公司信息安全规划方案

XX公司

安全规划方案2016年3月

目录

第一章需求分析

前言

随着互联网和信息系统的飞速发展，具有黑客攻击特征的新类型病毒的大量出现，特别是近几年威胁攻击更倾向于窃取核心资料或是从事系统破坏为目的，攻击手法通常采取“低而缓”的方式，攻击行为往往在较长的时间内不会被注意到,恶意软件呈现出了定向化、多样化、动态化的特点。用户如果仅依靠单一的技术手段并无法有效全面控制安全风险。同时IT环境变的越来越复杂,在日常维护工作中如何对多样化的终端，移动设备，应用软件以及多样的系统进行有效的管理，形成统一有效的管理网络，提升管理效率，一个混乱无序的IT环境对于企业的信息安全也是存在巨大的安全漏洞，对于攻击者来说可以利用的攻击途径相比一个统一的有效的IT架构能更加轻松的攻破。

2015 我们身边的安全事件：

•Charlie Miller和Chris Valasek历时一年，研发出了一套可以攻破切诺基2014款吉普的工具，而且可以通过无线网络进行攻

破。

•汽车入侵又出奇招：奥迪 TT 被攻破

•道琼斯公司（Dow Jones）CEO承认了公司数据泄露事件，有3500位用户的数据（支付卡信息、通讯信息等）被黑客未授权访问，并

已向受影响的用户发去了通知邮件。

•喜达屋集团表示，目前位于北美地区的54个酒店均发现了恶意软件，该恶意软件的目的是从支付终端和收银机上窃取酒店用户的银行卡信息。

•机锋论坛2300万用户信息泄露

•海康威视部分设备被境外IP控制，存严重安全隐患

•大麦网600多万用户账号密码泄露，数据已被售卖

•过亿邮箱用户数据泄露，网易称遭黑客“撞库”

现状分析

目前XX没有统一的终端防护软件，无法集中管理终端防护工作；在网络层面架设有传统防火墙和行为管理设备；所有的服务器都可以连接外网；搭建了AD域控，但客户端没有加入域；对出差人员和外来访客访问内网无有效的安全管理手段。

综上所述的现状分析来看，XX的信息系统还没有形成一套完整有效的安全防御体系，使公司更容易成为数据窃取和操控的受害者、造成关键业务中断并导致公司损失。

第二章信息安全建设规划

设计思路

针对现今各企业所面临全新的安全威胁和挑战，结合XX现有的信息安全体系，我公司通过从终端到网络以及数据等多个方面建立一整套安全防御体系，全面评估攻击对企业内部网络的渗透范围和造成损失，准确消

除攻击给企业造成的破坏，同时也可以提高企业信息安全的管理效率以及保障数据在企业内部和外部流转的安全性。

建设目标

部署终端防病毒软件，并进行网络接入合规性检查，保证IT系统免于受到攻击；

建立在网络边界位置履行对人员和设备进行准入控制，将端点修复到可信状态，确保接入内网访问公司资源的终端符合IT管理策略；

建立形成统一的终端运维管理平台，提升IT管理的效率；

建立一种全新的，发现、划分处理优先级并补救所有端点中高级攻击的高级威胁防护；

应用业务数据集中存储、集中备份，使用专业的数据备份恢复技术，提供更安全的数据保护；

建立完善的安全防护及管理体系，应对外部威胁和内部威胁，形成业务系统的快速恢复机制，减少因IT系统停顿对公司主营业务的影响和损失；

建立核心数据管理统一防泄密平台，监控核心业务数据的生产、传播

和使用环节；

信息安全建设方案

终端整体安全规划

终端安全防护系统

实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。

传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于XX这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。

此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。

因此，产品＋管理＋服务的组合才能在根本上保证病毒防护的可靠性。

技术层面

因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可

伸缩、抗打击的终端防护体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：

入侵防护:

基于漏洞的入侵阻断

•阻断RPC 缓冲区溢出漏洞•阻断利用Web 浏览器漏洞的攻击（间谍软件最常用的安装方式）入侵防护:基于漏洞的入侵阻断•阻断RPC 缓冲区溢出漏洞•阻断利用Web 浏览器漏洞的攻击（间谍软件最常用的安装方式）防火墙

•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图

防火墙•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图实时防护和阻断

•自动识别并清除蠕虫病毒•自动防护已知恶意软件（特别室间谍软件）的安装•如果恶意软件已经安装，在其运行时检测并阻断

实时防护和阻断•自动识别并清除蠕虫病毒•自动防护已知恶意软件（特别室间谍软件）的安装•如果恶意软件已经安装，在其运行时检测并阻断抑制未知的恶意软件•Bloodhunt 启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分抑制未知的恶意软件•Bloodhunt 启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分根本：系统加固•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制

根本：系统加固•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制

使用以应用程序为中心的防火墙来阻止蠕虫，木马和黑客，防止其利用漏洞，非法攻击终端；

网络威胁防护可分析传入数据流，及时阻止威胁通过网络攻击终端；

主动检测威胁技术将存在风险的文件与安全的文件区分开来，可提高恶意软件的检测速度和准确性，扫描偷渡式下载和以浏览器漏洞为目标的攻击，能实时监控应用程序行为并阻止目标性攻击和零日威胁；

智能的应用程序控制，控制文件和注册表访问权限，以及设置允许进程如何运行；

可用于限制对选定硬件的访问，并控制哪些类型的设备可以上传或下载信息的外设控制。外设控制可以结合应用程序控制，提供更灵活的控制策略。