據(jù)報(bào)道,國(guó)內(nèi)某電信運(yùn)營(yíng)商的第三方合作公司技術(shù)人員,在電信運(yùn)營(yíng)商處技術(shù)服務(wù)期間,因個(gè)人利益驅(qū)使,利用工作之便,勾結(jié)內(nèi)部員工,潛入電信運(yùn)營(yíng)商辦公內(nèi)網(wǎng),獲取內(nèi)部核心數(shù)據(jù)幾百萬(wàn)條,出售獲利;同樣,在今年年初,也出現(xiàn)過(guò)多家電信運(yùn)營(yíng)商內(nèi)鬼泄露公民個(gè)人信息牟利事件。針對(duì)上述問(wèn)題,法院已向電信運(yùn)營(yíng)商發(fā)送了司法建議函。
此類信息安全事件頻頻出現(xiàn),暴露的問(wèn)題和風(fēng)險(xiǎn)表明,電信運(yùn)營(yíng)商在信息安全保護(hù)方面存在管理制度缺失、系統(tǒng)管理不規(guī)范、技術(shù)防控手段支撐不到位等諸多問(wèn)題,同時(shí)也嚴(yán)重?fù)p害了公司利益,破壞了公司聲譽(yù)。電信運(yùn)營(yíng)商們紛紛表示,將強(qiáng)化監(jiān)督部門的監(jiān)督作用,并通過(guò)網(wǎng)絡(luò)設(shè)備賬號(hào)權(quán)限分級(jí)、平臺(tái)系統(tǒng)建設(shè)等技術(shù)防控手段,嚴(yán)密保護(hù)客戶的個(gè)人信息;建立起對(duì)核心業(yè)務(wù)數(shù)據(jù)保護(hù),對(duì)通信減少由于數(shù)據(jù)泄露所帶來(lái)的財(cái)務(wù)、競(jìng)爭(zhēng)力、公信度損失,提高客戶、合作伙伴的信任度刻不容緩。
保護(hù)信息安全,特別是客戶信息安全是電信企業(yè)應(yīng)承擔(dān)的社會(huì)責(zé)任,業(yè)已成為社會(huì)關(guān)注的敏感話題。
對(duì)此國(guó)家極為重視,《中華人民共和國(guó)刑法修正案》和工信部《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(試行)》都對(duì)客戶信息安全提出了明確要求。
某電信運(yùn)營(yíng)商為做好客戶信息保護(hù),率先下發(fā)了多個(gè)重要文件,例如《客戶信息安全保密規(guī)定》、《數(shù)據(jù)安全管理辦法》等等。各省公司在總部規(guī)定的基礎(chǔ)上,也采取了相應(yīng)的技術(shù)措施和規(guī)定來(lái)降低客戶信息泄露的風(fēng)險(xiǎn),對(duì)規(guī)范客戶信息的訪問(wèn)和使用起到了相應(yīng)的作用。
但是保護(hù)好客戶信息,僅從管理上提要求是不夠的。單靠管理手段的限制無(wú)法從根本上解決客戶信息泄露的問(wèn)題。由于客戶信息涉及的系統(tǒng)和人員很多,必須從技術(shù)手段上提供針對(duì)性的支撐和限制,采取合理的綜合管控手段,配合切實(shí)有效的管理,才能起到實(shí)效。
電信運(yùn)營(yíng)商的核心目的是通過(guò)網(wǎng)絡(luò)技術(shù)來(lái)加快人與人之間信息化交流,因此目前國(guó)內(nèi)各大電信運(yùn)營(yíng)商的IT建設(shè)相對(duì)超前與其他行業(yè),業(yè)務(wù)網(wǎng)絡(luò)也存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復(fù)雜的特點(diǎn)。建設(shè)了包括boss系統(tǒng)、bomc系統(tǒng)、客服系統(tǒng)等業(yè)務(wù)支撐系統(tǒng),同時(shí)還包括OA、CRM系統(tǒng)等常規(guī)辦公系統(tǒng);系統(tǒng)上積累了大量的客戶信息、生產(chǎn)數(shù)據(jù)和運(yùn)營(yíng)信息,業(yè)務(wù)系統(tǒng)也已成為這些重要數(shù)據(jù)的存儲(chǔ)、交換和處理中心;由于每個(gè)系統(tǒng)所關(guān)注的業(yè)務(wù)角度不同,因此其涉及到的人員也有所不同;在此基礎(chǔ)上,每個(gè)系統(tǒng)的人員又根據(jù)‘使用環(huán)節(jié)’和‘運(yùn)維環(huán)節(jié)’而定義出不同的工作形態(tài)。如此諸多特性,使得數(shù)據(jù)在不同的階段均存在不同的風(fēng)險(xiǎn)點(diǎn)。
在目前電信運(yùn)營(yíng)商的業(yè)務(wù)體系中,數(shù)據(jù)在應(yīng)用過(guò)程中不管在服務(wù)器上還是在終端計(jì)算機(jī)上,都是處于明文存儲(chǔ)狀態(tài),任何人只要接觸這個(gè)文件既可以進(jìn)行恣意的傳播。雖然業(yè)務(wù)系統(tǒng)本身提供很多系統(tǒng)運(yùn)行相關(guān)的日志,但是對(duì)于敏感信息保存在各終端計(jì)算機(jī)以后就完全失去了監(jiān)控權(quán),信息即使出現(xiàn)泄密也無(wú)法準(zhǔn)確的找到泄密的源頭,無(wú)法追究相關(guān)的責(zé)任;同時(shí),由于業(yè)務(wù)系統(tǒng)過(guò)于龐大,使用角色過(guò)多,所以人員身份的核實(shí)也需要進(jìn)行相關(guān)的加強(qiáng)。再次,由于前端人員的對(duì)工作效率的需求較強(qiáng),因此網(wǎng)絡(luò)準(zhǔn)入、桌面管控等也應(yīng)作為技術(shù)輔助。
電信運(yùn)營(yíng)商業(yè)務(wù)及人員的復(fù)雜性,數(shù)據(jù)風(fēng)險(xiǎn)的不確定性,傳統(tǒng)的加密、控制等方式已經(jīng)無(wú)法有效的滿足系統(tǒng)安全建設(shè)需要,而‘一刀切’的解決思路更不合適于當(dāng)前環(huán)境,勢(shì)必需要建立一套切實(shí)可行的數(shù)據(jù)安全解決方案。面對(duì)各大安全廠商推出的數(shù)據(jù)安全防護(hù)解決方案和產(chǎn)品,北京明朝萬(wàn)達(dá)科技有限公司(www.wondersoft.cn)專家團(tuán)隊(duì)經(jīng)過(guò)對(duì)電信運(yùn)營(yíng)商行業(yè)信息化建設(shè)多年的研究和服務(wù)經(jīng)驗(yàn),提出了Chinasec(安元)數(shù)據(jù)安全解決方案,此方案緊密結(jié)合電信運(yùn)營(yíng)商業(yè)務(wù)體系、網(wǎng)絡(luò)構(gòu)架情況和風(fēng)險(xiǎn)點(diǎn),以其高可靠性、穩(wěn)定性、可擴(kuò)展性和易管理性等諸多優(yōu)勢(shì)得到了電信運(yùn)營(yíng)商行業(yè)的認(rèn)可,已先后部署了山西移動(dòng)、佛山移動(dòng)、肇慶移動(dòng)、內(nèi)蒙古移動(dòng)等重大項(xiàng)目。
明朝萬(wàn)達(dá)根據(jù)電信運(yùn)營(yíng)商數(shù)據(jù)風(fēng)險(xiǎn)差異,管理對(duì)象的差異,應(yīng)用場(chǎng)景的不同而提供的多元化的數(shù)據(jù)保密解決方案,從業(yè)務(wù)系統(tǒng)、終端DLP和移動(dòng)安全管理三個(gè)角度切入:
一、業(yè)務(wù)系統(tǒng)專屬數(shù)據(jù)安全解決方案
隨著競(jìng)爭(zhēng)的加劇,各電信運(yùn)營(yíng)商不斷的依賴各個(gè)管理系統(tǒng)來(lái)提高自己管理水平及服務(wù)水平,目前,各管理系統(tǒng)分布廣泛,使用人員眾多,當(dāng)擁有權(quán)限的人從管理系統(tǒng)上導(dǎo)出數(shù)據(jù)后,就無(wú)法保證數(shù)據(jù)的安全性,為了規(guī)避此類風(fēng)險(xiǎn),Chinasec(安元)應(yīng)用保護(hù)系統(tǒng)為電信運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)構(gòu)建了數(shù)據(jù)保密體系,精確定位數(shù)據(jù)泄密風(fēng)險(xiǎn),客戶端采用插件形式部署,當(dāng)用戶登陸系統(tǒng)后從受保護(hù)的業(yè)務(wù)系統(tǒng)導(dǎo)出數(shù)據(jù),系統(tǒng)自動(dòng)實(shí)現(xiàn)數(shù)據(jù)落地加密及權(quán)限控制。通過(guò)對(duì)業(yè)務(wù)系統(tǒng)上下載的文件采用加密技術(shù)不僅僅精確定位受保護(hù)的數(shù)據(jù)而且還有效的規(guī)避了數(shù)據(jù)泄密的源頭和風(fēng)險(xiǎn)點(diǎn)。方案具體實(shí)現(xiàn)通過(guò)業(yè)務(wù)系統(tǒng)精準(zhǔn)定位、文件落地加密及權(quán)限管理、聯(lián)動(dòng)審批流程進(jìn)行文檔權(quán)限變更及外發(fā)、全程日志審計(jì)等實(shí)現(xiàn)。
二、終端DLP整體解決方案
針對(duì)移動(dòng)內(nèi)部人員應(yīng)用比較復(fù)雜,內(nèi)部數(shù)據(jù)交換頻繁,數(shù)據(jù)傳輸量較大的特點(diǎn),因此建議電信運(yùn)營(yíng)商內(nèi)部人員采用“區(qū)域內(nèi)透明,區(qū)域外保護(hù)”的保護(hù)思路,就是要求根據(jù)環(huán)境對(duì)涉及到的敏感數(shù)據(jù)終端進(jìn)行安全的防護(hù),當(dāng)數(shù)據(jù)在受信任的區(qū)域內(nèi)存放時(shí),用戶可以隨意對(duì)數(shù)據(jù)進(jìn)行操作。當(dāng)數(shù)據(jù)脫離受信任的區(qū)域時(shí),數(shù)據(jù)就會(huì)受到相關(guān)權(quán)限的控制,Chinasec(安元)內(nèi)網(wǎng)安全管理平臺(tái)通過(guò)對(duì)網(wǎng)絡(luò)、U盤、外設(shè)、磁盤、直連等出口的控制來(lái)實(shí)現(xiàn)。
對(duì)于第三方辦公人員采用‘安全準(zhǔn)入,模式切換’的保密思路,提供不同程度的安全防范策略對(duì)應(yīng)不同的工作場(chǎng)景。就是對(duì)于要訪問(wèn)到業(yè)務(wù)系統(tǒng),進(jìn)行業(yè)務(wù)維護(hù)的時(shí)候,需要經(jīng)過(guò)認(rèn)證的并實(shí)施了安全策略的終端才有資格連接到業(yè)務(wù)系統(tǒng),進(jìn)行維護(hù)工作,產(chǎn)生到本地的數(shù)據(jù)保存在安全工作盤中。當(dāng)終端切換至另一個(gè)工作模式中,安全工作盤自動(dòng)關(guān)閉。并且可以根據(jù)每個(gè)維護(hù)人員角色的不同,對(duì)其能訪問(wèn)的服務(wù)器資源進(jìn)行具體定義。
三、移動(dòng)安全管理解決方案
隨著移動(dòng)業(yè)務(wù)的發(fā)展,除了傳統(tǒng)的終端安全管理,運(yùn)營(yíng)商內(nèi)網(wǎng)也逐步延伸到各種移動(dòng)終端設(shè)備上;并且各種增值業(yè)務(wù)也隨之出現(xiàn),特別是針對(duì)大型行業(yè)用戶。如何保障移動(dòng)辦公安全需求和個(gè)人安全需求,成為運(yùn)營(yíng)商前進(jìn)的向企業(yè)推動(dòng)采購(gòu)的最大競(jìng)爭(zhēng)力與贈(zèng)分點(diǎn)。Chinasec(安元)移動(dòng)安全管理平臺(tái),結(jié)合PKI體系為企業(yè)用戶提供安全接入身份認(rèn)證、私密通道保護(hù)、移動(dòng)終端安全應(yīng)用等。支持企業(yè)將工作網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)管理和數(shù)據(jù)安全延伸到移動(dòng)設(shè)備,讓IT實(shí)現(xiàn)與傳統(tǒng)終端一樣的控制。有效防止身份冒認(rèn)、網(wǎng)絡(luò)竊聽、終端丟失帶來(lái)的數(shù)據(jù)泄密風(fēng)險(xiǎn)等。
業(yè)務(wù)系統(tǒng)專屬數(shù)據(jù)安全解決方案以精準(zhǔn)的數(shù)據(jù)定位,簡(jiǎn)化管理目標(biāo),達(dá)到既安全又方便;終端DLP整體解決方案以特定網(wǎng)絡(luò)邊界為防護(hù),減輕內(nèi)部運(yùn)營(yíng)壓力;移動(dòng)安全管理解決方案對(duì)脫離邊界數(shù)據(jù)實(shí)行有效防護(hù),為運(yùn)營(yíng)商的對(duì)外業(yè)務(wù)提供保駕護(hù)航能力。方案中所有體系既可以獨(dú)立,也可以互相組合形成更完整的解決方案,具有極優(yōu)良的擴(kuò)展性,使得運(yùn)營(yíng)商內(nèi)部辦公場(chǎng)景以及對(duì)外業(yè)務(wù)的數(shù)據(jù)信息得到全方位的保護(hù)。
通信世界不再單純是網(wǎng)絡(luò)的世界,終端和業(yè)務(wù)在信息消費(fèi)過(guò)程中扮演著越來(lái)越重要的角色。而且,終端、網(wǎng)絡(luò)、業(yè)務(wù)三者在信息通信發(fā)展中具有一些本質(zhì)規(guī)律和辨證關(guān)系。在未來(lái)的全業(yè)務(wù)運(yùn)營(yíng)中,如何依照這些規(guī)律來(lái)綜合定制出更加完善的數(shù)據(jù)安全解決方案,必是我們要繼續(xù)探索和努力的。
