电信运营商的核心目的是通过网络技术来加快人与人之间信息化交流，因此目前国内各大电信运营商的IT建设相对超前与其他行业，业务网络也存在区域分散、数据分散、系统繁多、环境复杂的特点。建设了包括boss系统、bomc系统、客服系统等业务支撑系统，同时还包括OA、CRM系统等常规办公系统；系统上积累了大量的客户信息、生产数据和运营信息，业务系统也已成为这些重要数据的存储、交换和处理中心；由于每个系统所关注的业务角度不同，因此其涉及到的人员也有所不同；在此基础上，每个系统的人员又根据“使用环节”和“运维环节”而定义出不同的工作形态。如此诸多特性，使得数据在不同的阶段均存在不同的风险点。

 

一再发生的泄密事件让人们对电信的数据安全保护力度存有很多疑问，据了解，目前电信运营商的业务体系中，数据都是以明文状态存储的，不管这些数据是在服务器上还是在终端计算机上，因此，不管是什么人，只要能接触这些数据便可以随意的将这些数据传播出去。在这种状态下，即使电信的业务系统能提供系统运行的相关日志也是于事无补，重要的机密信息保存在各终端计算机以后就完全失去了监控权，信息泄露出去也无法准确的找到泄密的源头，无法追责。此外，由于电信的业务系统往往及其庞大，使用角色非常多，所以人员身份的核实也需要进行相关的加强，更有甚者，一些前端人员因对工作效率要求较强，所以对这些非常有必要用到网络准入、桌面管控等技术辅助手段。