公司内部信息安全方案
公司内部信息安全及管理解决方案
Internal Confidential Document
Ver 1.0 2011/2/26 1|P a g e
目 录
第一章 引 言 ..................................................................................................... 3
第二章 公司内部信息安全方面所面临的潜在威胁 . ........................................... 3
第三章 公司内部信息安全方案设计 .................................................................. 4
Internal Confidential Document
2|P a g e
一. 引言
随着国内信息技术的飞速发展,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,并且利用软硬件来监控和控制网络的运行。
目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。
二. 公司内部信息安全方面所面临的潜在威胁
1. 外部网络的安全威胁
企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
2.内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
3. 网络设备的安全隐患
网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。
4. 电脑操作系统的存在的安全隐患
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,很多不必开放的端口隐含了潜在的安全风险。
5. 应用层存在的安全隐患
Internal Confidential Document
3|P a g e
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
文件服务器的安全风险:办公网络应用通常是共享网络资源。可能存在着员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
数据库服务器的安全风险:内网服务区部署着大量的服务器作为数据库服务器,在其上运行数据库系统软件,主要提供数据存储服务。数据库服务器的安全风险包括:非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全问题。
病毒侵害的安全风险:网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
6. 日常管理上的安全隐患
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术下功夫外,还得依靠安全管理来实现。
三.公司内部信息安全方案设计
公司信息管理及安全防护方案主要由以下各部分组成:
1. 安全产品选择及部署
使用安全产品是贯彻安全策略的有效手段,能够解决大多数的安全问题,但这并不代表使用了安全产品就一定安全了,往往需要把安全产品与安全管理和服务有机地结合起来,才能达到较高的安全水平。
● 交换机:划分VLAN 进行子网隔离、抵抗嗅探类程序和提高网络传输效率。 Internal Confidential Document
4|P a g e
● 防火墙:解决内外网隔离及服务器安全防范等问题,主要部署在网络的Internet 接点和重要部门的子网与其它内部子网之间,其中个人防火墙系统安装在客户端。
2. 网络管理及入侵检测系统;
在系统中关键的部位安装基于网络的入侵检测系统,可以使得系统管理员能够实时监控网络中发生的安全事件,并能及时做出响应。
根据该企业网络应用的情况,可在互联网流量汇聚的交换机处部署一套网络管理系统,例如:聚生网管和网维大师等产品,它们可实时监控内部网中发生的安全事件,使得管理员及时做出反应,并可记录内部用户对Internet 的访问,管理者可审计Internet 接入平台是否被滥用。当冲击波病毒爆发时,该系统能够显示出哪些主机感染了病毒而不停地向其他网络主机发出广播包。它们还能提供管理网络流量,限制使用网络聊天工具,防止ARP 蠕虫 冲击波病毒的攻击等功能。
3.网络防病毒系统;
公司内部全面地布置防病毒系统,包括客户机、文件服务器等。
采用Symantec Protection Suite防病毒系统保护客户机和文件服务器的安全,客户机每天定时从Symantec 服务器通过FTP 方式下载并安装最新的病毒代码库。
4. 网络安全制度建设及人员安全意识教育
公司内部需要开展以下工作:
(1)开展计算机安全意识教育和培训,如不要随意到网上下载软件、不要打开不明邮件附件等等,并加强计算机安全检查,以此提高最终用户对计算机安全的重视程度。
(2)制定《信息系统安全管理规定》等制度, 定期向员工发布,并通过计算机应用知识考试等方式加以推广执行。
Internal Confidential Document
5|P a g e