企業(yè)數(shù)據(jù)安全管理方案.ppt

1、a,1,數(shù)據(jù)安全,數(shù)據(jù)安全泄露、防范、措施,a,2,一、企業(yè)數(shù)據(jù)安全管理,1、無(wú)安全意識(shí) 大多數(shù)中小企業(yè)認(rèn)為自己的數(shù)據(jù)無(wú)關(guān)緊要，加上對(duì)自己的員工信心滿滿，對(duì)數(shù)據(jù)防泄密措施置若罔聞，直到數(shù)據(jù)泄密給企業(yè)帶來(lái)嚴(yán)重?fù)p失后才采取亡羊補(bǔ)牢的措施。 企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程產(chǎn)生的任何數(shù)據(jù)，都是企業(yè)在日積月累中反復(fù)摸索出來(lái)的，無(wú)論是某個(gè)人的勞動(dòng)成果，還是集體的勞動(dòng)成果，都是企業(yè)的財(cái)富。一些貌似不緊要的數(shù)據(jù)和文件，其實(shí)在產(chǎn)生過(guò)程中都是付出了大量心血。因此，企業(yè)經(jīng)營(yíng)者一定要采取有效措施保護(hù)好這些數(shù)據(jù)財(cái)富的安全意識(shí)。,a,3,一、企業(yè)數(shù)據(jù)安全管理,2、企業(yè)應(yīng)當(dāng)建立有效規(guī)章制度和防范措施 企業(yè)應(yīng)當(dāng)制定相應(yīng)的數(shù)據(jù)安全制度 企業(yè)

2、自身應(yīng)設(shè)定相應(yīng)的數(shù)據(jù)安全防范措施 1、安裝相應(yīng)的硬件對(duì)數(shù)進(jìn)行防范 2、安裝加密軟件對(duì)數(shù)據(jù)進(jìn)行防范 3、日常數(shù)據(jù)安全防范,a,4,一、企業(yè)數(shù)據(jù)安全管理,3、有意識(shí)，嫌麻煩 有些企業(yè)在加裝硬件或者加密軟件后，過(guò)份擔(dān)憂硬件或者加密軟件給現(xiàn)狀帶來(lái)的沖擊，比如擔(dān)心安裝后影響員工效率、使用起來(lái)比較麻煩等，最后項(xiàng)目就不了了之了。 企業(yè)數(shù)據(jù)防泄密措施與企業(yè)管理一樣，也是要根據(jù)企業(yè)不同的發(fā)展階段采用不同的手段的。如果只有幾個(gè)創(chuàng)業(yè)者，完全可以靠自律保證數(shù)據(jù)的安全；而企業(yè)在快速發(fā)展過(guò)程中，數(shù)據(jù)的安全性和應(yīng)用的靈活性必須同時(shí)兼顧。,a,5,一、企業(yè)數(shù)據(jù)安全管理,4、有措施，無(wú)管理 有些企業(yè)雖然上了硬件和加密軟件，但仍

3、然出現(xiàn)一些泄密事件，有人便開(kāi)始懷疑硬件和加密軟件是否有用了。硬件和加密軟件不是地牢，為方便企業(yè)交流也會(huì)有審批及解密的功能，這些關(guān)口都是由人去掌握的，如果沒(méi)有相應(yīng)的管理措施，出現(xiàn)數(shù)據(jù)泄密甚至形同虛設(shè)也不足為怪。這就跟一個(gè)企業(yè)有大門(mén)，有保安，但大門(mén)總是開(kāi)著，保安對(duì)進(jìn)出人員不聞不問(wèn)一個(gè)道理。 管理不當(dāng)引起的失敗尤其應(yīng)引起企業(yè)的重視。管理方面主要有以下兩個(gè)原因： 1.主管領(lǐng)導(dǎo)不重視。硬件、軟件買(mǎi)來(lái)了，裝上了，就不過(guò)問(wèn)了，只有管理員在維護(hù)。有些中高領(lǐng)導(dǎo)還要求管理員開(kāi)后門(mén)，甚至以各種借口卸載軟件。慢慢地，數(shù)據(jù)的重要性就變得不重要了，加密軟件也就可有可無(wú)了。 2.系統(tǒng)管理員經(jīng)常換。硬件、加密軟件的管理員掌握

4、著企業(yè)數(shù)據(jù)倉(cāng)庫(kù)的鑰匙，如果對(duì)其沒(méi)有有效的監(jiān)督，企業(yè)數(shù)據(jù)安全便沒(méi)有保障。保持系統(tǒng)管理員的相對(duì)穩(wěn)定，對(duì)其權(quán)限進(jìn)行約束尤為重要。,a,6,二、數(shù)據(jù)泄露途徑、防范措施,數(shù)據(jù)泄露途徑 數(shù)據(jù)泄露防范措施 數(shù)據(jù)泄密統(tǒng)計(jì)分析表,a,7,數(shù)據(jù)泄密途徑示意圖,a,8,泄密途徑具體分析,泄密的原因有內(nèi)部泄密、內(nèi)部失密和外部竊密。 1、內(nèi)部人員離職拷貝帶走資料泄密這類(lèi)情況發(fā)生概率最高。 2、內(nèi)部人員無(wú)意泄密和惡意泄密企業(yè)內(nèi)部人員在上網(wǎng)時(shí)候不小心中了病毒或木馬，電腦上存儲(chǔ)的重要資料被流失的情況也非常多 3、外部競(jìng)爭(zhēng)對(duì)手竊密競(jìng)爭(zhēng)對(duì)手采用收買(mǎi)方式，買(mǎi)通企業(yè)內(nèi)部人員，讓內(nèi)部人員把重要信息發(fā)送競(jìng)爭(zhēng)方，從而竊取機(jī)密的情況也非常多

5、。,a,9,泄密途徑具體分析,4、黑客竊密目前國(guó)內(nèi)許多黑客，通過(guò)層出不窮的技術(shù)手段，竊取國(guó)內(nèi)各種重要信息。 5、 存儲(chǔ)設(shè)備丟失和維修失密 移動(dòng)存儲(chǔ)設(shè)備例如筆記本電腦、移動(dòng)硬盤(pán)、手機(jī)存儲(chǔ)卡、數(shù)碼照相/攝錄機(jī)等，一旦遺失、維修或者報(bào)廢后，其存儲(chǔ)數(shù)據(jù)往往暴露無(wú)遺。隨著移動(dòng)存儲(chǔ)設(shè)備的廣泛使用，家庭辦公興起，出差人員的大量事務(wù)處理等等都會(huì)不可避免地使用移動(dòng)存儲(chǔ)設(shè)備。因此，移動(dòng)存儲(chǔ)設(shè)備丟失和維修導(dǎo)致泄密也是當(dāng)前泄密事件發(fā)生的主要原因之一。,a,10,例如U盤(pán)泄露數(shù)據(jù),a,11,數(shù)據(jù)泄密統(tǒng)計(jì)分析表,a,12,數(shù)據(jù)泄露防范措施,1、切斷源頭，設(shè)立信息級(jí)別制度對(duì)公司的機(jī)密文件進(jìn)行級(jí)別劃分，確定機(jī)密文件傳播的范圍

6、，讓所有人了解信息的傳播界限，員工由自身的崗位確定相應(yīng)的信息級(jí)別，低層次的崗位級(jí)別不能查閱、了解、拷貝、接觸到高層次的信息級(jí)別。 2、重視保密協(xié)議無(wú)規(guī)矩不成方圓，無(wú)論作用大小，和員工簽署清晰的保密協(xié)議還是必要的。保密協(xié)議的內(nèi)容越詳細(xì)越好，如果對(duì)方心胸坦白，自然會(huì)欣然同意。 3、責(zé)任分解明確每個(gè)人對(duì)相關(guān)信息的安全責(zé)任。所有的機(jī)密文件如果出現(xiàn)泄露，可以根據(jù)規(guī)定找到責(zé)任人，追究是次要的，相互監(jiān)督和防范才是責(zé)任分解的最終目的。,a,13,數(shù)據(jù)泄露防范措施,4、防病毒 計(jì)算機(jī)病毒一般都隱藏在程序和文檔中。目前典型的防病毒技術(shù)就是對(duì)信息中的病毒特征代碼進(jìn)行識(shí)別和查殺。 5、 VPN加密通道 虛擬專(zhuān)用網(wǎng)VP

7、N需要通過(guò)不可信的公用網(wǎng)絡(luò)來(lái)建立自己的安全信道，因此加密技術(shù)是重要的選擇。 6、水印技術(shù) 水印技術(shù)是信息隱藏技術(shù)的一種。一般信息都是要隱藏在有一定冗余量的媒體中，比如圖像、聲音、錄像等多媒體信息，在文本中進(jìn)行隱藏比較少。水印技術(shù)是可以替代一般密碼技術(shù)的保密。,a,14,安全措施小例,1、提示語(yǔ)：“請(qǐng)擦去黑板并將你所有的秘密文件處理掉，工業(yè)間諜在你之后預(yù)定了這一房間?！?2、辦公區(qū)放置了碎紙機(jī)，員工需要將所有用過(guò)的廢紙進(jìn)行處理。,a,15,三、數(shù)據(jù)安全體系,a,16,物理層面,一、物理設(shè)備安全 1.1、服務(wù)器、路由器、交換機(jī)、工作站、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞、和搭線竊聽(tīng)攻

8、擊。 1.2、驗(yàn)證用戶的身份和權(quán)限，防止越權(quán)操作； 1.3、建立完備的機(jī)房安全管理制度，妥善保管備份文件和文檔資料，防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)等。 二、環(huán)境安全 2.1、確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容環(huán)境，物理位置選擇、物理訪問(wèn)控制、防盜和防破壞、防雷擊、防火、防水、防潮濕、防靜電、電力保障、電磁防護(hù)抑制和防止電磁泄漏，可以采用屏蔽措施和偽噪聲技術(shù)等來(lái)解決。,a,17,網(wǎng)絡(luò)層面,一防火墻 1.1 、安裝并開(kāi)啟防火墻 二、入侵檢測(cè)系統(tǒng) 2.1、網(wǎng)絡(luò)入侵檢測(cè)的目的主要是監(jiān)控主機(jī)和網(wǎng)絡(luò)系統(tǒng)上發(fā)生的一切事件，一旦發(fā)現(xiàn)有攻擊的跡象或其它不正?，F(xiàn)象就采取截?cái)?、?bào)警等方式進(jìn)行處理并通知管理員，

9、同時(shí)詳細(xì)記錄有關(guān)的事件日志，以備分析取證。它的實(shí)時(shí)監(jiān)控和反應(yīng)大大增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的安全性。 2.2、入侵檢測(cè)系統(tǒng)一般分為主機(jī)型和網(wǎng)絡(luò)型，前者監(jiān)控宿主機(jī)系統(tǒng)上的攻擊特征，后者監(jiān)控網(wǎng)絡(luò)上有符合入侵特征的數(shù)據(jù)包，當(dāng)前的入侵檢測(cè)系統(tǒng)大多都可以與防火墻和反病毒軟件連動(dòng)，從而更有效地阻斷黑客或病毒的入侵,a,18,系統(tǒng)層面,一、身份鑒別機(jī)制 1.1、建立用戶和分配權(quán)限，定期檢查用戶實(shí)際權(quán)限與分配權(quán)限的符合性； 1.2、通過(guò)身份鑒別、訪問(wèn)控制等嚴(yán)格的規(guī)定限制遠(yuǎn)程管理賬戶的操作權(quán)限和登錄行為； 1.3、明確各類(lèi)用戶的責(zé)任、義務(wù)和風(fēng)險(xiǎn)，對(duì)系統(tǒng)賬戶的登記造冊(cè)、用戶名分配、初始口令分配、用戶權(quán)限及其審批程序、系統(tǒng)資源

10、分配、注銷(xiāo)等作出規(guī)定；,a,19,應(yīng)用層安全,身份鑒別 訪問(wèn)控制 通信保密性 通信完整性 軟件容錯(cuò) 資源控制,a,20,數(shù)據(jù)安全,數(shù)據(jù)完整性 數(shù)據(jù)保密性 數(shù)據(jù)備份與恢復(fù),a,21,網(wǎng)絡(luò)安全,結(jié)構(gòu)安全和網(wǎng)段劃分 網(wǎng)絡(luò)訪問(wèn)控制 網(wǎng)絡(luò)入侵防范 網(wǎng)絡(luò)設(shè)備防護(hù) 惡意代碼防范,a,22,主機(jī)系統(tǒng)安全,身份鑒別 自主訪問(wèn)控制 強(qiáng)制訪問(wèn)控制 系統(tǒng)保護(hù) 剩余信息保護(hù) 入侵防范 惡意代碼防范 資源控制,a,23,四、企業(yè)數(shù)據(jù)安全防范,1、數(shù)據(jù)安全防范大綱 2、企業(yè)數(shù)據(jù)安全防范措施 3、企業(yè)職工數(shù)據(jù)安全防范措施,a,24,數(shù)據(jù)安全防范大綱,1、保證企業(yè)數(shù)據(jù)財(cái)富的安全，一定是人防與技防并舉，指望靠一個(gè)硬件或者一個(gè)加密

11、軟件解決所有問(wèn)題，是企業(yè)信息化過(guò)程中很容易犯的低級(jí)錯(cuò)誤。 用好硬件和加密軟件的主要要素，最少應(yīng)該包括如下三點(diǎn)： 1.領(lǐng)導(dǎo)重視。要把企業(yè)數(shù)據(jù)看成財(cái)富和資產(chǎn)，有強(qiáng)烈的數(shù)據(jù)安全意識(shí)，建立制度并監(jiān)督執(zhí)行。 2.建立制度。用制度規(guī)范不同崗位職責(zé)和數(shù)據(jù)流向，時(shí)刻提醒員工扣緊數(shù)據(jù)安全這根弦。 3.做好服務(wù)。出現(xiàn)使用問(wèn)題及時(shí)處理，出現(xiàn)業(yè)務(wù)沖突及時(shí)解決，但必須保證數(shù)據(jù)是安全的。,a,25,企業(yè)數(shù)據(jù)安全防范措施,1、強(qiáng)化安全保護(hù)意識(shí)，加強(qiáng)計(jì)算機(jī)及系統(tǒng)本身實(shí)體的安全管理。 2、建立健全企業(yè)信息安全管理制度和操作規(guī)程制度建設(shè)是確保企業(yè)信息安全的關(guān)鍵。 3、結(jié)合自身硬軟件、數(shù)據(jù)和網(wǎng)絡(luò)等方面實(shí)際情況，提高工作人員安全意識(shí)

12、通過(guò)設(shè)置身份限制，對(duì)不同設(shè)備設(shè)置訪問(wèn)權(quán)限，對(duì)于各子系統(tǒng)工作人員每人設(shè)置一個(gè)賬號(hào)，并且每個(gè)賬號(hào)設(shè)置口令，并要求定期進(jìn)行更改口令。 4、企業(yè)數(shù)據(jù)安全簡(jiǎn)單說(shuō)主要分為是防御和恢復(fù)兩個(gè)部分，防御就是安裝一些殺毒軟件，服務(wù)器防火墻等等，恢復(fù)的話主要就是數(shù)據(jù)的備份，已經(jīng)數(shù)據(jù)的恢復(fù)。,a,26,企業(yè)職工具體數(shù)據(jù)安全防范措施,1、打印機(jī)打印時(shí)人必須在跟前，防止走開(kāi)別別人復(fù)印泄露信息。 2、打印紙背面提醒：重要文檔不要戴著節(jié)約的帽子，就順手納入到廢物利用的行列！ 3、電腦易手了解新公司最好的渠道,提醒：電腦部的管理人員必須將工作資料清空再格式，小心駛得萬(wàn)年船，況且這只是舉手之勞。 4、共享做好文件再通知竊取者,提

13、醒：要么不用共享，要用的話，記住刪除你的共享文件，或者提示一聲“拷完就刪”。 5、新進(jìn)培訓(xùn)無(wú)所保留只會(huì)有所失望,提醒：培訓(xùn)是好事，但對(duì)新員工而言，重要的是基礎(chǔ)培訓(xùn)，而不是一切信息告知。,a,27,企業(yè)職工具體數(shù)據(jù)安全防范措施,6、公用設(shè)備不等于公用信息 ，例如移動(dòng)硬盤(pán)公用，那數(shù)據(jù)可能會(huì)泄密。 7、光盤(pán)刻錄資料在備份過(guò)程中流失,要求重新備份，大多情況下，留在光驅(qū)里的“廢盤(pán)”就可以在下班后大大方方帶出公司。 8、會(huì)議記錄被忽視的黃金,提醒：行政要有安全意識(shí)。 9、應(yīng)該按照一定的規(guī)則設(shè)置桌面系統(tǒng)的登錄密碼，并且定期修改，減少登錄密碼泄露或被破解的可能性。 10、定時(shí)清除IE瀏覽器的臨時(shí)文件夾，可以防

14、止部分敏感內(nèi)容的泄露。,a,28,企業(yè)職工具體防范措施,11、為防止惡意代碼植入系統(tǒng)，預(yù)防計(jì)算機(jī)病毒感染，在收到來(lái)歷不明的電子郵件時(shí)，應(yīng)注意不要隨意打開(kāi)郵件，并立即予以刪除。 9、禁止在未經(jīng)授權(quán)的情況下，私自修改系統(tǒng)的計(jì)算機(jī)命名標(biāo)識(shí)和網(wǎng)絡(luò)配置。 10、禁止在未經(jīng)授權(quán)的情況下，私自安裝任何應(yīng)用軟件，在獲得授權(quán)后，只允許安裝與工作有關(guān)的正版應(yīng)用軟件。 11、禁止訪問(wèn)互聯(lián)網(wǎng)上與工作無(wú)關(guān)或來(lái)歷不明的站點(diǎn)，禁止從互聯(lián)網(wǎng)下載與工作無(wú)關(guān)的文件。,a,29,四、系統(tǒng)運(yùn)維管理,ISO27001信息安全管理體系標(biāo)準(zhǔn) 數(shù)據(jù)安全應(yīng)急方針 數(shù)據(jù)安全防范措施 數(shù)據(jù)安全硬件啟用方針,a,30,ISO27001信息安全管理體

15、系標(biāo)準(zhǔn),a,31,數(shù)據(jù)安全應(yīng)急方針,a,32,數(shù)據(jù)安全防范措施運(yùn)維,1、指定專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作； 2、根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份； 3、進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對(duì)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；應(yīng)保證所有與外部系統(tǒng)連接均應(yīng)得到授權(quán)和批準(zhǔn)； 4、建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶以及日志等方面作出規(guī)定； 5、對(duì)網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問(wèn)、最小服務(wù)、升級(jí)與打補(bǔ)丁、維護(hù)記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求；,a,33,數(shù)據(jù)安全防范措

16、施運(yùn)維,6、明確各類(lèi)用戶的責(zé)任、義務(wù)和風(fēng)險(xiǎn)，并按照機(jī)構(gòu)制定的審查和批準(zhǔn)程序建立用戶和分配權(quán)限，定期檢查用戶實(shí)際權(quán)限與分配權(quán)限的符合性； 7、對(duì)日志的備份、授權(quán)訪問(wèn)、處理、保留時(shí)間等方面做出具體規(guī)定，使用統(tǒng)一的網(wǎng)絡(luò)時(shí)間，以確保日志記錄的準(zhǔn)確； 8、通過(guò)身份鑒別、訪問(wèn)控制等嚴(yán)格的規(guī)定限制遠(yuǎn)程管理賬戶的操作權(quán)限和登錄行為； 9、定期檢查違反規(guī)定或其他違反網(wǎng)絡(luò)安全策略行為。 10、指定專(zhuān)人對(duì)系統(tǒng)進(jìn)行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；,a,34,數(shù)據(jù)安全防范措施運(yùn)維,11、制定系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全配置、系統(tǒng)帳戶以及審計(jì)日志等方面作出規(guī)定； 12、對(duì)能夠使用系統(tǒng)工具的人員及數(shù)量進(jìn)行限制和控制

17、； 13、定期安裝系統(tǒng)的最新補(bǔ)丁程序，并根據(jù)廠家提供的可能危害計(jì)算機(jī)的漏洞進(jìn)行及時(shí)修補(bǔ)，并在安裝系統(tǒng)補(bǔ)丁前對(duì)現(xiàn)有的重要文件進(jìn)行備份； 14、根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略，系統(tǒng)訪問(wèn)控制策略用于控制分配信息系統(tǒng)、文件及服務(wù)的訪問(wèn)權(quán)限； 15、對(duì)系統(tǒng)賬戶進(jìn)行分類(lèi)管理，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)要求；,a,35,數(shù)據(jù)安全防范措施運(yùn)維,16、對(duì)系統(tǒng)的安全策略、授權(quán)訪問(wèn)、最小服務(wù)、升級(jí)與打補(bǔ)丁、維護(hù)記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； 17、提高所有用戶的防病毒意識(shí)，告知及時(shí)升級(jí)防病毒軟件； 18、在讀取移動(dòng)存儲(chǔ)設(shè)備(如移動(dòng)硬盤(pán)、光盤(pán))上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也要進(jìn)行病毒檢查； 19、辦公桌面系統(tǒng)必須安