信息安全建设规划-v1

1、1 提纲提纲 u为什么要重视信息安全；为什么要重视信息安全； u安全与投入；安全与投入； u安全与效率；安全与效率； u现有状态；现有状态； u控制点；控制点； u解决方案；解决方案； u预期效果；预期效果； u预计价格；预计价格； 2 为什么要重视信息安全为什么要重视信息安全 世界上每分钟就有2个企业因为信息安全问题而倒闭 2001年12月，烟台乔某利用到某电信公司维护通信设施 之机，通过修改数据伪造电话卡1000，获利20万; 韩国农协银行(NH Bank)由于主机系统及备份系统数据 被删除，导到客户无法提款、转帐，系统故障持续3天 安然事件； 沈阳市公安局沈阳大学的故事； 3 安全与投入

2、安全与投入 投入 安全级别 信息安全与投入的关系 4 安全与效率安全与效率 那一个是我们的选择 5 现有的状态现有的状态 优势：优势： 1、安全性较高; 不足：不足： 1、内外交互时，中转 过程需人工过滤，人工 过滤机制规划不清晰， 事后没有（无法）审计 ； 2、内外网无法通讯， 近期导致信息发布、邮 件机制不畅通、远期上 系统会需要额外的解决 方案; 3、部分硬件（电脑、 工位）资源的浪费; 4、互联网资源获得困 难； 5、人员无法灵活的使 用办公工具，如打印机 等； 理想解决方案：理想解决方案： 1、通讯要畅通（邮件) ，未来可以支持上应用 系统； 2、员工可以应用打印 系统; 3、按角色

3、可以获得互 联网资源； 4、访客入场要有安全 级别的控制； 5、文件内部交互自由 ，可以进行自由外发； 6、电脑及外设丢失不 致于造成安全事故； 7、以上所有行为均要 有严格的安全控制，事 后可以进行跟踪审计; 6 控制点控制点 7 控制点控制点 8 控制点控制点 9 控制点控制点 10 控制点控制点 11 解决方案解决方案 防泄露防泄露 备份备份 访客访客网络网络 教育教育 解决方案解决方案 体系体系系统管理员系统管理员 12 解决方案解决方案- -访客访客 方案1：修改网络策略，改为MAC地址锁定，外来人员借用无线网卡。 优势：节省资金 不足：大部分实现功能，麻烦 方案2：采用有成成熟解决

4、方案的供应商，如思科及华为的解决方案 优势：解决彻底 不足：费用较高 13 解决方案解决方案-网络层网络层 网络层 深化应用路由、交换功能深化应用路由、交换功能 1、Vlan 划分 2、Mac准入 3、启用防DHCP、ARP功击 4、启用VPN 防火墙、防入侵系统防火墙、防入侵系统 1、一个是基于端口堵住 2、一个是进来抓住 网关防毒、流控、日志审计网关防毒、流控、日志审计 除了传统的控制外，更加要重视日 志审计，以利通过报表发现问题， 事后有问题可以快速追踪。还应可还应可 以进行内网漏洞检测，自行分发或以进行内网漏洞检测，自行分发或 利用域控分发补丁！利用域控分发补丁！ PCPC、外设、域、

5、邮件、外设、域、邮件 1、软件安装受限； 2、USB、屏保等策略； 3、报废设备要作数据清理，先覆盖 再物理损坏; 4、操作系统的安全补丁要及时更新 ，要选择官方继续支持的操作系统; 5、不能再用非公司授权的邮箱; 14 解决方案解决方案-防泄露防泄露 国内解决方案 国外解决方案 如何选择？ 困难 你是坏蛋你是好人 15 解决方案解决方案-防泄露防泄露 国内产品国内产品国外产品国外产品 设计理念设计理念以数据泄露防护为目标，防止有意和无意的泄露。以数据丢失防护为目标，防止无意的泄露。 实现手段实现手段 事前主动防御，对文件进行加密并控制文件的传播途径，文 件即使泄露也无法被使用。 “发现并阻断

6、”，定义非法行为的规则，当有非法行为发生时， 触发相应的阻断策略进行处理，比如警告、拦截等。 文档加密文档加密 透明加密，即文档始终保持加密状态，但在公司网络环境中 使用（安装客户端的电脑）感觉不到文件是加密状态，没有 差异，不改变使用者的习惯。离开此环境，文件不可用，可 通过解密申请流程使文档解密。 首先是对文件定义的保密等级，针对需要特殊保密的文件，进 行加密，当员工需要使用此文档时，通过审批流程获得解密文 档。 数据防护数据防护无 发现并处理，根据定义的企业机密信息样本库，对终端、USB接 口、光驱、网络出口等进行扫描监控，如果发现违规行为，则 实施不同的防护策略。 硬盘加密硬盘加密直接

7、对硬盘物理扇区进行加密，如果电脑丢失，硬盘不可用。 直接对硬盘物理扇区进行加密，如果电脑丢失，硬盘不可用。 与应用系统的与应用系统的 集成集成 采用网关（硬件设备）、二次开发等方式进行文档加解密， 实现与应用系统集成。 如果文档是加密状态，通过流程审批使文档解密后，与应用系 统集成。 文档外发文档外发 向公司外发布的文件进行权限控制，比如只读、打印、修改、 只读次数、只读时限、过期自动销毁、打印水印等权限设置。 无 离线管理离线管理离线审批和记录离线电脑对文档的操作。控制USD、DVD等外借设备。 访客管理访客管理 对访客电脑安装客户端，并赋予临时权限，才有权限操作透 明加密的文档。 对访客电

8、脑安装客户端，并赋予临时权限，使访客的电脑处于 可控范围内。 VPNVPN连接连接使用VPN的电脑需安装客户端，才可操作透明加密文档。使用VPN的电脑需安装客户端，处于可控范围内。 审计与报表审计与报表记录操作，读取、修改、打印等并形成报表。记录操作，读取、修改、打印等并形成报表。 风险风险 1)从设计理念上做的是最坏的打算，认为员工会主动泄露公 司机密。 2)在系统的扩展性上，不及国外产品。 3）外发文件的工作量将增大。 4）将文档内容复制后以邮件方式发送出去，无法控制。 企业定义的敏感信息与制定的防护策略要有一个磨合的过程， 是一个定义敏感信息-制定策略-过程监控-调整对敏感信息 定义的闭环。在调整过程中可能出现误报、漏报情况。 国内与国外产品对比： 16 解决方案解决方案-防泄露防泄露 重要文件类型，全部加密； 外部需要时，按解密流程解密； 可选设置解密后的使用次数等； 非加密文件根据“关键字”上下文关系进行阻止； 拷屏控制，打印启动流程控制; 二选一，为什么不能二选二？ 17 解决方案解决方案-备份备份 异地备份 体系执行 18 解决方案解决方案-安全教育安全教育 19 解决方案解决方案-体系体系 控制点解 1、机房出入申请，有日志，记录到IT月报中去； 2、权限申请单，定期与业务部门复合权限; 3、全部控制点 4、引