当前位置:文档之家 › 信息安全合规监测解决方案

信息安全合规监测解决方案

  • 格式:doc
  • 大小:1.46 MB
  • 文档页数:17

下载文档原格式

  / 17

合集下载

大数据时代的信息安全问题与解决方案

大数据时代的信息安全问题与解决方案

大数据时代的信息安全问题与解决方案随着数字化时代的到来,大数据已经为人们的生活带来了很多便利,同时也带来了许多信息安全的问题。

个人、企业和政府等各种机构都在不断探索如何提高信息安全水平,以保护自己的数字资产不受侵袭。

一、大数据产生的信息安全问题1.数据泄漏在大数据时代,各类信息都被数字化,并存储在不同的服务器中,因此,数据泄漏也成为了一个存在于任何时候的威胁。

黑客、病毒等恶意软件的攻击,以及企业信息的内部泄漏、失窃等情况都会导致数据泄露。

2.数据篡改与数据泄露相对应的是数据篡改,也就是别人在未获得许可的情况下修改或更改你的数据。

一旦数据被篡改,就会产生重大的影响。

以证券交易为例,如果黑客修改了投资信息,就会导致资金的大量流失。

3.隐私泄露大量个人信息被数字化后,隐私泄漏也成为了一个大问题。

像我们的姓名、地址、电话号码、生日以及社交账号等个人信息都可能被恶意程序攻击者获取,从而导致隐私泄露。

二、大数据时代的信息安全方案1.数据加密技术数据加密是目前最常用的信息安全技术之一,数据加密可以帮助用户在授权使用时保持数据的完整性和机密性,防止数据被篡改。

对于企业来说,这种技术可以防止黑客窃听和窃取知识产权等违法行为。

2.身份识别技术身份识别技术可以帮助保护隐私,防止身份被窃取,也可以帮助快速辨别非法访问和行为,并实时响应。

通过这种技术,企业可以提供更加安全、可靠的信息服务。

3.网络安全设备许多企业都会依靠防火墙、入侵检测软件、反病毒软件等网络安全设备来保护其数据不受攻击。

不仅如此,企业还需要实施防范措施来打击网络攻击者,以确保其信息系统的稳定性和安全性。

4.合规性标准每个行业都制定了一些标准来保护其数字资产的安全,如银行、电子商务行业等。

根据行业的不同,企业需要制定相关的安全和隐私政策,并严格按照标准进行实施,以防止数据泄露、身份盗窃等问题的发生。

随着大数据时代的到来,我们需要不断学习、提高和更新技术,以更好地保护自己和企业的数据。

M2-S5100数据库T系统安全、合规、审计、监控解决方案建议书

M2-S5100数据库T系统安全、合规、审计、监控解决方案建议书

4 地址:深圳市高新技术产业园高新南六道迈科龙大厦 Tel:0755-61688881 FAX:0755-61688111
M2-S5100 数据及数据库统一安全解决方案
1.4.该解决方案的价值
保护您的数据库及核心数据资产,提升核心竞争力; 提高对数据库访问的可控度,保证数据资源按企业规章使用; 帮助您满足合规/审计的要求; 简化您应对合规/审计的工作。
如果有人问您: “谁在什么时候以什么方式访问过数据库里什么 样的数据?”您能迅速的回答出来吗?甚至您可能不能回答这个问 题,说明您目前也不能确保数据库的安全性。 数据,作为政府及企业核心资产,越来越受到关注,一旦发生非 法访问、数据篡改、数据盗取,将给政府及企业带来声誉及经济上的 巨大损失。数据库作为数据的核心载体,是整个安全的核心。 目前数据及数据库的安全常常遇到以下主要威胁: (1)数据资源及数据库被过度滥用、恶意访问、内外部攻击、 甚至遭遇数据偷窃,不能及时地发现这些恶意的操作; (2)无有效的技术和管理手段,数据资源拥有者无从掌握数据 使用者对数据的访问细节,从而无法保证您数据安全的管理; (3)关键敏感的数据在什么地方?谁在使用这些数据?您并不 知道类似 “5W” — “谁 (Who) 用什么方法 (What) 在什么地方 (Where) , 什么时间(When) ,对你的数据做了什么 (How)。 ”的问题。 (4)当数据库正在遭受恶意访问或攻击时,您不能及时地追踪 并拦截这些恶意操作; (5)数据库遭受恶意攻击、访问后,您不能追踪到足够的证据; (6)来自内部的威胁,特权用户(DBA、数据库维护人员、外保 人员)修改配置、改变或偷窃数据,没有明确的职责分工。
数据库主动安全、合规、审计、监控 解决方案建议书
M2-S5100 数据库系统安全网关

信息安全合规管理工作

信息安全合规管理工作

信息安全合规管理工作
信息安全合规管理工作是指在信息安全方面制定和执行合规性措施,确保企业或组织的安全性和合规性。

以下是信息安全合规管理工
作的主要职责:
1. 制定和执行企业或组织的信息安全和规范。

2. 负责识别和监测所有的信息资产,包括硬件、软件和文档等。

3. 制定和执行适合的信息安全管理措施,包括技术和管理方面
的措施。

4. 管理和监控信息安全事件及其应对措施。

5. 确保业务流程的安全性,包括各种信息安全指标的监测和报告。

6. 组织并参与信息安全培训、教育和宣传活动,提高员工的信
息安全意识。

7. 遵守相关的信息安全法规和标准,确保企业或组织的合规性。

8. 定期进行信息安全风险评估和内部审核,发现并纠正问题。

9. 维护与管理信息系统安全,实现三重保护措施,并解决安全
事件。

10. 向上级管理层和相关部门汇报信息安全合规管理情况和明确
比对安全合规标准,实行合规标准的监督和执行等。

综上所述,信息安全合规管理工作是企业或组织信息安全建设的
一个关键领域,具有很高的重要性和必要性。

为了确保企业或组织的
安全性和合规性,信息安全专业人员需要在工作中认真执行这些职责。

信息安全管理中的合规性要求与控制措施(五)

信息安全管理中的合规性要求与控制措施(五)

信息安全管理中的合规性要求与控制措施随着信息技术的迅速发展,互联网的兴起和数字化时代的到来,信息安全问题日益凸显。

对于组织机构而言,信息安全管理已经成为一项必不可少的工作。

在信息安全管理中,合规性要求和控制措施是重要的方面。

1. 了解合规性要求在信息安全管理中,了解合规性要求是保障组织机构信息安全的前提。

合规性要求是指遵守法律法规、行业标准、合同约定等相关规定的要求。

这些要求旨在确保组织机构的信息不受到未经授权的访问、泄露、损坏和篡改。

信息安全合规性要求的具体内容包括但不限于个人隐私保护、信息安全方案、网络安全、数据保护和知识产权等。

2. 合规性要求对组织机构的影响合规性要求是保障组织机构信息安全的一个重要保障。

缺乏合规性,可能会导致组织机构面临重大的安全风险。

举例来说,如果组织机构没有遵守相关法律法规的要求,在信息安全事故发生时,可能会面临民事赔偿、行政处罚甚至刑事责任。

此外,合规性要求还会对组织机构的声誉和信誉产生重要影响,可能造成客户流失、合作伙伴的不信任等问题。

3. 采取控制措施保障合规性为了确保信息安全合规性,组织机构需要采取一系列的控制措施。

这些控制措施涉及技术、制度、人员等多个方面。

例如,组织机构可以建立信息安全管理体系,制定相关的信息安全政策和规程,并通过持续监测、风险评估和定期检查等方式,确保信息安全合规性。

同时,组织机构还可以采取技术手段,包括防火墙、入侵检测系统、身份认证、加密等,提升信息安全能力。

4. 合规性要求在不同行业的应用不同行业对于信息安全的合规性要求有所不同。

举例来说,在金融行业,银行和证券公司需要遵守相关的金融法律法规,包括客户隐私保护、数据安全和反洗钱等方面的要求。

而在医疗行业,医院和医疗机构需要确保病人的医疗记录和个人信息的安全,以及遵守相关的健康法律法规。

因此,在信息安全管理中,了解所处行业的合规性要求,才能更好地制定合适的控制措施。

5. 建立内部监督机制为了确保信息安全合规性的持续性,组织机构需要建立有效的内部监督机制。

APP应用隐私合规性实施方案

APP应用隐私合规性实施方案

APP应用隐私合规性实施方案随着智能手机和移动应用的普及,APP应用已经成为人们日常生活中不可或缺的一部分。

然而,随之而来的隐私泄露和个人信息滥用问题也愈发严重,引起了人们的关注和担忧。

为了保护用户的隐私和个人信息安全,APP应用隐私合规性变得至关重要。

本文将介绍一个APP应用隐私合规性实施方案,旨在帮助APP开发者确保其APP应用符合相关的隐私法规和最佳实践。

一、风险评估和合规审核首先,APP开发者应进行全面的风险评估,了解和识别其APP应用可能出现的潜在隐私问题。

这可以包括个人信息收集、存储和处理的方式,以及可能涉及的第三方数据共享情况。

根据评估结果,开发者可以制定相应的合规措施,并进行合规审核。

合规审核应包括对APP应用的隐私政策、用户协议和行为准则进行审查,确保其符合相关的隐私法规和最佳实践。

二、明确隐私收集和使用目的在APP中收集用户的个人信息前,开发者应明确收集和使用这些信息的目的,并在隐私政策中清晰地告知用户。

同时,应该避免收集与APP功能无关的信息,并在明确需要的情况下获得用户的明示同意。

例如,如果一个健康管理APP需要收集用户的身高、体重等健康数据,那么开发者应明确告知用户这些数据将用于评估用户的健康状况,并获得用户的同意。

三、加强数据安全保护为了保护用户的个人信息安全,APP开发者应采取一系列措施加强数据安全保护。

首先,应确保用户数据的加密传输和存储,使用安全的传输协议和加密算法,防止第三方窃取或篡改用户数据。

其次,应采取访问控制措施,限制对用户数据的访问权限,确保只有授权人员能够访问和处理这些数据。

此外,开发者还应建立灾备和应急预案,以防止数据丢失和系统故障。

四、用户选择和权利保护APP开发者应尊重用户的选择和权利,确保用户能够自由选择是否提供个人信息,并能够随时撤回对其个人信息的授权。

开发者还应提供用户信息访问、修改、删除等权利,并设立相应的渠道和流程供用户行使这些权利。

信息安全等级保护与解决方案

信息安全等级保护与解决方案

信息安全等级保护与解决方案信息安全是当今社会中一个十分重要的领域,尤其是在数字化和网络化的环境下,各种信息安全漏洞和威胁随之而来。

因此,信息安全等级保护和解决方案变得至关重要。

以下是一些常见的信息安全等级保护和解决方案的例子:1. 加强网络安全:通过建立有效的网络安全策略和防火墙来保护企业的网络系统,防止网络攻击、病毒和恶意软件的侵入。

2. 数据加密:对重要和敏感的数据进行加密,以防止数据泄露和未经授权的访问。

同时,建立有效的数据备份和恢复系统,以保证数据的安全性和可靠性。

3. 安全认证和访问控制:建立有效的安全认证和访问控制机制,对系统和数据进行严格的访问权限管理,确保只有经过授权的用户可以访问和操作系统和数据。

4. 安全意识教育:加强员工的信息安全意识培训,使其能够识别和应对各种信息安全威胁和攻击,从而减少内部安全风险。

5. 安全审计和监控:建立有效的安全审计和监控系统,对网络、系统和应用进行实时的监控和审计,及时发现和应对潜在的安全问题。

这些信息安全等级保护和解决方案的实施可以大大提高企业的信息安全等级,减少信息安全风险,并保护企业的核心业务和机密数据。

同时,信息安全技术和方法也在不断发展和演变,企业需要及时关注和应用最新的信息安全技术,以保证信息安全等级的持续提升。

信息安全等级保护和解决方案是企业在数字化时代面临的重要任务之一。

随着信息技术的发展和普及,企业面临的信息安全威胁也变得更加复杂和严峻。

因此,企业需要采取一系列有效的措施来保护其信息资产和业务运作的安全。

以下将继续探讨一些与信息安全等级保护和解决方案相关的内容。

6. 漏洞管理:定期对系统、应用和设备进行漏洞扫描和评估,及时修复和更新系统补丁,以减少安全漏洞对企业信息资产的潜在威胁。

7. 外部安全合作:建立外部安全合作关系,与专业的安全厂商、组织或机构合作,获取最新的安全威胁情报和解决方案,及时了解和应对新的安全威胁。

8. 持续改进:信息安全工作是一个持续改进的过程,企业需要建立信息安全管理体系,不断评估和改进安全策略、流程和控制措施,以适应不断变化的安全威胁和环境。

信息安全解决方案-网络安全系列


上网行为管理
网关
+
网络准入控制
系统
上网行为管理网关:对网络内的上网行为进行规范,并监控上网行为,过滤网页访问,限制上网聊
天行为,阻止不正当文件的下载等。
网络准入控制系统:接入单位网络的计算机进行安全准入控制,确保计算机的安全,有效防止病毒、 黑客程序被携带进入内网。
绿盾上网行为管理网关
绿盾上网行为管理网关提供了完善的网络监管功能,能够有效保证员 工合理使用网络资源,杜绝带宽资源滥用,加快上网速率,提升工作 效率;记录上网轨迹,管控外发信息,防止信息资产泄露;提供可视 化报表和详细操作日志,为网络管理和优化提供决策依据。
滥用网络对企事业单位的影响
引发安全威胁:
网页浏览(病毒、木马插件) 即时通讯(病毒文件传输) P2P文件共享(恶意代码)
生产力下降:
网页浏览(非工作活动) 即时通讯(聊天) 游戏、听歌、看电影
机密信息泄露:
网页浏览 QQ文件传输泄密 邮件泄密
带宽资源的滥用:
网页浏览 即时通讯
P2P工具下载、在线游戏
绿盾网络准入控制系统
安全管理与访问控制
根据用户设置的安全策略,对接入用户和终端进行访问控制管理:
(1)对于可疑的计算机终端或设备、恶意尝试认证的用户,支
持强制隔离下线和锁定功能; (2)对于不符合安全策略的计算机终端进行隔离,并提供向导
式服务将其转到隔离区进行修复;
(3)对于能进入安全规划区的访客,允许访问Internet,但安 全访客区与内网完全隔离; (4 )对接入用户或终端进行 VLAN的分配管理,有效的对网络 访问权限进行控制。
合理分配带宽资源
优化带宽使用、提升工作效率、保护IT资源。

行业发展中的合规问题及解决方案

行业发展中的合规问题及解决方案一、行业发展中的合规问题随着社会的不断进步和科技的迅速发展,各行各业都面临着日益复杂的合规问题。

在现代经济体制下,企业要想在竞争激烈的市场中生存并取得长期发展,必须遵守法律法规、符合道德伦理,并积极推动可持续发展。

然而,在行业发展过程中仍然存在许多合规难题需要解决。

1. 法律法规遵从和执行问题在一个国家或地区,不同行业都有相应的法律法规来约束企业的经营行为。

然而,由于人们对法律法规了解不足或者企业缺乏相关配套措施,导致部分企业在实践操作中出现违反法规现象。

例如,在环境保护方面,一些工厂可能没有有效处理废水和废气等污染物的设备和流程,从而引发环境污染或违反排放标准。

2. 数据隐私和信息安全问题随着数字化时代的来临,数据已成为企业最宝贵的资产之一。

因此,数据隐私和信息安全成为了企业必须解决的重要问题。

在行业发展中,泄露客户信息、数据被盗用或丢失等事件屡见不鲜,对企业和消费者造成了巨大的损失。

在此背景下,企业需要制定有效的信息安全措施,并加强员工教育与意识,防止数据安全事故的发生。

3. 知识产权侵犯问题知识产权作为企业竞争力的核心要素之一,在行业发展中面临着被侵犯的风险。

例如,一些企业可能未经许可就使用其他公司的专利技术、商标或版权内容,违反了知识产权法律法规。

这不仅会导致行业内不公平竞争现象,还会削弱创新能力和企业形象。

因此,建立健全的知识产权保护机制是行业发展中必需解决的合规问题之一。

4. 腐败和贪污问题腐败和贪污是困扰各国行政管理部门以及许多行业发展的常见问题。

在行政审批、商务谈判和供应链管理等环节中,存在着收受贿赂、滥用职权以及其他不诚信行为的风险。

这些问题不仅损害了企业和行业的声誉,也阻碍了公平竞争环境的形成。

因此,加强监管、提高企业透明度和培养良好商业道德等措施都是解决腐败和贪污问题的重要途径。

二、合规问题解决方案1. 加强法律法规遵从和执行企业应加强对法律法规的学习和理解,并建立健全内部合规制度,确保员工按照相关规定开展工作。

安全合规性服务实施方案

安全合规性服务实施方案一、背景随着信息技术的迅猛发展,企业信息安全面临越来越多的挑战和威胁。

为了保护企业的核心业务和客户数据免受不法分子的侵害,确保遵守法律法规的合规性要求,安全合规性服务成为企业的迫切需求。

二、目标与范围本实施方案旨在为企业提供全面的安全合规性服务,确保企业信息系统的安全性和合规性。

具体目标和范围如下:1. 确保企业信息系统和业务的机密性、完整性和可用性。

2. 遵守国家相关法律法规和行业规范的安全合规性要求。

3. 预防和及时应对安全事件,减少安全风险的发生和影响。

4. 提供安全咨询和培训,提高员工的安全意识和能力。

三、实施步骤1. 安全风险评估通过对企业信息系统的风险评估,确定安全风险的来源和影响,制定相应的安全策略和措施。

2. 安全策略制定根据风险评估的结果和合规性要求,制定适合企业的安全策略,包括政策制定、安全防护措施和权限管理等方面。

3. 安全合规性培训开展安全合规性相关的培训,提高员工的安全意识和对应急措施的熟悉程度,确保员工在日常工作中的合规性操作。

4. 安全事件响应建立安全事件响应机制,包括安全漏洞的监测、安全事件的收集和分析、安全事件的处理和修复、相关法律法规的报告等环节,确保安全事件得到及时而有效的处理。

5. 定期评估与优化定期进行安全合规性服务的评估和优化,根据企业的实际情况和发展需求,及时调整和完善安全策略和措施。

四、保障机制为了确保安全合规性服务的有效实施,我们将采取以下保障机制:1. 分配专门负责安全合规性服务的团队,包括专业的安全顾问和技术人员。

2. 提供全面的技术支持和咨询服务,解答相关问题并提供方案建议。

3. 与相关行业组织和安全服务提供商合作,确保服务的权威性和可靠性。

4. 定期进行服务评估和客户满意度调查,及时改进和优化服务质量。

五、预期效果通过实施安全合规性服务,我们预期达到以下效果:1. 企业信息系统的安全性和业务连续性得到有效保障。

2. 企业能够满足国家相关法律法规和行业要求的合规性要求。

信息系统合规性管理的常见问题及解决方法

信息系统合规性管理的常见问题及解决方法随着信息科技的不断发展,现代企业已经离不开信息系统的使用。

然而,信息系统管理面临的挑战也逐渐加大,尤其是信息系统合规性管理方面。

信息系统合规性管理是保障信息系统安全稳定运行的重要措施,关系到企业运营的可持续发展。

本文将介绍信息系统合规性管理过程中的常见问题及解决方法。

一、信息安全风险管理不到位信息安全风险是信息系统合规性管理的核心问题。

在信息时代,信息安全风险可以来源于社交网络、恶意软件、黑客攻击、网络断电等多种因素。

如果企业的信息安全风险管理不到位,很容易就会受到攻击,导致企业在短时间内遭受巨大的损失。

解决这个问题的方法主要有以下几点:1. 建立完善的信息安全管理体系企业应该建立健全的信息安全管理制度和流程,确保信息安全管理能够规范化、标准化地进行。

同时,应该加强对员工的安全意识培训,提高其安全意识和防范能力。

2. 对外部网络环境进行监控企业应该重视对外部网络环境的监控,包括过滤恶意网站、控制外部网络访问和防范DDOS攻击等,降低外部网络对内部网络的威胁。

3. 制定全面的应急预案应急预案是企业迅速应对各种安全事件的最有效措施。

企业应该根据实际情况制定全面的应急预案,包括对应各种安全事件的详细应对办法。

二、数据合规性不足在信息系统管理中,数据的保密性、完整性和可用性至关重要。

如果数据合规性不足,那么企业就容易受到窃取、篡改或破坏等威胁。

解决这个问题的方法主要有以下几点:1. 进行数据分类管理企业应该根据数据的重要性、保密等级等因素,将其分为不同的类别进行管理。

对于重要、保密的数据应该建立严格的权限管理机制。

2. 定期进行数据备份和恢复测试定期进行数据备份可以在发生灾害或数据损坏时保证数据完整性和可用性。

同时,应该定期进行数据恢复测试,确保恢复操作的有效性。

3. 加强数据加密和访问控制通过对数据进行加密和访问控制,确保数据的安全性和可控性。

在数据的传输和存储过程中,应该采用加密传输、加密存储等措施,保护数据不受非法访问。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全合规监测解决方案南瑞集团公司·信息通信技术分公司2014年1月目录第1章信息系统安全风险分析 (1)1.1 风险产生的背景 (1)1.2 风险产生的原因 (1)1.3 国家信息安全政策法规 (1)第2章信息安全合规监测技术研究 (2)2.1 信息系统安全发展趋势 (2)2.2 安全合规技术研究 (3)2.3 安全监测与控制研究 (5)2.4 信息安全研究成果 (7)第3章信息安全合规监测解决方案 (7)3.1 解决思路 (7)3.2 总体目标 (9)3.3 总体架构 (9)3.4 方案特色 (10)第4章典型案例 (11)第5章结束语 (13)第1章信息系统安全风险分析1.1风险产生的背景随着信息化建设的全面推广、网络规模的日益扩大,使得支持业务系统的网络结构也变得越来越复杂。

重要应用、网络设备、安全设备、服务器、数据库、中间件等的数量及种类日益增多,而各单位信息化运维人员不足,存在因维护人员误操作的风险,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,从而极大的影响系统的正常运转。

应用的深度融合、系统与数据的集中,带来了更高的风险集中,高度集中的数据既是业务的焦点,同样也是威胁的焦点。

虚拟化、云计算等新技术的引入,使IT技术设施的安全重心从终端转向服务端,使得带有明确界限的物理安全域向逻辑安全域转变,对信息安全运维人员安全防护能力提出了新的挑战。

1.2风险产生的原因分析近年信息安全事件本质及各类渗透方法与工具的原理,恶意用户能够成功实现对信息系统的破坏或攻击,主要利用系统安全漏洞、安全配置、安全状态存在的脆弱性,归纳如下:安全漏洞:由于系统自身的问题引发的安全缺陷,主要包括系统登录漏洞、拒绝服务漏洞、缓冲区溢出、蠕虫后门、意外情况处置错误等,反映系统自身的安全脆弱性。

安全配置:由于人为的疏忽造成的安全缺陷,主要包括系统帐号、口令、授权认证、日志管控、IP通信管理等配置不当,反映系统配置的脆弱性。

安全状态:由于系统运维管理不当引发的安全缺陷,主要包括系统运行状态、网络端口状态、进程、审计、管理措施等,反映了系统当前所处环境的安全状况。

1.3国家信息安全政策法规国家制定了信息系统等级保护基本要求及相关标准和规范,明确规定了我国的信息安全战略目标,并通过正式文件的形式将等级保护确认为国家信息安全的基本制度和根本方法。

《国民经济和社会发展第十二个五年规划纲要》对“加强网络与信息安全保障”提出了明确要求:“健全网络与信息安全标准规范,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。

加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、安全配置管控能力建设,确保基础信息网络和重点信息系统安全。

”《信息安全产业“十二五”发展规划》重点发展工作指出:“重点发展系统及网络脆弱性评估工具、安全配置核查类工具、信息安全等级保护支撑工具、信息系统风险评估工具、信息安全技术与产品的标准符合性评估工具,以及其他信息安全管理与服务支撑工具产品。

”,并明确指出“网络与信息安全配置监测技术”为重点发展的关键信息安全技术。

第2章信息安全合规监测技术研究2.1信息系统安全发展趋势随着信息化的发展,业务人员的安全意识和安全技能也在逐步提高。

最直接的体现为:传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为驱动的主动式安全建设模式。

从国际的安全发展动态来分析,NIST推出了一套SCAP框架来促进安全建设的执行,SCAP是一种用开放性标准实现自动化脆弱性管理、衡量和策略符合性评估的方法。

SCAP结合了一系列用来枚举软件缺陷和安全配置问题的开放性标准,SCAP利用这些标准衡量系统以寻找系统的脆弱性,并通过自动化的工具来进行检查和评估。

此框架和工具在美国得到大量的应用和高度评价。

国际法中将陆地和海洋进行划分的分界线被称为基线(Baseline)。

随着计算机的发展,基线被引入计算机领域,并将其定义为操作系统某一时期的配置的标准。

微软将基线的概念引入操作系统安全防护,建立微软安全防护体系,详细描述了实现安全运行的相关配置设置,微软安全防护体系中安全基线的元素包括:①服务和应用程序设置。

例如:只有指定用户才有权启动服务或运行应用程序。

②操作系统组件的配置。

例如:Internet信息服务(IIS)自带的所有样本文件必须从计算机上删除。

③权限和权利分配。

例如:只有管理员才有权更改操作系统文件。

④管理规则。

例如:计算机上的administrator密码每30天换一次。

传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。

日益增长的IT资产数量,无论硬件设施还是各类软件,高效安全的管理已成为大型企业关注的话题。

企业多年来的安全投资,是否产生了价值?这使企业开始考虑如何正确了解和评价企业安全风险,以及衡量安全工作成效的标准,并更加关注安全的监控和综合性分析的价值。

威胁的不断发展变化,使企业认识到安全投入的长期性,同时也更愿意获得在节约投资、加强主动性防御的安全建设方面的借鉴。

以技术平台支撑的合规管理工作正在越来越受到重视。

随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,《信息安全产业“十二五”发展规划》明确提出主动防御技术成为信息安全技术发展的重点,信息安全产品与服务演化为多技术、多产品、多功能的融合,多层次、全方位、全网络的立体监测和综合防御趋势不断加强,信息安全发展趋势朝系统化、网络化、智能化、服务化方向发展。

①、向系统化、主动防御方向发展信息安全保障逐步由传统的被动防护转向“监测-响应式”的主动防御,信息安全技术正朝着构建完整、联动、可信、快速响应的综合防护防御系统方向发展。

②、向网络化、智能化方向发展计算机技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、运行和服务的平台,对高效防范和综合治理的要求日益提高,信息安全向网络化、智能化方向发展。

③、向服务化方向发展信息安全产业结构正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为信息安全产业发展重点。

2.2安全合规技术研究安全基线标准充分依据信息安全技术体系和管理体系,借鉴ISO27002、ISO-20000、SOX、等级保护等技术和管理标准内容,创新信息安全基线标准和管理规范。

通过建立信息安全基线合规指标库,将信息系统等级保护基本要求、信息安全风险评估准则细化,进一步分解根据具体设备特性形成设备级的基线指标,形成可执行、可实现的检测项,实现技术体系和管理体系指标内容的落地。

安全基线标准包含以下三方面:1) 漏洞信息:漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。

由于漏洞信息由相应的国际标准,如CVE (Common Vulnerabilities & Exposures ,公共漏洞和暴露)就列出了各种已知的安全漏洞,因此系统的初始漏洞安全基线可以采用通用标准。

2) 安全配置:通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。

在安全配置基线方面,移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范,因为系统初始安全配置基线可以采用集体下发的标准。

3) 系统重要状态:包含系统端口状态、进程、账号以及重要文件变化的监控。

这些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态情况。

由于系统状态基线随着业务应用不同而不同,没有标准模板可借鉴。

我们通过对系统的状态信息进行一个快照,对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态安全基线。

安全基线检测技术2.3安全监测与控制研究安全状态度量技术安全基线合规检查结果为安全评估提供了坚实的数据基础和评判依据,基于信息安全风险评估模型,对安全问题、运行状态、漏洞情况进行综合评判,从网络、主机、数据库、中间件、应用等多方面度量信息系统安全状态,实现安全状态量化评估和展现。

信息安全闭环管理遵循PDCA思想,基于基线的信息安全闭环管理包括由策略、标准、执行、检查四个步骤组成的主流程,及具体化、自动化构成的分支流程。

主流程由安全策略形成安全标准,指导安全控制的执行,进一步进行事前、事中、事后的合规检查,最终修改完善安全策略;分支流程通过对安全标准具体化实现标准落地,并进行自动化合规检查,简化检查过程。

策略:结合应用环境下的安全防护需求,进行安全策略定义、发布和管理;总结上一循环中检查后的结果和问题,进行安全策略修改、重新发布和管理。

标准:根据安全策略,进一步形成安全技术标准和安全管理标准,安全技术标准包括设备安全配置基线、系统安全控制要求,安全管理标准包括项目管理流程安全要求、安全运维流程管理要求。

执行:以安全标准指导各项信息安全工作开展,根据管理标准进行项目管理、安全运维等流程控制,根据系统安全控制要求进行技术和安全管理控制,根据安全设备配置基线执行安全配置。

具体化:将安全标准细化分解成设备级可执行的指标,量化基线控制取值,形成控制项库和基线库,实现安全标准的落地。

自动化:基于控制项库和基线库实施自动化的安全状态和安全配置核查及合规分析,辅助事前、事中、事后的合规检查,提供更客观、更可信的检查分析结果。

检查:定时对信息安全执行状况进行核查,通过事前的安全配置检查和安全漏洞扫描、事中的违规审计分析、事后的取证调查完成安全合规检查。

2.4信息安全研究成果南瑞信通公司根据十余年丰富的信息安全实践经验和扎实的技术积累,并对FISMA(Federal Information Security Management Act,联邦信息安全管理法案)、微软服务器与桌面防护体系、华为ManagerOne等国内外信息安全防护技术进行调研与分析,参考了国家下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果,总结出信息安全防护路线逐步从SOC演进到安全基线,最终实现信息安全的ERP。

基于此,南瑞信通结合现行安全防护标准规范建立安全基线规范,开发信息安全合规与监控系统,采用通用的网络访问协议,通过远程连接IT资产对象,进行安全配置数据的自动采集与基线合规分析,实现安全配置的在线监测和评估,增强信息系统的主动防御能力。

第3章信息安全合规监测解决方案3.1解决思路首先,结合国家信息安全防护要求与近年国内外发生的信息安全事件为基础,制定统一的安全配置原则,形成完整的安全字典库。