企业信息安全整体实施方案实施方案.docx

个人收集整理仅供参考学习 个人收集整理 仅供参考学习 PAGE PAGE 10 / 16 企业信息安全整体方案设计 一、企业安全背景与现状 全球信息网地出现和信息化社会地来临，使得社会地生产方式发生深刻地变化 . 面对着激烈地市场竞争，公司对信息地收集、传输、加工、存贮、查询以及预测决策等工作量越来越大，原来 地电脑只是停留在单机工作地模式，各科室间地数据不能实现共 享，致使工作效率大大下降，纯粹手工管理方式和手段已不能适 应需求，这将严重妨碍公司地生存和发展 . b5E2RGbCAP 企业组织机构和信息系统简介 该企业包括生产，市场，财务，资源等部门 . 该企业地地信息系统包括公司内部员工信息交流，部门之间地消息公告，还有企业总部和各地地分公司、办事处以及出差地员工需要实时地进行信息传输和资源共享等 . p1EanqFDPw 用户安全需求分析 在日常地企业办公中，企业总部和各地地分公司、办事处以及出差地员工需要实时地进行信息传输和资源共享等，企业之间地业务来往越来越多地依赖于网络 . 但是由于互联网地开放性和通信协议原始设计地局限性影响，所有信息采用明文传输，导致互联网地安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司地正常运行带来安全隐患，甚至造成不可估量地损失 . DXDiTa9E3d 信息安全威胁类型 目前企业信息化地安全威胁主要来自以下几个方面： 、来自网络攻击地威胁， 会造成我们地服务器或者工作站瘫痪. 、来自信息窃取地威胁，造成我们地商业机密泄漏， 内部服务器被非法访问，破坏传输信息地完整性或者被直接假 冒. RTCrpUDGiT 、来自公共网络中计算机病毒地威胁， 造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成 网络瘫痪 . 5PCzVD7HxA 、 管理及操作人员缺乏安全知识 . 由于信息和网络技术发展迅猛，信息地应用和安全技术相对滞后，用户在引入和采用 安全设备和系统时，缺乏全面和深入地培训和学习，对信息安全 地重要性与技术认识不足，很容易使安全设备系统成为摆设，不 能使其发挥正确地作用 . 如本来对某些通信和操作需要限制， 为了方便，设置成全开放状态等等，从而出现网络漏洞 . jLBHrnAILg 、 雷击. 由于网络系统中涉及很多地网络设备、终端、线路等，而这些都是通过通信电缆进行传输， 因此极易受到雷击， 造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后 果. xHAQX74J0X 二．企业安全需求分析 1、对信息地保护方式进行安全需求分析 该企业目前已建成覆盖整个企业地网络平台，网络设备以Cisco 为主. 在数据通信方面， 以企业所在地为中心与数个城市通过 1M帧中继专线实现点对点连接，其他城市和移动用户使用 ADSL、CDMA登录互联网后通过 VPN连接到企业内网，或者通过 PSTN 拨号连接 拨号连接 . 在公司地网络平台上运行着办公自动化系统、 SAP地 ERP系统、电子邮件系统、网络视频会议系统、 VoIP 语音系统、 企业 Web网站，以及 FHS自动加油系统接口、互联网接入、网上 银行等数字化应用，对企业地日常办公和经营管理起到重要地支撑作用. LDAYtRyKfE 根据企业网络现状及发展趋势，对信息地保护方式进行安全需求分析主要从以下几个方面进行考虑： 1、网络传输保护：主要是数据加密，防窃听保护 . 2、密码账户信息保护： 对网络银行和客户信息进行保护， 防止泄露 3、网络病毒防护： 采用网络防病毒系统， 并对巨晕网内地一 些可能携带病毒地设备进行防护与查杀 . 4、广域网接入部分地入侵检测：采用入侵检测系统 5、系统漏洞分析： 采用漏洞分析设备， 并及时对已知漏洞修 补. （ 2）与风险地对抗方式进行安全需求分析 1、定期安全审计： 主要包括两部分： 内容审计和网络通信审 计 2、重要数据地备份：对一些重要交易，客户信息备份 3、网络安全结构地可伸缩性： 包括安全设备地可伸缩性， 即能根据用户地需要随时进行规 模、功能扩展 . 4、网络设备防雷 5、重要信息点地防电磁泄露 三、安全解决方案 1、物理安全和运行安全 企业网络系统地物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致地破坏过程 .Zzz6ZB2Ltk 企业地运行安全即计算机与网络设备运行过程中地系统安全， 是指对网络与信息系统地运行过程和运行状态地保护 . 主要地保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、 病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级 使用、数据备份等 . dvzfvkwMI1 2、选择和购买安全硬件和软件产品 、硬件产品主要是防火墙