電信運營商的網(wǎng)絡和業(yè)務系統(tǒng)作為與人們的生活��、工作密切相關的信息載體��,承載著海量而又敏感的資料內(nèi)容����。頻發(fā)的客戶信息泄露事件讓電信運營商更加關注信息保護�����,這同時也是電信企業(yè)的市場公信力與責任感的體現(xiàn)。首先���,我們來分析��、歸納哪些環(huán)節(jié)存在信息泄露的可能:
- 現(xiàn)場維護人員直接進入機房����,訪問并操作服務器����,將數(shù)據(jù)導出帶走;
- 維護人員通過維護終端使用客戶端管理工具訪問數(shù)據(jù)庫�����,將數(shù)據(jù)導出到維護終端并帶走�;
- 維護人員通過前端服務器(如WEB、中間件等服務器)連接數(shù)據(jù)庫服務器���,將數(shù)據(jù)導出至前端帶走�;
- 開發(fā)人員利用對系統(tǒng)的了解�,可以直接連接到后臺服務器,并導出數(shù)據(jù)帶走����;
- 內(nèi)部辦公人員從運維人員處獲取數(shù)據(jù)后����,通過U盤���、FTP、WEB上傳�、郵件、QQ等方式將數(shù)據(jù)帶走�;
- 報表系統(tǒng)前臺查詢?nèi)藛T訪問后端數(shù)據(jù)庫,導出并帶走查詢數(shù)據(jù)����。
針對以上存在疏漏的環(huán)節(jié),除了落實準入控制�����,較嚴厲的應對方式是采用底層透明加密技術�����,在敏感數(shù)據(jù)下載時增加控制措施�����,同時加強針對敏感數(shù)據(jù)的操作審計,對敏感數(shù)據(jù)向外部的傳遞過程進行監(jiān)控和告警�。
加密技術需結合運營商實際應用的需求,對于通過報表系統(tǒng)前臺�、集中身份及訪問管理平臺導出的數(shù)據(jù)均做加密處理,內(nèi)部人員可透明打開��、編輯加密文件�����。經(jīng)過加密的數(shù)據(jù)外發(fā)后���,外部人員無法閱讀����。在數(shù)據(jù)防泄密控制中����,只對導出數(shù)據(jù)在下載過程中進行加密,不影響本地的其它數(shù)據(jù)��。如果文件需要外發(fā),可通過管理手段(管理員審批)放行�����;若文件需要離線使用����,也可通過管理手段(管理員分配設置時限、設置密碼的USB-Key做認證)放行��。
對于敏感數(shù)據(jù)��,在所有人員通過U盤����、郵件���、QQ���、FTP、WEB上傳�、WEBMAIL等方式向外部傳遞時進行記錄與報警;對文件打印�����、刻錄等行為進行監(jiān)控;對HTTP�����、HTTPS的WEB界面上傳下載文件進行監(jiān)控�;對修改了文件名的文件進行發(fā)現(xiàn)與監(jiān)控;終端再次連接到網(wǎng)絡后�����,其在離網(wǎng)期間進行的文件導入導出操作可被傳回到審計服務器�����。
結合當前大部分運營商已經(jīng)部署了集中身份及訪問管理系統(tǒng)的情況��,啟解決方案涉及兩大主要功能�����,一類是準入控制功能����,一類是數(shù)據(jù)加密及審計管理功能��。準入控制功能對試圖接入集中身份及訪問管理系統(tǒng)的終端進行準入控制�����,未安裝防泄露客戶端的終端則不允許接入���。數(shù)據(jù)加密及審計管理功能一方面采用透明加解密技術對敏感文件加解密,一方面結合數(shù)據(jù)泄露審計技術�,監(jiān)控對未加密的敏感文件的存儲和操作,并進行報警��。采用數(shù)據(jù)泄露審計技術����,可識別敏感信息�����,對維護人員���、管理人員導出敏感信息的行為進行報警�����,記錄對敏感信息的使用�,如果出現(xiàn)數(shù)據(jù)泄密,能將問題準確定位到泄密的賬號及個人��。
來源:IT專家網(wǎng)
版權及免責聲明:凡本網(wǎng)所屬版權作品�,轉(zhuǎn)載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力���。凡轉(zhuǎn)載文章�����,不代表本網(wǎng)觀點和立場�����。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
