《大型企业集团网络与信息安全保密总体方案及策略.》由会员分享,可在线阅读,更多相关《大型企业集团网络与信息安全保密总体方案及策略.(10页珍藏版)》请在金锄头文库上搜索。
1、大型企业集团网络与信息安全保密总体方案及策略时间:2011-07-13 09:04:12 评论:0 我要投稿 字体:小 大 1、大型企业集团的网络与信息安全保密工作现状与分析1.1大型企业集团网络与信息系统安全保密工作现状经过对国内大型企业集团的了解和分析得知,国内大型企业集团的网络和信息化部有一些共性。大型企业集团一般拥有自己国内或国际的广域网,一般集团总部和各分部/分企业集团都有单独的互联网出口。集团和自已的上下游的合作伙伴会通过专线或互联网交换信息(见图1)。企业集团这种网络架构存在互联网出口多、安全性低,信息孤岛、OA等应用需要整合等典型问题。同时企业和合作伙伴的联网安伞也需要考虑。集
2、团信息安全系统主要是由防火墙、入侵监测和病毒防范等组成,这种方法造成安全投入不断增加、维护与管理更加复杂、信息系统的使用效率大大降低、对内部没有防范,对新的攻击入侵毫无防御能力(如冲击波、振荡波)等一系列问舾。目前企业集团急需一套完整的符合国家信息安全保障工作要求的安全保密方案。1.2大型企业集团信息网络的安全隐患1.2.1互联网的安全使用问题由于互联网使用的广泛性、接入手段的多样性(modem拨号、以太网卡、无线网卡、蓝牙、红外等等)、应用的复杂性以及攻击行为的隐蔽性(蠕虫,病毒、木马、僵尸等等),近年来我国已发生多起严重的网上失、窃密案件。威胁互联网安全的因素包括“黑客”的入侵,计算机病毒
3、,数据“窃听”和拦截等方面。企业集团内同样存在因广泛使用互联网而可能发生的核心企业秘密外泄的严重风险。因此,必须采用有效的技术手段,加强监督管理,规范互联网的使用,以达到保护国家秘密和集团企业核心秘密的目的。1.2.2终端安全问题随着企业信息网的对外开放,终端数量的日渐庞大,使企业信息网正在承受来自互联网的各种信息安全威胁,如网络蠕虫、安全攻击,垃圾邮件等。企业网终端没有统一的管理,病毒库不能得到严格升级,每台终端上的操作系统安全漏洞补丁不能得到及时更新,这些威胁都会严再影响企业内部网络的安全使用,并进一步威胁企业的健康发展。在现有网络架构下,只要接入集团的一台终端感染网络病毒,就可能导致往有
4、数千台终端的网络内爆发蠕虫病毒,网络中会充斥大量的无用数据包,占用几乎全部的网络设备资源和带宽,导致真正的应用数据包无法被传输,甚至出现交换机由于CPU利用率过高而近似死机的现象。因此,必须对集团网络从交换机终端即网络边缘开始进行安全控制。1.2.3 Web应用系统分级授权控制问题企业集团一般授权系统比较单一,需要建立分级授权系统对应用系统进行保护,主要包括:(1)边界权限控制:各企业集团内部上页属于内部办公平台,必须受限访问。(2)重要模块控制:各企业集团内部主页有企业秘密信息模块,也有公开信息模块。企业秘密信息模块包括OA系统、竞争情报、工作报告、会议纪要、科技成果、管珲课题研究等内容。应
5、加强对企业秘密信息模块的保密管理,依据工作分工、分级授权进行访问控制和管理。1.2.4文件保护问题由于企业集团内部网络监控的缺位,目前存在以下内部泄密途径:(1)内部人员将资料通过移动存储介质从电脑中拷出带走;(2)内部人员通过互联网将资料通过电子邮件发送给外部人员;(3)将文件打印后带出。(4)将办公用便携式电脑直接带回家中,(5)电脑易手后,硬盘上的资料没有处理;(6)随意将文件设成共享,导致非相关人员获取资料;(7)移动存储介质设备共用,导致非相关人员获取资料;(8)将私人便携式电脑带到企业集团,接入局域网,窃取资料;(9)开启同事电脑,浏览、复制同事电脑里的资料。此外,还有很多其他途径
6、可以被别有用心的内部人员利用以窃取资料。1.2.5移动存储介质和设备管理问题越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里,给企业信息资源管理带来相当人的安全隐患。企业集团移动存储介质使用管理中存在的问题主要包括:非法拷贝敏感信息和涉密信息到移动存储介质中;企业外部移动仔储介质未经授权在内部使用;企业内部移动存储介质及信息资源被带出,在外部非授权使用;存贮征媒体中的秘密信息在联网或人工交换时被泄露或被窃取;处理废旧移动存储介质时,末做信息清理;存有秘密信息的介质不经处理或任无人监督的情况下被带出修理;存有秘密信息的存储介质失窃;秘密信息和非秘密信息放在同一介质上。另外公私混用,存
7、在一定安全隐患。1.2.6涉密文件的等级保护问题如果将涉密文件以明文方式存储在涉密存储介质中,一旦涉密存储介质(硬盘、移动硬盘、U盘、笔记本电脑)意外遗失或者被盗,或者存储在上面的涉密信息被恶意通过网络发送出去,则可能造成涉密信息的泄漏。必须采用一定的技术于段,根据涉密文件的级别,以不同等级自动进行文件加密,使涉密存储介质中存储的文件为密文,即便涉密存储介质被盗或意外遗失,或者被恶意外泄,也不至于造成直接泄密的重大损失。1.2.7邮件加密及归档审计企业集团一般用户自主邮件恢复功能只能恢复30天之内的数据。且有一定的限制,无法查询和监督更长时期内的历史邮件。据调查显示,目前全球范围内正式实行邮件
8、归档系统的企业并不多,在我国企业中真正实施邮件归档的企业更是少之又少。与国外企业对邮件归档的认识不同的是,对于国内的企业负责人来说,也许他们更关心的是企业中的机密文件是否会被不轨员工利用电子邮件外泄。因此,必须采用一定的技术手段,实现邮件加密传输以及对邮件进行归档审计。利用邮件系统归档功能,可以根据企业集团工作需要查询和监督用户利用企业集团的邮件平台收发的电子邮件,尤其是公务邮件,对知识产权的保护具钉现实意义。1.2.8 网络涉密传输对于涉及氽业集团或国家秘密的数据传输,传输通道必须加密,以保证特殊条件下信息不被轻易窃取。2、网络与信息安全保密建设总体方案2.1总体目标大型企业集团网络与信息安
9、伞保密工作的总体目标可以定义为:针对集团网络及信息安全保密需要,构建系统的安全保密技术和防护策略及其措施,通过制度管理和技术防范,双管齐下,规范员工行为,以达到网络和信息资产安全的总体目标。最终达到“外人进不来,进来之后看不到,看到了拿不走, 拿走了用不了,操作了可追溯”的效果。2.2总体要求对于网络与信息保密工作而言,管理方法和技术手段同等重要,缺一不可。只重视管理流程,缺乏足够的技术手段,信息安全保密工作就只能取决于执行者自身的政治觉悟。对于觉悟不高者而言,容易流于形式,只审视技术手段。不加强管理,信息安伞保密工作就容易受到轻视,技术手段反而成为绊脚石,安全保密工作无法有效开展。安全,特别
10、是信息安全是一个系统工程,在这个系统工程中,体现着“三分技术,七分管理”。2.3管理改进大型企业集团应建立网络与信息安全保密组织,制定相关的管理制度,大力宣传信息保密工作的重要性。最大程度地保护企业的各种秘密信息。具体工作任务包括:(1)根据企业集团信息保密工作的具体要求建立适合本企业集团或部门的电子信息保密规定,建立可操作的工作制度。(2)对本企业集团有涉密信息的部门划分级别,对用户的电脑进行严格的安全配置,例如禁止使用USB盘、只能登录特定的电脯等;(3)用户不明确信息是否涉密时,由保密工作部门进行甄别;(4)为信息技术管理部门提供有关信息保密管理、技术改进、提升与完善的具体建议;(5)对
11、本企业的员工进行信息保密培训与教育;(6)对涉密信息的交流与传递进行监督;(7)协助安全部门对违反保密规定的信息泄漏事件进行调查、取证。(8)与审计部门配合,定期或不定期对本企业集团的信息保密工作进行审计;(9)定期或不定期向企业高层与集团信息保密工作组报告本企业集团的信息保密工作情况。2.4总体方案2.4.1建立网络分区分级管理目前,企业集团的整个信息网络是一个整体,没有内、外网之分以及保密专网,网络结构存在安全隐患。为了提高信息安全性,根据信息的密级,结合工作的需要,对信息网络进行分区分级管理。从长远看,企业集团网络应该分为困密网、专用网、外网、办公内网四个安全区,如图2所示。对于安全区内
12、的系统根据审要性进行分级管理。2.4.2建立网络安全准入系统在企业集团范围内建立终端安全防护和全面的网络准入控制系统,实现如下目标:(1)网络准入控制。工作站必须符合定义的安全策略(例如安装了指定的防病毒软件、更新了病毒特征代码、安装了最新的微软补丁等)才能够接入网络,实现自动修复以及用户和设备的认证,保证网络上所有终端都是健康的。(2)应用程序控制。只有指定版本的软件才能够访问网络资源,禁止用户私自安装的软件或木马程序、蠕虫访问网络。(3)基于用户/组的访问控制策略。可以对不同的成员企业集团、部门、承包商、项目组、第三方接人人员采用不同的网络访问控制策略,构建集中管理的分布式防火墙体系。2.
13、4.3实施Web应用分级授权控制系统随着企业集团业务的发腰和集团各部门之间信息交流的增多,因估息系统建没周期较长、系统众多,技术架构趋于复杂,需要一套灵活的、易于管理的Web应用授权控制系统。新的Web授权系统作为企业集团内部Web应用统一的授权服务平台,为企业门户任应用层面提供信息浏览的安伞保障,满足企业在业务需求不断发展的过程中产生的信息安全方面的需要。同时,该系统也可以作为一项独立的安全服务,为以后的集团门户系统提供强有力的支撑。2.4.4建立企业电子文件保护平台建立企业集团范围的电子文件保护平台,解决如下问题:(1)按需对涉密电子文件进行加密。(2)单一或组合授予用户阅读,打印、复制、
14、编辑等权限。(3)对于脱离受控环境的电子文件,可以限制其只能在特定的计算机上使用;或设置其可读取的次数和有效期限。(4)与各类信息系统进行集成。使得这些信息系统具备电子文件保护能力,并且不会改变系统的原有流程。(5)无论使用U盘、移动硬盘、还是通过Email发附件的方式,在受控环境之外不能有效使用经保护的涉密电子文件。(6)关注电子文件本身,而不是层出不穷的各类电子设备和文件载体。2.4.5移动存储设备的使用管理移动存储设备应分密级使用,并必须保证密级文件的安全。移动存储设备应根据所保存的涉密内容。分级别进行登记和管理;采取技术手段,禁止未经许可的U盘在涉密计算机上进行使用,保证经过许可的U盘
15、在涉密计算机上能正常使用,保证存储涉密文件的U盘丢失后不造成内容泄密。2.4.6涉密文件安全等级保护(1)所有文件只能任内部才能使用。即使被恶意通过互联网发出去,或者通过U盘拷贝出去,文件不能被正常读取。(2)对文件征内部的流转进行等级划分。密级文件只能在具备相应或更高密级的计算机上才能被读取。(3)文件以密文的方式在内部流转,即使在流转过程中被窃取,也不会造成重大泄密。(4)对加密文件进行解密时,必须得到明确的授权。(5)文件的整个流转过程具备完整的审计日志。2.4.7实现邮件加密及归档审计建立公开密钥基础设施(PKI)证书系统,要求部门经理以上用户采用PKI/CA(CA证书)邮件加密与数字签名的方式增加邮件系统访问的安全性。建立归档机制,自动、实时地对现有邮件系统中的邮件进行分类存储。终端用户删除邮件不会造成系统中数据的丢失。管理员可以根据需要随时根据各种条件进行检索。2.4.8网络涉密传输采用内置国家密码管理局认证硬件加密卡的网络加密机(VPN)进行数据传输通道的加密。即采用密码技术在公用网络中开辟出专用的隧道,形成专用网络,主要用于解决公共网络中数据传输的安全问题,保证内部网中的重要数据能够安全地借助公共网络进行交换。3、网络与信息安全保密技术
