1 背景

随着通信业的不断发展，通信已经和我们的生活息息相关，关系到国民经济承担着国家通信重担，而通信核心的业务系统也包含了大量的个人隐私数据和重要的经营数据。

在计算机和通信等信息技术的推动下，信息由面对面的直接传递经纸面的转移走向间接的数字化流转，资料的管理价值和商业价值与日俱增。人们享受了个人资料数字化带来的种种便利，也初尝其所招致的众多社会问题，资料保护就是其中之一。资料保护和资料隐私权正是平衡个人同资料使用人、其他相关利益方及社会之间在资料和信息流转上利害关系的法律工具。通信行业作为高度市场化德一个行业，对客户资料和业务支撑的运营生产数据保护显得尤为重要，建立起对核心业务数据保护对通信减少由于数据泄露所带来的财务、竞争力、公信度损失，提高客户、合作伙伴的信任度具有重要意义。

保护客户信息安全是运营商应承担的企业社会责任，已成为社会关注的敏感话题。随着手机实名制工作的推进，保护客户隐私成为运营商的重大任务。《中华人民共和国刑法修正案》和工信部《基础电信企业信息安全责任管理办法(试行)》都对客户信息保护提出了明确要求。

2 系统现状

• 敏感数据分类

运营商的重要数据主要分布在：BOSS系统、经营分析系统、OA及个人终端上。

• 敏感数据使用人员

对应人员分为三类：开发人员、运维人员、使用人员。

总体示意图如下：

3 需求分析

依据运营商实际业务情况，参考行业相关和国际的相关标准和规范，总结出运营商对数据安全管理原始需求，即“区域内透明，区域外保护。尽量在不改变现有工作模式、尽量少影响现有工作效率的前提下，展开数据安全管理系统的建设工作。”采用对终端安全环境控制的方式，在数据的访问、传输、存储、交换过程进行分析和判断，根据泄密点和风险点，采用加密、控制、授权、审计等方式组合而成的数据保密体系。

结合运营商的实际情况，根据提出的原始需求我们可以得出对数据安全管理的应用需求和管理需求主要分三块：保护应用系统、保护文件服务器和保护终端电脑敏感数据。

4 解决方案

方案总体思路以围绕数据在终端和应用中的存储、传输、交换过程风险点做为依据，通过运营商的几个不同保护对象制定相应的解决思路，分别是：应用系统保护、终端文件保护、文件服务器保护。

• 应用系统安全：以应用系统(BOSS、OA等)为保护对象，保护应用系统中所有数据为目的的组件。主要功能在于将应用系统中所有从本地上传或是从应用服务器下载的数据进行加密处理，使其在应用系统中可以正常使用但不能外泄。应用保护系统的核心思想是“应用数据虚拟化”，采用的核心技术是应用程序进程保护及加密技术。优点：灵活，不改变原有应用系统工作流程，不改变原有工作习惯。

• 终端数据安全：以计算机终端为保护对象，保护终端上所有数据为目的的组件。主要功能在于所有存在于计算机终端上的数据都进行保护，使其在终端上可以正常使用但不能外泄。该组件防护较严格，适用于要求比较严格的部门或者应用场景。

• 文件服务器安全：以文件服务器上的文件为保护对象，上传文件服务器的文件自动加密，并根据访问用户设置相应的权限。

5 方案效果

基于Chinasec可信网络安全平台而设计的文档安全方案可以实现以下效果:

• Chinasec文档安全方案基于应用数据保护、终端数据保护、文件服务器保护综合体现方案的完整性和多元性，能切实从运营商公司各安全元素出发，整体架构和健全综合安全保密体系;

• 从运营商公司整体出发，基于Chinasec应用数据保护系统的安全搭建，切实保护了系统内部文档的数据安全和权限管理，保证了应用系统内部的数据流通和交互安全;

• 考虑运营商公司规模庞大，各下属机构和子/分公司众多，应该按照“总――分――总”式的规划建设原则进行;在各子/分下属公司，基于总部统一管控和安全交互的前提下，适当根据自身的业务和工作安全需要使用Chinasec扩展方案功能灵活的进行数据保密安全建设，

• 使用加密技术实现对文档权限的使用，并实时记录文件的使用情况，提供文档日志审计手段，严格预防信息安全事件发生，提高安全管理水平;

• 为日常管理和维护计算机中的文档提供持久的安全性和控制，既能保证信息的安全，又能将信息置于信息所有者的控制之下的技术支持工具，达到对文档进行统一安全管理的效果;

• 其于不同的角色来配置策略、制定管控力度;

• 以文件密级作为文档的权限属性，符合现有管理模式。

• 提供了多级管理的功能，形成级联式的管理控制体系，在权限下方的同时实现垂直监管。

(责任编辑：)