4.2运营商-Chinasec数据安全解决方案简版-V1.2
Chinasec(安元)保险业数据安全解决方案
Chinasec(安元)保险业数据安全解决方案1、业务发展对数据安全的挑战随着保险行业‘信息集中共享’趋势的发展,各分支数据被集中存储,同时进行了深度分析和挖掘,促使保险行业不断推出新业务、新产品。
但从数据安全角度考虑,之前非敏感或低敏感的数据,变成高度敏感的数据。
如何保障企业敏感数据的安全成为行业共同的关注。
2、保险行业数据安全建设需求数据贯穿保险企业整个网络,涉及到各个部门和各种应用场景,其安全的需求要充分考虑到全面性、整体性和落地性等问题,包括如下:保监会、公安部等监管单位对保险行业的信息安全建设提供了指导,因此企业的数据安全建设工作要符合政策要求;以业务系统为基础,在保证正常应用的前提下,实现安全加固,减少安全带来的负面影响;数据大集中的同时也意味着系统之间的联动更加紧密,因此不能将目标局限于某个业务系统,而应该面向全系统;数据在不同系统、不同阶段体现的价值以及风险也不同,因此需要对数据进行全生命周期管理;维护管理过程中,结合企业已有的安全规则,统一安全管理标准,减少后期的维护成本; 各种应用系统对应了众多的安全产品,相对应的安全投入也会增多,如何避免重复性投入,也是企业需要考虑的问题。
3、Chinasec如何解决这些问题Chinasec以“安全服务”的理念,将所有安全保障以服务的形态体现,具有重复调用、跨平台、灵活塑造等特点,有效解决上述各种安全需求。
方案建设分为两种模式:1、针对已有系统,采用安全产品加固的方式,以标准化产品呈现。
2、针对在建系统,Chinasec提供中间件服务,由业务系统进行调用,实现更深层次的安全保障。
保险行业通常具有如下三个安全场景:1) 移动保单系统安全保护场景移动保单系统存在如下安全隐患:员工身份难以鉴别移动保单系统的身份鉴别目前主要采取用户名+口令的方式,一旦出现设备丢失、被盗,身份安全将受到极大挑战。
无线网络是否可信由于采用运营商提供的公共网络平台,一旦出现网络窃听、IP伪造等黑客行为,数据安全造成严重威胁。
Chinasec(安元)内网安全管理平台
Chinasec(安元)内网安全管理平台
Chinasec(安元)内网安全管理平台是基于内网安全和可信计算理论研发的内网安全系列管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,主要解决用户在传统PC架构下的数据安全问题,针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案。
Chinasec(安元)内网安全管理平台系列产品是在Chinasec(安元)内网安全管理平台的基础上,由多个系统组成,分别是Chinasce(安元)终端数据防泄密系统、Chinasce(安元)文档安全管理系统、Chinasce(安元)应用保护系统、Chinasce(安元)桌面管理系统、Chinasce(安元)文件审批系统、Chinasce(安元)身份认证系统、Chinasce (安元)终端应用模式切换系统、Chinasce(安元)移动存储介质管理系统等。
Chinasec(安元)内网安全管理平台系列产品注重从信息的源头开始抓安全,对信息的存储、交换和使用等环节实现全面保护,通过主动加密、事前控制、事中监视、事后审计等四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄露,为企事业单位构建了一个可信可控的内网环境。
Chinasec(安元)内网安全管理平台已经通过国家保密局、公安部、解放军信息安全测评中心和国家信息安全测评中心等权威机构的评审认定,并已在中国海关总署、奇瑞汽车、南车时代、中国银行、广东电力设计院、第二炮兵部队和中国石油等数千家单位成功应用,得到用户高度肯定。
数据中心信息安全解决方案
数据中心解决方案(安全)目录第一章信息安全保障系统 (2)1.1 系统概述 (2)1。
2 安全标准 (2)1。
3 系统架构 (2)1.4 系统详细设计 (3)1.4.1 计算环境安全 (3)1。
4.2 区域边界安全 (5)1。
4。
3 通信网络安全 (6)1.4。
4 管理中心安全 (7)1。
5 安全设备及系统 (9)1.5。
1 VPN加密系统 (10)1。
5.2 入侵防御系统 (10)1。
5.3 防火墙系统 (11)1。
5.4 安全审计系统 (12)1。
5.5 漏洞扫描系统 (13)1.5.6 网络防病毒系统 (15)1.5.7 PKI/CA身份认证平台 (16)1.5。
8 接入认证系统 (18)1。
5。
9 安全管理平台 (19)第一章信息安全保障系统1.1 系统概述信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。
它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑.系统的体系架构如图所示:图1.信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。
1.2 安全标准在数据中心建设中,信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T 24856—2009)二级防护要求进行设计。
该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据.信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。
已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。
Chinasec(安元)文档追溯系统解决方案
Chinasec(安元)文档追溯系统解决方案背景介绍随着信息化的发展,各种业务办公系统也随之上线,比如OA、ERP、CRM、MAIL等。
此类信息系统大大加快了内部信息传递的效率,但是同时也成为了大量明文信息的交互点和存储点,继而成为了企业中最大的信息风险源。
针对此风险,当前国内外都具有较多成熟的解决方案,比如:安全准入、身份加固、文档加密、权限管理等。
但是上述技术方案都有一个共性:需要部署客户端插件。
此现象在小规模环境中部署不会凸显出问题,但是一旦上线至集团级客户,将会出现如下问题:♦兼容性问题,客户端插件和计算机当前原有应用很有可能出现冲突,导致蓝屏、死机、业务中断等故障;♦管理性问题,由于集团地域性差异以及办公性差异,因此管理者很难做到面面俱到,管理策略导致业务事故的案例屡有发生;♦落地性问题,安全和便利本身是相互冲突的,当部署安全产品插件的时候,或多或少会给用户带来使用习惯上的变动,给最终使用者留下负面印象。
因此集团客户部署之时,将会遇到大量的阻碍,导致落地性大大降低。
Chinasec 文档追溯系统解决方案针对上述现状,明朝万达公司经过多年的市场调研,结合国家相关法规文献,提出了自己独有的解决方案——文档追溯系统。
所谓的‘追溯’就是对行为动作的审计。
而当前审计技术的普遍做法是:谁、什么时间、那台终端、做了什么,是一种正向的审计。
而明朝万达公司的Chinasec文档追溯系统通过对文件内部打入唯一表示符,通过此标示符追溯文件的来源,是一种逆向的追溯。
此系统由如下几部分构成:文档标签技术Chinasec采用独有的文档标签技术对文档打入唯一标示,此技术是基于标准的文件存储架构,在标准文件存储架构中,具有一层第三方接口区域。
第三方厂家可以对此接口进行调用,进行相关技术实现。
同时,Chinasec提供了硬件产品——标签服务器来执行打标签动作。
标签实现流程Chinasec文档追溯系统中,当从受保护的业务系统中下载文件时,业务系统会将要下载的文件位置、用户信息通知Chinasec标签服务器,标签服务器会根据位置信息找到此文件,并且根据用户信息打入唯一标签至文件中。
Chinasec(安元)军队数据安全解决方案
Chinasec(安元)军队数据安全解决方案行业特性随着国家军队信息化建设的不断升入,计算机已成为我军作战指挥、教育训练、装备研发、后勤保障以及日常办公等方面的重要信息载体和传输渠道,在享受计算机办公带来方便的同时,存储、流转在计算机/网络中的数据安全问题也引起广泛的关注,特别是计算机/网络中含有大量的国家涉密信息。
根据中央军委颁发《关于加强新形势下军队信息安全保障工作的意见》以及国家保密局前后颁布的《计算机信息系统安全等级保护基本要求》和《涉及国家秘密的信息系统分级保护技术要求》系列文件的指导要求,需对涉密信息系统明确进行严格的安全防护和安全等级建设的规划。
近年来,军内失泄密事件频发,全军计算机信息安全的问题日益凸显,尤其是敏感数据、业务系统需要重点进行保护,因此,需要对涉密计算机、数据、敏感业务系统采用认证、加密、监控等技术手段进行控制,促进我军信息安全保障能力的整体跃升。
需求分析♦涉密单位内部员工相对较多,按照军委以及国家保密局相关指导文件的要求,对内部人员的权限进行统一管理,统一授权;♦按照终端的涉密信息级别和主客体类别建立安全访问机制;♦需要对不同部门的计算机进行逻辑分域管理(不仅仅是建立物理隔离内网),并且根据计算机的使用性质,设置不同安全等级的保护策略,避免秘密信息的随意传播和泄密;♦采用安全的技术手段来加强对涉密内网数据传输的控制,避免数据遭受非法用户的窃听分析;♦加大力度管控杂乱的外设设备和计算机IP端口的使用;♦内部使用的移动存储介质和涉密数据的硬盘存储,采用相关加密技术和管理措施, 来进行规划和保护。
解决方案在涉密网内构建集信息保护安全认证、网络安全访问、数据加密、数据传输、终端监控与审计等功能于一体的完整内网安全保障体系,针对数据信息的存储、使用和交换等环节进行完整防护。
♦终端用户身份认证体系对用户进行集中管理和授权。
对信息系统中涉及涉密数据用户终端系统进行用户身份鉴别。
Chinasec服务器数据备份及应急恢复方法-v-
Chinasec服务器数据备份及应急恢复方法[V1.0(版本号)]拟制人孙加光审核人喻波批准人______________________2010年10月目录1.引言 (2)1.1.编写目的 (2)1.2.测试版本 (3)2.服务器数据说明 (3)2.1.服务器数据综述 (3)2.2.MySql目录 (3)2.3.Data.bak目录 (3)2.4.Cltlog目录 (4)3.数据备份方法 (5)3.1.Data数据备份 (5)3.2.Log数据备份 (6)4.数据应急恢复方法 (7)4.1.安装Chinasec服务器和控制台程序 (7)4.2.配置Chinasec数据存储路径 (7)4.3.数据恢复方法 (8)1.引言1.1.编写目的指导工程师进行Chinasec服务器数据备份以及在应急情况恢复Chinasec服务器。
1.2.测试版本测试版本:2.2.8 Release 20101019操作系统:Windows 2003 pro2.服务器数据说明2.1.服务器数据综述Chinasec服务器的数据主要是分为两类,一类data数据,包括计算机信息、用户信息、策略等,一类是log信息,包括文件操作记录、打印记录、邮件内容、网址访问、管理员操作等日志信息。
Data数据存储在MySql的数据库中,对应的文件名是xx.MYD和xx.MYI,备份数据以Data_xxxx-xx-xx.rar格式存储在data.bak目录中。
Log数据一部分按天存储在MySql的数据库中,对应文件名是syslog_xxxx_xx_xx.MYD和syslog_ xxxx_xx_xx.MYI,一部分存储在CltLog目录中,这部分数据是打印内容附件、邮件附件。
注:xxxx-xx-xx表示年月日。
2.2.MySql目录MySql数据库对应的目录名是WSDBMysql,Chinasec服务器安装时可以配置存储路径。
Chinasec服务器数据存储在WSDBMysql\data\wsdata目录中,文件明是*.MYD和*.MYI。
Chinasec(安元)应用系统安全解决方案
Chinasec(安元)应用系统安全解决方案背景介绍随着信息化日益普及和完善,以传统纸质文档办公的环境极大的约束了信息的沟通和交流,给信息的传递和交流造成了极大的障碍。
为了加快信息传递速度,提高员工工作效率,各个企业根据其自身特点和发展需求陆续建立了相关的业务应用系统,比如常见的OA系统、ERP系统、DRM系统等。
此类系统的建设大大加快了信息的传递和办公的效率,逐渐成为支撑信息交换和交流的主要载体。
而在各类应用系统运行中,包含了大量的重要敏感数据,应用系统也成了重要的数据存储中心、交换中心和处理中心。
由于应用系统的开放性、便利性和应用广泛性,再给企业业务带来极大便捷的,其特点主要有:♦应用系统开放性强,由于网络本身的开放特点,所以使用者可以随时、随地登录到应用系统,访问业务数据,使用敏感资料,乃至对敏感资料下载到终端,甚至存在违规非法存储、肆意传播等现象。
比如:在家里办公、出差移动办公、在网吧或者酒店使用公共计算机访问应用系统;♦大量数据集中存储,作为企业的业务系统,支撑了整个企业的日常办公和生产流程,因此会具有大量的数据进行集中式存储,包括日常办公数据、生产数据、行政数据等各类敏感和非敏感信息,数据集中存储便于管理,但同时应用系统数据安全使用,亟待提高;♦应用系统数据传播广泛,为了加快信息的传递,应用系统的跨部门、跨级别使用也是其基本特点之一。
不同部门、不同级别人员间的数据传递和信息沟通,由于没有对数据使用权限进行权限使用控制,极容易造成高敏感度文档肆意传播,被低密级人员查看,造成敏感信息散播,造成信息泄密;♦数据脱离应用系统后可控性差,应用系统本身的访问控制机制仅仅可以保证应用系统中数据的被动安全,一旦数据脱离应用系统下载到用户终端,在没有任何控制手段的情况下,无法防止使用者将敏感数据外发肆意传播。
需求分析根据以上应用系统描述,保护应用系统自身安全及系统中关联的数据安全,提出如下需求:♦加强应用系统访问控制,加固业务系统的访问方式,提高安全等级,实现限定终端访问控制+应用系统口令认证的认证机制,代替应用系统传统的简单口令密码的认证机制,防止口令盗用和网吧、酒店不安全的终端上访问应用系统而造成的数据泄密;♦数据安全加密,由于应用系统在使用过程中数据可以任意的下载使用,为了防止应用系统的数据泄密,因此从业务中下载下来的数据全部为加密状态;♦文档使用权限管控,为了有效保障文档在使用过程中的安全性,防范各种非法手段获取重要文档信息,在具体的文档使用过程中应该可以对文档的权限进行设置,去除用户对文件的非必要使用权限(打印、编辑等)。
Chinasec数据安全解决方案
C h i n a s e c数据安全解决方案北京明朝万达科技有限公司2012/91现状和需求随着全面信息化时代的到来,人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段,将企业的经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,这样,信息数据就成为企业信息的主要存储方式及企业内、外部之间进行信息交换的重要载体。
如何保护信息数据的安全问题,作为信息安全领域的一个重要内容,必将越来越受到重视。
对于企业来说,网络中包含了很多重要的信息资料,比如网络中积累和掌握了大量的客户信息、研发数据、生产数据和运营信息等,组织不希望这些资料离开内部的网络环境,甚至不允许在网络外部传递与交流,该采取什么防范措施?现代组织不能拒绝互联网的交互,不能将机构封闭在一个信息孤岛。
但用户在随意上传下载和发行网络中的文件的同时,可能会把组织的许多重要信息流通到网络外部,从而使重要的知识产权受到严重侵害。
知识产权的保护需要依靠法律和行政手段进行规范和管理,同时利用必要的技术手段辅助实现知识产权保护的可管理性。
从管理和技术两个层面杜绝机密信息的泄漏,才是解决问题的根本办法,才能防患于未然。
2Chinasec系统解决方案根据上述分析,建议采用Chinasec可信网络认证系统对公司的核心终端进行安全管控。
Chinasec可信网络认证系统建立在“双因素认证”基础上。
该方法的前提是一个用户记住的因素,如口令,但口令本身只能对真实性进行低级的认证,任何窃取口令的人都可以冒用合法性;因此需要增加第二个物理认证因素,以使认证的确定性按指数级递增。
借助Chinasec可信网络认证系统,可以向授权的员工登记发放Usbkey令牌,并对每个令牌进行授权以确认令牌的合法性。
员工通过密码激活令牌,然后通过保护网络的可信认证服务器能够验证这个令牌的合法性。
对令牌的访问必须提供密码,这个密码长度最长可达16个字节,并且一旦输入错误达到预先设定的值,令牌立即锁定,这样可以防止令牌丢失后对令牌的强行字典攻击。
ChinasecTM内网安全及数据保密解决方案论述(pdf 40页)
只有约20%来自 于外部攻击
80%左右来自于 内部泄密
7
泄密风险
实例分析
x公司系北方某大型机车制造企业(提供厂房与部门资金)与加拿大(提供 技术与部分资金)合资开办的独立的集设计\研发\生产与一体的新型机车 制造公司.
2007年某月,国内某城市抛出机车采购大单,采取公开招标的方式购买多 量机车,x公司紧集调配人力\物力进行技术公关,在最短的时间内完成了 符合采购方要求的机车设计方案.
12
泄密风险
网络所存在的泄密风险
•数据外带流程的滥用
现行数据的外发仅靠象征性的签字等方式进行备案,但对被外带数据的 使用与二次传播无法进行有效的管控,留下了极大的安全风险与泄密隐 患。
•服务器被非法入侵
服务器通常是计算机网络的最为关键的部分,往往存放大量的涉密数 据。如果只以操作系统的用户名、密码的方式进行计算机的接入控制无 法提供较高安全度的支撑防护。
可信网络保密系统的主要功能是网络边界的控制,加强对终端 硬盘数据的防护,提升网络与终端的安全级别,子功能如下:
本地硬盘加密 网络通信加密 不同安全级别的逻辑域划分 网络准入控制
实现功能:禁止非法联入、联出,防止硬盘外带泄密
19
解决方案
可信网络保密系统(VCN)
1.基于磁盘驱动层的加 解密方式,丝毫不改变用 户原有的办公习惯; 2.磁盘加密在透明化的 同时也把对网络与终端资 源的占用率降到了最低; 3. 磁盘加密不涉及到对 单个文件或某种类型文档 的加密,减小了因加密而 造成文档损坏的风险.
很多的单位、组织采购了IDS、软硬件防火墙、杀毒软件等,但 它们只能防护外来的黑客入侵与防止病毒漫延,无法有效降低来源于 组织内部的泄密风险。美国FBI与CSI每年都会对内部窃密事件进行抽 样调查,在06年时,随机抽取的484家公司损失总额已经超过了6000 万美元。
Chinasec(安元)可信网络安全平台V3.0PC终端使用手册(4)
北京明朝万达科技有限公司
Chinasec(安元)可信网络安全平台 V3.0PC 终端使用手册
目录
1. 产品概述 ..............................................................................................................................................................1 2. 系统架构图 ..........................................................................................................................................................1 3. 客户端基本操作 ..................................................................................................................................................2
3.1. DLP 客户端登录 .......................................................................................................................................2 3.2. DLP 客户端密码修改 ...............................................................................................................................3 3.3. DLP 客户端切换 .......................................................................................................................................4 3.4. DLP 客户端注销 .......................................................................................................................................5 3.5. DLP 客户端自动登录 ...............................................................................................................................5 4. Chinasec 终端数据防泄密系统 .........................................................................................................................7 4.1. 邮件智能加密 ..........................................................................................................................................7
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电信运营商行业Chinasec数据安全解决方案北京明朝万达科技有限公司2011 / 121 前言随着全面信息化时代的到来和电信运营商业务支撑网的快速发展,对于电信运营商自身来说,业务支撑网包含了很多重要的信息资料,如业务支撑网积累和掌握了大量的客户信息、生产数据和运营信息等,企业不希望这些资料离开内部的网络环境,甚至不允许在网络外部传递与交流,该采取什么防范措施?现代企业不能拒绝互联网的交互,不能将机构封闭在一个信息孤岛。
但用户在随意上传下载和发行网络中的文件的同时,可能会把企业的许多重要信息流通到网络外部,从而单位内部敏感数据受到严重侵害。
敏感数据的保护需要依靠法律和行政手段进行规范和管理,同时利用必要的技术手段辅助实现敏感数据保护的可管理性。
从管理和技术两个层面杜绝机密信息的泄漏,才是解决问题的根本办法,才能防患于未然。
2 信息现状由于运营商的核心目的是通过网络技术来加快人与人之间信息化交流,因此目前国内各大运营商的IT建设相对超前与其他行业,建设了包括boss系统、bomc系统、客服系统等,此类系统统称为业务支撑系统,同时还包括OA、CRM系统等常规办公系统。
由于每个系统所关注的业务角度不同,因此其涉及到的人员也有所不同。
在此基础上,每个系统的人员又根据‘使用环节’和‘运维环节’而定义出不同的工作形态。
因此,目前国内运营商的业务网络相对其他行业而言比较复杂。
但是,根据数据生命周期的基本原则:生成->存储->使用->传输,我们可以进行比较明确的归类,本文以BOSS系统为例,如下图所示:系统生命周期业务环节涉及角色业务形态BOSS 系统数据生成使用环节业务前端人员(营业员、客户经理、市场人员等)面向最终客户群体,运营商内部信息向外部传输和外部信息向内部录入的最基础端业务系统操作人员维护环节业务系统管理员、后台、主机数据库管理员支持对前端业务系统和后台数据库的日常管理,同时也会兼职‘使用环节’中的部分业务数据存储使用环节业务支撑中心人员负责对整个业务的支撑运维工作。
是整个业务系统正常运行的核心。
维护环节第三方维护人员负责协助业务支持中心对业务进行维护。
数据使用使用环节业务前端人员、后台主机、数据库管理员、业务支撑中心对整个业务支撑系统中的数据进行使用。
维护环节业务支持中心开发测试人员、第三方维护人员通过对支撑业务中数据的调用,来维护、研发、测试相关业务应用。
数据传输使用环节业务前端人员(特别是手机卖场、营业厅等人员出入复杂环境下的前端业务人员)、业务支撑中心按照规章,业务前端人员无数据传输需求。
业务支撑中心的数据传输应该是为其工作而服务的合法传输。
维护环节业务支撑中心在业务维护的过程中,进行有利于正常工作的合法传输。
注:由于每个运营商不同以及所属区域的不同,所以列表中所代表的要素可能会有所偏移。
我们可以按照这种思路,继续推衍出其他系统的相关架构,由于运营商的业务系统太多,本文此处不一一进行归类。
3 风险分析在目前运营商的业务体系中,数据在应用过程中不管在服务器上还是在终端计算机上,都是处于明文存储状态,任何人只要接触这个文件既可以进行恣意的传播。
一旦把重要资料交给他人,就完全失去了对文档的管理控制,接收方获取文件后可以进行任意的传播,并且是无限期拥有,可以随时使用资料。
虽然业务系统本身提供很多系统运行相关的日志,但是对于敏感信息保存在各终端计算机以后就完全失去了监控权,信息即使出现泄密也无法准确的找到泄密的源头,无法追究相关的责任,因此需要数据加密技术对数据源进行保护。
同时,由于业务系统过于庞大,使用角色过多,所以人员身份的核实也需要进行相关的加强。
再次,由于前端人员的对工作效率的需求较强,因此会考虑通过网络准入、桌面管控等技术辅助数据保密工作。
考虑到目前运营商的业务以及人员的复杂性,不同的人员在不同的业务系统下是具有不同的风险以及需求,‘一刀切’的解决思路不合适于当前环境,所以首先要分析出运营商的不同的风险点和需求点。
经过Chinasec的专家团队多年的市场调研,运营商的风险需求可以分为如下三大部分:总体目标具体目标风险需求业务系统数据BOSS系统(本文以Boss系统为例)用户身份冒用业务数据丢失数据使用越权日志审计冗余数据二次泄密在绝对不会破坏业务系统正常运行的前提下,有针对性的对业务系统中的数据,按照不同的角色进行数据保密。
终端数据运营商内部人员终端使用混乱移动家庭办公业务数据丢失终端资产变更网络准入失查不影响内部员工正常工作的前提下,以低风险的保密方式,对内部员工进行数据保密工作。
第三方维护人员管理难度较高移动办公普遍数据访问越权业务数据丢失网络准入失查以保护业务系统数据为核心,对第三方维护人员从身份确认、数据保密、行为管理三方面进行适当的安全保护,在保护的同时,又能兼顾到第三方人员非运营商数据的正常使用。
移动增值业务移动办公安全移动接入安全移动应用安全移动终端管理随着移动办公的普及,需保证移动终端用户的接入安全、应用安全及终端管理等问题4 Chinasec数据安全建设方案Chinasec(安元)的专家团队通过多年对电信运营商行业信息化建设的调研,针对运营商遇到的内网数据安全问题,结合多年的服务经验,最终提出了一份适合运营商需求的数据安全的信息化改造方案。
4.1 核心业务系统数据安全解方案(如:BOSS、OA等)随着竞争的加剧,各运营商不断的依赖各个管理系统来提高自身管理水平及服务水平,目前,各管理系统都是通过帐号和密码等进行访问权限控制,当拥有权限的人从管理系统上导出数据后,就无法保证数据的安全性,为了规避此类风险,Chinasec(安元)应用保护系统为运营商业务系统构建了数据保密体系,精确定位数据泄密风险,客户端采用插件形式部署,当用户登陆系统后(用户的身份识别还是依赖管理系统)从受保护的业务系统导出数据,这个数据就是加密文件,通过对业务系统上下载的文件采用加密技术不仅仅精确定位受保护的数据而且还有效的规避了数据泄密的源头和风险点。
4.1.1文档加密管理为了解决从业务系统中导出的数据无法得到有效保护的问题,Chinasec(安元)应用保护系统可以自动判断访问的目标地址是否属于受保护的业务系统,如属于保护范围之内,Chinasec(安元)应用保护系统会自动对导出的文件进行加密处理,从而有效的保护了从业务系统中导出数据的安全性。
4.1.2文档权限控制管理文档权限管理是文档保密体系中的核心,文档权限管理包括:只读、编辑、拷贝、截屏、脱密、离线、时间、次数等;策略定义主要包含在线和离线的两种状态,根据不同的状态实现不同的权限。
Chinasec应用保护系统在开发过程中已经预留出接口,可以与运营商内部的文档权限进行结合,有效保证了文档权限的统一管理。
4.1.3文档权限变更在实际应用过程中,由于默认权限执行的相对严格,当使用者需要使用更高权限时则可以通过权限变更实现。
文件权限提升是可以针对目前使用的文件提升获取更高权限(明文是最高权限)。
文件权限变更是由发起人、审批人组成,通过系统内嵌一套变更流程(具体的流程支持自定义)完成;系统在对文件权限变更过程中还支持细粒度的权限控制策略,权限控制包括的只读、编辑、另存、打印、拷贝、截屏、水印、脱密、时间、打开次数等访问权限控制;且最高权限可以是脱密成明文。
4.1.4日志的跟踪和审计在数据对外进行交换过程中,Chinasec数据安全解决方案除了采用文件权限变更进行管理以外,还提供了数据的跟踪和审计功能。
文件的权限变更信息将自动进行保存,并传到日志服务器上,录入查询数据库中。
Chinasec解决方案还提供了多种数据跟踪机制,包括对业务系统获取的重要信息的打开,和违规操作,比如不允许打印的文件尝试打印等。
可通过报表平台根据时间、文件关键字、发送人、IP地址、计算机名等多种信息进行综合查询。
为了确保对整个网络的实时日志的审计记录和报警,Chinasec解决方案提供了日志报警器。
通过日志报警器,管理员可以在不登录管理控制台的情况下,实时接收Chinasec可信网络安全平台各个系统的实时状态信息,这些信息包括:普通日志信息,包括用户登录、文件日志和其他日志信息。
4.2 终端数据安全解决方案4.2.1内部人员终端的数据安全管控针对移动内部人员应用比较复杂,内部数据交换频繁,数据传输量较大的特点,因此建议运营商内部人员采用“区域内透明,区域外保护”的保护思路,就是要求根据环境对涉及到的敏感数据终端进行安全的防护,当数据在受信任的区域内存放时,用户可以随意对数据进行操作。
当数据脱离受信任的区域时,数据就会受到相关权限的控制。
受信任区域的划分可以按照部门、地域、临时工作组等。
如上图所示,Chinasec 通过对网络、U 盘、外设、磁盘、直连等出口的控制,数据在受信区域内部完全自由使用,一旦离开受信区域将自动加密,无法使用。
若要离开区域使用,必须经过审批员审核,审核过后的数据可以在外部使用。
同时,对于笔记本移动办公通过离线策略,进行保护。
4.2.2 第三方接入终端的数据安全管控对于第三方办公人员采用‘安全准入,模式切换’的保密思路,就是对于要访问到业务系统,进行业务维护的时候,比如要经过安全认证,将终端切入到‘工作模式’下,经过认证的终端才有资格连接到业务系统,进行维护工作,产生到本地的数据依旧受到保护,并且可以根据每个维护人员角色的不同,对其能访问的服务器资源进行具体定义。
当第三方维护人员不进行维护工作的时候,可以切换到‘普通模式’下,进行私人工作,但是不能访问到本地中的敏感数据以及业务系统服务器中的数据。
受信区域U 盘加密网络外发加密网络传输控制 磁盘加密 外设控制 @ 非法/强行外带乱码明文外带 密文外带出差外带离线策略 计算机受控审批外带管理 外发4.3 数据防泄漏解决方案关键数据是维系企业和社会发展的重要动力,这使其成为黑客和恶意内部人士觊觎的目标,也是监管机构严格审查的对象;同时企业还需要防止员工无意中泄露机密。
企业既要保护敏感数据的安全,保持监管合规性,又要在不改变现有业务流程的前提下快速部署实施,并且能够有效控制成本,降低复杂度和风险。
IDC和Gartner等多家研究机构认为,数据安全已经成为当今企业信息安全面临的最大挑战:-59%的失业或离职员工承认窃取了公司机密文档;-监管机构对企业敏感数据管理的要求更加严格,内容更加广泛;-管理者对公司内机密信息缺少管理深表忧虑;-企业数据泄露事件有90%是员工无意中造成的;-2011年美国发生了22万亿条个人财务信息泄露;-散落在云存储和云计算应用中的数据,更加难以发现和管理;-我国的个人信息保护法规已经于2013年开始执行。
针对非结构化数据的内容识别,一直是信息技术领域的难点和壁垒。