電子信息安全

電子信息安全政策S027001信息安全管理體系10大安全管理要素1） 安全策略2） 信息安全的組織3） 資產(chǎn)管理4） 人力資源安全5） 物理和環(huán)境安全6） 通信和操作管理7） 訪問控制8） 系統(tǒng)系統(tǒng)采集、開發(fā)和維護9） 信息安全事故管理10） 業(yè)務(wù)連續(xù)性管理信息安全管理體系發(fā)展軌跡對于信息安全管理問題，在上世紀90年代初引起世界主要發(fā)達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規(guī)范》,規(guī)泄信息安全管理體系與控制要求和實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范用的唯一參考基準，是一個全面信息安全管理體系評估的基礎(chǔ)和正式認證方案的根據(jù)。國際標準化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉(zhuǎn)換為ISO./IEC17799《信息安全管理體系實施細則》和ISO./IEC27001《信息安全管理體系要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年發(fā)布了GB/T17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，把信息安全後理劃分為五個等級，分別針對不同組織性質(zhì)和對社會、國家危害程度大小進行了不同等級的劃分，并提出了監(jiān)管方法。2007年3月份制訂了與ISO/IEC17799和ISO/IEC27001相對應(yīng)的《信息安全管理體系實用規(guī)則（征求意見稿）》和《信息安全管理體系要求（征求意見稿）》，預訃在今明兩年內(nèi)發(fā)布。信息系統(tǒng)安全的等級為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提髙信息安全保障能力和水平，維護國家安全、社會穩(wěn)徒和公共利益，保障和促進信息化建設(shè)，國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合發(fā)布了《信息安全等級保護管理辦法》，就全國機構(gòu)/企業(yè)的信息安全保護問題，進行了行政法規(guī)方而的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護左級工作。同時，制訂了《信息系統(tǒng)女全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》和《信息系統(tǒng)安全等級保護定級指南》等相應(yīng)技術(shù)規(guī)范（國家標準審批稿），來指導國內(nèi)機構(gòu)/企業(yè)進行信息安全保護。在《信息安全等級保護管理辦法》中，對信息安全保護按照信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，在信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確左等級，英等級見下表1。表1信息系統(tǒng)安全等級保護等級危害程度行政法規(guī)行政監(jiān)督第一級對公民、法人和其他組織的合i?去權(quán)益造成揭害，但不扌負害國家安全.社會秩序和公井利益國家有關(guān)管理規(guī)范和技術(shù)標準運営、使用單位目行監(jiān)督、檢查第二級對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重揚害，或者對社會秩厚和公共利益造成損害"但不扌員害國家安全國家有關(guān)管理規(guī)范和技術(shù)標準國家信息安全監(jiān)管部門進行指導第三級對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害國家有關(guān)管理規(guī)荊和技術(shù)標準國家信息安全監(jiān)管部門進行監(jiān)督、檢查第四級對社會秩序和公共利益造成特別嚴重揭害，或者對國家安全造成嚴重損害國涼有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求國涼信息安全監(jiān)管部門逬行強制」監(jiān)督、檢查第五級對國家安全造成特別嚴重損害國家育理規(guī)范、技術(shù)標淮和業(yè)務(wù)特殊安全需求國家指定專門部門進行專門監(jiān)督、嗨9在《信息系統(tǒng)安全等級保護基本要求》中，要求從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復、系統(tǒng)運維管理、安全管理機構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)擄的完整、保密性以及數(shù)據(jù)備份與恢復等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。電子文件在信息安全中的狀態(tài)電子文件（包括文檔、圖片、數(shù)據(jù)包等）是企業(yè)體現(xiàn)數(shù)據(jù)流的主要表現(xiàn)，記載著大量的敏感信息，始終處于被瀏覽、復制、修改、打印過程中。通過網(wǎng)絡(luò)，文件可以被轉(zhuǎn)移和復制。因此，電子文件的安全環(huán)境是信息安全范疇的薄弱環(huán)節(jié)，是防范的重點。在沒有進行安全防護的環(huán)境下，電子文件將通過以下渠道被泄露：1） 內(nèi)部網(wǎng)絡(luò)：任何人可以通過內(nèi)部網(wǎng)絡(luò)獲取任何文件。2） 外部網(wǎng)絡(luò)：外部人員可以通過外部網(wǎng)絡(luò)的合法或非法訪問主機、或者通過電子郵件獲取文件。3）存儲介質(zhì)：任何人可以通過移動介質(zhì)（如U盤）獲取文件。由于存在這些泄歸渠道，在《信息系統(tǒng)安全等級保護基本要求》中通過用戶角色、訪問控制和介質(zhì)管理等手段對電子文件進行控制，但仍然無法對文件的內(nèi)容進行控制，文件內(nèi)容的泄露成為整個信息安全的漏洞源頭。電子文件安全系統(tǒng)的用途隨著企業(yè)信息化應(yīng)用技術(shù)的普及，通過計算機，產(chǎn)生大量的電子信息并存儲在企業(yè)計算機中，徹底改變了過去以“紙”作為存儲介質(zhì)的文件管理模式，取而代之的是電子文件或數(shù)據(jù)。如何來管理這些電子文件或數(shù)據(jù)，社會上岀現(xiàn)了以下幾種模式：1） PC機分散管理：大部分企業(yè)通過個人，按照Windows文件夾的形式進行管理。這種管理模式處于電子文件管理的初試階段，完全憑借個人的喜好進行管理，完全沒有信息安全之感，文件基本上處于泄露狀態(tài)。2） 文件服務(wù)器集中管理：隨著電子文件的增多，信息安全意識的增強，依靠PC機分散管理已經(jīng)不能適應(yīng)企業(yè)管理的需要。許多企業(yè)采用計算機進行集中管理文件，將正式的電子文件（有效）放巻到服務(wù)器上，通過分類進行管理。這種模式雖然解決了分散管理的一些弊病，但無法控制文件的安全，同時，增加了文件被批疑破壞的幾率。3） 管理軟件強制管理：PDM、ERP和0A的應(yīng)用，集中了文件服務(wù)器集中管理的優(yōu)點,使文件管理趨于規(guī)范化，是當前許多具有信息化管理意識的企業(yè)常采用的模式。但是，這種管理模式雖然加入了角色、權(quán)限、版本等內(nèi)容，仍無法解決文件內(nèi)容的安全性和機密性，并沒有完全堵住文件內(nèi)容彼泄露的渠道，不能真正達到信息安全保護的目的。泄密行為概述在很多涉及工程設(shè)計的單位（如建筑、模具、電路、廣告、機械等），電子圖紙的應(yīng)用極為普遍，而電子圖紙的丟失、彼盜對企業(yè)利益的影響是顯而易見的，如果被競爭對手獲取，甚至可能造成致命的打擊。因此，對于這類企業(yè)，電子圖紙的保密顯得至關(guān)重要。綠盾信息安全管理軟件充分考慮了電子圖紙的各種可能傳播途徑，制定了針對性的解決方案，從而保證了電子圖紙的安全。我總結(jié)了電子圖紙的各種傳播途徑以及相應(yīng)的對策，有如下幾點：1、移動存儲器復制問題:I；盤、移動硬盤、手機存儲卡等一切通過USB口及串口接入的移動存儲設(shè)備都很常見，也是最容易將圖紙整批復制總的工具。就算USB端口屏蔽也極易破解，采取物理破壞CSB口方式既不方便，也不能解決員工用其他端口接入問題。解決辦法：（1）軟件封堵USB接口，打印端口，相關(guān)網(wǎng)絡(luò)設(shè)備接口困惑:公司內(nèi)部交流不便，員工心理工作心理壓力大，且管理麻煩，不能很好的統(tǒng)一管理，特別對于一定數(shù)雖:電腦的公司更為顯現(xiàn)。硬件封堵，采用破壞外接端口，安裝網(wǎng)絡(luò)攝像頭監(jiān)視員工行為等，更有用大鐵柜鎖起電腦主機困惑:不尊重人權(quán)，造成員工心理負擔加重。物極必反。建議:軟件封堵硬件接口，行政管理，規(guī)范外接設(shè)備使用權(quán)限，明確人員、時間、地點、權(quán)限。2、 網(wǎng)絡(luò)工具傳輸問題:通過QQ、MSN.E-mail.網(wǎng)絡(luò)U盤、BT、FTP等各種網(wǎng)絡(luò)工具向外發(fā)送圖紙文件，只要有網(wǎng)絡(luò)，想用屏蔽軟件或端口根本無法解決文件通過網(wǎng)絡(luò)發(fā)送的問題，除非 在完全沒有網(wǎng)絡(luò)的環(huán)境里工作。沒有網(wǎng)絡(luò)的工作環(huán)境又對工作帶來不便。解決辦法：監(jiān)控軟件優(yōu)點:監(jiān)控員工實時行為，詳細報表說明，價格相對便宜。缺點:不尊重人權(quán)，響應(yīng)時間幔，往往不能作為防泄密主要手段，不失為做事后追査手段。安裝實施及維護較麻煩。加密軟件安裝加密軟件后，圖紙發(fā)送岀去后，文件打開是亂碼或根本打不開，但不影響正常上網(wǎng)。上網(wǎng)行為管理設(shè)備優(yōu)點:部屬方便，應(yīng)用范圍廣，適合成熟網(wǎng)絡(luò)壞境，價格相對較高，國內(nèi)最早產(chǎn)品-網(wǎng)康，國內(nèi)最大客戶應(yīng)用產(chǎn)品-深信服，臺灣最大品牌-守內(nèi)安。缺點:產(chǎn)品價格較髙，后續(xù)費用較軟件髙。建議:近兩年上網(wǎng)行為管理設(shè)備明顯優(yōu)于監(jiān)控軟件，相對簡單的部屬方式著實讓不少CIO省心，且具有強大的應(yīng)用功能，強大的行為識別能力，能從容應(yīng)對各種實際企業(yè)需求。但這還不能解決泄密問題，作為輔助行政管理手段及事后追查還是不錯的。建議要配合加密軟件來使用，當然各企業(yè)可根據(jù)自身實際情況使用。3、 系統(tǒng)截圖發(fā)送問題:采用無盤站或集中存儲的圖紙，看上去很安全，英實員工可以利用系統(tǒng)截圖的方式將存儲或通過網(wǎng)絡(luò)方式將截圖發(fā)送出去。建議:如果應(yīng)用監(jiān)控系統(tǒng)或上網(wǎng)上行為管理設(shè)備，可制泄詳細策略，禁止使用截圖，或錄像專家等應(yīng)用。做到事前防御，安裝加密軟件后：當打開加密過的圖紙文件，截圖功能被屏蔽或屏下的圖片文件仍為加密，做到無法泄密功能。，無法從加密文件截圖。4、 圖紙打印帶走在中小企業(yè)里，圖紙打印有時候是很隨意的，員工可以趁老板或高層不在時，有意打印一些關(guān)鍵圖紙，日積月累地帶走。安裝加密軟件后:可以禁止特宦電腦對加密圖紙打印，對于關(guān)鍵圖紙實行集中打印管理。5、 直接拆走硬盤在端口被屏蔽、互聯(lián)網(wǎng)切斷的情況下，某些員工采取極端方式拆疋硬盤，不辭而別地離職，這樣能一次性帶走所有資料。安裝加密軟件后:軟硬件聯(lián)介加密，拆走的硬盤安裝到其他電腦上，圖紙文件自動鎖定無法打開。6、 偷走電腦主機在端口被屏蔽、互聯(lián)網(wǎng)切斷的情況下，員工可能沒有足夠時間拆取硬盤，而直接盜取電腦主機，然后不辭而別地離職。根據(jù)中國法律，電腦主機價值不能構(gòu)成職務(wù)侵占罪立案條件，企業(yè)無法通過法律途徑制裁員工，資料被盜卻無法衡量。安裝加密軟件后：'3電腦被盜后，被盜電