《企业内部信息安全管理体系30820.docx》由会员分享,可在线阅读,更多相关《企业内部信息安全管理体系30820.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、企业内部信信息安全全管理体体系建议书北京太极英英泰信息息科技有有限公司司目 录1理昌科科技网络络现状和和安全需需求分析析:31.1概概述31.2网网络现状状:31.3安安全需求求:32解决方方案:4.1 总总体思路路:42.2TTO-KKEY主主动反泄泄密系统统:52.2.11系统结结构:52.2.22系统功功能:62.2.33主要算算法:72.2.44问题?72.3打打印机管管理82.3.11打印机机管理员员碰到的的问题82.3.22产品定定位82.3.33产品目目标82.3.44概念TTO-KKEY电电子钥匙匙预付费费92.3.55功能93方案实实施与成成本分析析101 企业网络现现状和安
2、安全需求求分析:1.1 概述调查表明:80%的信息息泄露来来自内部部。我国国著名信信息安全全专家沈沈昌祥先先生说:“目前我我国信息息安全的的最大问问题是:安全威威胁的假假设错误误!我们们总是假假设会受受到来自自外部的的攻击,而而事实上上80%的信息息泄露是是由内部部或内外外勾结造造成的。对于一个企企业而言言,其核核心的技技术和市市场、财财务等资资料都是是企业核核心的竞竞争力。但但是在市市场竞争争和人才才竞争日日益激烈烈的今天天,企业业不得不不面对这这样的严严峻形势势:1、 核心技术和和公司其其他资料料必定要要受到竞竞争对手手的窥视视。2、 人才的自由由流动,以以及竞争争对手通通过收买买内部线线
3、人窃取取资料。3、 内部人员由由于对公公司的不不满,而而采取的的破坏行行为。而另外一方方面,随随着计算算机的普普及和信信息化的的发展,采采用信息息化技术术实现企企业的管管理、电电子商务务以及产产品的设设计和生生产又成成为企业业提高效效率和竞竞争力的的有利手手段。显显然,企企业需要要解决这这样一个个矛盾:在充分利利用信息息化所带带来的高高效益的的基础上上,保证证企业信信息资源源的安全全!理昌科技作作为一家家专业从从事保险险带产品品开发和和生产的的外资企企业,公公司凭借借其雄厚厚的技术术实力在在行业内内具有很很高的市市场地位位。为了了保护其其核心技技术,增增强核心心竞争力力。公司司在现有有网络信信
4、息的基基础上,提提出防泄泄密的需需求。我我们根据据理昌科科技的需需求,并并结合我我们的行行业经验验,提出出了下面面的方案案。1.2 网络现状:公司组成局局域网,内内部人员员通过局局域网上上网,内内部具有有多个网网络应用用系统。在在内部部部署有网网络督察察(网络络行为监监控系统统)能记记录内部部人员网网络行为为。1.3 安全需求:公司安全的的总体需需求是:“杜绝内内部人员员主动和和被动的的对外泄泄露公司司核心信信息的任任何企图图”。根据据此总体体需求,和和目前的的网络现现状,我我们可以以从下面面几个方方面去考考虑信息息泄露的的途径:l 通过网络方方式将信信息发送送出去,包包括MAAIL、QQQ、
5、MMSN、FFTP等等多种文文件传输输方式。l 通过对内部部网络的的窃听来来非法获获取信息息l 内部人员在在其他人人的计算算机上种种植木马马,引导导外部人人员获取取机密信信息。可可以有效效逃避网网络督察察的监控控。l 内部人员将将文件以以密文方方式发送送出去,也也能逃避避网络督督察的监监控,网网络上的的加密工工具太多多了。l 通过COPPY方式式将文件件传送出出去。l 非法获取内内部非自自己权限限内的信信息,包包括获取取他人计计算机上上的信息息以及越越权访问问服务器器上的信信息等。l 网络管理人人员将服服务器上上的信息息复制出出去。l 制造计算机机硬盘故故障,将将硬盘以以维修的的理由携携带出去
6、去。l 制造计算机机故障,以以维修的的理由,将将计算机机带出公公司l 内部的高级级人员携携带笔记记本外出出后丢失失或主动动将重要要资料泄泄露出去去。l 通过打印机机将重要要的文件件如图纸纸、招标标文件等等打印后后携带出出去。很显然除了了上面所所提及的的技术手手段外,还还应该从从公司的的整个管管理和企企业文化化等多个个角度去去考虑,显显然良好好的管理理手段配配合有效效的技术术手段,防防止内部部人员的的泄密是是完全可可以防止止的!我们采用打打印机管管理系统统和内部部主动反反泄密系系统可以以有效杜杜绝上面面所涉及及的泄露露途径。需要说明的的是,现现有的网网络督察察,已经经能成功功的解决决通过内内部网
7、络络泄露的的很多问问题。2 解决方案:.1 总总体思路路:通过密码算算法技术术,对文文件的实实现加密密传输和和存储。文文件的解解密必须须得到相相应的授授权和一一定的条条件。一一旦没有有授权或或条件不不存在,文文件的存存储就以以密文方方式存在在,即使使获得文文件也因因无法解解密而无无效。文文件加密密采用1168位位的3DDES国国际通用用密码算算法。2.2 TO-KEEY主动动反泄密密系统:2.2.1 系统结构:TO-KEY电子钥匙整个系统包包括:TTO-KKEY电电子令牌牌,主动动防泄密密客户端端软件,主主动防泄泄密管理理软件,文文件审批批系统(网网络软件件),数数据库(密密钥管理理、审计计等
8、信息息) 其中:TO-KEEY电子子令牌实实现文件件加密和和密钥存存储功能能。由于于TO-KEYY电子令令牌与计计算机的的结合,使使计算机机成为一一个特定定的计算算机硬件件设备。主动防泄泄密客户户端软件件实现个个人计算算机文件件的管理理。对于于文件的的传输、CCOPYY以及以以什么方方式进行行传输等等进行控控制。可可以实现现对所有有文件的的控制和和管理。同同时也是是作为文文件审批批系统的的客户端端。用户户可以通通过该软软件向部部门领导导提出对对文件传传输或CCOPYY的申请请,由管管理员提提供授权权。只有有被授权权的文件件才能被被传输或或COPPY,并并能被解解密!主动防泄泄密管理理软件负负责
9、接受受客户端端的审批批请求,对对文件做做出传输输、COOPY授授权。可可以指定定什么文文件,在在什么情情况下,允允许COOPY或或传输,同同时对文文件进行行加密和和完整性性认证!确保只只有被指指定的文文件才能能进行操操作!管理软件同同时能查查看客户户端的文文件操作作行为!文件审批批系统建建立起一一个对文文件操作作权限进进行审批批的管理理流程。数据库用用于密钥钥的存储储和审计计信息的的存储。2.2.2 系统功能:1) 在默认状态态下,所所有的文文件只能能在内部部权限域域内复制制和传输输!对外外的传输输和复制制均无法法实现!2) 文件传输管管理,只只开放几几个基本本的协议议端口,包包括:HHTTP
10、P、FTTP、PPOP33、SMMTP等等,对于于其他的的端口全全部封闭闭。对于于通过这这些端口口进行传传输的文文件,全全部进行行加密控控制和管管理。3) 客户端软件件安装后后,自动动信任本本地硬盘盘驱动器器,对于于其他的的存储设设备,全全部进行行COPPY加密密管理,同同时将本本地的硬硬盘驱动动器进行行加密。4) 所有文件的的对外CCOPYY、传输输均必须须得到管管理员(公公司领导导)的授授权,否否则一概概无法实实现文件件的传输输和COOPY!授权的的同时,文文件会自自动形成成密文包包,同时时对文件件进行完完整性认认证,确确保只有有被授权权的文件件才能出出内部网网络。5) 管理员可以以设置内
11、内部的权权限域,在在内部权权限域的的传输,可可以由用用户自己己定义文文件的解解密授权权!6) 所有的文件件传输或或COPPY操作作,均有有审计备备份!7) 所有的计算算机必须须插TOO-KEEY 电电子钥匙匙才能使使用(一一把钥匙匙对应一一台计算算机),拔拔KEYY 后,计计算机将将进入锁锁定状态态,无法法使用。8) 用户无法自自己卸载载软件,而而且一旦旦软件没没有运行行,硬盘盘将无法法正常读读取文件件,同时时网络监监控和管管理中心心就会报报警。9) 用户也无法法自己安安装应用用软件,必必须获得得管理部部门的授授权,才才能安装装、使用用。10) 内部计算机机一旦脱脱离了内内部网络络,文件件将无
12、法法实现解解密,所所以即使使将计算算机带回回家,也也没有办办法啦。2.2.3 主要算法法:对称算法:3DEES、RRC4 公私钥算法法:RSSA10024摘要算法:MD55、SHHA-11 2.2.4 问题?1、 文件出了内内部网络络(无论论是COOPY还还是网络络发送或或网络窃窃取),文文件将以以密文方方式存在在,无法法解密,如如何解决决正常文文件的发发送问题题?所有正常文文件的发发送,均均由内部部人员向向专业管管理人员员提出申申请,得得到授权权后,可可以获得得明文或或授权密密文发送送。内部部管理系系统会自自动记录录整个申申请和审审批的过过程。2、 内部人员的的笔记本本如果携携带出去去,文件
13、件就无法法使用了了吗?内部人员携携带的笔笔记本,可可以设置置成特定定机器模模式,也也就是文文件在该该机器上上都是有有效的,一一旦出了了该机器器,文件件将无法法解密。也也就是说说,即使使将笔记记本携带带出去,笔笔记本所所有者也也无法将将文件泄泄露出去去。一旦旦笔记本本被偷,由由于还有有TO-KEYY电子钥钥匙的保保护,所所以仅仅仅有笔记记本,文文件也是是密文,别别人获取取不了有有效的文文件。3、 内部机器需需要安装装应用软软件怎么么办?内部人员需需要安装装软件,需需要得到到专业管管理人员员的授权权,自己己是无法法安装应应用软件件的。这这样还可可以避免免病毒和和木马等等程序的的运行。4、 TO-K
14、EEY电子子钥匙丢丢失怎么么办?公司有密钥钥备份,丢丢失后,通通过一定定的程序序申请后后,可以以重新配配一把钥钥匙。5、 人员自己废废除在自自己计算算机上的的安全管管理软件件怎么办办?软件运行在在后台,具具有再生生功能,同同时一旦旦程序运运行不正正常,那那么网络络上的管管理中心心就会发发现并及及时报警警,同时时所有文文件均无无法打开开。3 项目的实施施项目实施包包括:安安装、调调试、培培训等过过程。安装:包括安装客客户端软软件、分分级管理理员软件件、数据据库、以以及审批批系统软软件。设置,包括括对客户户端和分分级管理理员软件件进行设设置,并并初始化化数据库库。设置置包括:内部权权限域的的划分,
15、建建立权限限库等!该过程一般般需要33天时间间培训:内部人员员的培训训和管理理员的培培训该过程一一般需要要2天时时间4 操作说明1) 文件对外传传输或CCOPYY申请: 第第一步:申请客户端需要要对外传传输或者者COPPY文件件,可以以通过其其客户端端软件填填写申请请表。申申请表包包括:文件属性性:文件名、后后缀名、时时间(可可以是多多个文件件)申请项目:明文传输、密密文授权权传输、明明文COOPY、密密文授权权COPPY、有有效时间间、执行行人、接接受人、传传输方式式、COOPY方方式等附所有文文件。第二步:授权 管理人人员受到到请求后后,对文文件进行行抗抵赖赖性处理理,并生生成一个个审批结
16、结果文件件,连同同审批结结论一并并通过审审批系统统传输给给申请人人。如果果以密文文传输,由由管理员员生成密密文,并并进行授授权后,返返回给申申请人。 第三三步:导导入申请人通通过客户户端软件件导入审审批结果果文件。 第四四步:文文件操作作根据审批批结论,对对文件进进行传输输或COOPY操操作。 系统统对整个个过程进进行记录录,同时时在进行行传输和和COPPY前,对对文件的的完整性性进行验验证!2)文件的的内部权权限域内内传输或或者COOPY首先进行授授权加密密,指定定内部权权限域的的接受人人!除了对外的的文件传传输或CCOPYY,用户户使用计计算机与与以前没没有区别别。只是是将计算算机带出出或将硬硬盘带出出后,文文件将无无法使用用。3) 密钥钥恢复内部人员离离开公司司或密钥钥丢失,此此时可以以启动密密钥备份份系统。密密钥备份份系统可可以复制制出一对对密钥,还还可以重重新配制制一个KKEY。但但是密钥钥备份系系统的使使用需要要有2个个管理员员分别插插入对应应的KEEY并输输入PIIN码才才能使用用。