企业信息安全解决方案.docx

一'企业的现状分析当前，信息科技的发展使得计算机的应用范围已线遍及世界各个角落.众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运甘平台，IT网络的运用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源.但由于计算机信息的共享及互联M的特有的开放性,使得企业的信恩平安何即日益严峻.在企业对于信息化系统严竣依序的状况下，如何有效地增加企业平安防范实力以及有效的限制平安风险是企业迫切须要解决的问题。同时中小企业在独特的领域开展竞争，面对竞争压力.他们必需有效地管理成本和资湖（同时维护业务完整性和网络平安性.二、企业网络可能存在的向SS 外部平安随着互联网的发展,网络平安事务层出不穷.近年来计算机病毒传播、蟋虫攻击、垃圾邮件泛滥、敏感伯恩泄漏等已成为影响最为广泛的平安威逼.对于企业级用户，每当遭受这些威逼时，往往会造成数据破坏、系统异样、网络场狡、信息失窃，工作效率下降，干脆或间接的经济损失都很大。 内部平安网络的不正值运用，一些员工利用网络处理私人事分、私自下段和安装一些与工作无关的软件或效戏等，不但消耗了企业网络费源，更有可能因此引入病毒和间谍程序，或者使得不法员工可以通过网络泄漏企业机密,仔致企业的损失。企业业务服务器不仅须要来自4.联N的平安防护,对于内网编发的内部非正常访问及病毒或逼,同样须要进行网络及应用层的平安防护. 内部网络之间、内外网络之间的连接平安陶的企业的发展壮大及移动办公的普及，在以后,很可能会形成了公司总部、各地分支机构、移动办公人员这样的新型互动运营模式.那么.怎样处理总部与分支机构、移动办公人员的伯恩共享平安，既要保证伯理的倒好共享,又要防止机密的泄漏就是个不得不考虑的问逾了,各地机构与总部之间的肉络连接平安性干腌会影响企业的高效运作。 上网行为和带宽的管理需求计停机网络已经成了支掠企业业务的重要环节,同时也成为了企业员工H常不行缺少的工作及休闲的一部分.员工们习惯了F上打开电脑访问新闻网站,到淘宝网上去购买商M,到快乐网去停车、偷菜，通过炒股软件观览大盘走势、在找交易，佚至下载和在税观看电影视顿、玩网络嬉戏.企业连接网络的初去是加快业务效率、提商生产力，而原本用来收发邮件、查询信息、视版会议等用途的N络变为消遣工具时,这对公讨来说是个很大的损失.如何有效的管理网络,让网络流瓜健康、提高工作效率、限制或禁止上班时间的非工作行为，己成为各个公司必需干脆面对的问魄。三、企业泄密的途径目前的企业泄密大致有以下这些途径：1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中摇出带走；2,内部人员通过互联网将资料通过电子邮件、QQ、MSN等发送出去该发送到自己的邮箱内：3、将电脑上的文件打印后带出公司：4,将文件复印后带出公司:5、将办公用便携式电脑干脆带回家中；6、电脑易手后,原来的资料没有处理,导致泄密：7.W1.意将文件设成共享，导致非相关人员获解资料：8、移动存储设在共用，导致非招美人员获得资料：9、将自己的笔记本带到公司,连上局域网，窃取资料：10、趁同事不在,开启同事电脑.阅读、复制同事电脑里的资料：IK非法进入公司盗走目标机密或机密段体：12、网络黑客通过网络诳入企业内部同络，地取机密文件；13、病毒、木马非法窃取文件。四'公司目前的信息管理现状由于公司目前信息化还未到件及的程度，加上对此的虫视程度和投入力度都远远不够，所以总的来说，公司目前的管理是比较落后的，许多地方都是整管理维护人员手动来限制，不但效率不拓,而且隐患和弊端也不少.目前公司网络应用主要有四个区域：佳美购物.利生科技,行政、财务和数码，以及各地分支机构，具体管理状况如下；XX购物主要包括下面三个方面： IT设备（服务器、网络'存储等 Ca1.1.eemer资源（语音中继线路、可编程智能语音交换机、CT1.等） 业务应用（BAS软件系统目前管理状况：1、BAS系统权限设置状况：超级管埋员两个（XX和XX），管理员（各部门经埋和特别应用人员），操作员（座席）。权限说明a）超级管理员：具有一切权限.b）部门管理员：可付对本部门的通话、销售等进行查询和统计，安排平择.听取本部门员工录音,撤销、修改错单等。c）操作员：接战,查询自己精何状况.d）数据导出权限开通状况：超级管理员,XX（与XX物流接洽）2,网络方面部门羟理、XX（负员与XX对接）可访问外网，座席全部与外网隔绝3、存储方面全部电脑移动存储接口全部屏做.U盘、移动硬盘、存储卡等存储设备均不能用.4、服务涕方面服务器由专人维护，须要远程维护时才向软件开发商指定人凡开放对外接口，平常与外界隔绝，XX科技由于XX科技的客户资源全郃是注册于XX总部的服务器，主要针对他们的网络应用进行适当的限制，以潮开员工在上班的时候从1K与工作无关的内容，站合他们部门经理的看法，除由管组以上人员和一些讲师以外，一般员工只有连接XX软件和XX点页的权限.行政、XX和财务适当屏蔽了一些网站和资源，电脑运用方面则是各人保管自己运用的电脑密码，专人专用. 各分支结构由于目前各分支站构都是独立的网络，没有与公司总部形成干腌联系，所以无法对其进行限制和监控。五、公司将来的信息平安管理方案计对公司F1.前的现状和当前企业信息平安面临的产爆形式，我认为，必需从管理和技术两方面入手。 管理方面信息平安管理所面对的三个重要对象分别是：人员、数据和技术资源，针对这三个对象的信息平安管理措施须要与其管理流程相M套.。针对人员的管理 公司建立一-整套规范的平安保密制度并严格执行. 相关员工一律签必保密合同，定期进行保密:教化，使他们相识到保密工作的尤要意义. 新入职员工一律签署保密合同，并接受公司创T信息管理制度的学习。 新入职员工需运用电脑者,一律埴耳4电脑领用申请表$令计对数据和技术资源的管埋 数据集中管理，完善服务器，各部门重要文件全部存放于眼务器的相应书目，工作站电脑仅共H常工作运用,不做任何重要文件的存储 建立机房管理制度,加强机房平安管理，服务器指派专人维护.除系统维护员进行日常维护之外，其余人等不得接触限务器。 严格限制上网权限，原则上，私人携带的电箫不允许运用公司内网资源，如有特别需求，报相关部门批准,并做相应技术手段处理后方可入网. 制订信恩平安击任准则：责任与问便职说相关,而不是与人员相关，岗位变更，贡任的之变更；管理制度与员任相关，而任不同，适用的管理制度不同针对公F打印机、空印机等打印资源的管理 建立相关的外设管理条例和条规，煌则上各工作站不允许幼意连接打印机，如需打印权限，可先在信息部领取4:打印权限开通申请表h阐述打印需求，经行政部审批通过之后,南信息部记录备案.再与其连接指定的打印机. 亚印机由专人管理,全部复印的文件或资料须具体记录在案，包括史印内容，时间等等.。计对U盘、移动硬盘、各种内存卡等移动存儡设第的运用管理 建立相关的移动存储设备管理条例和条规,原则上各工作站不允许随港运用USB接II,如需运用移动存储设备，可先在信息部领取WSB接口开通申语表上经行政部审批通过之后，由信息部记录翁案，再与其开通USB接口。技术方面改善网络结构，配置特地的技术设备，通过相应技术手段封锁各种可能滑密的途径，考虑到一线成本因素，井结合公司现在及以后发展的实际状况，总体的网络布局构思如下：一、外网管理在公司内网与internet之内，增加一台企业级防火墙，其主要作用有以下几个方面；可防范来自外网的各种攻击、精毒木马公F信息化普及后,通过VPN专用通道.可使各地分支结构平安访问公司内网资艰府内网用户的QQ、MSN等闹聊工具和邮件内容进行过渡,避开内部人员通过利用Intemet泄密合理安排网络带宽，对一些与工作无关的内容进行封锁”严格限制上网权限全部须要上网的用户描要填£上网权限开通申请发.操作流程：先在伯总部领取衣格，网述上网理由和上网的具体需求，经行政部审批通过之后，再报信息部记录需案，然后开通相关的上网权跟.，假如采纳VPN方式连接各个子M.须要运用VPN的用户都要填写HPN权限开遹申请表,羟行政部审批通过之后，再报信息部记录备案，然后领取VPN用户名和密码及运用说明，二、内M管理变更现有的弟一工作组模式，添加域服务器，采纳域管理，其优点如下：1、权限管理比较集中，管理成本大大下降。 域环境,全部网络资源,包括用户，均是在域限制器上维护.便于集中管理.全部用户只要登入到域,在域内均能进行身份验证，管理人员可以较好的管埋计算机资源,管埋网络的成本大大降低， 防止公司员工在客户端乱装软件，能够增加客户端平安性、削减客户端故障，降低维护成本.2、平安性加强，有利于企业的一些保客资料的管理,比如说某个盘某个人可以进.但另一个人就不行以进：哪一个文件只让哪个人看：或荷让某些人可以看,但不行以删/改/移等. 可以对抻客户端的USB端口，防止公司机密资料的外泄,3、运用漫游账户和文件央理定向技术. 个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加平安,有保障.当客户机故障时，只需运用其他客户机安装相应软件以用户就号登录即可,用户会发觉自己的文件仍IH在“原来的位置”（比如,我的文档）,没有丢失.从而可以更快地进行故障修坡. 荏影副本技术可以让用户自行找回文件以前的版本或者误删除的文件（限保存过的32个版本）。在服务零黑线时（故障或其他状况“脱机文件夹”技术会自动让用户运用文件的本地缓存版本接着工作，并在注箱或登录系统时与服务器上的文件同步,保证用户的工作不会被打断，4、使利用户运用各种资源. 可由管理员指派登录脚本映射分布式文件系统根竹目，统管理。用户登录后就可以像运用本地盘籽一样,运用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可. 并且各种资源的访问、读取、悔改权限均可设置，不同的账户可以有不同的访问权限.即使资源位置变更，用户也不需任何愫作，只衢管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位理的变更，不用像从前那样,必需记住哪些资源在哪台服务器上.5、SMS（SystemManagementServer）能物分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装.并能集中管理系统补（如WindoWSUpdates）.不需秘办客户端服务零都下载同样的补丁.从而节约大盘网络带宽,6、信息的平安性大大增加安装活动书目后信息的平安性完全与活动书目集成,活动书目集中限制用户授权,进行取制不仅仅在每一个书目中的对飘上定义，而旦还能在每一个对象的每个屈性上定义.除此之外，活动书日还可以供应存储和应用程序作用域的平安策略，供应平安策略的存储和应用范困。平安策略可以包含怅户信息，如域范国内的密码限制或对特定域资源的访问权限等.具体应用：比如在工作组下面有3分计算机,分别是A、B.C,各有一个帐号a、b.c.超如B上有一个文档要给a用户访问，b就要在8计算机上创建一个帐号a'给a.让a用a'去访问，或者b把自己的帐号的码告知a,让a来访问，同理，其他资源也是一样处理.果就是短一个用户要记好几个帐号密码来访问不同的资源,或者就是网络里有许多额外的帐号密码存在,或者许多人的密眄告知给共他人,最终网络平安变成一句空话.但是假如实现了域就不一样了，b只要在资源上设苴a的访问权限就可以了，不用额外创建帐号，也不用把自己的帐号密码告知别人，a来访问的时候,