【序】这个解决方案发表于2009年,现在看来,依然很有参考意义。现再次发表于TT安全,并进行一些修订。
1、数据泄露、信息篡改事件频发,企业信息保护面临挑战
随着信息技术的不断发展,数字信息的价值不断增加,成为一种重要资产,尤其是在过去的20多年里,做为信息的主要载体的数据库的应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用数据库来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,尤其是一些财务数据、客户数据等更是关系到企业生存的重要数据。而网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄漏和篡改变得更加容易。因此,信息系统数据的安全问题成为必须予以重视的大问题,特别是那些重要信息系统数据的安全,更成为关系国家安全、经济命脉、社会稳定等各方面的重要问题。
然而,这两年内,信息泄露、信息篡改等信息安全问题屡见不鲜,所有存在数据的地方,只要数据是有价值的,就存在风险,就有人会去想法子窃取、篡改、贩卖,从中牟利:深圳孕妇信息的“泄密光盘”、车主×××泄露、福彩中奖信息篡改、“力拓门”事件、以及外媒“精确预测”我国GDP事件,从个人隐私,到企业的商业秘密,甚至到政府国家的核心机密,都出现了不同程度的信息安全问题。
2、国家法律法规频繁出台
面对如此严重的问题,上到国家、下到各大部委、各行各业都已经意识到了数据安全问题的严重性和紧迫性,高频度地出台了大量的法律法规:
全国人大常委会在今年2月28日通过了刑法修正案(七)的表决,并且从颁布之日起实施。刑法修正案(七)第二百五十三条规定:
——— 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
———窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
———单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各相应条款的规定处罚。
2009年7月1日起开始实行×××第58次常务会议通过的《×××管理条例》,条例中第十四条、第二十二条、第三十九条第(四)项,反复强调禁止查阅、变更、删除×××的销售数据,并且构成犯罪的,将追究犯罪人及相关主管的刑事责任。
2008年6月28日,更是由国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,该法案被专家称为中国版“萨班斯法案”。基于该法案的要求,中国将近2000家上市公司将加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。2010年4月15日,财政部等联合印发通知,推出了《规范》的系列配套指引3个。应该说,《规范》的系列配套指引出台,标志着《规范》的落地又超前迈出了一步,使得《规范》的执行更具可操作性。
2010年3月25日,国资委发布了《中央企业商业秘密保护暂行规定》,要求加强涉及商业秘密的计算机信息系统、通讯及办公自动化等信息设施、设备的保密管理,保障商业秘密信息安全。
经过多年的征求意见,《保守国家秘密法(修订草案)》在2010年4月29日的十一届全国人大常委会第十四次会议上以144票赞成、3票反对、3票弃权得以通过。并将在10月1日起实施。新《保密法》设定了国家秘密的范围和密级,加强了对涉密信息系统的保密管理,尤其是接入管理,并新增了对互联网的监管。
3、信息保护与安全审计架构
伴随着数据安全问题的日益突出和信息保护需求的不断增强,信息安全业界从客户需求出发,推出了各种各样的信息保护技术、产品和解决方案。如何才能够行之有效的进行信息的防泄漏和信息保护呢?用户需求一个全面的、多层次的结构化的信息保护体系架构,体系架构如下图所示:
该架构将需要保护的对象划分为三个方面:静态信息(存储的数据)、动态信息(传输中的数据)及终端(数据承载主机)及其终端的使用者。针对三个对象的不同特性,采取不同的技术手段进行防护:
首先,是对静态信息的保护。最基本的静态信息保护就是数据加密,包括文档加密、磁盘加密等技术。此外,更为重要的是要建立数据的统一安全策略,贯穿数据产生、流转、销毁的全生命周期。例如,我们可以针对员工的工资信息制定这样一套安全策略:工资信息必须加密后才能通过email传输,禁止通过http或者https协议传输,只能存储在指定的服务器和数据库中,只有人力资源部门授权的帐号列表才能访问工资信息,等等。只有建立统一的信息安全保护策略,才能有效地进行信息保护,否则就可能出现策略真空,导致某个环节发生信息泄漏;或者出现策略冲突,使得信息的传递效率大大降低,影响正常工作。
其次,是对动态信息、也即信息在网络传输过程中的检测和保护。这是信息防泄漏和信息保护的最重要环节。由于网络技术的充分普及,信息传递的速度和传播的范围都极大提升。信息一旦透过网络造成泄漏,后果几乎无法挽回。动态信息保护有两个环节。
1) 防止重要信息由高安全区域向低安全区域的扩散:各种帐号、密码、客户信息、财务信息、工程图纸、设计文档、核心代码等机密信息一般都是存储在特定的服务器和数据库中。动态信息保护要求对这些服务器、数据库系统的网络连接进行监控和审计、借助统一的安全策略,检查各种违规的网络访问行为,例如通过FTP和Telnet指令获取服务器上的重要文件;通过SQL语句获取数据库系统重要的库表字段数据;等等。
2) 防止重要信息由内部网络向外部网络的泄漏:这是信息防泄漏的关键一环。我们知道,随着Web2.0技术的兴起,现在内外网之间的连接方式多种多样,例如各种即时通讯工具(MSN、QQ等)、WEB邮件网站(163、Gmail等)、P2P应用(迅雷、电驴等),以及论坛、聊天室。这些内外部通讯手段都有可能成为信息泄漏的途径。并且,这些泄漏途径从技术上来看大多基于HTTP协议,或者更为底层的UDP协议,端口也不固定,与正常的业务传输通道相同,防范起来十分不易,过严则可能影响正常业务开展,过松则可能功亏一篑。动态信息保护要求我们采用具备应用层协议检测技术的设备、并且要采用具备信息匹配技术的内容过滤引擎,智能地进行网络流量甄别。
最后,就是要对信息的使用者及其载体——终端进行监控和审计,这也就是终端安全监控与审计。因为绝大部分机密信息的泄漏都是内部人员造成的,而这些内部人员往往都是从终端将信息传播出去。在这个层面,信息保护就是要对人和终端进行管理。对人,就是要加强人员的安全保密意识的培训,并且要制定令行禁止的安全制度。对终端,就需要建立一套面向终端安全的管理系统,包括终端接入的控制、U盘外设等的接入控制、终端加固和运行监控、终端用户行为的监控与审计,等等。终端管理的目的是一方面确保终端的合法使用者无法违规,另一方面确保其他非法人员无法利用终端自身的漏洞进行违规操作。
在上述三个层面中,统一安全策略始终是信息防泄露和数据保护的核心。静态信息防护、动态信息防护、终端安全和人员安全管理都有赖于一致的、统一的、贯穿信息生命周期的安全策略。各种技术、工具和设备都是这些策略的执行者。
