內(nèi)部泄密事件爆運營商信息安全隱患
責(zé)編:admin |2014-10-22 15:37:09據(jù)媒體報道,國內(nèi)某電信運營商的第三方合作公司技術(shù)人員,因個人利益驅(qū)使,在處理技術(shù)服務(wù)期間勾結(jié)內(nèi)部員工,利用工作之便潛入電信運營商辦公內(nèi)網(wǎng),非法下載幾百萬條核心數(shù)據(jù)并出售牟取暴利,近年來,信息安全事件頻頻,同樣,在今年年初,也出現(xiàn)多家電信運營商內(nèi)鬼泄露公司客戶信息牟利事件。
隨著國內(nèi)各大運營商的快速發(fā)展,其核心業(yè)務(wù)系統(tǒng)積累和掌握了大量的客戶信息、生產(chǎn)數(shù)據(jù)和運營信息,這些數(shù)據(jù)涉及到運營商的自身發(fā)展、公民隱私、國家政策等眾多方面,然而諸多信息安全事件背后,隱藏著運營商在信息安全防護方面存在管理制度缺失、系統(tǒng)管理不規(guī)范、技術(shù)防控手段支撐不到位等諸多信息安全問題和風(fēng)險,同時也嚴重損害了公司利益,破壞了公司聲譽,更有甚者危害到國家利益。華途作為第一批通過國家解放軍、公安部及國密局信息安全監(jiān)測多方認證的信息安全企業(yè),針對運營商特性做了以下幾點分析:
1、終端數(shù)據(jù)信息安全
用戶從各類應(yīng)用系統(tǒng)中下載數(shù)據(jù),人員操作產(chǎn)生的數(shù)據(jù),存儲在個人終端中,人員主動泄密等問題,可能帶來信息安全隱患,造成嚴重損失。
2、數(shù)據(jù)流轉(zhuǎn)安全
由于業(yè)務(wù)需要,數(shù)據(jù)經(jīng)常會經(jīng)過業(yè)務(wù)系統(tǒng)或者內(nèi)部網(wǎng)絡(luò)進行交互傳輸,在該過程中,可能存在數(shù)據(jù)網(wǎng)絡(luò)竊取,誤操作等問題,使企業(yè)面臨信息安全威脅。
3、應(yīng)用系統(tǒng)的信息安全
各類應(yīng)用系統(tǒng)中,存儲著大量行業(yè)核心資料,如何保證各應(yīng)用系統(tǒng)的信息安全。
運營商的業(yè)務(wù)支撐網(wǎng)絡(luò)存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復(fù)雜等特點,在各個分散區(qū)域和系統(tǒng)中保存了大量的客戶資料和企業(yè)核心數(shù)據(jù),員工由于工作需要,經(jīng)常會在終端下載使用和傳遞這些核心數(shù)據(jù),數(shù)據(jù)在不同的階段均存在不同的風(fēng)險點。
雖然,各大運營商也紛紛采取了相應(yīng)的技術(shù)措施和規(guī)定來降低信息安全泄密事件,雖然在規(guī)范客戶信息的訪問和使用方面起到了一定的信息安全防護作用,但是對于企業(yè)信息安全防泄密,僅從管理制度上提要求是不夠的,單靠管理手段的制約是無法從根本上解決敏感信息泄露的信息安全問題的。必須從技術(shù)手段上提供針對性的信息安全支撐和限制,采取合理的綜合管控手段,配合切實有效的管理,才能起到信息安全防護實效。
華途憑借在信息安全領(lǐng)域多年專研,以加密為核心,以認證為基礎(chǔ),以管控為輔助,以審計為補充的多種技術(shù)手段,針對分析出的信息安全風(fēng)險點建立了一套完善的信息安全解決方案(http://www.huatusoft.com/solulist-6.html),從數(shù)據(jù)的生產(chǎn)及流轉(zhuǎn)全生命周期管控,并且對應(yīng)用系統(tǒng)(BSS、OSS、MSS等應(yīng)用系統(tǒng))數(shù)據(jù)下載時的數(shù)據(jù)落地安全的問題, 確保整體數(shù)據(jù)生命周期安全,全方位保障企業(yè)信息安全。
1、對運營商行業(yè)內(nèi)部系統(tǒng)(OA、BSS、OSS、CRM等)能夠?qū)崿F(xiàn)與各應(yīng)用系統(tǒng)的無縫集成,并且實現(xiàn)終端和應(yīng)用系統(tǒng)數(shù)據(jù)的安全交互;
2、具有高度的模塊化和擴展性,可以根據(jù)運營企業(yè)信息系統(tǒng)發(fā)展的需要,擴展其他功能;
3、安全性,支持雙設(shè)備熱備機制,確保平臺能無間斷安全運行,當主機故障時,備份機器能夠在用戶無感知狀態(tài)下立即自動切換成主機,維持系統(tǒng)正常運行,使信息安全失控幾率將至最低。
4、數(shù)據(jù)應(yīng)用的安全貫穿到應(yīng)用的生命周期中,進行分階段(事前主動防護、事中實時控制、事后處理)的進行防護
通過華途數(shù)據(jù)防泄漏(DLP)整體信息安全解決方案對運營商行業(yè)的核心數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄漏風(fēng)險進行管控,將有效增強數(shù)據(jù)泄密力度,為企業(yè)核心信息安全運行提供了強有力地保障,具體如下:
1、完善的信息安全體系,規(guī)范數(shù)據(jù)生命周期(創(chuàng)建、處理、交換、保存、流轉(zhuǎn))安全管控,加強企業(yè)信息安全事件處理的有效性;
2、實現(xiàn)核心數(shù)據(jù)分級信息安全管理,同時實現(xiàn)涉密數(shù)據(jù)在產(chǎn)生、流轉(zhuǎn)、存儲、使用等全生命周期進行管控,保障企業(yè)敏感信息安全;
3、具備大用戶數(shù)信息安全管理模式,能滿足大規(guī)模端點控制需求,支持分級部署,解決企業(yè)多元化組織體系,確保服務(wù)器負載均衡、運行穩(wěn)定,建立可持續(xù)發(fā)展的信息安全模型;
4、豐富的行業(yè)信息安全實施經(jīng)驗,基于ISO 27001/20000體系認證,為多個行業(yè)提供標準化的信息安全服務(wù)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧