公司信息安全规划方案.docx

《公司信息安全规划方案.docx》由会员分享，可在线阅读，更多相关《公司信息安全规划方案.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公司信息安全规划方案目录第一章需求分析(3)1.1前言(3)1.2现状分析(4)第二章信息安全建设规划(4)2.1设计思路(4)2.2建设目的(5)2.3信息安全建设方案(5)2.3.1终端整体安全规划(5)2.3.2IT信息网络安全建设(14)2.3.3IT信息数据建设(16)第一章需求分析1.1前言随着互联网和信息系统的飞速发展，具有黑客攻击特征的新类型病毒的大量出现，十分是近几年威胁攻击更倾向于窃取核心资料或是从事系统毁坏为目的，攻击手法通常采取“低而缓的方式，攻击行为往往在较长的时间内不会被注意到,恶意软件呈现出了定向化、多样化、动态化的特点。用户假如仅依靠单一的技术手段并无法有效全面

2、控制安全风险。同时IT环境变的越来越复杂,在日常维护工作中怎样对多样化的终端，移动设备，应用软件以及多样的系统进行有效的管理，构成统一有效的管理网络，提升管理效率，一个混乱无序的IT环境对于企业的信息安全也是存在宏大的安全漏洞，对于攻击者来讲能够利用的攻击途径相比一个统一的有效的IT架构能愈加轻松的攻破。2021我们身边的安全事件：?CharlieMiller和ChrisValasek历时一年，研发出了一套能够攻破切诺基2021款吉普的工具，而且能够通过无线网络进行攻破。?汽车入侵又出奇招：奥迪TT被攻破?道琼斯公司DowJonesCEO成认了公司数据泄露事件，有3500位用户的数据支付卡信息

3、、通讯信息等被黑客未受权访问，并已向受影响的用户发去了通知邮件。?喜达屋集团表示，目前位于北美地区的54个酒店均发现了恶意软件，该恶意软件的目的是从支付终端和收银机上窃取酒店用户的银行卡信息。?机锋论坛2300万用户信息泄露?海康威视部分设备被境外IP控制，存严重安全隐患?大麦网600多万用户账号密码泄露，数据已被售卖?过亿邮箱用户数据泄露，网易称遭黑客“撞库1.2现状分析目前XX没有统一的终端防护软件，无法集中管理终端防护工作；在网络层面架设有传统防火墙和行为管理设备；所有的服务器都能够连接外网；搭建了AD域控，但客户端没有参加域；对出差人员和外来访客访问内网无有效的安全管理手段。综上所述的

4、现状分析来看，XX的信息系统还没有构成一套完好有效的安全防御体系，使公司更容易成为数据窃取和操控的受害者、造成关键业务中断并导致公司损失。第二章信息安全建设规划2.1设计思路针对现今各企业所面临全新的安全威胁和挑战，结合XX现有的信息安全体系，我公司通过从终端到网络以及数据等多个方面建立一整套安全防御体系，全面评估攻击对企业内部网络的浸透范围和造成损失，准确消除攻击给企业造成的毁坏，同时可以以提高企业信息安全的管理效率以及保障数据在企业内部和外部流转的安全性。2.2建设目的部署终端防病毒软件，并进行网络接入合规性检查，保证IT系统免于遭到攻击；建立在网络边界位置履行对人员和设备进行准入控制，将

5、端点修复到可信状态，确保接入内网访问公司资源的终端符合IT管理策略；建立构成统一的终端运维管理平台，提升IT管理的效率；建立一种全新的，发现、划分处理优先级并弥补所有端点中高级攻击的高级威胁防护；应用业务数据集中存储、集中备份，使用专业的数据备份恢复技术，提供更安全的数据保护；建立完善的安全防护及管理体系，应对外部威胁和内部威胁，构成业务系统的快速恢复机制，减少因IT系统停顿对公司主营业务的影响和损失；建立核心数据管理统一防泄密平台，监控核心业务数据的生产、传播和使用环节；2.3信息安全建设方案2.3.1终端整体安全规划2.3.1.1终端安全防护系统实践证实，完好有效的终端安全解决方案包括技术

6、、管理和服务三个方面内容。防病毒技术的部署和施行是“实现用户个人的广义病毒和攻击的防护的主要气力。传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因而指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于XX这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，假如不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。此外，我们重点提出“服务的根本原因是基于一个判定：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。因而，产品管理服务的组合才能在根本上保证病毒防护的可靠性。技术层面因而，必须从“主动防御这一观

7、点出发，建立一个覆盖全网的、可伸缩、抗打击的终端防护体系。相对于被动式病毒响应技术而言，主动式反响技术可在最新的恶意软件没有出现之前就构成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御主要体如今下面几个方面：入侵防护:基于漏洞的入侵阻断?阻断RPC缓冲区溢出漏洞?阻断利用Web阅读器漏洞的攻击间谍软件最常用的安装方式入侵防护:基于漏洞的入侵阻断?阻断RPC缓冲区溢出漏洞?阻断利用Web阅读器漏洞的攻击间谍软件最常用的安装方式防火墙?阻断进入的对开放端口的攻击?阻断病毒向外扩散的途径?阻断非法的对外通信间谍软件数据泄漏和连接控制站点的企图防火墙?阻断进入的对开放端口的攻击?阻断病毒向外

8、扩散的途径?阻断非法的对外通信间谍软件数据泄漏和连接控制站点的企图实时防护和阻断?自动识别并去除蠕虫病毒?自动防护已知恶意软件十分室间谍软件的安装?假如恶意软件已经安装，在其运行时检测并阻断实时防护和阻断?自动识别并去除蠕虫病毒?自动防护已知恶意软件十分室间谍软件的安装?假如恶意软件已经安装，在其运行时检测并阻断抑制未知的恶意软件?Bloodhunt启发式病毒扫描?根据恶意软件的行为特征发现和抑制其操作?邮件蠕虫拦截?间谍软件键盘记录、屏幕拦截、数据泄漏行为打分抑制未知的恶意软件?Bloodhunt启发式病毒扫描?根据恶意软件的行为特征发现和抑制其操作?邮件蠕虫拦截?间谍软件键盘记录、屏幕拦截

9、、数据泄漏行为打分根本：系统加固?关键补丁?强口令?关闭危险服务和默认分享?匿名访问限制根本：系统加固?关键补丁?强口令?关闭危险服务和默认分享?匿名访问限制使用以应用程序为中心的防火墙来阻止蠕虫，木马和黑客，防止其利用漏洞，非法攻击终端；网络威胁防护可分析传入数据流，及时阻止威胁通过网络攻击终端；主动检测威胁技术将存在风险的文件与安全的文件区分开来，可提高恶意软件的检测速度和准确性，扫描偷渡式下载和以阅读器漏洞为目的的攻击，能实时监控应用程序行为并阻止目的性攻击和零日威胁；智能的应用程序控制，控制文件和注册表访问权限，以及设置允许进程怎样运行；可用于限制对选定硬件的访问，并控制哪些类型的设备

10、能够上传或下载信息的外设控制。外设控制能够结合应用程序控制，提供更灵敏的控制策略。管理层面入网准入控制在管理层面上需要实现两个目的：“技术管理化与“管理技术化。技术管理化要求对以上这些安全技术进行有效的管理，使其真正发挥作用。通过统一、集中、实时地集中管理，构建坚固的技术保障体系。管理技术化体如今终端的策略和行为约束，把停留在口号阶段的“三分技术、七分管理变成可操作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管理要求真正落实下去。根据XX现状，在企业办公网中无法确定如今网络中有多少各种设备、终端，是什么种类；无法确定入网终端的安全状况、合法性；无法确定此时有哪些人员入网访问

11、，访问了何种资源；机构的安全规范无法得到有效遵从；私接hub及无线路由器无法进行有效的管理；无法迅速安全定位到终端设备和使用者。此方案将从下面几个方面解决上述问题。边界控制管理在当今的计算环境中，公司和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问公司资源的权限。如今，维护网络环境完好性的任务面临着史无前例的挑战。准入技术能够与AD域系统联动，在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。能够确保在允许端点连接到公司LAN、WAN、WLAN或VPN之前遵从IT策略。利用各种网络控制技术，实如今各种网络环境下适应性，准入系统能够帮助用户快速实现，对

12、于内网边界的规划。能够实现基于接入层边界的控制和基于重要资源边界的控制。人员认证管理入网流程管理系统能够提供广泛的身份认证功能，以及基于人员角色的权限控制功能，进而在识别、受权、审计等多个角度对内网边界设立好人员管理的第一道防线。设备规范管理准入系统通过设备识别、用户认证、防病毒软件健康保障、系统补丁健康保障来规范入网终端的合规性，同时能够进行持续的监控，一旦发现问题，能够准确定位。操作行为管理准入系统能够针对人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网后，提供机构管理策略的延展性，可配置的策略能够搭建用户/设备入网后的全面管理规范视角报表管理准入系统提供多种查看安全

13、威胁点的方法和方式。系统使用人员能够从本人关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。部署方式入网规范管理系统设备采用旁路形式部署在会聚层交换机或者核心路由交换器旁，采用策略路由技术与核心交换机进行联动管理，实现对网内终端的准入控制。技术特点每当用户连接网络时，确认公司管理终端能否符合公司策略，根据检查结果授予或者拒绝其接入权限。网络准入系统能够与防病毒系统联动，自动下载和安装任何缺失的病毒特征库，防火墙策略，入侵检测特征库，软件补丁和安全工具，将公司端点修复到可信状态。支持多样化的身份认证方式，既提供用户名、密码身份认证也支持与LDAP、USB-KEY、手机短信、EMA

14、IL、AD域等第三方身份认证系统联动。入网规范管理系统除了在边界位置履行对人员和设备进行准入控制，还提供对人员和设备入网后的行为、状态变更、维护等综合管理，如违规外联管控、对用户各种操作的监控和响应。入网规范管理系统拥有丰富的安全检查规范，不仅包含杀毒软件检查、补丁检查、IP/MAC绑定等规范检查，也包含桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，通过对终端进行安全检查，并提供一键式智能修复，在加固终端安全防护能力的同时，节约了运维成本，提高了工作效率。管理员能够事先配置来宾能够访问的资源，比方只能上互联网、收发邮件等。这样基于应用控制来宾访问权限，能够很好地

15、解决既知足业务需要，又很好地保护好用户内网资源。在现有的网络环境中已在思科防火墙建立了VPN，使用SSL协议完成用户的远程接入，使出差或者第三方人员等这样的移动办公人员能够安全、方便、快速的登录内网工作，同时网络准入系统能够对VPN接入用户进行身份认证、终端合规性检查，确保符合IT策略的终端接入网络，访问资源。2.3.1.2统一的终端运维管理平台随着计算机网络技术的不断发展和网络应用的不断深化，对于网络的安全性、可靠性的要求也越来越高，计算机网络的管理、维护和运行变得越来越复杂。这就迫切需要有先进的网络管理平台予以支撑。终端运维管理系统在安全性上也提供了完好的解决方案。其基于证书受权的安全管理

16、策略，构成了内部网络的一个强大的安全屏障，能够抵御各种形式的非法入侵。主要功能资产信息管理软件、硬件信息，及用户定制信息等漏洞管理统一的补丁下载、修复与杀毒软件病毒定义更新等软件分发统一的软件分发等远程协助远程的控制、文件传输等资产管理硬件资产桌面管理系统能够将客户端的所有的硬件信息自动采集到服务器的管理数据库中。如BIOS、主板、CPU、内存、硬盘、网络配置、操作系统版本等等。这使得系统管理员随时能够对所管理的客户端的硬件情况了如指掌。软件资产软件同样是资产信息的重要部分。软件的变化对于系统管理员来讲更是无法管理。而通过软件信息的自动采集，不仅能够及时把握每台客户机的系统软件信息，而且能够自

17、动获得应用软件信息，知足软件正版化需求。漏洞管理自动下载漏洞特征及补丁程序对漏洞特征及补丁程序的自动下载。只要根据需要，制定好自动下载的计划如：天天、每周、每月，系统便会自动的从服务器群上下载最新的漏洞特征及补丁程序。自动分发安装系统安全补丁对于检测到的系统安全漏洞能够实现自动分发安装，通过计划任务对客户端PC进行推送或者修复安装，减轻Internet接入的网络负担、提高了效率，且性能稳定。补丁安装考虑尽量减少对用户的影响，在进行自动分发的同时，能够支持静默方式安装。能够在用户没有任何感觉的情况下，为其安装上所有的操作系统补丁。软件分发管理策略能够根据管理的需要，基于不同的协议进行软件分发；支持断点续传功能，对于分发一些大型的应用软件，例如：Office、ERP客户端软件等，这一特点特别重要；支持推push和拉pull两种软件分发的方式。能够为客户端配置任务完成功能。在分发经过中，支持多种网络带宽优化及控制技术。通过这样的管理策略，则能够使得对桌面系统的管理愈加规范、高效、可靠。