電信運營商的網絡和業(yè)務系統(tǒng)作為與人們的生活����、工作密切相關的信息載體,承載著海量而又敏感的資料內容�。頻發(fā)的客戶信息泄露事件讓電信運營商更加關注信息保護,這同時也是電信企業(yè)的市場公信力與責任感的體現�。首先,我們來分析����、歸納哪些環(huán)節(jié)存在信息泄露的可能:
- 現場維護人員直接進入機房,訪問并操作服務器�����,將數據導出帶走����;
- 維護人員通過維護終端使用客戶端管理工具訪問數據庫���,將數據導出到維護終端并帶走����;
- 維護人員通過前端服務器(如WEB、中間件等服務器)連接數據庫服務器����,將數據導出至前端帶走;
- 開發(fā)人員利用對系統(tǒng)的了解����,可以直接連接到后臺服務器,并導出數據帶走���;
- 內部辦公人員從運維人員處獲取數據后�����,通過U盤��、FTP���、WEB上傳����、郵件�、QQ等方式將數據帶走;
- 報表系統(tǒng)前臺查詢人員訪問后端數據庫�����,導出并帶走查詢數據�。
針對以上存在疏漏的環(huán)節(jié),除了落實準入控制�����,較嚴厲的應對方式是采用底層透明加密技術����,在敏感數據下載時增加控制措施,同時加強針對敏感數據的操作審計�,對敏感數據向外部的傳遞過程進行監(jiān)控和告警。
加密技術需結合運營商實際應用的需求��,對于通過報表系統(tǒng)前臺����、集中身份及訪問管理平臺導出的數據均做加密處理����,內部人員可透明打開����、編輯加密文件��。經過加密的數據外發(fā)后��,外部人員無法閱讀���。在數據防泄密控制中���,只對導出數據在下載過程中進行加密,不影響本地的其它數據����。如果文件需要外發(fā),可通過管理手段(管理員審批)放行����;若文件需要離線使用����,也可通過管理手段(管理員分配設置時限�����、設置密碼的USB-Key做認證)放行�����。
對于敏感數據����,在所有人員通過U盤、郵件�����、QQ�、FTP、WEB上傳��、WEBMAIL等方式向外部傳遞時進行記錄與報警����;對文件打印���、刻錄等行為進行監(jiān)控;對HTTP�、HTTPS的WEB界面上傳下載文件進行監(jiān)控;對修改了文件名的文件進行發(fā)現與監(jiān)控�����;終端再次連接到網絡后����,其在離網期間進行的文件導入導出操作可被傳回到審計服務器��。
結合當前大部分運營商已經部署了集中身份及訪問管理系統(tǒng)的情況���,啟解決方案涉及兩大主要功能�����,一類是準入控制功能���,一類是數據加密及審計管理功能。準入控制功能對試圖接入集中身份及訪問管理系統(tǒng)的終端進行準入控制����,未安裝防泄露客戶端的終端則不允許接入�����。數據加密及審計管理功能一方面采用透明加解密技術對敏感文件加解密�,一方面結合數據泄露審計技術�,監(jiān)控對未加密的敏感文件的存儲和操作,并進行報警����。采用數據泄露審計技術,可識別敏感信息�����,對維護人員�����、管理人員導出敏感信息的行為進行報警�,記錄對敏感信息的使用,如果出現數據泄密���,能將問題準確定位到泄密的賬號及個人��。
來源:IT專家網
版權及免責聲明:凡本網所屬版權作品��,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”�����,違者本網將保留追究其相關法律責任的權力���。凡轉載文章�,不代表本網觀點和立場��。版權事宜請聯(lián)系:010-65363056���。
延伸閱讀
