论文部分内容阅读
摘 要:为了进一步推进安全审计工作,实现精细化管理,我们实现了安全审计的多级“家长”体系,开发了省、市、县、厅四级架构审计平台,从而使安全审计形成了一个与运营体系相一致的四级审计管理体系。通过构架多级审计体系,将审计工作实现了自动化、常态化。每个级别内的用户分别针对下级进行监督和指导,对上级进行汇报。
关键词:技术与管理结合;信息安全;数据泄露;分级审计
1 背景
业务支撑系统具有敏感数据集中、系统用户数量巨大、用户成分复杂(包括代理商等)等特点,因此必须实现对敏感数据的审计、报警功能。但目前审计工作的一个突出问题就是“日常审计流于形式,没有确定的流程、确定的人对包括营业员在内的操作进行审计”。
安全审计工作中,“人速”赶不上“光速”。人速:审计人员用“肉眼”看日志的速度。光速:犯罪分子用自动化工具盗取信息的速度。解决此问题需要2个步骤:
1.1技术上实现自动化分析、报警
1.2管理与技术真正结合。如果只靠省公司的安全审计员,肯定无法对全省的审计数据做到一一处理,必须有确定的流程、确定的人、多级组织负责处理告警。即安全管理的三原则之一:“岗位落实、集中管控原则:安全责任必须落实至人员及岗位,建立有效的关键控制点进行集中统一的安全管控,通过多角色的协同工作共同完成。”
为解决根本问题,河北移动在全国首创了“省、市、县、厅四级审计体系”,建设了“安全审计平台”,做到了将安全审计工作“一竿子插到底”,实现了管理与技术的真正结合。
2 创新成果
2.1建设“省、市、县、厅”四级审计体系,“谁的孩子谁抱回家”
为了进一步推进安全审计工作,实现精细化管理,我们在已建设的“页面审计系统”基础上,实现了安全审计的多级“家长”体系,开发了省、市、县、厅四级架构审计平台,从而使安全审计形成了一个与运营体系相一致的四级审计管理体系。通过构架多级审计体系,将审计工作实现了自动化、常态化。每个级别内的用户分别针对下级进行监督和指导,对上级进行汇报。
2.2审计分级管理
在四级审计体系下,实现了对审计权限的精确分级管理,通过基于角色的權限分配机制,使每一级的审计管理人员只有权限查看自己所管辖范围内的审计数据。结合“省、市、县、厅”四级审计体系的设计思想以及审计工作的实际业务需要,将审计用户分为了以下的六种角色:
营业厅班长->县副经理->市业支经理->市副总->省业支副总
四级审计平台支持对不同的审计用户权限进行审计查询展现。随着业务的发展,可以根据实际业务需要修订审计员默认权限,以增加或减少审计员的审计权限。
2.3审计工作流程化
由于泄密事件具有突发性的特点,因此当审计系统发现有敏感操作、违规操作等异常情况时,审计系统须实时发出报警信息,使审计人员能在第一时间知道并及时处理。因此我们提出了将审计平台与运营管理平台相结合的设计思想,将审计作为安全运营管理的一个重要组成部分,实现了审计平台与安全运营管理的联动功能;如审计系统发现了在业务网内有异常操作情况,将会把报警信息实时发送至运营管控平台并启动审计工单流程,从而实现了触发告警、自动工单生成等流程化处理模式,该告警、工单将发送至相应的审计员处,并提示处理的紧迫性(截止时间)。收到该报警工单的审计员必须在截止时间前及时处理工单,否则审计系统将自动升级该工单,并向高一级的审计管理人员发出工单,直至该工单被处理。
2.4日常审计流程
2.4.1总流程描述
(1)当营业厅人员有涉密操作或者违规办理业务操作时,审计系统将即时发出报警。该报警先发给营业厅审计员,营业厅审计员须在规定时间内,立即对此报警事件进行处理,如营业厅审计员在规定时间内未能及时审计,则该报警自动升级至上一个级别;如所需处理该报警权限大于该营业厅审计员权限时(如异地登陆获取敏感数据),则由该审计员手工操作,将该报警升级至上一个级别。
(2)厅、县、市、省四级审计流程以上述流程类推。
2.4.2分流程举例描述
人员:营业厅审计员(班长)
审计范围:营业厅
工作内容:
营业厅安全审计员必须每天对高安全级别数据的操作行为进行审计,重点审计用户详单、客户资料查询操作和企业经营分析数据的读取日志,及时发现违规行为并上报上级主管。
每天审计前一天发生的所有高安全级别数据操作是否都有授权审批记录,统计各种不同操作类型的发生数量。将违规操作行为的操作人、操作时间、操作详细内容通报上级业务支撑部门主管,具体包括:
(1)对营业员访问一级、二级敏感数据的日志记录进行审计,包括账号、IP、时间、访问内容,工单记录,并核实电子工单或纸质流程记录。
(2)对营业主管访问一级、二级敏感数据的访问日志进行审计,包括访问人姓名、访问时间、访问内容,及操作权限审核,并核查电子工单或纸质流程记录。
(3)对营业后台运维人员访问客服系统中一级、二级敏感数据日志进行审计,包括访问人姓名、访问时间、访问内容及操作权限审核,并核查电子工单或纸质流程记录。
(4)对岗位职责变更日志进行审计,包括营业员、营业主管等离职、换岗,并核查访问记录及纸质签字记录。
(5)审计员实时接收并处理对涉及一级、二级敏感数据的批量查询、批量下载操作行为的报警,并制作专项审计报告。
3 总结
通过建设“省、市、县、厅”四级审计体系,实现了对敏感数据的精细化管理,将审计工作推向运营一线;通过完善的审计管理体系,使业务支撑网内各系统的数据安全防护能力得到进一步提升;建立四级审计工作流程,加强了全省统一的业务支撑网铭感数据安全审计管理能力,进一步规范各市县分公司敏感数据安全防护基础工作,确保敏感数据的安全。
参考文献:
[1]中国移动中国移动业务支撑网4A安全技术规范2007年9月第3-103页.
[2]中国移动NGBOSS1-CRM技术规范2007年7月第31-35页.
作者简介:闫振英(1975-)、男、汉族、河北沧州,就职单位:中国移动通信集团河北有限公司业务支撑中心、工程师、本科、研究方向:信息安全。
关键词:技术与管理结合;信息安全;数据泄露;分级审计
1 背景
业务支撑系统具有敏感数据集中、系统用户数量巨大、用户成分复杂(包括代理商等)等特点,因此必须实现对敏感数据的审计、报警功能。但目前审计工作的一个突出问题就是“日常审计流于形式,没有确定的流程、确定的人对包括营业员在内的操作进行审计”。
安全审计工作中,“人速”赶不上“光速”。人速:审计人员用“肉眼”看日志的速度。光速:犯罪分子用自动化工具盗取信息的速度。解决此问题需要2个步骤:
1.1技术上实现自动化分析、报警
1.2管理与技术真正结合。如果只靠省公司的安全审计员,肯定无法对全省的审计数据做到一一处理,必须有确定的流程、确定的人、多级组织负责处理告警。即安全管理的三原则之一:“岗位落实、集中管控原则:安全责任必须落实至人员及岗位,建立有效的关键控制点进行集中统一的安全管控,通过多角色的协同工作共同完成。”
为解决根本问题,河北移动在全国首创了“省、市、县、厅四级审计体系”,建设了“安全审计平台”,做到了将安全审计工作“一竿子插到底”,实现了管理与技术的真正结合。
2 创新成果
2.1建设“省、市、县、厅”四级审计体系,“谁的孩子谁抱回家”
为了进一步推进安全审计工作,实现精细化管理,我们在已建设的“页面审计系统”基础上,实现了安全审计的多级“家长”体系,开发了省、市、县、厅四级架构审计平台,从而使安全审计形成了一个与运营体系相一致的四级审计管理体系。通过构架多级审计体系,将审计工作实现了自动化、常态化。每个级别内的用户分别针对下级进行监督和指导,对上级进行汇报。
2.2审计分级管理
在四级审计体系下,实现了对审计权限的精确分级管理,通过基于角色的權限分配机制,使每一级的审计管理人员只有权限查看自己所管辖范围内的审计数据。结合“省、市、县、厅”四级审计体系的设计思想以及审计工作的实际业务需要,将审计用户分为了以下的六种角色:
营业厅班长->县副经理->市业支经理->市副总->省业支副总
四级审计平台支持对不同的审计用户权限进行审计查询展现。随着业务的发展,可以根据实际业务需要修订审计员默认权限,以增加或减少审计员的审计权限。
2.3审计工作流程化
由于泄密事件具有突发性的特点,因此当审计系统发现有敏感操作、违规操作等异常情况时,审计系统须实时发出报警信息,使审计人员能在第一时间知道并及时处理。因此我们提出了将审计平台与运营管理平台相结合的设计思想,将审计作为安全运营管理的一个重要组成部分,实现了审计平台与安全运营管理的联动功能;如审计系统发现了在业务网内有异常操作情况,将会把报警信息实时发送至运营管控平台并启动审计工单流程,从而实现了触发告警、自动工单生成等流程化处理模式,该告警、工单将发送至相应的审计员处,并提示处理的紧迫性(截止时间)。收到该报警工单的审计员必须在截止时间前及时处理工单,否则审计系统将自动升级该工单,并向高一级的审计管理人员发出工单,直至该工单被处理。
2.4日常审计流程
2.4.1总流程描述
(1)当营业厅人员有涉密操作或者违规办理业务操作时,审计系统将即时发出报警。该报警先发给营业厅审计员,营业厅审计员须在规定时间内,立即对此报警事件进行处理,如营业厅审计员在规定时间内未能及时审计,则该报警自动升级至上一个级别;如所需处理该报警权限大于该营业厅审计员权限时(如异地登陆获取敏感数据),则由该审计员手工操作,将该报警升级至上一个级别。
(2)厅、县、市、省四级审计流程以上述流程类推。
2.4.2分流程举例描述
人员:营业厅审计员(班长)
审计范围:营业厅
工作内容:
营业厅安全审计员必须每天对高安全级别数据的操作行为进行审计,重点审计用户详单、客户资料查询操作和企业经营分析数据的读取日志,及时发现违规行为并上报上级主管。
每天审计前一天发生的所有高安全级别数据操作是否都有授权审批记录,统计各种不同操作类型的发生数量。将违规操作行为的操作人、操作时间、操作详细内容通报上级业务支撑部门主管,具体包括:
(1)对营业员访问一级、二级敏感数据的日志记录进行审计,包括账号、IP、时间、访问内容,工单记录,并核实电子工单或纸质流程记录。
(2)对营业主管访问一级、二级敏感数据的访问日志进行审计,包括访问人姓名、访问时间、访问内容,及操作权限审核,并核查电子工单或纸质流程记录。
(3)对营业后台运维人员访问客服系统中一级、二级敏感数据日志进行审计,包括访问人姓名、访问时间、访问内容及操作权限审核,并核查电子工单或纸质流程记录。
(4)对岗位职责变更日志进行审计,包括营业员、营业主管等离职、换岗,并核查访问记录及纸质签字记录。
(5)审计员实时接收并处理对涉及一级、二级敏感数据的批量查询、批量下载操作行为的报警,并制作专项审计报告。
3 总结
通过建设“省、市、县、厅”四级审计体系,实现了对敏感数据的精细化管理,将审计工作推向运营一线;通过完善的审计管理体系,使业务支撑网内各系统的数据安全防护能力得到进一步提升;建立四级审计工作流程,加强了全省统一的业务支撑网铭感数据安全审计管理能力,进一步规范各市县分公司敏感数据安全防护基础工作,确保敏感数据的安全。
参考文献:
[1]中国移动中国移动业务支撑网4A安全技术规范2007年9月第3-103页.
[2]中国移动NGBOSS1-CRM技术规范2007年7月第31-35页.
作者简介:闫振英(1975-)、男、汉族、河北沧州,就职单位:中国移动通信集团河北有限公司业务支撑中心、工程师、本科、研究方向:信息安全。