公司信息安全解决方案456.doc

－内部资料，注意保密－ Page PAGE 2 of NUMPAGES 22 企业信息安全 解决方案白皮书 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc299459437 1 概述 PAGEREF _Toc299459437 \h 3 HYPERLINK \l _Toc299459438 1.1 信息安全面临的难题分析 PAGEREF _Toc299459438 \h 3 HYPERLINK \l _Toc299459439 1.2 如何实现高效卓越的企业信息安全体系 PAGEREF _Toc299459439 \h 4 HYPERLINK \l _Toc299459440 1.3 信息安全方案特点 PAGEREF _Toc299459440 \h 6 HYPERLINK \l _Toc299459441 1.3.1 设计基本原则 PAGEREF _Toc299459441 \h 6 HYPERLINK \l _Toc299459442 1.3.2 建设目标及要求 PAGEREF _Toc299459442 \h 7 HYPERLINK \l _Toc299459443 1.4 安全体系基本内容 PAGEREF _Toc299459443 \h 8 HYPERLINK \l _Toc299459444 1.5 安全体系结构建议 PAGEREF _Toc299459444 \h 8 HYPERLINK \l _Toc299459445 1.6 信息安全 通用方案 PAGEREF _Toc299459445 \h 9 HYPERLINK \l _Toc299459446 1.6.1 安全系统架构 PAGEREF _Toc299459446 \h 9 HYPERLINK \l _Toc299459447 1.6.2 安全管理系统-制度建设 PAGEREF _Toc299459447 \h 10 HYPERLINK \l _Toc299459448 1.6.3 边界防护设计 PAGEREF _Toc299459448 \h 11 HYPERLINK \l _Toc299459449 1.6.4 系统安全保护 PAGEREF _Toc299459449 \h 13 HYPERLINK \l _Toc299459450 1.6.5 应用系统安全 PAGEREF _Toc299459450 \h 15 HYPERLINK \l _Toc299459451 1.6.6 数据安全防护 PAGEREF _Toc299459451 \h 16 HYPERLINK \l _Toc299459452 1.6.7 安全保障手段和技术方法要求 PAGEREF _Toc299459452 \h 16 HYPERLINK \l _Toc299459453 1.7 信息安全 专项方案 PAGEREF _Toc299459453 \h 17 HYPERLINK \l _Toc299459454 1.7.1 4A安全解决方案 PAGEREF _Toc299459454 \h 17 HYPERLINK \l _Toc299459455 1.7.2 PKI安全解决方案 PAGEREF _Toc299459455 \h 21 概述 信息安全面临的难题分析 网络带给人们很大便利，但互联网是一个面向大众的公开网络，存在安全隐患。网络的安全形势日趋严峻，对很多公司来说，信息安全不仅是挑战技术，更是生存的历练。 一般来说，公司关注的安全威胁包括下面几种（按照关注程度从高到低排序）： 病毒或蠕虫 间谍软件/流氓软件 垃圾邮件 未经授权的雇员对文件或数据的访问 外部人员偷窃客户数据 网络钓鱼和域欺骗 带有公司数据的可移动设备遗失或失窃 知识产权失窃 拒绝服务攻击或其他网络攻击 僵尸网络对IT资源的远程控制 对无线/RFID系统的攻击 VoIP入侵 公司在安全防范方面进行投资以期获得回报，一般来说，是为了达到几个目的： 员工处理安全相关问题的时间减少 更好地保护客户数据 安全漏洞减少 网络宕机时间减少 改进对知识产权的保护 采取更好的风险管理策略 用于处理偶发时间的时间减少 这些年来，一系列财务失败事件的发生加强了人们对企业风险的关注。美国在2002年颁布了《萨班斯-奥克斯利法案》，我国相关部委也发布了有着中国萨班斯法案之称的《企业内部控制基本规范》。 内控规范要求企业将内部控制框架纳入企业风险管理框架中，要