为何电信运营商客户信息泄密频发

据报道，国内某电信运营商的第三方合作公司技术人员，在电信运营商处技术服务期间，因个人利益驱使，利用工作之便，勾结内部员工，潜入电信运营商办公内网，获取内部核心数据几百万条，出售获利;同样，在今年年初，也出现过多家电信运营商内鬼泄露公民个人信息牟利事件。针对上述问题，法院已向电信运营商发送了司法建议函。

此类信息安全事件频频出现，暴露的问题和风险表明，电信运营商在信息安全保护方面存在管理制度缺失、系统管理不规范、技术防控手段支撑不到位等诸多问题，同时也严重损害了公司利益，破坏了公司声誉。电信运营商们纷纷表示，将强化监督部门的监督作用，并通过网络设备账号权限分级、平台系统建设等技术防控手段，严密保护客户的个人信息;建立起对核心业务数据保护，对通信减少由于数据泄露所带来的财务、竞争力、公信度损失，提高客户、合作伙伴的信任度刻不容缓。

保护信息安全，特别是客户信息安全是电信企业应承担的社会责任，业已成为社会关注的敏感话题。

对此国家极为重视，《中华人民共和国刑法修正案》和工信部《基础电信企业信息安全责任管理办法(试行)》都对客户信息安全提出了明确要求。

某电信运营商为做好客户信息保护，率先下发了多个重要文件，例如《客户信息安全保密规定》、《数据安全管理办法》等等。各省公司在总部规定的基础上，也采取了相应的技术措施和规定来降低客户信息泄露的风险，对规范客户信息的访问和使用起到了相应的作用。

但是保护好客户信息，仅从管理上提要求是不够的。单靠管理手段的限制无法从根本上解决客户信息泄露的问题。由于客户信息涉及的系统和人员很多，必须从技术手段上提供针对性的支撑和限制，采取合理的综合管控手段，配合切实有效的管理，才能起到实效。

电信运营商的核心目的是通过网络技术来加快人与人之间信息化交流，因此目前国内各大电信运营商的IT建设相对超前与其他行业，业务网络也存在区域分散、数据分散、系统繁多、环境复杂的特点。建设了包括boss系统、bomc系统、客服系统等业务支撑系统，同时还包括OA、CRM系统等常规办公系统;系统上积累了大量的客户信息、生产数据和运营信息，业务系统也已成为这些重要数据的存储、交换和处理中心;由于每个系统所关注的业务角度不同，因此其涉及到的人员也有所不同;在此基础上，每个系统的人员又根据‘使用环节’和‘运维环节’而定义出不同的工作形态。如此诸多特性，使得数据在不同的阶段均存在不同的风险点。

在目前电信运营商的业务体系中，数据在应用过程中不管在服务器上还是在终端计算机上，都是处于明文存储状态，任何人只要接触这个文件既可以进行恣意的传播。虽然业务系统本身提供很多系统运行相关的日志，但是对于敏感信息保存在各终端计算机以后就完全失去了监控权，信息即使出现泄密也无法准确的找到泄密的源头，无法追究相关的责任;同时，由于业务系统过于庞大，使用角色过多，所以人员身份的核实也需要进行相关的加强。再次，由于前端人员的对工作效率的需求较强，因此网络准入、桌面管控等也应作为技术辅助。

电信运营商业务及人员的复杂性，数据风险的不确定性，传统的加密、控制等方式已经无法有效的满足系统安全建设需要，而‘一刀切’的解决思路更不合适于当前环境，势必需要建立一套切实可行的数据安全解决方案。