通信世界网(CWW)4月6日消息 由人民邮电出版社主办的“2012(第四届)通信网络与信息安全高层论坛”在北京鸿翔大酒店举行,本次论坛以“深化防护 携手共筑安全新时代”为主题,会议针对通信网络与信息安全领域的重点和难点问题进行深入探讨,包括移动互联网安全、智能终端安全、云计算安全、增值电信企业网络安全、Web安全等,产业链合作伙伴积极参与此次盛会,携手共筑安全新时代。
启明星辰安全咨询顾问 杨乔森
杨乔森:感谢主办方给我们提供很好的机会和平台,为运营商客户和业界同仁在数据安全方面的服务实践,我觉得利用这个机会,把我们在这个方面所做的一些工作给各位进行一个交流和汇报。我演讲的题目数据安全隐患和服务实践,整个思路从三个方面展开,首先从数据安全方面进行一个概要分析,其次分析完相应安全隐患之后,通过安全咨询管理服务把相应云管端进行一个分析,以及在整个流程当中流转位置。最后,我们梳理出来这些相对信息和流转位置之后,通过一系列体系构建,把整个数据安全防护做起来。
大家看这张比较熟悉,CSDA泄密门到现在也不绝于耳,整个事件黑客人员,通过一系列动作把我们网民相关信息从百万级千万级到亿级用户信息泄露在了网上,这样一个事件对整个互联网行业冲击很大。这个事件还没有结束之前,一波未平一波又起在今年315晚会当中,央视媒体又报出在银行方面存在因为内部人员管理技术手段不善,通过简单廉价方式出售个人信息给相关单位,如果第一个CSDN泄密门更多是虚拟方面信息,或者内容模块,第二个事情315爆出来银行事件涉及到我们切身利益,直接涉及到资金安全。
前面讲完我们IT行业外围因为数据安全泄露导致问题,我们再看看自己。其实,从运营商自己角度来看,我们总结了几个例子,从09到2011年,包括相对用户详单,用户通话记录方面也存在相对泄露问题。可以这么说,我们运营商周边也处在数据安全危机四伏的环境。所以,这个问题直接会导致我们运营商企业在整个社会大众当中公信力下降。看完前面的例子,我们觉得这个数据安全方面是因为泄露导致的危机和风险是非常大的,我们仔细分析一下,这些泄露的原因,以及导致的途径。
在这个方面我们套用一下信息安全里面比较主流的方式,七分管理三分技术。我们也是从管理和技术两个纬度去分析,可能导致整个咱们数据信息泄露的一些原因,从管理方面,我们简单来讲,整个对内,对外人员在企业责任方面约束存在相应管理制度方面的缺失。然后,在技术方面可能就是一些防护手段不健全,直接导致了一些信息泄露。具体来讲管理方面,比如咱们第三方人员权限管理不到位,直接通过低权限方式接入到相应敏感信息,同时在咱们平台,后台系统,以及前台系统存在管理不严格的情况,也直接会导致一些恶意人员可能要把我们相对敏感信息进行泄露。
当然,技术方式我们可以提几点,首先就是WAP方式,在WAP存在很多安全应用,导致别有用心的黑客,通过渗透方式进行盗取信息,包括在事后对这些关键操作整个审计记录不是很完善等等原因,直接导致我们相对敏感数据泄露。
分析完我们敏感数据泄露原因之外,我们就要想这些泄露原因怎样通过梳理过程把信息进一步进行完善。在这里我们要提一下,在整个梳理过程之前,我们是通过敏感数据一个梳理方法去进行构建的,从右边环形图上可以看到整个梳理过程从三个纬度,从保护对象,操作实体后续的流程和操作当中进行梳理。总结来讲,我们通过业务整个信息梳理,包括帐号,结果信息,以及整个信息访问途径,最终落实到安全审计策略方面,从而我们把整个明确数据整个确定范围,承载载体,通过操作流程绘制出相应数据流,进而分析出数据流之后进行整个安全措施否认。
