1、1提纲提纲u为什么要重视信息安全;为什么要重视信息安全;u安全与投入;安全与投入;u安全与效率;安全与效率;u现有状态;现有状态;u控制点;控制点;u解决方案;解决方案;u预期效果;预期效果;u预计价格;预计价格;2为什么要重视信息安全为什么要重视信息安全世界上每分钟就有2个企业因为信息安全问题而倒闭2001年12月,烟台乔某利用到某电信公司维护通信设施之机,通过修改数据伪造电话卡1000,获利20万;韩国农协银行(NH Bank)由于主机系统及备份系统数据被删除,导到客户无法提款、转帐,系统故障持续3天安然事件;沈阳市公安局沈阳大学的故事;3安全与投入安全与投入投入安全级别信息安全与投入的关
2、系4安全与效率安全与效率那一个是我们的选择5现有的状态现有的状态优势:优势:1、安全性较高;不足:不足:1、内外交互时,中转过程需人工过滤,人工过滤机制规划不清晰,事后没有(无法)审计;2、内外网无法通讯,近期导致信息发布、邮件机制不畅通、远期上系统会需要额外的解决方案;3、部分硬件(电脑、工位)资源的浪费;4、互联网资源获得困难;5、人员无法灵活的使用办公工具,如打印机等;理想解决方案:理想解决方案:1、通讯要畅通(邮件),未来可以支持上应用系统;2、员工可以应用打印系统;3、按角色可以获得互联网资源;4、访客入场要有安全级别的控制;5、文件内部交互自由,可以进行自由外发;6、电脑及外设丢失
3、不致于造成安全事故;7、以上所有行为均要有严格的安全控制,事后可以进行跟踪审计;6控制点控制点7控制点控制点8控制点控制点9控制点控制点10控制点控制点11解决方案解决方案防泄露防泄露 备份备份 访客访客网络网络 教育教育 解决方案解决方案体系体系系统管理员系统管理员12解决方案解决方案-访客访客方案1:修改网络策略,改为MAC地址锁定,外来人员借用无线网卡。优势:节省资金 不足:大部分实现功能,麻烦方案2:采用有成成熟解决方案的供应商,如思科及华为的解决方案优势:解决彻底不足:费用较高13解决方案解决方案-网络层网络层网络层深化应用路由、交换功能深化应用路由、交换功能1、Vlan 划分 2、
4、Mac准入3、启用防DHCP、ARP功击 4、启用VPN防火墙、防入侵系统防火墙、防入侵系统1、一个是基于端口堵住2、一个是进来抓住网关防毒、流控、日志审计网关防毒、流控、日志审计除了传统的控制外,更加要重视日志审计,以利通过报表发现问题,事后有问题可以快速追踪。还应可以进行内网漏洞检测,自还应可以进行内网漏洞检测,自行分发或利用域控分发补丁!行分发或利用域控分发补丁!PCPC、外设、域、邮件、外设、域、邮件1、软件安装受限;2、USB、屏保等策略;3、报废设备要作数据清理,先覆盖再物理损坏;4、操作系统的安全补丁要及时更新,要选择官方继续支持的操作系统;5、不能再用非公司授权的邮箱;14解决
5、方案解决方案-防泄露防泄露国内解决方案国外解决方案如何选择?困难你是坏蛋你是好人15解决方案解决方案-防泄露防泄露国内产品国内产品国外产品国外产品设计理念设计理念以数据泄露防护为目标,防止有意和无意的泄露。以数据丢失防护为目标,防止无意的泄露。实现手段实现手段事前主动防御,对文件进行加密并控制文件的传播途径,文件即使泄露也无法被使用。“发现并阻断”,定义非法行为的规则,当有非法行为发生时,触发相应的阻断策略进行处理,比如警告、拦截等。文档加密文档加密透明加密,即文档始终保持加密状态,但在公司网络环境中使用(安装客户端的电脑)感觉不到文件是加密状态,没有差异,不改变使用者的习惯。离开此环境,文件
6、不可用,可通过解密申请流程使文档解密。首先是对文件定义的保密等级,针对需要特殊保密的文件,进行加密,当员工需要使用此文档时,通过审批流程获得解密文档。数据防护数据防护无发现并处理,根据定义的企业机密信息样本库,对终端、USB接口、光驱、网络出口等进行扫描监控,如果发现违规行为,则实施不同的防护策略。硬盘加密硬盘加密直接对硬盘物理扇区进行加密,如果电脑丢失,硬盘不可用。直接对硬盘物理扇区进行加密,如果电脑丢失,硬盘不可用。与应用系与应用系统的集成统的集成采用网关(硬件设备)、二次开发等方式进行文档加解密,实现与应用系统集成。如果文档是加密状态,通过流程审批使文档解密后,与应用系统集成。文档外发文
7、档外发向公司外发布的文件进行权限控制,比如只读、打印、修改、只读次数、只读时限、过期自动销毁、打印水印等权限设置。无 国内与国外产品对比:16解决方案解决方案-防泄露防泄露重要文件类型,全部加密;外部需要时,按解密流程解密;可选设置解密后的使用次数等;非加密文件根据“关键字”上下文关系进行阻止;拷屏控制,打印启动流程控制;二选一,为什么不能二选二?17解决方案解决方案-备份备份异地备份体系执行18解决方案解决方案-安全教育安全教育19解决方案解决方案-体系体系控制点解1、机房出入申请,有日志,记录到IT月报中去;2、权限申请单,定期与业务部门复合权限;3、全部控制点4、引入外部审计;5、通过ISO270001;20解决方案解决方案-系统管理员系统管理员1、以管理员身份作的事情要有记录,记录应包括时间、地点、作了什么;3、系统选型的时候,要选择有日志功能的系统,以备日后审计;2、要签署保密协议;21结束结束u问与答问与答!
