《信息安全技术基础》课件 1.2企业信息安全规划.pptx

第一单元

信息安全威胁

主要内容

任务2企业信息安全规划

任务2企业信息安全规划

我国信息化水平逐年提高，互联网业务飞速发展，一般企业都通过自身的内外网业务系统开展日常业务工作。奇威公司作为一家中大型企业，通过门户网站对外发布公司新闻、动态等相关信息，以便互联网大众及时关注和了解公司情况。通过网络审批系统，公司员工利用自己的账号，从互联网进行出差、请假等事项提交和审批。通过公司内网办公系统，完成日常办公事项提交、工单处理、文档流转等工作。公司各分公司和各地办事处，通过VPN连接到公司总部，完成日常报销、费用申请等财务相关工作。奇威公司领导十分重视网络安全公司，主抓信息安全工作的公司领导需要进一步了解和规划公司的网络安全工作，所以找到小卫，要求小卫分析公司当前的网络安全问题和业务需求，整理成公司的信息安全规划方案。

【任务情境】

任务2企业信息安全规划

1.信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。

【知识准备】

任务2企业信息安全规划

信息安全的基本属性及目标：

保密性（Confidentiality），是指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”简单地说，就是确保所传输的数据只被其预定的接收者读取。

完整性(Integrity)，是指“保护资产的正确和完整的特性。”简单地说，就是确保传输和接收到的数据就是未被修改过的数据。

可用性（Availability），是指“需要时，授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴，但随着拒绝服务攻击的逐渐盛行，要求数据总能保持可用性就显得十分关键了。

【知识准备】

任务2企业信息安全规划

其他属性及目标

另外，信息安全也关注一些其他特性：真实性一般是指对信息的来源进行判断，能对伪造来源的信息予以鉴别；可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性，这个特性就是要求该实体对其行为负责，可核查性也为探测和调查安全违规事件提供了可能性；不可抵赖性是指建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的；而可靠性是指系统在规定的时间和给定的条件下，无故障地完成规定功能的概率，通常用平均故障间隔时阆(MeanTimeBetweenFaihrce。MTBF)来度量。

【知识准备】

任务2企业信息安全规划

2.安全域

安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域和IT要素的集合。IT要素包括但不仅限于：物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统。

安全域划分是系统化安全建设的基础性工作，也是层次化立体化防御以及制定安全管理政策，落实安全技术措施的基础。

安全域划分原则有：将所有相同安全等级、具有相同安全需求的计算机划入同一网段内，在网段的边界处进行访问控制。一般实现方法是采用防火墙部署在边界处来实现，通过防火墙策略控制允许哪些IP访问此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。

【知识准备】

任务2企业信息安全规划

2.安全域

一般将应用、服务器、数据库等归入最高安全域，办公网归为中级安全域，连接外网的部分归为低级安全域。在不同域之间设置策略进行控制。数据允许从低安全等级的域流入高安全等级域，反之，则受严格控制。从而保证用户网络内的数据安全。

目前比较流行的安全域划分方式为：根据业务划分、根据安全级别划分。针对不同行业由于业务不同，划分的方法也不同，划分的结果也不同。所以具体的安全域的划分应根据不同的行业、不同用户、不同需求结合自身在行业的经验积累来进行。最终的目的是达到对用户业务系统的全方位防护，满足用户的实际需求。

【知识准备】

任务2企业信息安全规划

企业网络的经典结构就是基于安全域的网络结构，一般包括企业数据中心，企业办公内网，DMZ区，广域网和Internet几个部分。下面咱们与小卫一起根据奇威公司拓扑图（如下图所示）和奇威公司的业务需求情况，逐步完成公司整体网络安全规划设计工作。

【任务实施】

图1-14网络拓扑图

任务2企业信息安全规划

步骤1：企业网络出口面临互联网复杂多变的安全威胁