企业信息安全解决方案

年4月19日企业信息安全解决方案文档仅供参考一、企业的现状分析当前，信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。

在企业对于信息化系统严重依赖的情况下，如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争，面对竞争压力，她们必须有效地管理成本和资源，同时维护业务完整性和网络安全性。二、企业网络可能存在的问题外部安全随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失都很大。内部安全网络的不正当使用，一些员工利用网络处理私人事务、私自下载和安装一些与工作无关的软件或游戏等，不但消耗了企业网络资源，更有可能因此引入病毒和间谍程序，或者使得不法员工能够经过网络泄漏企业机密，导致企业的损失。企业业务服务器不但需要来自互联网的安全防护，对于内网频发的内部非正常访问及病毒威胁，同样需要进行网络及应用层的安全防护。内部网络之间、内外网络之间的连接安全随着企业的发展壮大及移动办公的普及，在以后，很可能会形成了公司总部、各地分支机构、移动办公人员这样的新型互动运营模式。那么，怎样处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏就是个不得不考虑的问题了。各地机构与总部之间的网络连接安全性直接会影响企业的高效运作。上网行为和带宽的管理需求计算机网络已经成了支撑企业业务的重要环节，同时也成为了企业员工日常不可缺少的工作及休闲的一部分。员工们习惯了早上打开电脑访问新闻网站，到淘宝网上去购买商品，到开心网去停车、偷菜，经过炒股软件观览大盘走势、在线交易，甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力，而原本用来收发邮件、查询信息、视频会议等用途的网络变为娱乐工具时，这对公司来说是个很大的损失，如何有效的管理网络，让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为，已成为各个公司必须直接面正确问题。三、企业泄密的途径当前的企业泄密大致有以下这些途径：内部人员将资料经过软盘、U盘或移动硬盘从电脑中拷出带走；内部人员经过互联网将资料经过电子邮件、QQ、MSN等发送出去或发送到自己的邮箱内；将电脑上的文件打印后带出公司；将文件复印后带出公司；将办公用便携式电脑直接带回家中；电脑易手后，原来的资料没有处理，导致泄密；随意将文件设成共享，导致非相关人员获取资料；移动存储设备共用，导致非相关人员获取资料；将自己的笔记本带到公司，连上局域网，窃取资料；10、趁同事不在，开启同事电脑，浏览、复制同事电脑里的资料；11、非法进入公司盗走目标机密或机密载体；

12、网络黑客经过网络进入企业内部网络，窃取机密文件；

13、病毒、木马非法窃取文件。四、公司当前的信息管理现状由于公司当前信息化还未到普及的程度，加上对此的重视程度和投入力度都远远不够，因此总的来说，公司当前的管理是比较落后的，很多地方都是靠管理维护人员手动来控制，不但效率不高，而且隐患和弊端也不少。当前公司网络应用主要有四个区域：佳美购物，利生科技，行政、财务和数码，以及各地分支机构，具体管理情况如下：XX购物主要包括下面三个方面：IT设备（服务器、网络、存储等）CallCenter资源（语音中继线路、可编程智能语音交换机、CTI等）业务应用（BAS软件系统）当前管理情况：BAS系统权限设置情况：超级管理员两个（XX和XX），管理员（各部门经理和特殊应用人员），操作员（座席）。权限说明超级管理员：具有一切权限。部门管理员：可针对本部门的通话、销售等进行查询和统计，分配早释，听取本部门员工录音，撤销、修改错单等。操作员：接线，查询自己销售情况。数据导出权限开通情况：超级管理员，XX（与XX物流接洽）网络方面部门经理、XX（负责与XX对接）可访问外网，座席全部与外网隔绝存储方面所有电脑移动存储接口全部屏蔽，U盘、移动硬盘、存储卡等存储设备均不能用。服务器方面服务器由专人维护，需要远程维护时才向软件开发商指定人员开放对外接口，平常与外界隔绝。XX科技由于XX科技的客户资源全部是注册于XX总部的服务器，主要针对她们的网络应用进行适当的控制，以避免员工在上班的时候从事与工作无关的内容，结合她们部门经理的意见，除主管级以上人员和一些讲师以外，普通员工只有连接XX软件和XX主页的权限。行政、XX和财务适当屏蔽了一些网站和资源，电脑使用方面则是各人保管自己使用的电脑密码，专人专用。各分支结构由于当前各分支结构都是独立的网络，没有与公司总部形成直接联系，因此无法对其进行控制和监控。五、公司未来的信息安全管理方案针对公司当前的现状和当前企业信息安全面临的严峻形式，我认为，必须从管理和技术两方面入手。管理方面信息安全管理所面正确三个重要对象分别是：人员、数据和技术资源，针对这三个对象的信息安全管理措施需要与其管理流程相配套。针对人员的管理公司建立一整套规范的安全保密制度并严格执行。相关员工一律签署保密合同，定期进行保密教育，使她们认识到保密工作的重要意义。新入职员工一律签署保密合同，并接受公司《IT信息管理制度》的学习。新入职员工需使用电脑者，一律填写《电脑领用申请表》针对数据和技术资源的管理数据集中管理，完善服务器，各部门重要文件全部存放于服务器的相应目录，工作站电脑仅共日常工作使用，不做任何重要文件的存储建立机房管理制度，加强机房安全管理，服务器指派专人维护，除系统维护员进行日常维护之外，其余人等不得接触服务器。严格控制上网权限，原则上，私人携带的电脑不允许使用公司内网资源，如有特殊需求，报相关部门批准，并做相应技术手段处理后方可入网。制订信息安全责任准则：责任与岗位职责相关，而不是与人员相关，岗位变化，责任随之变化；管理制度与责任相关，责任不同，适用的管理制度不同针对公司打印机、复印机等打印资源的管理建立相关的外设管理条例和条规，原则上各工作站不允许随意连接打印机，如需打印权限，可先在信息部领取《打印权限开通申请表》，阐述打印需求，经行政部审批经过之后，由信息部记录备案，再与其连接指定的打印机。复印机由专人管理，所有复印的文件或资料须详细记录在案，包括复印内容，时间等等。针对U盘、移动硬盘、各种内存卡等移动存储设备的使用管理建立相关的移动存储设备管理条例和条规，原则上各工作站不允许随意使用USB接口，如需使用移动存储设备，可先在信息部领取《USB接口开通申请表》，经行政部审批经过之后，由信息部记录备案，再与其开通USB接口。技术方面改进网络结构，配置专门的技术设备，经过相应技术手段封锁各种可能泄密的途径。考虑到一些成本因素，并结合公司现在及以后发展的实际情况，总体的网络布局构思如下：一、外网管理在公司内网与Internet之内，增加一台企业级防火墙，其主要作用有以下几个方面：可防范来自外网的各种攻击、病毒木马公司信息化普及后，经过VPN专用通道，可使各地分支结构安全访问公司内网资源对内网用户的QQ、MSN等聊天工具和邮件内容进行过滤，避免内部人员经过利用Internet泄密合理分配网络带宽，对一些与工作无关的内容进行封锁。严格控制上网权限所有需要上网的用户都要填《上网权限开通申请表》。操作流程：先在信息部领取表格，阐述上网理由和上网的具体需求，经行政部审批经过之后，再报信息部记录备案，然后开通相关的上网权限。如果采用VPN方式连接各个子网，需要使用VPN的用户都要填写《VPN权限开通申请表》，经行政部审批经过之后，再报信息部记录备案，然后领取VPN用户名和密码及使用说明。二、内网管理改变现有的单一工作组模式，添加域服务器，采用域管理，其优点如下：权限管理比较集中，管理成本大大下降。域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。所有用户只要登入到域，在域内均能进行身份验证，管理人员能够较好的管理计算机资源，管理网络的成本大大降低。防止公司员工在客户端乱装软件,能够增强客户端安全性、减少客户端故障，降低维护成本。安全性加强。有利于企业的一些保密资料的管理,比如说某个盘某个人能够进，但另一个人就不能够进；哪一个文件只让哪个人看；或者让某些人能够看,但不能够删/改/移等。能够封掉客户端的USB端口，防止公司机密资料的外泄。使用漫游账户和文件夹重定向技术。个人账户的工作文件及数据等能够存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。当客户机故障时，只需使用其它客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件依然在“原来的位置”（比如，我的文档），没有丢失，从而能够更快地进行故障修复。卷影副本技术能够让用户自行找回文件以前的版本或者误删除的文件（限保存过的32个版本）。在服务器离线时（故障或其它情况），“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作，并在注销或登录系统时与服务器上的文件同步，保证用户的工作不会被打断。方便用户使用各种资源。可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。用户登录后就能够像使用本地盘符一样，使用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可。而且各种资源的访问、读取、修改权限均可设置，不同的账户能够有不同的访问权限。即使资源位置改变，用户也不需任何操作，只需管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位置的改变，不用像从前那样，必须记住哪些资源在哪台服务器上。SMS（SystemManagementServer）能够分发应用程序、系统补丁等，用户能够选择安装，也能够由系统管理员指派自动安装。并能集中管理系统补丁（如WindowsUpdates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。6、信息的安全性大大增强安装活动目录后信息的安全性完全与活动目录集成，活动目录集中控制用户授权，进行控制不但仅在每一个目录中的对象上定义，而且还能在每一个对象的每个属性上定义。除此之外，活动目录还能够提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。安全策略能够包含帐户信息，如域范围内的密码限制或对特定域资源的访问权限等。具体应用：比如在工作组下面有3台计算机，分别是A、B、C，各有一个帐号a、b、c，如果B上有一个文档要给a用户访问，b就要在B计算机上创立一个帐号a’给a，让a用a’去访问，或者b把自己的帐号密码告诉a，让a来访问，同理，其它资源也是一样处理。结果就是每一个用户要记好几个帐号密码来访问不同的资源，或者就是网络里有很多额外的帐号密码存在，或者很多人的密码告诉给其它人，最终网络安全变成一句空话。可是如果实现了域就不一样了，b只要在资源上设置a的访问权限就能够了，不用额外创立帐号，也不用把自己的帐号密码告诉别人，a来访问的时候，如果权限合适就能够直接进行操作。用户a也不需要记录额外的帐号密码。再比如，经理m有一台计算机M，为了保证安全性，M计算机只能由m来登录，在AD中只要简单的设置一下就能够了。再有一台打印机，如果有这这样的安全要求，上班时间大家都能够使用，下了班就不能打印了。当有大文档打印时，如果经理m要打印文档，能够中间插入打印，m打印完了，原来的那个大文档继续打印下去。诸如此类的设置，在AD中都能够非常方便的设置。7、引入基于策略的管理，使系统的管理更加明朗活动目录服务包括目录对象数据存储和逻辑分层结构，作为目录，它存储着分配给特定环境的策略，称为组策略对象。作为逻辑结构，它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录，域，或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权限，什么样的域资源能够被用户使用，以及这些域资源怎样使用等。例如，组策略对象能够决定当用户登录时用户在她们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至Server，以及当用户转移到不同的部门或组时她们可访问什么文件或服务。组策略对象使您能够管理少量的策略而不是大量的用户和计算机。经过活动目录，您可将组策略设置应用于适当的环境中，不论它是您的整个单位还是您单位中的特定部门。具体应用：比如单位里面为了放置病毒感染和信息安全，要求所有的计算机只能使用USB的鼠标和键盘，U盘和移用硬盘不能使用。为了控制USB接口的使用类型，工作组下面就只有一台一台计算机去设置组策略了，而AD下仅仅一条组策略就能够完成，花费不到10秒钟!在比如，为了防止员工修改系统配置导致系统崩溃，或为了禁止员工上班时间玩游戏，需要禁止某些组件的使用，用AD自带的组策略功能也非常方便。至于给所有员工发送一个信息或安装一个软件之类的常规性管理任务，AD的组策略也很容易就实现。而且这些策略的设置能够依据单位的部门或职称架构来实现。非常方便。8、具有很强的可扩展性WIN2K3的活动目录具有很强的可扩展性，管理员能够在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括能够存储在目录中的每一个对象类的定义和对象类的属性。例如，在电子商务上你能够给每一个用户对象增加一个购物授权属性，然后存储每一个用户购买权限作为用户帐号的一部分。具体应用：比如单位将来用实现邮件系统和企业内部通讯系统，实现依据网络来完成企业内部的文件，信息，语音等等的通讯，这样能够大大节省企业运行成本。利用活动目录的可扩展性，只不过是在用户帐号上多了邮箱属性或MSN属性而已，用户甚至能够使用IE来安全的收发邮件，连Outlook都不需要!9、具有很强的可伸缩性活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便您能够调整目录的规模以满足任何网络的需要。多个域可组成为域树，多个域树又可组成为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器，该信息存储在域的第一个域控制器中，而且复制到域中任何其它域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其它域的管理开销。将域添加到目录使您能够针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。10、具有灵活的查询任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令，经过对象属性快速查找网络上的对象。如您可经过名字、姓氏、电子邮件名、办公室位置或用户帐户的其它属性来查找用户，反之亦然。具体应用：比如在A地的一个员工要给B地的员工发送一份文档，她不需要将文档打印出来再快递过去，她完全能够在AD中搜索B地员工办公室(或附近办公地点)的某台打印机就能够了，然后直接将文档发送到那台打印机上，B的用户就能够直接拿到文档了。而A的用户不知道B地的打印机没有关系，她能够根据地名，楼层，办公室等等信息，很快定位到正确的打印机。缺点：容易出故障，对专业知识有一定的要求，须每天管理、备份及维护，工作量比较大，需配备专门的维护人员三、对重要文件和数据可进行加密管理当前市面上此类软件较多，能够考虑购买一套加密软件，所有重要文件和数据经此软件加密后，只能在公司电脑上使用，一旦离开公司，文件均无法识别。四、针对不同的部门，灵活采用管理制度和模式如XX购物：改进BAS系统权限分配的细化，可灵活设置部门与菜单应用的权限（可联系软件提供商修改）超级管理员由专人负责。新入职员工一律填写《BAS权限开通申请表》，经部门领导签字后，由管理员开通BAS用户名和密码及相关权限。员工离职后，须由管理员关闭其用户名，并签字确认之后方可办理离职手续。权限与岗位职责相关，而不是与人员相关，岗位变化，权限随之变化，做到权限的明确分工。对服务器及重要数据定时定期进行检查维护和备份划成单独的子网。禁用所有的USB移动存储接口，所有光驱软驱一律拆除。工作场所内断绝可能与外界联系的一切通讯工具或手段，如手机，上网等等。附录：《电脑领用申请表》《上网权限开通申请表》《VPN权限开通申请表》《打印权限开通申请表》《USB接口开通申请表》《BAS权限开通申请表》申请人姓名部门职务联络电话（分机）手机领用日期申请领用设备：□台式电脑□笔记本□外设及其它申请领用原因(约80~200字)：电脑配件及备注（由信息部填写）：资产编号资产型号购置时间机箱电源主板CPU内存硬盘显卡显示器光驱键、鼠同意领用□不同意领用领用人签字：不同意领用请阐述理由：部门领导意见：□同意□不同意签字：日期：年月日行政领导意见：□同意□不同意签字：日期：年月日信息部意见：□同意□不同意签字：日期：年月日承办人签字：日期：年月日电脑领用注意事项：电脑经领用后，领用人须负责财产保管及维护该电脑之责。各部门负责人负连带监督责任。申请电脑请提前提出书面申请单（不含节假日）。电脑领用申请表上网权限开通申请表申请人姓名部门职务联络电话（分机）手机申请日期资产编号IP地址域用户名申请项目：□开通权限□取消权限申请开通原因(约80~200字)：申请人签字日期年月日部门领导签字意见□同意□不同意行政领导签字意见□同意□不同意………………以下内容由信息部填写………………管理员签字：建立时间年月日注：①填写此表前请详细阅读公司《IT信息管理制度》的上网行为管理部分②申请理由一栏须详细填写与工作相关的网络应用方面，以便管理员开通相应网络端口③如岗位变动或离职，须上报信息部以取消或重新分配相应权限VPN权限开通申请表申请人姓名部门职务联络电话（分机）手机申请日期申请项目：□开通权限□取消权限申请开通原因(约80~200字)：申请人签字日期年月日部门领导签字意见□同意□不同意行政领导签字意见□同意□不同意………………以下内容由信息部填写………………管理员签字：建立时间年月日注：①填写此表前请详细阅读公司《IT信息管理制度》的上网行为管理部分②申请理由一栏须详细填写与工作相关的网络应用方面，以便管理员开通相应网络端口③如岗位变动或离职