在技术高速发展的今天,网络通讯更加方便、高效的背后,隐藏安全管理上巨大的漏洞和风险。如何在信息技术高速发展及员工频繁流动的背景下,保证各省运营商信息系统的安全?病毒防护、外部访问控制、内外网物理隔离以及其它针对外部网络的访问控制系统,难以解决内部的信息安全问题,数据备份、灾难恢复可以保证系统损坏的信息丢失问题,但内部人员有意或无意、轻松地将计算机中的信息资料、重要客户信息通过各种方式泄露出去,这种信息流失(特别是一些涉密资料、客户信息)可能给企业造成技术上、客户经济利益上、品牌价值上的损害,同时也是难以防范的。
我们知道,各省运营商在总部规定的基础上,也采取了相应的技术措施和规定来降低客户信息泄露的风险,对规范客户信息的访问和使用起到了相应的作用。但是保护好客户信息,仅从管理上提要求是不够的。单靠管理手段的限制无法从根本上解决客户信息泄露的问题。由于客户信息涉及的系统和人员很多,必须从技术手段上提供针对性的支撑和限制,制定完善的信息安全管理办法,采取合理的综合管控手段,配合切实有效的管理,才能起到实效。亿赛通针对运营商服务业的特点,在数据泄露风险方面做了如下几点分析:
1) 管理人员缺乏管理手段
许多文件在通过MSS系统中OA平台发布和下载使用时,任意一个部门经理均可将该文档拷贝传输给其以下级别的员工或是企业外部的人员。当前的技术手段无法进行管理控制,因此造成数据泄露的风险。
2) 内部工作人员操作违规
不管是经理级别还是普通员工级别,都可以通过正常手段访问CRM系统,下载客户资料。这些资料下载到员工的本地计算机中,通过U盘拷贝到企业外部,必然存在泄露风险。
3) 运维人员权限过大
信息系统、应用软件、网络设备、数据采集、数据加工以及数据应用等等具体信息化手段,需要进行IT环境的建设、维护、升级和换代这样的工作进行支撑,这个过程中必然有IT环境的运维者参与到其中。这类人员身份比较特殊,他们中间有大量的人员直接拥有IT深层技术能力,可能在运维过程中直接、间接的获取到企业核心数据。
4) 代理商或合作伙伴行为不受控
各代理商人员只要通过合法身份进行应用系统,其下载和使用数据的行为将不受控,因此造成大量的数据泄密。
5) 外部非法人员身份仿冒
运营商由于行业特殊性,经常会收到外部各类方式的攻击,包括病毒、木马、欺骗、拒绝服务攻击等等。其主要目的除了破坏系统之外,更核心的目标则是窃取运营商的核心资料。
明确数据安全建设目标后,需要建立行之有效的管理体系,确实实现数据安全管控目标:(1)4A平台的安全加固;(2)BSS、MSS等应用系统重要数据下载安全防护;(3)终端重要数据传播全生命周期的管控;(4)智能移动终端的安全访问。
获取收益:
1) 数据识别更加便捷
不是以某种类型数据保密为出发点,而是针对应用系统数据、终端数据进行保密,所需保护的数据针对性强。只要终端数据符合策略要求,用户无论是将数据文件保存、剪切、复制、上传到任意位置,数据将被强制加密控制,对用户完全透明无影响。
2) 安全管理更趋灵活
系统提供文档权限管理、审批管理、日志管理等多种管理手段,通过组合各种管理手段,更有效的对应用系统内文档权限(阅读、更新、打印、复制、另存等)、数据交换(与外界的数据交互)、数据操作(创建、复制、删除等)等方式进行多维度管理。
3) 应用集成更加紧密
针对运营商行业内部部署有各种不同功能的应用系统:如OA、ERP、BSS、OSS、CRM等等,本方案能够实现和以上各种应用系统的无缝集成,从而实现终端和应用系统数据的安全交互(上传解密,下载加密)。网关兼容HTTP、FTP、SMB等多种应用层协议,对于基于标准网络协议的常见应用系统都能提供完美支持,能够实现终端前台密文存储使用、服务器后台明文流转,消除文件从应用系统离线后的安全隐患。
4) 用户管理更加丰富
不仅仅支持AD、数字证书用户,还支持与MIS、LDAP等应用系统身份系统进行集成,提供更丰富的用户管理体系。
5) 扩展接口更加丰富
由于信息安全技术的不断发展,无论是保密手段还是破解手段,都处于快速发展的状态,因此,一个安全系统也必须适应这种要求,随着安全技术的发展而不断更新和扩展。本方案设计中考虑了这种需求,模块化的设计和标准的接口就为更新和扩展提供了很大的方便,用户在使用过程中,可根据需要更换加密算法、加入各种访问控制和审计等功能,配合文件级的透明动态加解密技术,和灵活的权限控制技术,实现更细粒度的控制。
在中国各大运营商安全防护体系的建设道路上,亿赛通必将发挥其更大优势和能力,为实现运营商的数据安全建设使命保驾护航。亿赛通曾与四川移动、江西移动、内蒙电信、广东电信、陕西电信、云南电信等合作伙伴一路偕行,不断打造出了安全、可靠、易用的数据安全防护体系,为运营商产业的发展做出了巨大贡献。今后的发展道路任重而道远,亿赛通将一如既往做好各大运营商的数据安全建设事业。
