国产农村一国产农村无码毛片,国产又粗又大又硬一区二区,亚洲无码av在线免费,中文字幕av一区中文字幕天堂

企業(yè)內(nèi)部信息安全管理體系
北京金關(guān)科技有限公司jane

                                  企業(yè)內(nèi)部信息安全管理體系   建議書                   北京金關(guān)科技有限公司                  
  目  錄   1.... 理昌科技網(wǎng)絡(luò)現(xiàn)狀和安全需求分析:... 3 1.1          概述... 3 1.2          網(wǎng)絡(luò)現(xiàn)狀:... 3 1.3          安全需求:... 3 2.... 解決方案:... 4 2.1 總體思路:... 4 2.2          TO-KEY主動反泄密系統(tǒng):... 5 2.2.1       系統(tǒng)結(jié)構(gòu):... 5 2.2.2       系統(tǒng)功能:... 6 2.2.3       主要算法:... 7 2.2.4       問題?... 7 2.3          打印機管理... 8 2.3.1       打印機管理員碰到的問題... 8 2.3.2       產(chǎn)品定位... 8 2.3.3       產(chǎn)品目標... 8 2.3.4       概念—TO-KEY電子鑰匙預付費... 9 2.3.5       功能... 9 3.... 方案實施與成本分析... 10  
 

1         企業(yè)網(wǎng)絡(luò)現(xiàn)狀和安全需求分析:

1.1     概述

調(diào)查表明:80%的信息泄露來自內(nèi)部。我國著名信息安全專家沈昌祥先生說:“目前我國信息安全的最大問題是:安全威脅的假設(shè)錯誤!我們總是假設(shè)會受到來自外部的攻擊,而事實上80%的信息泄露是由內(nèi)部或內(nèi)外勾結(jié)造成的。 對于一個企業(yè)而言,其核心的技術(shù)和市場、財務等資料都是企業(yè)核心的競爭力。但是在市場競爭和人才競爭日益激烈的今天,企業(yè)不得不面對這樣的嚴峻形勢: 1、 核心技術(shù)和公司其他資料必定要受到競爭對手的窺視。 2、 人才的自由流動,以及競爭對手通過收買內(nèi)部線人竊取資料。 3、 內(nèi)部人員由于對公司的不滿,而采取的破壞行為。 而另外一方面,隨著計算機的普及和信息化的發(fā)展,采用信息化技術(shù)實現(xiàn)企業(yè)的管理、電子商務以及產(chǎn)品的設(shè)計和生產(chǎn)又成為企業(yè)提高效率和競爭力的有利手段。顯然,企業(yè)需要解決這樣一個矛盾:        在充分利用信息化所帶來的高效益的基礎(chǔ)上,保證企業(yè)信息資源的安全! 理昌科技作為一家專業(yè)從事保險帶產(chǎn)品開發(fā)和生產(chǎn)的外資企業(yè),公司憑借其雄厚的技術(shù)實力在行業(yè)內(nèi)具有很高的市場地位。為了保護其核心技術(shù),增強核心競爭力。公司在現(xiàn)有網(wǎng)絡(luò)信息的基礎(chǔ)上,提出防泄密的需求。我們根據(jù)理昌科技的需求,并結(jié)合我們的行業(yè)經(jīng)驗,提出了下面的方案。

1.2     網(wǎng)絡(luò)現(xiàn)狀:

公司組成局域網(wǎng),內(nèi)部人員通過局域網(wǎng)上網(wǎng),內(nèi)部具有多個網(wǎng)絡(luò)應用系統(tǒng)。在內(nèi)部部署有網(wǎng)絡(luò)督察(網(wǎng)絡(luò)行為監(jiān)控系統(tǒng))能記錄內(nèi)部人員網(wǎng)絡(luò)行為。

1.3     安全需求:

公司安全的總體需求是:“杜絕內(nèi)部人員主動和被動的對外泄露公司核心信息的任何企圖”。根據(jù)此總體需求,和目前的網(wǎng)絡(luò)現(xiàn)狀,我們可以從下面幾個方面去考慮信息泄露的途徑: l         通過網(wǎng)絡(luò)方式將信息發(fā)送出去,包括MAIL、QQ、MSN、FTP等多種文件傳輸方式。 l         通過對內(nèi)部網(wǎng)絡(luò)的竊聽來非法獲取信息 l         內(nèi)部人員在其他人的計算機上種植木馬,引導外部人員獲取機密信息??梢杂行颖芫W(wǎng)絡(luò)督察的監(jiān)控。 l         內(nèi)部人員將文件以密文方式發(fā)送出去,也能逃避網(wǎng)絡(luò)督察的監(jiān)控,網(wǎng)絡(luò)上的加密工具太多了。 l         通過COPY方式將文件傳送出去。 l         非法獲取內(nèi)部非自己權(quán)限內(nèi)的信息,包括獲取他人計算機上的信息以及越權(quán)訪問服務器上的信息等。 l         網(wǎng)絡(luò)管理人員將服務器上的信息復制出去。 l         制造計算機硬盤故障,將硬盤以維修的理由攜帶出去。 l         制造計算機故障,以維修的理由,將計算機帶出公司 l         內(nèi)部的高級人員攜帶筆記本外出后丟失或主動將重要資料泄露出去。 l         通過打印機將重要的文件如圖紙、招標文件等打印后攜帶出去。 很顯然除了上面所提及的技術(shù)手段外,還應該從公司的整個管理和企業(yè)文化等多個角度去考慮,顯然良好的管理手段配合有效的技術(shù)手段,防止內(nèi)部人員的泄密是完全可以防止的! 我們采用打印機管理系統(tǒng)和內(nèi)部主動反泄密系統(tǒng)可以有效杜絕上面所涉及的泄露途徑。 需要說明的是,現(xiàn)有的網(wǎng)絡(luò)督察,已經(jīng)能成功的解決通過內(nèi)部網(wǎng)絡(luò)泄露的很多問題。

2         解決方案:

2.1 總體思路:

通過密碼算法技術(shù),對文件的實現(xiàn)加密傳輸和存儲。文件的解密必須得到相應的授權(quán)和一定的條件。一旦沒有授權(quán)或條件不存在,文件的存儲就以密文方式存在,即使獲得文件也因無法解密而無效。文件加密采用168位的3DES國際通用密碼算法。  

2.2      TO-KEY主動反泄密系統(tǒng):

2.2.1   系統(tǒng)結(jié)構(gòu):

TO-KEY電子鑰匙

  整個系統(tǒng)包括:TO-KEY電子令牌,主動防泄密客戶端軟件,主動防泄密管理軟件,文件審批系統(tǒng)(網(wǎng)絡(luò)軟件),數(shù)據(jù)庫(密鑰管理、審計等信息) 其中: TO-KEY電子令牌實現(xiàn)文件加密和密鑰存儲功能。由于TO-KEY電子令牌與計算機的結(jié)合,使計算機成為一個特定的計算機硬件設(shè)備。        主動防泄密客戶端軟件實現(xiàn)個人計算機文件的管理。對于文件的傳輸、COPY以及以什么方式進行傳輸?shù)冗M行控制??梢詫崿F(xiàn)對所有文件的控制和管理。同時也是作為文件審批系統(tǒng)的客戶端。用戶可以通過該軟件向部門領(lǐng)導提出對文件傳輸或COPY的申請,由管理員提供授權(quán)。只有被授權(quán)的文件才能被傳輸或COPY,并能被解密!        主動防泄密管理軟件負責接受客戶端的審批請求,對文件做出傳輸、COPY授權(quán)??梢灾付ㄊ裁次募?,在什么情況下,允許COPY或傳輸,同時對文件進行加密和完整性認證!確保只有被指定的文件才能進行操作! 管理軟件同時能查看客戶端的文件操作行為!        文件審批系統(tǒng)建立起一個對文件操作權(quán)限進行審批的管理流程。        數(shù)據(jù)庫用于密鑰的存儲和審計信息的存儲。

2.2.2   系統(tǒng)功能:

1)  在默認狀態(tài)下,所有的文件只能在內(nèi)部權(quán)限域內(nèi)復制和傳輸!對外的傳輸和復制均無法實現(xiàn)! 2)  文件傳輸管理,只開放幾個基本的協(xié)議端口,包括:HTTP、FTP、POP3、SMTP等,對于其他的端口全部封閉。對于通過這些端口進行傳輸?shù)奈募?,全部進行加密控制和管理。 3)  客戶端軟件安裝后,自動信任本地硬盤驅(qū)動器,對于其他的存儲設(shè)備,全部進行COPY加密管理,同時將本地的硬盤驅(qū)動器進行加密。 4)  所有文件的對外COPY、傳輸均必須得到管理員(公司領(lǐng)導)的授權(quán),否則一概無法實現(xiàn)文件的傳輸和COPY!授權(quán)的同時,文件會自動形成密文包,同時對文件進行完整性認證,確保只有被授權(quán)的文件才能出內(nèi)部網(wǎng)絡(luò)。 5)  管理員可以設(shè)置內(nèi)部的權(quán)限域,在內(nèi)部權(quán)限域的傳輸,可以由用戶自己定義文件的解密授權(quán)! 6)  所有的文件傳輸或COPY操作,均有審計備份! 7)  所有的計算機必須插TO-KEY 電子鑰匙才能使用(一把鑰匙對應一臺計算機),拔KEY 后,計算機將進入鎖定狀態(tài),無法使用。 8)  用戶無法自己卸載軟件,而且一旦軟件沒有運行,硬盤將無法正常讀取文件,同時網(wǎng)絡(luò)監(jiān)控和管理中心就會報警。 9)  用戶也無法自己安裝應用軟件,必須獲得管理部門的授權(quán),才能安裝、使用。 10)              內(nèi)部計算機一旦脫離了內(nèi)部網(wǎng)絡(luò),文件將無法實現(xiàn)解密,所以即使將計算機帶回家,也沒有辦法啦。

2.2.3    主要算法:

對稱算法:3DES、RC4 公私鑰算法:RSA1024 摘要算法:MD5、SHA-1

2.2.4   問題?

1、  文件出了內(nèi)部網(wǎng)絡(luò)(無論是COPY還是網(wǎng)絡(luò)發(fā)送或網(wǎng)絡(luò)竊?。?,文件將以密文方式存在,無法解密,如何解決正常文件的發(fā)送問題? 所有正常文件的發(fā)送,均由內(nèi)部人員向?qū)I(yè)管理人員提出申請,得到授權(quán)后,可以獲得明文或授權(quán)密文發(fā)送。內(nèi)部管理系統(tǒng)會自動記錄整個申請和審批的過程。 2、  內(nèi)部人員的筆記本如果攜帶出去,文件就無法使用了嗎? 內(nèi)部人員攜帶的筆記本,可以設(shè)置成特定機器模式,也就是文件在該機器上都是有效的,一旦出了該機器,文件將無法解密。也就是說,即使將筆記本攜帶出去,筆記本所有者也無法將文件泄露出去。一旦筆記本被偷,由于還有TO-KEY電子鑰匙的保護,所以僅僅有筆記本,文件也是密文,別人獲取不了有效的文件。 3、  內(nèi)部機器需要安裝應用軟件怎么辦? 內(nèi)部人員需要安裝軟件,需要得到專業(yè)管理人員的授權(quán),自己是無法安裝應用軟件的。這樣還可以避免病毒和木馬等程序的運行。 4、  TO-KEY電子鑰匙丟失怎么辦? 公司有密鑰備份,丟失后,通過一定的程序申請后,可以重新配一把鑰匙。 5、  人員自己廢除在自己計算機上的安全管理軟件怎么辦? 軟件運行在后臺,具有再生功能,同時一旦程序運行不正常,那么網(wǎng)絡(luò)上的管理中心就會發(fā)現(xiàn)并及時報警,同時所有文件均無法打開。

3         項目的實施

項目實施包括:安裝、調(diào)試、培訓等過程。 安裝: 包括安裝客戶端軟件、分級管理員軟件、數(shù)據(jù)庫、以及審批系統(tǒng)軟件。 設(shè)置,包括對客戶端和分級管理員軟件進行設(shè)置,并初始化數(shù)據(jù)庫。設(shè)置包括:內(nèi)部權(quán)限域的劃分,建立權(quán)限庫等! 該過程一般需要3天時間 培訓: 內(nèi)部人員的培訓和管理員的培訓 該過程一般需要2天時間  

4         操作說明

1) 文件對外傳輸或COPY申請:     第一步:申請 客戶端需要對外傳輸或者COPY文件,可以通過其客戶端軟件填寫申請表。申請表包括: 文件屬性: 文件名、后綴名、時間(可以是多個文件) 申請項目: 明文傳輸、密文授權(quán)傳輸、明文COPY、密文授權(quán)COPY、有效時間、執(zhí)行人、接受人、傳輸方式、COPY方式等 附所有文件。 第二步:授權(quán)   管理人員受到請求后,對文件進行抗抵賴性處理,并生成一個審批結(jié)果文件,連同審批結(jié)論一并通過審批系統(tǒng)傳輸給申請人。如果以密文傳輸,由管理員生成密文,并進行授權(quán)后,返回給申請人。    第三步:導入 申請人通過客戶端軟件導入審批結(jié)果文件。    第四步:文件操作 根據(jù)審批結(jié)論,對文件進行傳輸或COPY操作。    系統(tǒng)對整個過程進行記錄,同時在進行傳輸和COPY前,對文件的完整性進行驗證! 2)文件的內(nèi)部權(quán)限域內(nèi)傳輸或者COPY 首先進行授權(quán)加密,指定內(nèi)部權(quán)限域的接受人! 除了對外的文件傳輸或COPY,用戶使用計算機與以前沒有區(qū)別。只是將計算機帶出或?qū)⒂脖P帶出后,文件將無法使用。   3密鑰恢復 內(nèi)部人員離開公司或密鑰丟失,此時可以啟動密鑰備份系統(tǒng)。密鑰備份系統(tǒng)可以復制出一對密鑰,還可以重新配制一個KEY。但是密鑰備份系統(tǒng)的使用需要有2個管理員分別插入對應的KEY并輸入PIN碼才能使用。