《企业的的信息安全系统解决方案设计设计456》由会员分享,可在线阅读,更多相关《企业的的信息安全系统解决方案设计设计456(21页珍藏版)》请在金锄头文库上搜索。
1、word企业信息安全解决方案白皮书目录1概述334667881.6信息安全 通用方案991011131516161.7信息安全 专项方案1717211 概述1.1 信息安全面临的难题分析网络带给人们很大便利,但互联网是一个面向大众的公开网络,存在安全隐患。网络的安全形势日趋严峻,对很多公司来说,信息安全不仅是挑战技术,更是生存的历练。一般来说,公司关注的安全威胁包括下面几种按照关注程度从高到低排序:n 病毒或蠕虫n 间谍软件/流氓软件n 垃圾n 未经授权的雇员对文件或数据的访问n 外部人员偷窃客户数据n 网络钓鱼和域欺骗n 带有公司数据的可移动设备遗失或失窃n 知识产权失窃n 拒绝服务攻击或其
2、他网络攻击n 僵尸网络对IT资源的远程控制n 对无线/RFID系统的攻击n VoIP入侵公司在安全防X方面进展投资以期获得回报,一般来说,是为了达到几个目的:n 员工处理安全相关问题的时间减少n 更好地保护客户数据n 安全漏洞减少n 网络宕机时间减少n 改良对知识产权的保护n 采取更好的风险管理策略n 用于处理偶发时间的时间减少这些年来,一系列财务失败事件的发生加强了人们对企业风险的关注。美国在2002年颁布了萨班斯-奥克斯利法案,我国相关部委也发布了有着中国萨班斯法案之称的企业内部控制根本规X。内控规X要求企业将内部控制框架纳入企业风险管理框架中,要求企业进展信息化系统落地,要求企业遵从财政
3、部、国资委相关管理条文要求,特别是在战略、财务、法律风险管理信息的搜集、风险评估、风险行为管理等方面,符合深交所、上交所关于上市公司加强内部控制和信息披露方面的要求和控制点。1.2 如何实现高效卓越的企业信息安全体系企业需要评估IT安全风险,获得相关建议,降低安全复杂度,并量化安全投资的价值。企业一般以信息化根底架构作为信息安全的切入点,希望防患于未然,将安全嵌入到业务流程和内控制度中,提供更好的整合度,变人工干预为自动化,从而提升管理和监控的效能。企业也认识到,需要与国际安全标准接轨,在内部贯彻ISO27001和ISO2000、ITIL,能更好保证管控制度落地,有效杜绝安全隐患。我们建议,实
4、现高效卓越的企业信息安全体系,可以参考如下过程,同时这也是我公司的信息安全咨询服务流程:首先,基于企业自身安全方面的成熟度和企业信息安全需求,结合国家和行业政策标准要求,进展合理评估,制定最优的安全策略和风险防御计划。在瞬息万变的形势下,企业应从整体角度考虑信息安全的投资和安全保障风险的价值,制定符合自身需求的安全策略和风险防御计划,并随着市场压力的变化和业务目标的调整,不断调整企业自身的应对策略,追求安全能力的动态平衡。企业的治理活动包括设定经营战略和目标,确定风险偏好。制定内部政策和监视绩效;风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应
5、对策略和控制活动;遵守活动包括遵照目标经营,确保遵守法律和法规、内部政策与程序以与利益相关者的委托。其次,对企业进展信息安全能力评级,结合各类风险知识库和规X的风险评估流程,从资产调查开始,进展安全管理评估、网络安全评估、应用安全评估、主机安全评估和漏洞测试,进展系统安全等级评价和差距评估。然后,构筑企业的信息安全路线图,寻求安全的解决之道,通过信息安全技术与产品的优化组合,寻求最优解决方案。最后,提出实施计划,进展安全体系实施,形成安全的最优实践,并在此实践的根底上进展日常运营和持续改良。在整个安全体系的建立过程中,应重点梳理业务系统相关实施与运维支持相关的制度和流程,以内控管理制度为根底,
6、参考ISO20000与ISO270001相关标准,设计具有一定前瞻性的业务系统内控体系框架;对业务系统关键流程、风险控制、制度与文档体系进展评估,提出内部整改方案,与信息安全解决方案整体考虑,统一实施。在公司控制层上,应形成有效的IT治理架构、IT战略与规划、IT组织与政策等。我公司信息安全解决之道:我公司拥有多年的企业信息化建设的经验,在企业信息安全方面可以提供专业经验和行业知识,能够运用我们的解决方案和专业技术,确定业务和技术的开展趋势并寻求最优解决方案来帮助客户。 我们的咨询团队可以深入了解客户业务,帮助客户实现卓越高效的信息安全。在信息安全的几个领域,我们拥有先进技术或有长期合作的技术
7、领先的公司,我们携手合作,为客户提供最优的服务。比如,在身份认证和访问管理方面,我们与日本NTT Data合作,提出 统一用户管理VIM和单点登录SSO产品解决方案;在数据安全和隐私方面的保护方面,我们提出DRM数字管理解决方案,可以有效防X数据泄密,保证数字产品的授权、加密、阅读、转换等过程中的数字保护;在企业安全应用、根底架构安全以与业务的连续性管理方面,我们结合日立公司的系统运行管理软件和桌面管理软件,全面介绍这方面的解决方案。1.3 信息安全方案特点1.3.1 设计根本原如此安全体系建设总体目标是:对企业信息化进展全方位、分层次的安全保护,建立动态信息安全防护体系,实现加强系统的安全,
8、保障网络的畅通与相关应用系统的可靠运行,减少各种安全事件对信息系统的威胁,防止信息安全事件造成的损失。建设系统安全体系应遵循以下原如此:l 整体性原如此结构化分析安全问题,做到全面覆盖,突出重点l 符合性、标准化与规X化原如此依据国家信息安全政策、符合相关法规标准要求。安全体系的整体设计要求基于国际标准和国家颁布的有关标准比如:等级保护、分级保护、SOX、企业内部控制根本规X等,坚持统一、标准、规X的原如此,为未来业务开展奠定良好的根底。l 针对性原如此根据客户组织结构特点,网络特点、业务特点,针对性解决安全问题。l 可持续性,灵活性与可扩展性原如此应满足信息系统全生命周期的持续安全保障要求。
9、安全体系设计必须具有良好的灵活性与可扩展性,能够根据业务不断深入开展的需要,提供技术升级、系统更新的灵活性。在软件升级时不应影响组织的日常办公工作。l 可管理性与易维护性原如此随着公司业务的不断开展,安全管理任务必定会日益繁重,因此系统安全体系的建设必须有良好的可管理性和易维护性。1.3.2 建设目标与要求信息安全保障工程建设的总体目标是:切实为信息系统提供可靠的安全服务,增强信息系统安全性,从技术角度防X信息系统安全风险,为促进业务系统效率提供安全保障,实现系统的安全资源共享和相互配合服务,为信息系统数据传输提供安全保障,全面推动信息系统安全在系统中的应用。安全体系建设的具体目标:l 构建可
10、信可控的网络平台合理划分安全域,明确不同安全域之间的信任关系,并相应地采取物理隔离、防火墙、访问控制列表等安全措施,实现不同安全域之间网络层面的访问控制和检测;l 构建安全可靠的系统平台通过部署完善的各安全子系统与存储藏份系统,并结合全面的安全服务和管理,实现系统层面的访问控制和数据的存储安全;l 构建安全有效的管理平台在充分利用目前先进的安全技术的根底上,加强管理建设,建立有效的责任机制、人才培训机制、应急响应机制,完善安全管理制度,为信息化建设和运维提供安全有效的管理保障。1.4 安全体系根本内容信息系统安全管理是由用户、应用软件厂商、系统软件厂商、硬件设备厂商等多方提供的,对于安全体系的
11、分析大体如下:系统安全应包含以下三方面的内容:某某性:防止网络某某息被泄漏或被非授权实体使用,确保信息只能由授权实体知晓和使用;完整性:系统的数据不被无意或蓄意的删除、修改、伪造、乱序、重放、插入或破坏。数据只能由授权实体修改;可用性:数据或服务在需要时允许授权个人或实体使用。从网络安全技术的观点分析,安全问题分以下几类:1、物理安全:是主机和网络设备等硬件的安全。2、网络安全:通过网络链路传送的数据被窃听;非法用户与非授权的客户的非法使用,而造成网络路由错误,信息被拦截或监听。3、系统安全:目前流行的许多操作系统和数据库系统均存在系统安全漏洞,如Windows操作系统和其它一些操作系统。4、
12、应用安全:事实上在网络系统之上的应用软件服务,如应用服务器、电子服务器、Web服务器等均存在大量的安全隐患,很容易受到病毒、黑客的攻击。5、信息安全:包括规X化操作、合法性使用、防止信息泄露、信息篡改、信息抵赖、信息假冒等等。1.5 安全体系结构建议本系统的安全体系的整体建议分为三个层面:安全组织体系、安全管理体系、安全技术体系。本系统的安全体系结构中的安全技术体系需要与系统开发技术严密结合,大体框架为如下图中间局部所标示:1.6 信息安全 通用方案1.6.1 安全系统架构一般来说,信息系统在网络布局上包括了互联网、专网、局域网;在业务类型上分为公开信息系统和受控信息系统;在数据存储和传输上分
13、为可公开资源和保护资源,为此将交易系统安全架构分为:网络系统安全、应用系统安全和数据安全。应从安全管理机构、安全管理制度、安全管理技术和安全教育培训等方面加强信息管理系统的安全性。安全系统从架构上分为多层,每个安全层有各自的功能和作用X围,如如下图所示。n 网络系统安全边界安全防护:为信息管理系统网络系统提供根本防护服务,包括防火墙、入侵检测。操作系统安全保护:漏洞扫描、防病毒、网页防篡改等。故障恢复和备份服务:保证出现意外事故时系统运行的连续性,信息系统应具备可靠、可查、可恢复等。n 应用系统安全认证与授权:为应用系统提供身份认证、授权服务和访问控制等。n 数据安全防护数据安全防护:主要提供
14、包括加解密、签名与签名验证等安全服务,以支持信息的某某性、完整性和不可抵赖性。n 安全管理系统从行政管理和制度建设方面全面建立安全管理系统。n 安全信任系统构筑安全信任系统,通过PKI、密码服务系统的建设保障身份认证、权限认证、和数据加密过程的安全控制;通过DRM数字保护系统的实施,从根本上解决文件泄密,达到知识产权保护的目的。1.6.2 安全管理系统-制度建设n ISO27001信息安全管理体系标准ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续开展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。n ITILITIL是Inf
15、ormation Technology Infrastructure Library的缩写。ITIL融合全球最优实践,是IT部门用于计划、研发、实施和运维的高质量的服务准如此,是目前全球IT服务领域最受认可的系统而实用的结构化方法。ITIL已经成为IT服务管理领域最优实践事实上的国际标准。ITIL可以与ISO 9001兼容,提高IT组织服务质量。n ISO20000 ISO20000标准着重于通过“IT服务标准化来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务水准协议进展计划、推行和监控,并强调与客户的沟通。该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。 1.6.3 边界防护设计1.6.3.1 概述建设网络防护系统的目的是将网络系统在计算机网络的链路层、网络层和传输层建立各个局部网络的边界安全防护体系,把可能出现的网络安全风险减少到较小的程度,与其它安全防护措施配合工作,保证整个网络的安全。网络层安全保护也可称为边界防护,是指在属于可信安全域的内部网络与不可信的外部网络连接时,对内部网络与外部网络连接的边界进展保护。这一概念不但适用于各交
