第一篇:信息安全規劃——防泄密系統分冊v1.0
信息管理中心
公司信息安全規劃
——防泄密系統規劃分冊
版本:V1.0.0
編寫:周義 審核:
批準:信息化工作指導委員會
文件編號:
公司信息管理中心
文件名--目錄
目 錄
1.防泄密系統需求概述...........................................................................................................2
1.1.什么是數據防泄密....................................................................................................2 1.2.公司數據泄漏風險分析............................................................................................2 1.3.需要防護的文件生命周期........................................................................................3 1.4.防泄密系統面臨的挑戰............................................................................................3 2.各種防泄密手段及其優缺點...............................................................................................4
2.1.數據加密....................................................................................................................4 2.2.設備控制....................................................................................................................4 2.3.監測............................................................................................................................5 2.4.審計............................................................................................................................5 3.公司防泄密系統總體規劃...................................................................................................6
3.1.涉密人群劃分............................................................................................................6 3.2.公共防護措施............................................................................................................6 3.3.高、中涉密人群防護措施........................................................................................7 3.4.普通涉密人群防護措施............................................................................................8
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 I
文件名– 版本說明
1.防泄密系統需求概述
1.1.什么是數據防泄密
對公司公司而言,在面臨來自外部的病毒、木馬、網絡攻擊等種種網絡安全威脅時,來自內部的數據泄露是一個更需要重視的問題,目前公司存在數據泄密的風險,而這些風險將會讓企業面臨安全、知識產權、財產、隱私和法規遵從方面的威脅。在這些數據泄露情況中,大部分情況下都是員工在無意中泄露出去的,但還有一些則是由員工有意為之。一個使用沒有安全防護的筆記本電腦的移動辦公人員,可能有意或無意地通過無線網絡泄漏公司機密信息。與此同時,大量支持USB連接的設備不斷涌現,也使得企業的機密信息很可能便被裝進U盤或者移動硬盤等方便地帶走。當發生數據泄密時,在安全專家忙于恢復敏感數據和修補泄密漏洞期間,企業的時間、資金和聲譽都會遭受到嚴重的威脅。企業安全專家總處于一場沒有終點的戰爭中:當原來的泄密漏洞剛剛得到控制,新的數據泄密情況卻又伴隨著其他眾多設備的使用而頻繁出現。
企業信息化目的是為了信息和數據的共享,而數據的生命周期中包括存儲(生成數據的服務器和存儲設備)、使用(數據的使用者對數據進行操作)和傳輸(數據從一個地點傳送到到另外一個地點)三個基本的生命過程。
自2004年以來,數據泄漏事件正以1700%的速度增長,平均每起數據泄漏造成的資產損失達到4百80萬美金。
數據泄露造成的根源來自外部黑客攻擊和內部數據泄漏,據FBI的統計,70%的數據泄漏是由于內部人員造成的,而這些內部人員大都是有權限訪問這些數據,然后竊取濫用這些數據。
數據防泄漏就是要保護企業的機密信息不被非法的存儲、使用和傳輸。
1.2.公司數據泄漏風險分析
概括起來,無論是黑客攻擊、還是內部故意泄露,數據泄漏有以下三個途徑造成: 1)物理途徑——從桌面計算機、便捷計算機和服務器拷貝數據到USB,CD/DVD和移動硬盤等移動存儲介質上;通過打印機打印帶出公司或者通過傳真機發送。
2)網絡途徑——通局域網、無線網絡、FTP、HTTP、HTTPS發送數據,這種方式可以是黑客攻擊“穿透”計算機后造成,也可能是內部員工從計算機上發送。
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 2 文件名
3)應用途徑——通過電子郵件、IM即時信息、屏幕拷貝,P2P應用或者“特洛伊木馬”竊取信息。
1.3.需要防護的文件生命周期
對于公司的敏感信息,從文件開始創建(獲取)一直到文件歸檔直至作廢,這些敏感信息都應該處于防泄密系統的防護之下,因此,這就要求我們的防泄密系統具備從文件誕生開始就提供防護的能力。
1.4.防泄密系統面臨的挑戰
在設計防泄密系統時,我們將面臨以下各種挑戰: ?如何防止某些員工將敏感信息加密、分割后發送出去?
?如何合理控制哪些移動介質可以在公司內部使用,保證在完成數據共享的同時保障數據的安全性?
?如何避免移動介質或電腦丟失導致的數據泄漏問題? ?如何動態地對PDM/PLM生成的數據文件進行保密處理? ?如何避免數據通過Web、郵件的方式發送出去?
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 3 文件名
?如何知道是否有人在通過網絡發送敏感數據?
?如何避免員工通過打印、屏幕拷貝、無線、藍牙等方式把數據傳出去?
?如何確保數據安全的合規性?數據隱私法規日趨嚴格,這給 IT 部門以及安全人員和最終用戶帶來了巨大的考驗,甚至可能導致業務中斷。各種規模的企業都必須確保其所有用戶的高效,同時還要達到日益提高的法規遵從要求。
2.各種防泄密手段及其優缺點
當前,流行的防泄密手段主要包括加密、設備控制、監測審計三種類型,這三種手段各自都有各自的優缺點和適用場景:
2.1.數據加密
數據加密是防泄密的主要手段之一,它的工作原理是通過加密軟件對涉密人員的硬盤上的數據進行加密,只能通過相應的加密軟件對數據進行解密后,才可以閱讀里面的信息,否則,即使文件被泄露出去,沒有加密軟件和相關密鑰的,該文件也無法使用。
優點:
防控粒度小,能夠控制到文件。即使在其他安全防護措施失效的情況下,通過加密的文件也不用擔心遺失。
缺點:
(1)由于加密系統一般會對系統的進程進行接管,可能會導致操作系統或應用程序不穩定,造成系統故障;
(2)另一方面,加密系統一般通過對文件類型的判斷來進行加密,因此,不管該類型文件是否具有涉密敏感信息都會加密,會導致日常溝通困難。為解決公司內部的日常溝通,常常需要整個公司內部都部署加密系統客戶端,或涉密部門設置專門的解密崗位用于和非涉密部門溝通。人力、財力投入巨大,而且管理成本會很高;
(3)第三方面,如果采用落地加密方式進行強制管控,TFS研發管理平臺將會面臨挑戰,開發人員可能不能通過開發環境直接執行check in、check out操作管理源代碼,而需求通過專人來執行這些操作,同時,即便如此也將存在因工作疏忽簽入加密后的版本,帶來管理風險。
2.2.設備控制
設備控制(包括對網絡的控制)是另一種常用的防泄密手段,這種方法是通過對計算機上的IO設備,例如USB、網絡接口、串口等進行物理訪問控制,切斷這些物理路徑的
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 4 文件名
數據傳播,不允許使用者通過這些物理設備進行為授權數據交換,或者在通過這些物理路徑將數據傳遞到其他主機時對數據進行加密,從而實現防止涉密數據泄漏的目的。
優點:
在本地主機上的數據是沒有加密,很好的解決了系統穩定性和兼容性的問題,不會像加密系統那樣導致操作系統或應用程序不穩定;
缺點:
大多數的產品無法區分涉密信息和非涉密信息,也是采取一刀切的方法,因此也同樣會造成內部溝通困難,或為了解決內部溝通問題而全部部署該系統,造成人力、物力的浪費。
2.3.監測
監測也是防泄密手段的一種,它主要通過對用戶使用行為的監測,發現用戶操作涉密數據就通過網絡等方式向管理員報警的方式實現防泄密的目的。
優點:
本地主機上的數據沒有加密,不會出現穩定性和兼容性的問題,同時,該系統只需要部署在涉密人員的計算機上,人力和財力的投入相對較少
缺點:
該措施只是一種事后補救手段,無法阻止涉密信息的外泄。
2.4.審計
審計一般作為防泄密系統的輔助措施,是一種事后的補救措施,用于泄密事件發生后的責任認定和追查。
優點:
本地主機上的數據沒有加密,不會出現穩定性和兼容性的問題,同時,該系統只需要部署在涉密人員的計算機上,人力和財力的投入相對較少
缺點:
該措施只是一種事后補救手段,無法阻止涉密信息的外泄。
同時,由于審計信息非常多,可能需要投入大量的人力來檢查這些信息,管理成本很高。
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 5 文件名
3.公司防泄密系統總體規劃
根據不同的防泄密手段的優缺點,我們必須通過這些手段的綜合利用來構建公司的防泄密系統。
Internet數據監測網關數據保護網關高、中涉密用戶配置管理員低涉密用戶使用RM文S加明密使用RMS加密明文配置庫涉密文檔發布服務器
3.1.涉密人群劃分
高涉密人群 高涉密人群是指公司的開發人員、設計人員、財務人員等這些創建涉密信息或者涉密信息中的部分內容的人員,這些人員往往可以接觸到公司涉密信息的原始數據,擁有較高的數據訪問權限。
中涉密人群 中涉密人群主要指公司的工程技術人員等使用研發部門提供的產品、方案等涉密信息的人員,這些人員雖然無法獲取產品的源代碼等高敏感度信息,但是可能具有訪問部分研發資料、方案的訪問權限。
低涉密人群
員。低涉密人群是指公司其他只能通過公司內部信息發布平臺獲取相關技術資料的人3.2.公共防護措施
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 6 文件名
公共防護措施主要指部署在網絡中的對整個公司網絡中的防泄密行為進行管控的措施,主要包括:
數據保護網關
通過在公司網絡邊界部署安全網關產品,全面檢測網絡流量,一旦發現機密信息的傳輸,則進行阻斷;
數據監測網關
數據監測網關對通過郵件、Web、即時通訊軟件的數據傳輸進行監控。因為類似于Gmail、Yahoo電子郵件、即時消息、Facebook 等Web 應用程序已經成為信息丟失的主要渠道。數據監測網關能夠分析所有的 Internet 通信流量并判斷信息是否傳播到了不合適的地方。而這些工作又不能增加工作負擔本已很重的信息安全團隊的工作量。可以實時收集、跟蹤和報告整個網絡中流通的數據,這樣,您便可以知道您的用戶和其他機構之間在傳輸哪些信息以及是通過什么方式傳輸的。數據監測網關檢測通過所有端口或協議傳輸的 300 多種內容類型,包括辦公文檔、多媒體文件、P2P、源代碼、設計文件、檔案、加密文件。因此,它可以幫助公司輕松發現數據中的威脅,并采取措施保護企業免受數據丟失之苦。另外,借助終端用戶通知功能,數據監測網關 可以通知用戶相關的違反數據保護策略的行為,從而及時糾正這種行為。
3.3.高、中涉密人群防護措施
在構建防泄密系統初期,對高、中涉密人群采用相同的防護措施。
針對這兩個人群的防護,為保證系統的穩定性和兼容性,計劃采用“數據泄漏保護”和“設備控制”的手段進行管控。主要措施是在客戶端上強制安裝防泄密軟件,實現以下功能:
數據泄漏保護
? 通過部署先進的數據保護類產品,在所有的客戶端實現數據保護,并完成統一管理;
? 通過數據保護客戶端對用戶的網絡行為進行檢測,阻斷數據泄漏行為; ? 通過數據保護客戶端對具體應用進行檢測,阻斷數據泄漏行為; ? 通過客戶端程序,有效的審計各類數據調用行為,并記錄全部用戶行為; ? 數據防護產品必須具有同一的管理平臺,且只有一個客戶端代理,以最大限度的節省系統資源,提升管理效率;
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 7 設備控制
文件名
? 添加數據控制組件,可以對接入計算機的各類外置設備進行控制,防止機密信息通過這類外接設備發生泄漏;
? 針對網絡打印機、U盤等各類高危外設的使用進行審計并記錄; ? 一旦發現非法使用,可以第一時間阻斷數據泄漏行為; ? 可以和數據保護客戶端整合部署和管理,并實現統一報告;
3.4.普通涉密人群防護措施
為保證占公司大多數的普通涉密人群的正常溝通和協作,在防泄密系統實施初期,將不強制普通涉密人群安裝防泄密系統,而計劃采用安裝微軟RMS客戶端來解讀由相關專職部門發布的涉密文檔。
對于普通涉密人群需要訪問的涉密信息,通過指定的部門和崗位(例如技術管理部)通過相關工具,把相關文件使用RMS加密后發布到適當的位置,只有指定的人員可以開啟相關文檔,而不能復制、粘貼、修改、打印,即使泄露到企業外部,文檔也無法使用。
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 8
第二篇:招商銀行網上銀行系統防泄密解決方案
招商銀行網上銀行系統防泄密解決方案
網上銀行(Internetbank or E-bank)招商銀行通過互聯網向客戶提供的金融服務,包括傳統銀行業務和因信息技術應用帶來的新興業務。該業務系統后端數據庫存儲著大量敏感信息包括:用戶的身份、信用卡號、賬戶密碼、手機號碼等。這些數據一旦泄露,都可能造成極大的經濟損失及客戶信息盜用的問題,甚至造成大客戶信任度降低、客戶流失的嚴重問題。
招商銀行對于網上銀行敏感信息的要求在于避免INTERNET用戶,通過任何手段獲取銀聯服務器上的機密信息。其核心關注點除了傳統的強身份認證、明文傳輸過程的安全、網絡協議安全、應用系統安全等方面外。對于敏感信息內容也做了相應的安全要求,具體體現在以下三個方面:
1、重點關注服務器外出數據是否含有機密信息,無論是HTTP的回復還是數據庫格式的數據;
2、支持識別銀行賬號、手機號、身份證號等對象;且要可靈活配置,同時出現1個對象或多個對象時,則認為有風險。
3、關注嚴格的安全審計,對存在風險的連接需要及時的通過短信報警的方式通知管理員,以便采取應急響應的措施。
通過在網上銀行數據庫服務器核心交換機上旁路部署一臺深信服下一代防火墻NGAF使用信息防泄露模塊解決了網上銀行敏感信息防泄漏的問題。
1、定義銀行賬號、手機號、身份證號的精確識別,制定信息泄露安全策略。在業務中一個連接向外輸出同一個用戶的多個信息,或者不同用戶一種或多種信息時進行即時的短信報警。
2、制定嚴格內容解析策略防止通過正常的HTTP訪問或者數據庫格式文件下載的方式向外輸出敏感信息。
3、記錄每條涉及敏感信息請求的訪問日志,便于日后查詢。使用深信服NGAF業務系統敏感信息防泄露解決方案,能夠審計無論是HTTP協議的正常訪問或是數據庫文件中敏感信息的查詢信息,提高了網上銀行應急響應的保障能力,有效的保證了網上銀行敏感信息的安全。
深信服山東金牌代理——濟南康龍匯網絡系統集成有限公司
第三篇:VSP防泄密安全桌面方案
政府、金融、隨著社會信息化進程的加快,企業等多個行業均將信息化建設提升到了發展戰略的重要位置上,信息化水平成為衡量行業現代化建設和綜合競爭力的重要標志。網絡的普及讓信息的獲取、共享和傳播 更加方便,同時也帶來了更多的安全風險,包括外部的入侵威脅以及內 部的數據泄密威脅。人們往往注重網絡外部的安全防護,部署防火墻、入侵檢測等產品以防止外部入侵威脅,但對于內部泄密行為,如通過 Mail 或 U 盤將一些敏感文件發送給其他人等安全威脅,沒有采用相應 的措施進行防范。近年來泄密事件頻發,企事業單位內網安全威脅正在逐年增加。據調查 顯示,有超過 85%的安全威脅來自組織內部。研發的開發代碼、企業的 決策信息等輕易流失在外,給企業帶來巨大的經濟損失;泄密事件導致 企事業單位公眾形象下降,甚至招致法律風險。因此,對企業重要效益來源的內網核心機密數據的管控尤為重要。
應用背景
深信服VSP防泄密安全桌面
隨著內網泄密事件的頻繁發生,內網安全受到了越來越多的關注。各類不同的內網防泄密方案層出不窮,如物理隔離、DLP技術、防水墻、全盤加密、DRM技術、虛擬化方式等。但這些方案都存在著諸多不足之處:
物理隔離:針對終端對業務數據的訪 問,采用物理隔離方式,可以將辦公網 和互聯網分開,但需要跨網使用時,頻 繁的環境切換帶來不便;同時此方式,必須采購兩套設備,建設、管理、維護 成本高。
DLP 技術:通過文件數據內容特征匹 配算法,建立起一套匹配規則來定義不 同安全等級的文檔,進而對不同安全等 級的文檔進行全方位防護的安全技術,但在實際測試過程中的誤報率普遍都 偏高,測試效果不佳。
防水墻:針對防止內部信息泄漏而設 計的安全方案,防護范圍覆蓋了網絡、外設接口、存儲介質和打印機構成信息泄漏的全部途徑,與防病毒產品、外部安全產品一起構成較為完整的網絡安全體系,但是無法實現對不同涉密系統的訪問權限控制和數據區分。
全盤加密:通常采用磁盤級動態加解密技術,通過攔截操作系統或應用軟件對磁盤數據的讀寫請求,實現對全盤數據的實時加解密,從而保護磁盤中所有文件的存儲和使用安全,但是這種方式會將所有數據進行加密存儲,一旦軟件系統損壞,所有的數據都將無法正常訪問。
DRM技術:實現了針對具體文檔的具體用戶,具體訪問權限進行細粒度的控制,保護范圍覆蓋了數據文檔的完整生命周期和傳播方式。但這種技術無法對權限的設定者進行控制,完全依賴于文檔作者的自覺性。
桌面、應用虛擬化:通過桌面虛擬化、應用虛擬化的方式,實現對業務系統的隔離防護,安全性較高。然而采用這種方案,后臺需要大量服務器,成本投入很高;需要改變現網結構,部署較為繁雜。
VSP(VirtualizationSecurity Platform)
是深信服最具前瞻性的虛擬化安全平臺。該平臺以完美契合客戶業務流
程為 設計出發點,借助虛擬化技術在用戶的 默認桌面生成一個虛擬
面,通過此桌面訪問業務系統,構建一套與風險完全隔離的、最具效率
和性價比的核心業務網絡,避免業務流程中核心業務數據泄漏的風險,最大化保障組織信息安全。
VSP 通過單一設備的強認證、主從綁定、權限劃分等功能來實現整個業
務流程中各個環節的用戶訪問控制,再借助安全桌面來實現核心業務系
統和本機計算機、外設、以及其他網絡之間的完全隔離,不影響用戶辦
公操作,具有更高的性價比和業務可行性。
對于安全性要求較高的政府、金融等 行業客戶,深信服 VSP 結
合上網安全桌面 SD 推出了安全桌面統一終端虛擬化方案,針對不用的業務系統,可以采用不同的安全功能的安全桌面進 行訪問:
互聯網業務:采用上網安全桌面SD訪問互聯網,實現病毒隔離,防止
互聯網的風險進入內網。
內部系統業務:
采用防泄密安全桌面 VSP 訪問內部的ERP、OA 的核心業務系統,實現
內部 數據的防泄密,防止數據落地到終端后通過各種方式泄密。
通過不同的安全桌面訪問不同的業務系統,實現在終端的多業務風
險隔離,確保了終端的安全性;同時也滿足了監管部門對信息化安全的要求,保障辦公網涉密系統數據的安全性,規范員工的互聯網訪問行
為,保障終端計算機系統和內部網絡免受互聯網病毒和木馬的威脅,提
高行業信息化安全管理制度的落實和執行。
系統訪問保護
VSP部署于重要的系統服務器前面,終端訪問核心業務必須先登錄VSP。
用戶經過認證之后在防泄密安全桌面中訪問業務系統,業務數據無法到
達真是的物理終端,從而對重要的業務系統及數據都起到了保護作用。
泄密操作攔截
對可能泄密的操作進行攔截,重要的工作數據只能放在防泄密安
全桌面中進行編輯、查看等操作、無法把個種業務數據拷貝到默認桌
面,無法使用各種外設進行拷貝泄密,防泄密安全桌面與互聯網隔
離,在安全桌面中也無法通過截屏、錄屏等方式獲取業務系統中的資
料,有效地保證了數據的安全性。
數據加密保存
部分用戶需要保留VSP桌面內數據,VSP會對數據行高度的加密保存在默 認的桌面內,以便于用戶下次再開啟安全桌面環境內自動解密后繼續上
次未完成的文檔操作等。此時就算將文檔拷貝到其他計算機業無法獲取
文件信息,且由于防泄密安全桌面進行加密的密鑰時綁定用戶的,因此
該文件在其他用戶的防泄密的安全桌面內也無法打開,提高了數據的安
全性。
自動刪除數據
業務系統訪問完畢后,退出防泄密安全桌面時,其中遺留的業務文件將
會被自動清除。留在原有硬盤文件中的機密信息,也會被自動清除,有
效降低了業務系統的安全風險。
支持離線訪問
部分用戶在出差或是無法訪問網絡的情況下,由于無法訪問VSP,因而不
能進行登錄。出于靈活辦公的需要,VSP提供了離線訪問的功能。深信服
通過提供離線登錄U-Key來實現離線訪問,其中保存有防泄密安全桌面環
境、用戶ID、用戶的密鑰、U-Key使用總時長以及授權策略等信息。當用
戶在無法訪問網絡或VSP時,可以使用深信服的U-Key輕松打開本地的數
據,使用便捷,滿足用戶靈活辦公的需要。
支持明文導出
一些研究或企業開發部門需要將防泄密安全桌面內的開發的文件再回
傳至業務系統,進行工作組中的共享或者需要與外部客戶進行文檔交
換,而防泄密安全桌面內的加密文檔是不方便用戶間的信息流轉的。
VSP虛擬化安全平臺支持將文件明文導出至物理桌面,通過解密的明文
文檔在用戶之間流轉,且支持明文導出的審計或審批,實現用戶和行
為的課追溯,從而完美滿足了用戶需求。
完善的數據安全措施
1.完全邏輯隔離,保障核心業務系統及數據的安全;
2.安全接入、安全傳輸、安全訪問多維度安全控制手段;
3.安全桌面內的數據加密保存于默認桌面內;
4.靈活的數據安全策略調控;
輕量級虛擬化方案
1.10%以下的CPU占用率(單核),521M內存的電腦即可運行;
2.支持旁路、網關方式部署,對現有網絡沒有影響,易于快速實現上
線部署;
3.支持win 32位、64位系統的管理員及USER權限下對防泄密安全桌面的操作;
4.支持自動監控、自動恢復、實時告警,便捷管理的維護及升級;
卓越的用戶體驗
1.對用戶使用習慣影響小,易用性高; 2.對網絡依賴小,支持離線訪問;
3.輕松實現默認桌面、安全桌面的切換;
4.支持明文導出,方便業務交互;
較高的性價比
1.利用現有設備,無需額外采購服務器; 2.用戶并發數性能高;
3.支持非對稱集群,保護前期投資;
4.日常維護量小,降低運維成本
第四篇:現代網絡信息安全當前泄密的主要途徑
(―)電磁轄射泄密
幾乎所有的電子設備,例如電腦主機及其顯示器、投影儀、掃描儀、傳真機等,只要在 運行工作狀態都會產生電磁轄射,這些電磁輻射就攜帶著電子設備自身正在處理的信息,這 些信息可能是涉密信息。計算機福射主要有四個方面的脆弱性,g卩:處理器的轄射;通線 路的轄射;轉換設備的轄射;輸出設備的輻射。其中輻射最危險的是計算機顯示器,它不僅 福射強度大,而且容易還原。經專用接收設備接收和處理后,可以恢復還原出原信息內容。對于電子設備福射問題的研究,美國科學家韋爾博士得出了四種方式:處理器的轄射;通信 線路的輻射;轉換設備的福射;輸出設備的福射。根據新聞媒體報道,西方國家已成功研制 出了能將一公里外的計算機電磁福射信息接受并復原的設備,這種通過電磁轄射還原的途徑將使敵對分子、恐怖勢力能及時、準確、廣泛、連續而且隱蔽地獲取他們想要的情報信息。此外,涉密計算機網絡如采用非屏蔽雙絞線(非屏蔽網線)傳輸信息,非屏蔽網線在傳輸信 息的同時會造成大量的電磁泄漏,非屏蔽網線如同發射天線,將傳輸的涉密信息發向空中并 向遠方傳播,如不加任何防護,采用相應的接收設備,既可接收還原出正在傳輸的涉密信息,從而造成秘密信息的泄露。(二)網絡安全漏洞泄密
電子信息系統尤其是計算機信息系統,通過通信網絡進行互聯互通,各系統之間在遠程 訪問、遠程傳輸、信息資源共享的同時也為敵對勢力、恐怖分子提供了網絡滲透攻擊的有利 途徑。由于計算機信息系統運行程序多,同步使用通信協議復雜,導致計算機在工作時存在 著多種漏洞(配置、系統、協議)、后門和隱通道等,極易被竊密者利用。大型軟件每1000-4000 行源程序就可能存在一個漏洞。存儲重要數據的信息系統一旦接入網絡(互聯網、通信專網等)時,就有可能被竊密者利用已經存在的漏洞進行網絡掃描、滲透攻擊,從而達到遠程控制系統主機的目的。我國的計算機技術先天技術不足,如果是竊密者人為的預留后門、通道 和漏洞,將對我國的信息安全造成極大的威脅。“黑客”可以利用網絡中存在的安全漏洞,輕松進行網絡攻擊,包括進入聯接網絡的計算機中進行竊密,或者利用“木馬”程序對網絡上的計算機進行遠程控制;把遠程植入木馬的計算機作為跳板,蛙跳式攻擊和竊取網絡內其他計
算機的信息,有的對重點竊密計算機進行長期監控,被監控的計算機一旦幵機,涉密信息就 會自動傳到境外主機上。近年來,安全漏洞層出不窮。根據國內某權威網站安全測評機構的 抽樣調查顯示,我國大約有75%的網站存在高風險漏洞,全球大約有40%的網站存在大量高 風險漏洞。利用黑客技術通過這些漏洞就可以入侵某個網站,取得管理員權限后,即可篡改 網頁內容或竊取數據庫信息。許多漏洞都會造成遠程惡意代碼的執行,成為黑客遠程攻擊的 重要途徑。統計數據表明,因未修補漏洞導致的安全事件占發生安全事件總數的50%。(三)移動存儲介質泄密
移動存儲介質,包括優盤、移動硬盤、mp3、mp4、數碼相機、記憶棒等,具有存儲量大、使用方便的特點,目前在涉密單位使用非常普遍,同時也存在著很多安全隱患。信息科技產 品日益普及的同時,存儲在這些數碼科技產品中的涉密信息也日益增多。這些數碼存儲介質、存儲載體如果使用和管理不當就很容易造成信息泄密。當前比較流行的一種惡意程序叫“擺渡木馬”,擺渡木馬感染的主要對象是優盤,感染了擺渡木馬的優盤在互聯網計算機和涉密網計算機之間交叉使用時,就會造成涉密信息外泄。擺渡木馬的工作原理是,一開始,擺渡木馬會以隱藏文件的形式跟隨其他正常文件一同復制到優盤內,當用戶將該優盤插入涉密計算機上使用,該木馬就會在計算機后臺悄悄地自動運行,按照事先配置好的木馬工作方式,把涉密計算機內的涉密數據打包壓縮之后,以隱藏文件的形式拷貝到優盤中,當用戶把該優盤插到互聯網計算機時,該木馬就會自動將存儲在優盤內的涉密信息自動發往互聯網上的特定主機。移動存儲介質的特點是重量輕、占地小、攜帶方便,可以存儲和拷貝數據較大的涉密文件資料并且隨身攜帶,但泄密隱患也較大。隨著存儲介質存儲容量的增大,能夠存儲的涉密信息量也逐漸增多,一旦出現意外,將導致大量國家秘密泄露,將會造成巨大的損失。(四)多功能一體機泄密
現市場上使用廣泛的的數碼復印機是集打印、復印、傳真等功能于一身的多功能一體機,都裝有用于存儲復印內容的硬盤存儲器,從而造成了公共部門涉密信息泄密的一種途徑。這 類設備在涉密單位的應用比較普遍。新一代數字復印機配置了內存或大容量硬盤,有的容量 高達幾百億字節,可以存儲十幾年復印過的所有文件內容,如管理不當,極易造成泄密。不 久前,美國政府發了一個文件,禁止政府部門使用日本“佳能“復印機,就是為了防止數字復印機帶來的泄密問題。在使用和維護設備或需更換零部件時,將存有秘密信息的存儲設未 經專業處理或無專人監督的情況下被帶走修理,或修理時沒有技術人員在場進行監督,都有 可能造成泄密。淘汰報廢的復印機或多功能一體機設備上可能配備有存儲硬盤,這些存儲硬 盤一旦在社會上流失,必然會發生失泄密事件。多功能一體機具有傳真、掃描、打印、復印 和信息存儲等功能。如果在使用傳真功能時,將普通電話線路連接到處理涉密信息的多功能 一體機就會導致涉密信息在公共電話網絡上進行傳輸,境外敵對勢力、恐怖分子甚至可以通 過普通電話線路遠程控制機器,從而竊取存儲的有用涉密信息,造成泄密。(五)無線設備泄密
計算機無線設備主要包括兩類:一類是部分或全部采用無線光波這一傳輸媒質進行連接 通信的計算機裝置;另一類是部分或全部采用無線電波這一傳輸媒質進行連接通信的計算機 裝置。無論是筆記本電腦還是臺式電腦只要能夠啟用無線聯網功能,在機器正常工作運行狀 態下,無需任何人工操作就可聯接無線LAN,進而聯接INTERNET。不知不覺地,這些聯網 的筆記本電腦或者臺式電腦就很容易被他人遠程控制。即使無線聯網關閉,也可以使用技術手段將其激活,從而竊取可利用信息。無線網卡、無線鍵盤、無線鼠標和藍牙、紅外接口都 屬于這類設備。無線路由器、無線鍵盤、無線鼠標等設備,信號傳輸均采用開放式的空間傳 輸方式,信號直接暴露于空中,竊密者可利用特殊設備進行信息欄截,獲取信息內容。即使 傳輸信號釆用了加密技術,也可能被破解。(六)利用數據恢復技術竊密
數據恢復是指運用相關軟件和硬件,對已刪除的、已格式化的或者因介質損壞丟失的數 據進行還原的過程。普通優盤、硬盤、磁盤陣列等存儲介質數據即便被刪除或格式化處理,竊密者可以通過專用軟件、硬件設施進行數據恢復,從而實現竊密。在現實工作當中,經常 有涉密計算機等辦公自動化設備中的涉密信息被簡單刪除或格式化處理后就作為非涉密存儲設備使用的現象,這種做法也很容易造成泄密。在所有的存儲設備中均有磁介質,磁介質具有剩磁效應,數據即可被復原。在操作的的過程中,我們用的簡單的“刪除”命令,只能刪掉文件名,不能清除數據,在存儲設備中,其實就是在文件目錄表中對該文件加了刪除標志,標識該文件所占用的扇區為空閑,磁盤上的原來數據還存在,僅是重新分配了文件FAT表而已;硬盤分區,也是同樣的原理,僅是修改了文件引導信息,大部分數據還留存;即使是采一般“格式化”或覆蓋寫入其他信息后,通常所說的格式化程序(例如Format),通過專有技術設備,仍可以將原涉密信息復原出來。硬盤數據經刪除、分區或格式化后,用戶誤以為數據被刪除,但其實未然,技術人員可以用工具將原來硬盤上的數據進行恢復。就是經消磁十余次后的磁盤,技術人員仍然可以通過手段恢復原有數據。因此,當涉密存儲設備的磁盤被重新使用時,很可能被別人利用,造成涉密信息泄露。未經專業銷密就擅自處理,存在嚴重泄密隱患。在淘汰舊的涉密計算機和涉密存儲介質(軟盤、光盤、U盤)時,要按有關規定進行銷毀,不能簡單地丟棄,否則極易造成泄密。(七)人員泄密
工作人員泄密通常是在安全保密責任意識不強、思想馬虎大意、操作技術不熟練、違反 操作規程等情況下造成信息泄密。這些泄密的工作人員主要包括所有能進入信息系統的網絡 管理員、維護人員、操作人員、編程人員等內部人員以及從事信息系統安裝、部署、實施的 外部廠家人員。
人員泄密的表現和原因主要有三種類型:(1)無知泄密。(2)違規泄密。(3)故意賣密。
第五篇:論系統防控如何為信息安全保駕護航
論系統防控如何為信息安全保駕護航
業務支撐中心 趙磊
【摘要】
近年來,安全生產在企業中的地位越來越高,對于通信行業單位信息安全尤為重要。隨著全國范圍4G業務的開放,4G時代已然來臨,同時帶來了新業務的飛速發展,中國移動也面臨了前所未有的機遇和挑戰。在信息飛速發展的時代,信息安全和通信行業單位息息相關,如何做到運營系統安全防控是現階段亟需解決的問題。本文分析了中國移動運營支撐系統安全防控現狀及面臨的挑戰,我們必須建立全新運營支撐系統風險管控體系,我們通過網絡安全域規劃、信息資產保護、數據安全防控體系建立等方面闡述了如何建立全新的運營支撐系統風險管控體系,進而實現系統防控為信息安全保駕護航。
關鍵詞:安全生產,系統防控,信息安全,運營支撐
目錄
一、安全生產管理的重要性............................................................................................2 1 運營生產安全重要性.......................................................................................................2 2 信息安全重要性...............................................................................................................3 3 運營支撐系統安全重要性...............................................................................................4二、三、現代運營支撐系統安全防控面臨的挑戰................................................................5 建立全新運支系統成為信息安全衛士....................................................................7
3.1 全新運支系統搭建策略...............................................................................................7 3.2 全新運營支撐系統風險管控體系...............................................................................9 3.3 全新安全管理一體化.................................................................................................13
四、結束語......................................................................................................................15
【引言】
安全生產管理作為現代企業文明生產的重要標志之一,在企業管理中的地位與作用日趨重要。從一定意義上說,安全生產管理的成敗直接關系到企業的生存與發展。如何搞好安全生產,提高企業管理水平,是大家共同關心的大事。因此,正確理解與認識安全文化建設在安全生產管理中的重要作用,通過加強安全文化建設,促進安全生產管理的有效開展,具有十分重要的現實意義。
一、安全生產管理的重要性
安全生產管理[1]是避免企業財產損失、環境免遭破壞、人員免受傷害,實現穩定生產,利益最大化和創造良好社會效益的重要手段。安全生產管理作為現代企業文明生產的重要標志之一,在企業管理中的地位與作用日趨重要。從一定意義上說,安全生產管理的成敗直接關系到企業的生存與發展。如何搞好安全生產,提高企業管理水平,是大家共同關心的大事。因此,正確理解與認識安全防控建設在安全生產管理中的重要作用,通過加強生產安全建設,完善信息安全體系,促進安全生產管理的有效開展,具有十分重要的現實意義。1 運營生產安全重要性
企業管理的重要組成部分就是安全管理,隨著社會的發展和進步,企業形態也逐步向現代型企業轉變,安全越來越被社會和企業所重視,安全管理在企業發展過程中的地位也原來越高了。一個企業要實現良性的、持續的發展,安全工作就不可忽視,不管是從建立企業的健康形象,還是從保護員工的生命財產安全著想,企業安全管理工
作的重要性和必要性都是不言而喻的。2 信息安全重要性
對于通信行業的安全生產,信息安全才是安全生產的重中之重。信息安全指的是信息的保密性、完整性、可用性和可控性的保持。是一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。具體到一個企業內部的安全管理,受業務發展迅速、人員流動頻繁、技術更新快等因素的影響,安全管理也非常復雜,經常出現人力投入不足、安全政策不明等現象。隨著信息產業的高速發展,眾多企業、單位都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們便利的同時,也面臨著巨大的安全風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。
圖1 信息安全風險
信息安全的重要性體現在4個重要性,即保密性、完整性、可用性和可控性。保密性是指數據不泄露給未授權的用戶、實體和過程,或利用其特性。完整性是數據未經授權就不能進行改變的特性.存儲
器中的數據或經網絡傳輸后的數據,必須與傳輸前的數據在內容與形式上保持一致,保證信息系統上的數據保持完整、未受損的狀態,使數據不會因為有意或無意的事件所改變和破壞。可用性是指非授權訪問的攻擊者不能占用所有資源而阻礙授權者的工作,需要時就可以取得數據、訪問資源,是網絡設計和安全的基本目標。我們員工有各自的賬號,密碼,在登陸系統是都是需要自己手機短信驗證碼,確保密碼遺失,他人無短信驗證碼,無法登陸,同時也確保了賬號的安全性。可控性指可以控制授權范圍內的信息流向及行為方式,首先,員工的崗位不同所擁有的系統訪問,操作權限就有所不同,這就通過訪問控制和授權來實現的。其次,每個員工都有固定的工號,在員工離職后就會立即收回此工號的所有權限,防止資料外泄。
隨著計算機技術的飛速發展,信息安全已經成為社會發展的重要保證。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性,信息的安全關系著我們每個人。3 運營支撐系統安全重要性
運營支撐系統是通信行業軟實力的重要組成部分,其安全運行已經成為整個企業戰略目標能夠順利實現的重要保障。因此,如何保證各運營支撐系統中網絡架構的安全性、健壯性,數據信息的保密性、完整性、可用性、真實性,安全事件的可控性,是企業實現運營支撐系統安全的首要任務。
二、現代運營支撐系統安全防控面臨的挑戰
在通信行業信息安全體系中,運營支撐系統安全防控是至關重要的。隨著信息化進程的逐步深入,信息安全已成為大家的關注點,整體基礎防控已初步形成,但運營支撐系統的安全依然存在不少問題。運營支撐系統漏洞,各類變異病毒的黑客入侵等安全威脅會因為支撐系統的升級、調整而更加頻繁地出現。換句話說,整合調整后的支撐系統如果不解決安全問題,就必然會導致安全事件的發生。在新支撐系統的安全體系建設上可能會出現以下四個問題: 1.安全體系的整體規劃缺乏
由于通信行業的不斷、快速發展會導致通信行業的支撐系統不斷改造、升級,其功能需求、網絡組織、技術架構都可能發生改變。各個部門都會提出大量的需求,而更多的廠家會提供無數的解決方案。這期間也可能會針對某項功能提出一些安全要求,但缺乏對安全體系的整體規劃,沒有制訂一個全面可靠的安全實施計劃。
多數人會誤認為安全體系的建設應該是隨需而動,這種認識是缺乏對安全體系規劃必要性的認知,缺少主動防控意識。往往制度安全防控方案的主管都不是安全專職主管,還要兼職其他工作,因此制定的安全解決方案常常是僅考慮局部效果和工期,安全系統的實際效果,擴展性、穩定性不能盡如人意,管理部門不得不加班加點,弄出很多臨時方案或者補丁方案,反過來使得整個安全體系更加復雜難以整改。
2.安全設備分散,安全維護成本高
在支撐系統不斷改造、升級過程中,針對某些安全問題或者應用會匹配安全設備。在安全設備部署時,分散在各部門,各自使用,沒有統一管理。在制訂計劃時,很少認真衡量、預估安全體系的建設管理成本和維護成本,隨著支撐系統安全需求的不斷增加,成本也在年年攀升,而安全防控質量并沒有本質改變。3.缺少第三方權威機構的安全評估
目前,安全方案的預評估工作在安全方案設計中的地位越來越高。多數支撐部門或者安全部門往往在考慮安全項目時,沒有做好對安全需求、安全現狀評估的前期工作,就提出了所謂的安全解決方案。提出的安全解決方案最常見的方式就是在自身與外界的邊界配置防火墻,仿佛有了這些安全設備就等于躲進一間堡壘之中,可以高枕無憂了,這實際上是對防火墻等設備應用場合和能力認識上的誤區。
把大多數精力和預算都放在了方案和設備上,沒有意識聘請第三方安全權威機構進行安全評估,出現事倍功半的情況。4.重技術防控、輕人員管理
部分企業花大錢引進了良好的技術設施,但并不等于降低了對安全體系管理制度和維護人員的要求。恰恰相反,任何一個安全體系是不可能獨立于企業管理體系之外,進一步講,安全體系建設應該永遠圍繞技術是為管理服務這一根本來展開的。
如果不能切實提高所有員工,尤其是管理層在安全方面的警惕性,不花大力氣培訓安全部門的人員以便他們有能力實施、操作和維
護,系統重組后必然會造成安全體系的建設與維護滯后,不能及時滿足新支撐系統對于安全能力與質量的需求。
當前,我們面臨的安全問題大多是因為沒做好人員安防導致的,即內部員工利用合法權限、通過合法渠道做非法的事。客戶和員工的隱私數據、技術財務方面的公司機密,都會因為人員大量且頻繁流動而存在泄漏可能,更不用說在支撐系統的調整、升級過程中,大量廠家技術人員的參與。如果把心力與預算都用在建立嚴密的周邊安全和阻擋外部攻擊上,必然會造成安全防護能力的先天缺失。
三、建立全新運支系統成為信息安全衛士
4G時代業務競爭環境下,建設一套打破舊有格局、全新的支撐業務安全運營的新一代運營支撐系統,對企業的信息安全管理至關重要。
3.1 全新運支系統搭建策略
各運營商在搭建支撐系統安全體系時,會由于運營支撐系統的系統策略、安全體系的技術架構、未來發展規劃的不同而有一定差別。因此應該對調整后的運營支撐系統安全體系的建設原則和應對策略進行深入分析,將安全風險扼殺在搖籃里。1.整體規劃策略
在安全建設過程中,常會提到“木桶理論”[2],就是說最容易發生安全事件的地方就是安全措施最薄弱的地方。假如我們依照這一理
論去指導支撐系統的安全建設,必然會有出現一個安全漏洞就去修補一個安全漏洞的現象。
安全隱患是多層次多維度存在的,安全保護的對象不僅涉及設備、數據,還涉及人員、制度等,還有安全需求也是多方面的。因此,只有從客觀與綜合的角度去審視、對待和分析,才可能制訂行之有效的方案。2.整合分散策略
因為運營支撐系統的模型復雜,涉及部門較多,不同時期側重點也不同,企業可能采用階段實施、逐步整合的建設原則,改變原有安全系統部署,出現各自實施的局面。
整合與集中的安全設備部署方式,一方面可以從整體統一新支撐系統的安全策略,降低進而避免現有分散建設模式下出現安全漏洞的可能性。另一方面,也解決了安全策略不能及時貫徹全局的問題,在提高安全管理效率的同時降低設備采購和維護成本。3.預估安全策略
隨著信息時代的不斷發展,安全隱患的威脅也越來越大,對運營支撐系統的安全要求也越來越高。安全需求不僅會時常變化,而且要求安全響應的時間也越來越短,所以,我們的支撐系統安全體系的網絡架構、應用功能、處理能力應該具備較強的擴展升級能力。這就要求在進行安全體系的規劃和建設時,應該充分對系統安全策略進行定性分析,對可能承擔的風險進行提前預估,并適當超前當前系統的規模和風險控制能力。只有這樣,才能有效避免安全體系不斷地更換升
級和被動響應,從而對安全策略、安全制度的落實提供有力保障。4.完善安全策略
運營支撐系統安全體系的建設不可能一步到位,它是一個逐步完善逐步深入的過程。在行業內經常采用的P2DR安全模型[3],可以完全說明了這個問題。P2DR是可適應網絡安全理論(動態信息安全理論)的主要模型,主要包含四個主要部分:Policy(安全策略),Protection(防護)、Detection(檢測)和Response(響應)組成了一個完整的、動態的安全循環,在安全策略的整體指導下保證信息系統的安全。也就是說,我們在安全體系建設完成后,應該對安全體系進行有效監控、定期測試和不斷改進,并遵照安全模型來調整安全策略和完善安全體系,以應對不斷出現的新安全威脅,使安全策略能夠長期有效。3.2 全新運營支撐系統風險防控體系
在支撐系統部署防火墻、防病毒、入侵檢測、薩班斯、安全審計、終端管理、4A、ISO9000......的過程中,在人員和資金都不是問題的情況下,哪些是應該先做的?哪些可以稍微推后,都是安全管理部門、安全主管經常思考的問題。如何圍繞主線,抓住重點,分主次,是解決安全體系規劃和建設的首要問題。
引用經濟學家帕累托的“80/20”法則[3]來回答這個問題,即80%的基礎安全問題可以通過20%的代價來解決,剩余的20%安全問題需要付出80%的代價來解決,所以在重組初期,安全體系呢。規劃和建設首先要用小的代價來解決大部分安全問題。
運營商需要明確驗證安全體系的三條標準。標準一,能夠應對大多數的安全威脅,在遭遇較為嚴重的安全事件時,能夠準確定位、多維監視、及時應對。標準二,能夠將安全現狀和歷史事件以數據形式表示,進而為安全體系的調整和完善提供依據。標準三,各個組成部分能夠在安全策略的統一指揮下協同響應,共同工作。
同時,運營商還必須要掌握安全體系建設方法論,也就是搭建一個合理完善安全體系的正確方法與途徑。
圖2 安全體系能力成熟度模型
[4] 從安全體系能力成熟度模型[4](如圖1所示)來看,模型的縱軸表示在安全體系建設中所采用的技術手段或者部署的安全設備,模型的橫軸表示配置不同安全技術手段能夠使安全體系能力達到的不同階段。從模型中可以看出,必要和基礎的技術手段,如物理安全、邊界防護、病毒防護、訪問控制、AAAA,對于迅速提升安全能力是非常有效的。可當需要達到冗余安全、可視安全、自動安全時,就需要付出相當的代價。
當然,無論是縱軸上的各種技術手段還是橫軸上的能力階段,都存在重疊或者空缺的可能性。但是,安全體系能力成熟度模型還是在總體上反映出技術手段與安全能力之間的對應關系,同時也提出了規
劃和建設安全體系的基本步驟,以及在支撐系統整合和重構的初期應該配置的基本安全手段。根據安全體系能力成熟度模型,基礎安全和有效安全是支撐系統對安全體系的最基本要求。明確目標以后,運營商就應該分階段地開展安全防護建設,并優先解決最基本最普遍的安全威脅。
1.實現網絡安全域全面規劃
在運營支撐系統不斷調整、升級過程中,往往會優先考慮支撐系統自身的功能實現,而對新用戶接入,系統間信息交互,內外網互聯考慮不足,存在多方面安全隱患。如何防患于未然,第一步應該做好網絡安全域的全面規劃。
做好網絡安全域的全面規劃有著極其重要的意義。首先,可以全面了解企業安全域的概況,使安全域的邊界清晰;其次,可以有效加強安全域安全策略的控制力,提高應對安全突發事件的能力;最后,可以明確安全域安全設備的部署需求,提高工作效率。實現安全域的劃分,理清支撐系統中不同安全級別的工作角色與安全需求,對將來邊界安全設備,如防火墻、防病毒軟件、接入管理平臺等的統一部署、整體效能發揮和統一管理奠定良好的安全架構基礎。2.加強信息資產保護
現代運營支撐系統的系統種類繁多,有BOSS營業系統、經營分析系統、需求管理系統、客服系統等等,使用群體復雜,支撐系統中的關鍵應用和重要信息一旦發生安全問題,其后果是非常嚴重。現使用統一的4A安全管理平臺可以對運營支撐系統的各種應用資源、各
類用戶進行集中管理、集中權限分配、集中審計。4A安全管理平臺做為各支撐系統的防盜門,從技術上保證了支撐系統應用的各方面安全。4A安全管理平臺的應用使各支撐系統有效的進行了整合,對于安全威脅進行統一防范,實現了安全管理創新。
圖3 4A安全管理平臺
另外,建立切實可行的安全管理制度、流程、崗位和考核機制,對于整個新安全體系的建設也是同等重要的。換句話說,安全管理體系與安全技術體系是同等重要的,企業應該以技術手段來促進管理,以管理手段來完善技術,而不是用某一種手段來固化甚至代替另外一種手段。
3.大數據背景下的建立數據安全防護體系
隨著信息技術的迅猛發展,運營系統的規模迅速擴大,業務數據呈爆炸性增長。在大數據的背景下,敏感數據越發為安全防護的重點。通過建立敏感數據安全防護體系[5],使敏感信息處于可管、可控、可追溯的防護環境,確保各項業務的正常運營。
對于運營支撐系統業務數據中,針對含有敏感信息的業務數據的訪問、使用、傳輸、轉換、維護過程中對操作行為動機、身份、權限、渠道的管控尤為重要。如何做到敏感數據防護是亟待解決的問題。敏感數據防護應該從應用數據安全防護、數據庫安全防護、主機數據安全防護、文檔安全管理與數據安全審計這幾方面入手,即可達到全面防護。以敏感業務信息防護為重點的數據安全越發成為信息安全建設的重中之重,提升數據安全防護手段,可以有效保障運營支撐系統的數據安全。
圖4 敏感數據安全防護體系
[5]運營商整體的業務發展戰略對于支撐系統的規劃與建設影響深遠。而支撐系統的發展戰略對于安全體系的規劃與建設也起著決定性作用。只要梳理好新支撐系統的安全要求,利用好當前已有的安全防護能力,從整體上規劃新安全體系,在建設中不斷完善,那么新安全體系的建設就一定能夠最終取得成功。3.3 全新安全管理一體化
建立健全信息安全管理體系對企業的安全管理工作和企業的發展意義重大。信息安全管理體系(ISMS)[6]是一個系統化、程序化和
文件化的管理體系,屬于風險管理的范疇,體系的建立需要基于系統、全面、科學的安全風險評估。此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵御災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業的業務發展。1.安全管理制度普及化
安全管理規章制度是企業信息安全管理的基礎工具,沒有管理制度,安全管理體系的根基就沒打好,更別說形成安全防控堡壘。近年來,眾多企業已經有了自己的安全管理制度,但是始終在做冷板凳。企業不僅要有管理制度,而且還要使管理制度普及化,可通過管理制度手冊化實現管理制度普及化,還可通過管理制度電子有獎答題方式普及安全管理知識,多種渠道、多種方式進行安全培訓教育,真正是員工意識到安全管理制度的意義,激發員工安全防控潛在意識。2.安全垂直化管理
有了安全管理制度一定要有人去管理,有人去組織。沒有組織,安全管理就是口號,就是散沙,無法真正貫徹、落實。眾多企業并沒有設立專門的安全管理部門,沒有專職安全管理員,多數為綜合部門兼職管理。這樣會導致制度成為擺設,制度無人執行的局面。我們應以安全管理員為切入點,確立專職,企業各部門安全管理員形成樹狀組織架構,明確工作意義和工作職責。實現接口化管理,達到端到端支撐,以最高效的方式為信息安全保駕護航。
圖5 垂直管理組織架構
3.優化應急反應機制
應急反應機制大部分企業無相關流程,存在潛在風險。我們要建立健全信息安全應急反應機制,將流程成文或上墻。流程不完善的我們要補足缺失流程。真正出現安全問題,我們能夠有效快速的應對和處理,避免安全事故發生或將事故造成的損失降到最低限度的可能。這是應急反應機制存在的必要性和價值。
通過安全管理一體化建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
四、結束語
隨著計算機技術和通信技術的發展,信息時代已然到來,信息系統將日益成為企業的重要信息交換手段。因此,認清信息系統的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統的安全性將十分重要。同時,信息系統技術目前正處于蓬勃發展的階段,新技術
層出不窮,其中也不可避免的存在一些漏洞,因此,進行信息系統安全體系建設要不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施。對于通信企業內部各個運營系統應加強安全應對策略,在大數據的背景下做好敏感數據的安全保護措施,不斷完善安全管理制度,不斷增強員工安全意識,這樣才能搭建安全體系堡壘。
參考文獻
【1】 韋柱志 《努力探求新形勢下企業安全生產管理的新辦法》[J];《安全生產與監督》
2009年06期
【2】 孫喜新 《木桶理論:元意、新解與博弈》[J];《化工技術經濟》2002年 第4期 【3】 韓銳生《P2DR模型中策略部署模型的研究與設計》[J];計算機工程 2008年20期 【4】 馬麗莉 《解讀電信行業的80/20法則》[J];信息網絡 2005年 第2期
【5】 郭林江.數據安全防護體系在業務支撐中心的實踐[J].電信工程技術與標準化, 2013,(12):32-36.DOI:10.3969/j.issn.1008-5599.2013.12.009.【6】 馮登國 《信息安全體系結構》[M];清華大學出版社, 2008-9-1
點擊咨詢 