查看:5438|回复：8
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
社区专家团
数据保密一般分两种方式，拿我们公司来说：
1、对硬盘的加密，采用的是SOPHOS的SAFEGUARD，如果硬盘丢失什么的，别人不知道密码的情况是不无法得到硬盘上的数据的。
2、数据防泄密+++文件权限管理
& &数据防泄密也有不少成熟的解决方案，也可以用微软的RMS等
第2种对你们公司的需求。
至于你说的是，通过公司的网络ACL或是文件服务器权限管制，我很不看好。管理复杂不说，也不能从根本上解决问题。
[color=blue]07|08|09|10|11|12 Microsoft(R) MVP[/color]
提示: 作者被禁止或删除 内容自动屏蔽
上PHANTOSYS桌面虚拟化，把端口一封，硬盘拿走，开盘你都找不回数据！
提示: 作者被禁止或删除 内容自动屏蔽
楼主公司在哪？我们峰盛科盾内网安全系列产品能实现你们需求。
我建议您使用加密软件，那样可以完全解决资料外泄，包括可以解决内外网管理。
楼主可以试用我们的加密软件& &
其实你这个需要一个权限分配的一个加密软件。
比如说经理部门 有多文档处理的所有权限
部门经理可以给下属分配其他的权限，比如只能浏览，不能复制
还有就是如果有员工想复制数据，要给予他一定的权限，否则复制出来的都是一些乱码！你可以考虑一下用苏州清软易宝的ERM加密软件。
易宝ERM（Enterprise Rights Management，企业权限管理）-企业数据安全管理系统，是清软英泰提供的一款强大的数据安全，数据加密的安全管理软件，主要解决数字化资产（电子数据）的有效管理与控制问题。
清软易宝十五年加密品牌，一直为包括政府、军队、大型企事业单位在内的各级组织提供信息安全咨询服务，辅助开展安全体系规划与建设、信息安全等级保护、信息安全权限管理、信息安全集成、信息安全工程监理及安全管理工作，帮助企业建设有效地、合规的数据安全管理体系。
苏州清软英泰信息技术有限公司追求卓越品质，以完美的产品质量和服务让客户满意，公司使命为股东创造价值、为员工创造未来、为客户创造效益、为社会创造价值。“苏州清软英泰，为客户创造价值！”也一直是我们企业的经营目标和企业文化不可或缺的一部分。展望未来，我们诚心邀请各行各业的优秀企业与我们达成合作，我们也必会以优质的产品和服务来回报给客户。证券期货行业如何开展数据安全合规建设？
伴随互联网的高速发展，信息防御体系面临的风险威胁不断升级，直逼用户核心数据。这在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域更为明显。作为金融体系重要组成部分的证券期货行业，存在交易金额大，操作频度高的情况，因此，相比银行和保险行业，对数据安全的要求同样严格，而随着攻击手段的不断演进，加之内外安全威胁并发，边界安全防御机制已经难以招架传统网络环境下的数据安全新问题。
《上海期货公司信息技术负责人联席会议》第二十八次会议
9月9日，安华金和受邀参加由上海市期货同业公会主办的《上海期货公司信息技术负责人联席会议》第二十八次会议，安华金和数据安全专家林鹭现场发表《证券期货行业数据安全治理》主题演讲，结合我们在数据库安全领域近十年的专业技术积累和实践经验，立足行业当前的数据安全合规要求，提出针对整个证券期货行业的数据安全建设思路。
安华金和数据安全专家林鹭发表主题演讲
关于安全合规
满足网安法要求和相关测评标准
《网络安全法》明确指出网络运营商关于个人信息保护的责任，如不得泄露、篡改、毁损其收集的个人信息；应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。
符合“网络安全等级保护测评”；ISO/IEC 27000 信息安全管理体系认证；ISO/IEC 20000 信息技术服务管理体系认证等相关标准。
证券期货行业合规要求
中国证监会作为证券期货行业监管机构，一直以来高度重视证券市场客户资料的保护工作，先后制定发布了一系列规定，要求证券公司建立健全客户资料管理制度及保密机制，并在日常监管中推动落实监管规定。
《证券基金经营机构信息技术管理办法》（征求意见稿）对经营机构提出数据保护、信息安全保障等管理、实践要求。除中国证监会及行业核心机构认可的情形外，经营机构不得在生产环境开展技术或者业务测试，不得在开发测试环境使用未经数据脱敏的客户信息。此外，针对用户认证、访问控制管理、监控与审计、数据加密、入侵防护等提出明确要求。
“证券期货业信息系统审计指南”规定：从身份鉴别、访问控制、安全审计、运维管理角度对数据库安全情况进行评估。
“证券期货业数据安全标准规划”要求：数据分类管理、分级防护、按过程采取措施等。
证券期货业数据安全建设思路
结合以上证券期货行业安全合规要求，对应证监会关于该行业提出的“证券期货业信息系统审计指南”，我们提出适用于该行业的数据库安全建设思路：
1、数据访问与操作行为管控
审计指南：在线数据未经授权不得访问、复制。
对数据的修改是否通过审批，双岗操作并记录操作日志。
利用数据库安全运维系统，满足对内部人员、第三方人员数据库操作的管理要求。数据库运维安全审批流程管理，保证高危操作和敏感操作必须多人参与和批准；根据运维人员角色、运维数据重要度、运维操作风险类型，设置正常行为放行、可疑操作告警、重点操作审批、异常行为拦截。提供运维审批功能，敏感数据操作行为需要经过审批；审批通过后配发唯一口令码，确保操作执行者为信任用户，且执行行为属于获批行为。
通过数据库防火墙技术可以实现对数据库应用侧的外部攻击防护，具体表现为：漏洞攻击防护、SQL注入防护；数据库登录控制、权限控制；系统表和高危行为控制，返回结果阈值控制；对所有操作生成审计记录。
2、特定场景下规范数据安全使用
审计指南： 在线数据和离线数据用于非生产环境时，是否进行脱敏处理；用于模拟测试时如无法进行脱敏处理，测试环境应采取与生产环境相当的安全措施。
通过数据库脱敏技术：
实现不依赖数据标识对敏感数据的自动发现，全程自动脱敏，解放人力成本。
保障数据脱敏后的数据质量，确保测试系统、开发系统与业务分析系统能够高效使用脱敏后的数据。
3、第三方视角的数据库安全审计
审计指南：审计范围是否覆盖到服务器和重要客户端上的每个数据库用户；应在保证系统运行安全和效率的前提下，启用系统审计或采用第三方安全审计产品实现审计要求。
是否包含全面的审计内容和审计记录。
是否能够根据记录数据进行分析，并生成审计报表。
通过第三方企业的数据库审计技术：
以“第三方”角度观察、记录网络中对数据库的访问行为，并识别访问风险；
实现全面的数据库审计，覆盖审计范围与内容要求，完美的报表展现，满足审计记录要求和审计报表需求；
通过精确的性能监控，找出业务性能瓶颈，帮助提升系统业务性能；
4、数据库安全的自动化检查
审计指南：关于身份鉴别：口令是否符合混排、无规律要求；长度、更换频率是否满足要求等。
数据库运维：是否保持数据库的可用性，及时维护、更新软件；是否定期检查数据库的用户、口令及权限设置的正确性。
通过漏扫工具完成数据库自动化检查，找出数据库安全弱点，查找数据库安全漏洞和数据库危险使用情况，做到防患于未然。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
云数据安全，数据库加密-安华金和
数据库防火墙,数据库加密，云数据安全
今日搜狐热点业内专家｜“业务＋数据”定义安全战略“合规+刚需”是未来趋势-PCSA《行业云安全解决方案》通过专家组评审
&日下午， 由中国信息协会信息安全专业委员会主办的《行业云安全解决方案》专家评审会在万寿宾馆召开，十五位来自监管单位、政府、运营商、广电、新华社、媒体、保险、解放军、信息安全及信息化的专家及数十位联盟成员单位代表参加了本次会议。本次会议是信息安全专业委员会行业云安全工作组成立后的第四次专家会，是在“业务+数据”定义安全战略，以及云计算时代云安全带来的新挑战的大背景下，行业云安全工作组聚合行业力量，在等级保护2.0时代，打造“合规+刚需”的行业云安全解决方案，满足行业云建设的安全需求。专家组经过一下午的讨论和质询，专家们一致认为设计方案依据政策标准方向准确，围绕可视、可管、可控、可持续的目标，面向行业云“合规+刚需”的安全防护需求，借鉴“预测、防御、检测和响应”的自适应安全防御框架，提出了行业云下一代网络安全主动防御体系，为行业云平台安全建设提供了指导性的解决方案。同时，专家们认为行业云安全解决方案的目标明确、框架合理，结构完整、内容祥实，围绕核心关键能力的建设，提出的方案具有较强的适用性，可控展性和可操作性。另外，专家们认为行业云安全解决方案首次较为全面地提出行业云环境下网络安全保障体系框架，具有创新性和先进性，对推动云计算安全等级保护标准的应用实施和建立行业云安全生态链具有积极的作用。专家组给予方案编制组的同志们充分的肯定，在方案的创新性、完整性、可操作性等方面给于较高评价，中国信息协会信息安全专业委员会行业云安全工作组的《行业云安全解决方案》一致通过专家评审。以下为会议过程 ：第一阶段：背景介绍中国信息协会信息安全专业委员会行业云安全工作组（PCSA）秘书长、PCSA主任专家委员致辞，阐述了工作组及工作任务的核心背景，面对众多行业用户行业云安全如何该如何建设，专业委员会决定聚集网络安全行业的能力者，为行业云安全建设盲点进行出谋划策。信息安全专业委员会行业云安全工作组（PCSA）副秘书长就行业云工作组成立背景及主要工作任务做出详细的介绍。自去年10月20日，PCSA成立以来，就着手《行业云安全解决方案》的研究，可谓时间紧，任务重。PCSA成员单位分为五个工作组，分别是标准研读组，解决方案组、能力验证组、联合开发组、行业验证组，各司其职，聚合能力，加快解决方案的务实落地。《行业安全解决方案》将在2017年上半年国家几个重点实验室和联盟单位和行业用户进行落地验证。第二阶段：解决方案组汇报：行业云安全解决方案组组长代表工作组20多位同志的智慧结晶向专家组进行《行业云安全解决方案》汇报，一共分为四个篇章，背景、总体设计、详细设计、方案总结。汇报中，在第一部分方案背景中特别指出业务＋数据定义安全战略，并强调方案的设计目标基于“预测、防护、检测、响应”自适应安全体系，以按需提供云化安全服务为目标，构建云环境下的下一代的主动安全防御体系。通过整合不同安全能力，实现行业云安全的“合规＋刚需”目标，推动云等保的落地实施。第二部分总体设计重点强调了方案核心设计的制度、标准依据、目的、原则，思想和框架。在第三部分，详细设计部分详细方案围绕总体框架，重点一个中心，三重防护为核心，详细分析云环境特点，以合规为基线，重点解决核心关键目标，按照云环境区域边界、通信网络、云计算环境，安全能力资源池和能力调度中心为核心，分析了各层风险和威胁以及安全措施。专家组聆听介绍：与会专家，通过两个小时的聆听，两个小时的质询，对解决方案组方案的每一个篇章按照行业云场景，主要威胁、防范措施、关键技术、合规落地、可操作性都进行了详细的质询。国家发改委信息化专家，原审计署信息办主任，行业云安全专家主副主任委员周德铭老师，特别关注方案的可操作性，围绕等级保护十二年如一日，信息安全老问题和云时代新挑战都存在，重点阐述了政务云两大类“政府治理”和“公共服务”的两类云环境应用场景如何落地，提出相关的建议和意见，提出安全能力服务化，表示行业云安全工作组对行业云安全解决方案对制度和标准的理解很深入，并具有较高的集成性，建议方案能够进一步上升为行业云安全等级保护建设的规范指南，为政府治理行业云和公共服务行业云提供网络安全的服务机制。行业云安全专家组专家 解放军某信息安全中心 宋建平老师，围绕云环境下信任于标识的主题提出相关建议和意见，云和传统最大的区别是让行业用户信任云，使用云一定要建立信任关系，合规是基础，等级要标识，用户要标识。建立强信任链，认同合规+刚需的整体方案思路，建议做好行业协会带动行业发展，让用此方案的用户放心，让企业踏实研究。行业云安全专家组专家，原解放军测评认证中心主任，等级保护专家，肖稳田老师重点围绕等级保护在传统信息系统中建设的盲点，弊端，方案落地性几个方面，提出对于在云环境下的落地时，安全能力资源池要开放，兼容，可以被有效调度，加强信息安全管理体系和安全运行体系与信息安全技术体系的衔接设计和耦合性提供了相关建议。行业云安全专家组专家，北京工业大学的赵勇老师，作为沈院士的弟子，对等级保护政策标准有着深刻的和独到的见解，围绕云平台以及云服务商和云上信息系统定级，定级边界，责任主体，提供了相应的建议和意见，对于安全能力资源池与云管理平台的调度联动，云平台，安全资源池自身安全性以及边界云＋端技术的具体技术实现方面提出建议。行业云安全专家组专家，原中国移动集团公司信息安全处处长周智老师，重点围绕自适应的安全体系，强调，实现“检测、响应、预测、防御”的手段和机制，以及说明深度和程度方面提出相关建议，要在安全运维的能力上考虑相关适用在云上的建议。行业云安全专家组专家，新闻出版广电总局监管中心副总工张瑞芝老师，重点围绕云场景，细化在不同云下的安全解决方案，例如私有云、混合云、对内服务、对外服务、细化二、三、四级场景等方面以及如何信息安全体系纵深防御提出建设性的建议和意见。行业云安全专家组专家，新华社技术局实验室副主任丁望老师 提到行业云安全解决方案未来可以考虑以安全服务的方式提供和交付，丁老师也提到未来在大规模的云环境，比如存在分布式的数据中心时，整个云安全解决方案会不会很复杂、庞大，费用成本等问题，同时如何支持复杂环境下的持续运维保障能力，与平台方的边界界定等问题行业云安全专家组专家，中央电视台技术管理中心信息安全部处长琚宏伟老师 建议在方案中增加安全管理体系、安全运行体系等部分的内容，作为建设单位参考。行业云安全专家组专家，国家电子政务外网办信息安全处处长邵国安老师，提到行业云的指向和定位到底是什么？比如可以先讨论政务云的建设，首先要明确责任，云服务提供商、管理单位和租户的责任义务及边界，应能主动发现网络攻击、异常访问、溯源反制、监测预警及应急处置等技术手段和解决方案。应做到全天候全方位的感知网络安全态势，全过程的可控制、可管理和可追溯，网络安全的本质是对抗，所以做安全的最终目标是让云计算环境具备主动防御和一定免疫功能的安全保障环境。行业云安全专家组专家，标准研读组组长、公安部等保中心主任助理，李明老师表达《行业云安全解决方案》充分展示了合规，已经不再是目标，而是安全线上的一条基础线。刚需，已经不在是合规，而是源于业务本身的基本需求。这次的通过专家组的评审使解决方案向落地更近一步。期待PCSA接下来的工作战果。行业云安全专家组副主任委员，国土资源部顾炳中老师表达《行业云安全解决方案》对云基础设施的安全与应用数据的安全建设具有指导意义，业务和数据安全战略，合规＋刚需的目标非常明确和清晰。会议一致同意该方案通过评审，在会议现场完成《中国信息协会息安全专业委员会行业云安全工作组&行业云安全解决方案&专家评审意见》稿，并由专家组组长签字确认。致谢：中新网安是PCSA行业（私有）云安全能力者联盟的首批成员单位，也是行业内新时代安全能力者的代表。中新网安为行业云解决方案输出两大核心能力：1. 大规模拒绝服务攻击云端防御与清洗2. 深度用户行为分析与威胁预警中新网安的核心能力是大流量环境下广度和深度的攻击分析，通过一体化的服务能力，帮助用户具备风险关闭的能力。当下的网络世界是没有秩序的，表面上看是一场DDoS攻击，但极有可能是坏分子对业务系统的APT攻击终结。我国有大量的重要私有信息被境外黑客组织所关注，例如：医疗的临床试验数据，为国外的药品研制提供了大量的数据支撑。核心数据的流失主要在于我们没有足够充分的手段遏制该行为。该解决方案，首先深入业务根本需求，根据业务的服务流向，业务的数据交换，业务风险环节等多维度判定风险偏好，结合产品工具快速落地，落实针对性风险偏好，结合产品工具快速落地，落实针对性风险策略，做到按需控制。面向全行业具有核心资产的组织机构，注重两端深度威胁，开展以防护数据核心资产及互联设备安全为核心的解决方案。证监会发布证券期货业信息系统审计指南|张晓军|金融行业|证券交易所_新浪财经_新浪网
　　新浪财经讯 11月11日，证监会发布《证券期货业信息系统审计指南》。《指南》主要依据相关规范标准对信息系统进行自我检查和评价，保证系统运行的安全、合规和绩效。
　　证监会新闻发言人张晓军表示，发布实施的《证券期货业信息系统审计指南》是一项金融行业标准。信息系统审计是国内外通用和成熟的做法，主要是对相关的规范、标准对信息系统的规划、建设、运维和应急活动进行自我的评价。目的是要判断系统运行的安全性，满足系统合规性和系统运行的效率。每年证监会都会有证券期货信息化工作小组要求在全行业开展信息系统审计工作。
　　从实践来看，2013年已经起草了一个行业标准，是行业规范，明确了信息系统规划、运维活动。2014年发布实施。但仍存在一些问题。《指南》的作用就是帮助审计员来完成审计工作。分为七部分，包括证券交易所、期货交易所、证券登记结算机构，还有其他核心机构：证券公司、基金管理公司、期货公司等。
　　目的是规范行业审计人员客观规范的执行审计。
　　张晓军表示，2016年，为了持续推进资本市场信息化工作，降低运行风险，为提高行业的标准化水平，证监会还在陆续组织制定多项金融行业的行业标准。
责任编辑：张伟