敏感信息安全管理-成都思维世纪科技有限责任公司.DOC

思维世纪 敏感信息保护咨询服务 白皮书 成都思维世纪科技有限责任公司目 录 1 服务背景 1 2 服务必要性和重要性 1 3 服务内容 1 3.1 服务内容概述 1 3.2 敏感信息识别 2 3.3 敏感信息安全管理 3 3.4 敏感信息防护 4 3.5 敏感信息监控 4 3.6 敏感信息审计 5 4 服务特点 5 5 典型应用 6 6 结论 6 服务背景 随着信息化程度的提高，企业越来越多地利用计算机创建和处理敏感的业务电子信息，在方便快捷的同时也增加了信息被侦听、截获及非法拷贝的危险。当前企业经营、市场竞争中面临的商业机密安全管理的形势严峻，尤其企业在商业活动中使用的诸如经营分析会材料、重要汇报材料、市场经营策略、业务技术策略、营销方案、财务分析报表、投资计划、企业财务数据表、客户信息、研发文档等隐私和敏感信息资源。这些企业商业机密信息经常第一时间就被竞争对手获取或者被非法份子用于贩卖获利，给公司的业务关系带来危害，使公司的知识产权遭受损失，带来巨大的信息资产损失成本，同时给公司的声誉造成不良影响。 服务必要性和重要性 目前大部分企业通常都面临以下几类数据安全问题： 企业商业机密信息被竞争对手获取，造成巨大经济损失。 重要客户信息泄露，造成公司声誉下降面临法律风险 已部署防火墙等安全设备，但仍然发生信息泄露等安全事件 移动终端如何管理，避免核心数据被非授权访问 目前国家安全相关职能部门和监管机构针对电信运营商、金融等行业已经出台一些法律法规要求进一步加强敏感信息安全管理和提升安全防护水平，各行业也制定了自己的一些管理办法和着手进行敏感信息安全建设，但由于对敏感信息风险和防范措施缺乏全局、整体的认识，因此如何建立安全保障体系 其次分析敏感信息产生、存储、流转、访问、使用及销毁等环节形成信息全景图，在识别信息资产生命周期的基础上，分析造成信息资产被泄露或者被篡改、破坏的信息安全风险。此阶段主要工作是梳理敏感信息在主机保存的目录、格式及敏感内容表和在数据库涉及的敏感表和字段等，以及详细梳理人为主体，服务器和数据库为客户的数据访问和使用情况。 然后从客户业务访问和日常运维角度，分析客户访问敏感信息的账号和敏感信息的操作权限合理性、操作流程合规性、操作日志完整性。 最后，在对信息资产分类分级整体策略基础上，信息生命周期各个环节存在安全风险，通综合考虑现阶段安全管理或技术措施有效性，基于信息价值的角度，形成敏感信息防护需求，包括数据加密保护、数据访问权限分配及数据防泄漏等。 工作输出 敏感信息分类表 敏感信息操作合规性分析报告 敏感信息全景图 敏感信息防护需求报告 敏感信息安全管理 工作内容 在进行敏感信息识别和分类后，协助客户根据敏感信息面临风险和安全需求制定具体的敏感信息防护安全策略指导后期安全管理工作和安全设备策配置，加强对企业内部人员的管理与控制，提升信息保护的防范意识 网络安全策略 终端安全策略 服务器安全策略 运维安全策略 人员安全策略 工作输出 敏感信息防护总体策略 敏感信息管理办法 敏感信息防护 工作内容 业信息保护的技术体系的建立应当依据纵深多重防护的思想建立，集中沿着安全威胁的入侵路径来部署防御措施，综合采取网络层、系统层和应用层及数据层的防护手段进行安全增强。 思维世纪基于客户业务流程、业务逻辑、业务边界、业务管理、业务规范性进行面向敏感信息保护的安全评估，分析现在敏感信息自身存在脆弱性及面临威胁和安全管控措施有效性，提出整改建议并协助进行防护体系策略优化。主要评估内容包括，检查敏感数据防护手段整体部署情况是否存在漏控及部署不完善情况，检查安全加密类设备加密算法选择和秘钥长度合理性、秘钥分发和保存方式安全性，检查网络监控分析的策略规则和特征库的关键字准确及完整性。 思维世纪根据敏感信息泄密环节和方式、面临安全威胁及安全需求，提出安全加密、数字水印、身份认证授权、访问控制、模糊化处理、流量监控、合规审计、终端接入管控及备份恢复等针对性防护手段和措施，并形成详细安全防护技术体系建议。协助用户对展开整个防护体系建设，包括安全设备选型、功能性能测试以及整体安全策略在各类安全防护设备上实施和部署，确保从技术层面能支撑整个敏感信息防护管理制度和流程。 工作输出 敏感信息技术防护体系 敏感信息监控 工作内容 在整体安全防护措施和管理制度建立基础上，协助用户根据敏感信息泄露环节和方式建立全面敏感信息异常流量分析策略，并结合客户选择敏感数据监控平台和产品从应用层面帮助用户全部部署和实施安全监控和分析策略，使用户可以有效展开日常敏感信息监控工作。监控策略梳理涉及： 存在敏感信息主机异常链接监控策略 绕过集中身份认证的异常访问监控策略 对敏感数据异常访问频次的监控策略 非工作时间内异常访问监控策略 协助用户根据