公司内部信息安全方案.pdf

公司内部信息安全及管理解决方案 Ver 1.0 2011/2/26 Internal Confidential Document 1|P a g e 目录 第一章 引 言 3 第二章 公司内部信息安全方面所面临的潜在威胁 3 第三章 公司内部信息安全方案设计 4 Internal Confidential Document 2|P a g e 一. 引言 随着国内信息技术的飞速发展，企业之间的业务来往越来越多地依赖于网 络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用 明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取 等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。因此 必须利用信息安全技术来确保网络的安全问题，并且利用软硬件来监控和控制网 络的运行。 目前企业信息化的安全威胁主要来自以下几个方面：一是来自网络攻击的威 胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们 的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假 冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病 毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。 二. 公司内部信息安全方面所面临的潜在威胁 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面 临更加严重的安全威胁。网络系统中办公系统及员工主机上都有涉密信息。假如 内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一 网络上的许多其他系统。 2.内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机 构内部局域网的威胁包括：误用和滥用关键、敏感数据；内部人员故意泄漏内部 网络的网络结构；内部不怀好意的员工通过各种方式盗取他人涉密信息传播出 去。 3.网络设备的安全隐患 网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，可能由 于疏忽或不正确理解而使这些设备可用但安全性不佳。 4.电脑操作系统的存在的安全隐患 所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标， 一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考 虑，很多不必开放的端口隐含了潜在的安全风险。 5.应用层存在的安全隐患 Internal Confidential Document 3|P a g e 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安 全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全 措施，降低应用的安全风险。 文件服务器的安全风险：办公网络应用通常是共享网络资源。可能存在着员 工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部 人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问 控制策略。 数据库服务器的安全风险：内网服务区部署着大量的服务器作为数据库服务 器，在其上运行数据库系统软件，主要提供数据存储服务。数据库服务器的安全 风险包括：非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务 器本身存在漏洞容易受到攻击等。数据库中数据由于意外（硬件问题或软件崩溃） 而导致不可恢复，也是需要考虑的安全问题。 病毒侵害的安全风险：网络是病毒传播的最好、最快的途径之一。病毒程序 可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入 内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染， 则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可 能造成信息泄漏、文件丢失、机器死机等不安全因素。 6.日常管理上的安全隐患 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设