大型企业集团网络与信息安全保密总体方案及策略

大型企业集团网络与信息平安保密总体方案及策略时间：2011-07-1309:04:12评论：0我要投稿

[字体：小大]1、大型企业集团的网络与信息平安保密工作现状与分析

1.1大型企业集团网络与信息系统平安保密工作现状

经过对国内大型企业集团的了解和分析得知，国内大型企业集团的网络和信息化部有一些共性。大型企业集团一般拥有自己国内或国际的广域网，一般集团总部和各分部/分企业集团都有单独的互联网出口。集团和自已的上下游的合作伙伴会通过专线或互联网交换信息(见图1)。企业集团这种网络架构存在互联网出口多、平安性低，信息孤岛、OA等应用须要整合等典型问题。同时企业和合作伙伴的联网安伞也须要考虑。集团信息平安系统主要是由防火墙、入侵监测和病毒防范等组成，这种方法造成平安投入不断增加、维护与管理更加困难、信息系统的运用效率大大降低、对内部没有防范，对新的攻击入侵毫无防卫实力(如冲击波、振荡波)等一系列问舾。目前企业集团急需一套完整的符合国家信息平安保障工作要求的平安保密方案。1.2大型企业集团信息网络的平安隐患

1.2.1互联网的平安运用问题

由于互联网运用的广泛性、接入手段的多样性(modem拨号、以太网卡、无线网卡、蓝牙、红外等等)、应用的困难性以及攻击行为的隐藏性(蠕虫，病毒、木马、僵尸等等)，近年来我国已发生多起严峻的网上失、窃密案件。威逼互联网平安的因素包括“黑客”的入侵，计算机病毒，数据“窃听”和拦截等方面。

企业集团内同样存在因广泛运用互联网而可能发生的核心企业隐私外泄的严峻风险。因此，必需采纳有效的技术手段，加强监督管理，规范互联网的运用，以达到爱护国家隐私和集团企业核心隐私的目的。

1.2.2终端平安问题

随着企业信息网的对外开放，终端数量的日渐浩大，使企业信息网正在承受来自互联网的各种信息平安威逼，如网络蠕虫、平安攻击，垃圾邮件等。企业网终端没有统一的管理，病毒库不能得到严格升级，每台终端上的操作系统平安漏洞补丁不能得到刚好更新，这些威逼都会严再影响企业内部网络的平安运用，并进一步威逼企业的健康发展。

在现有网络架构下，只要接入集团的一台终端感染网络病毒，就可能导致往有数千台终端的网络内爆发蠕虫病毒，网络中会充斥大量的无用数据包，占用几乎全部的网络设备资源和带宽，导致真正的应用数据包无法被传输，甚至出现交换机由于CPU利用率过高而近似死机的现象。因此，必需对集团网络从交换机终端即网络边缘起先进行平安限制。

1.2.3Web应用系统分级授权限制问题

企业集团一般授权系统比较单一，须要建立分级授权系统对应用系统进行爱护，主要包括：(1)边界权限限制：各企业集团内部上页属于内部办公允台，必需受限访问。(2)重要模块限制：各企业集团内部主页有企业隐私信息模块，也有公开信息模块。企业隐私信息模块包括OA系统、竞争情报、工作报告、会议纪要、科技成果、管珲课题探讨等内容。应加强对企业隐私信息模块的保密管理，依据工作分工、分级授权进行访问限制和管理。

1.2.4文件爱护问题

由于企业集团内部网络监控的缺位，目前存在以下内部泄密途径：(1)内部人员将资料通过移动存储介质从电脑中拷出带走；(2)内部人员通过互联网将资料通过电子邮件发送给外部人员；(3)将文件打印后带出。(4)将办公用便携式电脑干脆带回家中，(5)电脑易手后，硬盘上的资料没有处理；(6)随意将文件设成共享，导致非相关人员获得资料；(7)移动存储介质设备共用，导致非相关人员获得资料；(8)将私人便携式电脑带到企业集团，接入局域网，窃取资料；(9)开启同事电脑，阅读、复制同事电脑里的资料。此外，还有许多其他途径可以被别有专心的内部人员利用以窃取资料。

1.2.5移动存储介质和设备管理问题

越来越多的敏感信息、隐私数据和档案资料被存贮在移动存储介质里，给企业信息资源管理带来相当人的平安隐患。企业集团移动存储介质运用管理中存在的问题主要包括：非法拷贝敏感信息和涉密信息到移动存储介质中；企业外部移动仔储介质未经授权在内部运用；企业内部移动存储介质及信息资源被带出，在外部非授权运用；存贮征媒体中的隐私信息在联网或人工交换时被泄露或被窃取；处理废旧移动存储介质时，末做信息清理；存有隐私信息的介质不经处理或任无人监督的状况下被带出修理；存有隐私信息的存储介质失窃；隐私信息和非隐私信息放在同一介质上。另外公私混用，存在肯定平安隐患。

1.2.6涉密文件的等级爱护问题

假如将涉密文件以明文方式存储在涉密存储介质中，一旦涉密存储介质(硬盘、移动硬盘、U盘、笔记本电脑)意外遗失或者被盗，或者存储在上面的涉密信息被恶意通过网络发送出去，则可能造成涉密信息的泄漏。必需采纳肯定的技术于段，依据涉密文件的级别，以不同等级自动进行文件加密，使涉密存储介质中存储的文件为密文，即便涉密存储介质被盗或意外遗失，或者被恶意外泄，也不至于造成干脆泄密的重大损失。

1.2.7邮件加密及归档审计

企业集团一般用户自主邮件复原功能只能复原30天之内的数据。且有肯定的限制，无法查询和监督更长时期内的历史邮件。

据调查显示，目前全球范围内正式实行邮件归档系统的企业并不多，在我国企业中真正实施邮件归档的企业更是少之又少。与国外企业对邮件归档的相识不同的是，对于国内的企业负责人来说，或许他们更关切的是企业中的机密文件是否会被不轨员工利用电子邮件外泄。因此，必需采纳肯定的技术手段，实现邮件加密传输以及对邮件进行归档审计。利用邮件系统归档功能，可以依据企业集团工作须要查询和监督用户利用企业集团的邮件平台收发的电子邮件，尤其是公务邮件，对学问产权的爱护具钉现实意义。

1.2.8网络涉密传输

对于涉及氽业集团或国家隐私的数据传输，传输通道必需加密，以保证特殊条件下信息不被轻易窃取。

2、网络与信息平安保密建设总体方案

2.1总体目标

大型企业集团网络与信息安伞保密工作的总体目标可以定义为：针对集团网络及信息平安保密须要，构建系统的平安保密技术和防护策略及其措施，通过制度管理和技术防范，双管齐下，规范员工行为，以达到网络和信息资产平安的总体目标。最终达到“外人进不来，进来之后看不到，看到了拿不走，拿走了用不了，操作了可追溯”的效果。

2.2总体要求

对于网络与信息保密工作而言，管理方法和技术手段同等重要，缺一不行。只重视管理流程，缺乏足够的技术手段，信息平安保密工作就只能取决于执行者自身的政治觉悟。对于觉悟不高者而言，简单流于形式，只谛视技术手段。不加强管理，信息安伞保密工作就简单受到轻视，技术手段反而成为绊脚石，平安保密工作无法有效开展。平安，特殊是信息平安是一个系统工程，在这个系统工程中，体现着“三分技术，七分管理”。

2.3管理改进

大型企业集团应建立网络与信息平安保密组织，制定相关的管理制度，大力宣扬信息保密工作的重要性。最大程度地爱护企业的各种隐私信息。详细工作任务包括：(1)依据企业集团信息保密工作的详细要求建立适合本企业集团或部门的电子信息保密规定，建立可操作的工作制度。(2)对本企业集团有涉密信息的部门划分级别，对用户的电脑进行严格的平安配置，例如禁止运用USB盘、只能登录特定的电脯等；(3)用户不明确信息是否涉密时，由保密工作部门进行甄别；(4)为信息技术管理部门供应有关信息保密管理、技术改进、提升与完善的详细建议；(5)对本企业的员工进行信息保密培训与教化；(6)对涉密信息的沟通与传递进行监督；(7)帮助平安部门对违反保密规定的信息泄漏事务进行调查、取证。(8)与审计部门协作，定期或不定期对本企业集团的信息保密工作进行审计；(9)定期或不定期向企业高层与集团信息保密工作组报告本企业集团的信息保密工作状况。

2.4总体方案

2.4.1建立网络分区分级管理

目前，企业集团的整个信息网络是一个整体，没有内、外网之分以及保密专网，网络结构存在平安隐患。

为了提高信息平安性，依据信息的密级，结合工作的须要，对信息网络进行分区分级管理。从长远看，企业集团网络应当分为困密网、专用网、外网、办公内网四个平安区，如图2所示。对于平安区内的系统依据审要性进行分级管理。2.4.2建立网络平安准入系统

在企业集团范围内建立终端平安防护和全面的网络准入限制系统，实现如下目标：

(1)网络准入限制。工作站必需符合定义的平安策略(例如安装了指定的防病毒软件、更新了病毒特征代码、安装了最新的微软补丁等)才能够接入网络，实现自动修复以及用户和设备的认证，保证网络上全部终端都是健康的。

(2)应用程序限制。只有指定版本的软件才能够访问网络资源，禁止用户私自安装的软件或木马程序、蠕虫访问网络。

(3)基于用户/组的访问限制策略。可以对不同的成员企业集团、部门、承包商、项目组、第三方接人人员采纳不同的网络访问限制策略，构建集中管理的分布式防火墙体系。

2.4.3实施Web应用分级授权限制系统

随着企业集团业务的发腰和集团各部门之间信息沟通的增多，因估息系统建没周期较长、系统众多，技术架构趋于困难，须要一套敏捷的、易于管理的Web应用授权限制系统。

新的Web授权系统作为企业集团内部Web应用统一的授权服务平台，为企业门户任应用层面供应信息阅读的安伞保障，满意企业在业务需求不断发展的过程中产生的信息平安方面的须要。同时，该系统也可以作为一项独立的平安服务，为以后的集团门户系统供应强有力的支撑。

2.4.4建立企业电子文件爱护平台

建立企业集团范围的电子文件爱护平台，解决如下问题：

(1)按需对涉密电子文件进行加密。

(2)单一或组合授予用户阅读，打印、复制、编辑等权限。

(3)对于脱离受控环境的电子文件，可以限制其只能在特定的计算机上运用；或设置其可读取的次数和有效期限。

(4)与各类信息系统进行集成。使得这些信息系统具备电子文件爱护实力，并且不会变更系统的原有流程。

(5)无论运用U盘、移动硬盘、还是通过Email发附件的方式，在受控环境之外不能有效运用经爱护的涉密电子文件。

(6)关注电子文件本身，而不是层出不穷的各类电子设备和文件载体。

2.4.5移动存储设备的运用管理

移动存储设备应分密级运用，并必需保证密级文件的平安。

移动存储设备应依据所保存的涉密内容。分级别进行登记和管理；实行技术手段，禁止未经许可的U盘在涉密计算机上进行运用，保证经过许可的U盘在涉密计算机上能正常运用，保证存储涉密文件的U盘丢失后不造成内容泄密。

2.4.6涉密文件平安等级爱护

(1)全部文件只能任内部才能运用。即使被恶意通过互联网发出去，或者通过U盘拷贝出去，文件不能被正常读取。

(2)对文件征内部的流转进行等级划分。密级文件只能在具备相应或更高密级的计算机上才能被读取。

(3)文件以密文的方式在内部流转，即使在流转过程中被窃取，也不会造成重大泄密。

(4)对加密文件进行解密时，必需得到明确的授权。

(5)文件的整个流转过程具备完整的审计日志。

2.4.7实现邮件加密及归档审计

建立公开密钥基础设施(PKI)证书系统，要求部门经理以上用户采纳PKI/CA(CA证书)邮件加密与数字签名的方式增加邮件系统访问的平安性。建立归档机制，自动、实时地对现有邮件系统中的邮件进行分类存储。终端用户删除邮件不会造成系统中数据的丢失。管理员可以依据须要随时依据各种条件进行检索。

2.4.8网络涉密传输

采纳内置国家密码管理局认证硬件加密卡的网络加密机(VPN)进行数据传输通道的加密。即采纳密码技术在公用网络中开拓出专用的隧道，形成专用网络，主要用于解决公共网络中数据传输的平安问题，保证内部网中的重要数据能够平安地借助公共网络进行交换。

3、网络与信息平安保密技术基本实施策略

依据大型企业集团网络与信息安伞保密总体方案，从六个方面加强平安保密技术措施，构建系统的平安保密防范体系。主要内容包括：网络平安准入、移动介质注册管理、电子文件加密爱护、内部网页授权管理、国际互联网应用管控、操作日志和邮件归档审计等。

3.1网络平安准入

策略内容：对终端电脑实行注册管理，接入企业集团网络时需进行设备和账号双重认证限制。首先，通过系统后台验证终端电脑是否已在企业集团注册，是否符合平安标准(安装准入客户端和指定病毒防火墙)，验证合格后方允许接入系统；其次，用户输入账号、密码，经身份验证后方可访问内部信息资源。非注册终端设备或非授权账号不能接入内部办公网络，非平安终端设备(染毒)访问内部办公网络资源时受限。

解决问题：网络入口限制。防范非法接入网络；降低网络被病毒感染和攻击的概率。

3.2移动介质注册管理

策略内容：对移动存储介质(U盘、移动硬盘等)的运用进行注册管理。已注册移动存储介质在企业集团内网、工作电脑上可正常运用和交换数据；在外网或外部设备中，只有将移动存储介质设置为商旅模式并输入密码后方可运用；非注册移动仔储介质中的电子数据可拷贝至企业集团内网、工作电脑上，企业集团内网、工作电脑上的电子数据不能拷贝到非注册移动存储介质上；因工作须要向企业集团以外的电脑中拷贝电子数据时，经保密审查后，统一由企业集团或部门机要员将移动存储介质设置为商旅模式并进行解密；对注册移动存储介质中资料的全部更改、转移、交换、解密等行为，进行后台记录，作为审计依据。

解决问题：防范电子文件通过移动介质拷贝泄密，防范移动介质遗失造成失、泄密。

3.3Web网页授权管理

策略内容：对企业集团内部主页进行三级授权管理。第一级为整个丰页的访问授权；其次级为主页内栏目或业务系统的访问授权，第三级为应用程序授权。各级授权管理分别由网页、栏目、业务系统的用户应用管理员负责。

解决问题：按授权范围查阅、利用网络信息资源，在平安范围内进行成果沟通。

3.4电子文件加密爱护

策略内容：禁止在企业集团网络上存储、处理、传输涉及国家隐私的电子文件、信息，对涉及企业隐私的电子文件、信息进行加密爱护。丰委包括以下三个方面：

(1)对网页中须要爱护的附件电子文件进行加密，依据须要对附件的查阅、修订、复制、下载、打印等权限进行限制。

(2)对部门或个人的最终成果类电子文件供应网络存储、备份管理审问，供应基于加密和授权爱护的共享利用手段，进行成果管理和共享。设置个人文件夹备份保管个人成果文件，设置部门成果文件夹存储保管部门成果文件，设置部门共享文件夹任加密授权爱护的前提下对成果文件进行共享。

(3)运用加密技术对重要或涉及企业隐私的电子文件进行加密管理，设置查阅、修订、复制、下载、打印等权限，按授权利用文件成果。

解决问题：进行成果管理，供应基于加密和授权爱护的共享，从而达到防泄密的效果。防范非授权或无关人员接触涉密或敏感电于文件；防范二次传输泄密(授权人二次传送给无关人员或集团以外人员造成泄密)；防范移动电脑遗失造成的数据丢失或泄密。

3.5国际互联网应用管控

策略内容：实施互联网出口认证和流量管理系统，加强互联网系统监控和管理。禁止进行联机嬉戏、基金炒股、P2P下载、BBS沟通以及QQ、MSN等即时通讯网络操作；禁止运用超文本传输协议()以外的应用；禁止一个账号在多台机器上同时登录互联网；按国家相关规定对访问互联网的行为进行后台监控，必要时对后台监控日志进行审计；禁止访问非工作相关网站或不良信息网站。对违反互联网运用管理规定的用户，收回其权限并在企业集团内部通告。

解决问题：依法平安运用互联网，提高网络平安性。监督防范擅自向外网(如BBS、博客等)张贴