终端安全风险管理-信息文档保护的5个风险点

2023-11-23 理论教育版权反馈

【摘要】：相关风险点信息文档保护风险点详见表C-5。图 C-9只有允许在指定终端上放重要文件，防止文件泄漏事前处置：根据组织的安全管理策略，制订存放重要文件的终端标准，可参考中终端控制模式中的安全防护标准。

1.风险分析

（1）风险描述

信息文档保护的相关风险表现为两类：

1）重要信息的存储风险。

2）重要信息的传输风险。

重要信息的存储风险主要表现为如果没有对使用的终端进行安全等级分类，重要文件存储在安全防护措施较低的终端上，将面信息泄漏的风险；对存储重要信息的终端没有制定相应的配置标准，造成安全防护等级不统一，同样也会使信息面临泄漏的风险。

重要信息的传输风险主要表现为信息存在两种形态存储和传输，传输有多种形式，比如从外网传输到内网，信息转换也可以看作传输的一种形态，在传输和使用过程中，如果没有适当的安全防护措施也将导致信息的外泄。

（2）相关风险点

信息文档保护风险点详见表C-5。

表 C-5

（a）基于资产使用生命周期

a）文档加密：终端在入网前不存储任何与业务有关的文档，在报废阶段也会进行存储设备的报废处理，因此与该风险相关的生命周期为运行阶段、维修阶段。

b）存有重要文件的终端进行模式化的管理：终端在入网前是不存储任何与业务有关的文档，在报废阶段也会进行存储设备的报废处理，因此与该风险相关的生命周期为运行阶段、维修阶段。

c）只允许在指定终端上存放重要文件，防止文件泄漏：该风险主要为管理控制类风险，涉及对指定终端的控制和文件的控制，主要存在于运行阶段，并涉及部分维修阶段，在重要设备转入到维护阶段时，必须进行事前的安全处理。所以，涉及的生命周期为运行阶段、维修阶段。

d）重要文件的读、写、修改、传输等过程中的信息泄漏风险：该风险主要存在于业务系统运行阶段，因此，针对于设备来讲与该风险相关的生命周期为运行阶段。

e）外来重要文件控制，使其满足本地使用要求，并防止信息泄漏：外来文件作为业务信息系统进行业务处理的一个重要信息来源，该过程仅发生在系统运行阶段，相对处理的终端设备也仅处于系统运行阶段。因此，与之相关的生命周期为运行阶段。

（b）与信息安全相关

a）文档加密：在线信息风险：在处理重要业务信息相关的文档时，会在终端进行解密，然后再进行处理，面临重要的文档信息在终端节点的明文泄漏的风险；存储信息风险：在终端内存储的敏感信息，因终端所处环境以及其灵活流动的特性，信息非法复制、信息非授权复原以及信息暴力破解等风险为信息的主要风险。

b）存有重要文件的终端进行模式化的管理：在线信息风险：在终端不进行模式化安全防护，造成重要业务在线处理信息没有统一的安全防护标准，造成各安全终端防护水平不均衡，容易造成安全防护弱点，面临终端攻击风险；存储信息风险：终端不进行模式化安全防护，使得终端存储信息环境复杂，管理困难，容易造成防护短板，无法在整体终端系统进行敏感信息的保护。

c）只能允许在指定终端上存放重要文件，防止文件泄漏：在线信息风险：在线敏感信息处理终端缺乏条件约束，造成敏感信息滥用，信息外泄风险加大；存储信息风险：存储敏感信息终端缺乏条件约束，造成敏感信息滥用，信息外泄风险加大。

d）重要文件的读、写、修改、传输等过程中的信息泄漏风险：在线信息风险：在线信息的读、写、修改等操作均在明文的基础上进行，容易造成信息的泄漏，传输过程不进行加密传输容易造成信息被窃取、篡改等风险；存储信息风险：存储的重要文件的读、写、修改均在明文的基础上，通过终端监控软件及木马程序容易造成信息的泄漏。

e）外来重要文件控制，使其满足本地使用要求，并防止信息泄漏：在线信息风险：外来文件进入内网业务系统，不经过安全处理容易造成信息安全的破坏，如病毒带入、不符合加密规定，造成敏感信息的泄漏和篡改；存储信息风险：外来文件进入内网业务系统，不经过安全处理容易造成信息安全的破坏，如病毒带入、不符合加密规定，造成敏感信息的泄漏和篡改。

（c）基于资产使用人员

内部人员：当高级管理岗位（如高层领导）的终端资产存在以上风险，由于其终端含有企业核心信息和涉密信息，风险级别高；当部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员的终端存在以上风险，由于该类终端对业务支撑非常关键，且一般包含关键业务信息，风险级别较高；当生产人员、办公人员等终端存在该风险，尽管该类终端支持业务和对正常运营起保障作用，但因不涉及重要信息和关键业务，风险为中。

临时人员：如果该类风险发生在辅助人员岗位（如食堂、车队、绿化等人员），则该类终端一般不涉及业务、不包含敏感信息，风险为低。

外来人员：因外来人员不涉及组织内部信息和业务系统。此类人员终端发生该风险时，对于组织的影响很小，风险为低。

（d）合规性要求

合规性要求见表C-6。

表 C-6

2.风险管控

（1）文档加密

事前处置：根据组织的安全管理策略，制定信息安全分级分类标准，确定加密文档标准，制定文档加密配置指南，规定加密级别、加密算法，密钥管理规定等相关制度、流程和指南。

事中处置：针对符合政策标准的文档，进行加密处置，妥善保管密钥，并对文件处置过程进行日志、轨迹记录。

事后处置：根据处置日志和轨迹记录，对违规事件进行追查。(www.chuimin.cn)

管控流程见图C-8。

图 C-8

（2）存有重要文件的终端进行模式化的管理

事前处置：根据组织的安全管理策略，制定存有重要文件终端的安全防护标准，

确定技术控制措施、安全管理措施等内容。

事中处置：根据控制模型进行控制措施的实施，并对重要环节进行监控和记录，形成日志信息，以考证控制模式实现的符合度，确定各种控制措施的有效实施。

事后处置：根据处置日志和轨迹记录，对控制模型的有效性进行考察，并根据评价结果进行控制模式调整。管控流程见图C-9。

图 C-9

（3）只有允许在指定终端上放重要文件，防止文件泄漏

事前处置：根据组织的安全管理策略，制订存放重要文件的终端标准，可参考（2）中终端控制模式中的安全防护标准。

事中处置：对于重要文档的授权、监控和审计记录，在技术和管理双层进行控制；并根据重要文件存储记录单等相关记录信息，对所辖范围内定期实施技术扫描，防范重要文件的非正常存储。

事后处置：根据处置日志和轨迹记录，对重要文件的存储和访问进行审计和事件追踪。

控制流程图参见风险点2控制流程图。

（4）重要文件的读、写、修改、传输等过程中的信息泄漏风险

事前处置：根据组织的安全策略，制定文件分级分类标准，制定重要文件访问、处理安全标准和指南，确定文件访问授策略，根据授权策略进行访问授权。

事中处置：根据数据所有者或管理层批准的授权进行访问授权，如果文件传输，建议采用数据加密方式，为防止非授权的更改，需通过数字摘要签名的方式，确保传输文件的完整性。

事后处置：通过审批记录、日志记录、授权审批记录进行合规性审计和事后追查。

管控流程见图C-10。

图 C-10

（5）外来重要文件控制，使其满足本地使用要求，并防止信息泄漏

事前处置：根据组织的安全策略，制订文件分级分类标准，制订外来重要文件访问、处理安全标准和指南，制订文件访问授权单，根据授权单进行访问授权。

事中处置：根据相关规定，由指定人员，指定方式进行外来重要文件接收和处置。外来重要文件以加密方式进行传输，根据正确密钥进行解密，确认数字签名，对比数字摘要，确保数据的机密性、完整性、可用性和抗抵赖性。接下来对文件进行安全扫描，排除安全隐患，根据重要文件存储规定进行文件入库。整个文件处理过程，需在重要节点进行审批和日志记录。

事后处置：通过处理流程记录、日志记录进行审计和事件追查。

管控流程见图C-11。

图 C-11

3.风险控制效果

实现对于重要文件的存储和传输进行加密，保证重要信息即使被非法获取也不能被解密读取，保证信息的保密性。

残余风险包括：如果信息自身没有分级，则终端无法发现审核信息级别，需要对行业内信息分等级标识。敏感信息接触者通过非技术类手段的泄漏，如拍照、摘抄、电话泄漏等，通过技术手段都无法做到监控。

处置对策：

1）长期的安全意识培训。

2）适当的人员监督机制。

3）严厉的惩罚措施。

4）保留事件调查、起诉的权利。