2024年5月12日发(作者:电脑死机怎么办)
信息安全周报(基于ISO27001体系标准)泄密篇
王磊
ISO27001信息安全管理体系10大安全管理要素
1)安全策略
2)信息安全的组织
3)资产管理
4)人力资源安全
5)物理和环境安全
6)通信和操作管理
7)访问控制
8)系统系统采集、开发和维护
9)信息安全事故管理
10)业务连续性管理
一.
信息安全管理体系发展轨迹
对于信息安全管理问题,在上世纪90年代初引起世界主要发达国家的注
意,并投入大量的资金和人力进行分析和研究。英国分别于1995年和1
998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部
分《信息安全管理体系规范》,规定信息安全管理体系与控制要求和实
施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围
的唯一参考基准,是一个全面信息安全管理体系评估的基础和正式认证
方案的根据。国际标准化组织(ISO)联合国际电工委员会(IEC)分别
于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管
理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》,并
向全世界推广。中国国家标准化管理委员会(SAC)于1999年发布了G
B/T 17859《计算机信息系统安全保护等级划分准则》标准,把信息安全
管理划分为五个等级,分别针对不同组织性质和对社会、国家危害程度
大小进行了不同等级的划分,并提出了监管方法。2007年3月份制订了
与ISO/IEC 17799和ISO/IEC 27001相对应的《信息安全管理体系 实用
规则(征求意见稿)》和《信息安全管理体系 要求(征求意见稿)》,
预计在今明两年内发布。
二.
信息系统安全的等级
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息
安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促
进信息化建设,国家公安部、保密局、密码管理局和国务院信息化工作
办公室等,于2007年联合发布了《信息安全等级保护管理办法》,就全
国机构/企业的信息安全保护问题,进行了行政法规方面的规范,并组织
和开展对全国重要信息系统安全等级保护定级工作。同时,制订了《信
息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、
《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指
南》等相应技术规范(国家标准审批稿),来指导国内机构/企业进行信
息安全保护。
在《信息安全等级保护管理办法》中,对信息安全保护按照信息系统在
国家安全、经济建设、社会生活中的重要程度,在信息系统遭到破坏后
对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权
益的危害程度等因素确定等级,其等级见下表。
表 信息系统安全等级
保护等级 危害程度
对公民、法人和其他组织的合法权益造成损
国家有关管理规范和技
第一级
害,但不损害国家安全、社会秩序和公共利
术标准
益
督、检查
运营、使用单位自行监
行政法规 行政监督
对公民、法人和其他组织的合法权益产生严
国家有关管理规范和技
第二级
重损害,或者对社会秩序和公共利益造成损
术标准
害,但不损害国家安全
门进行指导
国家信息安全监管部
对社会秩序和公共利益造成严重损害,或者国家有关管理规范和技
第三级
对国家安全造成损害 术标准
国家信息安全监管部
门进行监督、检查
对社会秩序和公共利益造成特别严重损害,国家有关管理规范、技术国家信息安全监管部
第四级
或者对国家安全造成严重损害 标准和业务专门需求 门进行强制监督、检查
国家管理规范、技术标准国家指定专门部门进
第五级
对国家安全造成特别严重损害
和业务特殊安全需求 行专门监督、检查
在《信息系统安全等级保护基本要求》中,要求从网络安全、主机安全、
应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方
面,按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完
整、保密性以及数据备份与恢复等具体要求,对信息流进行不同等级的
划分,从而达到有效保护的目的。
三.
电子文件在信息安全中的状态
电子文件(包括文档、图片、数据包等)是企业体现数据流的主要表现,
记载着大量的敏感信息,始终处于被浏览、复制、修改、打印过程中。
通过网络,文件可以被转移和复制。因此,电子文件的安全环境是信息
安全范畴的薄弱环节,是防范的重点。
在没有进行安全防护的环境下,电子文件将通过以下渠道被泄露:
1)
内部网络:任何人可以通过内部网络获取任何文件。
2)
外部网络:外部人员可以通过外部网络的合法或非法访问主机、或
者通过电子邮件获取文件。
3)
存储介质:任何人可以通过移动介质(如U盘)获取文件。
由于存在这些泄露渠道,在《信息系统安全等级保护基本要求》中通过
用户角色、访问控制和介质管理等手段对电子文件进行控制,但仍然无
法对文件的内容进行控制,文件内容的泄露成为整个信息安全的漏洞源
头。
四.
电子文件安全系统的用途
随着企业信息化应用技术的普及,通过计算机,产生大量的电子信息并
存储在企业计算机中,彻底改变了过去以“纸”作为存储介质的文件管
理模式,取而代之的是电子文件或数据。如何来管理这些电子文件或数
据,社会上出现了以下几种模式:
1)
PC机分散管理:大部分企业通过个人,按照Windows文件夹的形
式进行管理。这种管理模式处于电子文件管理的初试阶段,完全凭借个
人的喜好进行管理,完全没有信息安全之感,文件基本上处于泄露状态。
2)
文件服务器集中管理:随着电子文件的增多,信息安全意识的增强,
依靠PC机分散管理已经不能适应企业管理的需要。许多企业采用计算机
进行集中管理文件,将正式的电子文件(有效)放置到服务器上,通过
分类进行管理。这种模式虽然解决了分散管理的一些弊病,但无法控制
文件的安全,同时,增加了文件被批量破坏的几率。
3)
管理软件强制管理:PDM、ERP和OA的应用,集中了文件服务器集
中管理的优点,使文件管理趋于规范化,是当前许多具有信息化管理意
识的企业常采用的模式。但是,这种管理模式虽然加入了角色、权限、
版本等内容,仍无法解决文件内容的安全性和机密性,并没有完全堵住
文件内容被泄露的渠道,不能真正达到信息安全保护的目的。
泄密事件:07年苏州弗克科技高铁配方泄密案,化工行业信息安全恐慌
泄密事件:08年LG泄密四川长虹集团
泄密事件:09年力拓矿产集团卷入国家商业机密,案值过7000亿。
五大因素可能导致企业重要数据泄漏
企业可以购买所有最高级的知名安全产品,但是还是无法改进数据丢失防护(DLP)水平,除非对员工进行深
化培训。对于DLP而言,技术固然是至关重要的,但是安全专家表示,用户的行为是保障重要数据安全性的
关键。
“DLP首先是个过程,技术只是将这个过程自动化的启动器,”Rick Lawhorn表示,他是佛吉尼亚州Richm
ond市的首席安全官。“这个过程需要教育和行为训练,还将将涉及人力资源、记录管理和合规。我们的目
的就是对数据所有者和数据保管者(员工)基于公司政策来进行持续训练,以减少违规的事情。”
根据从几个安全实践者的反馈信息来看,主要有五种方式可能让员工有意或者无意的丢失数据:
1. E-mail
IT管理员可以检查并阻止恶意电子邮件,但是用户仍然可能无意泄漏公司重要信息,例如他们无意将客户
信息或者知识产权信息复制粘贴到消息盒中。虽然很多时候收件人都是公司内部人员,但是用户也可能将公
司外部人员的邮件地址添加到收件人中。
与此同时,电子邮件过滤器并不能阻止每次钓鱼攻击。链接到恶意网站的URL将可能被点击,因为一个用户
可能无意中点击到恶意连接,然后感染更多的计算机,从而找到并盗取数据。
这也是为什么用户政策和行为训练能够改变局面的原因,Lawhorn和其他安全人士表示。公司政策中应该明
确哪些类型的内容用户可以发送,而哪些类型的内容用户不可以发送,包括客户的信用卡号码、公司的知识
产权信息和员工的医疗记录等。攻击者通常会使用新闻事件作为恶意链接的诱饵,一旦点击,就会链接到恶
意网站,然后在用户的机器上安装恶意软件。行为训练计划可以通过不断的警告员工恶意社会工程的危害来
降低这种风险。
2. 拼接的危险
即时消息器(如QQ和MSN)已经成为员工们的日常应用程序,员工通常依赖于这些程序来远程与老板或者同
事联系。沿着这条路线,攻击者又发现了发送恶意链接和附件的方法,通过创建看起来像同事的伪造的帐户,
并向其发送消息。而且很多IM应用程序都是可以免费下载的,一旦安装,就很难受到企业IT部门的控制。
像电子邮件问题一样,这也是为什么用户政策和行为训练很重要的原因。公司政策需要明确规定IM可以发
送或者不可以发送的消息类型。
3.滥用社交网络
当IT部门努力降低电子邮件和IM带来的威胁的同事,攻击者也开始将其攻击方向转移到了社交网络上,如
LinkedIn,Myspace,Facebook和Twitter。结果证明,攻击者们可以利用这些社交网络进行恶意攻击。
对于某些社交网络而言,点击链接是很自然的事情,但是攻击者们就是利用这一点,伪装成用户的朋友发送
包含恶意链接的消息给用户,只要点击这些链接,用户的计算机就会被感染。Prudent Security的总裁Ch
ristophe Veltsos表示,“不要点击任何链接,除非你希望你的计算机受到零日攻击。”
用户行为培训必须强调攻击者在社交网络埋藏恶意链接手段,不管是朋友要求你加入LinkedIn或者Myspac
e上的图片都可能藏着恶意软件。
4. 密码问题
这又是另一个老问题,但是攻击者却屡试不爽。现代社会用户都会有一大串的密码需要记住,用来访问各种
程序,从电子邮件程序到社交网络帐户以及银行网站等。由于记忆范围是有限的,人们总是很容易忘记不常
用程序的密码,而他们的方式就是所有的帐户都使用相同的密码。
“为不同的网站使用相同的密码其实是很危险的,每个站点都有漏洞,都可能被攻击者所利用,”Daniel
Philpott表示,他是OnPoint咨询公司的信息安全官。
Lawhorn表示这是员工用户政策需要解决的另一个问题,公司政策应该要求员工为每个与工作相关的帐户使
用不同的密码(字母大小写和数字)。
5. 拥有太多访问权限
另一个问题就是员工通常能够畅通无阻地访问很多企业应用程序,甚至那些与他们工作无关的程序。如果有
哪名不满员工想要报复公司,那么极有可能访问公司系统敏感区域盗取重要数据,从而给公司带来严重影响。
安全专家表示,最佳防御方式就是让员工只能访问与他们工作相关联的应用程序和数据库
员工盗取电子图纸方法及对策
泄密行为概述及常规做法
在很多涉及工程设计的单位(如建筑、模具、电路、广告、机械等),
电子图纸的应用极为普遍,而电子图纸的丢失、被盗对企业利益的影响
是显而易见的,如果被竞争对手获取,甚至可能造成致命的打击。因此,
对于这类企业,电子图纸的保密显得至关重要。绿盾信息安全管理软件
充分考虑了电子图纸的各种可能传播途径,制定了针对性的解决方案,
从而保证了电子图纸的安全。
我总结了电子图纸的各种传播途径以及相应的对策,有如下几点
:
移动存储器复制:
问题:
U盘、移动硬盘、手机存储卡等一切通过USB口及串口接入的移
动存储设备都很常见,也是最容易将图纸整批复制走的工具。就算USB
端口屏蔽也极易破解,采取物理破坏USB口方式既不方便,也不能解决
员工用其他端口接入问题。
解决办法1:软件封堵USB接口,打印端口,相关网络设备接口
困惑:公司内部交流不便,员工心理工作心理压力大,且管理麻烦,不
能很好的统一管理,特别对于一定数量电脑的公司更为显现。
2:硬件封堵,采用破坏外接端口,安装网络摄像头监视员工行为等,更
有用大铁柜锁起电脑主机
困惑:不尊重人权,造成员工心理负担加重。物极必反。
建议::软件封堵硬件接口,行政管理,规范外接设备使用权限,明确
人员、时间、地点、权限。
网络工具传输:
问题:
通过QQ、MSN、E-mail、网络U盘、BT、FTP等各种网络工
具向外发送图纸文件, 只要有网络,想用屏蔽软件或端口根本无法解决
文件通过网络发送的问题,除非在完全没有网络的环境里工作。没有网
络的工作环境又对工作带来不便。
监控软件:
优点:监控员工实时行为,详细报表说明,价格相对便宜。
缺点:1:不尊重人权,响应时间慢,往往不能作为防泄密主要手段,不
失为做事后追查手段。安装实施及维护较麻烦。
2:一旦有员工悄悄带走公司电脑硬盘,监控软件那就无从应对,特别是
在一些行政管理混乱的企业
加密软件:
安装加密软件后:图纸发送出去后,文件打开是乱码或根本打不开,但
不影响正常上网。
上网行为管理设备:
优点:部属方便,应用范围广,适合成熟网络环境,价格相对较高,国
内最早产品-网康,国内最大客户应用产品-深信服,台湾最大品牌-守内
安。
缺点:产品价格较高,后续费用较软件高。
建议:近两年上网行为管理设备明显优于监控软件,相对简单的部属方
式着实让不少CIO省心,且具有强大的应用功能,强大的行为识别能力,
能从容应对各种实际企业需求。但这还不能解决泄密问题,作为辅助行
政管理手段及事后追查还是不错的。建议要配合加密软件来使用。,,
当然各企业可根据自身实际情况使用。
系统截图发送:
问题:
采用无盘站或集中存储的图纸,看上去很安全,其实员工可以
利用系统截图的方式将存储或通过网络方式将截图发送出去。
建议:如果应用监控系统或上网上行为管理设备,可制定详细策略,
禁止使用截图,或录像专家等应用。做到事前防御,安装加密软件后:
当打开加密过的图纸文件,截图功能被屏蔽或屏下的图片文件仍为加密,
做到无法泄密功能。, 无法从加密文件截图。
图纸打印带走:
问题:
在中小企业里,图纸打印有时候是很随意的,员工可以趁老
板或高层不在时,有意打印一些关键图纸,日积月累地带走。
建议:1:软件封杀网络接口,如确实需要打印,对打印过程、内
容进行实时监控
2:安装加密软件:可以禁止特定电脑对加密图纸打印.
3:明细打印权限,规定打印时间,做好打印日志记录,规范打印行为
拆走电脑硬盘:
问题:
在端口被屏蔽、互联网切断的情况下,某些员工采取极端方式
拆走硬盘,不辞而别地离职并悄悄带起公司电脑硬盘,这样能一次性带
走所有资料。
建议:1:好的行政好段,员工行为管理,员工信息安全教育。
2:安装加密软件后:软硬件联合加密,拆走的硬盘安装到其他电脑上,
图纸文件为加密状态,仍无法使用。
偷走电脑主机:
问题:
在端口被屏蔽、互联网切断的情况下,员工可能没有足够时间拆
取硬盘,而直接盗取电脑主机,然后不辞而别地离职。根据中国法律,
电脑主机价值不能构成职务侵占罪立案条件,企业无法通过法律途径制
裁员工,资料被盗却无法衡量。
建议:1:加强行政管理,做好资产管理,推介使用 ,及时了解资产
信息。
2: 安装加密软件:当电脑被盗后,被盗电脑开机后无法连接服务器验
证,客户端自动关闭,且文档资料为加密状态无法使用。
3:加强企业内部视频监控弱电网络,加强人员管理,加强物理管理。
未知笔记本介入复制及笔记本丢失
问题:
员工带私人笔记本电脑到公司,然后接入公司内部网络,趁机复
制走的大量图纸文件。还有公司笔记本外出办公时,员工可趁机复制走
大量笔记本上大量图纸文件。
建议1:加强网络准入控制,添加入侵检测设备推介(cisco、juniper)
及时发现未经许可外来笔记本及硬件设备
2:加强应用系统权限管理,如(PDM、CAPP、ERP)明确人员使用权
限,尽量避免下载,如确实需要下载需做到记录以便查询。
3:安装文档加密:如是私人笔记本电脑,就算复制走图纸文件,
也无法使用文件。如是公司笔记本,可设置脱离公司网络后不能使用电
脑上的加密文档,或脱离公司网络达到一定时间后无法使用电脑上的加
密文档。
技术:企业数据安全保护实施部署与应用
方案选型及部署需要注意的问题
数据的机密性保护是一个老生常谈的问题,现在,又由于可移动存储设备、笔记本电脑和手持智能设备的大
量使用,更进一步地加剧了企业机密数据的泄漏问题。
由于企业机密数据的泄漏不仅会给企业带来经济和无形资产的损失,而且,如果这些泄漏的机密数据是一些
与人们密切相关的隐私信息,例如银行帐号、身份证号码等信息,那么,还会带来一些社会性的问题。
因而,一些国家就针对一些特殊行业制定了相关的数据保护法案,来强制企业必需使用相应的安全措施来保
护机密数据的安全。应用数据加密就是保护数据机密性的主要方法。一些需要遵从相应数据安全法案的企业
就必需在企业中部署相应的数据加密方案来解决机密数据的泄漏问题。
下面针对企业在采用和部署数据保护过程中可能会遇到的一些问题进行解答,以帮助大家理清观点,分析问
题所在:
企业在数据安全保护方案选型及部署方面需要注意哪些问题?
1、在没有完全了解数据加密解决方案的能力和局限性的前题下,企业就直接选择和部署该产品。
2、许多中小企业没有足够的技术人员来执行数据加密解决方案的部署。
3、在部署数据加密解决方案时缺少充分的准备和规划,并且没有经过测试就直接投入使用。
企业在部署数据加密解决方案的过程中应当尤为注意以上几点,我们需要的是一种高效的部署方法来指导企
业完成数据加密解决方案的部署。
企业部署数据加密解决方案应该遵循或参考哪些步骤?
1、确定加密目标和选择加密技术和产品。
2、编写数据加密项目的规划和解决方案。
3、准备、安装和配置加密软件或硬件。
4、数据加密解决方案的测试和最终使用。
确定加密目标和选择加密技术
如何确定加密目标和选择加密技术?
如果在应用数据加密之前没有确定明确的目标,分析企业中需要应用数据加密的地方,那么,数据加密就无
从谈起。
1、确定加密目标
明确企业网络中哪些方面需要使用数据加密,也就是确定加密的目标和需要加密的位置。通常,我只需要搞
清楚下列所示的这些内容,加密的目标也就找到了:
1、有哪些机密信息会出现在服务器、工作站、笔记本等可移动存储设备或手持智能设备上?这些机密信息应
当包括客户和雇员信息、财务信息、商业计划、研究报告、软件代码,以及产品设计图纸和文档,项目招标
计划和设计图纸等等。
2、上述这些机密信息是以什么文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格、
Word文档、数据库文件、幻灯片、HTML文件和电子邮件(E-Mail),以及文件代码和可执行文件等形式。
3、哪些用户的工作站、笔记本需要保护?例如,重要的管理人员、销售人员和技术顾问,还是包括所有雇员、
合作伙伴和承包商。
4、企业中哪些用户在使用笔记本电脑等可移动存储设备?例如,管理人员、合作伙伴或供应商。以及机密信
息是否会被复杂到USB设备或其它可移动媒介中?
5、企业中哪些员工会使用电子邮件(E-Mail)?这些电子邮件都从哪些工作站或笔记本电脑上发送的?
6、企业局域网中传输的机密数据是否安全?
7、企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?
8、企业员工进行WEB浏览等网络通信是否包含机密信息?
上述所有的机密信息和机密信息所存在的位置都必需通过应用数据加密来保护数据的机密性。
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1715528276a2631793.html
评论列表(0条)