企业内部信息安全管理体系.docxVIP

企业内部信息宁静治理体系 发起书 北京太极英泰信息科技有限公司 目 录 TOC \o 1-3 \h \z 1 理昌科技网络现状和宁静需求阐发： 3 1.1 概述 3 1.2 网络现状： 3 1.3 宁静需求： 3 2 解决方案： 4 ２.1 总体思路： 4 2.2 TO-KEY主动反泄密系统： 5 系统结构： 5 系统功效： 6 主要算法： 7 问题？ 7 2.3 打印机治理 8 打印机治理员碰到的问题 8 产物定位 8 产物目标 8 观点—TO-KEY电子钥匙预付费 9 功效 9 3 方案实施与成天职析 10  企业网络现状和宁静需求阐发： 概述 观察表明：80%的信息泄露来自内部。我国著名信息宁静专家沈昌祥先生说：“目前我国信息宁静的最大问题是：宁静威胁的假设错误！我们总是假设会受到来自外部的打击，而事实上80%的信息泄露是由内部或内外勾通造成的。 对付一个企业而言，其焦点的技能和市场、财政等资料都是企业焦点的竞争力。但是在市场竞争和人才竞争日益猛烈的今天，企业不得不面对这样的严峻形势： 焦点技能和公司其他资料肯定要受到竞争敌手的窥视。 人才的自由流动，以及竞争敌手通过收买内部线人窃取资料。 内部人员由于对公司的不满，而接纳的破坏行为。 而另外一方面，随着盘算机的普及和信息化的生长，接纳信息化技能实现企业的治理、电子商务以及产物的设计和生产又成为企业提高效率和竞争力的有利手段。显然，企业需要解决这样一个矛盾： 在充实利用信息化所带来的高效益的底子上，包管企业信息资源的宁静！ 理昌科技作为一家专业从事保险带产物开发和生产的外资企业，公司凭借其雄厚的技能实力在行业内具有很高的市园职位。为了掩护其焦点技能，增强焦点竞争力。公司在现有网络信息的底子上，提出防泄密的需求。我们凭据理昌科技的需求，并结合我们的行业经验，提出了下面的方案。 网络现状： 公司组成局域网，内部人员通过局域网上网，内部具有多个网络应用系统。在内部摆设有网络督察（网络行为监控系统）能记载内部人员网络行为。 宁静需求： 公司宁静的总体需求是：“杜绝内部人员主动和被动的对外泄露公司焦点信息的任何企图”。凭据此总体需求，和目前的网络现状，我们可以从下面几个方面去考虑信息泄露的途径： 通过网络方法将信息发送出去，包罗MAIL、QQ、MSN、FTP等多种文件传输方法。 通过对内部网络的窃听来非法获取信息 内部人员在其他人的盘算机上种植木马，引导外部人员获取秘密信息。可以有效逃避网络督察的监控。 内部人员将文件以密文方法发送出去，也能逃避网络督察的监控，网络上的加密东西太多了。 通过COPY方法将文件传送出去。 非法获取内部非自己权限内的信息，包罗获取他人盘算机上的信息以及越权访问办事器上的信息等。 网络治理人员将办事器上的信息复制出去。 制造盘算机硬盘妨碍，将硬盘以维修的理由携带出去。 制造盘算机妨碍，以维修的理由，将盘算机带出公司 内部的高级人员携带条记本外出后丢失或主动将重要资料泄露出去。 通过打印机将重要的文件如图纸、招标文件等打印后携带出去。 很显然除了上面所提及的技能手段外，还应该从公司的整个治理和企业文化等多个角度去考虑，显然良好的治理手段配合有效的技能手段，防备内部人员的泄密是完全可以防备的！ 我们接纳打印机治理系统和内部主动反泄密系统可以有效杜绝上面所涉及的泄露途径。 需要说明的是，现有的网络督察，已经能乐成的解决通过内部网络泄露的许多问题。 解决方案： ２.1 总体思路： 通过密码算法技能，对文件的实现加密传输和存储。文件的解密必须得到相应的授权和一定的条件。一旦没有授权或条件不存在，文件的存储就以密文方法存在，纵然得到文件也因无法解密而无效。文件加密接纳168位的3DES国际通用密码算法。 TO-KEY主动反泄密系统： 系统结构： TO-KEY电子钥匙 TO-KEY电子钥匙 整个系统包罗：TO-KEY电子令牌，主动防泄密客户端软件，主动防泄密治理软件，文件审批系统（网络软件），数据库（密钥治理、审计等信息） 其中： TO-KEY电子令牌实现文件加密和密钥存储功效。由于TO-KEY电子令牌与盘算机的结合，使盘算机成为一个特定的盘算机硬件设备。 主动防泄密客户端软件实现小我私家盘算机文件的治理。对付文件的传输、COPY以及以什么方法进行传输等进行控制。可以实现对所有文件的控制和治理。同时也是作为文件审批系统的客户端。用户可以通过该软件向部分领导提出对文件传输或COPY的申请，由治理员提供授权。只有被授权的文件才气被传输或COPY，并能被解密！ 主动防泄密治理软件卖力担当客户端的审批请求，对文件做出传输、COPY授权。