信息安全建設(shè)規(guī)劃v

1、提綱為什么要重視信息安全；安全與投入；安全與效率；現(xiàn)有狀態(tài)；控制點；解決方案；預(yù)期效果；預(yù)計價格；為什么要重視信息安全世界上每分鐘就有2個企業(yè)因為信息安全問題而倒閉2001年12月，煙臺喬某利用到某電信公司維護通信設(shè)施之機，通過修改數(shù)據(jù)偽造電話卡1000，獲利20萬;韓國農(nóng)協(xié)銀行(NH Bank)由于主機系統(tǒng)及備份系統(tǒng)數(shù)據(jù)被刪除，導(dǎo)到客戶無法提款、轉(zhuǎn)帳，系統(tǒng)故障持續(xù)3天安然事件；沈陽市公安局沈陽大學(xué)的故事；安全與投入投入安全級別信息安全與投入的關(guān)系安全與效率那一個是我們的選擇現(xiàn)有的狀態(tài)優(yōu)勢：1、安全性較高;不足：1、內(nèi)外交互時，中轉(zhuǎn)過程需人工過濾，人工過濾機制規(guī)劃不清晰，事后沒有（無法）審計；

2、2、內(nèi)外網(wǎng)無法通訊，近期導(dǎo)致信息發(fā)布、郵件機制不暢通、遠期上系統(tǒng)會需要額外的解決方案;3、部分硬件（電腦、工位）資源的浪費;4、互聯(lián)網(wǎng)資源獲得困難；5、人員無法靈活的使用辦公工具，如打印機等；理想解決方案：1、通訊要暢通（郵件)，未來可以支持上應(yīng)用系統(tǒng)；2、員工可以應(yīng)用打印系統(tǒng);3、按角色可以獲得互聯(lián)網(wǎng)資源；4、訪客入場要有安全級別的控制；5、文件內(nèi)部交互自由，可以進行自由外發(fā)；6、電腦及外設(shè)丟失不致于造成安全事故；7、以上所有行為均要有嚴格的安全控制，事后可以進行跟蹤審計;控制點控制點控制點控制點控制點解決方案防泄露 備份 訪客網(wǎng)絡(luò) 教育 解決方案體系系統(tǒng)管理員解決方案-訪客方案1：修改網(wǎng)絡(luò)

3、策略，改為MAC地址鎖定，外來人員借用無線網(wǎng)卡。 優(yōu)勢：節(jié)省資金 不足：大部分實現(xiàn)功能，麻煩方案2：采用有成成熟解決方案的供應(yīng)商，如思科及華為的解決方案優(yōu)勢：解決徹底不足：費用較高解決方案-網(wǎng)絡(luò)層網(wǎng)絡(luò)層深化應(yīng)用路由、交換功能1、Vlan 劃分 2、Mac準入3、啟用防DHCP、ARP功擊 4、啟用VPN防火墻、防入侵系統(tǒng)1、一個是基于端口堵住2、一個是進來抓住網(wǎng)關(guān)防毒、流控、日志審計除了傳統(tǒng)的控制外，更加要重視日志審計，以利通過報表發(fā)現(xiàn)問題，事后有問題可以快速追蹤。還應(yīng)可以進行內(nèi)網(wǎng)漏洞檢測，自行分發(fā)或利用域控分發(fā)補??！PC、外設(shè)、域、郵件1、軟件安裝受限；2、USB、屏保等策略；3、報廢設(shè)備要

4、作數(shù)據(jù)清理，先覆蓋再物理損壞;4、操作系統(tǒng)的安全補丁要及時更新，要選擇官方繼續(xù)支持的操作系統(tǒng);5、不能再用非公司授權(quán)的郵箱;解決方案-防泄露國內(nèi)解決方案國外解決方案如何選擇？困難你是壞蛋你是好人解決方案-防泄露國內(nèi)產(chǎn)品國外產(chǎn)品設(shè)計理念以數(shù)據(jù)泄露防護為目標，防止有意和無意的泄露。以數(shù)據(jù)丟失防護為目標，防止無意的泄露。實現(xiàn)手段事前主動防御，對文件進行加密并控制文件的傳播途徑，文件即使泄露也無法被使用。“發(fā)現(xiàn)并阻斷”，定義非法行為的規(guī)則，當有非法行為發(fā)生時，觸發(fā)相應(yīng)的阻斷策略進行處理，比如警告、攔截等。文檔加密透明加密，即文檔始終保持加密狀態(tài)，但在公司網(wǎng)絡(luò)環(huán)境中使用（安裝客戶端的電腦）感覺不到文件是

5、加密狀態(tài)，沒有差異，不改變使用者的習(xí)慣。離開此環(huán)境，文件不可用，可通過解密申請流程使文檔解密。首先是對文件定義的保密等級，針對需要特殊保密的文件，進行加密，當員工需要使用此文檔時，通過審批流程獲得解密文檔。數(shù)據(jù)防護無發(fā)現(xiàn)并處理，根據(jù)定義的企業(yè)機密信息樣本庫，對終端、USB接口、光驅(qū)、網(wǎng)絡(luò)出口等進行掃描監(jiān)控，如果發(fā)現(xiàn)違規(guī)行為，則實施不同的防護策略。硬盤加密直接對硬盤物理扇區(qū)進行加密，如果電腦丟失，硬盤不可用。直接對硬盤物理扇區(qū)進行加密，如果電腦丟失，硬盤不可用。與應(yīng)用系統(tǒng)的集成采用網(wǎng)關(guān)（硬件設(shè)備）、二次開發(fā)等方式進行文檔加解密，實現(xiàn)與應(yīng)用系統(tǒng)集成。如果文檔是加密狀態(tài)，通過流程審批使文檔解密后，與

6、應(yīng)用系統(tǒng)集成。文檔外發(fā)向公司外發(fā)布的文件進行權(quán)限控制，比如只讀、打印、修改、只讀次數(shù)、只讀時限、過期自動銷毀、打印水印等權(quán)限設(shè)置。無離線管理離線審批和記錄離線電腦對文檔的操作。控制USD、DVD等外借設(shè)備。訪客管理對訪客電腦安裝客戶端，并賦予臨時權(quán)限，才有權(quán)限操作透明加密的文檔。對訪客電腦安裝客戶端，并賦予臨時權(quán)限，使訪客的電腦處于可控范圍內(nèi)。VPN連接使用VPN的電腦需安裝客戶端，才可操作透明加密文檔。使用VPN的電腦需安裝客戶端，處于可控范圍內(nèi)。審計與報表記錄操作，讀取、修改、打印等并形成報表。記錄操作，讀取、修改、打印等并形成報表。風(fēng)險1)從設(shè)計理念上做的是最壞的打算，認為員工會主動泄露

7、公司機密。2)在系統(tǒng)的擴展性上，不及國外產(chǎn)品。3）外發(fā)文件的工作量將增大。4）將文檔內(nèi)容復(fù)制后以郵件方式發(fā)送出去，無法控制。企業(yè)定義的敏感信息與制定的防護策略要有一個磨合的過程，是一個定義敏感信息-制定策略-過程監(jiān)控-調(diào)整對敏感信息定義的閉環(huán)。在調(diào)整過程中可能出現(xiàn)誤報、漏報情況。 國內(nèi)與國外產(chǎn)品對比： 解決方案-防泄露重要文件類型，全部加密；外部需要時，按解密流程解密；可選設(shè)置解密后的使用次數(shù)等；非加密文件根據(jù)“關(guān)鍵字”上下文關(guān)系進行阻止；拷屏控制，打印啟動流程控制;二選一，為什么不能二選二？解決方案-備份異地備份體系執(zhí)行解決方案-安全教育解決方案-體系1、機房出入申請，有日志，記錄到IT月報中去；2、權(quán)限申請單，定期與業(yè)務(wù)部門復(fù)合權(quán)限;3、全部控制點4、引入外部審計;5、通過I