企业信息安全整体方案设计.doc

企业信息安全整体方案设计1

企业信息安全整体方案设计 一、企业安全背景与现状

全球信息网的出现和信息化社会的来临，使得社会的生产方式发生深刻的变化。面对着激烈的市场竞争，公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大，原来的电脑只是停留在单机工作的模式，各科室间的数据不能实现共享，致使工作效率大大下降，纯粹手工管理方式和手段已不能适应需求，这将严重妨碍公司的生存和发展。

1.企业组织机构和信息系统简介

该企业包括生产，市场，财务，资源等部门.

该企业的的信息系统包括公司内部员工信息交流，部门之间的消息公告，还有企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等。

2. 用户安全需求分析

在日常的企业办公中，企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等，企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。

3.信息安全威胁类型

目前企业信息化的安全威胁主要来自以下几个方面：（1）、来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。

（2）、来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。

（3）、来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。

（4）、管理及操作人员缺乏安全知识。由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。

（5）、雷击。由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。二．企业安全需求分析

1、对信息的保护方式进行安全需求分析

该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者

通过PSTN 拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、

企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。

根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑：

1、网络传输保护：主要是数据加密，防窃听保护。 2、密码账户信息保护：对网络银行和客户信息进行保护，防止泄露

3、网络病毒防护：采用网络防病毒系统，并对巨晕网内的一

些可能携带病毒的设备进行防护与查杀。

4、广域网接入部分的入侵检测：采用入侵检测系统 5、系统漏洞分析：采用漏洞分析设备，并及时对已知漏洞修补。

（2）与风险的对抗方式进行安全需求分析

1、定期安全审计：主要包括两部分：内容审计和网络通信审计

2、重要数据的备份：对一些重要交易，客户信息备份 3、网络安全结构的可伸缩性：包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展。

4、网络设备防雷

5、重要信息点的防电磁泄露 三、安全解决方案 1、物理安全和运行安全

企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

企业的运行安全即计算机与网络设备运行过程中的系统安全，是指对网络与信息系统的运行过程和运行状态的保护。主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。

2、选择和购买安全硬件和软件产品

（1）、硬件产品主要是防火墙的选购。对于防火墙的选购要具备明确防火墙的保护对象和需求的安全等级、根据安全级别确定防火墙的安全标准、选用功能适中且能扩展和安全有保障的防火墙、能满足不同平台需求，并可集成于网络设备中、应能提供良好地售后服务的产品等要求。

（2）、软件产品主要是杀毒软件的选择，本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。

（3）、产品推荐

企业信息安全总体规划设计方案1

XXXXX公司

信息安全建设规划建议书 YYYY科技有限公司 201X年XX月 目录

第1章综述 (3) 1.1 概述 (3) 1.2 现状分析 (3)

1.3 设计目标 (6)

第2章信息安全总体规划 (8) 2.1设计目标、依据及原则 (8) 2.1.1设计目标 (8) 2.1.2设计依据 (8) 2.1.3设计原则 (9)

2.2总体信息安全规划方案 (10) 2.2.1信息安全管理体系 (10) 2.2.2分阶段建设策略 (16) 第3章分阶段安全建设规划 (18) 3.1 规划原则 (18) 3.2 安全基础框架设计 (19) 第4章初期规划 (20) 4.1 建设目标 (20)

4.2 建立信息安全管理体系 (20) 4.3 建立安全管理组织 (22) 第5章中期规划 (25)

5.1 建设目标 (25) 5.2 建立基础保障体系 (25) 5.3 建立监控审计体系 (25) 5.4 建立应急响应体系 (27) 5.5 建立灾难备份与恢复体系 (31) 第6章三期规划 (34) 6.1 建设目标 (34) 6.2 建立服务保障体系 (34) 6.3 保持和改进ISMS (35) 第7章总结 (36) 7.1 综述 (36) 7.2 效果预期 (36) 7.3 后期 (36) 第1章综述 1.1概述

信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息的竞争，随着企业的业务的快速增长、企业信息系统规模的不断扩大，企业对信息技术的依赖性也越来越强，企业

是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，确保信息系统稳定、安全的运行，保证企业知识资产的安全，已经成为现代企业发展创新的必然要求，信息安全能力已成为企业核心竞争力的重要部分。

企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。

与此同时，随着企业业务领域的扩展和规模的快速扩张，为了满足企业发展和业务需要，企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展，为了满足生产的高速发展，市场的大力扩张，企业决定在近期进行信息安全系统系统的调研建设，因此随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、制卡系统的高效安全的运行，不因各种安全威胁的破坏而中断，信息安全建设不可或缺，信息安全建设必然应该和当前的信息化建设进行统一全局考虑，应该在相关的重要信息化建设中进行安全前置的考虑和规划，避免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生。。

本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术，帮助企业建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。

1.2现状分析

目前企业已经在前期进行了部分信息安全的建设，包括终端上的一部分防病毒，网络边界处的基本防火墙等安全软件和设备，在很大程度上已经对外部威胁

能有一个基本的防护能力，但是如今的安全威胁和攻击手段日新月异，层出不穷，各种高危零日漏洞不断被攻击者挖掘出来，攻击的目标越来越有针对性，目前的企业所面临的全球安全威胁呈现如下几个新的趋势：

●恶意攻击数量快速增加，攻击手段不断丰富，最新的未知威胁防不胜防：如

何防范未知威胁，抵御不同攻击手段和攻击途径带来的信息安全冲击?

●高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业：如何阻止不

同的攻击手段？不仅仅是防病毒！需要服务器，终端，网络，数据等各方面多层次的防护，增加威胁防范能力

●复杂混乱的应用与外接设备环境：如何确保应用和设备的准入控制？

●繁琐枯燥的系统维护和安全管理：如何更有效利用有限的信息人力资源？

●工具带来的新问题：如何保证安全策略的强制要求，统一

管理和实施效果？

●终端接入不受控：如何确保终端满足制定的终端安全策略-终端准入控制

●网页式攻击(Web-based Attack) 已成为最主流的攻击手法：如何确保访问可

靠网站？

●内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失

从目前大多数企业的信息安全建设来看，针对以上的目前主流的新形势的信息威胁，企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御，纵深防御的能力，目前大多数企业在安全防护上还有如下的欠缺：

1.2.1 目前信息安全存在的问题

在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估，发现主要有如下的问题：

网络设备安全： 访问控制问题 网络设备安全漏洞 设备配置安全

系统安全： 补丁问题 运行服务问题 安全策略问题 弱口令问题 默认共享问题 防病毒情况 应用安全：

exchange邮件系统的版本问题 apache、iis、weblogic的安全配置问题 serv-U的版本问题

radmin远程管理的安全问题 数据安全： 数据库补丁问题

Oracle数据库默认帐号问题 Oracle数据库弱口令问题 Oracle数据库默认配置问题

Mssql数据库默认有威胁的存储过程问题 网络区域安全：

市局政务外网安全措施完善 市局与分局的访问控制问题 分局政务外网安全措施加强 安全管理：

没有建立安全管理组织 没有制定总体的安全策略

没有落实各个部门信息安全的责任人 缺少安全管理文档

通过安全评估中的安全修复过程，我们对上述大部分的的安全问题进行了修补，但是依然存在残余的风险，主要是数据安全（已安排升级计划）、网络区域