《防信息泄露解决方案.》由会员分享,可在线阅读,更多相关《防信息泄露解决方案.(40页珍藏版)》请在金锄头文库上搜索。
1、防信息泄密解决方案 ISCA 文档目录 p背景介绍 p防信息泄露实施路线 p安全管理途径 n文档保护管理体系建设 n文档安全管理组织建设 p安全技术途径 n网络架构改造 n设备加固 n产品解决方案 背景介绍 企业现状: p设计过程中采用协同办公模式。设计人员通过共享设计类文件夹的方式进 行协同设计。 p对于该企业来说大量文档均是重要的机密文档,例如设计类的技术标准和 规定、客户名录、设计项目合同文件等。 但是在实际的文档处理过程中,企业存在如下几方面的问题: 1. 企业文档的种类和类型较多,除常用的office文档、AutoCAD等文档,还根 据不同的设计软件产生不同类型、后缀名的文档。但目前
2、缺乏对文档的重要 性识别和分级,因此难以采取合理的保护措施。 2. 虽然采用共享文件夹进行协同办公,但个人PC仍可以保存共享文件夹中的 机密文档。 3. 大多数员工均有加班需要,各种类型的文档都有可能带离企业。同时,大多 数文档需与业主、第三方合作者、施工单位、模型和效果图公司进行交互, 因此重要文档可通过多方面的途径泄露。 上海某知名的建筑设计公司发现其设计的一些项目文档在网络中公开 ,且对其声誉、信誉造成了一定影响,这些文档是如何被公开的?如 何防止这样的事情再次发生是企业急需解决的问题。 企业防信息泄露的需求 n通过对该企业的深入分析,为实现文档保护的目的,既需要保护当前 文档服务器中的
3、文档,又需要对员工PC中的文档加以保护。需要考虑 问题包括: 1.哪些文档需要加密保护? 2.如何使用加密后的文档? 3.文档加密以后,对现有的业务流程有什么影响? 4.文档加密以后,如何和客户、合作伙伴交互文档? 5.不同的分公司、业务部门之间是否要限制使用?文件又如何流转? 6.员工如何知道哪些文档需要加密?哪些人可以使用加密的文件? 7.谁能对文件进行解密操作?需要什么样的审批、审计流程? 文档目录 p背景介绍 p防信息泄露实施路线 p安全管理途径 n文档保护管理体系建设 n文档安全管理组织建设 p安全技术途径 n网络架构改造 n设备加固 n产品解决方案 设计原则 “整体规划,分步实施”
4、原则1 “分级保护”原则2 “适度安全”原则3 “标准化”原则4 5“技术与管理并重”原则 防信息泄露实施路线 安全管理途径 文档保护管理体系建设 组织建设 流程和制度规范建设 人力资源管理 安全技术途径 网络架构安全加固 IT设备和终端安全加固 终端安全管理 文档防泄露 企企 业业 防防 信信 息息 泄泄 密密 文档目录 p背景介绍 p防信息泄露实施路线 p安全管理途径 n文档保护管理体系建设 n文档安全管理组织建设 p安全技术途径 n网络架构改造 n设备加固 n产品解决方案 文档保护管理体系建设 n根据企业保护建筑设计等重要文档的需求,特为企业制定相关企业信 息安全管理规范,建立健全文档保
5、护管理体系。 安全标准和规范 n建立和健全的文档保护安全制度、标准、流程、规范: 文档资产安全管理标准、信息安全合规检查标准、员工办 公终端安全使用守则、第三方安全管理标准、信息文档资产 安全管理流程、文档资产管理指导方针、帐号安全管理标准 、安全意识培训框架、应用软件安全开发标准、新系统 上线安全检查标准、集中帐户安全管理流程、终端安全配置 操作指南、信息系统平台安全配置操作指南、网络设备安全 标准配置指南、软件许可使用列表等。 n文档资产安全管理标准 主要明确信息文档资产在企业的重要性,说明各类关键文档在创建、 修订、阅览、拷贝、删除等诸多管理环节中需要遵循的安全要求,帮 助企业从制度上规
6、范员工使用文档的行为。 安全标准和规范 n员工办公终端安全使用守则 主要明确员工使用PC时,需要遵循的安全规范要求,包括:定期更新补丁、安全 防病毒软件、定期更新防病毒库、禁止安装其他一些公司不允许非法软件、正确 使用网络资源要求、个人PC终端的物理保护等。从而降低由于员工终端PC不安 全带来的文档泄密。 n第三方安全管理标准 规范第三方人员使用公司IT资源,有效的防止第三方人员盗取或者非授权使用企 业的核心文件。 n信息安全合规检查标准 建立企业范围内的信息安全检查标准,及相关违法的惩罚制度,对不遵守公司规 定的员工和行为进行处罚。 n信息文档资产安全管理流程 建立企业文档管理流程,明确各管
7、理岗位职能、要求和配合流程,提高企业文档 管理工作的效率和受控程度。 保密协议和竞业禁止合同 n与人力资源管理部门一起确定企业“保密协议”的内容: 约束内外人员对涉及企业秘密信息及知识产权内容的保密要求,保密 期限,违约责任等内容。 对企业内部人员、外部组织和人员签订保密协议 n与人力资源管理部门一起确定“竞业禁止合同”的内容: 约束企业员工在职期间不得自营或者为他人经营与企业同类的行业以 及离职后所入职单位的要求等内容。 文档资产分类和分级 n定义企业内文档资产的保护范围,在文档资产保护范围中采取分类、 定级等措施,实施不同的安全保护策略。通过对文档资产进行安全等 级分类,为文档资产的管理和
8、保护措施提供有效依据,是风险管理的 一个重要的先决条件。 标准类 专业技术标准和规定 设计类 绘图文件、计算书、技术成果等文档 质量管理类质量管理体系文件、内部质量审核单、质量检查文件 流程控制类 任务下达单、流程审核单、项达回证、修改通知单、技术核 定单、审图意见单。 档案类 归档文件 合同类 经营合同、劳动合同、劳务合同 计算机类 计算机网络文档、计算机系统文档、计算机应用程序文档、 计算机软件开发文档、计算机软硬件文档。 不同级别的安全保护策略制定 机密数据 保密数据 内部数据 公开数据 文档资产等级化 内部数据 安全保护策略 阅览更新 传送(拷贝、传输)打印 可编辑模 式 不可编辑 模
9、式 可编辑模 式 企业内部项目组 成员 非项目组的企业 人员 业主 企业外部合作者 施工单位 模型、效果图公 司 顾问公司 安全保护策略制定 操作权限: :允许 :不允许 :需审核授权,方可操作(审核人可为文档资产的所有者 或者文档安全管理人员) 安全保护策略: :无安全要求(即使用文档过程中不需进行任何安全设置) :有安全保护要求(即使用文档过程中要采用设置文档密码、加水印、限制拷贝 、打印等设置) 根据文档资产泄密时可 能对企业造成损失的严 重程度将文档资产定级 为机密、保密、内部、 公开四个等级。 建立文档安全管理组织 n一个合理的文档安全管理组织架构为: 信息安全委员会 文档安全管理组
10、织 文档管理人员 建立专门的机构负责企业文档安全管理的具体工作。 负责计划、实施企业的文档安全管理;规定企业重要文 档资产的保护责任,并明确定义责任人。 听取和采纳来自内部或外部安全专家的建议,及时进行 文档安全管理工作的改进。 建立检查机制和措施来检查的文档安全策略的执行情况 。 设立由企业高级管理层组成的信息安全委员 会来支持文档安全管理工作。 信息安全委员会为文档安全保护提供明确的 方向和支持。 属于文档安全管理组织成员或者指定某些人员为文 档安全管理人员,负责文档安全具体工作的开展。 文档保护管理体系建设阶段性划分 编号项目名称严重 程度 紧迫 程度 难易 程度 预期 效果 管理 负担
11、 赋值 总计 001建立文档保护管理体系3312110 002组织建设3313111 003明确文档资产管理范围和责任3313212 004增加内部成员安全保密要求3323213 005规范文档资产的交换流程321219 006加强桌面PC、介质管理3221210 007建立软件使用、开发的安全标 准 213129 008重要IT设备安全保护221229 n按照优先级进行阶段性划分,逐步完成文档保护管理体系建设 红色:第一阶段完成 黄色:第二阶段完成 文档目录 p背景介绍 p防信息泄露实施路线 p安全管理途径 n文档保护管理体系建设 n文档安全管理组织建设 p安全技术途径 n网络架构改造 n设
12、备加固 n产品解决方案 n 终端安全管理 n 信息防泄漏技术解决方案 网络架构安全评估 n网络架构安全状况 收集、整理网络、安全设备的信息,检查网络设备安全规则配置,从网 络架构、网络设备配置安全几方面,查找存在的风险和配置漏洞。 服务器和PC终端安全评估 主要安全弱点 1.安全补丁不全 2.服务版本低 3.配置不规范 4.弱服务开放 5.弱口令 n主要服务器和PC终端安全状况 网络架构改造 设备加固 p对主要承载业务系统以及PC终 端的操作系统进行了加固 p对主要承载业务系统数据库进行 了加固 p更新重要业务系统中间件安全补 丁 将对实施成果进行前后对比,确定加固的完整性 终端安全管理 n主
13、要功能 p集准入控制、安全管理、传统桌面管理功能于一体 p以解决桌面安全管理问题为主,同时兼顾传统桌面管理需求 系统安全 文件安全 传统桌面管理 (提升效率) 网络准入控制 强制遵守组织安全策略 禁止非法用户随意接入 软件部署 资产发现 使用监控 远程维护 设备定位 防病毒管理 补丁管理 策略遵循 漏洞管理 安全加固 外联控制 个人防火墙 实现完整的安全管理流程 n定义类别丰富的安全事件 p定义检查设备的操作系统漏洞、必须安装的软件、USB硬盘插入、拨号 上网、Windows域等安全策略 p定义多种软件、硬件、交换机端口连接关系的配置变更事件 n定义每类安全事件处理预案 p指定事件处理预案的触
14、发启动时间 p每个处理预案可以同时指定多种动作 p指定事件恢复的处理动作 p处理的动作包括:通知用户、通知管理员、限制对网络的访问、拒绝对 网络的访问,或者和其它的Service Desk联动。 n将安全管理纳入信息系统的服务管理(ITSM)体系 p为用户提供信息系统的服务管理整体解决方案 p可以与其它的服务管理软件紧密集成 防止非法传送文件 n总体思路: p技术管理威慑 n防止Copy方式外传 pU盘使用监管,禁止/审计将文件从终端COPY到U盘 p禁止/审计将文件从终端COPY到软盘 p禁止/审计以共享方式COPY文件到其它计算机 n防止网络传送 p阻止/审计访问外部的Web Mail p
15、阻止/审计使用外部的SMTP/POP3服务器 p阻止/审计使用MSN/QQ传送文件 p阻止本机终端开启FTP等网络服务(个人防火墙) 防止非法传送文件(续) n支持漫游、离线保护 p离开内部网络或者VPN接入时也会接受控制 p终端用户不能私自中止、卸载Agent或删除Agent文件 p管理员可以卸载Agent(需要口令) n蛮力卸载、删除Agent p通过特殊的工具、重新安装操作系统 p管理员可以发现这种行为,且准入控制系统可以自动阻止其接入网络 终端安全管理达成效果 信息防泄露技术解决方案 信息防泄露技术解决方案 二次开发/集成 加解密管理 权限管理 外发/离线管理 日志审计 客户端管理 n
16、信息防泄露技术解决方案考虑以下功能设计: 简化客户端安装,实现透明加解密; 具有灵活的权限管理设置; 方便外发文件和离线管理的安全策略设置; 能提供详细的日志记录 可进行二次开发和与其它系统集成 技术解决方案实现效果 无法使用,为乱 码形式 &$&*$# $%&()#%$ 正常使用 外用加密文件 处理 加密文档 加密文档 只有正常安装并启动了信息防泄漏系统客户只有正常安装并启动了信息防泄漏系统客户 端的用户才能使用加密文档端的用户才能使用加密文档 常见文件丢失方式: 病毒破坏 文件误删除 同名文件覆盖 完备的备份措施完备的备份措施 自动后台备份自动后台备份 多版本恢复多版本恢复 当机密文件被破坏或丢失时当机密文件被破坏或丢失时, , 可以轻松进行恢复可以轻松进行恢复 技术解决方案
