企业内部信息安全管理体系

企业内部信息安全管理体系

建议书

北京太极英泰信息科技

目录

1 理昌科技网络现状和安全需求分析： (3)

1.1 概述 (3)

1.2 网络现状： (3)

1.3 安全需求： (3)

2 解决方案： (4)

２.1 总体思路： (4)

2.2 TO-KEY主动反泄密系统： (5)

2.2.1 系统结构： (5)

2.2.2 系统功能： (6)

2.2.3 要紧算法： (6)

2.2.4 问题？ (7)

2.3 打印机治理............................................................................... 错误!未定义书签。

2.3.1 打印机治理员碰到的问题............................................... 错误!未定义书签。

2.3.2 产品定位........................................................................... 错误!未定义书签。

2.3.3 产品目标........................................................................... 错误!未定义书签。

2.3.4 概念—TO-KEY电子钥匙预付费 ................................... 错误!未定义书签。

2.3.5 功能................................................................................... 错误!未定义书签。

3 方案实施与成本分析................................................................................ 错误!未定义书签。

1企业网络现状和安全需求分析：

1.1 概述

调查说明：80%的信息泄露来自内部。我国闻名信息安全专家沈昌祥先生说：“目前我国信息安全的最大问题是：安全威逼的假设错误！我们总是假设会受到来自外部的攻击，而事实上80%的信息泄露是由内部或内外勾结造成的。

关于一个企业而言，其核心的技术和市场、财务等资料差不多上企业核心的竞争力。然而在市场竞争和人才竞争日益猛烈的今天，企业不得不面对如此的严肃形势：

1、核心技术和公司其他资料必定要受到竞争对手的窥视。

2、人才的自由流淌，以及竞争对手通过收买内部线人窃取资料。

3、内部人员由于对公司的不满，而采取的破坏行为。

而另外一方面，随着运算机的普及和信息化的进展，采纳信息化技术实现企业的治理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。明显，企业需要解决如此一个矛盾：

在充分利用信息化所带来的高效益的基础上，保证企业信息资源的安全！

理昌科技作为一家专业从事保险带产品开发和生产的外资企业，公司凭借其雄厚的技术实力在行业内具有专门高的市场地位。为了爱护其核心技术，增强核心竞争力。公司在现有网络信息的基础上，提出防泄密的需求。我们依照理昌科技的需求，并结合我们的行业体会，提出了下面的方案。

1.2 网络现状：

公司组成局域网，内部人员通过局域网上网，内部具有多个网络应用系统。在内部部署有网络督察（网络行为监控系统）能记录内部人员网络行为。

1.3 安全需求：

公司安全的总体需求是：“杜绝内部人员主动和被动的对外泄露公司核心信息的任何妄

图”。依照此总体需求，和目前的网络现状，我们能够从下面几个方面去考虑信息泄露的途径：

●通过网络方式将信息发送出去，包括MAIL、QQ、MSN、FTP等多种文件传输方

式。

●通过对内部网络的窃听来非法猎取信息

●内部人员在其他人的运算机上种植木马，引导外部人员猎取隐秘信息。能够有效躲

避网络督察的监控。

●内部人员将文件以密文方式发送出去，也能躲避网络督察的监控，网络上的加密工

具太多了。

●通过COPY方式将文件传送出去。

●非法猎取内部非自己权限内的信息，包括猎取他人运算机上的信息以及越权访问服

务器上的信息等。

●网络治理人员将服务器上的信息复制出去。

●制造运算机硬盘故障，将硬盘以修理的理由携带出去。

●制造运算机故障，以修理的理由，将运算机带出公司

●内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。

●通过打印机将重要的文件如图纸、招标文件等打印后携带出去。

专门明显除了上面所提及的技术手段外，还应该从公司的整个治理和企业文化等多个角度去考虑，明显良好的治理手段配合有效的技术手段，防止内部人员的泄密是完全能够防止的！

我们采纳打印机治理系统和内部主动反泄密系统能够有效杜绝上面所涉及的泄露途径。

需要说明的是，现有的网络督察，差不多能成功的解决通过内部网络泄露的专门多问题。2解决方案：

２.1 总体思路：

通过密码算法技术，对文件的实现加密传输和储备。文件的解密必须得到相应的授权和一定的条件。一旦没有授权或条件不存在，文件的储备就以密文方式存在，即使获得文件也因无法解密而无效。文件加密采纳168位的3DES国际通用密码算法。

2.2 TO-KEY主动反泄密系统：

2.2.1系统结构：

TO-KEY电子

钥匙

整个系统包括：TO-KEY电子令牌，主动防泄密客户端软件，主动防泄密治理软件，文件审批系统（网络软件），数据库（密钥治理、审计等信息）

其中：

TO-KEY电子令牌实现文件加密和密钥储备功能。由于TO-KEY电子令牌与运算机的结合，使运算机成为一个特定的运算机硬件设备。

主动防泄密客户端软件实现个人运算机文件的治理。关于文件的传输、COPY以及以什么方式进行传输等进行操纵。能够实现对所有文件的操纵和治理。同时也是作为文件审批系统的客户端。用户能够通过该软件向部门领导提出对文件传输或COPY的申请，由治理员提供授权。只有被授权的文件才能被传输或COPY，并能被解密！

主动防泄密治理软件负责同意客户端的审批要求，对文件做出传输、COPY授权。

能够指定什么文件，在什么情形下，承诺COPY或传输，同时对文件进行加密和完整