信息安全建设规划v
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提纲
为什么要重视信息安全; 安全与投入; 安全与效率; 现有状态; 控制点; 解决方案; 预期效果; 预计价格;
1
为什么要重视信息安全 2001年12月,烟台乔某利用到某电信公司维护通信设施 之机,通过修改数据伪造电话卡1000,获利20万;
韩国农协银行(NH Bank)由于主机系统及备份系统数据 被删除,导到客户无法提款、转帐,系统故障持续3天
理想解决方案: 1、通讯要畅通(邮件) ,未来可以支持上应用 系统; 2、员工可以应用打印系 统; 3、按角色可以获得互联 网资源; 4、访客入场要有安全级 别的控制; 5、文件内部交互自由, 可以进行自由外发; 6、电脑及外设丢失不致 于造成安全事故; 7、以上所有行为均要有 严格的安全控制,事后 可以进行跟踪审计;
5
控制点
6
控制点
7
控制点
8
控制点
9
控制点
10
解决方案
解决方案
访客
网络
源自文库
防泄露
备份
教育
体系
系统管理员
11
解决方案-访客
方案1:修改网络策略,改为MAC地址锁定,外来人员借用无线网卡。 路由、防火、日志等设备
优势:节省资金 Vlan3
不足:大部分实现功能,麻烦
Vlan1
Vlan1
Vlan2
方案2:采用有成成熟解决方案的供应商,如思科及华为的解决方案 优势:解决彻底 不足:费用较高
被使用。
略进行处理,比如警告、拦截等。
透明加密,即文档始终保持加密状态,
但在公司网络环境中使用(安装客户端 首先是对文件定义的保密等级,针对需要
文档加密
的电脑)感觉不到文件是加密状态,没 有差异,不改变使用者的习惯。离开此
特殊保密的文件,进行加密,当员工需要 使用此文档时,通过审批流程获得解密文
环境,文件不可用,可通过解密申请流 档。
程使文档解密。
发现并处理,根据定义的企业机密信息样
数据防护 无
本库,对终端、USB接口、光驱、网络出口 等进行扫描监控,如果发现违规行为,则
实施不同的防护策略。
硬盘加密
直接对硬盘物理扇区进行加密,如果电 脑丢失,硬盘不可用。
直接对硬盘物理扇区进行加密,如果电脑 丢失,硬盘不可用。
与应用系 统的集成
采用网关(硬件设备)、二次开发等方 式进行文档加解密,实现与应用系统集 成。
异地备份
体系执行
17
解决方案-安全教育
18
解决方案-体系
1、机房出入申请,有日志,记录到《IT月报》中去; 2、权限申请单,定期与业务部门复合权限; 3、全部控制点 4、引入外部审计; 5、通过ISO270001;
控制点解 19
解决方案-系统管理员
1、以管理员身份作的事情要有记 录,记录应包括时间、地点、作 了什么;
你是坏蛋
困难 如何选择?
国 外 解 决 方 案
你是好人
14
解决方案-防泄露 国内与国外产品对比:
国内产品
国外产品
设计理念
以数据泄露防护为目标,防止有意和无 意的泄露。
以数据丢失防护为目标,防止无意的泄露。
事前主动防御,对文件进行加密并控制 “发现并阻断”,定义非法行为的规则,
实现手段 文件的传播途径,文件即使泄露也无法 当有非法行为发生时,触发相应的阻断策
如果文档是加密状态,通过流程审批使文 档解密后,与应用系统集成。
向公司外发布的文件进行权限控制,比
15
解决方案-防泄露
二选一,为什么不能二选二?
要文件类型,全部加密; 部需要时,按解密流程解密; 选设置解密后的使用次数等;
非加密文件根据“关键字”上下文
拷屏控制,打印启动流程控制;
16
解决方案-备份
我是管理员,我也要受到控 制……
2、要签署保密协议;
3、系统选型的时候,要选择有日志功能的系统 ,以备日后审计;
20
结束
问与答!
21
网络层
防火墙、防入侵系统 1、一个是基于端口堵住 2、一个是进来抓住
PC、外设、域、邮件 1、软件安装受限; 2、USB、屏保等策略; 3、报废设备要作数据清理,先 盖再物理损坏; 4、操作系统的安全补丁要及时 新,要选择官方继续支持的操 统; 5、不能再用非公司授权的邮箱
13
解决方案-防泄露
国 内 解 决 方 案
12
解决方案-网络层
深化应用路由、交换功能 1、Vlan 划分 2、Mac准入 3、启用防DHCP、ARP功击 4、启用VPN
网关防毒、流控、日志审计 除了传统的控制外,更加要重视 日志审计,以利通过报表发现问 题,事后有问题可以快速追踪。 还应可以进行内网漏洞检测,自 行分发或利用域控分发补丁!
安然事件; 沈阳市公安局沈阳大学的故事;
世界上每分钟就有2个企业因为信息安全问题而倒闭 ………
2
安全与投入
安 全 级 别
信息安全与投入的关系
投入
3
安全与效率
那一个是我们的选择
4
现有的状态
优势: 1、安全性较高;
不足: 1、内外交互时,中转过 程需人工过滤,人工过 滤机制规划不清晰,事 后没有(无法)审计; 2、内外网无法通讯,近 期导致信息发布、邮件 机制不畅通、远期上系 统会需要额外的解决方 案; 3、部分硬件(电脑、工 位)资源的浪费; 4、互联网资源获得困难 ; 5、人员无法灵活的使用 办公工具,如打印机等 ;
为什么要重视信息安全; 安全与投入; 安全与效率; 现有状态; 控制点; 解决方案; 预期效果; 预计价格;
1
为什么要重视信息安全 2001年12月,烟台乔某利用到某电信公司维护通信设施 之机,通过修改数据伪造电话卡1000,获利20万;
韩国农协银行(NH Bank)由于主机系统及备份系统数据 被删除,导到客户无法提款、转帐,系统故障持续3天
理想解决方案: 1、通讯要畅通(邮件) ,未来可以支持上应用 系统; 2、员工可以应用打印系 统; 3、按角色可以获得互联 网资源; 4、访客入场要有安全级 别的控制; 5、文件内部交互自由, 可以进行自由外发; 6、电脑及外设丢失不致 于造成安全事故; 7、以上所有行为均要有 严格的安全控制,事后 可以进行跟踪审计;
5
控制点
6
控制点
7
控制点
8
控制点
9
控制点
10
解决方案
解决方案
访客
网络
源自文库
防泄露
备份
教育
体系
系统管理员
11
解决方案-访客
方案1:修改网络策略,改为MAC地址锁定,外来人员借用无线网卡。 路由、防火、日志等设备
优势:节省资金 Vlan3
不足:大部分实现功能,麻烦
Vlan1
Vlan1
Vlan2
方案2:采用有成成熟解决方案的供应商,如思科及华为的解决方案 优势:解决彻底 不足:费用较高
被使用。
略进行处理,比如警告、拦截等。
透明加密,即文档始终保持加密状态,
但在公司网络环境中使用(安装客户端 首先是对文件定义的保密等级,针对需要
文档加密
的电脑)感觉不到文件是加密状态,没 有差异,不改变使用者的习惯。离开此
特殊保密的文件,进行加密,当员工需要 使用此文档时,通过审批流程获得解密文
环境,文件不可用,可通过解密申请流 档。
程使文档解密。
发现并处理,根据定义的企业机密信息样
数据防护 无
本库,对终端、USB接口、光驱、网络出口 等进行扫描监控,如果发现违规行为,则
实施不同的防护策略。
硬盘加密
直接对硬盘物理扇区进行加密,如果电 脑丢失,硬盘不可用。
直接对硬盘物理扇区进行加密,如果电脑 丢失,硬盘不可用。
与应用系 统的集成
采用网关(硬件设备)、二次开发等方 式进行文档加解密,实现与应用系统集 成。
异地备份
体系执行
17
解决方案-安全教育
18
解决方案-体系
1、机房出入申请,有日志,记录到《IT月报》中去; 2、权限申请单,定期与业务部门复合权限; 3、全部控制点 4、引入外部审计; 5、通过ISO270001;
控制点解 19
解决方案-系统管理员
1、以管理员身份作的事情要有记 录,记录应包括时间、地点、作 了什么;
你是坏蛋
困难 如何选择?
国 外 解 决 方 案
你是好人
14
解决方案-防泄露 国内与国外产品对比:
国内产品
国外产品
设计理念
以数据泄露防护为目标,防止有意和无 意的泄露。
以数据丢失防护为目标,防止无意的泄露。
事前主动防御,对文件进行加密并控制 “发现并阻断”,定义非法行为的规则,
实现手段 文件的传播途径,文件即使泄露也无法 当有非法行为发生时,触发相应的阻断策
如果文档是加密状态,通过流程审批使文 档解密后,与应用系统集成。
向公司外发布的文件进行权限控制,比
15
解决方案-防泄露
二选一,为什么不能二选二?
要文件类型,全部加密; 部需要时,按解密流程解密; 选设置解密后的使用次数等;
非加密文件根据“关键字”上下文
拷屏控制,打印启动流程控制;
16
解决方案-备份
我是管理员,我也要受到控 制……
2、要签署保密协议;
3、系统选型的时候,要选择有日志功能的系统 ,以备日后审计;
20
结束
问与答!
21
网络层
防火墙、防入侵系统 1、一个是基于端口堵住 2、一个是进来抓住
PC、外设、域、邮件 1、软件安装受限; 2、USB、屏保等策略; 3、报废设备要作数据清理,先 盖再物理损坏; 4、操作系统的安全补丁要及时 新,要选择官方继续支持的操 统; 5、不能再用非公司授权的邮箱
13
解决方案-防泄露
国 内 解 决 方 案
12
解决方案-网络层
深化应用路由、交换功能 1、Vlan 划分 2、Mac准入 3、启用防DHCP、ARP功击 4、启用VPN
网关防毒、流控、日志审计 除了传统的控制外,更加要重视 日志审计,以利通过报表发现问 题,事后有问题可以快速追踪。 还应可以进行内网漏洞检测,自 行分发或利用域控分发补丁!
安然事件; 沈阳市公安局沈阳大学的故事;
世界上每分钟就有2个企业因为信息安全问题而倒闭 ………
2
安全与投入
安 全 级 别
信息安全与投入的关系
投入
3
安全与效率
那一个是我们的选择
4
现有的状态
优势: 1、安全性较高;
不足: 1、内外交互时,中转过 程需人工过滤,人工过 滤机制规划不清晰,事 后没有(无法)审计; 2、内外网无法通讯,近 期导致信息发布、邮件 机制不畅通、远期上系 统会需要额外的解决方 案; 3、部分硬件(电脑、工 位)资源的浪费; 4、互联网资源获得困难 ; 5、人员无法灵活的使用 办公工具,如打印机等 ;