電信運(yùn)營(yíng)商的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)作為與人們的生活、工作密切相關(guān)的信息載體,承載著海量而又敏感的資料內(nèi)容。電信運(yùn)營(yíng)商更加關(guān)注信息保護(hù),這同時(shí)也是電信企業(yè)的市場(chǎng)公信力與責(zé)任感的體現(xiàn)。
我們來(lái)分析、歸納哪些環(huán)節(jié)存在信息泄露的可能:首先是現(xiàn)場(chǎng)維護(hù)人員直接進(jìn)入機(jī)房,訪問并操作服務(wù)器,將數(shù)據(jù)導(dǎo)出帶走;其次是維護(hù)人員通過維護(hù)終端使用客戶端管理工具訪問數(shù)據(jù)庫(kù),將數(shù)據(jù)導(dǎo)出到維護(hù)終端并帶走;再有是維護(hù)人員通過前端服務(wù)器(如WEB、中間件等服務(wù)器)連接數(shù)據(jù)庫(kù)服務(wù)器,將數(shù)據(jù)導(dǎo)出至前端帶走;此外是開發(fā)人員利用對(duì)系統(tǒng)的了解,可以直接連接到后臺(tái)服務(wù)器,并導(dǎo)出數(shù)據(jù)帶走;另外,內(nèi)部辦公人員從運(yùn)維人員處獲取數(shù)據(jù)后,通過U盤、FTP、WEB上傳、郵件、QQ等方式將數(shù)據(jù)帶走;最后是報(bào)表系統(tǒng)前臺(tái)查詢?nèi)藛T訪問后端數(shù)據(jù)庫(kù),導(dǎo)出并帶走查詢數(shù)據(jù)。
針對(duì)以上存在疏漏的環(huán)節(jié),除了落實(shí)準(zhǔn)入控制,較嚴(yán)厲的應(yīng)對(duì)方式是采用底層透明加密技術(shù),在敏感數(shù)據(jù)下載時(shí)增加控制措施,同時(shí)加強(qiáng)針對(duì)敏感數(shù)據(jù)的操作審計(jì),對(duì)敏感數(shù)據(jù)向外部的傳遞過程進(jìn)行監(jiān)控和告警。
加密技術(shù)需結(jié)合運(yùn)營(yíng)商實(shí)際應(yīng)用的需求,對(duì)于通過報(bào)表系統(tǒng)前臺(tái)、集中身份及訪問管理平臺(tái)導(dǎo)出的數(shù)據(jù)均做加密處理,內(nèi)部人員可透明打開、編輯加密文件。經(jīng)過加密的數(shù)據(jù)外發(fā)后,外部人員無(wú)法閱讀。在數(shù)據(jù)防泄密控制中,只對(duì)導(dǎo)出數(shù)據(jù)在下載過程中進(jìn)行加密,不影響本地的其他數(shù)據(jù)。如果文件需要外發(fā),可通過管理手段(管理員審批)放行;若文件需要離線使用,也可通過管理手段(管理員分配設(shè)置時(shí)限、設(shè)置密碼的USB-Key做認(rèn)證)放行。
對(duì)于敏感數(shù)據(jù),在所有人員通過U盤、郵件、QQ、FTP、WEB上傳、WEBMAIL等方式向外部傳遞時(shí)進(jìn)行記錄并報(bào)警;對(duì)文件打印、刻錄等行為進(jìn)行監(jiān)控;對(duì)HTTP、HTTPS的WEB界面上傳下載文件進(jìn)行監(jiān)控;對(duì)修改了文件名的文件進(jìn)行發(fā)現(xiàn)與監(jiān)控;終端再次連接到網(wǎng)絡(luò)后,其在離網(wǎng)期間進(jìn)行的文件導(dǎo)入導(dǎo)出操作可被傳回到審計(jì)服務(wù)器。
結(jié)合當(dāng)前大部分運(yùn)營(yíng)商已經(jīng)部署了集中身份及訪問管理系統(tǒng)的情況,啟明星辰公司提供的解決方案涉及兩大主要功能,一類是準(zhǔn)入控制功能,一類是數(shù)據(jù)加密及審計(jì)管理功能。準(zhǔn)入控制功能對(duì)試圖接入集中身份及訪問管理系統(tǒng)的終端進(jìn)行準(zhǔn)入控制,未安裝防泄露客戶端的終端則不允許接入。數(shù)據(jù)加密及審計(jì)管理功能一方面采用透明加解密技術(shù)對(duì)敏感文件加解密,另一方面結(jié)合數(shù)據(jù)泄露審計(jì)技術(shù),監(jiān)控對(duì)未加密的敏感文件的存儲(chǔ)和操作,并進(jìn)行報(bào)警。采用數(shù)據(jù)泄露審計(jì)技術(shù),可識(shí)別敏感信息,對(duì)維護(hù)人員、管理人員導(dǎo)出敏感信息的行為進(jìn)行報(bào)警,記錄對(duì)敏感信息的使用,如果出現(xiàn)數(shù)據(jù)泄密,能將問題準(zhǔn)確定位到泄密的賬號(hào)及個(gè)人。
為使敏感數(shù)據(jù)防泄密趨于完善,僅從技術(shù)上進(jìn)行限制還不夠,管理及流程上需同步考慮和執(zhí)行。建立一整套的數(shù)據(jù)防泄密系統(tǒng),是一個(gè)長(zhǎng)期且需要持之以恒的過程。
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
版權(quán)所有:中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502003583