文档介绍：福建移动经营分析系统信息安全管理
技术交流
2011年8月
目录
业界做法和我们的方案
经分安全面临的挑战
我们对安全的理解
应用案例分析
总结及后续计划
Oracle 机密
4
比以往更多的数据……
信息来源:IDC,2008
400 TB
每年快速增长
2003
2011
信息风险、威胁持续增加信息安全管理成为GRC战略的重要组成部分
罚款 1500万!
赔赏 5000万!
/art/2647/20060417/
前车之鉴
案例分析
后台和内部人员非法操作
不仅是中国移动的问题,其他运营商也头疼
中国移动因为4A做得好,事后都追查到了,引发我们的思考:如何能事前控制?
业务支撑系统泄露客户隐私的个案
北京联通:网维人员向“调查公司”出售客户详单
深圳电信:政企客户不员工向外部人员提供50余万条客户个人信息,引发公安介入调查
北京移动:利用业务支撑系统漏洞,修改客户密码后泄露客户资料和详单,引发刑事案件
吉林移动:业务支撑内部人员(经分人员)泄露客户详单
重庆移动:业务支撑内部人员(BOSS人员)泄露客户详单,引发涉黑案件
…
经分安全形势依然严峻,面临诸多威胁和挑战
经分面临的
安全威胁
随着经分的开放,面临着外部复杂信息网络环境带来的威胁
病毒、木马、黑客软件和黑客行为日益多样化,且越发的以经济利益为主导
安全的威胁已经从网络层、系统层、渗透到应用层
主机系统漏洞,以及WEB安全的威胁日益加剧
来自内部和合作伙伴的安全威胁和挑战,也不容忽视
构建端到端的信息安全管控-安全控制应该包括的“三个层面”
运维层面
系统层面
应用层面
权限控制、敏感度控制
数字水印
应用数据加密
电子审批
访问验证
隐私数据保护
…
主机系统安全
网络安全
统一密码管理
系统环境分离
…
省市县三级管控
合作伙伴管理
…
“三个层面”的安全控制有力支撑经分系统安全防控
通过“三部曲”来实现安全的有效防护
安全是相对的-安全管理的“三部曲”
威慑
作用:规范权限管理和数据访问过程,以及安全问题的处理方法,重点起到规范和警示作用。
安全手段:安全管理办法,包括合作伙伴管理。
预防
作用:尽可能降低用户因有意或无意带来的安全隐患。
安全手段:包括权限分配、敏感度控制、访问验证、数据加密、文档安全管控系统DSM、临时访问审批、模糊化处理、统一密码管理系统和数据防泄露系统DLP。
跟踪
作用:对敏感数据进行审计,并提供对安全问题的追查能力,是安全保障的基础能力。
安全手段:包括数字水印、统一日志管理、数据追踪、访问提醒、SQL跟踪和主机访问控制。
1
2
3