论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 25 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-07 11:29 
离线
高级用户

注册: 2009-08-06 11:42
最近: 2016-03-08 18:33
拥有: 3,786.00 安全币

奖励: 32 安全币
在线: 3886 点
帖子: 226
今天心血来潮,对最近接触的一些客户,关于运维涉及到的信息防泄密讨论下。

………………………………………………………何为运维(此部分为转载)……………………………………………………………
何为IT运维服务  
对于IT运维的概念,从第一台IT设备投入运行之日起,就已经产生。IT运维关系到每一台IT设备的使用和有效运行。然而,单台IT设备软硬件产品的支持服务(即维保服务)并不能解决企业的信息化需求,企业更需要一个通过日常例行而又主动的IT系统状况运行监测、IT资产配置变更、系统升级及优化、系统架构改良和问题改善、系统高可用性建设、容灾系统的切换保障等一些列主动性维护,以及基于对用户全IT基础架构甚至对用户业务的充分了解后的IT运营工作为用户打造一个稳定、可靠、安全而高效运行的IT基础架构,这类工作用户外包给第三方提供的服务即为IT运维外包。
  此外,作为多台多类复杂IT环境的集成组合,IT系统的维护和管理工作更加会超出以上罗列的IT运维服务的概念,甚至偏向用户的业务割接、用户完整的IT资产、IT架构的管理、用户的服务流程体系建设等非技术层面的规范化管理范畴,从而发展成IT管理服务(IT Managed Service)。
当前全球市场,很多企业已经通过管理服务供应商(Managed Service Provider,通称MSP)提供的IT管理外包服务中获益,并且实现了企业从服务供应商得到从技术到流程化规范化的管理的端到端服务输入,从而更好的保障企业有更多的精力关注于主营业务的高速发展,而无须顾虑IT基础架构对业务的支持及保障能力供给。
  而中国市场,企业也逐步从IT产品的基础维保服务演变成为“卖人头”方式的IT运维外包服务基础需求,并且逐步提升为当前的IT管理外包的深度外包诉求,市场明确提出了对IT服务供应商(IT Service Provider,通称ITSP)的更高的非技术化的管理经验的需求,由此带来IT服务供应商的自我提升的压力,IT服务供应商必须基于自身多年IT运维能力的积累和对行业的经验累计之后,形成一套规范化的IT运维体系(人员、流程、工具、平台),实现从原有的基于IT技术驱动的IT运维服务供应商(ITSP)提升为以技术及管理价值为核心价值的IT管理服务供应商(MSP)的转型,通过IT管理外包服务向企业输出技术+管理的运维理念和管理方式落地体现价值。

IT运维服务与IT维保服务差别  
IT产品支持服务(即IT维保服务)是指通过故障报修、故障定位等方式进行IT设备的备件更换、补丁安装和定期巡检等增值服务。响应时间和修复速度是评估IT维保服务的重要指标。而对于IT运维服务及IT管理服务,则是对以运维系统为单位的IT 基础设施进行整体运行维护及优化,由驻场的一线运维工程师和非驻场的二线专家工程师团队进行流程化规范化协作支持,形成多产品多技能的专业化、团队化支持体系,为企业用户提供对企业IT基础架构的流程化、标准化、规范化、专业化的制度化管理,技术实施内容包括数据库整理、调整、备份执行、策略调整、系统参数调整、临时空间清理、存储容量分配和再分配、存储性能优化等各种作业在内的执行,并对作业规范进行制定和优化、优化管理系统资源、监督管理故障维修(由维保服务供应商提供)等。在评估IT运维服务及IT管理服务的服务水平(SLA)时,能否实现业务系统运行稳定,以及对业务应用发展的支持能力是重要考核指标。
  与为用户的主机、服务器、存储、网络等设备进行产品自身的软硬件支持及故障处理的IT维保服务相比,IT运维服务及IT管理外包服务需要服务供应商更多地在对企业IT基础架构的全面而充分的了解的前提下,通过IT技术的应用实现对IT基础架构的优化和改善、通过IT管理的引入实现用户IT资产的最大化收益;甚至需要服务供应商通过对用户业务的理解,为用户的业务规划及发展从IT运维的角度提供更加有利的业务支持和保障建议。

IT运维管理的主要内容和价值所在  
IT运维管理在现代企业发展过程中担负着越来越重要的角色,随着企业利润来源对IT系统建设和管理的依赖程度越来越大,如何通过引入服务供应商专业化的管理方法且快速提高企业IT运维水平成为企业的必然需求。
  目前,中国大多数企业已完成对IT系统基础设施的建设,正处于提高IT运维管理水平的阶段。如何将基础设施的效率发挥出来,需要通过提高IT运维水平来提升基础设施运行效率。通过实施具有针对性的IT运维管理方案,将科学的管理方法论、管理工具、管理流程和企业的业务紧密结合,才能有效提高企业的IT运维水平。优质的IT运维管理,能够为企业、企业员工和其他利益相关者提供多方面的价值,降低企业的运营成本,提高IT服务效率,为企业带来新的利润增长点。对于现代企业,IT运维管理的价值体现在不但能够确保IT流程有效地支持业务发展,提高企业业务运营的质量和生产率,及时有效地保障了业务的连续性;而且使IT资源得到集约型应用,避免资源重复使用和浪费。

总的来说,IT运维管理服务侧重于系统整体架构方面的主动维护、优化和管理理念植入,包括操作系统、数据库、中间件、SAN环境、存储、网络等系统平台的系统结构规划、优化、调整,与部署在系统平台上的应用系统联系更加紧密,实时关注整个系统的运营状态,最大限度地保障整个系统的连续运营。
  目前,对于大型的复杂IT环境,IT系统的整体运行维护已成为系统工程,需要一个专业和强大的团队来执行。在欧美国家,IT运维服务及IT管理外包服务是财富500强的标准实践内容,大多数财富500强用户均部分或者全部外包自身IT运维工作甚至连同IT资产一同外包给IT管理服务商。

……………………………………………………………………转载完毕………………………………………………………………………

既然运维工作这么重要,且如此有意义。但是当第三方运维给大家带来种种便捷时,各位是否会想到是否有哪些风险呢?虽然用户单位跟运维公司签合同时,一般都会签订保密协议之类的文件。但意义终究有多大呢?运维人员极大程度知晓单位网络情况、熟知设备及系统口令,掌握单位信息资产信息及部分方案报告之类,而且大部分运维人员都是使用自己的计算机进行办公,大量的运维资料都存放在个人计算机上。那么怎么来防止运维人员的信息泄露呢?
据了解,大量政府单位的信息部门都采用由第三方公司运维的方式。现实中,常常由于用户单位技术人员的技术水平、工作责任心等因素的影响,用户自己反而对单位的设备及系统的熟悉程度没有运维人员高。在这种情况下,运维工作的正常开展就会极大程度的依赖于第三方运维公司人员。当第三方运维人员出现主动亦或被动的信息泄露时,自己单位的信息安全就会受到不同程度的威胁。
据了解,目前相关的技术手段主要有文件加密保护和桌面虚拟化。
第一种办法,文件加密后存放在使用者终端计算机,密文仍有泄露的可能,如果密文被泄露,在一定程度上依然存在风险;
第二种办法,桌面虚拟化也有不少劣势:
a、对硬件资源要求高;
b、系统授权成本增加;
c、系统升级打补丁麻烦;
d、无法运行大型的应用程序;
e、实际物理PC机外围设备的操作麻烦。

那么是否有相应的技术手段来解决这方面的问题呢?请大家畅谈解决思路,各抒己见,非常感谢!


--------本帖迄今已累计获得85安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-07 14:41 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,616.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
运维审计+虚拟化

现在越来越认同“七分管理+三分技术”的论点了,呵呵。


--------本帖迄今已累计获得49安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-07 15:28 
离线
中级用户

注册: 2012-06-20 16:54
最近: 2014-12-04 10:58
拥有: 114.00 安全币

奖励: 11 安全币
在线: 1428 点
帖子: 83
限制网络设备管理地址,只允许一些IP地址或网段管理网络设备,写ACL限制管理网络设备的终端不让它上互联网,可以防止通过互联网泄密,在管理网络设备的终端上在安装禁USB的软件可以防止通过移动存储设备拷贝泄密,在管理网络设备的终端的操作间安装摄像头可以防止拍照之类的(他要是整个针孔真防不了),其实一些东西都是相对的,对内一些东西肯定防止不了,在打个比方一般在客户那第三方运维的公司,那个网都是他们建的,他们什么都非常了解,有些在客户那驻场的第三方人员都驻好几年了,运维的资料不看都记住了,你怎么防人家!下面在引用下楼主去年9月在文档安全/防泄密(DLP)版面发的帖子!
文章标题 : Re: 所有防泄密产品都无可避免的致命漏洞 发表于 : 2012-09-27 09:11
技术能做到的都是相对的,人的思想是无限的。你就算是有可以防止拍照的的显示器,或者禁止带手机进入办公区域,泄密的问题也可以存在。你说说,如果别人手抄或者人脑记忆,你怎么防? 所以,还是一句话,技术和管理要结合,只是可以根据单位具体情况加以区别,不同侧重罢了。


--------本帖迄今已累计获得55安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-07 17:04 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,490.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
1、提供专用维护机器;
2、增加运维审计;
3、自己培养内部人才;


--------本帖迄今已累计获得49安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-07 22:44 
离线
高级用户

注册: 2009-08-06 11:42
最近: 2016-03-08 18:33
拥有: 3,786.00 安全币

奖励: 32 安全币
在线: 3886 点
帖子: 226
phoenix-- 写道:
1、提供专用维护机器;
2、增加运维审计;
3、自己培养内部人才;


1、第一条感觉可以采用,理论上说运维人员没必要将用户环境的文档资料等带出或者脱离用户的使用环境;
2、运维审计对设备等管理有作用,但对于终端的文档恐怕是无能为力吧;
3、对于政府客户来说,加自己人,意味着部门、科室扩编,比较困难,不太现实。

不错,大家请畅所欲言,相互学习!呵呵。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-08 08:49 
离线
新手

注册: 2012-06-29 10:03
最近: 2013-01-08 09:01
拥有: 42.00 安全币

奖励: 0 安全币
在线: 111 点
帖子: 9
很好,楼主提到目前的解决办法有2种,即文档加密和桌面虚拟化。这点没错,但是如果产品的思路变化下呢。我们有款产品就是电子文档加密的产品,但它跟市面上很多同类产品不同,采用了跟国密局认可的分离式电子标签技术,做到了信息集中存储,实体文件不落地。

以下做个广告,请不要介意,如有需要可以联系。
建议了解下上海颐东网络信息有限公司推出的英赛虎电子文档安全管理系统。

特点如下:

1、采用独创的分离式安全标签技术,实现信息集中存储,确保信息不落地。

2、采用内存安全域技术和进程认证技术,确保文件操作的安全性。

3、采用密码服务中间件技术,能与软密、商密、普密、核密和军密进行对接。

4、具备完善的权限管理和流转审批功能,能根据文件密级对用户访问行为,如:编辑、只读、复制、打印、共享、外带、刻录、阅读时间、打开次数、打印次数等进行控制。

5、具备完善的身份认证功能,能与数字证书、AD域、应用系统身份认证措施有效结合。

6、具备完善的终端防护措施,能防止用户通过U盘、刻录机、打印机、无线、蓝牙、双网卡、截屏、取词发送等形式的泄密行为,能有效地防止了各种窃密和泄密事件的发生。

7、具备完善的安全审计功能,能实时记录用户的所有操作行为,同时能与第三方水印技术和标签技术结合。一旦发生泄密事件,能够快速追查,分清责任,堵住漏洞。

8、提供SDK接口,能与现有OA等应用系统无缝结合。

9、部署安装方便,无需额外投资。

10、操作透明,不改变用户使用习惯。

服务:

1、售后服务实现本地化,在北京、上海、广州、重庆设有分公司;
2、全国开通了技术支持热线电话4006962666;
3、对于用户所反馈的系统故障,在现场维护人员、远程维护及电话帮助都难以解决的情况下,将在24小时内派出资深工程师进行上门维护,以确保用户信息系统的故障得到最快速、最全面、最彻底的解决。

该产品在政府、军队、企业都有大量客户群体,操作简单,使用稳定,普遍反映良好。希望能帮到你!


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-08 11:19 
离线
初级用户

注册: 2010-03-01 08:48
最近: 2013-04-27 08:43
拥有: 1,324.00 安全币

奖励: 22 安全币
在线: 1300 点
帖子: 49
这种事情想只从技术上解决是不可能的。管理+技术也不能完全解决。
技术上phoenix--提出的设置专用机是一个不错的思路,这个专用机上还需要上一系列的手段防拷贝、防非法外联、禁止上互联网等等。并且要把专用机上的一切操作进行记录,以便后期审计。
管理上不仅要签订保密协议,而且要定期从公安或保密部门获取是否有本单位信息外泄的机制。


--------本帖迄今已累计获得64安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-08 15:46 
离线
高级用户

注册: 2009-08-06 11:42
最近: 2016-03-08 18:33
拥有: 3,786.00 安全币

奖励: 32 安全币
在线: 3886 点
帖子: 226
whhjmt1 写道:
这种事情想只从技术上解决是不可能的。管理+技术也不能完全解决。
技术上phoenix--提出的设置专用机是一个不错的思路,这个专用机上还需要上一系列的手段防拷贝、防非法外联、禁止上互联网等等。并且要把专用机上的一切操作进行记录,以便后期审计。
管理上不仅要签订保密协议,而且要定期从公安或保密部门获取是否有本单位信息外泄的机制。



定期从公安或保密部门获取消息,一般单位的信息没有这么涉密吧,呵呵。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-08 17:27 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,616.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
其实,第三方的有意或无意造成的数据泄密,深层次都是源自甲方内部的不安全造成的。

首先要有一个完善的流程和机制来约束第三方人员;其次要做好管理和技术层面的结合(信息分类、信息保护、信息的合法授权和扩散等);再有,加强甲方内部人员的保密意识。

甲方不能单纯依赖第三方的自律,我想这也是楼主的出发点。外包出去不是不管了,而是要有章有法的严格管理和控制,这样才能避免数据泄漏的风险。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-09 08:49 
离线
高级用户

注册: 2009-08-06 11:42
最近: 2016-03-08 18:33
拥有: 3,786.00 安全币

奖励: 32 安全币
在线: 3886 点
帖子: 226
sun_bone 写道:
其实,第三方的有意或无意造成的数据泄密,深层次都是源自甲方内部的不安全造成的。

首先要有一个完善的流程和机制来约束第三方人员;其次要做好管理和技术层面的结合(信息分类、信息保护、信息的合法授权和扩散等);再有,加强甲方内部人员的保密意识。

甲方不能单纯依赖第三方的自律,我想这也是楼主的出发点。外包出去不是不管了,而是要有章有法的严格管理和控制,这样才能避免数据泄漏的风险。


我的初衷是尽可能从技术角度解决问题。 :D


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-10 12:34 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,616.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
去过亦庄的机房办过几次事,有些借鉴和参考。

1、IDC进门要进行登记、拍照,专人接送;vip用户可以办理工作卡,卡内授权指定进入区域。
2、安检,登记、检查,所有的工具尽量登记。18大后,手机一律不准携带入内,每客户区域内配有无绳电话,里面通讯只能依靠该电话,经常要抄一些电话号码在纸上,方便与外界联系。
3、机房内,监控无死角,每个vip有自己专区,通过铁栅栏物理分开,机柜钥匙严谨插在机柜上,必须由专人保管。

现场基本上已经算很严格了,在安全点的话就赶上进保密单位了。

但是上面只是一方面,重点防范的是现场的问题,远程运维随着互联网专线的接入,审计产品、vpn接入也就是基本的必要的技术手段。

不过,我个人还是感觉管理手段的到位还是能事半功倍,远远比通过技术手段要重要的多,只是现在乃至将来一段时间内,管理手段还是发展缓慢,还要依靠必要的技术手段来规避管理缺失造成发的风险。成本,代价,呵呵。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-10 12:38 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,616.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
再有,文档里的还是考虑使用基于DLP的保护,或者干脆使用虚拟化,不让第三方接触到实质的文档,只能看和编辑、不能下载和带走。

考虑探头的威慑力,同时,每次进入物理区域前要有严格的安全检查,智能手机、照相类的工作禁止携带。

说到这,看来非智能手机还有一点点发展空间,哈哈。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-10 16:29 
离线
高级用户

关注按钮

注册: 2012-11-26 09:56
最近: 2014-01-24 09:44
拥有: 1,971.00 安全币

奖励: 1483 安全币
在线: 4974 点
帖子: 177
地址: 上海
外企的数据中心还好,见过国内一些私企的和电信托管的 简直是吓死人啊,技术再好也白搭。





sun_bone 写道:
去过亦庄的机房办过几次事,有些借鉴和参考。

1、IDC进门要进行登记、拍照,专人接送;vip用户可以办理工作卡,卡内授权指定进入区域。
2、安检,登记、检查,所有的工具尽量登记。18大后,手机一律不准携带入内,每客户区域内配有无绳电话,里面通讯只能依靠该电话,经常要抄一些电话号码在纸上,方便与外界联系。
3、机房内,监控无死角,每个vip有自己专区,通过铁栅栏物理分开,机柜钥匙严谨插在机柜上,必须由专人保管。

现场基本上已经算很严格了,在安全点的话就赶上进保密单位了。

但是上面只是一方面,重点防范的是现场的问题,远程运维随着互联网专线的接入,审计产品、vpn接入也就是基本的必要的技术手段。

不过,我个人还是感觉管理手段的到位还是能事半功倍,远远比通过技术手段要重要的多,只是现在乃至将来一段时间内,管理手段还是发展缓慢,还要依靠必要的技术手段来规避管理缺失造成发的风险。成本,代价,呵呵。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-12 15:23 
离线
中级用户

注册: 2012-06-20 16:54
最近: 2014-12-04 10:58
拥有: 114.00 安全币

奖励: 11 安全币
在线: 1428 点
帖子: 83
sun_bone 写道:
再有,文档里的还是考虑使用基于DLP的保护,或者干脆使用虚拟化,不让第三方接触到实质的文档,只能看和编辑、不能下载和带走。

考虑探头的威慑力,同时,每次进入物理区域前要有严格的安全检查,智能手机、照相类的工作禁止携带。

说到这,看来非智能手机还有一点点发展空间,哈哈。


一般的第三方都是建设甲方信息系统的集成商,甲方的文档都是第三方给甲方写的!


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 畅谈运维管理与数据防泄密
帖子发表于 : 2013-01-12 15:47 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,616.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
weiwei000111 写道:
sun_bone 写道:
再有,文档里的还是考虑使用基于DLP的保护,或者干脆使用虚拟化,不让第三方接触到实质的文档,只能看和编辑、不能下载和带走。

考虑探头的威慑力,同时,每次进入物理区域前要有严格的安全检查,智能手机、照相类的工作禁止携带。

说到这,看来非智能手机还有一点点发展空间,哈哈。


一般的第三方都是建设甲方信息系统的集成商,甲方的文档都是第三方给甲方写的!


同意,不过,今后虚拟化引进以后,第三方的开发和源代码都在甲方后台环境内操作,也就是说只能看,不能摸。:)
这一点从根本上能够控制文档和源代码的一些安全风险问题。

慢慢演进


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 25 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012