电子信息安全

电子信息安全政策S027001信息安全管理体系10大安全管理要素1） 安全策略2） 信息安全的组织3） 资产管理4） 人力资源安全5） 物理和环境安全6） 通信和操作管理7） 访问控制8） 系统系统采集、开发和维护9） 信息安全事故管理10） 业务连续性管理信息安全管理体系发展轨迹对于信息安全管理问题，在上世纪90年代初引起世界主要发达国家的注意，并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》,规泄信息安全管理体系与控制要求和实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范用的唯一参考基准，是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织（ISO）联合国际电工委员会（IEC）分别于2000年和2005年将BS7799标准转换为ISO./IEC17799《信息安全管理体系实施细则》和ISO./IEC27001《信息安全管理体系要求》，并向全世界推广。中国国家标准化管理委员会（SAC）于1999年发布了GB/T17859《计算机信息系统安全保护等级划分准则》标准，把信息安全後理划分为五个等级，分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分，并提出了监管方法。2007年3月份制订了与ISO/IEC17799和ISO/IEC27001相对应的《信息安全管理体系实用规则（征求意见稿）》和《信息安全管理体系要求（征求意见稿）》，预讣在今明两年内发布。信息系统安全的等级为加快推进信息安全等级保护，规范信息安全等级保护管理，提髙信息安全保障能力和水平，维护国家安全、社会稳徒和公共利益，保障和促进信息化建设，国家公安部、保密局、密码管理局和国务院信息化工作办公室等，于2007年联合发布了《信息安全等级保护管理办法》，就全国机构/企业的信息安全保护问题，进行了行政法规方而的规范，并组织和开展对全国重要信息系统安全等级保护左级工作。同时，制订了《信息系统女全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范（国家标准审批稿），来指导国内机构/企业进行信息安全保护。在《信息安全等级保护管理办法》中，对信息安全保护按照信息系统在国家安全、经济建设、社会生活中的重要程度，在信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确左等级，英等级见下表1。表1信息系统安全等级保护等级危害程度行政法规行政监督第一级对公民、法人和其他组织的合i•去权益造成揭害，但不扌负害国家安全.社会秩序和公井利益国家有关管理规范和技术标准运営、使用单位目行监督、检查第二级对公民、法人和其他组织的合法权益产生严重揚害，或者对社会秩厚和公共利益造成損害"但不扌员害国家安全国家有关管理规范和技术标准国家信息安全监管部门进行指导第三级对社会秩序和公共利益造成严重损害，或者对国家安全造成损害国家有关管理规荊和技术标准国家信息安全监管部门进行监督、检查第四级对社会秩序和公共利益造成特别严重揭害，或者对国家安全造成严重损害国凉有关管理规范、技术标准和业务专门需求国凉信息安全监管部门逬行强制」监督、检查第五级对国家安全造成特别严重损害国家育理规范、技术标淮和业务特殊安全需求国家指定专门部门进行专门监督、嗨9在《信息系统安全等级保护基本要求》中，要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面，按照身份鉴别、访问控制、介质管理、密码管理、通信和数掳的完整、保密性以及数据备份与恢复等具体要求，对信息流进行不同等级的划分，从而达到有效保护的目的。电子文件在信息安全中的状态电子文件（包括文档、图片、数据包等）是企业体现数据流的主要表现，记载着大量的敏感信息，始终处于被浏览、复制、修改、打印过程中。通过网络，文件可以被转移和复制。因此，电子文件的安全环境是信息安全范畴的薄弱环节，是防范的重点。在没有进行安全防护的环境下，电子文件将通过以下渠道被泄露：1） 内部网络：任何人可以通过内部网络获取任何文件。2） 外部网络：外部人员可以通过外部网络的合法或非法访问主机、或者通过电子邮件获取文件。3）存储介质：任何人可以通过移动介质（如U盘）获取文件。由于存在这些泄歸渠道，在《信息系统安全等级保护基本要求》中通过用户角色、访问控制和介质管理等手段对电子文件进行控制，但仍然无法对文件的内容进行控制，文件内容的泄露成为整个信息安全的漏洞源头。电子文件安全系统的用途随着企业信息化应用技术的普及，通过计算机，产生大量的电子信息并存储在企业计算机中，彻底改变了过去以“纸”作为存储介质的文件管理模式，取而代之的是电子文件或数据。如何来管理这些电子文件或数据，社会上岀现了以下几种模式：1） PC机分散管理：大部分企业通过个人，按照Windows文件夹的形式进行管理。这种管理模式处于电子文件管理的初试阶段，完全凭借个人的喜好进行管理，完全没有信息安全之感，文件基本上处于泄露状态。2） 文件服务器集中管理：随着电子文件的增多，信息安全意识的增强，依靠PC机分散管理已经不能适应企业管理的需要。许多企业采用计算机进行集中管理文件，将正式的电子文件（有效）放巻到服务器上，通过分类进行管理。这种模式虽然解决了分散管理的一些弊病，但无法控制文件的安全，同时，增加了文件被批疑破坏的几率。3） 管理软件强制管理：PDM、ERP和0A的应用，集中了文件服务器集中管理的优点,使文件管理趋于规范化，是当前许多具有信息化管理意识的企业常采用的模式。但是，这种管理模式虽然加入了角色、权限、版本等内容，仍无法解决文件内容的安全性和机密性，并没有完全堵住文件内容彼泄露的渠道，不能真正达到信息安全保护的目的。泄密行为概述在很多涉及工程设计的单位（如建筑、模具、电路、广告、机械等），电子图纸的应用极为普遍，而电子图纸的丢失、彼盗对企业利益的影响是显而易见的，如果被竞争对手获取，甚至可能造成致命的打击。因此，对于这类企业，电子图纸的保密显得至关重要。绿盾信息安全管理软件充分考虑了电子图纸的各种可能传播途径，制定了针对性的解决方案，从而保证了电子图纸的安全。我总结了电子图纸的各种传播途径以及相应的对策，有如下几点：1、移动存储器复制问题:I；盘、移动硬盘、手机存储卡等一切通过USB口及串口接入的移动存储设备都很常见，也是最容易将图纸整批复制总的工具。就算USB端口屏蔽也极易破解，采取物理破坏CSB口方式既不方便，也不能解决员工用其他端口接入问题。解决办法：（1）软件封堵USB接口，打印端口，相关网络设备接口困惑:公司内部交流不便，员工心理工作心理压力大，且管理麻烦，不能很好的统一管理，特别对于一定数虽:电脑的公司更为显现。硬件封堵，采用破坏外接端口，安装网络摄像头监视员工行为等，更有用大铁柜锁起电脑主机困惑:不尊重人权，造成员工心理负担加重。物极必反。建议:软件封堵硬件接口，行政管理，规范外接设备使用权限，明确人员、时间、地点、权限。2、 网络工具传输问题:通过QQ、MSN.E-mail.网络U盘、BT、FTP等各种网络工具向外发送图纸文件，只要有网络，想用屏蔽软件或端口根本无法解决文件通过网络发送的问题，除非 在完全没有网络的环境里工作。没有网络的工作环境又对工作带来不便。解决办法：监控软件优点:监控员工实时行为，详细报表说明，价格相对便宜。缺点:不尊重人权，响应时间幔，往往不能作为防泄密主要手段，不失为做事后追査手段。安装实施及维护较麻烦。加密软件安装加密软件后，图纸发送岀去后，文件打开是乱码或根本打不开，但不影响正常上网。上网行为管理设备优点:部属方便，应用范围广，适合成熟网络坏境，价格相对较高，国内最早产品-网康，国内最大客户应用产品-深信服，台湾最大品牌-守内安。缺点:产品价格较髙，后续费用较软件髙。建议:近两年上网行为管理设备明显优于监控软件，相对简单的部属方式着实让不少CIO省心，且具有强大的应用功能，强大的行为识别能力，能从容应对各种实际企业需求。但这还不能解决泄密问题，作为辅助行政管理手段及事后追查还是不错的。建议要配合加密软件来使用，当然各企业可根据自身实际情况使用。3、 系统截图发送问题:采用无盘站或集中存储的图纸，看上去很安全，英实员工可以利用系统截图的方式将存储或通过网络方式将截图发送出去。建议:如果应用监控系统或上网上行为管理设备，可制泄详细策略，禁止使用截图，或录像专家等应用。做到事前防御，安装加密软件后：当打开加密过的图纸文件，截图功能被屏蔽或屏下的图片文件仍为加密，做到无法泄密功能。，无法从加密文件截图。4、 图纸打印带走在中小企业里，图纸打印有时候是很随意的，员工可以趁老板或高层不在时，有意打印一些关键图纸，日积月累地带走。安装加密软件后:可以禁止特宦电脑对加密图纸打印，对于关键图纸实行集中打印管理。5、 直接拆走硬盘在端口被屏蔽、互联网切断的情况下，某些员工采取极端方式拆疋硬盘，不辞而別地离职，这样能一次性带走所有资料。安装加密软件后:软硬件联介加密，拆走的硬盘安装到其他电脑上，图纸文件自动锁定无法打开。6、 偷走电脑主机在端口被屏蔽、互联网切断的情况下，员工可能没有足够时间拆取硬盘，而直接盗取电脑主机，然后不辞而别地离职。根据中国法律，电脑主机价值不能构成职务侵占罪立案条件，企业无法通过法律途径制裁员工，资料被盗却无法衡量。安装加密软件后：'3电脑被盗后，被盗电