企业内部信息安全管理体系.docVIP

企业内部信息安全管理体系 建议书 北京太极英泰信息科技有限公司  目 录 1 理昌科技网络现状和安全需求分析： 3 1.1 概述 3 1.2 网络现状： 3 1.3 安全需求： 3 2 解决方案： 4 ２.1 总体思路： 4 2.2 TO-KEY主动反泄密系统： 5 2.2.1 系统结构： 5 2.2.2 系统功能： 6 2.2.3 主要算法： 7 2.2.4 问题？ 7 2.3 打印机管理 8 2.3.1 打印机管理员碰到的问题 8 2.3.2 产品定位 8 2.3.3 产品目标 8 2.3.4 概念—TO-KEY电子钥匙预付费 9 2.3.5 功能 9 3 方案实施与成本分析 10  企业网络现状和安全需求分析： 概述 调查表明：80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说：“目前我国信息安全的最大问题是：安全威胁的假设错误！我们总是假设会受到来自外部的攻击，而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言，其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天，企业不得不面对这样的严峻形势： 核心技术和公司其他资料必定要受到竞争对手的窥视。 人才的自由流动，以及竞争对手通过收买内部线人窃取资料。 内部人员由于对公司的不满，而采取的破坏行为。 而另外一方面，随着计算机的普及和信息化的发展，采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然，企业需要解决这样一个矛盾： 在充分利用信息化所带来的高效益的基础上，保证企业信息资源的安全！ 理昌科技作为一家专业从事保险带产品开发和生产的外资企业，公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术，增强核心竞争力。公司在现有网络信息的基础上，提出防泄密的需求。我们根据理昌科技的需求，并结合我们的行业经验，提出了下面的方案。 网络现状： 公司组成局域网，内部人员通过局域网上网，内部具有多个网络应用系统。在内部部署有网络督察（网络行为监控系统）能记录内部人员网络行为。 安全需求： 公司安全的总体需求是：“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求，和目前的网络现状，我们可以从下面几个方面去考虑信息泄露的途径： 通过网络方式将信息发送出去，包括MAIL、QQ、MSN、FTP等多种文件传输方式。 通过对内部网络的窃听来非法获取信息 内部人员在其他人的计算机上种植木马，引导外部人员获取机密信息。可以有效逃避网络督察的监控。 内部人员将文件以密文方式发送出去，也能逃避网络督察的监控，网络上的加密工具太多了。 通过COPY方式将文件传送出去。 非法获取内部非自己权限内的信息，包括获取他人计算机上的信息以及越权访问服务器上的信息等。 网络管理人员将服务器上的信息复制出去。 制造计算机硬盘故障，将硬盘以维修的理由携带出去。 制造计算机故障，以维修的理由，将计算机带出公司 内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。 通过打印机将重要的文件如图纸、招标文件等打印后携带出去。 很显然除了上面所提及的技术手段外，还应该从公司的整个管理和企业文化等多个角度去考虑，显然良好的管理手段配合有效的技术手段，防止内部人员的泄密是完全可以防止的！ 我们采用打印机管理系统和内部主动反泄密系统可以有效杜绝上面所涉及的泄露途径。 需要说明的是，现有的网络督察，已经能成功的解决通过内部网络泄露的很多问题。 解决方案： ２.1 总体思路： 通过密码算法技术，对文件的实现加密传输和存储。文件的解密必须得到相应的授权和一定的条件。一旦没有授权或条件不存在，文件的存储就以密文方式存在，即使获得文件也因无法解密而无效。文件加密采用168位的3DES国际通用密码算法。 TO-KEY主动反泄密系统： 系统结构： 整个系统包括：TO-KEY电子令牌，主动防泄密客户端软件，主动防泄密管理软件，文件审批系统（网络软件），数据库（密钥管理、审计等信息） 其中： TO-KEY电子令牌实现文件加密和密钥存储功能。由于TO-KEY电子令牌与计算机的结合，使计算机成为一个特定的计算机硬件设备。 主动防泄密客户端软件实现个人计算机文件的管理。对于文件的传输、COPY以及以什么方式进行传输等进行控制。可以实现对所有文件的控制和管理。同时也是作为文件审批系统的客户端。用户可以通过该软件向部门领导提出对文件传输或COPY的申请，由管理员提供授权。只有被授权的文件才能被传输或COPY，并能被解密！ 主动防泄密管理软件负责接受客户端的审批请求，对文件做出传输、COPY授权。可以指定什么文件，在什么情况下，允许COPY或传输，同时对文件进行加密和完整性认证！确保只有被指定