欧盟是一个相对不平衡的市场,有类似我国东西部的差距,但欧洲同时又是一个相对一体化的市场。在欧盟,尤其是西部及北部是高度发达的国家,业务本身有以下特点: IOT及数据业务增长快速,流量费用快速下降;主流运营商已经开始采购外部SaaS服务;数据交换比较多,存在大量企业间、企业与政府的数据同步。
在安全层面,欧盟有以下特点:数据泄露仍然高发,欧盟是仅次于美国的第二数据泄露地区;数据泄露是在各种严格监管要求下发生的,监管包括欧盟及各成员国自己的各种行业标准; 最新的数据保护法进一步加强了对个人数据的保护;相对少量非法、灰色交易,欧盟法律更在意个人数据的保护,严禁泄露,比如将他人私人电话未经同意就转给其他人算作违法。对于数据保护及互联网服务的尝试,欧盟运营商相对领先,所以欧盟运营商在相关安全上的有些做法是值得国内借鉴的。
首先,注重隔离,不相信其他内部系统。对于哪怕是电信运营商自己的系统,接入同样要进行安全控制。这种做法在国内目前多渠道化后是值得参考的,很多运营商的其他系统包括面向互联网的APP系统都会接入BSS核心系统。作为核心的BSS系统的安全,一定要基于假定任何接入系统可能被黑客控制的情况下进行对接。
其次,注意内部防护。欧盟运营商的安全人员首先考虑如何控制内部人员的风险,控制内部人员接触个人数据的概率。对于个人信息在界面的展现,全部要求模糊化,个别不能模糊化的需要得到安全团队的批准。欧盟运营商很注意维护功能,要求所有的维护、尤其是个人数据的修改必须通过界面来进行,这样可以极大降低运维人员通过数据库接触个人信息的必要性。
再次,个人数据清单非常重要。系统要有完整的个人数据清单,能标示出系统中哪些表、哪些字段是敏感数据,有了这个清单,才能根据这些信息进行后续控制,如数据的加密处理、数据的模糊化处理、在测试环境的数据脱敏、个人数据备份、个人数据在线和离线保存年限、法律纠纷产生时的个人数据收集。
此外,事中管理及主动发现。欧盟运营商普遍注重事中管理,audit及audit trace是系统必备功能,SIEM(安全信息及事件管理)系统也是基本部件,这样虽然还不能做到利用大数据进行主动发现,但借助SIEM也同样可以通过主动分析实现安全预警。
最后,安全是管理及设计出来的。从欧洲运营商的实施经验看,安全防护已不仅仅是传统意义上的防止外部入侵、防止Ddos攻击,它还呈现出新的特点:安全是需要根据安全规范,从设计时就开始考虑如何实施的事情;安全设计、实施必须遵守相关法律及安全标准;日常的安全监管及相关执行很重要,安全是一个长期性及持续性工作;安全需要比较高的投入,企业必须单独考虑其费用问题。