基于在信網(wǎng)關(guān)查詢安全提升改造方案

王玉玲 王堯永

【摘要】 本文針對(duì)在信網(wǎng)關(guān)查詢系統(tǒng)存在弊端，從用戶感知角度出發(fā)，以增強(qiáng)信息安全控制、提升體驗(yàn)為方向，進(jìn)行可行性分析，對(duì)在信網(wǎng)關(guān)查詢系統(tǒng)數(shù)據(jù)源進(jìn)行統(tǒng)一加密管理，對(duì)查詢系統(tǒng)進(jìn)行內(nèi)容分級(jí)改造，以實(shí)現(xiàn)提高在信網(wǎng)關(guān)查詢系統(tǒng)信息安全管控能力、提升用戶體驗(yàn)的雙重目標(biāo)。

【關(guān)鍵詞】 在信網(wǎng)關(guān) 信息安全 內(nèi)容分級(jí) 白名單

一、引言

隨著在信業(yè)務(wù)的發(fā)展，某運(yùn)營(yíng)商先后建立了全國(guó)在信網(wǎng)關(guān)、VAC在信網(wǎng)關(guān)、行業(yè)網(wǎng)關(guān)三套在信網(wǎng)關(guān)來(lái)承載不同sP在信業(yè)務(wù)。三套網(wǎng)關(guān)分別提供查詢系統(tǒng)，供維護(hù)及客服人員使用。查詢系統(tǒng)具有操作簡(jiǎn)單、查詢速度快的優(yōu)點(diǎn)，在日常工作中得到廣泛應(yīng)用。隨著投訴前移工作的推進(jìn)，客服人員實(shí)際使用過(guò)程中因系統(tǒng)分散導(dǎo)致多系統(tǒng)登錄，使用不方便的問(wèn)題H益突出；并且查詢系統(tǒng)在信息安全控制方面存在缺乏內(nèi)容分級(jí)控制、未過(guò)濾敏感信息等安全隱患，無(wú)法滿足不斷提升的信息安全管理要求。

鑒于此，本文針對(duì)在信網(wǎng)關(guān)查詢系統(tǒng)存在多系統(tǒng)登錄及內(nèi)容查詢存在安全隱患問(wèn)題進(jìn)行分析并制定方案，通過(guò)數(shù)據(jù)統(tǒng)一入庫(kù)、優(yōu)化程序等措施，實(shí)現(xiàn)了報(bào)表統(tǒng)一查詢以及內(nèi)容分級(jí)查詢，有效平衡了日常使用的便捷性與信息安全問(wèn)題。

二、改造思路及可行性分析

為解決多系統(tǒng)登錄問(wèn)題，減少客服人員登錄次數(shù)，方便使用，考慮將全國(guó)在信網(wǎng)關(guān)、行業(yè)網(wǎng)關(guān)、VAC在信網(wǎng)關(guān)三個(gè)網(wǎng)關(guān)的可供查詢數(shù)據(jù)進(jìn)行整合。合并后將所有在信信息統(tǒng)一入庫(kù)管理，提供統(tǒng)一查詢管控，提升使用人員感知。

為了解決查詢系統(tǒng)不能進(jìn)行內(nèi)容分級(jí)查詢問(wèn)題，首先考慮從查詢系統(tǒng)的用戶權(quán)限管理方面著手分析。

查詢系統(tǒng)的授權(quán)方式為組授權(quán)，即不同級(jí)別的用戶隸屬于不同的組，不同組擁有不同查詢模板，通過(guò)設(shè)定不同的查詢模板，進(jìn)而實(shí)現(xiàn)對(duì)用戶查詢權(quán)限的分級(jí)?，F(xiàn)有用戶組模板提供包含內(nèi)容與不含內(nèi)容兩種查詢權(quán)限，但查詢模板不能按號(hào)碼等關(guān)鍵字進(jìn)行設(shè)置，無(wú)法單純依靠權(quán)限來(lái)實(shí)現(xiàn)對(duì)在信內(nèi)容的分級(jí)查詢功能。

其次考慮通過(guò)分析查詢程序來(lái)尋找突破點(diǎn)。通過(guò)對(duì)查詢程序進(jìn)行分析，找到查詢控制輸出部分相關(guān)程序，控制程序的作用是按判斷條件返回查詢結(jié)果，根據(jù)用戶組屬性變量取值而定，如值為高級(jí)用戶組，則輸出在信內(nèi)容，否則進(jìn)行內(nèi)容屏蔽。輸出控制程序與組授權(quán)協(xié)同作用，共同實(shí)現(xiàn)了按組對(duì)查詢結(jié)果輸出內(nèi)容與不輸出內(nèi)容的控制。若要實(shí)現(xiàn)內(nèi)容分級(jí)控制，可對(duì)輸出控制程序進(jìn)行改造，對(duì)于查詢結(jié)果輸出內(nèi)容部分，增加SP白名單控制，實(shí)現(xiàn)按白名單控制輸出內(nèi)容，進(jìn)而可實(shí)現(xiàn)對(duì)內(nèi)容的分級(jí)。

三、改造方案

3.1 源數(shù)據(jù)統(tǒng)一加密入庫(kù)管控

將全國(guó)在信網(wǎng)關(guān)、行業(yè)網(wǎng)關(guān)、VAC在信網(wǎng)關(guān)三個(gè)網(wǎng)關(guān)的可供查詢數(shù)據(jù)進(jìn)行整合，對(duì)涉密內(nèi)容進(jìn)行加密，實(shí)現(xiàn)數(shù)據(jù)源統(tǒng)一入庫(kù)管控。

3.2 內(nèi)容分級(jí)控制方案

在現(xiàn)有查詢系統(tǒng)組授權(quán)管理基礎(chǔ)上，根據(jù)兩級(jí)用戶組權(quán)限劃分，制定內(nèi)容分級(jí)控制方案，如表l所示。

注：在信基本信息包含主叫號(hào)碼，被叫號(hào)碼、提交時(shí)問(wèn)、最后時(shí)間、消息狀態(tài)、SPID，服務(wù)代碼。

四、改造實(shí)現(xiàn)

4.1 源數(shù)據(jù)統(tǒng)一加密入庫(kù)實(shí)現(xiàn)

將全國(guó)在信網(wǎng)關(guān)、行業(yè)網(wǎng)關(guān)、VAC在信網(wǎng)關(guān)三個(gè)網(wǎng)關(guān)的海量話單數(shù)據(jù)進(jìn)行采集、分析、統(tǒng)一入庫(kù)。為確保在信內(nèi)容安全性，針對(duì)不同在信類型的消息內(nèi)容制定不同級(jí)別安全策略，在信內(nèi)容在入庫(kù)時(shí)，采用AES（Advanced EncryptionStandard）加密算法，使用128位密鑰對(duì)內(nèi)容進(jìn)行加密處理。在查詢時(shí)通過(guò)白名單控制，根據(jù)查詢權(quán)限對(duì)在信內(nèi)容解密呈現(xiàn)。將采集數(shù)據(jù)統(tǒng)一入庫(kù)到在信統(tǒng)一查詢數(shù)據(jù)庫(kù)中，以實(shí)現(xiàn)查詢數(shù)據(jù)來(lái)源的統(tǒng)一管控。改造在信查詢系統(tǒng)，將查詢數(shù)據(jù)指向在信統(tǒng)一查詢數(shù)據(jù)庫(kù)。解決原來(lái)系統(tǒng)分散，需要多系統(tǒng)查詢問(wèn)題，實(shí)現(xiàn)在信信息統(tǒng)一數(shù)據(jù)查詢。支持對(duì)在信數(shù)據(jù)長(zhǎng)期保存，從而提供了對(duì)在信業(yè)務(wù)運(yùn)營(yíng)情況長(zhǎng)期分析的可能。

4.2 內(nèi)容分級(jí)控制實(shí)現(xiàn)

l、白名單接入碼管理。在查詢系統(tǒng)數(shù)據(jù)庫(kù)中增加白名單配置表，存放可供查詢?cè)谛艃?nèi)容的sP號(hào)碼。白名單配置表中存儲(chǔ)客服、導(dǎo)航等行業(yè)白名單SP號(hào)碼數(shù)據(jù)。系統(tǒng)增加白名單管理功能，實(shí)現(xiàn)對(duì)接入號(hào)碼的增刪改管理，滿足日常管理維護(hù)需求。

2、程序?qū)崿F(xiàn)。SP號(hào)碼發(fā)送的短信不僅數(shù)量大而且可能含有驗(yàn)證碼等敏感信息，如果在信查詢系統(tǒng)以SP號(hào)碼做為條件查詢，不僅會(huì)加大服務(wù)器的負(fù)荷，而且存在一定的信息安全風(fēng)險(xiǎn)。為有效降低信息泄漏的風(fēng)險(xiǎn)，通過(guò)系統(tǒng)限定每次查詢只能以手機(jī)號(hào)碼作為條件查詢一個(gè)號(hào)碼的信息，而不能查詢某個(gè)sP號(hào)碼下發(fā)的批量信息。在查詢程序開(kāi)始運(yùn)行時(shí)，判斷主叫號(hào)碼是否為SP而被叫號(hào)碼為全部號(hào)碼。如是，程序自動(dòng)彈出友情提示窗口，并拒絕執(zhí)行。從而將被叫號(hào)碼查詢限定為單個(gè)手機(jī)號(hào)碼，大大減少了信息泄露的風(fēng)險(xiǎn)。

在原輸出控制程序權(quán)限判斷與內(nèi)容輸出之間增加一級(jí)判斷，如果用戶歸屬高級(jí)用戶組且查詢SP代碼在白名單配置表中，則進(jìn)行解密并顯示全部在信內(nèi)容；否則屏蔽在信內(nèi)容，只顯示提示信息“**內(nèi)容已屏蔽**”，告知在信內(nèi)容被程序屏蔽，而非sP發(fā)送的原因，提升程序的友好性，改善用戶體驗(yàn)。

系統(tǒng)實(shí)現(xiàn)了對(duì)海量話單數(shù)據(jù)進(jìn)行準(zhǔn)實(shí)時(shí)入庫(kù)、中長(zhǎng)期管理和保存，維護(hù)人員結(jié)合長(zhǎng)期設(shè)備運(yùn)營(yíng)經(jīng)驗(yàn)，能夠基于話單進(jìn)行統(tǒng)計(jì)分析，有利于及時(shí)發(fā)現(xiàn)問(wèn)題并制定系統(tǒng)優(yōu)化方案。查詢系統(tǒng)在保障信息安全的前提下，滿足投訴前移工作要求，為客服人員高效準(zhǔn)確處理在信用戶投訴提供系統(tǒng)支撐。

五、改造效果

本次改造解決了在信查詢系統(tǒng)多系統(tǒng)登錄查詢問(wèn)題，實(shí)現(xiàn)了統(tǒng)一數(shù)據(jù)查詢控制，提升了使用人員體驗(yàn)及感知。有效控制了實(shí)際使用中存在的信息安全隱患問(wèn)題，與用戶組模板結(jié)合實(shí)現(xiàn)了按白名單控制內(nèi)容分級(jí)查詢控制。

六、結(jié)束語(yǔ)

某運(yùn)營(yíng)商通過(guò)本次對(duì)查詢系統(tǒng)的自主改造，解決了在信內(nèi)容分級(jí)查詢問(wèn)題，有效平衡了使用的便捷性與信息安全保障問(wèn)題。此方案也為存在此類在信系統(tǒng)電信運(yùn)營(yíng)商提供了借鑒。