發(fā)布時間:2023-10-18 10:22:35
序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的敏感信息安全樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀。
(1)客戶基本資料包括但不限于集團(tuán)客戶資料、個人客戶資料、渠道及合作伙伴資料、精確營銷目標(biāo)客戶群數(shù)據(jù)和各類特殊名單。
(2)客戶身份鑒權(quán)信息包括但不限于客戶的服務(wù)密碼和客戶登錄各種業(yè)務(wù)系統(tǒng)的密碼。
(3)客戶通信信息包括但不限于詳單、原始話單、賬單、客戶位置信息、客戶消費信息、基本業(yè)務(wù)訂購關(guān)系、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購關(guān)系、增值業(yè)務(wù)信息、客戶通信行為信息和客戶通信錄等。
(4)客戶通信內(nèi)容信息包括但不限于客戶通信內(nèi)容記錄、客戶上網(wǎng)內(nèi)容及記錄和行業(yè)應(yīng)用平臺上交互的信息內(nèi)容。客戶信息安全面臨的風(fēng)險和威脅主要包括因為權(quán)限管理與控制不當(dāng),導(dǎo)致客戶信息被隨意處置;因為流程設(shè)計與管理不當(dāng),導(dǎo)致客戶信息被不當(dāng)獲取;因為安全管控措施落實不到位,導(dǎo)致客戶信息被竊取等。
2客戶信息安全保護(hù)的目標(biāo)
客戶信息安全保護(hù)的目標(biāo)如下。
(1)利用安全保護(hù)手段和審計系統(tǒng)對業(yè)務(wù)支撐網(wǎng)客戶信息的數(shù)據(jù)泄漏及篡改做到事前預(yù)防、事中控制、事后審計。
(2)通過管理制度及細(xì)化管理流程強化客戶信息安全的日常管理和審核,及時處理客戶信息泄密事件的處理,落實信息泄露的懲罰措施。
3客戶信息安全保護(hù)的要求
客戶信息安全保護(hù)的總體要求如下。
(1)對業(yè)務(wù)支撐網(wǎng)客戶信息按數(shù)據(jù)價值、數(shù)據(jù)安全需求兩方面進(jìn)行分級管理。
(2)對業(yè)務(wù)支撐網(wǎng)客戶信息的所有存儲方式及獲取途徑應(yīng)進(jìn)行深入分析,及時發(fā)現(xiàn)并彌補業(yè)務(wù)層面和系統(tǒng)層面中可能導(dǎo)致客戶信息被篡改和泄漏的漏洞。
(3)利用安全技術(shù)和管理手段加強客戶信息管控,避免數(shù)據(jù)泄露和非法篡改。
4總體設(shè)計
結(jié)合業(yè)務(wù)支撐網(wǎng)客戶信息安全保護(hù)要求給出安全保護(hù)體系架構(gòu)、功能模塊。主要從客戶信息授權(quán)鑒權(quán)、電子審批、數(shù)據(jù)提取控制、維護(hù)工具管理、數(shù)字水印、文檔管控、操作行為審計等方面加強客戶信息安全控制,提高業(yè)務(wù)支撐系統(tǒng)的客戶信息安全保障能力。
4.1體系架構(gòu)
整個體系由數(shù)據(jù)層、應(yīng)用層、服務(wù)層構(gòu)成,每個層次分別對應(yīng)客戶信息安全保護(hù)的主要功能模塊。
4.2功能模塊設(shè)計
整個客戶信息安全保護(hù)體系功能模塊設(shè)計和系統(tǒng)交互。下面針對每個部分進(jìn)行詳細(xì)功能設(shè)計。
4.2.1授權(quán)與訪問控制
通過4A管理平臺實現(xiàn)維護(hù)終端集中化授權(quán)與訪問控制。4A管理平臺上采用堡壘主機的技術(shù),基于用戶的權(quán)限,進(jìn)行統(tǒng)一的資源層和應(yīng)用層訪問控制,避免維護(hù)人員使用不安全的終端直接訪問客戶信息。4A管理平臺進(jìn)行統(tǒng)一的審計操作,原有系統(tǒng)功能和性能不會受到影響,在減輕管理員負(fù)擔(dān)的同時,提高了賬號控制和操作審計。
4.2.2客戶信息鑒權(quán)控制
客戶信息鑒權(quán)控制首先對業(yè)務(wù)支撐網(wǎng)中所存儲的數(shù)據(jù)進(jìn)行梳理調(diào)研,根據(jù)數(shù)據(jù)機密性把數(shù)據(jù)分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)兩大類,并對敏感數(shù)據(jù)按機密程度級別進(jìn)行分類。鑒權(quán)控制模塊包括數(shù)據(jù)屬性綜合分析、實體敏感度定義、內(nèi)容敏感度定義、屬性敏感度定義、敏感度分級、敏感度分級核查和數(shù)據(jù)安全鑒權(quán)控制調(diào)度等7部分;本文工程數(shù)據(jù)安全鑒權(quán)控制主要實現(xiàn)以下目標(biāo)。
(1)數(shù)據(jù)屬性綜合分析:制定敏感數(shù)據(jù)定義原則,并對全網(wǎng)的數(shù)據(jù)進(jìn)行分析整理,分析出當(dāng)前業(yè)務(wù)支撐網(wǎng)中的所有敏感數(shù)據(jù)的存儲位置和訪問方式。
(2)實體敏感度:實體敏感度是根據(jù)實體的保密程度來劃分的敏感度。數(shù)據(jù)庫表實體根據(jù)業(yè)務(wù)內(nèi)容和行業(yè)背景等視角的不同,其敏感級別也有所不同。
(3)內(nèi)容敏感度:根據(jù)實體內(nèi)容的保密程度來設(shè)定的敏感度。根據(jù)數(shù)據(jù)庫實體關(guān)鍵屬性值的不同,其相對的保密程度也有所不同。如按月周期(或其它周期)屬性來劃分,將數(shù)據(jù)分為當(dāng)月、3個月內(nèi)、6個月內(nèi),并分別設(shè)置不同的敏感級別,擁有不同級別的用戶所能查看的KPI周期范圍就會不同。內(nèi)容敏感度的優(yōu)先級低于實體敏感度。
(4)屬性敏感度:屬性敏感度是根據(jù)實體屬性(如字段)的保密程度來劃分的敏感度。梳理系統(tǒng)的所有數(shù)據(jù)庫表及其字段信息,運用這些集中管理的實體屬性內(nèi)容,給每個屬性設(shè)置相應(yīng)的敏感級別。在數(shù)據(jù)敏感度控制方面,屬性敏感度的優(yōu)先級僅次于實體敏感度。用戶首先要有實體的瀏覽權(quán)限,才進(jìn)一步考慮屬性敏感度。
(5)敏感度分級:根據(jù)敏感數(shù)據(jù)的實體敏感度、內(nèi)容敏感度、屬性敏感度來計算出數(shù)據(jù)的敏感度級別。
(6)敏感度分級核查:根據(jù)預(yù)訂的檢查策略和規(guī)則對敏感數(shù)據(jù)的分級進(jìn)行核查。
(7)數(shù)據(jù)安全鑒權(quán)控制調(diào)度:實現(xiàn)對數(shù)據(jù)安全鑒權(quán)控制的整體調(diào)度管理,負(fù)責(zé)對敏感數(shù)據(jù)模塊的整體控制。
4.2.3電子審批管理
電子審批模塊包括自管理模塊、審批內(nèi)容管理、審批時間管理、電子審批引擎、電子審批服務(wù)支撐、審批賦權(quán)管理、電子驗證碼管理、臨時訪問審批管理、永久賦權(quán)審批管理和審批任務(wù)管理等。用戶訪問業(yè)務(wù)支撐網(wǎng)時,如需要臨時性獲得直接上級某個功能點的用戶權(quán)限,訪問用戶需進(jìn)行權(quán)限升級的電子審批,將電子驗證碼傳給業(yè)務(wù)支撐門戶,由業(yè)務(wù)支撐應(yīng)用門戶向訪問用戶的直接上級發(fā)送。直接上級如同意該申請則轉(zhuǎn)發(fā)電子驗證碼到訪問用戶,訪問用戶輸入該電子驗證碼通過審批,用戶通過審批后在限定時間內(nèi)獲得查看權(quán)限;如直接上級不同意該申請則不進(jìn)行轉(zhuǎn)發(fā)。
4.2.4數(shù)字水印管理
數(shù)字水印模塊包括自管理模塊、敏感度內(nèi)容配置、數(shù)字水印生成引擎、數(shù)字水印調(diào)用管理、用戶數(shù)據(jù)采集、數(shù)字水印配置服務(wù)、條形碼規(guī)則管理、水印校驗服務(wù)和流程管理接口等。主要實現(xiàn)以下目標(biāo)。(1)自管理模塊:負(fù)責(zé)數(shù)字水印服務(wù)自身的配置管理,主要包括用戶管理、敏感數(shù)據(jù)內(nèi)容控制等功能。(2)敏感度內(nèi)容配置:負(fù)責(zé)數(shù)字水印服務(wù)自身的配置管理,主要包括用戶管理、敏感數(shù)據(jù)內(nèi)容控制等功能。(3)數(shù)字水印生成引擎:水印生成引擎給請求的應(yīng)用返回數(shù)字水印圖片文件,數(shù)字水印圖片文件由用戶的條碼圖多次重復(fù)出現(xiàn)形成,用戶條碼圖用請求應(yīng)用的用戶ID計算得出的,不同的用戶ID生成不同的條碼圖。(4)數(shù)字水印調(diào)用管理:負(fù)責(zé)對業(yè)務(wù)支撐系統(tǒng)提供數(shù)字水印服務(wù)的整套調(diào)度和支撐管理。(5)用戶數(shù)據(jù)采集:根據(jù)數(shù)字水印的生成需要,采集業(yè)務(wù)支撐系統(tǒng)的訪問員工ID、時間日期、登錄IP及菜單ID等信息。(6)數(shù)字水印配置服務(wù):負(fù)責(zé)用戶訪問頁面時調(diào)用數(shù)字水印服務(wù)的配置管理,通過配置來定義哪些業(yè)務(wù)支撐網(wǎng)內(nèi)容需要提供數(shù)字水印服務(wù)。(7)條形碼規(guī)則管理:定義數(shù)字水印的條形碼規(guī)則,根據(jù)規(guī)則實現(xiàn)計算、加密、編碼并進(jìn)一步生成用戶條碼。(8)水印校驗服務(wù):提供后臺服務(wù),管理人員可以通過該功能解讀條形碼并找出真正的用戶姓名。用戶訪問頁面時可以根據(jù)訪問員工ID、時間日期、登錄IP及菜單ID生成數(shù)字水印信息內(nèi)容,將數(shù)字水印信息內(nèi)容傳送給業(yè)務(wù)支撐系統(tǒng),由業(yè)務(wù)支撐系統(tǒng)門戶進(jìn)行水印展現(xiàn)。
4.2.5客戶信息取數(shù)控制
4A管理平臺針對客戶信息訪問提供了圖形化工具與審計相結(jié)合的集中管理,構(gòu)建了一個完整的用戶管理、用戶鑒權(quán)、操作審計和訪問控制的體系。不再允許用戶對數(shù)據(jù)庫后臺資源的直接訪問;需要將通過數(shù)據(jù)庫的堡壘取數(shù)控制主機來訪問,由堡壘主機預(yù)裝的圖形化工具訪問數(shù)據(jù)庫的后臺資源。
4.2.6維護(hù)工具集中管理
客戶信息的維護(hù)工具通過4A管理平臺進(jìn)行統(tǒng)一的Web,將系統(tǒng)運行維護(hù)工作所涉及的應(yīng)用軟件或工具集中部署在4A管理平臺服務(wù)器上。通過Web方式來向不同用戶或用戶群并僅其所需應(yīng)用;用戶在客戶端通過IE瀏覽器訪問權(quán)限訪問內(nèi)的客戶信息。
4.2.7客戶信息文檔管控
針對業(yè)務(wù)支撐網(wǎng)中涉及客戶信息訪問的維護(hù)人員都建立一個個人文件夾,個人文件夾的文件存放在4A文檔服務(wù)器上,通過4A管理平臺訪問每個賬號的文件夾。文件夾設(shè)置權(quán)限為只能某個主賬號訪問。管理中心通過FTP協(xié)議訪問文檔服務(wù)器的目錄,客戶端通過HTTP協(xié)議管理文件夾,上傳下載通過HTTP/FTP協(xié)議。實現(xiàn)客戶信息批量文檔下載操作行為的可控化,如果維護(hù)人員的確因業(yè)務(wù)需要下載用戶數(shù)據(jù),則需要根據(jù)事先約定的申請、審批等環(huán)節(jié),同時通過短信通知上級主管,形成基于信息安全監(jiān)察機制的閉環(huán)控制體系。
4.2.8客戶信息訪問審計
通過4A管理平臺任何用戶使用和應(yīng)用的過程可以被全程監(jiān)控,其審計的內(nèi)容包括錄像審計、SecurerCRT審計、Sql訪問審計、客戶信息批量下載審計等。任何用戶使用維護(hù)功能的過程將被全程監(jiān)控:用戶的操作行為及顯示器上的內(nèi)容變化可以存放到集中存儲上,然后在需要的時候像看電影一樣回放。為有效利用資源和保護(hù)隱私,客戶信息訪問審計允許靈活定制以時間、角色、應(yīng)用名稱、位置為參數(shù)的錄像策略來控制錄像的開始和停止。業(yè)務(wù)支撐系統(tǒng)從各環(huán)節(jié)層次抽取的審計日志信息,按照4A管理平臺的要求對其進(jìn)行重新過濾和格式化整理,并最終進(jìn)行日志信息入庫。整個過程需實現(xiàn)處理的流程化及自動調(diào)度機制,以保證4A管理平臺能夠及時地獲取日志數(shù)據(jù)。4A管理平臺提供統(tǒng)一日志采集接口(API或WebServices),所有應(yīng)用系統(tǒng)都可以調(diào)用該接口,記錄日志信息。
5意義
客戶信息保護(hù)體系的建設(shè)是以強化業(yè)務(wù)支撐系統(tǒng)數(shù)據(jù)安全管理,實現(xiàn)信息安全審計、數(shù)據(jù)安全保護(hù)為最終目的。通過對系統(tǒng)權(quán)限、操作日志、訪問控制等安全措施,滿足中國移動在客戶信息安全保護(hù)方面的需求,提升業(yè)務(wù)支撐系統(tǒng)抗客戶信息安全風(fēng)險能力,更進(jìn)一步推動業(yè)務(wù)支撐系統(tǒng)的持續(xù)、健康發(fā)展。
6結(jié)束語
關(guān)鍵詞:建設(shè)項目 ; 敏感資料 ; 信息安全管理Abstract:According to the mobile operators information engineering management department, in the sensitive data management in the application of DLP strategy, (DLP, Data leakage prevention, namely data leakage prevention), to solve information loss, leakage of the scheme, with strong guiding role on improve the specific information of the level of safety management.
Keywords: construction project; sensitive information; information security management
中圖分類號: TU714文獻(xiàn)標(biāo)識碼:A文章編號:
1 緒論
1.1背景
移動信息運營商,其網(wǎng)絡(luò)工程項目主要以外包形式開展建設(shè),其中工程管理部門作為建設(shè)單位代表,主要擔(dān)負(fù)工程項目行政管理工作。工程管理部門在日常工作中,未直接接觸公司業(yè)務(wù)及客戶信息,信息安全管理被重視程度較低。但是工程管理部門參與工程建設(shè)項目合作單位招投標(biāo)、設(shè)備采購,掌握公司網(wǎng)絡(luò)規(guī)劃信息等重要敏感數(shù)據(jù),這些信息的不恰當(dāng)泄露,將嚴(yán)重影響工程建設(shè)開展,損害公司利益。因此,需要針對工程管理部門資料信息安全管理的不足,落實一系列措施,提高信息安全管理水平。
1.2 問題及目標(biāo)要求
工程管理部門日常涉及的信息資料,包括網(wǎng)絡(luò)戰(zhàn)略規(guī)劃、項目進(jìn)度、質(zhì)量、投資計劃方案、工程管理方法、項目招投標(biāo)事項、項目周期報告等。其中,網(wǎng)絡(luò)戰(zhàn)略規(guī)劃、工程管理方法、項目招投標(biāo)事項屬于敏感資料,需重點保護(hù),其他信息屬于可公開資料。工程管理部門敏感資料管理要求較低,允許投入的管理成本少,在公司信息安全管理中,屬于被動配合部門,普遍未建立適用工程管理部門敏感數(shù)據(jù)安全管理規(guī)范,存在比較嚴(yán)重的敏感數(shù)據(jù)泄露風(fēng)險。
在本文中,將根據(jù)DLP策略原理,對工程管理部門在敏感資料管理方面的實際操作,提出完整解決預(yù)案,達(dá)到以較低成本、較易落實的方式,提高信息安全管理水平的目標(biāo)。
2 敏感資料DLP方案
根據(jù)DLP策略(DLP,Data leakage prevention,即數(shù)據(jù)泄露防護(hù)),全面識別文檔、郵件、文字等敏感信息,評估信息風(fēng)險,統(tǒng)一制定防泄漏策略,監(jiān)控信息泄密途徑,采取適當(dāng)?shù)募夹g(shù)手段和管理手段進(jìn)行阻止。根據(jù)“圖1 工程資料保護(hù)實施流程”,下面通過對內(nèi)容進(jìn)行分析,按照策略來識別、監(jiān)控和保護(hù)靜態(tài)存儲的、使用中或動態(tài)傳輸?shù)臄?shù)據(jù)。
圖1 工程資料保護(hù)實施流程
根據(jù)上述流程圖,以下說明各重要環(huán)節(jié)的措施。
2.1工程信息資料識別及安全要求分類:
表1 工程信息資料分類管理要求
2.2針對不同密級信息資料的安全保護(hù)策略,包括管理手段及技術(shù)手段。
表2 工程信息資料保護(hù)要求
表2保護(hù)要求中的具體技術(shù)手段及管理手段如下:
(1) 公司內(nèi)部人員使用專用認(rèn)證帳號,才能登錄辦公網(wǎng)絡(luò)(含局域網(wǎng)),認(rèn)證帳號不能借與他人使用,否則一經(jīng)發(fā)現(xiàn)通報批評,并考核處理。
(2) 公司外部人員原則上不能登錄辦公網(wǎng)絡(luò)(含局域網(wǎng)),特殊情況需要登錄,須申請臨時認(rèn)證帳號,經(jīng)項目主任、部門經(jīng)理、公司安全管理部門審批。認(rèn)證帳號專人使用,如借與他人使用,一經(jīng)發(fā)現(xiàn)考核處理,直至取消參與公司項目資格。
(3) 辦公室電腦必須安裝公司指定的防火墻及賽門鐵克防病毒軟件,安裝軟件必須及時升級更新(或自動更新)。所有電腦均設(shè)置帳號登錄密碼,并且要求在離開屏幕時退出登錄或者鎖屏。
(4) 文件服務(wù)器使用訪問控制機制,由公司安全管理部門部署防火墻,并且關(guān)閉所有外部訪問端口,僅允許局域網(wǎng)訪問。
(5) 文件服務(wù)器使用授權(quán)機制,所有人須使用各自登錄帳號才能登錄訪問,并根據(jù)各自權(quán)限對文件服務(wù)器上的文件,進(jìn)行新建、修改、刪除、閱讀等。
(6) 文件服務(wù)器對登錄帳號活動進(jìn)行日志記錄,以便落實監(jiān)控、審計機制。
(7) 辦公室為部分人員配備可上鎖的文件柜,可密封文件袋。
(8) 公司/部門檔案室專人管理,文件的出入均實現(xiàn)審批、簽收記錄的制度。
(9) 辦公室開展密碼學(xué)基礎(chǔ)知識培訓(xùn),關(guān)鍵崗位均應(yīng)掌握并設(shè)置“易記且足夠健壯”的密碼。
2.3執(zhí)行保護(hù)策略,審核與持續(xù)改進(jìn)
從管理制度上規(guī)范保護(hù)策略,還要對相關(guān)人員進(jìn)行宣貫教育,才能保證保護(hù)策略的有效落實。
為保證并評估策略的實施效果,開展周期性的檢查審計,對發(fā)現(xiàn)問題及時整改,對發(fā)現(xiàn)不足進(jìn)行改進(jìn),形成閉環(huán)管理。
(1) 將上述保護(hù)策略的檢查點,制作成標(biāo)準(zhǔn)的檢查表。
表3 工程信息安全檢查表(部分)
檢查內(nèi)容 檢查描述 檢查結(jié)果
抽查不少于25%的辦公電腦,檢查是否規(guī)范使用網(wǎng)絡(luò)登錄認(rèn)證帳號
抽查不少于20%的辦公電腦,檢查是否安裝了防火墻及防病毒軟件,防火球及防病毒軟件是否及時更新
抽查不少于20%的辦公電腦,檢查是否設(shè)置了登錄密碼
抽查所有項目辦公電腦,辦公人員離開電腦時,是否退出系統(tǒng)登錄或進(jìn)行鎖屏
檢查當(dāng)天接入辦公網(wǎng)絡(luò)的第三方電腦,是否按我公司規(guī)范正確使用認(rèn)證帳號、安裝防病毒軟件等
隨機詢問辦公室不少于10%的人員,結(jié)合個人崗位,講述部門敏感資料管理要求
抽查一個項目,檢查文件的存放及加密、傳遞記錄,是否符合規(guī)范
…………
(2) 由經(jīng)理人員、信息安全管理員組成檢查組,根據(jù)表3內(nèi)容,周期性開展對保護(hù)策略落實情況的檢查。
(3) 根據(jù)保護(hù)策略實施結(jié)果、檢查結(jié)果,階段性開展保護(hù)策略總結(jié)分析,分析其中改進(jìn)需求,持續(xù)改進(jìn)。
3 結(jié)論
在本文中,針對工程管理部門在敏感資料管理中面臨的問題,根據(jù)DLP策略,在“預(yù)防為主、突出重點、便利工作、保障安全”的方針指導(dǎo)下,提出了解決的預(yù)案。解決預(yù)案,貼近實際工作,落實成本低,能夠在較大程度上,滿足工程管理部門目前信息安全管理要求,對實際工作具有較強指導(dǎo)意義。
受篇幅及作者水平的限制,本文中針對問題提出的解決預(yù)案未盡詳細(xì)。如果在實際工作中落實,可根據(jù)解決預(yù)案,制定更加具體的方案措施。
針對辦公計算機信息安全隱患,通過提出辦公計算機接入內(nèi)部網(wǎng)絡(luò)流程、編寫計算機本地違規(guī)賬號禁用程序、開展計算機感染病毒原因分析及專項查殺、啟用計算機USB接口禁用策略等技術(shù)手段,有效降低辦公計算機信息安全風(fēng)險。
1.1提出辦公計算機接入內(nèi)部網(wǎng)絡(luò)流程
為保障天津公司辦公計算機各項信息安全監(jiān)控指標(biāo)符合安全加固要求,避免由于運行維護(hù)人員違規(guī)操作導(dǎo)致出現(xiàn)計算機本地賬號弱口令、安全防護(hù)軟件安裝率下降等安全問題,必須明確辦公計算機接入公司內(nèi)部辦公網(wǎng)絡(luò)操作流程,并要求計算機運行維護(hù)人員嚴(yán)格按照該流程進(jìn)行操作。該流程從裝機前準(zhǔn)備工作、安裝操作系統(tǒng)、入網(wǎng)前準(zhǔn)備工作、入域及安裝趨勢防病毒軟件、安裝桌面終端管理系統(tǒng)并下發(fā)安全策略等幾個方面給出明確操作步驟,規(guī)范了辦公計算機命名規(guī)則,通過全網(wǎng)惟一計算機名稱可以直觀反映終端使用人、物理位置、用途等屬性,有利于實時開展信息安全管控工作。
1.2編寫計算機本地違規(guī)賬號處理程序
對于已接入公司信息網(wǎng)絡(luò)的辦公計算機,由于數(shù)量龐大,運維人員無法手動逐一排查計算機本地違規(guī)賬號,導(dǎo)致部分計算機仍然存在系統(tǒng)自帶違規(guī)賬號(如Guest、Administrator等),以及計算機用戶自建的密碼策略違規(guī)賬號。因此,有必要采用技術(shù)手段全面清理違規(guī)賬號,通過編寫違規(guī)賬號自動禁用腳本程序,并利用計算機管理系統(tǒng)下發(fā),可實現(xiàn)對內(nèi)、外網(wǎng)計算機本地違規(guī)賬號的自動禁用。辦公計算機本地違規(guī)賬號禁用工作分為以下幾步:
(1)下發(fā)現(xiàn)狀調(diào)研表,為保障日常工作的有序開展,要求各單位計算機運行維護(hù)人員全面統(tǒng)計責(zé)任范圍內(nèi)必須保留的計算機本地賬號,其余本地賬號將全部禁用,并禁止計算機用戶再次新建本地賬號;
(2)按照反饋結(jié)果,篩選必須保留的本地賬號,并將保留賬號數(shù)量限制在最小范圍內(nèi),編寫賬號禁用腳本程序與開機自動加載腳本程序;
(3)搭建辦公計算機網(wǎng)絡(luò)模擬測試環(huán)境,對賬號禁用腳本程序與開機自動加載腳本程序的安全性與執(zhí)行準(zhǔn)確性進(jìn)行反復(fù)測試,避免腳本程序下發(fā)后影響計算機的正常使用;
(4)利用計算機管理系統(tǒng)的腳本程序下發(fā)功能,將上述兩個腳本程序逐步下發(fā)至天津公司全部計算機,并及時跟蹤腳本程序的執(zhí)行效果。賬號禁用腳本程序的功能是檢測計算機本地賬號,并將其與5個保留賬號(各基層單位上報)進(jìn)行對比,對于用戶名不一致的賬號全部禁用,該程序后臺運行,不影響計算機的正常使用。
1.3開展辦公計算機病毒專項治理工作
病毒作為辦公計算機主要安全隱患之一,可能存在于辦公環(huán)境內(nèi)任何一臺終端上,并通過內(nèi)部文件轉(zhuǎn)發(fā)等方式導(dǎo)致病毒大規(guī)模爆發(fā)。因此,必須采取專項措施全面清理辦公計算機已存在的病毒文件。以天津公司病毒治理工作為例,通過對連續(xù)三個月內(nèi)網(wǎng)辦公計算機病毒日志統(tǒng)計分析,病毒大量存在的原因主要有三個:各基層單位工程部門頻繁拷入施工圖紙文件引入的CAD文件類病毒大量爆發(fā),占總數(shù)的51%左右;圖片文件、壓縮文件等感染病毒后,殺毒軟件無法自動刪除并且重復(fù)上報,占總數(shù)的33%左右。
1.4啟用辦公計算機USB接口禁用策略
計算機USB接口作為內(nèi)部辦公網(wǎng)絡(luò)環(huán)境與外部進(jìn)行數(shù)據(jù)交換的惟一途徑,必須采取嚴(yán)格的管控措施。為避免安全移動存儲介質(zhì)的違規(guī)使用導(dǎo)致辦公計算機敏感信息外泄事件發(fā)生,利用計算機管理系統(tǒng)的移動存儲介質(zhì)審計功能,定期對公司安全移動存儲介質(zhì)拷貝敏感信息情況進(jìn)行檢查,敏感關(guān)鍵詞范圍包括“絕密、機密、秘密”、“工資”、“規(guī)劃”、“智能電網(wǎng)”、“保電方案”等。通過調(diào)整計算機管理系統(tǒng)辦公計算機USB接口管控策略,將原有僅允許普通移動存儲介質(zhì)拷入文件的策略調(diào)整為完全禁止文件拷入、拷出。為不影響正常工作,要求各基層單位按一定比例統(tǒng)計并上報必須保留USB接口讀取功能的計算機,該計算機USB接口僅能讀取統(tǒng)一配發(fā)的安全移動存儲介質(zhì),其余計算機全部下發(fā)禁用USB接口策略,允許比例控制在全部辦公計算機的3%左右。同時,安全移動存儲介質(zhì)的申請必須經(jīng)過嚴(yán)格的審批流程,嚴(yán)控安全移動存儲介質(zhì)配發(fā)數(shù)量,所有安全移動存儲介質(zhì)堅持由科技信通部統(tǒng)一制定配發(fā)原則,信息通信公司具體實施,各基層單位不具備配發(fā)權(quán)限,配發(fā)總數(shù)不超過人資定員數(shù)的10%。在安全移動存儲介質(zhì)的使用管理過程中,使用人必須簽訂《安全移動存儲介質(zhì)安全使用責(zé)任書》,提高使用人信息安全意識,明確安全移動存儲介質(zhì)掛失補辦流程,遺失必須經(jīng)保密委備案。每年在全公司范圍內(nèi)開展一次安全移動存儲介質(zhì)清理核對工作,所有安全移動存儲介質(zhì)統(tǒng)一進(jìn)行策略及注冊數(shù)據(jù)更新,未更新的介質(zhì)不能繼續(xù)使用。上述安全管控策略的實施,在進(jìn)一步減少敏感文件拷入、拷出數(shù)量的同時,有效降低辦公計算機感染病毒文件的風(fēng)險。
2辦公計算機信息安全隱患防治工作成效
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)逐漸成為完成業(yè)務(wù)工作不可或缺的手段,很多政府、銀行、企業(yè)紛紛將核心業(yè)務(wù)基于網(wǎng)絡(luò)來實現(xiàn)。然而,網(wǎng)絡(luò)的不斷普及帶來了大量的安全問題。目前全球數(shù)據(jù)泄密事件53.7%的是由于人為疏忽造成,15.8%是由內(nèi)部惡意竊密,23.3%是由于黑客等外部攻擊行為造成,7.2%是由于意外造成的數(shù)據(jù)丟失。根據(jù)IDC數(shù)據(jù)顯示,內(nèi)部泄密事件從46%上升到了67%,而病毒入侵從20%,下降到5%。
2.信息安全審計定義及作用
2.1信息安全審計定義
信息安全審計是針對網(wǎng)絡(luò)用戶行為進(jìn)行管理[1],綜合運用網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術(shù)實現(xiàn)對網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶對網(wǎng)絡(luò)進(jìn)行動態(tài)實時監(jiān)控,記錄網(wǎng)絡(luò)中發(fā)生的一切,尋找非法和違規(guī)行為,為用戶提供事后取證手段。
2.2信息安全審計的作用
跟蹤檢測。以旁路、透明的方式實時對進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原,并可根據(jù)用戶需求對通信內(nèi)容進(jìn)行審計,提供敏感關(guān)鍵詞檢索和標(biāo)記功能,從而防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播。取證監(jiān)控。還原系統(tǒng)的相關(guān)協(xié)議,完整記錄各種信息的起始地址和使用者,識別誰訪問了系統(tǒng),訪問時間,確定是否有網(wǎng)絡(luò)攻擊的情況,確定問題和攻擊源,為調(diào)查取證提供第一手的資料。
3.其他安全產(chǎn)品安全審計方面的缺陷
防火墻只是內(nèi)外部網(wǎng)絡(luò)之間建立起隔離,控制外部對受保護(hù)網(wǎng)絡(luò)的訪問,通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅。入侵檢測對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行監(jiān)測,對一些有入侵嫌疑的包進(jìn)行報警,準(zhǔn)實時性較強,但采用的數(shù)據(jù)分析算法不能過于復(fù)雜,通常只是對單個數(shù)據(jù)包或者一小段時間內(nèi)的數(shù)據(jù)包進(jìn)行簡單分析判斷,誤報率和漏報率較高。漏洞掃描、防病毒等設(shè)備主要發(fā)現(xiàn)網(wǎng)絡(luò)、應(yīng)用軟件、操作系統(tǒng)的邏輯缺陷和錯誤,提早防范網(wǎng)絡(luò)、系統(tǒng)被非法入侵、攻擊;發(fā)現(xiàn)處理病毒。
4.信息安全審計系統(tǒng)的分類
主機審計:審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;統(tǒng)一安全策略,實現(xiàn)集中審計等。網(wǎng)絡(luò)審計:應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計報表;應(yīng)對審計記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。數(shù)據(jù)庫審計:審計對數(shù)據(jù)庫的操作行為,如增、刪、改等,發(fā)現(xiàn)各種非法、違規(guī)操作。業(yè)務(wù)審計:對業(yè)務(wù)系統(tǒng)的操作行為進(jìn)行審計,如提交、修改業(yè)務(wù)數(shù)據(jù)等,滿足管理部門運維管理和風(fēng)險內(nèi)控需要。日至審計:審計網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)的日志,發(fā)現(xiàn)安全事件,保存證據(jù)。
5.信息安全審計系統(tǒng)的設(shè)計
主流的信息安全審計系統(tǒng)分為探針引擎和管理應(yīng)用平臺兩部分組成[2]。探針引擎的主要功能:監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù),并將數(shù)據(jù)臨時保存。將不同的數(shù)據(jù)流匯聚,形成一個應(yīng)用鏈接;根據(jù)設(shè)定的規(guī)則,對采集的數(shù)據(jù)進(jìn)行初步過濾,并對采集的數(shù)據(jù)進(jìn)行協(xié)議分析,提取內(nèi)容信息。如在Smtp,pop3協(xié)議中,提取郵件體和附件;將采集后的數(shù)據(jù)按規(guī)定格式存儲和傳輸。根據(jù)需要,進(jìn)行傳輸加密。管理應(yīng)用平臺是由web管理平臺+控制中心+數(shù)據(jù)庫組成的三層結(jié)構(gòu)。WEB管理控制平臺主要功能:業(yè)務(wù)邏輯展現(xiàn),系統(tǒng)管理、日志管理、策略管理、報表管理、查詢統(tǒng)計分析。控制中心主要功能:文件中心主要是用于系統(tǒng)報警原始文件存儲、文件讀取;統(tǒng)計中心主要是用于定期對系統(tǒng)關(guān)鍵詞報警信息、行為日志數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)操作行為進(jìn)行分類統(tǒng)計;數(shù)據(jù)中心主要是實現(xiàn)數(shù)據(jù)庫與探針引擎之間的橋梁,實現(xiàn)策略下發(fā)、探針引擎接入控制、數(shù)據(jù)轉(zhuǎn)存功能。數(shù)據(jù)庫主要功能:用于結(jié)構(gòu)化數(shù)據(jù)的存儲。
6.信息安全審計技術(shù)在工作中的基本應(yīng)用
HTTP敏感信息檢測:HTTP協(xié)議的網(wǎng)頁瀏覽、網(wǎng)頁發(fā)帖監(jiān)測,記錄中標(biāo)網(wǎng)頁的URL、瀏覽時間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并還原、保存原始網(wǎng)頁文件到本地磁盤。通過IP地址、域名、時間范圍、協(xié)議類型等組合查詢查看報警信息并輸出報表,通過“查看文件”鏈接查看原始瀏覽網(wǎng)頁文件內(nèi)容,通過“查看詳細(xì)”鏈接監(jiān)測報警信息的數(shù)據(jù)來源、報警協(xié)議類型、文件存放路徑等信息。郵件敏感信息檢測:SMTP,POP3中的敏感信息監(jiān)測,記錄中標(biāo)網(wǎng)頁的信息摘要、關(guān)鍵詞、接收用戶、發(fā)送用戶、IP地址,并還原、保存原始郵件到本地磁盤,系統(tǒng)默認(rèn)收、發(fā)郵件端口分別為110、25。可以通過接收用戶名、發(fā)送用戶名、時間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報表,通過“查看文件”鏈接打開查看原始郵件主題、正文內(nèi)容,通過“查看詳細(xì)”鏈接監(jiān)測報警信息的數(shù)據(jù)來源、報警協(xié)議類型、文件存放路徑等信息。IP流量監(jiān)測:監(jiān)測IP主機數(shù)據(jù)流向、流量大小,按總計流量從高到低排序,并可清零流量重新統(tǒng)計。數(shù)據(jù)庫日志檢測:監(jiān)控并記錄用戶對數(shù)據(jù)庫服務(wù)器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄,并記錄數(shù)據(jù)庫服務(wù)器及操作用戶的IP、登錄用戶名、MAC地址、操作時間等信息。
7.結(jié)語
如何保證網(wǎng)絡(luò)行為、信息內(nèi)容的合規(guī)性、合法性、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點問題。信息安全審計技術(shù)是對網(wǎng)絡(luò)行為進(jìn)行檢測與防范,也是對信息系統(tǒng)建設(shè)的重要補充,將繼續(xù)在信息安全中發(fā)揮重要的作用。
作者:張楠 單位:吉林省統(tǒng)計局?jǐn)?shù)據(jù)管理中心
參考文獻(xiàn):
Web2.0時代的信息安全
如今,Web2.0取得了巨大成功,但一向以嚴(yán)肅的形象示人的安全管理系統(tǒng)卻固守著Web1.0的模式,“孤單地在角落里收集那點可憐的日志。”甚至一些安全產(chǎn)品與互聯(lián)網(wǎng)是完全絕緣的。不過,東軟SOC5.0改變了這種狀況。近日,東軟集團(tuán)信息安全事業(yè)部了SOC5.0升級版本,對其系統(tǒng)的底層架構(gòu)、核心處理引擎、功能模塊以及系統(tǒng)展現(xiàn)界面都進(jìn)行了顛覆性的設(shè)計,打破了以往信息安全產(chǎn)品死板的風(fēng)格,為用戶帶來更多的創(chuàng)新應(yīng)用體驗。它在設(shè)計中迎合了社交網(wǎng)絡(luò)的發(fā)展趨勢,開始注重安全管理平臺和用戶的互動。如:SOC5.0的輿情監(jiān)測開始主動地從互聯(lián)網(wǎng)上獲取有關(guān)用戶的信息、敏感詞匯及關(guān)鍵詞等。
另外,東軟將安全管理人員聯(lián)系起來,為他們提供了一個社區(qū),用于交流和討論,并將過去幾年積累的案例在不的情況下供安全管理人員學(xué)習(xí)和分享。這讓安全管理人員不再是“孤軍奮戰(zhàn)”。
云平臺提升告警系統(tǒng)
對信息安全管理平臺而言,告警是件比較麻煩的事情,它涉及IP地址、原責(zé)任單位、目的責(zé)任單位、發(fā)生的監(jiān)控節(jié)點、采集的設(shè)備、涉及的資產(chǎn)及網(wǎng)絡(luò)層應(yīng)用層、物理層等。這些復(fù)雜的結(jié)構(gòu)不能夠理清楚,用戶就無法搞清楚威脅到底來自哪里,危險級別是怎樣的。劉浩是某銀行科技部工作人員,他每天都要收到很多告警短信,告知他系統(tǒng)安全存在隱患,但有些告警“復(fù)雜的情況實在讓人沒辦法搞清楚情況到底有多嚴(yán)重”。對告警危險級別的判斷幾乎是讓所有安全工作人員頭疼的事。
〔關(guān)鍵詞〕供應(yīng)鏈系統(tǒng);情報泄密;機理;信息安全;反競爭情報
〔Abstract〕The paper,from the perspective of the counterintelligence technical support system,constructed the supply chain information security system model from such five parts as the information security decision center,the information security counterintelligence center,the network counterintelligence system supported by the honeynet technology,the human intelligence network system and the integrated supply chain information system;combed the security hidden danger of information security system in supply chain;and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information,information security policy management lags behind the information security needs of the supply chain system,the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system,the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board,and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.
〔Key words〕supply chain system;information leakage;mechanism;information security;counterintelligence
S著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,閉環(huán)的企業(yè)內(nèi)部信息管理模式逐步為開放的供應(yīng)鏈集成化信息管理模式所取代。當(dāng)供應(yīng)鏈成員通過開放的互聯(lián)網(wǎng)來實現(xiàn)遠(yuǎn)程交互訪問、進(jìn)行信息共享時,這種開放的網(wǎng)絡(luò)系統(tǒng)給需要高度保密的敏感情報如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度、企業(yè)間的資金轉(zhuǎn)帳、招投標(biāo)信息等,帶來了很多安全隱患,從而威脅到整個供應(yīng)鏈系統(tǒng)的信息安全。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看,有必要對全球供應(yīng)鏈中的各類組織的信息安全紀(jì)律進(jìn)行全覆蓋[1];Ramesh Kolluru和Paul HMeredith發(fā)現(xiàn)供應(yīng)鏈合作伙伴之間的不同類型的數(shù)據(jù)共享需求需要不同層次的安全性[2];Peter Finch指出當(dāng)公司暴露于組織間網(wǎng)絡(luò)時,開展風(fēng)險評估以及需要考慮業(yè)務(wù)連續(xù)性規(guī)劃的重要性[3];Zachary Williams等人通過定性研究,發(fā)現(xiàn)存在4個主要的供應(yīng)鏈安全的驅(qū)動因素,即政府、顧客、競爭者和社會[4];蔣魯寧認(rèn)為信息安全供應(yīng)鏈的安全涉及4個方面,即信息安全供給基礎(chǔ)、信息安全產(chǎn)品(包括信息安全服務(wù))過程,信息安全能力形成過程以及對這些過程的安全確認(rèn)[5];劉丹則認(rèn)為供應(yīng)鏈信息系統(tǒng)的安全涉及從粗到細(xì)的4個層面:系統(tǒng)級安全、程序資源訪問控制安全、功能性安全和數(shù)據(jù)域安全[6];齊源選擇了信息共享內(nèi)容風(fēng)險、委托-風(fēng)險、管理風(fēng)險、成本增加風(fēng)險以及技術(shù)風(fēng)險等5大預(yù)警指標(biāo),構(gòu)建了基于第三方及GAHP的供應(yīng)鏈信息共享風(fēng)險預(yù)警系統(tǒng)[7];董紹輝等認(rèn)為,供應(yīng)鏈信息泄露的途徑包括供應(yīng)鏈上游企業(yè)、下游企業(yè)、獨立第三方以及供應(yīng)鏈管理系統(tǒng)等4個方面[8];宋偉等提出通過接入中間件,在內(nèi)、外系統(tǒng)之間進(jìn)行必要的安全隔離,從而提高整個供應(yīng)鏈協(xié)同系統(tǒng)的魯棒性和抗攻擊能力[9];李劍鋒等提出了由信息安全治理、信息安全管理、基礎(chǔ)安全服務(wù)和架構(gòu)、第三方信息安全服務(wù)與認(rèn)證機構(gòu)和供應(yīng)鏈信息安全技術(shù)標(biāo)準(zhǔn)體系5個部分構(gòu)成的供應(yīng)鏈信息安全體系框架[10]。上述研究表明,雖然國內(nèi)外學(xué)者對于供應(yīng)鏈系統(tǒng)的信息安全問題高度關(guān)注,從供應(yīng)鏈信息安全的內(nèi)容、影響因素、風(fēng)險評估、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究,但是在供應(yīng)鏈信息安全系統(tǒng)的泄密源排查、泄密原因分析、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應(yīng)鏈反競爭情報技術(shù)系統(tǒng)視角構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型,站在競爭對手的立場上審視供應(yīng)鏈信息安全系統(tǒng)存在的安全隱患,進(jìn)而研究供應(yīng)鏈系統(tǒng)情報為何泄密、如何泄密、怎樣泄密的內(nèi)在機理,促使供應(yīng)鏈系統(tǒng)各參與方高度重視情報泄密的防控問題,避免或減少敏感信息情報的泄密。
1反競爭情報技術(shù)系統(tǒng)視角的供應(yīng)鏈信息安全系統(tǒng)模型的構(gòu)建供應(yīng)鏈信息安全系統(tǒng)的構(gòu)建應(yīng)重點研究敵意侵害方的競爭情報系統(tǒng),梳理出供應(yīng)鏈系統(tǒng)可能存在的信息安全隱患,從反競爭情報技術(shù)系統(tǒng)視角來構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型。一般而言,敵意侵害方的一個完善的競爭情報系統(tǒng)由競爭情報中心以及組織網(wǎng)絡(luò)、人際網(wǎng)絡(luò)和信息網(wǎng)絡(luò)組成[11]的“一中心三W絡(luò)”的組織構(gòu)架。競爭情報中心是整個競爭情報工作的中樞,它是為企業(yè)競爭情報決策提供信息資源支持;組織網(wǎng)絡(luò)是企業(yè)競爭情報工作的平臺,它保障了競爭情報系統(tǒng)的協(xié)調(diào)一致;人際網(wǎng)絡(luò)是企業(yè)競爭情報重要的隱性情報源,它是收集、分析情報乃至影響對手決策的一個有效路徑;信息網(wǎng)絡(luò)涉及企業(yè)的內(nèi)網(wǎng)與外網(wǎng)平臺,通過管理信息系統(tǒng)整合與完善企業(yè)的競爭情報功能[12]。因此,供應(yīng)鏈信息安全系統(tǒng)的構(gòu)建應(yīng)充分考慮敵意侵害方的“一中心三網(wǎng)絡(luò)”的競爭情報系統(tǒng)組織構(gòu)架,科學(xué)設(shè)計自身的信息安全系統(tǒng)。研究認(rèn)為,供應(yīng)鏈信息安全系統(tǒng)應(yīng)由5部分組成,即信息安全決策中心、信息安全反競爭情報中心、供應(yīng)鏈集成化信息系統(tǒng)、蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報系統(tǒng)、人際情報網(wǎng)絡(luò)系統(tǒng),如圖1所示。
11信息安全決策中心
信息安全決策中心是供應(yīng)鏈信息安全系統(tǒng)的中樞,統(tǒng)籌協(xié)調(diào)涉及供應(yīng)鏈系統(tǒng)信息安全治理的重大問題;研究制定供應(yīng)鏈系統(tǒng)信息安全發(fā)展戰(zhàn)略、總體規(guī)劃和重大信息安全政策的協(xié)調(diào);推動供應(yīng)鏈系統(tǒng)信息安全的制度化建設(shè),不斷增強供應(yīng)鏈系統(tǒng)信息安全治理能力。
信息安全決策中心接收來自信息安全反競爭情報中心的經(jīng)過處理的各類信息情報,作為信息安全決策的基礎(chǔ)和依據(jù)。同時,信息安全決策中心制定的信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等經(jīng)由信息安全反競爭情報中心具體化為信息安全戰(zhàn)術(shù)決策,作為信息安全反競爭情報中心各子系統(tǒng)行動的指南。
12信息安全反競爭情報中心
反競爭情報中心是企業(yè)反競爭情報技術(shù)支持系統(tǒng)的中樞,由反競爭情報收集子系統(tǒng)、反競爭情報分析子系統(tǒng)和反競爭情報服務(wù)子系統(tǒng)等3部分組成,負(fù)責(zé)供應(yīng)鏈信息安全系統(tǒng)的安全管理工作,如圖2所示。
反競爭情報中心對來自蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報系統(tǒng)和人際情報網(wǎng)絡(luò)的各類信息進(jìn)行收集、整理、分析,進(jìn)而實施相應(yīng)的信息安全策略管理:對可能引起安全事件的關(guān)鍵信息及其來源開展危害性評估并發(fā)出危機預(yù)警;對已造成實質(zhì)性危害的信息安全事件作出應(yīng)急響應(yīng),堵塞信息安全漏洞,努力減輕信息安全事件對供應(yīng)鏈系統(tǒng)造成的損失;對信息安全方面的例外問題,及時上報信息安全決策中心,由高層決策者們進(jìn)行非程序化決策。
13蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報系統(tǒng)
近年來,作為一種新型防御技術(shù)出現(xiàn)的蜜網(wǎng)(Honeynet)在檢測、捕獲和控制網(wǎng)絡(luò)攻擊方面具有獨特的優(yōu)勢。蜜網(wǎng)由數(shù)據(jù)流重定向器與蜜網(wǎng)環(huán)境兩部分組成的,該網(wǎng)絡(luò)置于防火墻系統(tǒng)之后,所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都會通過這里,并可以捕獲控制這些數(shù)據(jù)[13],如圖3所示。蜜網(wǎng)(Honeynet)包含一個或多個蜜罐(Honey Pot),這種蜜罐(Honey Pot)是專門用來吸引敵意入侵者進(jìn)行攻擊的陷阱。當(dāng)入侵者試圖針對供應(yīng)鏈節(jié)點企業(yè)開展競爭情報活動時,往往直奔企業(yè)需要高度保密的敏感情報如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度、企業(yè)間的資金轉(zhuǎn)帳、招投標(biāo)信息等,而蜜網(wǎng)(Honeynet)中的網(wǎng)絡(luò)應(yīng)用程序恰恰以這些敏感情報來命名,這樣入侵者就會立刻現(xiàn)行。反競爭情報中心就可以根據(jù)這些被捕獲的資料來分析判斷入侵者所使用的工具、方法及動機,進(jìn)而建議信息安全決策中心采取反制措施。
14人際情報網(wǎng)絡(luò)系統(tǒng)
人際情報網(wǎng)絡(luò)系統(tǒng)是應(yīng)情報活動的需要而構(gòu)建的一種人際網(wǎng)絡(luò),是情報從業(yè)者獲取、分析和傳播非公開信息和隱性知識的重要平臺[14]。供應(yīng)鏈信息安全系統(tǒng)的人際情報網(wǎng)絡(luò)分為節(jié)點企業(yè)外部人際情報網(wǎng)絡(luò)和節(jié)點企業(yè)內(nèi)部人際情報網(wǎng)絡(luò),如圖4所示。
節(jié)點企業(yè)外部人際情報網(wǎng)絡(luò)主要包括供應(yīng)商、分銷商、包括中介機構(gòu)、行業(yè)協(xié)會、物流服務(wù)企業(yè)、消費者組織、新聞記者等在內(nèi)的第三方機構(gòu)、競爭對手、最終消費者等,節(jié)點企業(yè)內(nèi)部人際情報網(wǎng)絡(luò)主要由企業(yè)內(nèi)部各層級的管理人員和各部門的員工組成。
15供應(yīng)鏈集成化信息系統(tǒng)
供應(yīng)鏈集成化信息系統(tǒng)是各節(jié)點企業(yè)內(nèi)部供應(yīng)鏈與外部合作伙伴(如供應(yīng)商、分銷商、中介機構(gòu)以及行業(yè)協(xié)會、消費者組織、新聞記者等第三方機構(gòu))集成起來的一個供應(yīng)網(wǎng)鏈,是整個供應(yīng)鏈信息安全系統(tǒng)的基礎(chǔ)信息平臺。供應(yīng)鏈各節(jié)點通過高速數(shù)據(jù)專用線連接到Internet骨干網(wǎng)中,通過路由器與自己的Intranet相連,再由Intranet內(nèi)主機或服務(wù)器為其內(nèi)部各部門提供存取服務(wù),如圖5所示。
供應(yīng)鏈集成化信息系統(tǒng)是升級版的企業(yè)間信息系統(tǒng),為企業(yè)內(nèi)部的信息系統(tǒng)提供與外部供應(yīng)鏈各節(jié)點的很好的接口,它實現(xiàn)了供應(yīng)鏈合作伙伴間的信息交互與信息共享,消除了企業(yè)間傳統(tǒng)的信息隔離狀態(tài)。除信息集成外,供應(yīng)鏈集成化信息系統(tǒng)還可以通過競爭情報的檢測,篩選出數(shù)據(jù)流中的競爭情報信息流,將正常業(yè)務(wù)流與競爭情報信息流分開,從而實現(xiàn)了供應(yīng)鏈信息系統(tǒng)的功能集成。
2供應(yīng)鏈信息安全系統(tǒng)的安全隱患梳理
21信息安全決策中心安全隱患梳理
作為整個供應(yīng)鏈信息安全系統(tǒng)的中樞,信息安全決策中心一旦發(fā)生泄密事件,必將對供應(yīng)鏈系統(tǒng)信息安全治理工作帶來重大安全隱患。信息安全決策中心可能存在的安全隱患大體涉及高管泄密以及信息安全治理過程中的情報泄密兩個方面。信息安全決策中心的高管泄密專指參與供應(yīng)鏈系統(tǒng)信息安全治理工作的高管惡意或非惡意地泄露涉及供應(yīng)鏈系統(tǒng)信息安全治理問題的決策信息。惡意泄密往往發(fā)生在對公司不滿或有預(yù)謀離職的高管身上,非惡意泄露往往因為缺乏責(zé)任心、安全防范意識淡薄、公司對高管的放任等原因造成的。
信息安全治理過程中的情報泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評估、方案試行前的各個階段。因為時間跨度長、涉及面廣、牽涉人員多等原因,信息安全治理過程中的情報泄密問題更加難以控制。
22信息安全反競爭情報中心安全隱患梳理
信息安全反競爭情報中心的安全隱患主要源于反競爭情報收集子系統(tǒng)、反競爭情報分析子系統(tǒng)和反競爭情報服務(wù)子系統(tǒng)之間業(yè)務(wù)上的協(xié)調(diào)不夠以及各自功能的發(fā)揮不夠充分。具體表現(xiàn)為:其一,信息安全反競爭情報中心各子系統(tǒng)的協(xié)調(diào)不夠,導(dǎo)致信息的收集、整理、分析、存儲以及上報不夠及時;其二,反競爭情報收集子系統(tǒng)忽視了可能引起安全事件的P鍵信息;第三,反競爭情報分析子系統(tǒng)對可能引起安全事件的關(guān)鍵信息及其來源的危害性認(rèn)識不足;第四,反競爭情報服務(wù)子系統(tǒng)未能及時就信息安全方面的例外問題上報信息安全決策中心。
23蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報系統(tǒng)安全隱患梳理蜜網(wǎng)技術(shù)的應(yīng)用使得網(wǎng)絡(luò)反競爭情報系統(tǒng)在收集敵意侵害方的攻擊信息、保護(hù)供應(yīng)鏈信息系統(tǒng)情報、發(fā)現(xiàn)內(nèi)網(wǎng)中可能存在的安全漏洞等方面具有重要作用,但同時蜜網(wǎng)技術(shù)是一把雙刃劍,也會給網(wǎng)絡(luò)反競爭情報系統(tǒng)帶來安全隱患:其一,使網(wǎng)絡(luò)反競爭情報系統(tǒng)遭受更多的攻擊,交互的程度越高,模擬得越像,供應(yīng)鏈系統(tǒng)陷入危險的概率就越大;其二,模擬服務(wù)的軟件存在問題,也會產(chǎn)生新的漏洞;其三,敵意侵害方若取得Root權(quán)限,便可以自由存取目標(biāo)機上的數(shù)據(jù),然后利用已有資源繼續(xù)攻擊其它機器;第四,虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價大幅降低,便于部署和管理,但同時也帶來更大的風(fēng)險,敵意侵害方有可能識別出虛擬操作系統(tǒng)軟件的指紋,也可能攻破虛擬操作系統(tǒng)軟件從而獲得整個蜜網(wǎng)的控制權(quán)。
24人際情報網(wǎng)絡(luò)系統(tǒng)安全隱患梳理
隨著供應(yīng)鏈共享信息平臺的建設(shè)以及信息交互、信息共享水平的不斷提升,人際情報網(wǎng)絡(luò)系統(tǒng)的安全隱患問題愈加突出:首先,供應(yīng)鏈共享信息平臺為供應(yīng)鏈節(jié)點企業(yè)外部人際情報網(wǎng)絡(luò)和節(jié)點企業(yè)內(nèi)部人際情報網(wǎng)絡(luò)提供了功能強大的信息溝通平臺,網(wǎng)絡(luò)虛擬空間中的復(fù)雜人際關(guān)系增添了信息情報泄露的可能;其次,敵意競爭情報方可以利用共享信息平臺中的人際情報網(wǎng)絡(luò),繞開供應(yīng)鏈系統(tǒng)的防火墻,進(jìn)入專用網(wǎng)絡(luò)內(nèi)部,更便于其競爭情報工作的開展;再者,傳統(tǒng)的人際情報網(wǎng)絡(luò)泄密仍然在發(fā)揮其獨特的作用,敵意競爭情報方可以利用接待或訪問節(jié)點企業(yè)、欺騙、引誘和拉攏節(jié)點企業(yè)關(guān)鍵崗位人員及關(guān)聯(lián)人員、通過關(guān)聯(lián)第三方等渠道,獲取供應(yīng)鏈系統(tǒng)的敏感信息情報。
25供應(yīng)鏈集成化信息系統(tǒng)安全隱患梳理
供應(yīng)鏈集成化信息系統(tǒng)在實現(xiàn)供應(yīng)鏈合作伙伴間的信息交互與信息共享的同時,也為敵意侵害方的競爭情報工作提供了機會。供應(yīng)鏈集成化信息系統(tǒng)安全隱患可能存在以下3個環(huán)節(jié)中:其一,敵意侵害方成功地避開了供應(yīng)鏈集成化信息系統(tǒng)的競爭情報檢測;其二,數(shù)據(jù)流重定向器未能篩選出數(shù)據(jù)流中的競爭情報信息流,將競爭情報信息流誤認(rèn)為正常業(yè)務(wù)流;其三,Intranet內(nèi)主機或服務(wù)器為競爭情報方提供信息存取服務(wù),就會造成供應(yīng)鏈系統(tǒng)關(guān)鍵信息情報的泄密。
3供應(yīng)鏈系統(tǒng)情報泄密的路徑分析
31信息安全治理過程監(jiān)管不力造成供應(yīng)鏈系統(tǒng)情報泄密信息安全決策中心安全隱患之一在于信息安全治理過程中的情報泄密。由于情報泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評估、方案試行前的各個階段,因此,信息安全治理工作需要統(tǒng)籌規(guī)劃,點面結(jié)合,齊抓共管。既要制定好信息安全治理工作的總體預(yù)案,又要有分階段的詳細(xì)應(yīng)對計劃。對參與信息安全治理工作的部門和人員(包括高管在內(nèi))實行全流程、全員備案制,從制度上堵塞安全漏洞。
32信息安全策略管理工作滯后于供應(yīng)鏈系統(tǒng)信息安全的需要信息安全反競爭情報中心的安全隱患主要源于信息安全策略管理工作不能滿足供應(yīng)鏈系統(tǒng)信息安全的需要。具體表現(xiàn)為:信息安全反競爭情報中心組織協(xié)調(diào)工作不夠,各子系統(tǒng)不能形成合力,導(dǎo)致信息安全管理工作滯后;對可能引起安全事件的關(guān)鍵信息及其來源的危害性認(rèn)識不足,未能及時發(fā)出危機預(yù)警信號;對已造成實質(zhì)性危害的信息安全事件未能作出及時響應(yīng)或應(yīng)對措施不得力,未能及時堵塞信息安全漏洞,造成信息安全事件對供應(yīng)鏈系統(tǒng)損失的擴(kuò)大;對信息安全方面的例外問題,未能及時上報信息安全決策中心,延緩了高層決策者們非程序化決策工作的開展,以致高層決策者們不能及時調(diào)動整個供應(yīng)鏈資源來消除信息安全危害。
網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。下面是小編整理的《網(wǎng)絡(luò)安全的財務(wù)月度工作計劃》,供您閱讀,參考。希望您能有所收獲!
網(wǎng)絡(luò)安全的財務(wù)月度工作計劃
為加強本單位網(wǎng)絡(luò)與信息安全保障工作,經(jīng)局領(lǐng)導(dǎo)班子研究,制定__縣工業(yè)商務(wù)和信息化局20__年網(wǎng)絡(luò)與信息安全工作計劃。
一、加強考核,落實責(zé)任
結(jié)合質(zhì)量管理體系建設(shè),建立健全信息化管理和考核制度,進(jìn)一步優(yōu)化流程,明確責(zé)任,與各部門重點涉密崗位簽訂《網(wǎng)絡(luò)與信息安全及保密責(zé)任書》。加大考核力度,將計算機應(yīng)用及運維情況列入年度考核中,通過考核尋找信息安全工作存在的問題和不足,認(rèn)真分析原因,制定切實可行的預(yù)防和糾正措施,嚴(yán)格落實各項措施,持續(xù)改進(jìn)信息安全工作。
二、做好信息安全保障體系建設(shè)
進(jìn)一步完善信息安全管理制度,重點加強用戶管理、變更管理、網(wǎng)絡(luò)安全檢查等運行控制制度和數(shù)據(jù)安全管理、病責(zé)防護(hù)管理等日常網(wǎng)絡(luò)應(yīng)用制度;加強入侵檢測系統(tǒng)應(yīng)用,通過桌管系統(tǒng)、瑞星控制臺密切關(guān)注各移動存儲介質(zhì)(移動硬盤、U盤、CD光驅(qū))等設(shè)備運行情況;在業(yè)務(wù)分析需求的基礎(chǔ)上,合理設(shè)置安全策略,充分利用局域網(wǎng)優(yōu)勢,進(jìn)一步發(fā)揮技術(shù)防范措施的作用,從源頭上杜絕木馬、病毒的感染和傳播,提高信息網(wǎng)絡(luò)安全管理實效;
進(jìn)一步完善應(yīng)急預(yù)案,通過應(yīng)急預(yù)案演練檢驗預(yù)案的科學(xué)性、有效性,提高應(yīng)對突發(fā)事件的應(yīng)變能力。
三、加強各應(yīng)用系統(tǒng)管理
進(jìn)一步作好政府信息公開網(wǎng)站后臺管理系統(tǒng)、OA等業(yè)務(wù)系統(tǒng)應(yīng)用管理。加強與各部門勾通,收集使用過程中存在的問題,定期檢查系統(tǒng)內(nèi)各模塊使用情況及時反饋給相關(guān)部門,充分發(fā)揮系統(tǒng)功能;完善系統(tǒng)基礎(chǔ)資料,加大操作人員指導(dǎo)力度,確保系統(tǒng)有效運行,切實提高信息安全水平。
四、加強信息安全宣傳教育培訓(xùn)
利用局域網(wǎng)、OA系統(tǒng),通過宣傳欄等形式,加大信息安全宣傳力度,不斷提高員工對信息安全重要性的認(rèn)識,努力形成“廣泛宣傳動員、人人積極參與”的良好氣氛;著力加強信息化工作人員的責(zé)任意識,切實增強做好信息化工作的責(zé)任感和使命感,不斷提高服務(wù)的有效性和服務(wù)效率。
網(wǎng)絡(luò)安全的財務(wù)月度工作計劃
一、網(wǎng)絡(luò)管理與建設(shè)
1、采取切實可行的措施,加強對校園網(wǎng)的管理,繼續(xù)完善相關(guān)規(guī)章制度,落實各項管理措施,確保學(xué)校網(wǎng)絡(luò)安全暢通。學(xué)校要繼續(xù)完善相關(guān)的網(wǎng)絡(luò)制度,杜絕網(wǎng)絡(luò)信息安全事故的發(fā)生,確保網(wǎng)絡(luò)暢通,更好的服務(wù)與教育教學(xué)工作。采取積極可行的措施,在保證網(wǎng)絡(luò)暢通的情況下,杜絕教師上網(wǎng)聊天、打撲克、玩游戲等不良現(xiàn)象的發(fā)生。管理員及全體教師都要深入研究網(wǎng)絡(luò)應(yīng)用問題,充分發(fā)揮網(wǎng)絡(luò)的作用,提高教育教學(xué)質(zhì)量。
2、網(wǎng)絡(luò)防毒。加強對教師信息技術(shù)的培訓(xùn)力度,使教師學(xué)會使用殺毒軟件進(jìn)行計算機病毒的查殺,確保學(xué)校網(wǎng)絡(luò)暢通。基本上解決網(wǎng)絡(luò)病毒在我校各計算機上的傳播,保證網(wǎng)絡(luò)不因病毒而導(dǎo)致堵塞、停網(wǎng)等現(xiàn)象的發(fā)生。
二、網(wǎng)站建設(shè)
加強學(xué)校校園網(wǎng)網(wǎng)站建設(shè)和應(yīng)用力度,使其服務(wù)于教學(xué)、服務(wù)于德育、服務(wù)于管理;服務(wù)于學(xué)生、服務(wù)于教師、服務(wù)于社會。管好用好校園網(wǎng),要有相當(dāng)一部分學(xué)生也建有自己的學(xué)習(xí)網(wǎng)頁。通過建設(shè)各種學(xué)習(xí)主頁,廣泛吸引學(xué)生、教師和家長及社會各界人士駐站,增強學(xué)校在社會上的良好形象,擴(kuò)大學(xué)校知名度。管理員要不斷學(xué)習(xí)相關(guān)業(yè)務(wù)知識,不斷提高自己的業(yè)務(wù)能力,樹立服務(wù)于教學(xué)的思想,管好用好校園網(wǎng),不斷更新網(wǎng)站內(nèi)容,建設(shè)有自己獨特風(fēng)格的學(xué)校網(wǎng)站。
三、信息技術(shù)使用與培訓(xùn)工作
加強信息技術(shù)知識的培訓(xùn)與應(yīng)用。學(xué)校將組織專人進(jìn)行不同層次的培訓(xùn)班,加強培訓(xùn)指導(dǎo),教師要將學(xué)習(xí)走在前頭,自覺地學(xué)。大力提倡電子備課。
四、微機室管理
把學(xué)校微機室建“成綠色機房”,利用課余時間、休息日、節(jié)假日對學(xué)生開放,為廣大學(xué)生提供健康、安全的網(wǎng)絡(luò)學(xué)習(xí)環(huán)境。采取得力措施,杜絕師生玩電腦游戲,建設(shè)“無游戲校園”。
網(wǎng)絡(luò)安全的財務(wù)月度工作計劃
根據(jù)自治區(qū)、地區(qū)有關(guān)要求,按照《__新聞宣傳報道管理辦法》有關(guān)內(nèi)容,為進(jìn)一步加強我縣網(wǎng)絡(luò)和信息安全管理工作,現(xiàn)就有關(guān)工作計劃如下。
一、建立健絡(luò)和信息安全管理制度
各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求,制定并組織實施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任,規(guī)范計算機信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度,切實做好本單位網(wǎng)絡(luò)與信息安全保障工作。
二、切實加強網(wǎng)絡(luò)和信息安全管理
各單位要設(shè)立計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組,負(fù)責(zé)對計算機信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護(hù)等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實責(zé)任部門,各盡其職,常抓不懈,并按照“誰主管誰負(fù)責(zé),誰運行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,切實履行好信息安全保障職責(zé)。
三、嚴(yán)格執(zhí)行計算機網(wǎng)絡(luò)使用管理規(guī)定
各單位要提高計算機網(wǎng)絡(luò)使用安全意識,嚴(yán)禁涉密計算機連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非涉密計算機上存儲、處理涉密信息,嚴(yán)禁在涉密與非涉密計算機之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術(shù)防護(hù)措施,有效監(jiān)控違規(guī)操作,嚴(yán)防違規(guī)下載涉密和敏感信息。通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。
四、加強網(wǎng)站、微信公眾平臺信息審查監(jiān)管
各單位通過門戶網(wǎng)站、微信公眾平臺在互聯(lián)網(wǎng)上公開信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關(guān)規(guī)定,建立嚴(yán)格的審查制度。要對網(wǎng)站上的信息進(jìn)行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無涉密問題;上網(wǎng)信息目前對外是否適宜;信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息,嚴(yán)禁交流傳播涉密信息。堅持先審查、后公開,一事一審、全面審查。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)、專人實施。
嚴(yán)肅突發(fā)、敏感事(案)件的新聞報道紀(jì)律,對民族、宗教、軍事、環(huán)保、反腐、人權(quán)、計劃生育、嚴(yán)打活動、暴恐案件、自然災(zāi)害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進(jìn)行宣傳報道,如確需宣傳報道的,經(jīng)縣領(lǐng)導(dǎo)同意,上報地區(qū)層層審核,經(jīng)自治區(qū)黨委宣傳部審核同意后,方可按照宣傳內(nèi)容做到統(tǒng)一口徑、統(tǒng)一,確保信息的時效性和嚴(yán)肅性。
五、組織開展網(wǎng)絡(luò)和信息安全清理檢查
各單位要在近期集中開展一次網(wǎng)絡(luò)安全清理自查工作。對辦公網(wǎng)絡(luò)、門戶網(wǎng)站和微信公眾平臺的安全威脅和風(fēng)險進(jìn)行認(rèn)真分析,制定并組織實施本單位各種網(wǎng)絡(luò)與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。
【 關(guān)鍵詞 】 DRM;數(shù)字文檔防泄密二次開發(fā)嵌入式
Digital Document Protection System based on DRM Technology Research and
Application of Integrated Design
Zheng Yi
(CNOOC, Energy Development Drilling and Engineering Research Institute Tianjin300452)
【 Abstract 】 When the user through legal or illegal means to obtain digital access to documents of the enterprise information system that can not constrained by download, copy, network spread to others, and led to the leak corporate secrets, making sharing and, between prominent confidential document security management system integration based on DRM technology built for the confidentiality and integrity of the enterprise storage networking information is a fast and effective solution.In this article, enterprise the unstructured digital document information security status and problems of use DRM technology to protect digital documents online and offline application information divulgation principle, an existing enterprise informationsystem architecture, secondary development of integrated embedded systems architecture based on a the DRM technology professional confidential document protection products.
【 Keywords 】 DRM; digital document anti-phishing secondary development of embedded
1 引言
隨著各行業(yè)在生產(chǎn)、管理上信息化程度日益增高,企業(yè)檔案資料中非結(jié)構(gòu)化數(shù)字文檔信息比例正逐漸增大,數(shù)字文檔信息泄密行為不斷呈現(xiàn)出升高趨勢。雖然企業(yè)建立了專門的數(shù)字文檔利用制度,但對包含敏感信息的數(shù)字文檔利用中最突出的信息安全保障卻始終是個難題。
目前大型企業(yè)數(shù)字化的非結(jié)構(gòu)化信息量普遍在80%以上,而安全應(yīng)用機制大部分采用的是工作流層級審批技術(shù),審批不及時導(dǎo)致應(yīng)用受限,特別是對于分散應(yīng)用群體審批更難,造成了快速應(yīng)用信息與信息安全管理之間存在著突出矛盾。如何能防止擁有閱讀權(quán)限的人不能拿走電子信息,不能下載/復(fù)制電子文檔,不能打印文檔中的信息,并且只能在一段時間內(nèi)在指定的設(shè)備上有權(quán)閱讀,成為我們對非結(jié)構(gòu)化敏感信息安全追求的技術(shù)目標(biāo)。
針對以上信息安全現(xiàn)狀,構(gòu)建基于DRM(Digital Rights Management,內(nèi)容數(shù)字版權(quán)加密保護(hù))技術(shù)的文檔安全管理系統(tǒng),對于已聯(lián)網(wǎng)的企業(yè)存儲信息的機密性和完整性是一個有效的解決方法。DRM是保證信息的使用安全的一項關(guān)鍵技術(shù),通過數(shù)字權(quán)限管理,可以使具有不同權(quán)限的用戶對文檔進(jìn)行不同的操作,尤其是能控制合法授權(quán)的用戶能否復(fù)制、打印、摘錄、傳播,保證敏感信息不被泄漏。目前,面向電子文檔信息在線與離線安全保護(hù)的DRM技術(shù)產(chǎn)品有了很大的發(fā)展,國外如微軟的Windows RM,國內(nèi)如北京書生公司的機密文檔保護(hù)系統(tǒng)。
2 DRM框架
DRM技術(shù)為文檔安全管理系統(tǒng)的核心,可實現(xiàn)對控制范圍內(nèi)的信息資源進(jìn)行嚴(yán)格權(quán)限管理,保護(hù)電子文檔即使離線也不被非法使用,構(gòu)建在線與離線相結(jié)合的閱讀管理模式。
