安华金和-电信行业解决方案--CRM系统客户信息保密

CRM系统客户信息保密解决方案

1.背景

在以“客户信息为中心”的CRM系统中，存储着大量重要客户资料，如客户的姓名、电话账户、余额、资费套餐等，都是电信运营商最重要的核心业务数据。为保护这些“数字资产”不被泄露，运营商们花费了很大代价，购买并实施了包括防火墙、入侵检测系统、异常流量检测与过滤、集中管控等在内的大量信息安全产品,在边界防护上构筑了一道固若金汤的安全防护“铁闸”。

然而，在近几年电信运营商数据泄密事件仍频频发生，除造成直接的经济损失外，这些泄密事件带来的损失还包括：被泄密客户诉讼、被客户/潜在客户抛弃、品牌受损失、促进竞争对手的成长。

程序员程稚瀚四次侵入北京移动充值中心数据库盗取充值卡密码，获利达300多万元。

2003年，广东联通7名人员利用内部工号和密码对欠费停机手机进行充值，使联通损失260万元。

今年，3.15晚会曝光了移动、联通及原中国网通三大电信运营商的3个“内鬼”多次向“私家侦探”泄露客户信息、通话记录、手机定位信息共获利300万元，其犯罪手段就是通过应用数据库用户口令获取操作员的工号和口令，再通过业务系统导出各种信息,目前，3人均已获刑。

……

2.CRM系统客户隐私保密需求分析

目前，各大运营商围绕着网络防护、主机防护和应用防护展开了一些列的安全建设，已建立起相对安全的数据应用环境，但由于技术局限和相关安全产品匮乏等原因，数据库安全建设一直未能得到有效开展。因此，在CRM系统中，至少存在以下数据库安全漏洞，能够导致客户隐私信息泄密的发生：

1）应用系统引起的敏感数据泄密

目前CRM系统是一个统一的应用系统，集中了业务受理、投诉申告、故障受理、欠费催缴管理、流失管理、信用度管理、大客户分析、业务分析、收益分析等核心业务模块，同时

为计费、BOSS等核心系统进行数据支撑，这些模块和系统共用同一个数据库用户。这种方案存在两个问题：

（1）绕开应用系统直接访问数据库中的敏感数据：在电信系统内，为便于开发和维护系统，服务外包人员、开发人员往往掌握着应用系统使用的数据库账户，可轻易的接触到数据库中重要客户资料，一旦外泄将导致客户隐私的泄密；

（2）无法进行有效授权：由于不同模块/系统公用同一数据库用户访问数据，无法有效的限定数据库用户的访问能力，特别是统计分析业务和精确查询的区别管理。

2）数据库高权限人员的泄密风险

DBA等系统维护人员的权限过高，可以访问所有敏感数据。

SYS等超级用户、DBA用户，具备了访问所有数据的权限；从而使毫无业务需要的DBA 等维护人员能够访问所有敏感数据，具备窥视数据的最佳途径。

3）明文存储引起的泄密风险

由于数据库中的数据是以明文的形式存储在数据库中，从网络中的文件处理层将数据库文件拷贝走，可以获得所有客户隐私信息。

存储设备丢失、维修，数据文件被窃取都会引起的批量敏感信息泄露。

3.DBCoffer解决方案

1）方案简介

本方案基于数据库保险箱系统（简称DBCoffer），设计实现了应用层、数据库维护层和存储层的全方位客户信息保密解决方案。

数据库保险箱系统(简称DBCoffer)已成功应用于政府、医疗和军队等领域，该产品将对数据库系统进行有效地安全加固，完全可以弥补当前CRM系统的数据库安全“短板”。

DBCoffer的核心价值在于，可对最常见的数据库信息泄密威胁，提供安全有效的防护手段：

1）明文存储引起的数据泄密

目前已有很多类似于Dul、MyDul的成熟免费软件，可对Oracle数据文件直接分析，输出清晰的、结构化的数据。

有效解决CRM系统中数据的存储保密问题

DBCoffer通过数据存储加密功能，从根本上保证数据安全，即使反向解析数据文件

仍是乱码。

2）外部非法入侵窃取敏感数据

Oracle安全漏洞已达1000多种，且在持续暴露，一旦被攻击者利用，很容易窃取到敏感数据。

帮助CRM系统抵御外部非法攻击，避免敏感数据泄露

DBCoffer通过增强的用户口令校验强度，独立的密文权控体系，即使Oracle权控体系被突破，也无法访问到敏感数据。

3）内部高权限用户进行数据窃取

局限于Oracle数据库的设计，DBA等高权限用户天然具备访问所有数据的权限。

实现CRM系统中数据库超级权限的三权分立、权责分明

三权分立，DBCoffer增设了安全管理员(DSA)，DBA在未经DSA授权时只有密文数据

的维护管理能力，没有查看和修改能力；DBCoffer同时增设审计管理员(DSA)，对DSA的密文授权行为和数据库用户密文访问行为进行审计和分析。

4）利用合法用户的身份，进行违规数据访问

对于具备密文访问权限的合法Oracle用户，可能由于人为因素或管理不善，将用户名及口令泄露给第三方，第三方则可以通过命令行或管理工具等直接访问密文数据，批量窃取数据。

将CRM系统中数据库合法用户与自身绑定、提供事后审计

DBCoffer具备真正应用安全能力，可以保证用户和应用系统绑定，同一用户只能通过指定的应用系统访问密文数据，使用命令行等其他方式则无法访问密文数据；

DBCoffer具有敏感数据访问的审计功能，能对密文的访问行为进行事后的追踪和分析。

1）方案介绍

综合分析上述的安全威胁与防范措施，以“保护客户隐私信息”为目标，以“最小代价换取安全提升”的原则，定义出该系统的核心敏感数据，并提出基于安华金和数据库保险箱(DBCoffer)产品的数据保密方案：

系统

A、敏感数据加密存储和传输

对系统中最核心的客户姓名、电话、证件号码、资费套餐等信息进行存储加密和传输加密，保证备份、存储设备丢失或者传输被捕获也不会引起关键信息泄漏。

B、敏感数据访问权限控制与审计

通过独立于Oracle数据库之外的密文权限控制体系，使与业务本身无关的DBA、外包