面向企業的信息保護與安全審計總體解決方案V2

【序】這個解決方案發表於2009年，如今看來，依然頗有參考意義。現再次發表於TT安全，並進行一些修訂。

一、數據泄露、信息篡改事件頻發，企業信息保護面臨挑戰
      隨着信息技術的不斷髮展，數字信息的價值不斷增長，成爲一種重要資產，尤爲是在過去的20多年裏，作爲信息的主要載體的數據庫的應用在數量和重要性方面都取得了巨大的增加。包括政府機構、企事業單位、製造業、商業等在內的幾乎每一種組織都使用數據庫來存儲、操縱和檢索數據。隨着人們對數據的依賴性愈來愈高，尤爲是一些財務數據、客戶數據等更是關係到企業生存的重要數據。而網絡化時代的到來、互聯網技術的普及更加深了數據保護的矛盾，網絡技術使得數字信息的泄漏和篡改變得更加容易。所以，信息系統數據的安全問題成爲必須予以重視的大問題，特別是那些重要信息系統數據的安全，更成爲關係國家安全、經濟命脈、社會穩定等各方面的重要問題。
然而，這兩年內，信息泄露、信息篡改等信息安全問題家常便飯，全部存在數據的地方，只要數據是有價值的，就存在風險，就有人會去想法子竊取、篡改、販賣，從中牟利：深圳孕婦信息的「泄密光盤」、車主×××泄露、福彩中獎信息篡改、「力拓門」事件、以及外媒「精確預測」我國GDP事件，從我的隱私，到企業的商業祕密，甚至到政府國家的核心機密，都出現了不一樣程度的信息安全問題。

二、國家法律法規頻繁出臺
      面對如此嚴重的問題，上到國家、下到各大部委、各行各業都已經意識到了數據安全問題的嚴重性和緊迫性，高頻度地出臺了大量的法律法規：
全國人大常委會在今年2月28日經過了刑法修正案(七)的表決，而且從頒佈之日起實施。刑法修正案(七)第二百五十三條規定：
——— 國家機關或者金融、電信、交通、教育、醫療等單位的工做人員，違反國家規定，將本單位在履行職責或者提供服務過程當中得到的公民我的信息，出售或者非法提供給他人，情節嚴重的，處三年如下有期徒刑或者拘役，並處或者單處罰金。
———竊取、收買或者以其餘方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。
———單位犯前兩款罪的，對單位判處罰金，並對其直接負責的主管人員和其餘直接責任人員，依照各相應條款的規定處罰。

2009年7月1日起開始實行×××第58次常務會議經過的《×××管理條例》，條例中第十四條、第二十二條、第三十九條第（四）項，反覆強調禁止查閱、變動、刪除×××的銷售數據，而且構成犯罪的，將追究犯罪人及相關主管的刑事責任。

2008年6月28日，更是由國家財政部、證監會、審計署、銀監會、保監會聯合發佈了《企業內部控制基本規範》，該法案被專家稱爲中國版「薩班斯法案」。基於該法案的要求，中國將近2000家上市公司將增強對信息系統開發與維護、訪問與變動、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制。2010年4月15日，財政部等聯合印發通知，推出了《規範》的系列配套指引3個。應該說，《規範》的系列配套指引出臺，標誌着《規範》的落地又超前邁出了一步，使得《規範》的執行更具可操做性。
 

 

2010年3月25日，國資委發佈了《中央企業商業祕密保護暫行規定》，要求增強涉及商業祕密的計算機信息系統、通信及辦公自動化等信息設施、設備的保密管理，保障商業祕密信息安全。

通過多年的徵求意見，《保守國家祕密法（修訂草案）》在2010年4月29日的十一屆全國人大常委會第十四次會議上以144票同意、3票反對、3票棄權得以經過。並將在10月1日起實施。新《保密法》設定了國家祕密的範圍和密級，增強了對涉密信息系統的保密管理，尤爲是接入管理，並新增了對互聯網的監管。

 

三、信息保護與安全審計架構
      伴隨着數據安全問題的日益突出和信息保護需求的不斷加強，信息安全業界從客戶需求出發，推出了各類各樣的信息保護技術、產品和解決方案。如何纔可以行之有效的進行信息的防泄漏和信息保護呢？用戶需求一個全面的、多層次的結構化的信息保護體系架構，體系架構以下圖所示：
 

該架構將須要保護的對象劃分爲三個方面：靜態信息（存儲的數據）、動態信息（傳輸中的數據）及終端（數據承載主機）及其終端的使用者。針對三個對象的不一樣特性，採起不一樣的技術手段進行防禦：
  首先，是對靜態信息的保護。最基本的靜態信息保護就是數據加密，包括文檔加密、磁盤加密等技術。此外，更爲重要的是要創建數據的統一安全策略，貫穿數據產生、流轉、銷燬的全生命週期。例如，咱們能夠針對員工的工資信息制定這樣一套安全策略：工資信息必須加密後才能經過email傳輸，禁止經過http或者https協議傳輸，只能存儲在指定的服務器和數據庫中，只有人力資源部門受權的賬號列表才能訪問工資信息，等等。只有創建統一的信息安全保護策略，纔能有效地進行信息保護，不然就可能出現策略真空，致使某個環節發生信息泄漏；或者出現策略衝突，使得信息的傳遞效率大大下降，影響正常工做。
其次，是對動態信息、也即信息在網絡傳輸過程當中的檢測和保護。這是信息防泄漏和信息保護的最重要環節。因爲網絡技術的充分普及，信息傳遞的速度和傳播的範圍都極大提高。信息一旦透過網絡形成泄漏，後果幾乎沒法挽回。動態信息保護有兩個環節。
1） 防止重要信息由高安全區域向低安全區域的擴散：各類賬號、密碼、客戶信息、財務信息、工程圖紙、設計文檔、核心代碼等機密信息通常都是存儲在特定的服務器和數據庫中。動態信息保護要求對這些服務器、數據庫系統的網絡鏈接進行監控和審計、藉助統一的安全策略，檢查各類違規的網絡訪問行爲，例如經過FTP和Telnet指令獲取服務器上的重要文件；經過SQL語句獲取數據庫系統重要的庫表字段數據；等等。
2） 防止重要信息由內部網絡向外部網絡的泄漏：這是信息防泄漏的關鍵一環。咱們知道，隨着Web2.0技術的興起，如今內外網之間的鏈接方式多種多樣，例如各類即時通信工具（MSN、QQ等）、WEB郵件網站（163、Gmail等）、P2P應用（迅雷、電驢等），以及論壇、聊天室。這些內外部通信手段都有可能成爲信息泄漏的途徑。而且，這些泄漏途徑從技術上來看大多基於HTTP協議，或者更爲底層的UDP協議，端口也不固定，與正常的業務傳輸通道相同，防範起來十分不易，過嚴則可能影響正常業務開展，過鬆則可能功虧一簣。動態信息保護要求咱們採用具有應用層協議檢測技術的設備、而且要採用具有信息匹配技術的內容過濾引擎，智能地進行網絡流量甄別。
最後，就是要對信息的使用者及其載體——終端進行監控和審計，這也就是終端安全監控與審計。由於絕大部分機密信息的泄漏都是內部人員形成的，而這些內部人員每每都是從終端將信息傳播出去。在這個層面，信息保護就是要對人和終端進行管理。對人，就是要增強人員的安全保密意識的培訓，而且要制定令行禁止的安全制度。對終端，就須要創建一套面向終端安全的管理系統，包括終端接入的控制、U盤外設等的接入控制、終端加固和運行監控、終端用戶行爲的監控與審計，等等。終端管理的目的是一方面確保終端的合法使用者沒法違規，另外一方面確保其餘非法人員沒法利用終端自身的漏洞進行違規操做。
在上述三個層面中，統一安全策略始終是信息防泄露和數據保護的核心。靜態信息防禦、動態信息防禦、終端安全和人員安全管理都有賴於一致的、統一的、貫穿信息生命週期的安全策略。各類技術、工具和設備都是這些策略的執行者。