企业信息安全解决实施方案.docx
《企业信息安全解决实施方案.docx》由会员分享,可在线阅读,更多相关《企业信息安全解决实施方案.docx(15页珍藏版)》请在冰豆网上搜索。
企业信息安全解决实施方案
企业信息安全解决实施方案
————————————————————————————————作者:
————————————————————————————————日期:
一、企业的现状分析
当前,信息科技的发展使得计算机的应用范围已经遍及世界各个角落。
众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。
IT网络的使用极大地提升了企业的核心竞争力,使企业能在信息资讯时代脱颖而出。
企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。
但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。
在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。
同时中小企业在独特的领域开展竞争,面对竞争压力,他们必须有效地管理成本和资源,同时维护业务完整性和网络安全性。
二、企业网络可能存在的问题
●外部安全
随着互联网的发展,网络安全事件层出不穷。
近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。
对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失都很大。
●内部安全
网络的不正当使用,一些员工利用网络处理私人事务、私自下载和安装一些与工作无关的软件或游戏等,不但消耗了企业网络资源,更有可能因此引入病毒和间谍程序,或者使得不法员工可以通过网络泄漏企业机密,导致企业的损失。
企业业务服务器不仅需要来自互联网的安全防护,对于内网频发的内部非正常访问及病毒威胁,同样需要进行网络及应用层的安全防护。
●内部网络之间、内外网络之间的连接安全
随着企业的发展壮大及移动办公的普及,在以后,很可能会形成了公司总部、各地分支机构、移动办公人员这样的新型互动运营模式。
那么,怎样处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏就是个不得不考虑的问题了。
各地机构与总部之间的网络连接安全性直接会影响企业的高效运作。
●上网行为和带宽的管理需求
计算机网络已经成了支撑企业业务的重要环节,同时也成为了企业员工日常不可缺少的工作及休闲的一部分。
员工们习惯了早上打开电脑访问新闻网站,到淘宝网上去购买商品,到开心网去停车、偷菜,通过炒股软件观览大盘走势、在线交易,甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力,而原本用来收发邮件、查询信息、视频会议等用途的网络变为娱乐工具时,这对公司来说是个很大的损失,如何有效的管理网络,让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为,已成为各个公司必须直接面对的问题。
三、企业泄密的途径
目前的企业泄密大致有以下这些途径:
1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;
2、内部人员通过互联网将资料通过电子邮件、QQ、MSN等发送出去或发送到自己的邮箱内;
3、将电脑上的文件打印后带出公司;
4、将文件复印后带出公司;
5、将办公用便携式电脑直接带回家中;
6、电脑易手后,原来的资料没有处理,导致泄密;
7、随意将文件设成共享,导致非相关人员获取资料;
8、移动存储设备共用,导致非相关人员获取资料;
9、将自己的笔记本带到公司,连上局域网,窃取资料;
10、趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;
11、非法进入公司盗走目标机密或机密载体;
12、网络黑客通过网络进入企业内部网络,窃取机密文件;
13、病毒、木马非法窃取文件。
四、公司目前的信息管理现状
由于公司目前信息化还未到普及的程度,加上对此的重视程度和投入力度都远远不够,所以总的来说,公司目前的管理是比较落后的,很多地方都是靠管理维护人员手动来控制,不但效率不高,而且隐患和弊端也不少。
目前公司网络应用主要有四个区域:
佳美购物,利生科技,行政、财务和数码,以及各地分支机构,具体管理情况如下:
◆XX购物
主要包括下面三个方面:
●IT设备(服务器、网络、存储等)
●CallCenter资源(语音中继线路、可编程智能语音交换机、CTI等)
●业务应用(BAS软件系统)
目前管理情况:
1、BAS系统权限设置情况:
超级管理员两个(XX和XX),管理员(各部门经理和特殊应用人员),操作员(座席)。
权限说明
a)超级管理员:
具有一切权限。
b)部门管理员:
可针对本部门的通话、销售等进行查询和统计,分配早释,听取本部门员工录音,撤销、修改错单等。
c)操作员:
接线,查询自己销售情况。
d)数据导出权限开通情况:
超级管理员,XX(与XX物流接洽)
2、网络方面
部门经理、XX(负责与XX对接)可访问外网,座席全部与外网隔绝
3、存储方面
所有电脑移动存储接口全部屏蔽,U盘、移动硬盘、存储卡等存储设备均不能用。
4、服务器方面
服务器由专人维护,需要远程维护时才向软件开发商指定人员开放对外接口,平常与外界隔绝。
◆XX科技
由于XX科技的客户资源全部是注册于XX总部的服务器,主要针对他们的网络应用进行适当的控制,以避免员工在上班的时候从事与工作无关的内容,结合他们部门经理的意见,除主管级以上人员和一些讲师以外,普通员工只有连接XX软件和XX主页的权限。
◆行政、XX和财务
适当屏蔽了一些网站和资源,电脑使用方面则是各人保管自己使用的电脑密码,专人专用。
◆各分支结构
由于目前各分支结构都是独立的网络,没有与公司总部形成直接联系,所以无法对其进行控制和监控。
五、公司未来的信息安全管理方案
针对公司目前的现状和当前企业信息安全面临的严峻形式,我认为,必须从管理和技术两方面入手。
◆管理方面
信息安全管理所面对的三个重要对象分别是:
人员、数据和技术资源,针对这三个对象的信息安全管理措施需要与其管理流程相配套。
✧针对人员的管理
●公司建立一整套规范的安全保密制度并严格执行。
●相关员工一律签署保密合同,定期进行保密教育,使他们认识到保密工作的重要意义。
●新入职员工一律签署保密合同,并接受公司《IT信息管理制度》的学习。
●新入职员工需使用电脑者,一律填写《电脑领用申请表》
✧针对数据和技术资源的管理
●数据集中管理,完善服务器,各部门重要文件全部存放于服务器的相应目录,工作站电脑仅共日常工作使用,不做任何重要文件的存储
●建立机房管理制度,加强机房安全管理,服务器指派专人维护,除系统维护员进行日常维护之外,其余人等不得接触服务器。
●严格控制上网权限,原则上,私人携带的电脑不允许使用公司内网资源,如有特殊需求,报相关部门批准,并做相应技术手段处理后方可入网。
●制订信息安全责任准则:
责任与岗位职责相关,而不是与人员相关,岗位变化,责任随之变化;管理制度与责任相关,责任不同,适用的管理制度不同
✧针对公司打印机、复印机等打印资源的管理
●建立相关的外设管理条例和条规,原则上各工作站不允许随意连接打印机,如需打印权限,可先在信息部领取《打印权限开通申请表》,阐述打印需求,经行政部审批通过之后,由信息部记录备案,再与其连接指定的打印机。
●复印机由专人管理,所有复印的文件或资料须详细记录在案,包括复印内容,时间等等。
✧针对U盘、移动硬盘、各种内存卡等移动存储设备的使用管理
●建立相关的移动存储设备管理条例和条规,原则上各工作站不允许随意使用USB接口,如需使用移动存储设备,可先在信息部领取《USB接口开通申请表》,经行政部审批通过之后,由信息部记录备案,再与其开通USB接口。
◆技术方面
改善网络结构,配置专门的技术设备,通过相应技术手段封锁各种可能泄密的途径。
考虑到一些成本因素,并结合公司现在及以后发展的实际情况,总体的网络布局构思如下:
一、外网管理
●在公司内网与Internet之内,增加一台企业级防火墙,其主要作用有以下几个方面:
Ø可防范来自外网的各种攻击、病毒木马
Ø公司信息化普及后,通过VPN专用通道,可使各地分支结构安全访问公司内网资源
Ø对内网用户的QQ、MSN等聊天工具和邮件内容进行过滤,避免内部人员通过利用Internet泄密
Ø合理分配网络带宽,对一些与工作无关的内容进行封锁。
●严格控制上网权限
Ø所有需要上网的用户都要填《上网权限开通申请表》。
操作流程:
先在信息部领取表格,阐述上网理由和上网的具体需求,经行政部审批通过之后,再报信息部记录备案,然后开通相关的上网权限。
Ø如果采用VPN方式连接各个子网,需要使用VPN的用户都要填写《VPN权限开通申请表》,经行政部审批通过之后,再报信息部记录备案,然后领取VPN用户名和密码及使用说明。
二、内网管理
改变现有的单一工作组模式,添加域服务器,采用域管理,其优点如下:
1、权限管理比较集中,管理成本大大下降。
●域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。
所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。
●防止公司员工在客户端乱装软件,能够增强客户端安全性、减少客户端故障,降低维护成本。
2、安全性加强。
●有利于企业的一些保密资料的管理,比如说某个盘某个人可以进,但另一个人就不可以进;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。
●可以封掉客户端的USB端口,防止公司机密资料的外泄。
3、使用漫游账户和文件夹重定向技术。
●个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。
●卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件(限保存过的32个版本)。
●在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
4、方便用户使用各种资源。
●可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。
用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。
●并且各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。
即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
5、SMS(SystemManagementServer)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。
并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
6、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,活动目录集中控制用户授权,进行控制不仅仅在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义。
除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。
安全策略可以包含帐户信息,如域范围内的密码限制或对特定域资源的访问权限等。
具体应用:
比如在工作组下面有3台计算机,分别是A、B、C,各有一个帐号a、b、c,如果B上有一个文档要给a用户访问,b就要在B计算机上创建一个帐号a’给a,
升级会员 