DOIT 发表于:14年10月21日 17:46 [来稿] DOIT.com.cn
据媒体报道,国内某电信运营商的第三方合作公司技术人员,因个人利益驱使,在处理技术服务期间勾结内部员工,利用工作之便潜入电信运营商办公内网,非法下载几百万条核心数据并出售牟取暴利,近年来,信息安全事件频频,同样,在今年年初,也出现多家电信运营商内鬼泄露公司客户信息牟利事件。
随着国内各大运营商的快速发展,其核心业务系统积累和掌握了大量的客户信息、生产数据和运营信息,这些数据涉及到运营商的自身发展、公民隐私、国家政策等众多方面,然而诸多信息安全事件背后,隐藏着运营商在信息安全防护方面存在管理制度缺失、系统管理不规范、技术防控手段支撑不到位等诸多信息安全问题和风险,同时也严重损害了公司利益,破坏了公司声誉,更有甚者危害到国家利益。华途作为第一批通过国家解放军、公安部及国密局信息安全监测多方认证的信息安全企业,针对运营商特性做了以下几点分析:
1、终端数据信息安全
用户从各类应用系统中下载数据,人员操作产生的数据,存储在个人终端中,人员主动泄密等问题,可能带来信息安全隐患,造成严重损失。
2、数据流转安全
由于业务需要,数据经常会经过业务系统或者内部网络进行交互传输,在该过程中,可能存在数据网络窃取,误操作等问题,使企业面临信息安全威胁。
3、应用系统的信息安全
各类应用系统中,存储着大量行业核心资料,如何保证各应用系统的信息安全。
运营商的业务支撑网络存在区域分散、数据分散、系统繁多、环境复杂等特点,在各个分散区域和系统中保存了大量的客户资料和企业核心数据,员工由于工作需要,经常会在终端下载使用和传递这些核心数据,数据在不同的阶段均存在不同的风险点。
虽然,各大运营商也纷纷采取了相应的技术措施和规定来降低信息安全泄密事件,虽然在规范客户信息的访问和使用方面起到了一定的信息安全防护作用,但是对于企业信息安全防泄密,仅从管理制度上提要求是不够的,单靠管理手段的制约是无法从根本上解决敏感信息泄露的信息安全问题的。必须从技术手段上提供针对性的信息安全支撑和限制,采取合理的综合管控手段,配合切实有效的管理,才能起到信息安全防护实效。
华途凭借在信息安全领域多年专研,以加密为核心,以认证为基础,以管控为辅助,以审计为补充的多种技术手段,针对分析出的信息安全风险点建立了一套完善的信息安全解决方案(https://www.huatusoft.com/solulist-6.html),从数据的生产及流转全生命周期管控,并且对应用系统(BSS、OSS、MSS等应用系统)数据下载时的数据落地安全的问题, 确保整体数据生命周期安全,全方位保障企业信息安全。
1、对运营商行业内部系统(OA、BSS、OSS、CRM等)能够实现与各应用系统的无缝集成,并且实现终端和应用系统数据的安全交互;
2、具有高度的模块化和扩展性,可以根据运营企业信息系统发展的需要,扩展其他功能;
3、安全性,支持双设备热备机制,确保平台能无间断安全运行,当主机故障时,备份机器能够在用户无感知状态下立即自动切换成主机,维持系统正常运行,使信息安全失控几率将至最低。
4、数据应用的安全贯穿到应用的生命周期中,进行分阶段(事前主动防护、事中实时控制、事后处理)的进行防护
通过华途数据防泄漏(DLP)整体信息安全解决方案对运营商行业的核心数据和业务系统的数据泄漏风险进行管控,将有效增强数据泄密力度,为企业核心信息安全运行提供了强有力地保障,具体如下:
1、完善的信息安全体系,规范数据生命周期(创建、处理、交换、保存、流转)安全管控,加强企业信息安全事件处理的有效性;
2、实现核心数据分级信息安全管理,同时实现涉密数据在产生、流转、存储、使用等全生命周期进行管控,保障企业敏感信息安全;
3、具备大用户数信息安全管理模式,能满足大规模端点控制需求,支持分级部署,解决企业多元化组织体系,确保服务器负载均衡、运行稳定,建立可持续发展的信息安全模型;
4、丰富的行业信息安全实施经验,基于ISO 27001/20000体系认证,为多个行业提供标准化的信息安全服务。