集团公司信息安全体系.pptVIP

信息安全体系 信息安全的原则 安全性 必须充分满足业务安全需求 易用性 在安全的前提下最大限度的满足业务运作的需要，并且安全产品及相关设备应该可以方便的管理 可扩展性 可根据信息安全变化不断调整安全措施，满足新的系统安全需求 信息安全体系 网络安全 服务器和工作站安全 用户安全 应用程序和服务安全 数据安全 安全管理 一、网络安全 二、服务器和工作站安全 三、用户安全 四、应用程序和服务安全 五、数据安全（数据库、文档） 六、安全管理 鹰泰信息安全现状 现状 一、网络 总部局域网没有实施网络隔离 分公司与总部的信息传递通过Internet无加密传输 网络边界防护需要加强 数据中心（IDC） ：只安装了一台部门级的防火墙 总部：与数据中心（IDC）通过路由器连接，与Internet通过一台小型防火墙连接。 分公司：只有部分分公司有安装防火墙 现状 二、服务器与工作站 分公司防病毒情况较难控制 没有进行详细的漏洞扫描 服务器、桌面PC（笔记本电脑）没有全部安装安全补丁 没有相应的行为准则去规范谁可以使用电脑和任意安装程序 对资源的授权访问比较随意 现状 三、用户 对网络用户、邮件用户、应用系统用户等没有统一的用户管理机制 只有用户名/口令的身份验证机制，没有采用更高级的 现状 四、应用程序和服务 应用（系统）的授权没有严格的审批流程 同一用户在不同的应用（系统）中存在多个账号和口令 用户帐号的口令没有强制性限定，不少账号的口令容易被猜测出来 现状 五、数据 数据库和数据的管理没有明确的职责划分，数据权限比较分散 没有统一的文档管理制度和手段，文档分散在个人手中 只有基本的数据库备份机制，没有文档备份的机制 缺乏数据保存的机制 现状 六、管理制度 缺乏相应的安全管理策略和制度 缺乏对公司员工的信息安全培训 缺乏完善的应急响应制度和方案 缺乏对相应安全事件的追踪审计制度 信息安全建设思路 统一规划、分步实现，同步建立相应的管理制度与规范 信息资产分析评估：对全网络的信息资产划分等级和分类，给出资产保护重点和损失后的影响程度。 提出安全管理策略：针对网络、服务器与工作站、用户、应用服务、数据、管理制度等方面的安全策略。 安全弱点评估：根据业务对安全的需求，进行关联性的评估，找出信息安全弱点 信息安全建设思路（二） 信息安全培训：对公司管理层、普通员工、信息系统管理人员进行充分的安全培训，提升安全意识 信息安全实现：根据信息安全策略进行安全集成，并建立长期的监控机制 完善信息安全管理制度：制定、完善信息安全管理制度，并逐条进行落实，实现对涉及信息系统的人员的有效管理 信息资产分类 硬件 服务器、桌面PC（笔记本电脑）、网络设备、通讯设备 软件 操作系统（服务器、PC）、数据库系统、Office应用软件、邮件软件 应用服务 邮件系统、BBS、FTP、用友U8财务系统、金算盘物流管理系统、WEB应用、CRM系统、 OA系统、 ERP系统 数据 数据库、文档 管理制度 安全管理策略 网络安全策略 服务器安全策略 桌面PC安全管理策略 笔记本电脑安全管理策略 数据库安全策略 帐户管理策略 安全弱点评估 通过人工分析，和一些必要的技术手段，对包括管理制度在内的信息资产进行分析，评估出信息系统安全各个方面的当前状态、潜在威胁，结合业务对安全的需求，以明确当前状况与策略中制定的目标的差距 为补公司技术人员能力的不足，可能需要考虑借助外部的技术力量进行评估 安全培训 公司管理层 公司普通员工 总部员工 分公司员工 笔记本电脑使用者 信息系统管理人员 信息安全管理制度 电脑与网络使用管理制度 信息安全培训制度 信息系统应急响应制度 信息系统审计制度 人员配备 总部设置信息安全管理员岗位，统筹公司信息安全管理事宜。并对公司信息安全策略和信息系统的安全运行进行日常的监控。 有条件的分公司应考虑设立专人负责分公司的网络及电脑管理，并接受信息管理部的指导。 * 鹰泰数码 信息管理部 绝对安全与可靠的信息系统并不存在，只能做到使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入 正在传输当中的数据不能被读取和改变 安全通信 查明任何非法访问或偶然访问的入侵者，保证只有授权许可的通信才可以在客户机和服务器之间建立连接 入侵检测 什么人和什么内容具有访问权 访问控制 解决的问题 内容 查明任何非法访问或偶然访问的入侵者，保证只有授权许可的用户才能访问系统的资源。 入侵检测 检查系统安全配置的缺陷，发现安全漏洞（如安全补丁的安装） 风险评估 监视系统、使用人员是否严格执行了规定的安全策略 策略审查 控制谁能访问机器或访问者可以干些什么，检测有意或偶然闯入系统的不速之客 访问控制 防止病毒和特洛伊木马的侵入 防病毒 解决的问