在技术高速发展的今天,网络通讯更加方便、高效的背后,隐藏安全管理上巨大的漏洞和风险。如何在信息技术高速发展及员工频繁流动的背景下,保证各省运营商信息系统的安全?病毒防护、外部访问控制、内外网物理隔离以及其它针对外部网络的访问控制系统,难以解决内部的信息安全问题,数据备份、灾难恢复可以保证系统损坏的信息丢失问题,但内部人员有意或无意、轻松地将计算机中的信息资料、重要客户信息通过各种方式泄露出去,这种信息流失(特别是一些涉密资料、客户信息)可能给企业造成技术上、客户经济利益上、品牌价值上的损害,同时也是难以防范的。
我们知道,各省运营商在总部规定的基础上,也采取了相应的技术措施和规定来降低客户信息泄露的风险,对规范客户信息的访问和使用起到了相应的作用。但是保护好客户信息,仅从管理上提要求是不够的。单靠管理手段的限制无法从根本上解决客户信息泄露的问题。由于客户信息涉及的系统和人员很多,必须从技术手段上提供针对性的支撑和限制,制定完善的信息安全管理办法,采取合理的综合管控手段,配合切实有效的管理,才能起到实效。亿赛通针对运营商服务业的特点,在数据泄露风险方面做了如下几点分析:
1) 管理人员缺乏管理手段
许多文件在通过MSS系统中OA平台发布和下载使用时,任意一个部门经理均可将该文档拷贝传输给其以下级别的员工或是企业外部的人员。当前的技术手段无法进行管理控制,因此造成数据泄露的风险。
2) 内部工作人员操作违规
不管是经理级别还是普通员工级别,都可以通过正常手段访问CRM系统,下载客户资料。这些资料下载到员工的本地计算机中,通过U盘拷贝到企业外部,必然存在泄露风险。
3) 运维人员权限过大
信息系统、应用软件、网络设备、数据采集、数据加工以及数据应用等等具体信息化手段,需要进行IT环境的建设、维护、升级和换代这样的工作进行支撑,这个过程中必然有IT环境的运维者参与到其中。这类人员身份比较特殊,他们中间有大量的人员直接拥有IT深层技术能力,可能在运维过程中直接、间接的获取到企业核心数据。
4) 代理商或合作伙伴行为不受控
各代理商人员只要通过合法身份进行应用系统,其下载和使用数据的行为将不受控,因此造成大量的数据泄密。
5) 外部非法人员身份仿冒
运营商由于行业特殊性,经常会收到外部各类方式的攻击,包括病毒、木马、欺骗、拒绝服务攻击等等。其主要目的除了破坏系统之外,更核心的目标则是窃取运营商的核心资料。
明确数据安全建设目标后,需要建立行之有效的管理体系,确实实现数据安全管控目标:(1)4A平台的安全加固;(2)BSS、MSS等应用系统重要数据下载安全防护;(3)终端重要数据传播全生命周期的管控;(4)智能移动终端的安全访问。