發布時間:2023-10-18 10:22:35
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的敏感信息安全樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
(1)客戶基本資料包括但不限于集團客戶資料、個人客戶資料、渠道及合作伙伴資料、精確營銷目標客戶群數據和各類特殊名單。
(2)客戶身份鑒權信息包括但不限于客戶的服務密碼和客戶登錄各種業務系統的密碼。
(3)客戶通信信息包括但不限于詳單、原始話單、賬單、客戶位置信息、客戶消費信息、基本業務訂購關系、增值業務(含數據業務)訂購關系、增值業務信息、客戶通信行為信息和客戶通信錄等。
(4)客戶通信內容信息包括但不限于客戶通信內容記錄、客戶上網內容及記錄和行業應用平臺上交互的信息內容。客戶信息安全面臨的風險和威脅主要包括因為權限管理與控制不當,導致客戶信息被隨意處置;因為流程設計與管理不當,導致客戶信息被不當獲取;因為安全管控措施落實不到位,導致客戶信息被竊取等。
2客戶信息安全保護的目標
客戶信息安全保護的目標如下。
(1)利用安全保護手段和審計系統對業務支撐網客戶信息的數據泄漏及篡改做到事前預防、事中控制、事后審計。
(2)通過管理制度及細化管理流程強化客戶信息安全的日常管理和審核,及時處理客戶信息泄密事件的處理,落實信息泄露的懲罰措施。
3客戶信息安全保護的要求
客戶信息安全保護的總體要求如下。
(1)對業務支撐網客戶信息按數據價值、數據安全需求兩方面進行分級管理。
(2)對業務支撐網客戶信息的所有存儲方式及獲取途徑應進行深入分析,及時發現并彌補業務層面和系統層面中可能導致客戶信息被篡改和泄漏的漏洞。
(3)利用安全技術和管理手段加強客戶信息管控,避免數據泄露和非法篡改。
4總體設計
結合業務支撐網客戶信息安全保護要求給出安全保護體系架構、功能模塊。主要從客戶信息授權鑒權、電子審批、數據提取控制、維護工具管理、數字水印、文檔管控、操作行為審計等方面加強客戶信息安全控制,提高業務支撐系統的客戶信息安全保障能力。
4.1體系架構
整個體系由數據層、應用層、服務層構成,每個層次分別對應客戶信息安全保護的主要功能模塊。
4.2功能模塊設計
整個客戶信息安全保護體系功能模塊設計和系統交互。下面針對每個部分進行詳細功能設計。
4.2.1授權與訪問控制
通過4A管理平臺實現維護終端集中化授權與訪問控制。4A管理平臺上采用堡壘主機的技術,基于用戶的權限,進行統一的資源層和應用層訪問控制,避免維護人員使用不安全的終端直接訪問客戶信息。4A管理平臺進行統一的審計操作,原有系統功能和性能不會受到影響,在減輕管理員負擔的同時,提高了賬號控制和操作審計。
4.2.2客戶信息鑒權控制
客戶信息鑒權控制首先對業務支撐網中所存儲的數據進行梳理調研,根據數據機密性把數據分為敏感數據和非敏感數據兩大類,并對敏感數據按機密程度級別進行分類。鑒權控制模塊包括數據屬性綜合分析、實體敏感度定義、內容敏感度定義、屬性敏感度定義、敏感度分級、敏感度分級核查和數據安全鑒權控制調度等7部分;本文工程數據安全鑒權控制主要實現以下目標。
(1)數據屬性綜合分析:制定敏感數據定義原則,并對全網的數據進行分析整理,分析出當前業務支撐網中的所有敏感數據的存儲位置和訪問方式。
(2)實體敏感度:實體敏感度是根據實體的保密程度來劃分的敏感度。數據庫表實體根據業務內容和行業背景等視角的不同,其敏感級別也有所不同。
(3)內容敏感度:根據實體內容的保密程度來設定的敏感度。根據數據庫實體關鍵屬性值的不同,其相對的保密程度也有所不同。如按月周期(或其它周期)屬性來劃分,將數據分為當月、3個月內、6個月內,并分別設置不同的敏感級別,擁有不同級別的用戶所能查看的KPI周期范圍就會不同。內容敏感度的優先級低于實體敏感度。
(4)屬性敏感度:屬性敏感度是根據實體屬性(如字段)的保密程度來劃分的敏感度。梳理系統的所有數據庫表及其字段信息,運用這些集中管理的實體屬性內容,給每個屬性設置相應的敏感級別。在數據敏感度控制方面,屬性敏感度的優先級僅次于實體敏感度。用戶首先要有實體的瀏覽權限,才進一步考慮屬性敏感度。
(5)敏感度分級:根據敏感數據的實體敏感度、內容敏感度、屬性敏感度來計算出數據的敏感度級別。
(6)敏感度分級核查:根據預訂的檢查策略和規則對敏感數據的分級進行核查。
(7)數據安全鑒權控制調度:實現對數據安全鑒權控制的整體調度管理,負責對敏感數據模塊的整體控制。
4.2.3電子審批管理
電子審批模塊包括自管理模塊、審批內容管理、審批時間管理、電子審批引擎、電子審批服務支撐、審批賦權管理、電子驗證碼管理、臨時訪問審批管理、永久賦權審批管理和審批任務管理等。用戶訪問業務支撐網時,如需要臨時性獲得直接上級某個功能點的用戶權限,訪問用戶需進行權限升級的電子審批,將電子驗證碼傳給業務支撐門戶,由業務支撐應用門戶向訪問用戶的直接上級發送。直接上級如同意該申請則轉發電子驗證碼到訪問用戶,訪問用戶輸入該電子驗證碼通過審批,用戶通過審批后在限定時間內獲得查看權限;如直接上級不同意該申請則不進行轉發。
4.2.4數字水印管理
數字水印模塊包括自管理模塊、敏感度內容配置、數字水印生成引擎、數字水印調用管理、用戶數據采集、數字水印配置服務、條形碼規則管理、水印校驗服務和流程管理接口等。主要實現以下目標。(1)自管理模塊:負責數字水印服務自身的配置管理,主要包括用戶管理、敏感數據內容控制等功能。(2)敏感度內容配置:負責數字水印服務自身的配置管理,主要包括用戶管理、敏感數據內容控制等功能。(3)數字水印生成引擎:水印生成引擎給請求的應用返回數字水印圖片文件,數字水印圖片文件由用戶的條碼圖多次重復出現形成,用戶條碼圖用請求應用的用戶ID計算得出的,不同的用戶ID生成不同的條碼圖。(4)數字水印調用管理:負責對業務支撐系統提供數字水印服務的整套調度和支撐管理。(5)用戶數據采集:根據數字水印的生成需要,采集業務支撐系統的訪問員工ID、時間日期、登錄IP及菜單ID等信息。(6)數字水印配置服務:負責用戶訪問頁面時調用數字水印服務的配置管理,通過配置來定義哪些業務支撐網內容需要提供數字水印服務。(7)條形碼規則管理:定義數字水印的條形碼規則,根據規則實現計算、加密、編碼并進一步生成用戶條碼。(8)水印校驗服務:提供后臺服務,管理人員可以通過該功能解讀條形碼并找出真正的用戶姓名。用戶訪問頁面時可以根據訪問員工ID、時間日期、登錄IP及菜單ID生成數字水印信息內容,將數字水印信息內容傳送給業務支撐系統,由業務支撐系統門戶進行水印展現。
4.2.5客戶信息取數控制
4A管理平臺針對客戶信息訪問提供了圖形化工具與審計相結合的集中管理,構建了一個完整的用戶管理、用戶鑒權、操作審計和訪問控制的體系。不再允許用戶對數據庫后臺資源的直接訪問;需要將通過數據庫的堡壘取數控制主機來訪問,由堡壘主機預裝的圖形化工具訪問數據庫的后臺資源。
4.2.6維護工具集中管理
客戶信息的維護工具通過4A管理平臺進行統一的Web,將系統運行維護工作所涉及的應用軟件或工具集中部署在4A管理平臺服務器上。通過Web方式來向不同用戶或用戶群并僅其所需應用;用戶在客戶端通過IE瀏覽器訪問權限訪問內的客戶信息。
4.2.7客戶信息文檔管控
針對業務支撐網中涉及客戶信息訪問的維護人員都建立一個個人文件夾,個人文件夾的文件存放在4A文檔服務器上,通過4A管理平臺訪問每個賬號的文件夾。文件夾設置權限為只能某個主賬號訪問。管理中心通過FTP協議訪問文檔服務器的目錄,客戶端通過HTTP協議管理文件夾,上傳下載通過HTTP/FTP協議。實現客戶信息批量文檔下載操作行為的可控化,如果維護人員的確因業務需要下載用戶數據,則需要根據事先約定的申請、審批等環節,同時通過短信通知上級主管,形成基于信息安全監察機制的閉環控制體系。
4.2.8客戶信息訪問審計
通過4A管理平臺任何用戶使用和應用的過程可以被全程監控,其審計的內容包括錄像審計、SecurerCRT審計、Sql訪問審計、客戶信息批量下載審計等。任何用戶使用維護功能的過程將被全程監控:用戶的操作行為及顯示器上的內容變化可以存放到集中存儲上,然后在需要的時候像看電影一樣回放。為有效利用資源和保護隱私,客戶信息訪問審計允許靈活定制以時間、角色、應用名稱、位置為參數的錄像策略來控制錄像的開始和停止。業務支撐系統從各環節層次抽取的審計日志信息,按照4A管理平臺的要求對其進行重新過濾和格式化整理,并最終進行日志信息入庫。整個過程需實現處理的流程化及自動調度機制,以保證4A管理平臺能夠及時地獲取日志數據。4A管理平臺提供統一日志采集接口(API或WebServices),所有應用系統都可以調用該接口,記錄日志信息。
5意義
客戶信息保護體系的建設是以強化業務支撐系統數據安全管理,實現信息安全審計、數據安全保護為最終目的。通過對系統權限、操作日志、訪問控制等安全措施,滿足中國移動在客戶信息安全保護方面的需求,提升業務支撐系統抗客戶信息安全風險能力,更進一步推動業務支撐系統的持續、健康發展。
6結束語
關鍵詞:建設項目 ; 敏感資料 ; 信息安全管理Abstract:According to the mobile operators information engineering management department, in the sensitive data management in the application of DLP strategy, (DLP, Data leakage prevention, namely data leakage prevention), to solve information loss, leakage of the scheme, with strong guiding role on improve the specific information of the level of safety management.
Keywords: construction project; sensitive information; information security management
中圖分類號: TU714文獻標識碼:A文章編號:
1 緒論
1.1背景
移動信息運營商,其網絡工程項目主要以外包形式開展建設,其中工程管理部門作為建設單位代表,主要擔負工程項目行政管理工作。工程管理部門在日常工作中,未直接接觸公司業務及客戶信息,信息安全管理被重視程度較低。但是工程管理部門參與工程建設項目合作單位招投標、設備采購,掌握公司網絡規劃信息等重要敏感數據,這些信息的不恰當泄露,將嚴重影響工程建設開展,損害公司利益。因此,需要針對工程管理部門資料信息安全管理的不足,落實一系列措施,提高信息安全管理水平。
1.2 問題及目標要求
工程管理部門日常涉及的信息資料,包括網絡戰略規劃、項目進度、質量、投資計劃方案、工程管理方法、項目招投標事項、項目周期報告等。其中,網絡戰略規劃、工程管理方法、項目招投標事項屬于敏感資料,需重點保護,其他信息屬于可公開資料。工程管理部門敏感資料管理要求較低,允許投入的管理成本少,在公司信息安全管理中,屬于被動配合部門,普遍未建立適用工程管理部門敏感數據安全管理規范,存在比較嚴重的敏感數據泄露風險。
在本文中,將根據DLP策略原理,對工程管理部門在敏感資料管理方面的實際操作,提出完整解決預案,達到以較低成本、較易落實的方式,提高信息安全管理水平的目標。
2 敏感資料DLP方案
根據DLP策略(DLP,Data leakage prevention,即數據泄露防護),全面識別文檔、郵件、文字等敏感信息,評估信息風險,統一制定防泄漏策略,監控信息泄密途徑,采取適當的技術手段和管理手段進行阻止。根據“圖1 工程資料保護實施流程”,下面通過對內容進行分析,按照策略來識別、監控和保護靜態存儲的、使用中或動態傳輸的數據。
圖1 工程資料保護實施流程
根據上述流程圖,以下說明各重要環節的措施。
2.1工程信息資料識別及安全要求分類:
表1 工程信息資料分類管理要求
2.2針對不同密級信息資料的安全保護策略,包括管理手段及技術手段。
表2 工程信息資料保護要求
表2保護要求中的具體技術手段及管理手段如下:
(1) 公司內部人員使用專用認證帳號,才能登錄辦公網絡(含局域網),認證帳號不能借與他人使用,否則一經發現通報批評,并考核處理。
(2) 公司外部人員原則上不能登錄辦公網絡(含局域網),特殊情況需要登錄,須申請臨時認證帳號,經項目主任、部門經理、公司安全管理部門審批。認證帳號專人使用,如借與他人使用,一經發現考核處理,直至取消參與公司項目資格。
(3) 辦公室電腦必須安裝公司指定的防火墻及賽門鐵克防病毒軟件,安裝軟件必須及時升級更新(或自動更新)。所有電腦均設置帳號登錄密碼,并且要求在離開屏幕時退出登錄或者鎖屏。
(4) 文件服務器使用訪問控制機制,由公司安全管理部門部署防火墻,并且關閉所有外部訪問端口,僅允許局域網訪問。
(5) 文件服務器使用授權機制,所有人須使用各自登錄帳號才能登錄訪問,并根據各自權限對文件服務器上的文件,進行新建、修改、刪除、閱讀等。
(6) 文件服務器對登錄帳號活動進行日志記錄,以便落實監控、審計機制。
(7) 辦公室為部分人員配備可上鎖的文件柜,可密封文件袋。
(8) 公司/部門檔案室專人管理,文件的出入均實現審批、簽收記錄的制度。
(9) 辦公室開展密碼學基礎知識培訓,關鍵崗位均應掌握并設置“易記且足夠健壯”的密碼。
2.3執行保護策略,審核與持續改進
從管理制度上規范保護策略,還要對相關人員進行宣貫教育,才能保證保護策略的有效落實。
為保證并評估策略的實施效果,開展周期性的檢查審計,對發現問題及時整改,對發現不足進行改進,形成閉環管理。
(1) 將上述保護策略的檢查點,制作成標準的檢查表。
表3 工程信息安全檢查表(部分)
檢查內容 檢查描述 檢查結果
抽查不少于25%的辦公電腦,檢查是否規范使用網絡登錄認證帳號
抽查不少于20%的辦公電腦,檢查是否安裝了防火墻及防病毒軟件,防火球及防病毒軟件是否及時更新
抽查不少于20%的辦公電腦,檢查是否設置了登錄密碼
抽查所有項目辦公電腦,辦公人員離開電腦時,是否退出系統登錄或進行鎖屏
檢查當天接入辦公網絡的第三方電腦,是否按我公司規范正確使用認證帳號、安裝防病毒軟件等
隨機詢問辦公室不少于10%的人員,結合個人崗位,講述部門敏感資料管理要求
抽查一個項目,檢查文件的存放及加密、傳遞記錄,是否符合規范
…………
(2) 由經理人員、信息安全管理員組成檢查組,根據表3內容,周期性開展對保護策略落實情況的檢查。
(3) 根據保護策略實施結果、檢查結果,階段性開展保護策略總結分析,分析其中改進需求,持續改進。
3 結論
在本文中,針對工程管理部門在敏感資料管理中面臨的問題,根據DLP策略,在“預防為主、突出重點、便利工作、保障安全”的方針指導下,提出了解決的預案。解決預案,貼近實際工作,落實成本低,能夠在較大程度上,滿足工程管理部門目前信息安全管理要求,對實際工作具有較強指導意義。
受篇幅及作者水平的限制,本文中針對問題提出的解決預案未盡詳細。如果在實際工作中落實,可根據解決預案,制定更加具體的方案措施。
針對辦公計算機信息安全隱患,通過提出辦公計算機接入內部網絡流程、編寫計算機本地違規賬號禁用程序、開展計算機感染病毒原因分析及專項查殺、啟用計算機USB接口禁用策略等技術手段,有效降低辦公計算機信息安全風險。
1.1提出辦公計算機接入內部網絡流程
為保障天津公司辦公計算機各項信息安全監控指標符合安全加固要求,避免由于運行維護人員違規操作導致出現計算機本地賬號弱口令、安全防護軟件安裝率下降等安全問題,必須明確辦公計算機接入公司內部辦公網絡操作流程,并要求計算機運行維護人員嚴格按照該流程進行操作。該流程從裝機前準備工作、安裝操作系統、入網前準備工作、入域及安裝趨勢防病毒軟件、安裝桌面終端管理系統并下發安全策略等幾個方面給出明確操作步驟,規范了辦公計算機命名規則,通過全網惟一計算機名稱可以直觀反映終端使用人、物理位置、用途等屬性,有利于實時開展信息安全管控工作。
1.2編寫計算機本地違規賬號處理程序
對于已接入公司信息網絡的辦公計算機,由于數量龐大,運維人員無法手動逐一排查計算機本地違規賬號,導致部分計算機仍然存在系統自帶違規賬號(如Guest、Administrator等),以及計算機用戶自建的密碼策略違規賬號。因此,有必要采用技術手段全面清理違規賬號,通過編寫違規賬號自動禁用腳本程序,并利用計算機管理系統下發,可實現對內、外網計算機本地違規賬號的自動禁用。辦公計算機本地違規賬號禁用工作分為以下幾步:
(1)下發現狀調研表,為保障日常工作的有序開展,要求各單位計算機運行維護人員全面統計責任范圍內必須保留的計算機本地賬號,其余本地賬號將全部禁用,并禁止計算機用戶再次新建本地賬號;
(2)按照反饋結果,篩選必須保留的本地賬號,并將保留賬號數量限制在最小范圍內,編寫賬號禁用腳本程序與開機自動加載腳本程序;
(3)搭建辦公計算機網絡模擬測試環境,對賬號禁用腳本程序與開機自動加載腳本程序的安全性與執行準確性進行反復測試,避免腳本程序下發后影響計算機的正常使用;
(4)利用計算機管理系統的腳本程序下發功能,將上述兩個腳本程序逐步下發至天津公司全部計算機,并及時跟蹤腳本程序的執行效果。賬號禁用腳本程序的功能是檢測計算機本地賬號,并將其與5個保留賬號(各基層單位上報)進行對比,對于用戶名不一致的賬號全部禁用,該程序后臺運行,不影響計算機的正常使用。
1.3開展辦公計算機病毒專項治理工作
病毒作為辦公計算機主要安全隱患之一,可能存在于辦公環境內任何一臺終端上,并通過內部文件轉發等方式導致病毒大規模爆發。因此,必須采取專項措施全面清理辦公計算機已存在的病毒文件。以天津公司病毒治理工作為例,通過對連續三個月內網辦公計算機病毒日志統計分析,病毒大量存在的原因主要有三個:各基層單位工程部門頻繁拷入施工圖紙文件引入的CAD文件類病毒大量爆發,占總數的51%左右;圖片文件、壓縮文件等感染病毒后,殺毒軟件無法自動刪除并且重復上報,占總數的33%左右。
1.4啟用辦公計算機USB接口禁用策略
計算機USB接口作為內部辦公網絡環境與外部進行數據交換的惟一途徑,必須采取嚴格的管控措施。為避免安全移動存儲介質的違規使用導致辦公計算機敏感信息外泄事件發生,利用計算機管理系統的移動存儲介質審計功能,定期對公司安全移動存儲介質拷貝敏感信息情況進行檢查,敏感關鍵詞范圍包括“絕密、機密、秘密”、“工資”、“規劃”、“智能電網”、“保電方案”等。通過調整計算機管理系統辦公計算機USB接口管控策略,將原有僅允許普通移動存儲介質拷入文件的策略調整為完全禁止文件拷入、拷出。為不影響正常工作,要求各基層單位按一定比例統計并上報必須保留USB接口讀取功能的計算機,該計算機USB接口僅能讀取統一配發的安全移動存儲介質,其余計算機全部下發禁用USB接口策略,允許比例控制在全部辦公計算機的3%左右。同時,安全移動存儲介質的申請必須經過嚴格的審批流程,嚴控安全移動存儲介質配發數量,所有安全移動存儲介質堅持由科技信通部統一制定配發原則,信息通信公司具體實施,各基層單位不具備配發權限,配發總數不超過人資定員數的10%。在安全移動存儲介質的使用管理過程中,使用人必須簽訂《安全移動存儲介質安全使用責任書》,提高使用人信息安全意識,明確安全移動存儲介質掛失補辦流程,遺失必須經保密委備案。每年在全公司范圍內開展一次安全移動存儲介質清理核對工作,所有安全移動存儲介質統一進行策略及注冊數據更新,未更新的介質不能繼續使用。上述安全管控策略的實施,在進一步減少敏感文件拷入、拷出數量的同時,有效降低辦公計算機感染病毒文件的風險。
2辦公計算機信息安全隱患防治工作成效
隨著互聯網的發展,網絡逐漸成為完成業務工作不可或缺的手段,很多政府、銀行、企業紛紛將核心業務基于網絡來實現。然而,網絡的不斷普及帶來了大量的安全問題。目前全球數據泄密事件53.7%的是由于人為疏忽造成,15.8%是由內部惡意竊密,23.3%是由于黑客等外部攻擊行為造成,7.2%是由于意外造成的數據丟失。根據IDC數據顯示,內部泄密事件從46%上升到了67%,而病毒入侵從20%,下降到5%。
2.信息安全審計定義及作用
2.1信息安全審計定義
信息安全審計是針對網絡用戶行為進行管理[1],綜合運用網絡數據包獲取、協議分析、信息處理、不良流量阻斷等技術實現對網絡信息內容傳播的有效監管。它能夠幫助用戶對網絡進行動態實時監控,記錄網絡中發生的一切,尋找非法和違規行為,為用戶提供事后取證手段。
2.2信息安全審計的作用
跟蹤檢測。以旁路、透明的方式實時對進出內部網絡的電子郵件和傳輸信息等進行數據截取和還原,并可根據用戶需求對通信內容進行審計,提供敏感關鍵詞檢索和標記功能,從而防止內部網絡敏感信息的泄漏以及非法信息的傳播。取證監控。還原系統的相關協議,完整記錄各種信息的起始地址和使用者,識別誰訪問了系統,訪問時間,確定是否有網絡攻擊的情況,確定問題和攻擊源,為調查取證提供第一手的資料。
3.其他安全產品安全審計方面的缺陷
防火墻只是內外部網絡之間建立起隔離,控制外部對受保護網絡的訪問,通過控制穿越防火墻的數據流來屏蔽內部網絡的敏感信息以及阻擋來自外部的威脅。入侵檢測對網絡中的數據包進行監測,對一些有入侵嫌疑的包進行報警,準實時性較強,但采用的數據分析算法不能過于復雜,通常只是對單個數據包或者一小段時間內的數據包進行簡單分析判斷,誤報率和漏報率較高。漏洞掃描、防病毒等設備主要發現網絡、應用軟件、操作系統的邏輯缺陷和錯誤,提早防范網絡、系統被非法入侵、攻擊;發現處理病毒。
4.信息安全審計系統的分類
主機審計:審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;統一安全策略,實現集中審計等。網絡審計:應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;應能夠根據記錄數據進行分析,并生成審計報表;應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。數據庫審計:審計對數據庫的操作行為,如增、刪、改等,發現各種非法、違規操作。業務審計:對業務系統的操作行為進行審計,如提交、修改業務數據等,滿足管理部門運維管理和風險內控需要。日至審計:審計網絡設備、安全設備、應用系統、操作系統的日志,發現安全事件,保存證據。
5.信息安全審計系統的設計
主流的信息安全審計系統分為探針引擎和管理應用平臺兩部分組成[2]。探針引擎的主要功能:監聽網絡數據,并將數據臨時保存。將不同的數據流匯聚,形成一個應用鏈接;根據設定的規則,對采集的數據進行初步過濾,并對采集的數據進行協議分析,提取內容信息。如在Smtp,pop3協議中,提取郵件體和附件;將采集后的數據按規定格式存儲和傳輸。根據需要,進行傳輸加密。管理應用平臺是由web管理平臺+控制中心+數據庫組成的三層結構。WEB管理控制平臺主要功能:業務邏輯展現,系統管理、日志管理、策略管理、報表管理、查詢統計分析。控制中心主要功能:文件中心主要是用于系統報警原始文件存儲、文件讀取;統計中心主要是用于定期對系統關鍵詞報警信息、行為日志數據、網絡流量數據、系統操作行為進行分類統計;數據中心主要是實現數據庫與探針引擎之間的橋梁,實現策略下發、探針引擎接入控制、數據轉存功能。數據庫主要功能:用于結構化數據的存儲。
6.信息安全審計技術在工作中的基本應用
HTTP敏感信息檢測:HTTP協議的網頁瀏覽、網頁發帖監測,記錄中標網頁的URL、瀏覽時間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并還原、保存原始網頁文件到本地磁盤。通過IP地址、域名、時間范圍、協議類型等組合查詢查看報警信息并輸出報表,通過“查看文件”鏈接查看原始瀏覽網頁文件內容,通過“查看詳細”鏈接監測報警信息的數據來源、報警協議類型、文件存放路徑等信息。郵件敏感信息檢測:SMTP,POP3中的敏感信息監測,記錄中標網頁的信息摘要、關鍵詞、接收用戶、發送用戶、IP地址,并還原、保存原始郵件到本地磁盤,系統默認收、發郵件端口分別為110、25。可以通過接收用戶名、發送用戶名、時間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報表,通過“查看文件”鏈接打開查看原始郵件主題、正文內容,通過“查看詳細”鏈接監測報警信息的數據來源、報警協議類型、文件存放路徑等信息。IP流量監測:監測IP主機數據流向、流量大小,按總計流量從高到低排序,并可清零流量重新統計。數據庫日志檢測:監控并記錄用戶對數據庫服務器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄,并記錄數據庫服務器及操作用戶的IP、登錄用戶名、MAC地址、操作時間等信息。
7.結語
如何保證網絡行為、信息內容的合規性、合法性、健康性已成為網絡安全研究領域中的熱點問題。信息安全審計技術是對網絡行為進行檢測與防范,也是對信息系統建設的重要補充,將繼續在信息安全中發揮重要的作用。
作者:張楠 單位:吉林省統計局數據管理中心
參考文獻:
Web2.0時代的信息安全
如今,Web2.0取得了巨大成功,但一向以嚴肅的形象示人的安全管理系統卻固守著Web1.0的模式,“孤單地在角落里收集那點可憐的日志。”甚至一些安全產品與互聯網是完全絕緣的。不過,東軟SOC5.0改變了這種狀況。近日,東軟集團信息安全事業部了SOC5.0升級版本,對其系統的底層架構、核心處理引擎、功能模塊以及系統展現界面都進行了顛覆性的設計,打破了以往信息安全產品死板的風格,為用戶帶來更多的創新應用體驗。它在設計中迎合了社交網絡的發展趨勢,開始注重安全管理平臺和用戶的互動。如:SOC5.0的輿情監測開始主動地從互聯網上獲取有關用戶的信息、敏感詞匯及關鍵詞等。
另外,東軟將安全管理人員聯系起來,為他們提供了一個社區,用于交流和討論,并將過去幾年積累的案例在不的情況下供安全管理人員學習和分享。這讓安全管理人員不再是“孤軍奮戰”。
云平臺提升告警系統
對信息安全管理平臺而言,告警是件比較麻煩的事情,它涉及IP地址、原責任單位、目的責任單位、發生的監控節點、采集的設備、涉及的資產及網絡層應用層、物理層等。這些復雜的結構不能夠理清楚,用戶就無法搞清楚威脅到底來自哪里,危險級別是怎樣的。劉浩是某銀行科技部工作人員,他每天都要收到很多告警短信,告知他系統安全存在隱患,但有些告警“復雜的情況實在讓人沒辦法搞清楚情況到底有多嚴重”。對告警危險級別的判斷幾乎是讓所有安全工作人員頭疼的事。
〔關鍵詞〕供應鏈系統;情報泄密;機理;信息安全;反競爭情報
〔Abstract〕The paper,from the perspective of the counterintelligence technical support system,constructed the supply chain information security system model from such five parts as the information security decision center,the information security counterintelligence center,the network counterintelligence system supported by the honeynet technology,the human intelligence network system and the integrated supply chain information system;combed the security hidden danger of information security system in supply chain;and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information,information security policy management lags behind the information security needs of the supply chain system,the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system,the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board,and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.
〔Key words〕supply chain system;information leakage;mechanism;information security;counterintelligence
S著網絡和信息技術的發展,閉環的企業內部信息管理模式逐步為開放的供應鏈集成化信息管理模式所取代。當供應鏈成員通過開放的互聯網來實現遠程交互訪問、進行信息共享時,這種開放的網絡系統給需要高度保密的敏感情報如企業內部的生產、銷售訂單、合作企業的生產進度、企業間的資金轉帳、招投標信息等,帶來了很多安全隱患,從而威脅到整個供應鏈系統的信息安全。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看,有必要對全球供應鏈中的各類組織的信息安全紀律進行全覆蓋[1];Ramesh Kolluru和Paul HMeredith發現供應鏈合作伙伴之間的不同類型的數據共享需求需要不同層次的安全性[2];Peter Finch指出當公司暴露于組織間網絡時,開展風險評估以及需要考慮業務連續性規劃的重要性[3];Zachary Williams等人通過定性研究,發現存在4個主要的供應鏈安全的驅動因素,即政府、顧客、競爭者和社會[4];蔣魯寧認為信息安全供應鏈的安全涉及4個方面,即信息安全供給基礎、信息安全產品(包括信息安全服務)過程,信息安全能力形成過程以及對這些過程的安全確認[5];劉丹則認為供應鏈信息系統的安全涉及從粗到細的4個層面:系統級安全、程序資源訪問控制安全、功能性安全和數據域安全[6];齊源選擇了信息共享內容風險、委托-風險、管理風險、成本增加風險以及技術風險等5大預警指標,構建了基于第三方及GAHP的供應鏈信息共享風險預警系統[7];董紹輝等認為,供應鏈信息泄露的途徑包括供應鏈上游企業、下游企業、獨立第三方以及供應鏈管理系統等4個方面[8];宋偉等提出通過接入中間件,在內、外系統之間進行必要的安全隔離,從而提高整個供應鏈協同系統的魯棒性和抗攻擊能力[9];李劍鋒等提出了由信息安全治理、信息安全管理、基礎安全服務和架構、第三方信息安全服務與認證機構和供應鏈信息安全技術標準體系5個部分構成的供應鏈信息安全體系框架[10]。上述研究表明,雖然國內外學者對于供應鏈系統的信息安全問題高度關注,從供應鏈信息安全的內容、影響因素、風險評估、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究,但是在供應鏈信息安全系統的泄密源排查、泄密原因分析、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應鏈反競爭情報技術系統視角構建供應鏈信息安全系統模型,站在競爭對手的立場上審視供應鏈信息安全系統存在的安全隱患,進而研究供應鏈系統情報為何泄密、如何泄密、怎樣泄密的內在機理,促使供應鏈系統各參與方高度重視情報泄密的防控問題,避免或減少敏感信息情報的泄密。
1反競爭情報技術系統視角的供應鏈信息安全系統模型的構建供應鏈信息安全系統的構建應重點研究敵意侵害方的競爭情報系統,梳理出供應鏈系統可能存在的信息安全隱患,從反競爭情報技術系統視角來構建供應鏈信息安全系統模型。一般而言,敵意侵害方的一個完善的競爭情報系統由競爭情報中心以及組織網絡、人際網絡和信息網絡組成[11]的“一中心三W絡”的組織構架。競爭情報中心是整個競爭情報工作的中樞,它是為企業競爭情報決策提供信息資源支持;組織網絡是企業競爭情報工作的平臺,它保障了競爭情報系統的協調一致;人際網絡是企業競爭情報重要的隱性情報源,它是收集、分析情報乃至影響對手決策的一個有效路徑;信息網絡涉及企業的內網與外網平臺,通過管理信息系統整合與完善企業的競爭情報功能[12]。因此,供應鏈信息安全系統的構建應充分考慮敵意侵害方的“一中心三網絡”的競爭情報系統組織構架,科學設計自身的信息安全系統。研究認為,供應鏈信息安全系統應由5部分組成,即信息安全決策中心、信息安全反競爭情報中心、供應鏈集成化信息系統、蜜網技術支持的網絡反競爭情報系統、人際情報網絡系統,如圖1所示。
11信息安全決策中心
信息安全決策中心是供應鏈信息安全系統的中樞,統籌協調涉及供應鏈系統信息安全治理的重大問題;研究制定供應鏈系統信息安全發展戰略、總體規劃和重大信息安全政策的協調;推動供應鏈系統信息安全的制度化建設,不斷增強供應鏈系統信息安全治理能力。
信息安全決策中心接收來自信息安全反競爭情報中心的經過處理的各類信息情報,作為信息安全決策的基礎和依據。同時,信息安全決策中心制定的信息安全戰略、總體規劃和重大信息安全政策等經由信息安全反競爭情報中心具體化為信息安全戰術決策,作為信息安全反競爭情報中心各子系統行動的指南。
12信息安全反競爭情報中心
反競爭情報中心是企業反競爭情報技術支持系統的中樞,由反競爭情報收集子系統、反競爭情報分析子系統和反競爭情報服務子系統等3部分組成,負責供應鏈信息安全系統的安全管理工作,如圖2所示。
反競爭情報中心對來自蜜網技術支持的網絡反競爭情報系統和人際情報網絡的各類信息進行收集、整理、分析,進而實施相應的信息安全策略管理:對可能引起安全事件的關鍵信息及其來源開展危害性評估并發出危機預警;對已造成實質性危害的信息安全事件作出應急響應,堵塞信息安全漏洞,努力減輕信息安全事件對供應鏈系統造成的損失;對信息安全方面的例外問題,及時上報信息安全決策中心,由高層決策者們進行非程序化決策。
13蜜網技術支持的網絡反競爭情報系統
近年來,作為一種新型防御技術出現的蜜網(Honeynet)在檢測、捕獲和控制網絡攻擊方面具有獨特的優勢。蜜網由數據流重定向器與蜜網環境兩部分組成的,該網絡置于防火墻系統之后,所有進出網絡的數據都會通過這里,并可以捕獲控制這些數據[13],如圖3所示。蜜網(Honeynet)包含一個或多個蜜罐(Honey Pot),這種蜜罐(Honey Pot)是專門用來吸引敵意入侵者進行攻擊的陷阱。當入侵者試圖針對供應鏈節點企業開展競爭情報活動時,往往直奔企業需要高度保密的敏感情報如企業內部的生產、銷售訂單、合作企業的生產進度、企業間的資金轉帳、招投標信息等,而蜜網(Honeynet)中的網絡應用程序恰恰以這些敏感情報來命名,這樣入侵者就會立刻現行。反競爭情報中心就可以根據這些被捕獲的資料來分析判斷入侵者所使用的工具、方法及動機,進而建議信息安全決策中心采取反制措施。
14人際情報網絡系統
人際情報網絡系統是應情報活動的需要而構建的一種人際網絡,是情報從業者獲取、分析和傳播非公開信息和隱性知識的重要平臺[14]。供應鏈信息安全系統的人際情報網絡分為節點企業外部人際情報網絡和節點企業內部人際情報網絡,如圖4所示。
節點企業外部人際情報網絡主要包括供應商、分銷商、包括中介機構、行業協會、物流服務企業、消費者組織、新聞記者等在內的第三方機構、競爭對手、最終消費者等,節點企業內部人際情報網絡主要由企業內部各層級的管理人員和各部門的員工組成。
15供應鏈集成化信息系統
供應鏈集成化信息系統是各節點企業內部供應鏈與外部合作伙伴(如供應商、分銷商、中介機構以及行業協會、消費者組織、新聞記者等第三方機構)集成起來的一個供應網鏈,是整個供應鏈信息安全系統的基礎信息平臺。供應鏈各節點通過高速數據專用線連接到Internet骨干網中,通過路由器與自己的Intranet相連,再由Intranet內主機或服務器為其內部各部門提供存取服務,如圖5所示。
供應鏈集成化信息系統是升級版的企業間信息系統,為企業內部的信息系統提供與外部供應鏈各節點的很好的接口,它實現了供應鏈合作伙伴間的信息交互與信息共享,消除了企業間傳統的信息隔離狀態。除信息集成外,供應鏈集成化信息系統還可以通過競爭情報的檢測,篩選出數據流中的競爭情報信息流,將正常業務流與競爭情報信息流分開,從而實現了供應鏈信息系統的功能集成。
2供應鏈信息安全系統的安全隱患梳理
21信息安全決策中心安全隱患梳理
作為整個供應鏈信息安全系統的中樞,信息安全決策中心一旦發生泄密事件,必將對供應鏈系統信息安全治理工作帶來重大安全隱患。信息安全決策中心可能存在的安全隱患大體涉及高管泄密以及信息安全治理過程中的情報泄密兩個方面。信息安全決策中心的高管泄密專指參與供應鏈系統信息安全治理工作的高管惡意或非惡意地泄露涉及供應鏈系統信息安全治理問題的決策信息。惡意泄密往往發生在對公司不滿或有預謀離職的高管身上,非惡意泄露往往因為缺乏責任心、安全防范意識淡薄、公司對高管的放任等原因造成的。
信息安全治理過程中的情報泄密可能發生在信息安全決策中心制定信息安全戰略、總體規劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評估、方案試行前的各個階段。因為時間跨度長、涉及面廣、牽涉人員多等原因,信息安全治理過程中的情報泄密問題更加難以控制。
22信息安全反競爭情報中心安全隱患梳理
信息安全反競爭情報中心的安全隱患主要源于反競爭情報收集子系統、反競爭情報分析子系統和反競爭情報服務子系統之間業務上的協調不夠以及各自功能的發揮不夠充分。具體表現為:其一,信息安全反競爭情報中心各子系統的協調不夠,導致信息的收集、整理、分析、存儲以及上報不夠及時;其二,反競爭情報收集子系統忽視了可能引起安全事件的P鍵信息;第三,反競爭情報分析子系統對可能引起安全事件的關鍵信息及其來源的危害性認識不足;第四,反競爭情報服務子系統未能及時就信息安全方面的例外問題上報信息安全決策中心。
23蜜網技術支持的網絡反競爭情報系統安全隱患梳理蜜網技術的應用使得網絡反競爭情報系統在收集敵意侵害方的攻擊信息、保護供應鏈信息系統情報、發現內網中可能存在的安全漏洞等方面具有重要作用,但同時蜜網技術是一把雙刃劍,也會給網絡反競爭情報系統帶來安全隱患:其一,使網絡反競爭情報系統遭受更多的攻擊,交互的程度越高,模擬得越像,供應鏈系統陷入危險的概率就越大;其二,模擬服務的軟件存在問題,也會產生新的漏洞;其三,敵意侵害方若取得Root權限,便可以自由存取目標機上的數據,然后利用已有資源繼續攻擊其它機器;第四,虛擬蜜網的引入使得架設蜜網的代價大幅降低,便于部署和管理,但同時也帶來更大的風險,敵意侵害方有可能識別出虛擬操作系統軟件的指紋,也可能攻破虛擬操作系統軟件從而獲得整個蜜網的控制權。
24人際情報網絡系統安全隱患梳理
隨著供應鏈共享信息平臺的建設以及信息交互、信息共享水平的不斷提升,人際情報網絡系統的安全隱患問題愈加突出:首先,供應鏈共享信息平臺為供應鏈節點企業外部人際情報網絡和節點企業內部人際情報網絡提供了功能強大的信息溝通平臺,網絡虛擬空間中的復雜人際關系增添了信息情報泄露的可能;其次,敵意競爭情報方可以利用共享信息平臺中的人際情報網絡,繞開供應鏈系統的防火墻,進入專用網絡內部,更便于其競爭情報工作的開展;再者,傳統的人際情報網絡泄密仍然在發揮其獨特的作用,敵意競爭情報方可以利用接待或訪問節點企業、欺騙、引誘和拉攏節點企業關鍵崗位人員及關聯人員、通過關聯第三方等渠道,獲取供應鏈系統的敏感信息情報。
25供應鏈集成化信息系統安全隱患梳理
供應鏈集成化信息系統在實現供應鏈合作伙伴間的信息交互與信息共享的同時,也為敵意侵害方的競爭情報工作提供了機會。供應鏈集成化信息系統安全隱患可能存在以下3個環節中:其一,敵意侵害方成功地避開了供應鏈集成化信息系統的競爭情報檢測;其二,數據流重定向器未能篩選出數據流中的競爭情報信息流,將競爭情報信息流誤認為正常業務流;其三,Intranet內主機或服務器為競爭情報方提供信息存取服務,就會造成供應鏈系統關鍵信息情報的泄密。
3供應鏈系統情報泄密的路徑分析
31信息安全治理過程監管不力造成供應鏈系統情報泄密信息安全決策中心安全隱患之一在于信息安全治理過程中的情報泄密。由于情報泄密可能發生在信息安全決策中心制定信息安全戰略、總體規劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評估、方案試行前的各個階段,因此,信息安全治理工作需要統籌規劃,點面結合,齊抓共管。既要制定好信息安全治理工作的總體預案,又要有分階段的詳細應對計劃。對參與信息安全治理工作的部門和人員(包括高管在內)實行全流程、全員備案制,從制度上堵塞安全漏洞。
32信息安全策略管理工作滯后于供應鏈系統信息安全的需要信息安全反競爭情報中心的安全隱患主要源于信息安全策略管理工作不能滿足供應鏈系統信息安全的需要。具體表現為:信息安全反競爭情報中心組織協調工作不夠,各子系統不能形成合力,導致信息安全管理工作滯后;對可能引起安全事件的關鍵信息及其來源的危害性認識不足,未能及時發出危機預警信號;對已造成實質性危害的信息安全事件未能作出及時響應或應對措施不得力,未能及時堵塞信息安全漏洞,造成信息安全事件對供應鏈系統損失的擴大;對信息安全方面的例外問題,未能及時上報信息安全決策中心,延緩了高層決策者們非程序化決策工作的開展,以致高層決策者們不能及時調動整個供應鏈資源來消除信息安全危害。
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。下面是小編整理的《網絡安全的財務月度工作計劃》,供您閱讀,參考。希望您能有所收獲!
網絡安全的財務月度工作計劃
為加強本單位網絡與信息安全保障工作,經局領導班子研究,制定__縣工業商務和信息化局20__年網絡與信息安全工作計劃。
一、加強考核,落實責任
結合質量管理體系建設,建立健全信息化管理和考核制度,進一步優化流程,明確責任,與各部門重點涉密崗位簽訂《網絡與信息安全及保密責任書》。加大考核力度,將計算機應用及運維情況列入年度考核中,通過考核尋找信息安全工作存在的問題和不足,認真分析原因,制定切實可行的預防和糾正措施,嚴格落實各項措施,持續改進信息安全工作。
二、做好信息安全保障體系建設
進一步完善信息安全管理制度,重點加強用戶管理、變更管理、網絡安全檢查等運行控制制度和數據安全管理、病責防護管理等日常網絡應用制度;加強入侵檢測系統應用,通過桌管系統、瑞星控制臺密切關注各移動存儲介質(移動硬盤、U盤、CD光驅)等設備運行情況;在業務分析需求的基礎上,合理設置安全策略,充分利用局域網優勢,進一步發揮技術防范措施的作用,從源頭上杜絕木馬、病毒的感染和傳播,提高信息網絡安全管理實效;
進一步完善應急預案,通過應急預案演練檢驗預案的科學性、有效性,提高應對突發事件的應變能力。
三、加強各應用系統管理
進一步作好政府信息公開網站后臺管理系統、OA等業務系統應用管理。加強與各部門勾通,收集使用過程中存在的問題,定期檢查系統內各模塊使用情況及時反饋給相關部門,充分發揮系統功能;完善系統基礎資料,加大操作人員指導力度,確保系統有效運行,切實提高信息安全水平。
四、加強信息安全宣傳教育培訓
利用局域網、OA系統,通過宣傳欄等形式,加大信息安全宣傳力度,不斷提高員工對信息安全重要性的認識,努力形成“廣泛宣傳動員、人人積極參與”的良好氣氛;著力加強信息化工作人員的責任意識,切實增強做好信息化工作的責任感和使命感,不斷提高服務的有效性和服務效率。
網絡安全的財務月度工作計劃
一、網絡管理與建設
1、采取切實可行的措施,加強對校園網的管理,繼續完善相關規章制度,落實各項管理措施,確保學校網絡安全暢通。學校要繼續完善相關的網絡制度,杜絕網絡信息安全事故的發生,確保網絡暢通,更好的服務與教育教學工作。采取積極可行的措施,在保證網絡暢通的情況下,杜絕教師上網聊天、打撲克、玩游戲等不良現象的發生。管理員及全體教師都要深入研究網絡應用問題,充分發揮網絡的作用,提高教育教學質量。
2、網絡防毒。加強對教師信息技術的培訓力度,使教師學會使用殺毒軟件進行計算機病毒的查殺,確保學校網絡暢通。基本上解決網絡病毒在我校各計算機上的傳播,保證網絡不因病毒而導致堵塞、停網等現象的發生。
二、網站建設
加強學校校園網網站建設和應用力度,使其服務于教學、服務于德育、服務于管理;服務于學生、服務于教師、服務于社會。管好用好校園網,要有相當一部分學生也建有自己的學習網頁。通過建設各種學習主頁,廣泛吸引學生、教師和家長及社會各界人士駐站,增強學校在社會上的良好形象,擴大學校知名度。管理員要不斷學習相關業務知識,不斷提高自己的業務能力,樹立服務于教學的思想,管好用好校園網,不斷更新網站內容,建設有自己獨特風格的學校網站。
三、信息技術使用與培訓工作
加強信息技術知識的培訓與應用。學校將組織專人進行不同層次的培訓班,加強培訓指導,教師要將學習走在前頭,自覺地學。大力提倡電子備課。
四、微機室管理
把學校微機室建“成綠色機房”,利用課余時間、休息日、節假日對學生開放,為廣大學生提供健康、安全的網絡學習環境。采取得力措施,杜絕師生玩電腦游戲,建設“無游戲校園”。
網絡安全的財務月度工作計劃
根據自治區、地區有關要求,按照《__新聞宣傳報道管理辦法》有關內容,為進一步加強我縣網絡和信息安全管理工作,現就有關工作計劃如下。
一、建立健絡和信息安全管理制度
各單位要按照網絡與信息安全的有關法律、法規規定和工作要求,制定并組織實施本單位網絡與信息安全管理規章制度。要明確網絡與信息安全工作中的各種責任,規范計算機信息網絡系統內部控制及管理制度,切實做好本單位網絡與信息安全保障工作。
二、切實加強網絡和信息安全管理
各單位要設立計算機信息網絡系統應用管理領導小組,負責對計算機信息網絡系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網絡系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,并按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網絡使用管理規定
各單位要提高計算機網絡使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網絡,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網絡實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平臺信息審查監管
各單位通過門戶網站、微信公眾平臺在互聯網上公開信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外是否適宜;信息中的文字、數據、圖表、圖像是否準確等。未經本單位領導許可嚴禁以單位的名義在網上信息,嚴禁交流傳播涉密信息。堅持先審查、后公開,一事一審、全面審查。各單位網絡信息審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意后,方可按照宣傳內容做到統一口徑、統一,確保信息的時效性和嚴肅性。
五、組織開展網絡和信息安全清理檢查
各單位要在近期集中開展一次網絡安全清理自查工作。對辦公網絡、門戶網站和微信公眾平臺的安全威脅和風險進行認真分析,制定并組織實施本單位各種網絡與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。
【 關鍵詞 】 DRM;數字文檔防泄密二次開發嵌入式
Digital Document Protection System based on DRM Technology Research and
Application of Integrated Design
Zheng Yi
(CNOOC, Energy Development Drilling and Engineering Research Institute Tianjin300452)
【 Abstract 】 When the user through legal or illegal means to obtain digital access to documents of the enterprise information system that can not constrained by download, copy, network spread to others, and led to the leak corporate secrets, making sharing and, between prominent confidential document security management system integration based on DRM technology built for the confidentiality and integrity of the enterprise storage networking information is a fast and effective solution.In this article, enterprise the unstructured digital document information security status and problems of use DRM technology to protect digital documents online and offline application information divulgation principle, an existing enterprise informationsystem architecture, secondary development of integrated embedded systems architecture based on a the DRM technology professional confidential document protection products.
【 Keywords 】 DRM; digital document anti-phishing secondary development of embedded
1 引言
隨著各行業在生產、管理上信息化程度日益增高,企業檔案資料中非結構化數字文檔信息比例正逐漸增大,數字文檔信息泄密行為不斷呈現出升高趨勢。雖然企業建立了專門的數字文檔利用制度,但對包含敏感信息的數字文檔利用中最突出的信息安全保障卻始終是個難題。
目前大型企業數字化的非結構化信息量普遍在80%以上,而安全應用機制大部分采用的是工作流層級審批技術,審批不及時導致應用受限,特別是對于分散應用群體審批更難,造成了快速應用信息與信息安全管理之間存在著突出矛盾。如何能防止擁有閱讀權限的人不能拿走電子信息,不能下載/復制電子文檔,不能打印文檔中的信息,并且只能在一段時間內在指定的設備上有權閱讀,成為我們對非結構化敏感信息安全追求的技術目標。
針對以上信息安全現狀,構建基于DRM(Digital Rights Management,內容數字版權加密保護)技術的文檔安全管理系統,對于已聯網的企業存儲信息的機密性和完整性是一個有效的解決方法。DRM是保證信息的使用安全的一項關鍵技術,通過數字權限管理,可以使具有不同權限的用戶對文檔進行不同的操作,尤其是能控制合法授權的用戶能否復制、打印、摘錄、傳播,保證敏感信息不被泄漏。目前,面向電子文檔信息在線與離線安全保護的DRM技術產品有了很大的發展,國外如微軟的Windows RM,國內如北京書生公司的機密文檔保護系統。
2 DRM框架
DRM技術為文檔安全管理系統的核心,可實現對控制范圍內的信息資源進行嚴格權限管理,保護電子文檔即使離線也不被非法使用,構建在線與離線相結合的閱讀管理模式。
