信息安全建设规划-v1 2001年12月.pptVIP

* 提纲 为什么要重视信息安全； 安全与投入； 安全与效率； 现有状态； 控制点； 解决方案； 预期效果； 预计价格； 为什么要重视信息安全 世界上每分钟就有2个企业因为信息安全问题而倒闭 ……… 2001年12月，烟台乔某利用到某电信公司维护通信设施 之机，通过修改数据伪造电话卡1000，获利20万; 韩国农协银行(NH Bank)由于主机系统及备份系统数据 被删除，导到客户无法提款、转帐，系统故障持续3天 安然事件； 沈阳市公安局沈阳大学的故事； 安全与投入 投入 安全级别 信息安全与投入的关系 安全与效率 那一个是我们的选择 现有的状态 优势： 1、安全性较高; 不足： 1、内外交互时，中转过程需人工过滤，人工过滤机制规划不清晰，事后没有（无法）审计； 2、内外网无法通讯，近期导致信息发布、邮件机制不畅通、远期上系统会需要额外的解决方案; 3、部分硬件（电脑、工位）资源的浪费; 4、互联网资源获得困难； 5、人员无法灵活的使用办公工具，如打印机等； 理想解决方案： 1、通讯要畅通（邮件)，未来可以支持上应用系统； 2、员工可以应用打印系统; 3、按角色可以获得互联网资源； 4、访客入场要有安全级别的控制； 5、文件内部交互自由，可以进行自由外发； 6、电脑及外设丢失不致于造成安全事故； 7、以上所有行为均要有严格的安全控制，事后可以进行跟踪审计; 控制点 控制点 控制点 控制点 控制点 解决方案 防泄露 备份 访客 网络 教育 解决方案 体系 系统管理员 解决方案-访客 方案1：修改网络策略，改为MAC地址锁定，外来人员借用无线网卡。 优势：节省资金 不足：大部分实现功能，麻烦 方案2：采用有成成熟解决方案的供应商，如思科及华为的解决方案 优势：解决彻底 不足：费用较高 解决方案-网络层 网络层 深化应用路由、交换功能 1、Vlan 划分 2、Mac准入 3、启用防DHCP、ARP功击 4、启用VPN 防火墙、防入侵系统 1、一个是基于端口堵住 2、一个是进来抓住 网关防毒、流控、日志审计 除了传统的控制外，更加要重视日志审计，以利通过报表发现问题，事后有问题可以快速追踪。还应可以进行内网漏洞检测，自行分发或利用域控分发补丁！ PC、外设、域、邮件 1、软件安装受限； 2、USB、屏保等策略； 3、报废设备要作数据清理，先覆盖再物理损坏; 4、操作系统的安全补丁要及时更新，要选择官方继续支持的操作系统; 5、不能再用非公司授权的邮箱; 解决方案-防泄露 国内解决方案 国外解决方案 如何选择？ 困难 你是坏蛋 你是好人 解决方案-防泄露 　 国内产品 国外产品 设计理念 以数据泄露防护为目标，防止有意和无意的泄露。 以数据丢失防护为目标，防止无意的泄露。 实现手段 事前主动防御，对文件进行加密并控制文件的传播途径，文件即使泄露也无法被使用。 “发现并阻断”，定义非法行为的规则，当有非法行为发生时，触发相应的阻断策略进行处理，比如警告、拦截等。 文档加密 透明加密，即文档始终保持加密状态，但在公司网络环境中使用（安装客户端的电脑）感觉不到文件是加密状态，没有差异，不改变使用者的习惯。离开此环境，文件不可用，可通过解密申请流程使文档解密。 首先是对文件定义的必威体育官网网址等级，针对需要特殊必威体育官网网址的文件，进行加密，当员工需要使用此文档时，通过审批流程获得解密文档。 数据防护 无 发现并处理，根据定义的企业机密信息样本库，对终端、USB接口、光驱、网络出口等进行扫描监控，如果发现违规行为，则实施不同的防护策略。 硬盘加密 直接对硬盘物理扇区进行加密，如果电脑丢失，硬盘不可用。 直接对硬盘物理扇区进行加密，如果电脑丢失，硬盘不可用。 与应用系统的集成 采用网关（硬件设备）、二次开发等方式进行文档加解密，实现与应用系统集成。 如果文档是加密状态，通过流程审批使文档解密后，与应用系统集成。 文档外发 向公司外发布的文件进行权限控制，比如只读、打印、修改、只读次数、只读时限、过期自动销毁、打印水印等权限设置。 无 离线管理 离线审批和记录离线电脑对文档的操作。 控制USD、DVD等外借设备。 访客管理 对访客电脑安装客户端，并赋予临时权限，才有权限操作透明加密的文档。 对访客电脑安装客户端，并赋予临时权限，使访客的电脑处于可控范围内。 VPN连接 使用VPN的电脑需安装客户端，才可操作透明加密文档。 使用VPN的电脑需安装客户端，处于可控范围内。 审计与报表 记录操作，读取、修改、打印等并形成报表。 记录操作，读取、修改、打印等并形成报表。 风险 1)从设计理念上做的是最坏的打算，认为员工会主动泄露公司机密。2)在系统的扩展性上，不及国