企业信息安全解决方案456精编版.docVIP

……………………………………………………………最新资料推荐………………………………………………… PAGE PAGE 2 ……………………………………………………………最新资料推荐………………………………………………… 企业信息安全 解决方案白皮书 目录 TOC \o 1-3 \h \z \u 1 概述 h 3 1.1 信息安全面临的难题分析 h 3 1.2 如何实现高效卓越的企业信息安全体系 h 4 1.3 信息安全方案特点 h 6 1.3.1 设计基本原则 h 6 1.3.2 建设目标及要求 h 7 1.4 安全体系基本内容 h 8 1.5 安全体系结构建议 h 8 1.6 信息安全 通用方案 h 9 1.6.1 安全系统架构 h 9 1.6.2 安全管理系统-制度建设 h 10 1.6.3 边界防护设计 h 11 1.6.4 系统安全保护 h 13 1.6.5 应用系统安全 h 15 1.6.6 数据安全防护 h 16 1.6.7 安全保障手段和技术方法要求 h 16 1.7 信息安全 专项方案 h 17 1.7.1 4A安全解决方案 h 17 1.7.2 PKI安全解决方案 h 21 概述 信息安全面临的难题分析 网络带给人们很大便利，但互联网是一个面向大众的公开网络，存在安全隐患。网络的安全形势日趋严峻，对很多公司来说，信息安全不仅是挑战技术，更是生存的历练。 一般来说，公司关注的安全威胁包括下面几种（按照关注程度从高到低排序）： 病毒或蠕虫 间谍软件/流氓软件 垃圾邮件 未经授权的雇员对文件或数据的访问 外部人员偷窃客户数据 网络钓鱼和域欺骗 带有公司数据的可移动设备遗失或失窃 知识产权失窃 拒绝服务攻击或其他网络攻击 僵尸网络对IT资源的远程控制 对无线/RFID系统的攻击 VoIP入侵 公司在安全防范方面进行投资以期获得回报，一般来说，是为了达到几个目的： 员工处理安全相关问题的时间减少 更好地保护客户数据 安全漏洞减少 网络宕机时间减少 改进对知识产权的保护 采取更好的风险管理策略 用于处理偶发时间的时间减少 这些年来，一系列财务失败事件的发生加强了人们对企业风险的关注。美国在2002年颁布了《萨班斯-奥克斯利法案》，我国相关部委也发布了有着中国萨班斯法案之称的《企业内部控制基本规范》。 内控规范要求企业将内部控制框架纳入企业风险管理框架中，要求企业进行信息化系统落地，要求企业遵从财政部、国资委相关管理条文要求，特别是在战略、财务、法律风险管理信息的搜集、风险评估、风险行为管理等方面，符合深交所、上交所关于上市公司加强内部控制和信息披露方面的要求和控制点。 如何实现高效卓越的企业信息安全体系 企业需要评估IT安全风险，获得相关建议，降低安全复杂度，并量化安全投资的价值。 企业一般以信息化基础架构作为信息安全的切入点，希望防患于未然，将安全嵌入到业务流程和内控制度中，提供更好的整合度，变人工干预为自动化，从而提升管理和监控的效能。企业也认识到，需要与国际安全标准接轨，在内部贯彻ISO27001和ISO2000、ITIL，能更好保证管控制度落地，有效杜绝安全隐患。 我们建议，实现高效卓越的企业信息安全体系，可以参考如下过程，同时这也是我公司的信息安全咨询服务流程： 首先，基于企业自身安全方面的成熟度和企业信息安全需求，结合国家和行业政策标准要求，进行合理评估，制定最佳的安全策略和风险防御计划。 在瞬息万变的形势下，企业应从整体角度考虑信息安全的投资和安全保障风险的价值，制定符合自身需求的安全策略和风险防御计划，并随着市场压力的变化和业务目标的调整，不断调整企业自身的应对策略，追求安全能力的动态平衡。企业的治理活动包括设定经营战略和目标,确定风险偏好。制定内部政策和监督绩效;风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动;遵守活动包括遵照目标经营,确保遵守法律和法规、内部政策与程序以及利益相关者的委托。 其次，对企业进行信息安全能力评级，结合各类风险知识库和规范的风险评估流程，从资产调查开始，进行安全管理评估、网络安全评估、应用安全评估、主机安全评估和漏洞测试，进行系统安全等级评价和差距评估。 然后，构筑企业的信息安全路线图，寻求安全的解决之道，通过信息安全技术与产品的优化组合，寻求最优解决方案。 最后，提出实施计划，进行安全体系实施，形成安全的最佳实践，并在此实践的基础上进行日常运营和持续改进。 在整个安全体系的建立过程中，应重点梳理业务系统相关实施与运维支持相关的制度和流程，以内控管理制度为基础，参考ISO20000及