中国移动详解信息安全保护 制度技术双重上锁
2010-08-01 中国IDC产业联盟 编辑:桂军
中国IDC产业联盟讯 7月31日上午消息(桂军)由中国通信企业协会增值服务专业委员会主办,C114中国通信网与中国IDC产业联盟网承办,中国通信企业协会通信网络运维专业委员会与中国联通国家数据中心协办的“2010中国数据中心网络与信息安全论坛”于7月29日在北京京都信苑饭店隆重召开。
在会上,中国移动信息安全管理部技术支持处冯运波透露,为了加强客户信息安全,中国移动也出台了一些相关的办法。比如网络部发布了《客户信息安全保密规定》,市场部发布了《五条禁令》,业务支撑系统部也发布了《数据安全管理办法》。
作为一个新成立的二级部门,信息安全管理部也制定了相应的更细化的管理办法和规定,其中就包括《客户信息安全保护管理规定》,制定了客户信息安全控制矩阵、检查矩阵。
客户信息安全保护管理主要是围绕着产生传输、存储、处理、消费,整个客户信息全生命周期的安全保护。包括客户信息内容和保护等级的划分、操作权限、操作流程、操作日志稽核和系统安全管理要求等。通用、转向分类检查,矩阵分为通用和转向检查矩阵。检查矩阵是对控制矩阵的控制要求,又制定了每项具体检查的方法和步骤。检测控制点有51个,又成立了116个检查点,涉及到11大类的风险。
“制度已经是比较完备了,但是客户信息的保护如果没有技术手段相辅助,就很难达到必要的效果。所以我中国移动也是考虑在技术手段上面,陆陆续续的采取一些策略。”冯运波如此指出。
首先要加强终端安全管理,防止非法终端接入。“系统中华内部的人员数量是相当庞大的,怎么样来加强保护,首先终端的接入控制,终端的安全保护,这是保证客户信息部泄密的第一步。”
其次是实施安全加固,减少系统安全风险。所有的客户信息系统都要定期进行风险评估,进行安全加固,通过这种加固,来减少系统自身存在的各种安全风险。
第三,通过4A的集中管控,对客户信息访问进行集中的认证、授权和安全审计,并且实现统一的证号管理。4A管控也是中国移动集团上下目前正在推动的一项重大工程,就是在分省、分系统、分专业在推动4A系统的建设。
第四,要部署DLP设备、对客户信息泄密行为进行监控。同时,通过日志稽核,加强操作合规性审计。
第五,实施文档安全管理,对客户资料文档进行加密,防止信息泄密。有些数据交换是以文档、电子文件的形式存在,对于这种形式存在的文档现在要求用加密的方法,通过文档安全管理的方法,来防止泄密。
第六,引入金库认证模式,加强事中的安全管控。一定是有第二个人同时在场,进行授权之后才能够进行进一步的操作。通过多种技术手段,来达到保护客户信息的目的。