首页 理论教育终端安全风险管理:7种非技术性信息泄漏风险

终端安全风险管理:7种非技术性信息泄漏风险

2023-11-23 理论教育 版权反馈
【摘要】:通过上述方式造成的信息窃取,难以发现和监控,造成安全事件很难追查,造成的安全损失也可能是不可挽回的,所以要引起组织的极大关注。相关风险点信息的非技术性泄漏风险点详见表C-9。在资产生命周期4个阶段中,运行阶段、维修阶段和废弃阶段都有可能会涉及终端的使用,通过显示器都可能造成信息的泄漏,都会带来相应的安全风险。4)第三方参观人员参观时专人陪同,避免疏忽造成的信息泄漏。

1.风险分析

(1)风险描述

该类风险主要表现为社会工程类信息泄密,技术控制措施再严格,也不能抵御通过社会工程类的攻击,比如偷看、心理推测、搭线窃听等等。通过上述方式造成的信息窃取,难以发现和监控,造成安全事件很难追查,造成的安全损失也可能是不可挽回的,所以要引起组织的极大关注。

(2)相关风险点

信息的非技术性泄漏风险点详见表C-9。

表 C-9

(a)相关资产生命周期:

风险点(1-5):

这5个风险点主要为通过使用终端设备,通过显示器显示的方式造成的信息泄漏。在资产生命周期4个阶段中,运行阶段、维修阶段和废弃阶段都有可能会涉及终端的使用,通过显示器都可能造成信息的泄漏,都会带来相应的安全风险。运行阶段,是资产生命周期中最为重要的阶段,该阶段用户存储和浏览的信息量很大,相关重要信息数量较多,因此所面临的风险级别较高。在维修和报废阶段,原则上应该进行脱密处理后,才能从运行阶段转入该阶段,这时面临的安全风险将会大幅下降;但在维修和废弃阶段,因信息处理不及时,造成的隐私、机密信息泄漏的案例比比皆是,造成很大的影响,因此,必须重视这两个阶段的安全防护问题。

风险点(6-7):

这两个风险点主要是在终端使用过程中造成的信息泄漏,与用户的工作环境息息相关,因此,主要涉及运行阶段,该阶段的风险级别比其他阶段的风险级别高。

(b)相关信息风险

上述所涉及的信息,为屏幕显示信息和网络传输信息,均为使用中的信息,而非存储类信息,风险级别有所处理的信息类型而定。

(c)基于资产使用人分析

对于终端用户、内部人员、外部人员和临时人员都存在不同程度的风险。

(d)合规性要求

合规性要求见表C-10。

表 C-10

(续)(www.chuimin.cn)

2.风险管控

上述风险因为其社会学的特点,因此很难通过信息技术去解决,具体的控制措施如下所示:

(1)事前处置

1)制定相关的管理制度,明确针对具有拍照、摄像、录音等功能的设备的使用规定,如相机手机摄像机、录音设备等。

2)对物理环境的安全监控进行明确规定,在重要区域进行视频监控。

3)制定人员的安全意识培训计划,提高全员安全防范意识。

4)制定参观来访规定,明确规定参观访问方式。

5)制定应用系统开发标准,明确规定重要应用系统不能通过截屏获得信息。

6)制定电磁辐射标准,明确使用电磁干扰的时间和场所。

(2)事中处置

1)通过门卫或设备严格检查带入办公区的设备,避免视频、照相设备带入,如有带入,及时劝阻。

2)对于截屏行为,在应用服务器端通过代码加以控制。

3)重要区域进行视频监控,确保抄写、照相等行为能够记录。

4)第三方参观人员参观时专人陪同,避免疏忽造成的信息泄漏。

(3)事后处置

如果仍然出现通过上述途径造成信息泄漏,可通过出入记录、视频记录进行事后追查。

3.风险控制效果

通过上述方式,在事前、事中和事后采取相应的安全管理控制措施,能够起到一定的防护效果。但是在实际工作中,还是存在很大的不确定性,尤其是使用人员的操作等方面,因此,在员工安全意识、职业素养培训上组织应该给予足够的重视。

有关终端安全风险管理的文章

  • 终端安全风险管理-终端安全风险管理 终端安全风险管理-终端安全风险管理

    终端作为网络行为的发起者和执行者,终端安全问题是信息安全领域的重要组成部分。终端安全已经成为制约信息安全的瓶颈,尽管在安全技术和培训中已经投入了大量人力和资金,但终端安全问题仍频频发生。终端所发生的安全问题可简单归结为3类。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:信息共享的3个风险 终端安全风险管理:信息共享的3个风险

    不能在发现网络中的共享目录后,关闭指定的共享,造成信息泛滥的风险。相关风险点信息共享风险点见表C-7。上述相关人员根据级别和岗位职责,相关的安全风险级别不同。3)严厉的惩罚措施。4)保留事件调查、起诉的权利。......

    2023-11-23

    详细阅读
  • 终端安全风险管理及信息安全标准 终端安全风险管理及信息安全标准

    GB/T20984-2007《信息安全技术—信息安全风险评估规范》标准提出了计算机风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。......

    2023-11-23

    详细阅读
  • 终端安全管理揭秘-终端安全风险管理 终端安全管理揭秘-终端安全风险管理

    一系列安全事件后,在美国政府的资助下,卡内基·梅隆大学成立了全球第一个计算机应急安全响应组。因此,终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行安全管理,从而避免终端安全风险事件的发生。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:基于风险来源 终端安全风险管理:基于风险来源

    针对不同的威胁来源的终端安全风险图谱见图6-7。其中终端安全技术平台自身的风险,暂不列在内。与基础安全风险相比,终端安全运行风险更具动态性,随着时间和相关环境条件的变化。3)信息安全风险指终端信息安全风险为终端中存储的信息,以及信息在传递过程中所面临的风险。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:揭示3.5终端安全管理未来 终端安全风险管理:揭示3.5终端安全管理未来

    有相应硬件支持,将很大程度上解决纯软件终端安全产品存在的问题。综合趋势终端安全产品要和网关及其他安全设施密切配合,分工协作,才有可能构架全面完整的安全防护保障体系。终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。综上所述,终端安全管理体系的构建实施过程需要依赖完善的方法论,对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持,保障体系的有效实施。......

    2023-11-23

    详细阅读
  • 终端安全风险管理-11个网络违规访问风险点 终端安全风险管理-11个网络违规访问风险点

    如果不对该终端网络访问风险进行严格管理和控制,将会导致信息外泄、资源滥用甚至全网范围内的灾难性事件。将终端违规网络访问风险按照终端使用人角色分析如下。风险点(1-4):任何岗位角色都会使用网络,都会涉及终端违规网络访问风险问题,因此,该风险与内部人员相关:a)高级管理岗位,如区域负责人等高层领导,风险不大。该风险与外来人员:外来厂家人员、外来维护人员风险重大。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:8个风险点 终端安全风险管理:8个风险点

    为了解决上述问题,可以采取终端软件自动分发的方式,集中统一为终端需要安装的软件进行自动分发,并自动在终端上运行。相关风险点终端软件自动分发风险点见表A-11。入网前,终端不接入网络,无法对该终端进行软件自动分发操作;维护和报废阶段,终端不运行,也不存在这些风险。终端入网运行后,如果没有应用软件自动分发与自动安装,会增加管理员的工作量而降低工作效率。......

    2023-11-23

    详细阅读