时代亿信文件盾产品电信行业解决实施方案.docVIP

时代亿信文件盾产品电信行业解决方案 电信行业数据信息泄漏风险概述 运营商信息系统体系形成了对企业管理、运营、维护等方面支撑的大量应用系统，也产生了大量的结构化数据和非结构化数据，这些数据是企业的重要资产之一，是现代企业的命脉，关乎企业的生存与发展。与此同时，各类数据信息在处理、共享和使用过程中也面临数据信息被违规越权使用或数据信息被用于非法用途等数据信息泄漏的安全风险。一方面，应用系统数据处理过程中涉及到的商业秘密需要保护；另一方面，运营过程中收集和使用的大量的用户信息、用户业务使用信息等个人隐私数据，以及数据统计分析所形成的各类报表作为企业重要的经营信息也需要保护。 针对商业秘密，国务院国有资产监督管理委员会颁布了《中央企业商业秘密保护暂行规定》，国资委保密委员会颁布了《中央企业商业秘密信息系统安全技术指引》，对中央企业的商密秘密保护进行规范和指导，确保中央企业正常经营利益不受侵害。针对用户隐私数据，全国人大颁布了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，工信部起草了《电信和互联网用户个人信息保护规定（征求意见稿）》面向社会公开征求意见。因此，加强企业数据信息安全保护，既是企业自身发展的客观要求，也是国家法律法规的要求。 据权威机构近几年调查数据显示，企业内部用户非授权的访问和滥用导致有意或无意的信息泄露所造成的损失持续居于企业信息安全风险的最前列。目前各IT系统的内部用户很容易就可以导出系统重要数据或者下载系统中的各种电子文档，而且数据和电子文档的流转渠道多元化，内部用户可以很轻松地把系统内的许多重要信息传递到网络外部，但是根据管理规范这些重要的信息资料，不能轻易离开公司的网络环境，甚至不能在公司网络内部随意地传递与交流。 电信行业数据信息泄露风险点分析 电信行业运营商在日常经营过程中，容易出现的信息泄露风险依据应用系统用途主要分为两大类：管理类应用系统和业务支撑类应用系统。管理类应用系统以OA系统最为典型，也包括财务、合同管理、采购、CRM等系统，业务支撑类应用系统则包括计费、经营分析、数据仓库等BOSS系统。针对不同用途的应用系统，其数据信息泄露风险分别分析如下： 管理类应用系统数据泄露风险 以OA系统为例，公文内容通常包含企业战略决策、市场营销策划、财务报表、工程设计方案、重大会议纪要等内容，均属于商业秘密的范畴。在这些公文处理过程中出现的风险点主要有： 1）内部人员的越权和违规操作，如：非法携带、非法发送、非法打印； 2）商业秘密公文明文存储和流转； 3）黑客/木马的信息窃取； 4）商业秘密公文的可流转渠道多，流转不可控。 而OA系统的常见安全措施仅涉及到身份认证、日志统计方面，对公文内容缺乏保护能力，上述风险点都可能造成公文内容的泄露，给企业经营造成损失。 业务支撑类应用系统数据泄露风险 业务支撑类应用系统的数据有客户资料信息（个人客户、企业客户、渠道客户）、计费帐务数据（账单、详单）、统计分析数据（统计报表、经营分析报告）等内容，均属于敏感数据的范畴，也得到了运营商的重视，一般均采取了以下几方面的保护措施： 1）应用系统访问页面中信息的混淆，如查询出客户个人信息中的姓名、住址、身份证号码等信息，只显示开头和结尾的字符，中间字符采用***显示的方式，有效避免了页面中敏感内容的泄露使用； 2）应用系统运维的访问控制，通常采用堡垒机的方式，对系统管理员、数据库管理员进行身份认证、访问控制和操作行为审计，防止他们进行违规越权的操作，恶意修改数据或超范围获取数据内容。 但上述保护措施也存在不足，对敏感数据保护还存在欠缺： 1）应用系统访问页面中通常都具有数据导出功能，可将系统内的数据形成数据文件保存到计算机本地，数据文件就可以被任意使用； 2）应用系统数据库的备份、数据导出都可以将系统内的数据以文件形式保存到计算机本地，数据文件就可以被任意使用。 对业务支撑类应用系统数据文件内容缺乏保护，会造成敏感信息的泄露，给企业的生产经营造成重大损失。 泄露风险的应对措施 通过上述分析，可见数据文件存在的主要问题有： 1）文件以明文方式存储，任何人员只要得到文件即可轻易打开读取或复制内容； 2）文件与当前人员无任何关联，可以任意发送给内部或外部人员，文件的分发和流向不可控； 3）文件的使用环境以及编辑、复制、打印等使用操作上无任何限制，无任何使用记录，无法审计。 其应对措施主要有： 1）数据文件明文存储、内外部人员的信息窃取：通过对数据文件进行加密，形成密文文件； 2）内部人员的越权和违规操作：使用安全的身份认证方式，对文档操作进行细粒度授权和管控，对文档的授权和使用进行详细审计； 3）数据文件的流转渠道不可控：对文档在内部的分发授权进行控制，对文档向外部发送的权限进行控制，云桌面/虚拟化移动办公控制文档不落终端；