适用于基础电信行业的数据安全技术模型研究

作者:查重猫     发表时间:2021-06-30 10:31:33   浏览次数:38



  摘 要:数据安全技术,是保护企业数据的关键要素,更是结合管理手段后,对企业数据实现直接有效保护的落地措施,尤其在面对基础电信行业庞大资产的情况下,数据安全技术在数据安全保护中的作用和优势更加明显。为了更好地阐述和推广数据安全技术,提出了类瀑布模型的数据安全“H型”模型,即采用数据标签技术与流量感知技术贯穿数据安全的全生命周期。

  关键词:数据安全;H模型;数据标签;流量感知

  0引 言

  我国工信部近年来针对数据安全的管理力度及处置力度日益增大,这也促使了众多行业不断完善数据安全体系建设和数据安全技术创新。基础电信行业用户面广,信息繁杂,数据海量的特点更是成为数据安全的重点关注行业。本文主要从数据安全“H”技术模型来研究适用于基础电信行业的数据安全技术模型。

  1数据安全“H”模型

  电信运营商数据可大致分为三类:第一类是用户信息数据,包括用户身份信息,终端信息等;第二类是用户消费类数据,包括用户通信消费情况、账单等;第三类是用户行为数据,包括用户通话行为记录、上网行为记录等[1]。根据对数据的操作内容,可以将数据安全的完整生命周期划分为6个阶段,即数据采集、数据传输、数据存储、数据使用、数据开放共享和数据销毁。利用业内共识的各阶段标签,结合客观的流量感知手段,建立了数据安全的“H模型”,如图1所示。下面将对数据安全技术模型中的数据标签和流量感知进行阐述和说明。

  2“H”模型的数据标签

  数据是客观存在的,通常由数据用途及特征决定其内容和字段。在读取数据时,得到的信息是其直接传递的,无法从数据本身直观看到数据来源。如果为数据源打上数据标签,标签中含有数据源的IP地址、系统名称、MAC地址、传递时间等信息,数据在传递的过程中,约定双方不得改变这些由采集源赋予的特征标签值,即可让数据具备可追溯性和问责性,如图2所示。数据标签通常是不可察的,它与数据共享数据块紧密结合并隐藏其中,成为源数据不可分离的一部分,并经过不破坏源数据使用价值的操作保存下来[2]。

  带上了数据标签的数据,具备了识别数据来源的功能,能够实现源数据的追溯,从而进一步为问责机制的建立创造了条件,在对一些异常数据和垃圾数据的分析中具有重要的作用。例如,在某一生产场景中,发现某条数据数值异常,仅从数值来看,无法得知是哪个数据源存在问题导致的数值异常,若采用数据标签的形式,可以清楚追溯数据来源。在基础电信行业的信息系统中,常常会有多系统来源的数据,数据标签模式无疑是更好的数据安全实践,同时针对数据跨域、跨境传输具有非常有效的管控力。

  采用数据特征字段加密的方法,实现其机密性和完整性。即在数据唯一特征值后增加数据来源特征标识,再利用高级加密标准(AdvancedEncryptionStandard,AES)等高级加密算法加密后存储、传输。利用AES加密算法的特性,保证了数据在流动中的完整性不被破坏,同时其密钥仅被少数数据安全管理人员持有,确保了数据标签的机密性,如图3所示。

  在5G应用场景中,为实现低时延要求,常常将5G核心能力之一的移动边缘计算(MobileEdgeComputing,MEC)能力下沉到近用户侧,这样在某种场景下会多用户共用MEC,对于数据安全的要求也就越高。5G的高速特性将激发更多的数据被产生和传输。5G被应用于社会生产和关键应用,其中会包含影响到人身和物理安全的关键数据[3]。若采用数据标签管控的方式,既解决了数据流向管控的问题,也有效降低了数据泄露事件带来的影响。

  相关期刊推荐:《通信技术》杂志1967年创刊,要报道信源处理、传输、业务与系统、网络、移动通信、信息安全等方面的先进技术、理论研究成果和最新动态。设有:传输、移动通信、网络、通信保密、信源处理等栏目。

  数据标签为数据本身在存储、传输、加工、销毁过程中提供了安全保证,同时,也需要企业从规范管理的角度来要求规范性的开发策略,特别对于新技术和新业务的发展更是如此。但对于拥有长久发展历史的基础电信行业来说,存量数据的管控同等重要,通过客观的原始流量(数据包)数据分析,即可感知和管控数据流向、数据接口状态等形成数据资产的多维画像。

  3“H”模型的流量感知

  数据不会一直静默不动,任何信息系统之间的交互都需要数据流动的支撑,数据的流动即产生了网络流量。由于因特网的普遍性和易操作性,态势感知在其中有着广泛的应用,利用态势感知强大的全局监控能力,可实时掌握网络的运行状态并采取对应的安全措施,保证网络系统的安全[4]。对于基础电信行业的信息系统而言,最常见的网络拓扑结构是树型和星型,少量追求高可靠性的网络使用网状结构。对于这两种拓扑来说,任何服务器都存在“唯一”的网络出口,如果通过技术手段抓取系统网络出口交换机或深度报文检测(DeepPacketInspection,DPI)等分流设备的下联口(业务口)的双向流量镜像,即可做到业务系统出、入流量的全面感知,同时不影响正常业务的进行。

  如图4所示,不同的镜像流适用于不同的场景。在分析系统内部之间的数据流时,常接入近系统侧的交换机镜像流,例如镜像流1和镜像流2,这种情况下能够分析出交换机下挂资产中数据之间流通的情况,分析颗粒度也更为精细化。而如果需要分析不同系统之间的数据互通情况,则需要接入系统上层汇聚交换机的流量。镜像流的采集和控制,需要由实际分析需求去定义。而在基础电信行业统一建设安全技术能力的时候,往往是考虑到流量的覆盖性,常使用镜像流3的方式配置。通过合理的流量镜像部署方案和分析方法,可以客观、准确地实现数据资产的发现、数据接口的状态监控和数据流量的监测预警。

  3.1数据资产发现

  数据资产是数据安全保护的基础,只有梳理清楚系统内部存在的数据资产,才能够对其进行后续的安全部署。但对于基础电信行业来说,资产庞大、结构复杂是一个重要的特点,从而也给数据资产的梳理带来了困难。电信运营商在对网络资产进行漏洞扫描、加固等安全防护工作时,齐全的资产信息可以避免出现安全盲区,同时通过对资产信息的分析,可以及时全面掌握现网设备的漏洞、风险情况[5]。在前者的基础上,通过流量感知技术结合协议发现技术,能够客观、清楚地梳理出系统在当前网络环境下的绝大部分资产和服务,实现数据资产全方位发现分析。

  首先,可以通过源目网络地址(InternetProtocolAddress,IP)的识别,得到网络内部的IP清单,然后通过“源目端口+源目IP”的识别,得到网络内部开放服务的清单。例如,在某次梳理过程中,收集到了N个IP,其中每个IP都开放了22端口、23端口,由此可以判定,网络内部共有N个资产,每个资产开放了2个服务,根据安全基线合规的要求,即可以针对性地对这两个服务进行精细化防护。

  得到IP和服务对应关系后,需要对这种对应关系打上资产标签,用于识别其归属的资产组/资源组,最终形成一份完整的数据资产发现清单,如图5所示。数据资产的发现,奠定了数据安全的基础,为数据安全工作的开展提供了重要依据。

  3.2数据接口状态监控

  在业务系统数据传输的过程中,少不了数据接口的交互,任何数据的流动都需要通过数据接口或特定协议进行。在基础电信行业中,常常通过数据接口进行业务系统之间的数据交互,或者是数据资产之间的数据同步。在流量感知状态下,能够实时监控到一些异常行为的发生。例如,在话单同步场景下,A系统每天固定向B系统发送1TB数据,数据安全管理员通过数据接口状态监控发现某天仅发送了2MB数据,其立即可以判断,此数据接口异常,原因可能为系统故障或网络故障。除此之外,通过监控数据接口的异常返回包、异常请求包,亦可发现针对业务系统的异常攻击行为,做到防患于未然。

  3.3数据流向监控

  通过数据资产发现,定义了系统内部数据资产,进一步通过对数据资产的分组,可划定系统内部的资产组。结合数据接口的发现和监控,就能够清晰地看到系统内部数据与外部资产的交互情况。例如,话单同步场景下,A系统固定每天9点向B系统发送大量话单数据,数据安全管理员通过数据接口状态监控发现某天10点A系统发送了少量话单数据到C系统,即可以判断此种数据接口状态为异常,可能发生了数据泄露事件,如图6所示。

  4结 语

  结合数据标签和流量感知技术,能够做到数据采集、存储、传输、共享、加工、销毁六个生命周期中的安全管控和评估。在基础电信行业中,利用自有网络资源的优势,可以通过网络流量对数据资产、数据接口、数据流向的监控和发现来全面感知数据安全态势,全面发现数据安全问题。这种方法不仅适用于行业内部,对此类资产庞大的企业更能有效、准确地对企业数据安全现状做出评估。其中,数据标签技术,提高了流量感知中溯源的效率;流量感知技术弥补了数据标签静态化传递的局限性。两者相辅相成,构建出一套基础电信行业数据安全“H型”技术模型。——论文作者:张晋源,田春平,刘 青,武靖莹,韩 方,周关萍

中国知网查重入口:https://www.chachongmao.net/jiance/

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时删除处理。

论文写作相关资讯

学术不端查重入口


检查语种:中文,英文,小语种 预计时间:2小时-6小时
系统说明中国知网查重,知网硕士博士研究生tmlc2/vip5.3查重系统是全国高校检测硕士、博士、MBA等论文的检测系统,检测结果和高校一致,定稿首选!
检查范围硕士、博士毕业论文
498.00元/篇
立即检测
检查语种:中文,英文,小语种 预计时间:24小时-72小时
系统说明知网大学生论文检测系统,是全国高校研究生院用来检测研究生毕业论文、科研论文学术不端行为重复率的专用查重系统。采用最新版本专用数据库,首选权威查重网站入口,报告结果与高校一致!可检测全日制,自考等本科学位学历等论文重复率。
检查范围本/专科毕业论文
388.00元/篇
立即检测
检查语种:中文,英文,小语种 预计时间:2小时-6小时
系统说明比定稿版少大学生联合比对库,其他数据库一致。出结果快,价格相对低廉,不支持验证,适合在修改中期使用,定稿推荐PMLC。——不支持验证!!!
检查范围本/专科毕业论文
288.00元/篇
立即检测
检查语种:中文,英文 预计时间:60分钟
系统说明学位论文查重,维普论文检测系统:高校,杂志社指定系统,可检测期刊发表,大学生,硕博等论文。检测报告支持PDF、网页格式,性价比高!
检查范围毕业论文、期刊发表
4.00元/千字
立即检测
检查语种:中文 预计时间:60分钟
系统说明论文查重平台,PaperPass的比对指纹数据库由超过9000万的学术期刊和学位论文,以及一个超过10亿数量的互联网网页数据库组成。指纹库是指提取的文章关键性特征信息,并非全文。
检查范围学术期刊和学位论文
3.00元/千字
立即检测
检查语种:中文 预计时间:60分钟
系统说明毕业论文查重,万方查重系统,涵盖期刊、学位论文、学术成果、学术会议论文的大型网络数据库;比肩中国知网的学术数据库。最多支持10万字符。仅支持中文。
检查范围学位论文
4.00元/千字
立即检测
检查语种:中文,英文 预计时间:60分钟
系统说明大雅相似度分析(论文检测系统),拥有图书、期刊、论文、报纸、网络全文等丰富的对比资源库,有图书检测优势,保证书刊检测并重,为论文查重提供多一层保障。
检查范围对学位论文(专科、本科、硕士、博士)、新投稿论文
2.50元/千字
立即检测
检查语种:中文,英文,小语种 预计时间:60分钟
系统说明“鼓励原创,杜绝学术不端行为”是学术家检测系统运营以来的初衷,”大数据,精准查重”是我们服务于广大学者的使命。品牌自创建以来凭借优秀的检测算法和良好的用户体验,赢得市场热烈反响。学术家自助检测平台拥有丰富的对比数据库,支持大学生、研究生、编辑部、职称认定等论文的重复率检测。在与高校及科研机构等资源单位的长期合作中,学术家积累了超过500亿篇对比文献,不断增长完善的对比数据库,旨在为用户提供更好、更快速、更细微的检测服务。
检查范围毕业论文、期刊发表
2.00元/千字
立即检测
检查语种:中文,英文,小语种 预计时间:1小时-24小时
系统说明知网查重期刊系统是杂志社专用系统,针对编辑部来稿、已发表文献、学校、事业单位业务报告、职称等论文的重复率检测系统。
检查范围职称论文/学术发表
88.00元/篇
立即检测
检查语种:中文 预计时间:60分钟
系统说明格子达依托学术期刊库收录了海量对比资源,其中包括中国论文库、中文学术期刊库、中国学位论文库等国内齐全的论文库以及数亿级网络资源,同时本地资源库以每月100万篇的速度增加,是目前中文文献资源涵盖全面的论文检测系统,可检测中文、英文两种语言的论文文本。
检查范围毕业论文、期刊发表
4.00元/千字
立即检测
在线客服 返回顶部