大数据安全管理及关键技术研究
谭彬,刘晓峰,邱岚,梁业裕
(中国移动通信集团广西有限公司,广西南宁 530021)
摘 要:大数据时代,不仅人们的生活方式、工作性质发生了巨大的变化,而且以往的业务运营模式也发生了重要改变。但与之相伴随的是,在这一变化过程中,都面临着诸多的信息安全问题,重视研究解决大数据安全问题,保障数据安全已成为大数据安全管理的重要课题。论文结合大数据安全管理的相关理论,首先阐述了当前大数据安全管理的现状,其次分析了大数据安全管理规范制定的相关问题,最后提出了行之有效的技术解决方案。
关键词:大数据安全;关键技术;信息安全
中图分类号: TP309文献标识码:A
Big Data Sacurity Management and Key Technologies Research
Ta n B in, Liu Xi ao-feng, Qiu Lan, L iang Ye-yu
(C hina Mobil e Group Guangxi C o. L td., GuangxiNanni ng 530021)
Abstract: In the era of big data, not only the lifestyle of people but also the nature of work have changed greatly, and the business operation mode of the past has also changed significantly. But accompanied with it, in the process of this change, many information security problems are facing, attaches great importance to the research solve the problem of large data security, data security has become a big data security management important topic. In this paper, based on the relevant theory of big data security management, first elaborated the present situation of the current big data security management, secondly analyses the related questions of big data security management specification, finally puts forward the effective technical solution, hope to provide reference for the realization of the big data security management.
Key words: Big Data Security; Key Technical; Information Security
1 引言
互联网上的数据信息具有可访问性、持久性、全面性三大特点。在大数据时代,只要任何信息被发到了网络上,就再无可控之说,会被不特定个体所取得,并且网络上的信息包罗万象,不仅涉及个人的方方面面,而且涵盖社会和国家的各个领域。因此,如何建立健全适应大数据要求管理规范,如何开发大数据的效能,如何正确引导和开发大数据思维模式,已是当务之急。
2 大数据安全管理分析
在信息技术中,安全和隐私一直是重点问题。大数据时代,随着数据的增多,数据安全面临着更严峻的安全风险,传统的保护方法已经不适用于大数据,大数据安全管理在新形势下面临着新的挑战。
2.1大数据安全管理的主要内容
2.1.1大数据的隐私
大数据时代,数据的隐私问题主要包括两个方面:一方面是用户个人隐私的保护,随着数据
2017年第12期网络空间安全Cyberspace Security
信息采集技术的不断发展,在用户无法察觉的时候就能容易地获得用户的个人兴趣、习惯、身体特征等隐私信息;另一方面,个人隐私数据在存放、传输和使用的过程中,也有被泄露的风险。目前,大多社交网络数据公司都试图利用大数据的分析能力,来挖掘数据中有价值的信息或其中的隐私,因此面对大数据时代,用户个人信息的隐私保护将成为重要的课题。
2.1.2 数据质量
数据质量影响着大数据的利用,低质量的数据不仅浪费了传输和存储资源,甚至无法被利用。制约数据质量的因素有很多,生成、采集、传输和存储的过程,都可能影响数据质量。数据质量具体表现在数据的完整性、准确性、一致性、冗余性。虽然有很多提升数据质量的措施,但是数据质量的问题是不可能完全根除的。因此,需要研究一种方法,可以实时对数据质量进行自动化检测,并可以自行修复部分出现质量问题的数据[1]。
2.1.3 大数据安全机制
大数据在数据规模和数据种类方面的复杂性,给数据加密带来了挑战。以前针对中小规模数据的加密方法在性能上无法满足大数据的要求,需要研究高效的大数据密码学。针对结构化、半结构化和非结构化数据,需要研究如何有效地进行安全管理、访问控制和安全通信。此外,在多租户的模式下,需要在保证效率的前提下,实现租户数据的隔离性、保密性、完整性、可用性、可控性和可追踪性。
通过以上分析,可以看出大数据的安全问题已经成为了人们研究的重要课题,然而,目前在大数据安全管理方面,包括大数据的管理规范、可信性问题、针对各应用领域的大数据备份与恢复技术、大数据完整性维护技术、大数据安全保密技术等关键技术还需进行深入研究。
2.2 大数据安全威胁的主要形式
大数据安全威胁问题,主要来自五个方面。
(1)黑客攻击由原来的单一无目的攻击转变成为有组织目的性很强的团体攻击犯罪,在攻击中主要以获取经济利益为目的,采取极具针对性的集团化攻击模式。
(2)互联网业务支撑系统存在未修复的安全漏洞,给僵尸网络、病毒、DDoS流量攻击、蠕虫、恶意间谍软件等侵入留下可乘之机,对业务系统的信息安全造成很大威胁[2]。
(3)病毒木马的威胁。很多木马程序和密码嗅探程序等多种病毒不断更新换代对网络数据实施攻击,窃取用户信息,直接威胁信息安全。
(4)信息在使用过程泄露。互联网的各种交互、交易信息是通过网络传输的,同时有些业务交易平台在信息传输、使用、存储、销毁等环节未建立保护信息的有效机制,致使信息很容易出现泄露风险,包括传输过程中采用未加密协议,数据包被截获还原等。
(5)网络业务服务过程中信息系统和内部控制制度存在缺陷,或业务过程中不适当的操作都会引发信息安全风险。
3 大数据安全管理规范分析
3.1数据操作人员管理
一方面大数据时代需要的是复合型人才,要求既懂得互联网信息安全技术,又懂得业务专业知识。但目前,这种复合型人才比较稀缺,大数据正处于快速发展期,人才培养已经滞后于时代的发展。由此,企业既可采取校企联合培养模式,并在培养过程中注重学科间交叉来吸收新型人才,又可建立信息安全人才培训机制,定期对员工进行培训,来不断提高企业员工工作能力[3]。
另一方面在具体工作实践中要注意两个规范:一是岗位规范,为了便于授权管理和统计,应对用户账号的使用、角色等组合方式进行权限分配,如创建工作组,权限的赋予或取消都针对该组成员进行;二是专人要求,这就要求用户身份必须具备唯一性,也即是账号的设置和使用只针对唯一的使用人,并且该使用人承担该账号使用的相应责任。
谭彬等:大数据安全管理及关键技术研究
4.1.2 加强信息保护管理
(1)制定隐私法:大数据时代,互联网行业对个人隐私的侵犯及对个人隐私数据的使用较为普遍。这需要法律工作者从大数据发展的角度去看待隐私权,制定和完善相关法律和法规,在支持利用大数据提高社会整体运行效率的同时,防止数据滥用或非法使用。
(2)数据使用权:在很多情况下,企业在未取得个人明确同意的情况下,即对个人数据进行二次使用和交易。对这种进行二次使用和交易的行为应进行规范。
(3)遗忘权:对不同种类个人数据的可利用时间应该进行细化,避免后续可能的法律争议。“遗忘权”可激励数据使用者在授权处置期限内,尽可能地挖掘出数据的潜在价值。这是大数据时代的平衡,企业可以使用数据价值,但相应地必须承担其获取并处置个人数据的责任,并负有在特定时间后删除个人敏感数据的义务。
4.2 关键技术分析
4.2.1 构建信息安全“云”防御
大数据信息安全管理体系架构设计理念是一个管理中心支撑下的三重防御。一个管理中心主要对云平台管理,包括云中心安全监控、云中心安全审计、虚拟存储安全管理、虚拟节点安全管理等。三重防护分别是安全计算环境防护、安全区域边界防护和安全通信网络防护。安全计算环境防护主要对虚拟化可信基础设施进行防护,可以使用第三方安全代理:首先对存储资源进行存储防护功能聚合,主要从虚拟存储引擎、密文检索、数据隐私保护、数据可信存储四个方面进行聚合;其次对于计算资源进行节点防护功能聚合,主要从远程可信验证、可信连接、可信迁移、可信测评四个方面聚合;最后从网络防护功能聚合,主要从虚拟网络安全审计、虚拟网络流量监控、安全域访问控制、安全策略动态迁移四个方面集合。安全区域边界防护即是对云边界防护,主要包括IDS入侵检测、安全审计、内容过滤、恶意代码防范、访问控制、身份认证。安全
3.2 规范数据操作流程
对于传统企业来说,一般都有比较完善的业务操作流程,而对于在大数据时代成立的新型企业,由于发展比较晚,发展速度相对比较快,很多规模不大企业都没有完善的业务操作流程标准,致使在实际业务开展中,操作人员无操作规范流程约束,操作方法不熟练,存在信息安全隐患。由此,企业应根据自身特点,借鉴传统完善的做法,建立适合自身发展和安全的操作流程标准。如数据授权流程:用户应经过申请、审批、开通、变更等相关操作。
对于要求注销或变更数据的请求,应有书面的审批记录。用户具体权限应结合用户需求,按照最小权限原则进行授权。当用户账户有所变动时,其访问权限也应随之变动。
4 大数据安全管理及利用关键技术
4.1 安全管理机制分析
4.1.1 完善安全管理规范
加强对数据获取、传输、存储、使用流程的管控是保证大数据安全的重要内容,即要建立对内部数据使用的范围、数据的流转等进行规范化控制管理,以防止敏感数据信息被非法授权查看、复制和破坏。由此,企业机构可根据各自的监管要求,结合自身实践,落实数据管理规范化,加快数据管理制度建设进程,健全敏感数据信息保护管理制度,制定生产系统数据的敏感信息分级分类、部门权限职责。流程审批,以及在生产过程中数据提取与处理、数据使用规范要求和督查审计等制度。
此外,在物理环境层面对数据进行管理也是大数据环境下保障数据安全的一项重要措施,如对重要数据边界落实安全域划分与隔离。当把生产数据收集起来进行数据统计分析、数据挖掘时,应该先对生产数据进行模糊化处理,这样在保证数据有效性及可用性的前提下,通过对数据中涉及客户敏感信息或商业机密等信息进行完全脱敏,降低安全风险[4]。
2017年第12期
网络空间安全Cyberspace Security 保护制度。同时,企业及机构的操作人员也需要提高数据保护意识,强化敏感信息的保护职责。
(2)技术上采用适用于大数据的安全保护措施,以应对可能来自黑客的攻击,重视云计算过程和移动端信息的保护。在规则上,隐私保护方面,需要明确企业、机构对数据的具体使用权限,规范相关机构使用涉及用户隐私信息的过程,规范企业对用户的隐私信息进行收集的行为,确定对隐私保护的底线,明确用户对自身相关隐私信息的权益。在数据安全方面,则需要规范对数据生命周期中每一个阶段的数据的获取流程,确定明确的权限区分,确保不同权限的人仅能够获取与其权限相对应的数据。参考文献
[1] 王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络
安全,2012(08).
[2] 谢琪,吴吉义,王贵林,刘文浩,陈德人,于秀源.云计算中基于
可转换代理签密的可证安全的认证协议[J].中国科学:信息科学,2012(03).
[3] 汪全胜,王庆武.网络空间个人数据的权利保护[J].情报理
论与实践,2014(1):33.
[4] 维克托?迈尔-舍恩伯格,肯尼思?库克耶.大数据时代[J].教
育科学论坛,2016(10).
通信网络防护即是对网络防护,包括VPN、网络加速、流量控制管理、核心设备冗余。4.2.2 加强大数据威胁检测
大数据威胁检测技术是云防御中主动防御理念中主要的方法。对于互联网信息防护,传统防御理念是等到病毒攻击发起攻击时,发现病毒后再进行防御。而主动防御的理念是,不给病毒程序执行攻击的机会,在云端防御中就可以将病毒、木马等攻击程序,利用大数据威胁检测技术检测出来,然后解除潜在的威胁。
在大数据威胁检测中,首先要发挥大数据收集、分析能力,互联网金融业务量很大,业务范围也很广,大数据技术的应用一定要结合金融业务知识,通过云平台收集数据时不能违反法律规定,也不能侵犯用户的隐私权,因此要求在大数据检测中要做到合法收集信息,在客户端允许的情况下检测威胁存在的情况。在检测中,主要是通过云平台存储关于各种攻击描述,利用大数据技术去检测巨量数据,当然数据中包括存储的静态数据,运行的APP插件、运行各种程序和进程。通过分析比对,得出该数据是否具有威胁,如有威胁将会立即报告云安全平台,通过安全平台处理威胁。
5 结束语
总的来说,大数据的出现,不仅改变了社会经济生活,也影响了我们每个人的生活方式和思维方式。面对大数据的安全风险,为了确保大数据合规,就需要更加全面细致的梳理企业大数据合规的要求,并采用有效的技术手段和系统平台对大数据合规管理予以支撑,确保大数据的持续合规。本文通过研究得出几项结论。
(1)大数据的安全管理,需有规范的数据申请、审批、变形处理流程,并在数据生命周期的各阶段进行全面管控,需要制定和落实敏感信息
作者简介:
谭彬(1978-),男,硕士,高级工程师;主要研究方向和关注领域:电信运营商网络与信息安全。
刘晓峰(1962-),男,硕士,高级工程师;主要研究方向和关注领域:电信运营商网络与信息安全。
邱岚(1979-),女,硕士,高级工程师;主要研究方向和关注领域:电信运营商网络与信息安全。
梁业裕(1980-),男,硕士,工程师;主要研究方向和关注领域:电信运营商网络与信息安全。
(一)数据产生/采集环节的安全技术措施 从数据安全角度考虑,在数据产生/采集环节需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标,相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例,元数据安全管理需要实现的功能,包括数据表级的所属部门、开发人、安全责任人的设置和查询,表字段的资产等级、安全等级查询,表与上下游表的血缘关系查询,表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况,包括每个字段的类型、具体描述、数据类型、安全等级等,同时显示这个数据表的开发人、负责人、安全接口人、所属部门等信息,并且可以通过这个界面申请对该表访问操作权限。 2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级分类管理,特别是在组织内部拥有大量数据的情况下,能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化,通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例,显示了一个数据表每个字段的数据类型和安全等级,在这个示例中,“C”表示该字段的数据类型,“C”后面的数字表示该字段的安全等级。
数据类型、安全等级标识示例 (二)数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节,可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路,也可以直接对数据进行加密,以密文形式传输,保障数据传输过程安全。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 (三)数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理,防止数据遭窃取、泄漏、损毁。为实现这一目标,除了防火墙、入侵检测、防病毒、防DDoS、漏洞检测等网络安全防护技术措施外,数据使用环节还需实现的安全技术能力包括: 1、账号权限管理 建立统一账号权限管理系统,对各类业务系统、数据库等账号实现统一管理,是保障数据在授权范围内被使用的有效方式,也是落实账号权限管理及审批制度必需的技术支撑手段。账号权限管理系统具体实现功能与组织自身需求有关,除基本的创建或删除账号、权限管理和审批功能外,建议实现的功能还包括:一是权限控制的颗粒度尽可能小,最好做到对数据表列级的访问和操作权限控
Solution 解决方案 大数据平台安全解决方案 防止数据窃取和泄露确保数据合规使用避免数据孤岛产生 方案价值 大数据平台安全解决方案为大数据平台提供完善的数据安全 防护体系,保护核心数据资产不受侵害,同时保障平台的大数据能被安全合规的共享和使用。 数据安全防护体系以至安盾?智能安全平台为核心进行建设。智能安全平台支持三权分立、安全分区、数据流转、报警预警和审计追溯等五种安全策略,以及嵌入式防火墙、访问控制、安全接入协议等三道安全防线,保证安全体系在系统安 全接入、安全运维、数据流转、数据使用、数据导出脱敏、用户管理、用户行为审计追溯等方面的建设,保障大数据平台安全高效运行。 智能安全平台提供安全云桌面,保证数据不落地的访问方式, 并可根据需求提供高性能计算资源和图形处理资源,并支持“N+M”高可靠性架构,保证云桌面的稳定运行,为平台用户提供安全高效的数据使用环境。 提供数据不落地的访问方式以及完善的文档审批和流转功能 提供五种安全策略和三道安全防线提供严格的用户权限管理和强大的用户行为审计和追溯功能 提供高性能、高可靠稳定运行的大数据使用环境 方案亮点 如欲了解有关志翔科技至安盾? ZS-ISP、至明? ZS-ISA安全探针产品的更多信息,请联系您的志翔科技销售代表,或访问官方网站:https://www.doczj.com/doc/b118112567.html, 更多信息 志翔科技是国内创新型的大数据安全企业,致力于为政企客户提供核心数据保护和业务风险管控两个方向的产品及服务。志翔科技打破传统固定访问边界,以数据为新的安全中心,为企业构筑兼具事前感知、发现,事中阻断,事后溯源,并不断分析与迭代的安全闭环,解决云计算时代的“大安全”挑战。志翔科技是2017年IDC中国大数据安全创新者,2018年安全牛中国网络安全50强企业。2019年,志翔云安全产品入选Gartner《云工作负载保护平台市场指南》。 关于志翔科技 北京志翔科技股份有限公司https://www.doczj.com/doc/b118112567.html, 电话: 010- 82319123邮箱:contact@https://www.doczj.com/doc/b118112567.html, 北京市海淀区学院路35号世宁大厦1101 邮编:100191 扫码关注志翔
电力信息系统信息安全关键技术应用 发表时间:2017-07-17T11:55:04.250Z 来源:《电力设备》2017年第8期作者:杨雅徐麦[导读] 电力系统日趋复杂,网络信息技术在电力系统中的应用很大程度上解决了电力系统的一些难题,实现了电力系统的信息化和智能化管理,但是电力信息系统的安全问题也影响电力系统的安全性和可靠性,影响电力系统的安全稳定运行。 (1.国网湖北省电力公司黄石供电公司信息通信分公司信息运检班,湖北省 435000;2.国网湖北省电力公司黄石供电公司信息通信分公司网络控制室,湖北省 435000)摘要:电力系统是我国基础设施建设的重要支撑,随着我国电网规模的扩大,电力系统日趋复杂,网络信息技术在电力系统中的应用很大程度上解决了电力系统的一些难题,实现了电力系统的信息化和智能化管理,但是电力信息系统的安全问题也影响电力系统的安全性和可靠性,影响电力系统的安全稳定运行。电力信息系统在遇到黑客攻击、病毒入侵或其他安全危险时会直接导致电力信息系统故障甚至 崩溃,所以必须提高电力信息系统信息安全管理水平,确保电力系统稳定正常运行。 关键词:电力信息系统;信息安全;关键技术前言:信息技术在电力系统的应用使电力系统逐步走向信息化管理,加强了各部门之间的沟通,让电力系统的工作效率得到明显提升。但信息技术在电力系统中的应用也给电力系统带来一系列信息安全问题,需要相关工作人员尽快掌握信息安全存储的技术方法,以适应电力系统的信息化管理工作。 1.我国电力信息系统信息安全现状 我国地域广阔,电压等级多,所以电力系统稳控范围庞大而且复杂,电力系统的安全稳定运行对保障人民生活和国家经济建设起着至关重要的作用。随着互联网+技术的发展,电力系统逐渐实现信息化,对信息化的集成程度越来越高,促进了电力系统的现代化发展。但是由于电力信息系统存在信息安全风险,比如说(2015年12月23日乌克兰电力系统遭受攻击事件)直接影响电力系统的安全性和可靠性,要想确保电力信息系统安全稳定,必须采取有效技术措施控制信息系统安全风险。电力信息系统涉及到的电力的生产、输电、配电过程都通过电力信息系统进行控制管理。近年来我国电力企业开始重视电力信息系统信息安全问题的管控,但是在实际运行中仍然存在很多问题亟待解决,而且电力信息系统信息安全问题并没有像电信企业那样受到普遍重视,缺乏针对性的技术和策略,在实际运用当中实用性不强,风险管理不到位,影响我国电力系统的稳定运行。综合我国电力信息系统信息安全管理工作现状分析,主要存在以下几个方面的问题: 1)电力信息系统自身存在缺陷,电力企业建立的电力信息系统管理制度不健全,电力信息系统管理缺乏规范性和科学性,所以电力信息系统信息安全不断融入到互联网+时代难以得到有效的保障。 2)部分电力企业信息安全意识不强,没有认识到电力信息系统信息安全管理工作的重要性,所以没有建立技术先进且完备的信息安全防护系统,也没有充分重视信息安全防护技术的研究和应用,只是在电力信息系统中安装了杀毒软件、防火墙等基础信息防护措施,难以保证电力信息系统的安全性。 3)面对对发电、输电、配电的稳控安全威胁(例如通过恶意代码直接对变电站系统的程序界面进行控制,通过恶意代码伪造和篡改指令来控制电力设备),电力企业不能够根据信息技术的发展及时升级信息安全防护系统,造成电力信息系统面临安全威胁,难以保证电力系统的安全稳定运行。 2.电力信息安全存储技术 2.1防火墙技术 防火墙技术是信息安全存储的主要技术,已经得到广泛应用。电力企业应在内部局域网和外部网络均设置防火墙,使一切信息传递都经过防火墙的监测。合理设置防火墙的方位方式,根据具体情况开通访问模式,拒绝未被许可的信息链接。 2.2身份鉴别技术 身份鉴别技术可对系统用户进行识别,规定不同用户的操作权限。识别的方式是口令输入,操作简捷,适用性广泛。电力企业应为所有操作人员设置独立的口令密码,便于身份识别和安全管理。身份鉴别应在操作权过程中实时进行,确保使用者进行权限范围内的安全操作。 2.3入侵监测技术 入侵监测技术是防止黑客入侵的有效技术手段,通过分布式监测架构实现大范围系统监测,当黑客入侵是及时发出警报,并对入侵行为作出反应,是防范来自外网攻击的警戒系统。 2.4加密技术 网络数据传播具有很高的安全风险,容易被“窃听”,造成信息泄露。数据加密技术是保证数据传播过程中安全性的有利手段。信息发出方通过特定的加密方式将信息流转变成乱码,及时信息被截取,也能保证信息内容不会泄露。信息接收方在接到信息后在依照对应的解密方法对信息进行还原,完成信息的最终传播。 2.5病毒查杀技术 一些网络数据带有病毒代码,在传播过程中会给系统带来危害,电力企业需要建立完备的病毒查杀系统,在数据传播的全过程是实时监控,及时找到并清除病毒代码,保证系统的正常运行。病毒查杀系统应具备升级功能,以适应对新型病毒的查杀任务。 3.电网信息安全管理 3.1保障网络安全 在现在的网络信息时代,黑客攻破网关进入某个内部主机后,便可以随便攻击局域网内的其他主机。电力调度信息网作为电力生产的重要平台,对网络的可靠性,安全性有着非常严格的要求。因为它承载了电力调度管理系统、电力市场交易、语音和视频等大数据量业务,网络的性能和业务连续性有很高的保障要求,防火墙体系必须是科学严密的,但是传统的网关防御只能防范外部攻击,不能防范来自内部的攻击。信息安全是一个整体,根据木桶效应,薄弱的任何一点都会降低整体安全防御力,进而影响电力系统的正常运营。所以终端安全体系建设也同样非常重要。在关键位置装入入侵检测系统、安全监控系统、采取入侵防护、病毒防护、服务器核心防护,专用安全隔离装置,专用数字证书等防护措施对其重点防范。 3.2物理安全
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
大数据安防中的三种关键技术及五大挑战 1.大数据 在安防行业,随着前端设备分辨率的不断提高、安防系统建设规模的不断扩大以及视频、图片数据存储的时间越来越长,安防大数据问题日益凸显。如何有效对数据进行存储、共享以及应用变得愈加重要。要应用安防大数据,首先要了解安防大数据有何特点。 安防大数据涉及的类型比较多,主要包含结构化、半结构化和非结构化的数据信息。其中结构化数据主要包括报警记录、系统日志、运维数据、摘要分析结构化描述记录以及各种相关的信息数据库,如人口库、六合一系统信息等;半结构化数据如人脸建模数据、指纹记录等;而非结构化数据主要包括视频录像和图片记录,如监控、报警、视频摘要等录像信息和卡口、人脸等图片信息。区别于其他行业大数据特点,安防大数据以非结构化的视频和图片为主,如何对非结构化的数据进行分析、提取、挖掘及处理,对安防行业提出了更多挑战。 大数据 对于安防视频图像数据,传统的处理方式主要靠事后人工查阅来完成,效率极低。面对海量的安防数据,如果继续采用传统方式,不仅效率低下,而且不能达到实战应用目的,偏离了安防系统建设目的。为充分利用安防系统价值,提升对安防大数据的应用能力,大华股份(002236,股吧)从多层次、全方位考虑产品和方案规划,不断提升对于安防有效信息的快速挖掘能力。 要提升安防大数据的处理效率,首先要从智能分析做起,快速过滤无效信息。大华智能分析从多维度、多产品形态来实现。如对于事件检测、行为分析、异常情况报警等,大华前端、存储以及平台系统产品都能够快速实现智能检测,并通知系统对事件进行快速响应,这些产品从某种层面上将安防有效数据的分析分散化,大大加快了整个系统的大数据处理应用速度。此外,大华还推出了基于云存储系统的大数据应用系统,如视频编解码系统、车辆研判系统、以图搜图系统、视频浓缩摘要系统、人脸识别系统以及车型识别系统等等。 大数据安防应用的几种关键技术 1)大数据融合技术 经过十几年的发展,国内安防系统建设基本形成了是以平安城市、智能交通系统为主体,其他行业系统有效完善的发展态势。而“重建设、轻应用”的现况给安防应用提出了更高要求,如何解决这些问题成为当务之急。 为实现数据融合、数据共享,首先要解决存储“分散”问题,大华云存储系统不仅能够实现数据的有效融合与共享,解决系统在硬件设备故障条件下视频数据的正常存储和数据恢复问题,为安防大数据应用分析提供可靠基础。 2)大数据处理技术 安防大数据以半结构化和非结构化数据居多,要实现对安防大数据的分析和信息挖掘,首先要解决数据结构化问题。所谓的数据结构化就是通过某种方式将半结构化和非结构化数据转换为结构化数据。大华通过采用先进的云计算系统对安防非结构化数据进行结构化处
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
大数据地面安全管理平台
目录 一、总体设计 (3) 二、工作原理 (3) 三、官兵和车辆管理 (4) (一)官兵管理 (4) 1、定位功能 (4) 2、电子围栏报警 (4) 3、SOS报警 (4) 4、指纹识别 (5) (二)车辆管理 (5) 1、车辆定位 (5) 2、超速报警 (5) 3、故障报警 (5) 4、轨迹回放 (6) (三)大数据平台 (6)
一、总体设计 地面安全管理是部队的日常管理中非常重要的部分,为了避免安全事故的发生,将人员、车辆、违禁场所、警戒区域等纳入体系管理是非常有必要的。因而建立地面安全的大数据中心也是形势所趋,大数据平台通过智能分析、智能预测等高科技手段帮助军队合理管理地面安全。其中人员和车辆管理是最为关键部分,例如:部队贯彻”两个以外“的管理办法遇到了一些难点,比如:时间不连续,难安排;用户不集中,难控制;对规章制度的执行力不够。 为了解决上述问题,通过终端定位设备和信息化手段,对用户和车辆行为轨迹、电子栅栏预警进行统计分析,进而合理管控用户和车辆的活动范围,全面防范各类安全事故。 二、工作原理 终端设备通过主机内的定位芯片接收星群的信号,通过计算之后得到位置、时间、速度等信息。信息加密后,通过主机内置的手机SIM卡模块,利用GSM移动网络把信息传输到移动通信公司的网络中心机房,再经过移动公司网络中心的网络出口,把信息经过固定IP 传输到服务器。 指挥员监控客户端使用互联网访问服务器,经过授权和验证后,可以获取到所有人员和车辆的位置、速度、运动方向等数据,并显示到笔记本电脑或总控大屏。
三、官兵和车辆管理 (一)官兵管理 每个用户配备一款设备,设备绑定用户的基本资料,同时设备可以采集用户的所在的经纬度和行动轨迹,从而达到了对每个用户活动范围的监控。 1、定位功能 设备集成北斗和基站定位,实现了室内室外定位,室外北斗定位误差10米左右,室内基站定位误差100米左右。设备定期(30分钟)会自动发送当前经纬度到数据平台,数据平台将存储海量的轨迹信息。 2、电子围栏报警 总控中心,可根据需要设定违禁区域、重点区域等特殊区域,一旦有携带设备的用户进入此区域或者离开此区域,将向总控中心进行实时报警。 3、SOS报警 每个设备将配备一键SOS报警按钮,如果用户遇到突发状况,可一键触发报警装置,设备会将经纬度信息和报警信息发送到总控中心,有利于快速定位突发状况。
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
电力系统信息安全关键技术的研究 摘要:近年来,电力系统信息安全的关键技术问题得到了业内的广泛关注,研 究其相关课题有着重要意义。本文首先对相关内容做了概述,分析了几种主要的 电力通信方式,并结合相关实践经验,分别从加密技术等多个角度与方面就电力 系统信息安全的关键技术展开了研究,阐述了个人对此的几点看法与认识,望有 助于相关工作的实践。 关键词:电力系统;信息安全;关键技术;研究 1 前言 作为电力系统应用中的一项重要方面,对其信息安全的研究占据着极为关键 的地位。该项课题的研究,将会更好地提升对电力系统信息安全关键技术的分析 与掌控力度,从而通过合理化的措施与途径,进一步优化电力系统应用的最终整 体效果。 2 概述 随着我国电力事业的快速发展,电力系统信息化发展是社会不断发展的必然 趋势,因此,注重电力系统的信息安全,充分发挥网络技术和信息技术的作用, 才能真正保障电力系统中各种信息的安全,最终促进我国电力企业整体效益不断 增长。在高科技技术不断发展的过程中,信息技术的应用存在着各种不定因素, 大大提高电力系统信息安全风险,是当前无法避免的问题。因此,根据电力企业 的实际发展需求,制定与各区域电力系统自身特点相符的信息安全管理策略,严 格按照国家相关规定执行和操作,可以促进电力系统信息安全体系不断完善,最 终保障电力企业的整体效益。从整体利益出发,制定系统的安全防护管理机制, 把防护工作落实到日常工作的点滴,保证整个电力系统的信息安全。 3 几种主要的电力通信方式 3.1 电力线载波通信 电力线载波通信是指利用高压电力线、中压电力线或低压配电线(380/220V 用户线)作为信息传输媒介进行语音或数据传输的一种特殊通信方式。它通过把 网络信号调制到电线上,利用现有电线来解决网络布线问题。利用这一通信方式 具有很多优势,如安全性高、速率快、稳定性强、操作简单、节能环保等,因而 被广泛应用。 3.2 微波中断通信 微波中断通信是指使用波长在一定范围内的电磁波—微波进行通信的一种通 信方式。它不像电力线载波通信一样需要电线作为介质,它不需要借用任何固体 介质,当两点间直线距离内无障碍时就可以使用微波传送。利用微波进行通信具 有容量大、质量好、传输距离远的特点,因此也是一种重要通信手段。其主要缺 点是一次投资大,电路传输有衰减,远距离通信需要增设中继站,当地形复杂时,选站困难。 3.3 电力专线通信 电力专线由多根相互绝缘的导体,按一定的方式绞合而成的线束,其外面包 有密闭的外护套,必要时还有外护层进行保护。然后,根据实际需求直接通到用 户场所,根据用户的需求而设定带宽。这一通信方式安全性、稳定性高,但不适 合太原距离的通信。 3.4 光纤通信 光纤通信是指利用光波作为载波来传送信息,以光纤作为传输介质实现信息
“网络空间安全”重点专项2018年度 项目申报指南 为落实《国家中长期科学和技术发展规划纲要(2006-2020年)》提出的任务,国家重点研发计划启动实施 “网络空间安全”重点专项。根据本重点专项实施方案的部署,现发布2018年度项目申报指南。 本重点专项总体目标是:聚焦网络安全紧迫技术需求和重大科学问题,坚持开放发展,着力突破网络空间安全基础理论和关键技术,研发一批关键技术装备和系统,逐步推动建立起与国际同步,适应我国网络空间发展的、自主的网络空间安全保护技术体系、网络空间安全治理技术体系和网络空间测评分析技术体系。 本重点专项按照网络与系统安全防护技术研究、开放融合环境下的数据安全保护理论与关键技术研究、网络空间虚拟资产保护创新方法与关键技术研究等3个创新链(技术方向),共部署7个重点研究任务。专项实施周期为5年 (2016-2020 年)。 1.网络与系统安全防护技术研究方向 1.1物联网与智慧城市安全保障关键技术研究(关键技术类) 面向物联网节点计算资源、体积、功耗受限和规模、复杂度提升带来的安全挑战,研究物联网安全体系架构;研究在大连
接、异构数据、时延复杂的条件下,能够与物联网节点融合的一体化安全机制;研究基于标识技术的安全物联网互联互通架构,基于标识的加密技术在物联网中的应用;研究大规模信任服务机理及关键技术,包括安全协商、数据完整性与私密性、跨域设备身份与认证服务等;研究大规模设备监控技术,实现在无安全代理条件下设备自动发现、识别及状态、行为智能感知;研究智慧城市安全保障总体技术架构;研究支持智慧城市统一管理且支持隐私保护的智慧小区或智慧家庭适用的安全技术架构及其相关原型系统。 考核指标: 1.提出适应智慧城市与物联网安全目标的模型和体系框架,指导智慧城市与物联网安全实践; 2.研制安全物联网原型平台,支持大规模物联网对象的分级分层管理与安全解析,物联网设备发现、识别和监控以及身份认证、密钥管理服务均支持10亿规模; 3.设计完成采用国家标准密码算法的物联网管理域的强逻辑隔离安全机制,安全隔离方案应通过国家主管部门的安全审查; 4.设计完成多物联网管理域之间的受控互联互通机制与协议,支持基于身份和基于角色的授权策略映射,支持时间、环境以及安全上下文敏感的授权管理,其中时间粒度应不大于1分钟,支持的环境鉴别应包括物理位置、网络接入途径、操作系统安全配置等因素;
附件 1 大数据标准体系 序号一级分类二级分类国家标准编号标准名称状态 1总则信息技术大数据标准化指南暂时空缺2基础标准术语信息技术大数据术语已申报3参考模型信息技术大数据参考模型已申报4GB/T 18142-2000信息技术数据元素值格式记法已发布5GB/T 18391.1-2009信息技术元数据注册系统(MDR) 第 1 部分:框架已发布6GB/T 18391.2-2009信息技术元数据注册系统(MDR) 第 2 部分:分类已发布7数据处理数据整理GB/T 18391.3-2009信息技术元数据注册系统(MDR) 第 3 部分:注册系统元模型与基本属性已发布8GB/T 18391.4-2009信息技术元数据注册系统(MDR) 第 4 部分:数据定义的形成已发布9GB/T 18391.5-2009信息技术元数据注册系统(MDR) 第 5 部分:命名和标识原则已发布10GB/T 18391.6-2009信息技术元数据注册系统(MDR) 第 6 部分:注册已发布
11GB/T 21025-2007XML 使用指南已发布12GB/T 23824.1-2009信息技术实现元数据注册系统内容一致性的规程第 1 部分:数据元已发布13GB/T 23824.3-2009信息技术实现元数据注册系统内容一致性的规程第 3 部分:值域已发布1420051294-T-339信息技术元模型互操作性框架第1部分:参考模型已报批1520051295-T-339信息技术元模型互操作性框架第2部分:核心模型已报批1620051296-T-339信息技术元模型互操作性框架第3部分:本体注册的元模型已报批1720051297-T-339信息技术元模型互操作性框架第4部分:模型映射的元模型已报批1820080046-T-469信息技术元数据模块 (MM) 第 1部分 :框架已报批1920080044-T-469信息技术技术标准及规范文件的元数据已报批2020080045-T-469信息技术通用逻辑基于逻辑的语系的框架已报批2120080485-T-469跨平台的元数据检索、提取与汇交协议已报批22信息技术异构媒体数据统一语义描述已申报23数据分析信息技术大数据分析总体技术要求暂时空缺
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
国家标准《信息安全技术关键信息基础设施安全检 查评估指南》编制说明 一、工作简况 1.1任务来源 根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。 为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。 《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。 1.2主要工作过程 2017年1月至3月,《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。 2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。
中国移动网优大数据安全管理办法 (征求意见稿) 中国移动通信集团公司网络部 二0—六年八月
应明确网优大数据安全管理职责, “谁主管,谁负责;谁运营,谁负责;谁使用,谁负 责;谁接入,谁负责” 。 一)所有无线优化专业使用的各类数据,均由省网优中心统一负责,地市或其他单 第一条 第二条 第三条 第四条 第五条 第一章 总则 近年来随着集中优化的不断深入,所涉及的 IT 系统不断增多,数据范围不断扩 大,加强无线优化相关数据管理, 防控因为数据外泄给企业带来的可能风险和损 失变得尤为重要。总部网络部参照集团公司相关管理办法制定了本管理办法。 本管理办法适用于中国移动各省、市、自治区网优中心及相关合作单位(以下统 称“各单位”)。 本管理办法所称的网优大数据安全是指对各单位使用网优平台、 资管平台、 话务 网管、主设备厂家OMC 自动路测平台、信令监测平台、大数据应用平台、经分 系统等平台中的工程参数(基站天线高度、经纬度、方向角等位置信息)、网络 参数、性能指标、测试指标及文件、信令数据( S1_MM 、E S1_U 、 Uu 、 X2 接口的 信令、MR 以及通过关联分析产生的精确位置信息等数据进行安全管控。 各单位应加强网优大数据安全管理,围绕数据采集、传输、存储、使用、共享、 销毁等各个环节, 对可能存在数据外泄风险的环节及相关责任人员, 尤其针对可 能含有用户号码、位置、通话及上网记录等敏感信息的信令 XDR 数据,建立网优 大数据安全责任体系, 健全网优大数据安全管理制度, 完善防护措施和技术手段; 同时对公司内外部人员开展网优大数据安全意识教育, 建立常态化的监督检查机 制,深化落实网优大数据安全责任,确保管理制度及安全防护手段的有效落实。 网优大数据安全管理应遵循如下原则:
一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态