企业信息安全解决方案456.docVIP

企业信息安全解决方案456 企业信息安全 解决方案白皮书 目录 1 概述 3 1.1 1.2 1.3 信息安全面临的难题分析 3 如何实现高效卓越的企业信息安全体系 4 信息安全方案特点 6 1.3.1 设计基本原则 6 1.3.2 建设目标及要求 7 安全体系基本 Page 2 of 22 1 概述 1.1 信息安全面临的难题分析 网络带给人们很大便利，但互联网是一个面向大众的公开网络，存在安全隐患。网络的安全形势日趋严峻，对很多公司来说，信息安全不仅是挑战技术，更是生存的历练。 一般来说，公司关注的安全威胁包括下面几种（按照关注程度从高到低排序）： ? ? ? ? ? ? ? ? ? ? ? ? 病毒或蠕虫 间谍软件/流氓软件 垃圾邮件 未经授权的雇员对文件或数据的访问 外部人员偷窃客户数据 网络钓鱼和域欺骗 带有公司数据的可移动设备遗失或失窃 知识产权失窃 拒绝服务攻击或其他网络攻击 僵尸网络对IT资源的远程控制 对无线/RFID系统的攻击 VoIP入侵 公司在安全防范方面进行投资以期获得回报，一般来说，是为了达到几个目的： ? ? ? ? ? ? ? 员工处理安全相关问题的时间减少 更好地保护客户数据 安全漏洞减少 网络宕机时间减少 改进对知识产权的保护 采取更好的风险管理策略 用于处理偶发时间的时间减少 － Page 3 of 22 这些年来，一系列财务失败事件的发生加强了人们对企业风险的关注。美国在2002年颁布了《萨班斯-奥克斯利法案》，我国相关部委也发布了有着中国萨班斯法案之称的《企业 Page 4 of 22 首先，基于企业自身安全方面的成熟度和企业信息安全需求，结合国家和行业政策标准要求，进行合理评估，制定最佳的安全策略和风险防御计划。 在瞬息万变的形势下，企业应从整体角度考虑信息安全的投资和安全保障风险的价值，制定符合自身需求的安全策略和风险防御计划，并随着市场压力的变化和业务目标的调整，不断调整企业自身的应对策略，追求安全能力的动态平衡。企业的治理活动包括设定经营战略和目标,确定风险偏好。制定 Page 5 of 22 进行日常运营和持续改进。 在整个安全体系的建立过程中，应重点梳理业务系统相关实施与运维支持相关的制度和流程，以 Page 6 of 22 ? 符合性、标准化与规范化原则 依据国家信息安全政策、符合相关法规标准要求。安全体系的整体设计要求基于国际标准和国家颁布的有关标准（比如：等级保护、分级保护、SOX、企业 Page 7 of 22 1.4 安全体系基本 Page 8 of 22 1.6 信息安全 通用方案 1.6.1 安全系统架构 一般来说，信息系统在网络布局上包括了互联网、专网、局域网；在业务类型上分为公开信息系统和受控信息系统；在数据存储和传输上分为可公开资源和保护资源，为此将交易系统安全架构分为：网络系统安全、应用系统安全和数据安全。 应从安全管理机构、安全管理制度、安全管理技术和安全教育培训等方面加强信息管理系统的安全性。安全系统从架构上分为多层，每个安全层有各自的功能和作用范围，如下图所示。 － Page 9 of 22 ? 网络系统安全 边界安全防护：为信息管理系统网络系统提供基本防护服务，包括防火墙、入侵检测。 操作系统安全保护：漏洞扫描、防病毒、网页防篡改等。 故障恢复和备份服务：保证出现意外事故时系统运行的连续性，信息系统应具备可靠、可查、可恢复等。 ? 应用系统安全 认证与授权：为应用系统提供身份认证、授权服务和访问控制等。 ? 数据安全防护 数据安全防护：主要提供包括加解密、签名及签名验证等安全服务，以支持信息的机密性、完整性和不可抵赖性。 ? 安全管理系统 从行政管理和制度建设方面全面建立安全管理系统。 ? 安全信任系统 构筑安全信任系统，通过PKI、密码服务系统的建设保障身份认证、权限认证、和