公司网络及信息安全解决方案典型案例资料.ppt

目录 安全现状及挑战 第一期整体安全解决方案规划 未来安全解决方案展望 安全已经不仅是技术问题 正在转向经济获益，且愈演愈烈； 企业内控的发展历史 企业成长与信息技术 XXX公司信息系统面临的挑战 需要为多种复杂应用提供方便、快捷的远程访问接入 随时随地可以访问公司内部业务系统：DRP、ERP、OA… 移动便携机满足出差人员外出办公 合作伙伴等外来计算机需要接入公司网络 需要控制由访问范围扩展、访问环境复杂化所带来的安全风险 非授权访问 网络滥用 外部或分支机构访问公司业务信息可能导致的信息泄密 便携机外出办公可能导致的信息泄密 公司内部网络在邮件外发或者USB等移动存贮设备导致的信息泄密 公司核心业务系统的安全保障 核心业务数据的灾备 核心业务系统的入侵防护 WEB及数据库安全防护 网络及信息安全制度，保证公司IT系统安全运行 目录 安全现状及挑战 第一期整体安全解决方案规划 未来安全解决方案展望 网络拓扑_改造前 网络拓扑_改造后：网络出口防火墙保护、划分安全域隔离、分支及 移动便携、sohu接入终端VPN控制 业务系统安全域隔离解决方案 面临问题： 如何实现不同安全等级部门及外部共享区的隔离，提高系统的安全性 解决方案 划分不同的业务IP网段,,保证各业务系统区域之间的访问控制,划分为销售,研发,财务等部门 移动办公用户通过用户名进行部门区分,动态分配所属区域IP地址 将Web网站,,文件,邮件服务器部署在防火墙的DMZ区域,提供对外访问 在总部使用专业防火墙实现业务系统的安全域隔离，在分支机构采用分支防火墙保证分支机构的安全 总部专业防火墙需新购买，同时将10M专线和ADSL上internet两个出口管理起来，目前还有一台sonicwall TZ170防火墙可以放到分厂或大分支机构使用，在分厂和大的分支机构需新购买小型分支防火墙。 移动办公/SOHU接入安全解决方案 面临问题 出差人员需要便携机接入公司网络，有些工作人员需要在家或宾馆利用外部电脑接入公司网络，如何保证公司核心机密信息的泄露？ 解决方案 借用公司便携机出差人员安装IPSEC VPN客户端接入公司网络，并同时配发软Token软件甚至硬TOKEN卡加强身份验证安全性； Sohu接入公司网络人员，通过SSL VPN接入公司，无需安装客户端，保证公司业务安全； 分支机构VPN互联 面临问题 分支机构需要接入到总部ERP、DRP、OA系统，如何保证网络传输中的信息安全？ 解决方案 某些大的分支机构需要使用硬件VPN网关接入到总部，如上海、北京； 小的办事处/分支机构使用软VPN接入到公司网络； 目前总部和分厂已经使用VPN互联，需要扩容，解决某些分支机构没有通过VPN联入公司的漏洞 终端接入及行为管控安全方案 需要解决的问题 需要对接入公司网络的身份、合规性就行验证，防止外来人员接入网络，防止计算机软件不合规引发网络故障，知识产权泄露； 对接入网络的终端上网行为就行管控，提高工作效率，防止信息通过移动存贮介质、即时通讯软件、WEB、EMAIL等途径泄露公司核心机密； 资产管理； 解决方案 公司目前已经使用IP-Guard软件对部分电脑终端进行管控，需要补充移动终端的控制，增加license数，并且要使用接入控制功能。 数据防泄露方案－－总体需求 数据防泄露方案－重要数据集中加密控制 数据防泄露方案－便携机控制 数据防泄露方案－Sohu办公 重要数据防泄露方案－－内部文件流转控制 在公司内部通过OA或者企业邮箱，文件共享等方式交流文档也要进行分级权限控制。 通过信息安全制度的宣传及信息安全专员的审计，要求公司内部对涉及相应密级的文档使用权限管理系统加密并设置其它同事对文档的权限，控制在内部信息不受控的传播。 目录 安全现状及挑战 第一期整体安全解决方案规划 未来安全解决方案展望 信息安全控制模型 信息系统控制关键环节 安全业务涉及的管理及技术手段 随着企业信息化的深入,根据企业信息化发展的阶段,选择最为恰当的安全技术手段,为企业战略实现提供有力支撑. IT整体安全建设发展阶段 XXX公司安全建设3～5年规划 深化方案－WAN加速解决方案 有效降低企业租用专线成本 业务系统向SAP切换增加网络负荷 提升网络速度，缓解网络压力;目前分支机构只有少量计算机通过VPN接入总部，如果全部接入压力倍增 点对点部署 深化方案－网络入侵检测 深化方案－邮件审计及垃圾邮件防护 深化方案－单点登录SSO 固化方案－统一的安全事件管理 固化方案－建立健全持续优化机制 预算编制参考 深化方案－WEB应用防火墙 Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻 防止网页篡，影响企业形象 W