結合電信運營需求防止用戶數據泄密

　　電信運營商的網絡和業務系統作為與人們的生活、工作密切相關的信息載體，承載著海量而又敏感的資料內容。電信運營商更加關注信息保護，這同時也是電信企業的市場公信力與責任感的體現。

　　我們來分析、歸納哪些環節存在信息泄露的可能：首先是現場維護人員直接進入機房，訪問并操作服務器，將數據導出帶走；其次是維護人員通過維護終端使用客戶端管理工具訪問數據庫，將數據導出到維護終端并帶走；再有是維護人員通過前端服務器（如WEB、中間件等服務器）連接數據庫服務器，將數據導出至前端帶走；此外是開發人員利用對系統的了解，可以直接連接到后臺服務器，并導出數據帶走；另外，內部辦公人員從運維人員處獲取數據后，通過U盤、FTP、WEB上傳、郵件、QQ等方式將數據帶走；最后是報表系統前臺查詢人員訪問后端數據庫，導出并帶走查詢數據。

　　針對以上存在疏漏的環節，除了落實準入控制，較嚴厲的應對方式是采用底層透明加密技術，在敏感數據下載時增加控制措施，同時加強針對敏感數據的操作審計，對敏感數據向外部的傳遞過程進行監控和告警。

　　加密技術需結合運營商實際應用的需求，對于通過報表系統前臺、集中身份及訪問管理平臺導出的數據均做加密處理，內部人員可透明打開、編輯加密文件。經過加密的數據外發后，外部人員無法閱讀。在數據防泄密控制中，只對導出數據在下載過程中進行加密，不影響本地的其他數據。如果文件需要外發，可通過管理手段（管理員審批）放行；若文件需要離線使用，也可通過管理手段（管理員分配設置時限、設置密碼的USB-Key做認證）放行。

　　對于敏感數據，在所有人員通過U盤、郵件、QQ、FTP、WEB上傳、WEBMAIL等方式向外部傳遞時進行記錄并報警；對文件打印、刻錄等行為進行監控；對HTTP、HTTPS的WEB界面上傳下載文件進行監控；對修改了文件名的文件進行發現與監控；終端再次連接到網絡后，其在離網期間進行的文件導入導出操作可被傳回到審計服務器。

　　結合當前大部分運營商已經部署了集中身份及訪問管理系統的情況，啟明星辰公司提供的解決方案涉及兩大主要功能，一類是準入控制功能，一類是數據加密及審計管理功能。準入控制功能對試圖接入集中身份及訪問管理系統的終端進行準入控制，未安裝防泄露客戶端的終端則不允許接入。數據加密及審計管理功能一方面采用透明加解密技術對敏感文件加解密，另一方面結合數據泄露審計技術，監控對未加密的敏感文件的存儲和操作，并進行報警。采用數據泄露審計技術，可識別敏感信息，對維護人員、管理人員導出敏感信息的行為進行報警，記錄對敏感信息的使用，如果出現數據泄密，能將問題準確定位到泄密的賬號及個人。

　　為使敏感數據防泄密趨于完善，僅從技術上進行限制還不夠，管理及流程上需同步考慮和執行。建立一整套的數據防泄密系統，是一個長期且需要持之以恒的過程。

　　版權及免責聲明：凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀