序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁�,我們?yōu)槟x了8篇的敏感信息安全樣本���,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�,請(qǐng)盡情閱讀��。
第1篇
(1)客戶基本資料包括但不限于集團(tuán)客戶資料��、個(gè)人客戶資料�、渠道及合作伙伴資料、精確營銷目標(biāo)客戶群數(shù)據(jù)和各類特殊名單�。
(2)客戶身份鑒權(quán)信息包括但不限于客戶的服務(wù)密碼和客戶登錄各種業(yè)務(wù)系統(tǒng)的密碼�����。
(3)客戶通信信息包括但不限于詳單�、原始話單��、賬單����、客戶位置信息����、客戶消費(fèi)信息、基本業(yè)務(wù)訂購關(guān)系����、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購關(guān)系、增值業(yè)務(wù)信息��、客戶通信行為信息和客戶通信錄等�。
(4)客戶通信內(nèi)容信息包括但不限于客戶通信內(nèi)容記錄、客戶上網(wǎng)內(nèi)容及記錄和行業(yè)應(yīng)用平臺(tái)上交互的信息內(nèi)容��??蛻粜畔踩媾R的風(fēng)險(xiǎn)和威脅主要包括因?yàn)闄?quán)限管理與控制不當(dāng),導(dǎo)致客戶信息被隨意處置����;因?yàn)榱鞒淘O(shè)計(jì)與管理不當(dāng),導(dǎo)致客戶信息被不當(dāng)獲?����?�;因?yàn)榘踩芸卮胧┞鋵?shí)不到位���,導(dǎo)致客戶信息被竊取等��。
2客戶信息安全保護(hù)的目標(biāo)
客戶信息安全保護(hù)的目標(biāo)如下����。
(1)利用安全保護(hù)手段和審計(jì)系統(tǒng)對(duì)業(yè)務(wù)支撐網(wǎng)客戶信息的數(shù)據(jù)泄漏及篡改做到事前預(yù)防�、事中控制、事后審計(jì)���。
(2)通過管理制度及細(xì)化管理流程強(qiáng)化客戶信息安全的日常管理和審核�����,及時(shí)處理客戶信息泄密事件的處理��,落實(shí)信息泄露的懲罰措施�。
3客戶信息安全保護(hù)的要求
客戶信息安全保護(hù)的總體要求如下。
(1)對(duì)業(yè)務(wù)支撐網(wǎng)客戶信息按數(shù)據(jù)價(jià)值��、數(shù)據(jù)安全需求兩方面進(jìn)行分級(jí)管理��。
(2)對(duì)業(yè)務(wù)支撐網(wǎng)客戶信息的所有存儲(chǔ)方式及獲取途徑應(yīng)進(jìn)行深入分析�����,及時(shí)發(fā)現(xiàn)并彌補(bǔ)業(yè)務(wù)層面和系統(tǒng)層面中可能導(dǎo)致客戶信息被篡改和泄漏的漏洞�。
(3)利用安全技術(shù)和管理手段加強(qiáng)客戶信息管控,避免數(shù)據(jù)泄露和非法篡改�����。
4總體設(shè)計(jì)
結(jié)合業(yè)務(wù)支撐網(wǎng)客戶信息安全保護(hù)要求給出安全保護(hù)體系架構(gòu)���、功能模塊����。主要從客戶信息授權(quán)鑒權(quán)�、電子審批、數(shù)據(jù)提取控制�����、維護(hù)工具管理、數(shù)字水印��、文檔管控��、操作行為審計(jì)等方面加強(qiáng)客戶信息安全控制��,提高業(yè)務(wù)支撐系統(tǒng)的客戶信息安全保障能力�。
4.1體系架構(gòu)
整個(gè)體系由數(shù)據(jù)層��、應(yīng)用層����、服務(wù)層構(gòu)成,每個(gè)層次分別對(duì)應(yīng)客戶信息安全保護(hù)的主要功能模塊�����。
4.2功能模塊設(shè)計(jì)
整個(gè)客戶信息安全保護(hù)體系功能模塊設(shè)計(jì)和系統(tǒng)交互��。下面針對(duì)每個(gè)部分進(jìn)行詳細(xì)功能設(shè)計(jì)��。
4.2.1授權(quán)與訪問控制
通過4A管理平臺(tái)實(shí)現(xiàn)維護(hù)終端集中化授權(quán)與訪問控制����。4A管理平臺(tái)上采用堡壘主機(jī)的技術(shù),基于用戶的權(quán)限,進(jìn)行統(tǒng)一的資源層和應(yīng)用層訪問控制��,避免維護(hù)人員使用不安全的終端直接訪問客戶信息��。4A管理平臺(tái)進(jìn)行統(tǒng)一的審計(jì)操作�,原有系統(tǒng)功能和性能不會(huì)受到影響,在減輕管理員負(fù)擔(dān)的同時(shí)���,提高了賬號(hào)控制和操作審計(jì)��。
4.2.2客戶信息鑒權(quán)控制
客戶信息鑒權(quán)控制首先對(duì)業(yè)務(wù)支撐網(wǎng)中所存儲(chǔ)的數(shù)據(jù)進(jìn)行梳理調(diào)研����,根據(jù)數(shù)據(jù)機(jī)密性把數(shù)據(jù)分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)兩大類����,并對(duì)敏感數(shù)據(jù)按機(jī)密程度級(jí)別進(jìn)行分類。鑒權(quán)控制模塊包括數(shù)據(jù)屬性綜合分析��、實(shí)體敏感度定義�、內(nèi)容敏感度定義、屬性敏感度定義��、敏感度分級(jí)��、敏感度分級(jí)核查和數(shù)據(jù)安全鑒權(quán)控制調(diào)度等7部分;本文工程數(shù)據(jù)安全鑒權(quán)控制主要實(shí)現(xiàn)以下目標(biāo)���。
(1)數(shù)據(jù)屬性綜合分析:制定敏感數(shù)據(jù)定義原則��,并對(duì)全網(wǎng)的數(shù)據(jù)進(jìn)行分析整理���,分析出當(dāng)前業(yè)務(wù)支撐網(wǎng)中的所有敏感數(shù)據(jù)的存儲(chǔ)位置和訪問方式�。
(2)實(shí)體敏感度:實(shí)體敏感度是根據(jù)實(shí)體的保密程度來劃分的敏感度。數(shù)據(jù)庫表實(shí)體根據(jù)業(yè)務(wù)內(nèi)容和行業(yè)背景等視角的不同����,其敏感級(jí)別也有所不同。
(3)內(nèi)容敏感度:根據(jù)實(shí)體內(nèi)容的保密程度來設(shè)定的敏感度�。根據(jù)數(shù)據(jù)庫實(shí)體關(guān)鍵屬性值的不同,其相對(duì)的保密程度也有所不同��。如按月周期(或其它周期)屬性來劃分��,將數(shù)據(jù)分為當(dāng)月�、3個(gè)月內(nèi)、6個(gè)月內(nèi)����,并分別設(shè)置不同的敏感級(jí)別���,擁有不同級(jí)別的用戶所能查看的KPI周期范圍就會(huì)不同。內(nèi)容敏感度的優(yōu)先級(jí)低于實(shí)體敏感度�。
(4)屬性敏感度:屬性敏感度是根據(jù)實(shí)體屬性(如字段)的保密程度來劃分的敏感度。梳理系統(tǒng)的所有數(shù)據(jù)庫表及其字段信息����,運(yùn)用這些集中管理的實(shí)體屬性內(nèi)容,給每個(gè)屬性設(shè)置相應(yīng)的敏感級(jí)別����。在數(shù)據(jù)敏感度控制方面,屬性敏感度的優(yōu)先級(jí)僅次于實(shí)體敏感度�。用戶首先要有實(shí)體的瀏覽權(quán)限,才進(jìn)一步考慮屬性敏感度�。
(5)敏感度分級(jí):根據(jù)敏感數(shù)據(jù)的實(shí)體敏感度、內(nèi)容敏感度����、屬性敏感度來計(jì)算出數(shù)據(jù)的敏感度級(jí)別。
(6)敏感度分級(jí)核查:根據(jù)預(yù)訂的檢查策略和規(guī)則對(duì)敏感數(shù)據(jù)的分級(jí)進(jìn)行核查�����。
(7)數(shù)據(jù)安全鑒權(quán)控制調(diào)度:實(shí)現(xiàn)對(duì)數(shù)據(jù)安全鑒權(quán)控制的整體調(diào)度管理�����,負(fù)責(zé)對(duì)敏感數(shù)據(jù)模塊的整體控制。
4.2.3電子審批管理
電子審批模塊包括自管理模塊��、審批內(nèi)容管理��、審批時(shí)間管理�、電子審批引擎、電子審批服務(wù)支撐��、審批賦權(quán)管理����、電子驗(yàn)證碼管理��、臨時(shí)訪問審批管理����、永久賦權(quán)審批管理和審批任務(wù)管理等。用戶訪問業(yè)務(wù)支撐網(wǎng)時(shí)�,如需要臨時(shí)性獲得直接上級(jí)某個(gè)功能點(diǎn)的用戶權(quán)限,訪問用戶需進(jìn)行權(quán)限升級(jí)的電子審批���,將電子驗(yàn)證碼傳給業(yè)務(wù)支撐門戶�,由業(yè)務(wù)支撐應(yīng)用門戶向訪問用戶的直接上級(jí)發(fā)送。直接上級(jí)如同意該申請(qǐng)則轉(zhuǎn)發(fā)電子驗(yàn)證碼到訪問用戶�,訪問用戶輸入該電子驗(yàn)證碼通過審批,用戶通過審批后在限定時(shí)間內(nèi)獲得查看權(quán)限�;如直接上級(jí)不同意該申請(qǐng)則不進(jìn)行轉(zhuǎn)發(fā)。
4.2.4數(shù)字水印管理
數(shù)字水印模塊包括自管理模塊�����、敏感度內(nèi)容配置��、數(shù)字水印生成引擎�、數(shù)字水印調(diào)用管理、用戶數(shù)據(jù)采集���、數(shù)字水印配置服務(wù)����、條形碼規(guī)則管理��、水印校驗(yàn)服務(wù)和流程管理接口等�。主要實(shí)現(xiàn)以下目標(biāo)。(1)自管理模塊:負(fù)責(zé)數(shù)字水印服務(wù)自身的配置管理�����,主要包括用戶管理、敏感數(shù)據(jù)內(nèi)容控制等功能�����。(2)敏感度內(nèi)容配置:負(fù)責(zé)數(shù)字水印服務(wù)自身的配置管理����,主要包括用戶管理、敏感數(shù)據(jù)內(nèi)容控制等功能��。(3)數(shù)字水印生成引擎:水印生成引擎給請(qǐng)求的應(yīng)用返回?cái)?shù)字水印圖片文件�����,數(shù)字水印圖片文件由用戶的條碼圖多次重復(fù)出現(xiàn)形成����,用戶條碼圖用請(qǐng)求應(yīng)用的用戶ID計(jì)算得出的��,不同的用戶ID生成不同的條碼圖�。(4)數(shù)字水印調(diào)用管理:負(fù)責(zé)對(duì)業(yè)務(wù)支撐系統(tǒng)提供數(shù)字水印服務(wù)的整套調(diào)度和支撐管理。(5)用戶數(shù)據(jù)采集:根據(jù)數(shù)字水印的生成需要�,采集業(yè)務(wù)支撐系統(tǒng)的訪問員工ID、時(shí)間日期��、登錄IP及菜單ID等信息。(6)數(shù)字水印配置服務(wù):負(fù)責(zé)用戶訪問頁面時(shí)調(diào)用數(shù)字水印服務(wù)的配置管理�,通過配置來定義哪些業(yè)務(wù)支撐網(wǎng)內(nèi)容需要提供數(shù)字水印服務(wù)。(7)條形碼規(guī)則管理:定義數(shù)字水印的條形碼規(guī)則�����,根據(jù)規(guī)則實(shí)現(xiàn)計(jì)算�����、加密�����、編碼并進(jìn)一步生成用戶條碼����。(8)水印校驗(yàn)服務(wù):提供后臺(tái)服務(wù),管理人員可以通過該功能解讀條形碼并找出真正的用戶姓名�����。用戶訪問頁面時(shí)可以根據(jù)訪問員工ID�����、時(shí)間日期、登錄IP及菜單ID生成數(shù)字水印信息內(nèi)容�,將數(shù)字水印信息內(nèi)容傳送給業(yè)務(wù)支撐系統(tǒng),由業(yè)務(wù)支撐系統(tǒng)門戶進(jìn)行水印展現(xiàn)����。
4.2.5客戶信息取數(shù)控制
4A管理平臺(tái)針對(duì)客戶信息訪問提供了圖形化工具與審計(jì)相結(jié)合的集中管理,構(gòu)建了一個(gè)完整的用戶管理����、用戶鑒權(quán)、操作審計(jì)和訪問控制的體系��。不再允許用戶對(duì)數(shù)據(jù)庫后臺(tái)資源的直接訪問�;需要將通過數(shù)據(jù)庫的堡壘取數(shù)控制主機(jī)來訪問,由堡壘主機(jī)預(yù)裝的圖形化工具訪問數(shù)據(jù)庫的后臺(tái)資源��。
4.2.6維護(hù)工具集中管理
客戶信息的維護(hù)工具通過4A管理平臺(tái)進(jìn)行統(tǒng)一的Web�,將系統(tǒng)運(yùn)行維護(hù)工作所涉及的應(yīng)用軟件或工具集中部署在4A管理平臺(tái)服務(wù)器上。通過Web方式來向不同用戶或用戶群并僅其所需應(yīng)用����;用戶在客戶端通過IE瀏覽器訪問權(quán)限訪問內(nèi)的客戶信息����。
4.2.7客戶信息文檔管控
針對(duì)業(yè)務(wù)支撐網(wǎng)中涉及客戶信息訪問的維護(hù)人員都建立一個(gè)個(gè)人文件夾���,個(gè)人文件夾的文件存放在4A文檔服務(wù)器上,通過4A管理平臺(tái)訪問每個(gè)賬號(hào)的文件夾�����。文件夾設(shè)置權(quán)限為只能某個(gè)主賬號(hào)訪問��。管理中心通過FTP協(xié)議訪問文檔服務(wù)器的目錄����,客戶端通過HTTP協(xié)議管理文件夾,上傳下載通過HTTP/FTP協(xié)議����。實(shí)現(xiàn)客戶信息批量文檔下載操作行為的可控化,如果維護(hù)人員的確因業(yè)務(wù)需要下載用戶數(shù)據(jù)�����,則需要根據(jù)事先約定的申請(qǐng)��、審批等環(huán)節(jié)�����,同時(shí)通過短信通知上級(jí)主管,形成基于信息安全監(jiān)察機(jī)制的閉環(huán)控制體系��。
4.2.8客戶信息訪問審計(jì)
通過4A管理平臺(tái)任何用戶使用和應(yīng)用的過程可以被全程監(jiān)控�����,其審計(jì)的內(nèi)容包括錄像審計(jì)����、SecurerCRT審計(jì)、Sql訪問審計(jì)�����、客戶信息批量下載審計(jì)等�����。任何用戶使用維護(hù)功能的過程將被全程監(jiān)控:用戶的操作行為及顯示器上的內(nèi)容變化可以存放到集中存儲(chǔ)上�����,然后在需要的時(shí)候像看電影一樣回放�。為有效利用資源和保護(hù)隱私�����,客戶信息訪問審計(jì)允許靈活定制以時(shí)間、角色���、應(yīng)用名稱��、位置為參數(shù)的錄像策略來控制錄像的開始和停止�����。業(yè)務(wù)支撐系統(tǒng)從各環(huán)節(jié)層次抽取的審計(jì)日志信息�,按照4A管理平臺(tái)的要求對(duì)其進(jìn)行重新過濾和格式化整理��,并最終進(jìn)行日志信息入庫����。整個(gè)過程需實(shí)現(xiàn)處理的流程化及自動(dòng)調(diào)度機(jī)制,以保證4A管理平臺(tái)能夠及時(shí)地獲取日志數(shù)據(jù)����。4A管理平臺(tái)提供統(tǒng)一日志采集接口(API或WebServices),所有應(yīng)用系統(tǒng)都可以調(diào)用該接口����,記錄日志信息��。
5意義
客戶信息保護(hù)體系的建設(shè)是以強(qiáng)化業(yè)務(wù)支撐系統(tǒng)數(shù)據(jù)安全管理�����,實(shí)現(xiàn)信息安全審計(jì)�����、數(shù)據(jù)安全保護(hù)為最終目的���。通過對(duì)系統(tǒng)權(quán)限、操作日志�����、訪問控制等安全措施���,滿足中國移動(dòng)在客戶信息安全保護(hù)方面的需求���,提升業(yè)務(wù)支撐系統(tǒng)抗客戶信息安全風(fēng)險(xiǎn)能力,更進(jìn)一步推動(dòng)業(yè)務(wù)支撐系統(tǒng)的持續(xù)����、健康發(fā)展�����。
6結(jié)束語
第2篇
關(guān)鍵詞:建設(shè)項(xiàng)目 ; 敏感資料 �; 信息安全管理Abstract:According to the mobile operators information engineering management department, in the sensitive data management in the application of DLP strategy, (DLP, Data leakage prevention, namely data leakage prevention), to solve information loss, leakage of the scheme, with strong guiding role on improve the specific information of the level of safety management.
Keywords: construction project; sensitive information; information security management
中圖分類號(hào): TU714文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):
1 緒論
1.1背景
移動(dòng)信息運(yùn)營商,其網(wǎng)絡(luò)工程項(xiàng)目主要以外包形式開展建設(shè)�,其中工程管理部門作為建設(shè)單位代表,主要擔(dān)負(fù)工程項(xiàng)目行政管理工作��。工程管理部門在日常工作中����,未直接接觸公司業(yè)務(wù)及客戶信息,信息安全管理被重視程度較低����。但是工程管理部門參與工程建設(shè)項(xiàng)目合作單位招投標(biāo)、設(shè)備采購����,掌握公司網(wǎng)絡(luò)規(guī)劃信息等重要敏感數(shù)據(jù),這些信息的不恰當(dāng)泄露�����,將嚴(yán)重影響工程建設(shè)開展,損害公司利益���。因此�,需要針對(duì)工程管理部門資料信息安全管理的不足����,落實(shí)一系列措施,提高信息安全管理水平��。
1.2 問題及目標(biāo)要求
工程管理部門日常涉及的信息資料��,包括網(wǎng)絡(luò)戰(zhàn)略規(guī)劃�、項(xiàng)目進(jìn)度、質(zhì)量��、投資計(jì)劃方案��、工程管理方法����、項(xiàng)目招投標(biāo)事項(xiàng)��、項(xiàng)目周期報(bào)告等����。其中����,網(wǎng)絡(luò)戰(zhàn)略規(guī)劃����、工程管理方法�、項(xiàng)目招投標(biāo)事項(xiàng)屬于敏感資料,需重點(diǎn)保護(hù)�����,其他信息屬于可公開資料���。工程管理部門敏感資料管理要求較低,允許投入的管理成本少�����,在公司信息安全管理中,屬于被動(dòng)配合部門����,普遍未建立適用工程管理部門敏感數(shù)據(jù)安全管理規(guī)范,存在比較嚴(yán)重的敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)��。
在本文中����,將根據(jù)DLP策略原理,對(duì)工程管理部門在敏感資料管理方面的實(shí)際操作����,提出完整解決預(yù)案,達(dá)到以較低成本����、較易落實(shí)的方式,提高信息安全管理水平的目標(biāo)�����。
2 敏感資料DLP方案
根據(jù)DLP策略(DLP,Data leakage prevention,即數(shù)據(jù)泄露防護(hù))��,全面識(shí)別文檔�����、郵件��、文字等敏感信息�,評(píng)估信息風(fēng)險(xiǎn),統(tǒng)一制定防泄漏策略�����,監(jiān)控信息泄密途徑��,采取適當(dāng)?shù)募夹g(shù)手段和管理手段進(jìn)行阻止����。根據(jù)“圖1 工程資料保護(hù)實(shí)施流程”��,下面通過對(duì)內(nèi)容進(jìn)行分析�,按照策略來識(shí)別、監(jiān)控和保護(hù)靜態(tài)存儲(chǔ)的�����、使用中或動(dòng)態(tài)傳輸?shù)臄?shù)據(jù)。
圖1 工程資料保護(hù)實(shí)施流程
根據(jù)上述流程圖�����,以下說明各重要環(huán)節(jié)的措施�����。
2.1工程信息資料識(shí)別及安全要求分類:
表1 工程信息資料分類管理要求
2.2針對(duì)不同密級(jí)信息資料的安全保護(hù)策略��,包括管理手段及技術(shù)手段�����。
表2 工程信息資料保護(hù)要求
表2保護(hù)要求中的具體技術(shù)手段及管理手段如下:
(1) 公司內(nèi)部人員使用專用認(rèn)證帳號(hào)����,才能登錄辦公網(wǎng)絡(luò)(含局域網(wǎng)),認(rèn)證帳號(hào)不能借與他人使用�����,否則一經(jīng)發(fā)現(xiàn)通報(bào)批評(píng)�����,并考核處理。
(2) 公司外部人員原則上不能登錄辦公網(wǎng)絡(luò)(含局域網(wǎng))���,特殊情況需要登錄�,須申請(qǐng)臨時(shí)認(rèn)證帳號(hào)�,經(jīng)項(xiàng)目主任、部門經(jīng)理��、公司安全管理部門審批���。認(rèn)證帳號(hào)專人使用�,如借與他人使用,一經(jīng)發(fā)現(xiàn)考核處理����,直至取消參與公司項(xiàng)目資格。
(3) 辦公室電腦必須安裝公司指定的防火墻及賽門鐵克防病毒軟件���,安裝軟件必須及時(shí)升級(jí)更新(或自動(dòng)更新)。所有電腦均設(shè)置帳號(hào)登錄密碼�����,并且要求在離開屏幕時(shí)退出登錄或者鎖屏。
(4) 文件服務(wù)器使用訪問控制機(jī)制���,由公司安全管理部門部署防火墻��,并且關(guān)閉所有外部訪問端口����,僅允許局域網(wǎng)訪問����。
(5) 文件服務(wù)器使用授權(quán)機(jī)制,所有人須使用各自登錄帳號(hào)才能登錄訪問����,并根據(jù)各自權(quán)限對(duì)文件服務(wù)器上的文件,進(jìn)行新建�����、修改�、刪除、閱讀等�����。
(6) 文件服務(wù)器對(duì)登錄帳號(hào)活動(dòng)進(jìn)行日志記錄,以便落實(shí)監(jiān)控�、審計(jì)機(jī)制。
(7) 辦公室為部分人員配備可上鎖的文件柜�,可密封文件袋。
(8) 公司/部門檔案室專人管理�,文件的出入均實(shí)現(xiàn)審批、簽收記錄的制度�。
(9) 辦公室開展密碼學(xué)基礎(chǔ)知識(shí)培訓(xùn),關(guān)鍵崗位均應(yīng)掌握并設(shè)置“易記且足夠健壯”的密碼����。
2.3執(zhí)行保護(hù)策略,審核與持續(xù)改進(jìn)
從管理制度上規(guī)范保護(hù)策略����,還要對(duì)相關(guān)人員進(jìn)行宣貫教育,才能保證保護(hù)策略的有效落實(shí)���。
為保證并評(píng)估策略的實(shí)施效果�����,開展周期性的檢查審計(jì),對(duì)發(fā)現(xiàn)問題及時(shí)整改���,對(duì)發(fā)現(xiàn)不足進(jìn)行改進(jìn)�����,形成閉環(huán)管理�。
(1) 將上述保護(hù)策略的檢查點(diǎn),制作成標(biāo)準(zhǔn)的檢查表���。
表3 工程信息安全檢查表(部分)
檢查內(nèi)容 檢查描述 檢查結(jié)果
抽查不少于25%的辦公電腦�,檢查是否規(guī)范使用網(wǎng)絡(luò)登錄認(rèn)證帳號(hào)
抽查不少于20%的辦公電腦���,檢查是否安裝了防火墻及防病毒軟件��,防火球及防病毒軟件是否及時(shí)更新
抽查不少于20%的辦公電腦�����,檢查是否設(shè)置了登錄密碼
抽查所有項(xiàng)目辦公電腦�����,辦公人員離開電腦時(shí)�����,是否退出系統(tǒng)登錄或進(jìn)行鎖屏
檢查當(dāng)天接入辦公網(wǎng)絡(luò)的第三方電腦���,是否按我公司規(guī)范正確使用認(rèn)證帳號(hào)�����、安裝防病毒軟件等
隨機(jī)詢問辦公室不少于10%的人員�,結(jié)合個(gè)人崗位��,講述部門敏感資料管理要求
抽查一個(gè)項(xiàng)目��,檢查文件的存放及加密�����、傳遞記錄�,是否符合規(guī)范
…………
(2) 由經(jīng)理人員、信息安全管理員組成檢查組��,根據(jù)表3內(nèi)容�����,周期性開展對(duì)保護(hù)策略落實(shí)情況的檢查。
(3) 根據(jù)保護(hù)策略實(shí)施結(jié)果���、檢查結(jié)果,階段性開展保護(hù)策略總結(jié)分析�,分析其中改進(jìn)需求,持續(xù)改進(jìn)�。
3 結(jié)論
在本文中,針對(duì)工程管理部門在敏感資料管理中面臨的問題���,根據(jù)DLP策略���,在“預(yù)防為主、突出重點(diǎn)���、便利工作����、保障安全”的方針指導(dǎo)下�����,提出了解決的預(yù)案����。解決預(yù)案�,貼近實(shí)際工作�����,落實(shí)成本低�,能夠在較大程度上,滿足工程管理部門目前信息安全管理要求���,對(duì)實(shí)際工作具有較強(qiáng)指導(dǎo)意義�。
受篇幅及作者水平的限制���,本文中針對(duì)問題提出的解決預(yù)案未盡詳細(xì)��。如果在實(shí)際工作中落實(shí)�,可根據(jù)解決預(yù)案���,制定更加具體的方案措施�����。
第3篇
針對(duì)辦公計(jì)算機(jī)信息安全隱患��,通過提出辦公計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)流程��、編寫計(jì)算機(jī)本地違規(guī)賬號(hào)禁用程序�、開展計(jì)算機(jī)感染病毒原因分析及專項(xiàng)查殺、啟用計(jì)算機(jī)USB接口禁用策略等技術(shù)手段���,有效降低辦公計(jì)算機(jī)信息安全風(fēng)險(xiǎn)。
1.1提出辦公計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)流程
為保障天津公司辦公計(jì)算機(jī)各項(xiàng)信息安全監(jiān)控指標(biāo)符合安全加固要求�����,避免由于運(yùn)行維護(hù)人員違規(guī)操作導(dǎo)致出現(xiàn)計(jì)算機(jī)本地賬號(hào)弱口令��、安全防護(hù)軟件安裝率下降等安全問題�,必須明確辦公計(jì)算機(jī)接入公司內(nèi)部辦公網(wǎng)絡(luò)操作流程,并要求計(jì)算機(jī)運(yùn)行維護(hù)人員嚴(yán)格按照該流程進(jìn)行操作�����。該流程從裝機(jī)前準(zhǔn)備工作���、安裝操作系統(tǒng)��、入網(wǎng)前準(zhǔn)備工作����、入域及安裝趨勢(shì)防病毒軟件、安裝桌面終端管理系統(tǒng)并下發(fā)安全策略等幾個(gè)方面給出明確操作步驟��,規(guī)范了辦公計(jì)算機(jī)命名規(guī)則��,通過全網(wǎng)惟一計(jì)算機(jī)名稱可以直觀反映終端使用人��、物理位置���、用途等屬性���,有利于實(shí)時(shí)開展信息安全管控工作。
1.2編寫計(jì)算機(jī)本地違規(guī)賬號(hào)處理程序
對(duì)于已接入公司信息網(wǎng)絡(luò)的辦公計(jì)算機(jī)���,由于數(shù)量龐大��,運(yùn)維人員無法手動(dòng)逐一排查計(jì)算機(jī)本地違規(guī)賬號(hào)����,導(dǎo)致部分計(jì)算機(jī)仍然存在系統(tǒng)自帶違規(guī)賬號(hào)(如Guest��、Administrator等)�����,以及計(jì)算機(jī)用戶自建的密碼策略違規(guī)賬號(hào)。因此���,有必要采用技術(shù)手段全面清理違規(guī)賬號(hào)���,通過編寫違規(guī)賬號(hào)自動(dòng)禁用腳本程序,并利用計(jì)算機(jī)管理系統(tǒng)下發(fā)�����,可實(shí)現(xiàn)對(duì)內(nèi)���、外網(wǎng)計(jì)算機(jī)本地違規(guī)賬號(hào)的自動(dòng)禁用。辦公計(jì)算機(jī)本地違規(guī)賬號(hào)禁用工作分為以下幾步:
(1)下發(fā)現(xiàn)狀調(diào)研表�,為保障日常工作的有序開展,要求各單位計(jì)算機(jī)運(yùn)行維護(hù)人員全面統(tǒng)計(jì)責(zé)任范圍內(nèi)必須保留的計(jì)算機(jī)本地賬號(hào)�,其余本地賬號(hào)將全部禁用,并禁止計(jì)算機(jī)用戶再次新建本地賬號(hào)���;
(2)按照反饋結(jié)果�����,篩選必須保留的本地賬號(hào)���,并將保留賬號(hào)數(shù)量限制在最小范圍內(nèi)�����,編寫賬號(hào)禁用腳本程序與開機(jī)自動(dòng)加載腳本程序�����;
(3)搭建辦公計(jì)算機(jī)網(wǎng)絡(luò)模擬測(cè)試環(huán)境�����,對(duì)賬號(hào)禁用腳本程序與開機(jī)自動(dòng)加載腳本程序的安全性與執(zhí)行準(zhǔn)確性進(jìn)行反復(fù)測(cè)試����,避免腳本程序下發(fā)后影響計(jì)算機(jī)的正常使用�����;
(4)利用計(jì)算機(jī)管理系統(tǒng)的腳本程序下發(fā)功能���,將上述兩個(gè)腳本程序逐步下發(fā)至天津公司全部計(jì)算機(jī)�����,并及時(shí)跟蹤腳本程序的執(zhí)行效果���。賬號(hào)禁用腳本程序的功能是檢測(cè)計(jì)算機(jī)本地賬號(hào)�����,并將其與5個(gè)保留賬號(hào)(各基層單位上報(bào))進(jìn)行對(duì)比��,對(duì)于用戶名不一致的賬號(hào)全部禁用���,該程序后臺(tái)運(yùn)行,不影響計(jì)算機(jī)的正常使用�。
1.3開展辦公計(jì)算機(jī)病毒專項(xiàng)治理工作
病毒作為辦公計(jì)算機(jī)主要安全隱患之一��,可能存在于辦公環(huán)境內(nèi)任何一臺(tái)終端上��,并通過內(nèi)部文件轉(zhuǎn)發(fā)等方式導(dǎo)致病毒大規(guī)模爆發(fā)��。因此�,必須采取專項(xiàng)措施全面清理辦公計(jì)算機(jī)已存在的病毒文件。以天津公司病毒治理工作為例����,通過對(duì)連續(xù)三個(gè)月內(nèi)網(wǎng)辦公計(jì)算機(jī)病毒日志統(tǒng)計(jì)分析����,病毒大量存在的原因主要有三個(gè):各基層單位工程部門頻繁拷入施工圖紙文件引入的CAD文件類病毒大量爆發(fā)�,占總數(shù)的51%左右;圖片文件��、壓縮文件等感染病毒后��,殺毒軟件無法自動(dòng)刪除并且重復(fù)上報(bào)����,占總數(shù)的33%左右。
1.4啟用辦公計(jì)算機(jī)USB接口禁用策略
計(jì)算機(jī)USB接口作為內(nèi)部辦公網(wǎng)絡(luò)環(huán)境與外部進(jìn)行數(shù)據(jù)交換的惟一途徑�����,必須采取嚴(yán)格的管控措施��。為避免安全移動(dòng)存儲(chǔ)介質(zhì)的違規(guī)使用導(dǎo)致辦公計(jì)算機(jī)敏感信息外泄事件發(fā)生�,利用計(jì)算機(jī)管理系統(tǒng)的移動(dòng)存儲(chǔ)介質(zhì)審計(jì)功能,定期對(duì)公司安全移動(dòng)存儲(chǔ)介質(zhì)拷貝敏感信息情況進(jìn)行檢查�,敏感關(guān)鍵詞范圍包括“絕密、機(jī)密�、秘密”���、“工資”、“規(guī)劃”����、“智能電網(wǎng)”、“保電方案”等����。通過調(diào)整計(jì)算機(jī)管理系統(tǒng)辦公計(jì)算機(jī)USB接口管控策略,將原有僅允許普通移動(dòng)存儲(chǔ)介質(zhì)拷入文件的策略調(diào)整為完全禁止文件拷入�����、拷出���。為不影響正常工作�,要求各基層單位按一定比例統(tǒng)計(jì)并上報(bào)必須保留USB接口讀取功能的計(jì)算機(jī)����,該計(jì)算機(jī)USB接口僅能讀取統(tǒng)一配發(fā)的安全移動(dòng)存儲(chǔ)介質(zhì)��,其余計(jì)算機(jī)全部下發(fā)禁用USB接口策略����,允許比例控制在全部辦公計(jì)算機(jī)的3%左右���。同時(shí),安全移動(dòng)存儲(chǔ)介質(zhì)的申請(qǐng)必須經(jīng)過嚴(yán)格的審批流程�����,嚴(yán)控安全移動(dòng)存儲(chǔ)介質(zhì)配發(fā)數(shù)量�,所有安全移動(dòng)存儲(chǔ)介質(zhì)堅(jiān)持由科技信通部統(tǒng)一制定配發(fā)原則,信息通信公司具體實(shí)施�,各基層單位不具備配發(fā)權(quán)限,配發(fā)總數(shù)不超過人資定員數(shù)的10%���。在安全移動(dòng)存儲(chǔ)介質(zhì)的使用管理過程中���,使用人必須簽訂《安全移動(dòng)存儲(chǔ)介質(zhì)安全使用責(zé)任書》,提高使用人信息安全意識(shí)�,明確安全移動(dòng)存儲(chǔ)介質(zhì)掛失補(bǔ)辦流程�,遺失必須經(jīng)保密委備案�。每年在全公司范圍內(nèi)開展一次安全移動(dòng)存儲(chǔ)介質(zhì)清理核對(duì)工作��,所有安全移動(dòng)存儲(chǔ)介質(zhì)統(tǒng)一進(jìn)行策略及注冊(cè)數(shù)據(jù)更新,未更新的介質(zhì)不能繼續(xù)使用����。上述安全管控策略的實(shí)施�,在進(jìn)一步減少敏感文件拷入�����、拷出數(shù)量的同時(shí)�����,有效降低辦公計(jì)算機(jī)感染病毒文件的風(fēng)險(xiǎn)�����。
2辦公計(jì)算機(jī)信息安全隱患防治工作成效
第4篇
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)逐漸成為完成業(yè)務(wù)工作不可或缺的手段�����,很多政府����、銀行、企業(yè)紛紛將核心業(yè)務(wù)基于網(wǎng)絡(luò)來實(shí)現(xiàn)���。然而�����,網(wǎng)絡(luò)的不斷普及帶來了大量的安全問題����。目前全球數(shù)據(jù)泄密事件53.7%的是由于人為疏忽造成,15.8%是由內(nèi)部惡意竊密���,23.3%是由于黑客等外部攻擊行為造成�,7.2%是由于意外造成的數(shù)據(jù)丟失����。根據(jù)IDC數(shù)據(jù)顯示��,內(nèi)部泄密事件從46%上升到了67%����,而病毒入侵從20%,下降到5%�����。
2.信息安全審計(jì)定義及作用
2.1信息安全審計(jì)定義
信息安全審計(jì)是針對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行管理[1]��,綜合運(yùn)用網(wǎng)絡(luò)數(shù)據(jù)包獲取���、協(xié)議分析�����、信息處理�����、不良流量阻斷等技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管����。它能夠幫助用戶對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)實(shí)時(shí)監(jiān)控,記錄網(wǎng)絡(luò)中發(fā)生的一切����,尋找非法和違規(guī)行為,為用戶提供事后取證手段��。
2.2信息安全審計(jì)的作用
跟蹤檢測(cè)�����。以旁路����、透明的方式實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原,并可根據(jù)用戶需求對(duì)通信內(nèi)容進(jìn)行審計(jì)�����,提供敏感關(guān)鍵詞檢索和標(biāo)記功能,從而防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播�。取證監(jiān)控。還原系統(tǒng)的相關(guān)協(xié)議����,完整記錄各種信息的起始地址和使用者,識(shí)別誰訪問了系統(tǒng)�����,訪問時(shí)間����,確定是否有網(wǎng)絡(luò)攻擊的情況�����,確定問題和攻擊源��,為調(diào)查取證提供第一手的資料���。
3.其他安全產(chǎn)品安全審計(jì)方面的缺陷
防火墻只是內(nèi)外部網(wǎng)絡(luò)之間建立起隔離�,控制外部對(duì)受保護(hù)網(wǎng)絡(luò)的訪問�,通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅���。入侵檢測(cè)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行監(jiān)測(cè),對(duì)一些有入侵嫌疑的包進(jìn)行報(bào)警��,準(zhǔn)實(shí)時(shí)性較強(qiáng)�����,但采用的數(shù)據(jù)分析算法不能過于復(fù)雜����,通常只是對(duì)單個(gè)數(shù)據(jù)包或者一小段時(shí)間內(nèi)的數(shù)據(jù)包進(jìn)行簡單分析判斷,誤報(bào)率和漏報(bào)率較高��。漏洞掃描��、防病毒等設(shè)備主要發(fā)現(xiàn)網(wǎng)絡(luò)�����、應(yīng)用軟件����、操作系統(tǒng)的邏輯缺陷和錯(cuò)誤,提早防范網(wǎng)絡(luò)、系統(tǒng)被非法入侵����、攻擊;發(fā)現(xiàn)處理病毒��。
4.信息安全審計(jì)系統(tǒng)的分類
主機(jī)審計(jì):審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶���;審計(jì)內(nèi)容應(yīng)包括重要用戶行為����、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件���;統(tǒng)一安全策略�����,實(shí)現(xiàn)集中審計(jì)等。網(wǎng)絡(luò)審計(jì):應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況��、網(wǎng)絡(luò)流量�、用戶行為等進(jìn)行日志記錄;應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析�����,并生成審計(jì)報(bào)表;應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)�����,避免受到未預(yù)期的刪除��、修改或覆蓋等��。數(shù)據(jù)庫審計(jì):審計(jì)對(duì)數(shù)據(jù)庫的操作行為��,如增�、刪、改等�,發(fā)現(xiàn)各種非法、違規(guī)操作�。業(yè)務(wù)審計(jì):對(duì)業(yè)務(wù)系統(tǒng)的操作行為進(jìn)行審計(jì),如提交��、修改業(yè)務(wù)數(shù)據(jù)等����,滿足管理部門運(yùn)維管理和風(fēng)險(xiǎn)內(nèi)控需要。日至審計(jì):審計(jì)網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備、應(yīng)用系統(tǒng)��、操作系統(tǒng)的日志���,發(fā)現(xiàn)安全事件,保存證據(jù)����。
5.信息安全審計(jì)系統(tǒng)的設(shè)計(jì)
主流的信息安全審計(jì)系統(tǒng)分為探針引擎和管理應(yīng)用平臺(tái)兩部分組成[2]。探針引擎的主要功能:監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)���,并將數(shù)據(jù)臨時(shí)保存�。將不同的數(shù)據(jù)流匯聚,形成一個(gè)應(yīng)用鏈接�����;根據(jù)設(shè)定的規(guī)則,對(duì)采集的數(shù)據(jù)進(jìn)行初步過濾,并對(duì)采集的數(shù)據(jù)進(jìn)行協(xié)議分析���,提取內(nèi)容信息。如在Smtp��,pop3協(xié)議中�����,提取郵件體和附件�;將采集后的數(shù)據(jù)按規(guī)定格式存儲(chǔ)和傳輸。根據(jù)需要�,進(jìn)行傳輸加密。管理應(yīng)用平臺(tái)是由web管理平臺(tái)+控制中心+數(shù)據(jù)庫組成的三層結(jié)構(gòu)���。WEB管理控制平臺(tái)主要功能:業(yè)務(wù)邏輯展現(xiàn)�����,系統(tǒng)管理����、日志管理���、策略管理�、報(bào)表管理、查詢統(tǒng)計(jì)分析����。控制中心主要功能:文件中心主要是用于系統(tǒng)報(bào)警原始文件存儲(chǔ)�、文件讀取���;統(tǒng)計(jì)中心主要是用于定期對(duì)系統(tǒng)關(guān)鍵詞報(bào)警信息��、行為日志數(shù)據(jù)���、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)操作行為進(jìn)行分類統(tǒng)計(jì)�;數(shù)據(jù)中心主要是實(shí)現(xiàn)數(shù)據(jù)庫與探針引擎之間的橋梁,實(shí)現(xiàn)策略下發(fā)��、探針引擎接入控制���、數(shù)據(jù)轉(zhuǎn)存功能�。數(shù)據(jù)庫主要功能:用于結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)����。
6.信息安全審計(jì)技術(shù)在工作中的基本應(yīng)用
HTTP敏感信息檢測(cè):HTTP協(xié)議的網(wǎng)頁瀏覽、網(wǎng)頁發(fā)帖監(jiān)測(cè)����,記錄中標(biāo)網(wǎng)頁的URL、瀏覽時(shí)間�、源IP、目的IP���、源端口�、目的端口以及源�、目的MAC地址,并還原����、保存原始網(wǎng)頁文件到本地磁盤。通過IP地址��、域名����、時(shí)間范圍�、協(xié)議類型等組合查詢查看報(bào)警信息并輸出報(bào)表���,通過“查看文件”鏈接查看原始瀏覽網(wǎng)頁文件內(nèi)容�����,通過“查看詳細(xì)”鏈接監(jiān)測(cè)報(bào)警信息的數(shù)據(jù)來源、報(bào)警協(xié)議類型�、文件存放路徑等信息��。郵件敏感信息檢測(cè):SMTP���,POP3中的敏感信息監(jiān)測(cè)�,記錄中標(biāo)網(wǎng)頁的信息摘要、關(guān)鍵詞�����、接收用戶�����、發(fā)送用戶、IP地址����,并還原、保存原始郵件到本地磁盤,系統(tǒng)默認(rèn)收�、發(fā)郵件端口分別為110、25�����??梢酝ㄟ^接收用戶名、發(fā)送用戶名�、時(shí)間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報(bào)表����,通過“查看文件”鏈接打開查看原始郵件主題、正文內(nèi)容�,通過“查看詳細(xì)”鏈接監(jiān)測(cè)報(bào)警信息的數(shù)據(jù)來源、報(bào)警協(xié)議類型�����、文件存放路徑等信息。IP流量監(jiān)測(cè):監(jiān)測(cè)IP主機(jī)數(shù)據(jù)流向��、流量大小����,按總計(jì)流量從高到低排序,并可清零流量重新統(tǒng)計(jì)���。數(shù)據(jù)庫日志檢測(cè):監(jiān)控并記錄用戶對(duì)數(shù)據(jù)庫服務(wù)器的讀����、寫�����、查詢�、添加、修改以及刪除等操作日志記錄����,并記錄數(shù)據(jù)庫服務(wù)器及操作用戶的IP、登錄用戶名�、MAC地址、操作時(shí)間等信息。
7.結(jié)語
如何保證網(wǎng)絡(luò)行為�、信息內(nèi)容的合規(guī)性、合法性�����、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點(diǎn)問題����。信息安全審計(jì)技術(shù)是對(duì)網(wǎng)絡(luò)行為進(jìn)行檢測(cè)與防范,也是對(duì)信息系統(tǒng)建設(shè)的重要補(bǔ)充��,將繼續(xù)在信息安全中發(fā)揮重要的作用�����。
作者:張楠 單位:吉林省統(tǒng)計(jì)局?jǐn)?shù)據(jù)管理中心
參考文獻(xiàn):
第5篇
Web2.0時(shí)代的信息安全
如今��,Web2.0取得了巨大成功����,但一向以嚴(yán)肅的形象示人的安全管理系統(tǒng)卻固守著Web1.0的模式�,“孤單地在角落里收集那點(diǎn)可憐的日志?����!鄙踔烈恍┌踩a(chǎn)品與互聯(lián)網(wǎng)是完全絕緣的。不過���,東軟SOC5.0改變了這種狀況�。近日�,東軟集團(tuán)信息安全事業(yè)部了SOC5.0升級(jí)版本,對(duì)其系統(tǒng)的底層架構(gòu)���、核心處理引擎�、功能模塊以及系統(tǒng)展現(xiàn)界面都進(jìn)行了顛覆性的設(shè)計(jì)����,打破了以往信息安全產(chǎn)品死板的風(fēng)格,為用戶帶來更多的創(chuàng)新應(yīng)用體驗(yàn)����。它在設(shè)計(jì)中迎合了社交網(wǎng)絡(luò)的發(fā)展趨勢(shì),開始注重安全管理平臺(tái)和用戶的互動(dòng)���。如:SOC5.0的輿情監(jiān)測(cè)開始主動(dòng)地從互聯(lián)網(wǎng)上獲取有關(guān)用戶的信息���、敏感詞匯及關(guān)鍵詞等����。
另外�,東軟將安全管理人員聯(lián)系起來,為他們提供了一個(gè)社區(qū)����,用于交流和討論,并將過去幾年積累的案例在不的情況下供安全管理人員學(xué)習(xí)和分享�����。這讓安全管理人員不再是“孤軍奮戰(zhàn)”��。
云平臺(tái)提升告警系統(tǒng)
對(duì)信息安全管理平臺(tái)而言����,告警是件比較麻煩的事情�����,它涉及IP地址��、原責(zé)任單位���、目的責(zé)任單位��、發(fā)生的監(jiān)控節(jié)點(diǎn)����、采集的設(shè)備、涉及的資產(chǎn)及網(wǎng)絡(luò)層應(yīng)用層�����、物理層等���。這些復(fù)雜的結(jié)構(gòu)不能夠理清楚�����,用戶就無法搞清楚威脅到底來自哪里�����,危險(xiǎn)級(jí)別是怎樣的��。劉浩是某銀行科技部工作人員���,他每天都要收到很多告警短信�,告知他系統(tǒng)安全存在隱患���,但有些告警“復(fù)雜的情況實(shí)在讓人沒辦法搞清楚情況到底有多嚴(yán)重”�����。對(duì)告警危險(xiǎn)級(jí)別的判斷幾乎是讓所有安全工作人員頭疼的事。
第6篇
〔關(guān)鍵詞〕供應(yīng)鏈系統(tǒng)��;情報(bào)泄密��;機(jī)理��;信息安全�;反競爭情報(bào)
〔Abstract〕The paper�,from the perspective of the counterintelligence technical support system���,constructed the supply chain information security system model from such five parts as the information security decision center�,the information security counterintelligence center�,the network counterintelligence system supported by the honeynet technology��,the human intelligence network system and the integrated supply chain information system����;combed the security hidden danger of information security system in supply chain;and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information���,information security policy management lags behind the information security needs of the supply chain system���,the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system,the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board���,and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.
〔Key words〕supply chain system;information leakage����;mechanism;information security����;counterintelligence
S著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,閉環(huán)的企業(yè)內(nèi)部信息管理模式逐步為開放的供應(yīng)鏈集成化信息管理模式所取代�����。當(dāng)供應(yīng)鏈成員通過開放的互聯(lián)網(wǎng)來實(shí)現(xiàn)遠(yuǎn)程交互訪問、進(jìn)行信息共享時(shí)��,這種開放的網(wǎng)絡(luò)系統(tǒng)給需要高度保密的敏感情報(bào)如企業(yè)內(nèi)部的生產(chǎn)���、銷售訂單���、合作企業(yè)的生產(chǎn)進(jìn)度、企業(yè)間的資金轉(zhuǎn)帳��、招投標(biāo)信息等����,帶來了很多安全隱患,從而威脅到整個(gè)供應(yīng)鏈系統(tǒng)的信息安全�。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看,有必要對(duì)全球供應(yīng)鏈中的各類組織的信息安全紀(jì)律進(jìn)行全覆蓋[1]�����;Ramesh Kolluru和Paul HMeredith發(fā)現(xiàn)供應(yīng)鏈合作伙伴之間的不同類型的數(shù)據(jù)共享需求需要不同層次的安全性[2]�;Peter Finch指出當(dāng)公司暴露于組織間網(wǎng)絡(luò)時(shí)���,開展風(fēng)險(xiǎn)評(píng)估以及需要考慮業(yè)務(wù)連續(xù)性規(guī)劃的重要性[3]�����;Zachary Williams等人通過定性研究��,發(fā)現(xiàn)存在4個(gè)主要的供應(yīng)鏈安全的驅(qū)動(dòng)因素����,即政府、顧客��、競爭者和社會(huì)[4]���;蔣魯寧認(rèn)為信息安全供應(yīng)鏈的安全涉及4個(gè)方面��,即信息安全供給基礎(chǔ)�、信息安全產(chǎn)品(包括信息安全服務(wù))過程�,信息安全能力形成過程以及對(duì)這些過程的安全確認(rèn)[5];劉丹則認(rèn)為供應(yīng)鏈信息系統(tǒng)的安全涉及從粗到細(xì)的4個(gè)層面:系統(tǒng)級(jí)安全�����、程序資源訪問控制安全、功能性安全和數(shù)據(jù)域安全[6]���;齊源選擇了信息共享內(nèi)容風(fēng)險(xiǎn)���、委托-風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)�����、成本增加風(fēng)險(xiǎn)以及技術(shù)風(fēng)險(xiǎn)等5大預(yù)警指標(biāo)����,構(gòu)建了基于第三方及GAHP的供應(yīng)鏈信息共享風(fēng)險(xiǎn)預(yù)警系統(tǒng)[7];董紹輝等認(rèn)為��,供應(yīng)鏈信息泄露的途徑包括供應(yīng)鏈上游企業(yè)�����、下游企業(yè)�、獨(dú)立第三方以及供應(yīng)鏈管理系統(tǒng)等4個(gè)方面[8];宋偉等提出通過接入中間件�,在內(nèi)、外系統(tǒng)之間進(jìn)行必要的安全隔離����,從而提高整個(gè)供應(yīng)鏈協(xié)同系統(tǒng)的魯棒性和抗攻擊能力[9]�;李劍鋒等提出了由信息安全治理��、信息安全管理����、基礎(chǔ)安全服務(wù)和架構(gòu)�、第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)和供應(yīng)鏈信息安全技術(shù)標(biāo)準(zhǔn)體系5個(gè)部分構(gòu)成的供應(yīng)鏈信息安全體系框架[10]。上述研究表明���,雖然國內(nèi)外學(xué)者對(duì)于供應(yīng)鏈系統(tǒng)的信息安全問題高度關(guān)注��,從供應(yīng)鏈信息安全的內(nèi)容�、影響因素��、風(fēng)險(xiǎn)評(píng)估�、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究�,但是在供應(yīng)鏈信息安全系統(tǒng)的泄密源排查、泄密原因分析�����、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應(yīng)鏈反競爭情報(bào)技術(shù)系統(tǒng)視角構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型����,站在競爭對(duì)手的立場上審視供應(yīng)鏈信息安全系統(tǒng)存在的安全隱患,進(jìn)而研究供應(yīng)鏈系統(tǒng)情報(bào)為何泄密����、如何泄密、怎樣泄密的內(nèi)在機(jī)理����,促使供應(yīng)鏈系統(tǒng)各參與方高度重視情報(bào)泄密的防控問題,避免或減少敏感信息情報(bào)的泄密�。
1反競爭情報(bào)技術(shù)系統(tǒng)視角的供應(yīng)鏈信息安全系統(tǒng)模型的構(gòu)建供應(yīng)鏈信息安全系統(tǒng)的構(gòu)建應(yīng)重點(diǎn)研究敵意侵害方的競爭情報(bào)系統(tǒng),梳理出供應(yīng)鏈系統(tǒng)可能存在的信息安全隱患���,從反競爭情報(bào)技術(shù)系統(tǒng)視角來構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型�����。一般而言����,敵意侵害方的一個(gè)完善的競爭情報(bào)系統(tǒng)由競爭情報(bào)中心以及組織網(wǎng)絡(luò)��、人際網(wǎng)絡(luò)和信息網(wǎng)絡(luò)組成[11]的“一中心三W絡(luò)”的組織構(gòu)架。競爭情報(bào)中心是整個(gè)競爭情報(bào)工作的中樞���,它是為企業(yè)競爭情報(bào)決策提供信息資源支持�;組織網(wǎng)絡(luò)是企業(yè)競爭情報(bào)工作的平臺(tái)����,它保障了競爭情報(bào)系統(tǒng)的協(xié)調(diào)一致�����;人際網(wǎng)絡(luò)是企業(yè)競爭情報(bào)重要的隱性情報(bào)源����,它是收集、分析情報(bào)乃至影響對(duì)手決策的一個(gè)有效路徑����;信息網(wǎng)絡(luò)涉及企業(yè)的內(nèi)網(wǎng)與外網(wǎng)平臺(tái),通過管理信息系統(tǒng)整合與完善企業(yè)的競爭情報(bào)功能[12]����。因此,供應(yīng)鏈信息安全系統(tǒng)的構(gòu)建應(yīng)充分考慮敵意侵害方的“一中心三網(wǎng)絡(luò)”的競爭情報(bào)系統(tǒng)組織構(gòu)架��,科學(xué)設(shè)計(jì)自身的信息安全系統(tǒng)。研究認(rèn)為����,供應(yīng)鏈信息安全系統(tǒng)應(yīng)由5部分組成,即信息安全決策中心�、信息安全反競爭情報(bào)中心、供應(yīng)鏈集成化信息系統(tǒng)�、蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)、人際情報(bào)網(wǎng)絡(luò)系統(tǒng)���,如圖1所示��。
11信息安全決策中心
信息安全決策中心是供應(yīng)鏈信息安全系統(tǒng)的中樞���,統(tǒng)籌協(xié)調(diào)涉及供應(yīng)鏈系統(tǒng)信息安全治理的重大問題;研究制定供應(yīng)鏈系統(tǒng)信息安全發(fā)展戰(zhàn)略��、總體規(guī)劃和重大信息安全政策的協(xié)調(diào)�;推動(dòng)供應(yīng)鏈系統(tǒng)信息安全的制度化建設(shè),不斷增強(qiáng)供應(yīng)鏈系統(tǒng)信息安全治理能力����。
信息安全決策中心接收來自信息安全反競爭情報(bào)中心的經(jīng)過處理的各類信息情報(bào),作為信息安全決策的基礎(chǔ)和依據(jù)�����。同時(shí),信息安全決策中心制定的信息安全戰(zhàn)略����、總體規(guī)劃和重大信息安全政策等經(jīng)由信息安全反競爭情報(bào)中心具體化為信息安全戰(zhàn)術(shù)決策,作為信息安全反競爭情報(bào)中心各子系統(tǒng)行動(dòng)的指南����。
12信息安全反競爭情報(bào)中心
反競爭情報(bào)中心是企業(yè)反競爭情報(bào)技術(shù)支持系統(tǒng)的中樞,由反競爭情報(bào)收集子系統(tǒng)�����、反競爭情報(bào)分析子系統(tǒng)和反競爭情報(bào)服務(wù)子系統(tǒng)等3部分組成���,負(fù)責(zé)供應(yīng)鏈信息安全系統(tǒng)的安全管理工作,如圖2所示�。
反競爭情報(bào)中心對(duì)來自蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)和人際情報(bào)網(wǎng)絡(luò)的各類信息進(jìn)行收集、整理��、分析�����,進(jìn)而實(shí)施相應(yīng)的信息安全策略管理:對(duì)可能引起安全事件的關(guān)鍵信息及其來源開展危害性評(píng)估并發(fā)出危機(jī)預(yù)警;對(duì)已造成實(shí)質(zhì)性危害的信息安全事件作出應(yīng)急響應(yīng)����,堵塞信息安全漏洞,努力減輕信息安全事件對(duì)供應(yīng)鏈系統(tǒng)造成的損失�����;對(duì)信息安全方面的例外問題�,及時(shí)上報(bào)信息安全決策中心,由高層決策者們進(jìn)行非程序化決策�。
13蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)
近年來,作為一種新型防御技術(shù)出現(xiàn)的蜜網(wǎng)(Honeynet)在檢測(cè)����、捕獲和控制網(wǎng)絡(luò)攻擊方面具有獨(dú)特的優(yōu)勢(shì)。蜜網(wǎng)由數(shù)據(jù)流重定向器與蜜網(wǎng)環(huán)境兩部分組成的�,該網(wǎng)絡(luò)置于防火墻系統(tǒng)之后,所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都會(huì)通過這里���,并可以捕獲控制這些數(shù)據(jù)[13]���,如圖3所示。蜜網(wǎng)(Honeynet)包含一個(gè)或多個(gè)蜜罐(Honey Pot)��,這種蜜罐(Honey Pot)是專門用來吸引敵意入侵者進(jìn)行攻擊的陷阱。當(dāng)入侵者試圖針對(duì)供應(yīng)鏈節(jié)點(diǎn)企業(yè)開展競爭情報(bào)活動(dòng)時(shí)�����,往往直奔企業(yè)需要高度保密的敏感情報(bào)如企業(yè)內(nèi)部的生產(chǎn)�、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度���、企業(yè)間的資金轉(zhuǎn)帳�、招投標(biāo)信息等���,而蜜網(wǎng)(Honeynet)中的網(wǎng)絡(luò)應(yīng)用程序恰恰以這些敏感情報(bào)來命名���,這樣入侵者就會(huì)立刻現(xiàn)行�。反競爭情報(bào)中心就可以根據(jù)這些被捕獲的資料來分析判斷入侵者所使用的工具、方法及動(dòng)機(jī)�,進(jìn)而建議信息安全決策中心采取反制措施。
14人際情報(bào)網(wǎng)絡(luò)系統(tǒng)
人際情報(bào)網(wǎng)絡(luò)系統(tǒng)是應(yīng)情報(bào)活動(dòng)的需要而構(gòu)建的一種人際網(wǎng)絡(luò)���,是情報(bào)從業(yè)者獲取���、分析和傳播非公開信息和隱性知識(shí)的重要平臺(tái)[14]����。供應(yīng)鏈信息安全系統(tǒng)的人際情報(bào)網(wǎng)絡(luò)分為節(jié)點(diǎn)企業(yè)外部人際情報(bào)網(wǎng)絡(luò)和節(jié)點(diǎn)企業(yè)內(nèi)部人際情報(bào)網(wǎng)絡(luò)���,如圖4所示�����。
節(jié)點(diǎn)企業(yè)外部人際情報(bào)網(wǎng)絡(luò)主要包括供應(yīng)商�����、分銷商�����、包括中介機(jī)構(gòu)�����、行業(yè)協(xié)會(huì)�、物流服務(wù)企業(yè)�����、消費(fèi)者組織�、新聞?dòng)浾叩仍趦?nèi)的第三方機(jī)構(gòu)、競爭對(duì)手���、最終消費(fèi)者等,節(jié)點(diǎn)企業(yè)內(nèi)部人際情報(bào)網(wǎng)絡(luò)主要由企業(yè)內(nèi)部各層級(jí)的管理人員和各部門的員工組成����。
15供應(yīng)鏈集成化信息系統(tǒng)
供應(yīng)鏈集成化信息系統(tǒng)是各節(jié)點(diǎn)企業(yè)內(nèi)部供應(yīng)鏈與外部合作伙伴(如供應(yīng)商�����、分銷商���、中介機(jī)構(gòu)以及行業(yè)協(xié)會(huì)、消費(fèi)者組織�����、新聞?dòng)浾叩鹊谌綑C(jī)構(gòu))集成起來的一個(gè)供應(yīng)網(wǎng)鏈�����,是整個(gè)供應(yīng)鏈信息安全系統(tǒng)的基礎(chǔ)信息平臺(tái)���。供應(yīng)鏈各節(jié)點(diǎn)通過高速數(shù)據(jù)專用線連接到Internet骨干網(wǎng)中,通過路由器與自己的Intranet相連��,再由Intranet內(nèi)主機(jī)或服務(wù)器為其內(nèi)部各部門提供存取服務(wù)����,如圖5所示。
供應(yīng)鏈集成化信息系統(tǒng)是升級(jí)版的企業(yè)間信息系統(tǒng)���,為企業(yè)內(nèi)部的信息系統(tǒng)提供與外部供應(yīng)鏈各節(jié)點(diǎn)的很好的接口,它實(shí)現(xiàn)了供應(yīng)鏈合作伙伴間的信息交互與信息共享����,消除了企業(yè)間傳統(tǒng)的信息隔離狀態(tài)。除信息集成外��,供應(yīng)鏈集成化信息系統(tǒng)還可以通過競爭情報(bào)的檢測(cè)���,篩選出數(shù)據(jù)流中的競爭情報(bào)信息流,將正常業(yè)務(wù)流與競爭情報(bào)信息流分開,從而實(shí)現(xiàn)了供應(yīng)鏈信息系統(tǒng)的功能集成���。
2供應(yīng)鏈信息安全系統(tǒng)的安全隱患梳理
21信息安全決策中心安全隱患梳理
作為整個(gè)供應(yīng)鏈信息安全系統(tǒng)的中樞���,信息安全決策中心一旦發(fā)生泄密事件,必將對(duì)供應(yīng)鏈系統(tǒng)信息安全治理工作帶來重大安全隱患�����。信息安全決策中心可能存在的安全隱患大體涉及高管泄密以及信息安全治理過程中的情報(bào)泄密兩個(gè)方面����。信息安全決策中心的高管泄密專指參與供應(yīng)鏈系統(tǒng)信息安全治理工作的高管惡意或非惡意地泄露涉及供應(yīng)鏈系統(tǒng)信息安全治理問題的決策信息���。惡意泄密往往發(fā)生在對(duì)公司不滿或有預(yù)謀離職的高管身上,非惡意泄露往往因?yàn)槿狈ω?zé)任心��、安全防范意識(shí)淡薄����、公司對(duì)高管的放任等原因造成的。
信息安全治理過程中的情報(bào)泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略����、總體規(guī)劃和重大信息安全政策等的醞釀、起草�����、征詢意見��、方案評(píng)估��、方案試行前的各個(gè)階段����。因?yàn)闀r(shí)間跨度長�、涉及面廣��、牽涉人員多等原因�,信息安全治理過程中的情報(bào)泄密問題更加難以控制。
22信息安全反競爭情報(bào)中心安全隱患梳理
信息安全反競爭情報(bào)中心的安全隱患主要源于反競爭情報(bào)收集子系統(tǒng)�����、反競爭情報(bào)分析子系統(tǒng)和反競爭情報(bào)服務(wù)子系統(tǒng)之間業(yè)務(wù)上的協(xié)調(diào)不夠以及各自功能的發(fā)揮不夠充分�。具體表現(xiàn)為:其一,信息安全反競爭情報(bào)中心各子系統(tǒng)的協(xié)調(diào)不夠��,導(dǎo)致信息的收集�、整理��、分析���、存儲(chǔ)以及上報(bào)不夠及時(shí)��;其二�����,反競爭情報(bào)收集子系統(tǒng)忽視了可能引起安全事件的P鍵信息;第三�����,反競爭情報(bào)分析子系統(tǒng)對(duì)可能引起安全事件的關(guān)鍵信息及其來源的危害性認(rèn)識(shí)不足�;第四,反競爭情報(bào)服務(wù)子系統(tǒng)未能及時(shí)就信息安全方面的例外問題上報(bào)信息安全決策中心�。
23蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)安全隱患梳理蜜網(wǎng)技術(shù)的應(yīng)用使得網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)在收集敵意侵害方的攻擊信息��、保護(hù)供應(yīng)鏈信息系統(tǒng)情報(bào)、發(fā)現(xiàn)內(nèi)網(wǎng)中可能存在的安全漏洞等方面具有重要作用�����,但同時(shí)蜜網(wǎng)技術(shù)是一把雙刃劍�����,也會(huì)給網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)帶來安全隱患:其一,使網(wǎng)絡(luò)反競爭情報(bào)系統(tǒng)遭受更多的攻擊���,交互的程度越高�����,模擬得越像���,供應(yīng)鏈系統(tǒng)陷入危險(xiǎn)的概率就越大�;其二,模擬服務(wù)的軟件存在問題���,也會(huì)產(chǎn)生新的漏洞�����;其三����,敵意侵害方若取得Root權(quán)限����,便可以自由存取目標(biāo)機(jī)上的數(shù)據(jù),然后利用已有資源繼續(xù)攻擊其它機(jī)器����;第四���,虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價(jià)大幅降低�����,便于部署和管理��,但同時(shí)也帶來更大的風(fēng)險(xiǎn)����,敵意侵害方有可能識(shí)別出虛擬操作系統(tǒng)軟件的指紋����,也可能攻破虛擬操作系統(tǒng)軟件從而獲得整個(gè)蜜網(wǎng)的控制權(quán)。
24人際情報(bào)網(wǎng)絡(luò)系統(tǒng)安全隱患梳理
隨著供應(yīng)鏈共享信息平臺(tái)的建設(shè)以及信息交互���、信息共享水平的不斷提升��,人際情報(bào)網(wǎng)絡(luò)系統(tǒng)的安全隱患問題愈加突出:首先,供應(yīng)鏈共享信息平臺(tái)為供應(yīng)鏈節(jié)點(diǎn)企業(yè)外部人際情報(bào)網(wǎng)絡(luò)和節(jié)點(diǎn)企業(yè)內(nèi)部人際情報(bào)網(wǎng)絡(luò)提供了功能強(qiáng)大的信息溝通平臺(tái)���,網(wǎng)絡(luò)虛擬空間中的復(fù)雜人際關(guān)系增添了信息情報(bào)泄露的可能�;其次��,敵意競爭情報(bào)方可以利用共享信息平臺(tái)中的人際情報(bào)網(wǎng)絡(luò)��,繞開供應(yīng)鏈系統(tǒng)的防火墻����,進(jìn)入專用網(wǎng)絡(luò)內(nèi)部,更便于其競爭情報(bào)工作的開展���;再者,傳統(tǒng)的人際情報(bào)網(wǎng)絡(luò)泄密仍然在發(fā)揮其獨(dú)特的作用�,敵意競爭情報(bào)方可以利用接待或訪問節(jié)點(diǎn)企業(yè)�����、欺騙����、引誘和拉攏節(jié)點(diǎn)企業(yè)關(guān)鍵崗位人員及關(guān)聯(lián)人員��、通過關(guān)聯(lián)第三方等渠道,獲取供應(yīng)鏈系統(tǒng)的敏感信息情報(bào)�����。
25供應(yīng)鏈集成化信息系統(tǒng)安全隱患梳理
供應(yīng)鏈集成化信息系統(tǒng)在實(shí)現(xiàn)供應(yīng)鏈合作伙伴間的信息交互與信息共享的同時(shí)�,也為敵意侵害方的競爭情報(bào)工作提供了機(jī)會(huì)。供應(yīng)鏈集成化信息系統(tǒng)安全隱患可能存在以下3個(gè)環(huán)節(jié)中:其一���,敵意侵害方成功地避開了供應(yīng)鏈集成化信息系統(tǒng)的競爭情報(bào)檢測(cè)����;其二�,數(shù)據(jù)流重定向器未能篩選出數(shù)據(jù)流中的競爭情報(bào)信息流����,將競爭情報(bào)信息流誤認(rèn)為正常業(yè)務(wù)流��;其三�����,Intranet內(nèi)主機(jī)或服務(wù)器為競爭情報(bào)方提供信息存取服務(wù)�����,就會(huì)造成供應(yīng)鏈系統(tǒng)關(guān)鍵信息情報(bào)的泄密。
3供應(yīng)鏈系統(tǒng)情報(bào)泄密的路徑分析
31信息安全治理過程監(jiān)管不力造成供應(yīng)鏈系統(tǒng)情報(bào)泄密信息安全決策中心安全隱患之一在于信息安全治理過程中的情報(bào)泄密����。由于情報(bào)泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀���、起草、征詢意見�、方案評(píng)估�����、方案試行前的各個(gè)階段����,因此�����,信息安全治理工作需要統(tǒng)籌規(guī)劃��,點(diǎn)面結(jié)合,齊抓共管�����。既要制定好信息安全治理工作的總體預(yù)案����,又要有分階段的詳細(xì)應(yīng)對(duì)計(jì)劃。對(duì)參與信息安全治理工作的部門和人員(包括高管在內(nèi))實(shí)行全流程����、全員備案制����,從制度上堵塞安全漏洞����。
32信息安全策略管理工作滯后于供應(yīng)鏈系統(tǒng)信息安全的需要信息安全反競爭情報(bào)中心的安全隱患主要源于信息安全策略管理工作不能滿足供應(yīng)鏈系統(tǒng)信息安全的需要���。具體表現(xiàn)為:信息安全反競爭情報(bào)中心組織協(xié)調(diào)工作不夠����,各子系統(tǒng)不能形成合力,導(dǎo)致信息安全管理工作滯后�����;對(duì)可能引起安全事件的關(guān)鍵信息及其來源的危害性認(rèn)識(shí)不足��,未能及時(shí)發(fā)出危機(jī)預(yù)警信號(hào)�;對(duì)已造成實(shí)質(zhì)性危害的信息安全事件未能作出及時(shí)響應(yīng)或應(yīng)對(duì)措施不得力��,未能及時(shí)堵塞信息安全漏洞,造成信息安全事件對(duì)供應(yīng)鏈系統(tǒng)損失的擴(kuò)大���;對(duì)信息安全方面的例外問題�����,未能及時(shí)上報(bào)信息安全決策中心��,延緩了高層決策者們非程序化決策工作的開展����,以致高層決策者們不能及時(shí)調(diào)動(dòng)整個(gè)供應(yīng)鏈資源來消除信息安全危害����。
第7篇
網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)���、網(wǎng)絡(luò)技術(shù)�����、通信技術(shù)��、密碼技術(shù)�、信息安全技術(shù)�����、應(yīng)用數(shù)學(xué)、數(shù)論����、信息論等多種學(xué)科的綜合性學(xué)科��。下面是小編整理的《網(wǎng)絡(luò)安全的財(cái)務(wù)月度工作計(jì)劃》����,供您閱讀,參考。希望您能有所收獲!
網(wǎng)絡(luò)安全的財(cái)務(wù)月度工作計(jì)劃
為加強(qiáng)本單位網(wǎng)絡(luò)與信息安全保障工作,經(jīng)局領(lǐng)導(dǎo)班子研究����,制定__縣工業(yè)商務(wù)和信息化局20__年網(wǎng)絡(luò)與信息安全工作計(jì)劃。
一�、加強(qiáng)考核,落實(shí)責(zé)任
結(jié)合質(zhì)量管理體系建設(shè)�����,建立健全信息化管理和考核制度��,進(jìn)一步優(yōu)化流程����,明確責(zé)任�����,與各部門重點(diǎn)涉密崗位簽訂《網(wǎng)絡(luò)與信息安全及保密責(zé)任書》�����。加大考核力度����,將計(jì)算機(jī)應(yīng)用及運(yùn)維情況列入年度考核中���,通過考核尋找信息安全工作存在的問題和不足,認(rèn)真分析原因��,制定切實(shí)可行的預(yù)防和糾正措施�,嚴(yán)格落實(shí)各項(xiàng)措施�,持續(xù)改進(jìn)信息安全工作�����。
二����、做好信息安全保障體系建設(shè)
進(jìn)一步完善信息安全管理制度����,重點(diǎn)加強(qiáng)用戶管理��、變更管理����、網(wǎng)絡(luò)安全檢查等運(yùn)行控制制度和數(shù)據(jù)安全管理����、病責(zé)防護(hù)管理等日常網(wǎng)絡(luò)應(yīng)用制度;加強(qiáng)入侵檢測(cè)系統(tǒng)應(yīng)用�,通過桌管系統(tǒng)、瑞星控制臺(tái)密切關(guān)注各移動(dòng)存儲(chǔ)介質(zhì)(移動(dòng)硬盤��、U盤、CD光驅(qū))等設(shè)備運(yùn)行情況;在業(yè)務(wù)分析需求的基礎(chǔ)上����,合理設(shè)置安全策略,充分利用局域網(wǎng)優(yōu)勢(shì)����,進(jìn)一步發(fā)揮技術(shù)防范措施的作用,從源頭上杜絕木馬����、病毒的感染和傳播���,提高信息網(wǎng)絡(luò)安全管理實(shí)效;
進(jìn)一步完善應(yīng)急預(yù)案��,通過應(yīng)急預(yù)案演練檢驗(yàn)預(yù)案的科學(xué)性�����、有效性��,提高應(yīng)對(duì)突發(fā)事件的應(yīng)變能力����。
三����、加強(qiáng)各應(yīng)用系統(tǒng)管理
進(jìn)一步作好政府信息公開網(wǎng)站后臺(tái)管理系統(tǒng)、OA等業(yè)務(wù)系統(tǒng)應(yīng)用管理�。加強(qiáng)與各部門勾通����,收集使用過程中存在的問題,定期檢查系統(tǒng)內(nèi)各模塊使用情況及時(shí)反饋給相關(guān)部門���,充分發(fā)揮系統(tǒng)功能;完善系統(tǒng)基礎(chǔ)資料��,加大操作人員指導(dǎo)力度,確保系統(tǒng)有效運(yùn)行�����,切實(shí)提高信息安全水平。
四����、加強(qiáng)信息安全宣傳教育培訓(xùn)
利用局域網(wǎng)、OA系統(tǒng)����,通過宣傳欄等形式�����,加大信息安全宣傳力度����,不斷提高員工對(duì)信息安全重要性的認(rèn)識(shí)�����,努力形成“廣泛宣傳動(dòng)員���、人人積極參與”的良好氣氛;著力加強(qiáng)信息化工作人員的責(zé)任意識(shí),切實(shí)增強(qiáng)做好信息化工作的責(zé)任感和使命感���,不斷提高服務(wù)的有效性和服務(wù)效率�����。
網(wǎng)絡(luò)安全的財(cái)務(wù)月度工作計(jì)劃
一����、網(wǎng)絡(luò)管理與建設(shè)
1、采取切實(shí)可行的措施����,加強(qiáng)對(duì)校園網(wǎng)的管理,繼續(xù)完善相關(guān)規(guī)章制度�,落實(shí)各項(xiàng)管理措施���,確保學(xué)校網(wǎng)絡(luò)安全暢通。學(xué)校要繼續(xù)完善相關(guān)的網(wǎng)絡(luò)制度���,杜絕網(wǎng)絡(luò)信息安全事故的發(fā)生�����,確保網(wǎng)絡(luò)暢通,更好的服務(wù)與教育教學(xué)工作���。采取積極可行的措施,在保證網(wǎng)絡(luò)暢通的情況下,杜絕教師上網(wǎng)聊天�����、打撲克�����、玩游戲等不良現(xiàn)象的發(fā)生�����。管理員及全體教師都要深入研究網(wǎng)絡(luò)應(yīng)用問題��,充分發(fā)揮網(wǎng)絡(luò)的作用�����,提高教育教學(xué)質(zhì)量���。
2、網(wǎng)絡(luò)防毒��。加強(qiáng)對(duì)教師信息技術(shù)的培訓(xùn)力度�����,使教師學(xué)會(huì)使用殺毒軟件進(jìn)行計(jì)算機(jī)病毒的查殺,確保學(xué)校網(wǎng)絡(luò)暢通����。基本上解決網(wǎng)絡(luò)病毒在我校各計(jì)算機(jī)上的傳播���,保證網(wǎng)絡(luò)不因病毒而導(dǎo)致堵塞�����、停網(wǎng)等現(xiàn)象的發(fā)生���。
二、網(wǎng)站建設(shè)
加強(qiáng)學(xué)校校園網(wǎng)網(wǎng)站建設(shè)和應(yīng)用力度����,使其服務(wù)于教學(xué)��、服務(wù)于德育、服務(wù)于管理;服務(wù)于學(xué)生、服務(wù)于教師�����、服務(wù)于社會(huì)�����。管好用好校園網(wǎng),要有相當(dāng)一部分學(xué)生也建有自己的學(xué)習(xí)網(wǎng)頁�����。通過建設(shè)各種學(xué)習(xí)主頁��,廣泛吸引學(xué)生��、教師和家長及社會(huì)各界人士駐站,增強(qiáng)學(xué)校在社會(huì)上的良好形象���,擴(kuò)大學(xué)校知名度。管理員要不斷學(xué)習(xí)相關(guān)業(yè)務(wù)知識(shí)�,不斷提高自己的業(yè)務(wù)能力��,樹立服務(wù)于教學(xué)的思想��,管好用好校園網(wǎng),不斷更新網(wǎng)站內(nèi)容����,建設(shè)有自己獨(dú)特風(fēng)格的學(xué)校網(wǎng)站�。
三����、信息技術(shù)使用與培訓(xùn)工作
加強(qiáng)信息技術(shù)知識(shí)的培訓(xùn)與應(yīng)用。學(xué)校將組織專人進(jìn)行不同層次的培訓(xùn)班�����,加強(qiáng)培訓(xùn)指導(dǎo)����,教師要將學(xué)習(xí)走在前頭,自覺地學(xué)。大力提倡電子備課�。
四�����、微機(jī)室管理
把學(xué)校微機(jī)室建“成綠色機(jī)房”�,利用課余時(shí)間����、休息日�����、節(jié)假日對(duì)學(xué)生開放,為廣大學(xué)生提供健康�����、安全的網(wǎng)絡(luò)學(xué)習(xí)環(huán)境。采取得力措施,杜絕師生玩電腦游戲��,建設(shè)“無游戲校園”�����。
網(wǎng)絡(luò)安全的財(cái)務(wù)月度工作計(jì)劃
根據(jù)自治區(qū)����、地區(qū)有關(guān)要求,按照《__新聞宣傳報(bào)道管理辦法》有關(guān)內(nèi)容�,為進(jìn)一步加強(qiáng)我縣網(wǎng)絡(luò)和信息安全管理工作��,現(xiàn)就有關(guān)工作計(jì)劃如下。
一����、建立健絡(luò)和信息安全管理制度
各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律��、法規(guī)規(guī)定和工作要求�����,制定并組織實(shí)施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度��。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任����,規(guī)范計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度�����,切實(shí)做好本單位網(wǎng)絡(luò)與信息安全保障工作。
二�、切實(shí)加強(qiáng)網(wǎng)絡(luò)和信息安全管理
各單位要設(shè)立計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組����,負(fù)責(zé)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理�����、維護(hù)等工作進(jìn)行指導(dǎo)�、協(xié)調(diào)、檢查��、監(jiān)督���。要建立本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制��,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門�����,各盡其職�����,常抓不懈,并按照“誰主管誰負(fù)責(zé)��,誰運(yùn)行誰負(fù)責(zé)���,誰使用誰負(fù)責(zé)”的原則,切實(shí)履行好信息安全保障職責(zé)�����。
三�、嚴(yán)格執(zhí)行計(jì)算機(jī)網(wǎng)絡(luò)使用管理規(guī)定
各單位要提高計(jì)算機(jī)網(wǎng)絡(luò)使用安全意識(shí)�����,嚴(yán)禁涉密計(jì)算機(jī)連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非涉密計(jì)算機(jī)上存儲(chǔ)�����、處理涉密信息,嚴(yán)禁在涉密與非涉密計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)����。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離,并強(qiáng)化身份鑒別�����、訪問控制���、安全審計(jì)等技術(shù)防護(hù)措施���,有效監(jiān)控違規(guī)操作��,嚴(yán)防違規(guī)下載涉密和敏感信息�����。通過互聯(lián)網(wǎng)電子郵箱、即時(shí)通信工具等處理、傳遞�、轉(zhuǎn)發(fā)涉密和敏感信息。
四����、加強(qiáng)網(wǎng)站�����、微信公眾平臺(tái)信息審查監(jiān)管
各單位通過門戶網(wǎng)站�����、微信公眾平臺(tái)在互聯(lián)網(wǎng)上公開信息����,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關(guān)規(guī)定�,建立嚴(yán)格的審查制度。要對(duì)網(wǎng)站上的信息進(jìn)行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無涉密問題;上網(wǎng)信息目前對(duì)外是否適宜;信息中的文字�、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息�,嚴(yán)禁交流傳播涉密信息���。堅(jiān)持先審查、后公開,一事一審、全面審查����。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)����、專人實(shí)施。
嚴(yán)肅突發(fā)��、敏感事(案)件的新聞報(bào)道紀(jì)律,對(duì)民族���、宗教、軍事�、環(huán)保����、反腐�、人權(quán)、計(jì)劃生育、嚴(yán)打活動(dòng)、暴恐案件�����、自然災(zāi)害�,涉暴涉恐公捕大會(huì)����、案件審理�、非宗教教職人員�����、留大胡須����、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進(jìn)行宣傳報(bào)道,如確需宣傳報(bào)道的�,經(jīng)縣領(lǐng)導(dǎo)同意�����,上報(bào)地區(qū)層層審核�����,經(jīng)自治區(qū)黨委宣傳部審核同意后,方可按照宣傳內(nèi)容做到統(tǒng)一口徑�、統(tǒng)一,確保信息的時(shí)效性和嚴(yán)肅性���。
五��、組織開展網(wǎng)絡(luò)和信息安全清理檢查
各單位要在近期集中開展一次網(wǎng)絡(luò)安全清理自查工作。對(duì)辦公網(wǎng)絡(luò)�、門戶網(wǎng)站和微信公眾平臺(tái)的安全威脅和風(fēng)險(xiǎn)進(jìn)行認(rèn)真分析��,制定并組織實(shí)施本單位各種網(wǎng)絡(luò)與信息安全工作計(jì)劃�����、工作方案�����,及時(shí)按照要求消除信息安全隱患���。
第8篇
【 關(guān)鍵詞 】 DRM����;數(shù)字文檔防泄密二次開發(fā)嵌入式
Digital Document Protection System based on DRM Technology Research and
Application of Integrated Design
Zheng Yi
(CNOOC, Energy Development Drilling and Engineering Research Institute Tianjin300452)
【 Abstract 】 When the user through legal or illegal means to obtain digital access to documents of the enterprise information system that can not constrained by download, copy, network spread to others, and led to the leak corporate secrets, making sharing and, between prominent confidential document security management system integration based on DRM technology built for the confidentiality and integrity of the enterprise storage networking information is a fast and effective solution.In this article, enterprise the unstructured digital document information security status and problems of use DRM technology to protect digital documents online and offline application information divulgation principle, an existing enterprise informationsystem architecture, secondary development of integrated embedded systems architecture based on a the DRM technology professional confidential document protection products.
【 Keywords 】 DRM; digital document anti-phishing secondary development of embedded
1 引言
隨著各行業(yè)在生產(chǎn)、管理上信息化程度日益增高��,企業(yè)檔案資料中非結(jié)構(gòu)化數(shù)字文檔信息比例正逐漸增大,數(shù)字文檔信息泄密行為不斷呈現(xiàn)出升高趨勢(shì)��。雖然企業(yè)建立了專門的數(shù)字文檔利用制度�,但對(duì)包含敏感信息的數(shù)字文檔利用中最突出的信息安全保障卻始終是個(gè)難題����。
目前大型企業(yè)數(shù)字化的非結(jié)構(gòu)化信息量普遍在80%以上���,而安全應(yīng)用機(jī)制大部分采用的是工作流層級(jí)審批技術(shù)����,審批不及時(shí)導(dǎo)致應(yīng)用受限���,特別是對(duì)于分散應(yīng)用群體審批更難,造成了快速應(yīng)用信息與信息安全管理之間存在著突出矛盾。如何能防止擁有閱讀權(quán)限的人不能拿走電子信息��,不能下載/復(fù)制電子文檔�,不能打印文檔中的信息��,并且只能在一段時(shí)間內(nèi)在指定的設(shè)備上有權(quán)閱讀��,成為我們對(duì)非結(jié)構(gòu)化敏感信息安全追求的技術(shù)目標(biāo)�。
針對(duì)以上信息安全現(xiàn)狀��,構(gòu)建基于DRM(Digital Rights Management�����,內(nèi)容數(shù)字版權(quán)加密保護(hù))技術(shù)的文檔安全管理系統(tǒng),對(duì)于已聯(lián)網(wǎng)的企業(yè)存儲(chǔ)信息的機(jī)密性和完整性是一個(gè)有效的解決方法。DRM是保證信息的使用安全的一項(xiàng)關(guān)鍵技術(shù)�����,通過數(shù)字權(quán)限管理����,可以使具有不同權(quán)限的用戶對(duì)文檔進(jìn)行不同的操作���,尤其是能控制合法授權(quán)的用戶能否復(fù)制、打印�����、摘錄�、傳播���,保證敏感信息不被泄漏。目前�,面向電子文檔信息在線與離線安全保護(hù)的DRM技術(shù)產(chǎn)品有了很大的發(fā)展��,國外如微軟的Windows RM��,國內(nèi)如北京書生公司的機(jī)密文檔保護(hù)系統(tǒng)�����。
2 DRM框架
DRM技術(shù)為文檔安全管理系統(tǒng)的核心�����,可實(shí)現(xiàn)對(duì)控制范圍內(nèi)的信息資源進(jìn)行嚴(yán)格權(quán)限管理��,保護(hù)電子文檔即使離線也不被非法使用���,構(gòu)建在線與離線相結(jié)合的閱讀管理模式�����。
