企业数据安全管理方案

数据安全数据安全泄露、防范、措施一、企业数据安全管理1、无安全意识大多数中小企业认为自己的数据无关紧要，加上对自己的员工信心满满，对数据防泄密措施置若罔闻，直到数据泄密给企业带来严重损失后才采取亡羊补牢的措施。企业生产经营过程产生的任何数据，都是企业在日积月累中反复摸索出来的，无论是某个人的劳动成果，还是集体的劳动成果，都是企业的财富。一些貌似不紧要的数据和文件，其实在产生过程中都是付出了大量心血。因此，企业经营者一定要采取有效措施保护好这些数据财富的安全意识。一、企业数据安全管理2、企业应当建立有效规章制度和防范措施企业应当制定相应的数据安全制度企业自身应设定相应的数据安全防范措施1、安装相应的硬件对数进行防范2、安装加密软件对数据进行防范3、日常数据安全防范一、企业数据安全管理3、有意识，嫌麻烦有些企业在加装硬件或者加密软件后，过份担忧硬件或者加密软件给现状带来的冲击，比如担心安装后影响员工效率、使用起来比较麻烦等，最后项目就不了了之了。企业数据防泄密措施与企业管理一样，也是要根据企业不同的发展阶段采用不同的手段的。如果只有几个创业者，完全可以靠自律保证数据的安全；而企业在快速发展过程中，数据的安全性和应用的灵活性必须同时兼顾。一、企业数据安全管理4、有措施，无管理有些企业虽然上了硬件和加密软件，但仍然出现一些泄密事件，有人便开始怀疑硬件和加密软件是否有用了。硬件和加密软件不是地牢，为方便企业交流也会有审批及解密的功能，这些关口都是由人去掌握的，如果没有相应的管理措施，出现数据泄密甚至形同虚设也不足为怪。这就跟一个企业有大门，有保安，但大门总是开着，保安对进出人员不闻不问一个道理。管理不当引起的失败尤其应引起企业的重视。管理方面主要有以下两个原因：1.主管领导不重视。硬件、软件买来了，装上了，就不过问了，只有管理员在维护。有些中高领导还要求管理员开后门，甚至以各种借口卸载软件。慢慢地，数据的重要性就变得不重要了，加密软件也就可有可无了。2.系统管理员经常换。硬件、加密软件的管理员掌握着企业数据仓库的钥匙，如果对其没有有效的监督，企业数据安全便没有保障。保持系统管理员的相对稳定，对其权限进行约束尤为重要。二、数据泄露途径、防范措施数据泄露途径数据泄露防范措施数据泄密统计分析表数据泄密途径示意图泄密途径具体分析泄密的原因有内部泄密、内部失密和外部窃密。1、内部人员离职拷贝带走资料泄密—这类情况发生概率最高。2、内部人员无意泄密和恶意泄密—企业内部人员在上网时候不小心中了病毒或木马，电脑上存储的重要资料被流失的情况也非常多3、外部竞争对手窃密—竞争对手采用收买方式，买通企业内部人员，让内部人员把重要信息发送竞争方，从而窃取机密的情况也非常多。泄密途径具体分析4、黑客窃密—目前国内许多黑客，通过层出不穷的技术手段，窃取国内各种重要信息。5、存储设备丢失和维修失密移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等，一旦遗失、维修或者报废后，其存储数据往往暴露无遗。随着移动存储设备的广泛使用，家庭办公兴起，出差人员的大量事务处理等等都会不可避免地使用移动存储设备。因此，移动存储设备丢失和维修导致泄密也是当前泄密事件发生的主要原因之一。例如U盘泄露数数据数据泄密密统计分分析表数据泄露露防范措措施1、切断源源头，设设立信息息级别制制度——对公司的的机密文文件进行行级别划划分，确确定机密密文件传传播的范范围，让让所有人人了解信信息的传传播界限限，员工工由自身身的岗位位确定相相应的信信息级别别，低层层次的岗岗位级别别不能查查阅、了了解、拷拷贝、接接触到高高层次的的信息级级别。2、重视保保密协议议——无规矩不不成方圆圆，无论论作用大大小，和和员工签签署清晰晰的保密密协议还还是必要要的。保保密协议议的内容容越详细细越好，，如果对对方心胸胸坦白，，自然会会欣然同同意。3、责任分分解——明确每个个人对相相关信息息的安全全责任。。所有的的机密文文件如果果出现泄泄露，可可以根据据规定找找到责任任人，追追究是次次要的，，相互监监督和防防范才是是责任分分解的最最终目的的。数据泄露露防范措措施4、防病毒毒计计算机病病毒一般般都隐藏藏在程序序和文档档中。目目前典型型的防病病毒技术术就是对对信息中中的病毒毒特征代代码进行行识别和和查杀。。5、VPN加密通道道虚虚拟专用用网VPN需要通过过不可信信的公用用网络来来建立自自己的安安全信道道，因此此加密技技术是重重要的选选择。6、水印技技术水水印技技术是信信息隐藏藏技术的的一种。。一般信信息都是是要隐藏藏在有一一定冗余余量的媒媒体中，，比如图图像、声声音、录录像等多多媒体信信息，在在文本中中进行隐隐藏比较较少。水水印技术术是可以以替代一一般密码码技术的的保密。。安全措施施小例1、提示语语：“请请擦去黑黑板并将将你所有有的秘密密文件处处理掉，，工业间间谍在你你之后预预定了这这一房间间。”2、办公区区放置了了碎纸机机，员工工需要将将所有用用过的废废纸进行行处理。。三、数据据安全体体系物理层面网络层面系统层面应用层面管理层面安全管理制度业务处理流程

业务应用系统

数据库应用系统

身份鉴别机制

强制访问控制防火墙

入侵检测系统

物理设备安全环境安全数据安全体系物理层面面一、物理理设备安安全1.1、服务器器、路由由器、交交换机、、工作站站、打印印机等硬硬件实体体和通信信链路免免受自然然灾害、、人为破破坏、和和搭线窃窃听攻击击。1.2、验证用用户的身身份和权权限，防防止越权权操作；；1.3、建立完完备的机机房安全全管理制制度，妥妥善保管管备份文文件和文文档资料料，防止止非法人人员进入入机房进进行偷窃窃和破坏坏活动等等。二、环境境安全2.1、确保网网络设备备有一个个良好的的电磁兼兼容环境境，物理理位置选选择、物物理访问问控制、、防盗和和防破坏坏、防雷雷击、防防火、防防水、防防潮湿、、防静电电、电力力保障、、电磁防防护抑制制和防止止电磁泄泄漏，可可以采用用屏蔽措措施和伪伪噪声技技术等来来解决。。网络层面面一防火墙墙1.1、安装并并开启防防火墙二、入侵侵检测系系统2.1、网络入入侵检测测的目的的主要是是监控主主机和网网络系统统上发生生的一切切事件，，一旦发发现有攻攻击的迹迹象或其其它不正正常现象象就采取取截断、、报警等等方式进进行处理理并通知知管理员员，同时时详细记记录有关关的事件件日志，，以备分分析取证证。它的的实时监监控和反反应大大大增强了了网络系系统的安安全性。。2.2、入侵检检测系统统一般分分为主机机型和网网络型，，前者监监控宿主主机系统统上的攻攻击特征征，后者者监控网网络上有有符合入入侵特征征的数据据包，当当前的入入侵检测测系统大大多都可可以与防防火墙和和反病毒毒软件连连动，从从而更有有效地阻阻断黑客客或病毒毒的入侵侵系统层面面一、身份份鉴别机机制1.1、建立用用户和分分配权限限，定期期检查用用户实际际权限与与分配权权限的符符合性；；1.2、通过身身份鉴别别、访问问控制等等严格的的规定限限制远程程管理账账户的操操作权限限和登录录行为；；1.3、明确各各类用户户的责任任、义务务和风险险，对系系统账户户的登记记造册、、用户名名分配、、初始口口令分配配、用户户权限及及其审批批程序、、系统资资源分配配、注销销等作出出规定；；应用层安安全身份鉴别别访问控制制通信保密密性通信完整整性软件容错错资源控制制数据安全全数据完整整性数据保密密性数据备份份与恢复复网络安全全结构安全全和网段段划分网络访问问控制网络入侵侵防范网络设备备防护恶意代码码防范主机系统统安全身份鉴别别自主访问问控制强制访问问控制系统保护护剩余信息息保护入侵防范范恶意代码码防范资源控制制四、企业业数据安安全防范范1、数据安安全防范范大纲2、企业数数据安全全防范措措施3、企业职职工数据据安全防防范措施施数据安全全防范大大纲1、保证企企业数据据财富的的安全，，一定是是人防与与技防并并举，指指望靠一一个硬件件或者一一个加密密软件解解决所有有问题，，是企业业信息化化过程中中很容易易犯的低低级错误误。用好硬件件和加密密软件的的主要要要素，最最少应该该包括如如下三点点：1.领导重重视。。要把把企业业数据据看成成财富富和资资产，，有强强烈的的数据据安全全意识识，建建立制制度并并监督督执行行。2.建立制制度。。用制制度规规范不不同岗岗位职职责和和数据据流向向，时时刻提提醒员员工扣扣紧数数据安安全这这根弦弦。3.做好服服务。。出现现使用用问题题及时时处理理，出出现业业务冲冲突及及时解解决，，但必必须保保证数数据是是安全全的。。企业数数据安安全防防范措措施1、强化化安全全保护护意识识，加加强计计算机机及系系统本本身实实体的的安全全管理理。2、建立立健全全企业业信息息安全全管理理制度度和操操作规规程制制度建建设是是确保保企业业信息息安全全的关关键。。3、结合合自身身硬软软件、、数据据和网网络等等方面面实际际情况况，提提高工工作人人员安安全意意识通通过设设置身身份限限制，，对不不同设设备设设置访访问权权限，，对于于各子子系统统工作作人员员每人人设置置一个个账号号，并并且每每个账账号设设置口口令，，并要要求定定期进进行更更改口口令。。4、企业业数据据安全全简单单说主主要分分为是是防御御和恢恢复两两个部部分，，防御御就是是安装装一些些杀毒毒软件件，服服务器器防火火墙等等等，，恢复复的话话主要要就是是数据据的备备份，，已经经数据据的恢恢复。。企业职职工具具体数数据安安全防防范措措施1、打印印机——打印时时人必必须在在跟前前，防防止走走开别别别人人复印印泄露露信息息。2、打印印纸背背面——提醒：：重要要文档档不要要戴着着节约约的帽帽子，，就顺顺手纳纳入到到废物物利用用的行行列！！3、电脑脑易手手——了解新新公司司最好好的渠渠道,提醒：：电脑脑部的的管理理人员员必须将工作作资料料清空空再格格式，，小心心驶得得万年年船，，况且且这只只是举举手之之劳。。4、共享享——做好文文件再再通知知窃取取者,提醒：：要么么不用用共享享，要要用的的话，，记住住删除除你的的共享享文件件，或或者提提示一一声““拷完完就删删”。。5、新进进培训训——无所保保留只只会有有所失失望,提醒：：培训训是好好事，，但对对新员员工而而言，，重要要的是是基础础培训训，而而不是是一切切信息息告知知。企业职职工具体数数据安安全防防范措施6、公用用设备备——不等于于公用用信息息，，例如如移动动硬盘盘公用用，那那数据据可能能会泄泄密。。7、光盘盘刻录录——资料在在备份份过程程中流流失,要求重重新备备份，，大多多情况况下，，留在在光驱驱里的的“废废盘””就可可以在在下班班后大大大方方方带带出公公司。。8、会议议记录录——被忽视视的黄黄金,提醒：：行政政要有有安全全意识识。9、应该按按照一一定的的规则则设置置桌面面系统统的登登录密密码，，并且且定期期修改改，减减少登登录密密码泄泄露或或被破破解的的可能能性。。10、定时时清除除IE浏览器器的临临时文文件夹夹，可可以防防止部部分敏敏感内内容的的泄露露。企业职职工具具体防防范措措施11、为防防止恶恶意代代码植植入系系统，，预防防计算算机病病毒感感染，，在收收到来来历不不明的的电子子邮件件时，，应注注意不不要随随意打打开邮邮件，，并立立即予予以删删除。。9、禁止止在未未经授授权的的情况况下，，私自自修改改系统统的计计算机机命名名标识识和网网络配配置。。10、禁止止在未未经授授权的的情况况下，，私自自安装装任何何应用用软件件，在在获得得授权权后，，只允允许安安装与与工作作有关关的正正版应应用软软件。。11、禁止止访问问互联联网上上与工工作无无关或或来历历不明明的站站点，，禁止止从互互联网网下载载与工工作无无关的的文件件。四、系系统运运维管管理ISO27001信息安全全管理体体系标准准数据安全全应急方方针数据安全全防范措施数据安全全硬件启启用方针针ISO27001信息安全全管理体体系标准准数据安全全应急方方针数据安全全防范措施—运维1、指定专专人对网网络进行行管理，，负责运运行日志志、网络络监控记记录的日日常维护护和报警警信息分分析和处处理工作作；2、根据厂厂家提供供的软件件升级版版本对网网络设备备进行更更新，并并在更新新前对现现有的重重要文件件进行备备份；3、进行网网络系统统漏洞扫扫描，对对发现网网络系统统安全漏漏洞进行行及时的的修补；；应保证证所有与与外部系系统连接接均应得得到授权权和批准准；4、建立网网络安全全管理制制度，对对网络安安全配置置、网络络用户以以及日志志等方面面作出规规定；5、对网络络设备的的安全策策略、授授权访问问、最小小服务、、升级与与打补丁丁、维护护记录、、日志以以及配置置文件的的生成、、备份、、变更审审批、符符合性检检查等方方面做出出具体要要求；数据安全全防范措措施—运维6、明确各各类用户户的责任任、义务务和风险险，并按按照机构构制定的的审查和和批准程程序建立立用户和和分配权权限，定定期检查查用户实实际权限限与分配配权限的的符合性性；7、对日志志的备份份、授权权访问、、处理、、保留时时间等方方面做出出具体规规定，使使用统一一的网络络时间，，以确保保日志记记录的准准确；8、通过身身份鉴别别、访问问控制等等严格的的规定限限制远程程管理账账户的操操作权限限和登录录行为；；9、定期检检查违反反规定或其他违反反网络安安全策略略行为。10、指定专专人对系系统进行行管理，，删除或或者禁用用不使用用的系统统缺省账账户；数据安全全防范措措施—运维11、制定系系统安全全管理制制度，对对系统安安全配置置、系统统帐户以以及审计计日志等等方面作作出规定定；12、对能够够使用系系统工具具的人员员及数量量进行限限制和控控制；13、定期安安装系统统的最新新补丁程程序，并并根据厂厂家提供供的可能能危害计计算机的的漏洞进进行及时时修补，，并在安安装系统统补丁前前对现有有的重要要文件进进行备份份；14、根据业业务需求求和系统统安全分分析确定定系统的的访问控控制策略略，系统统访问控控制策略略用于控控制分配配信息系系统、文文件及服服务的访访问权限限；15、对系统统账户进进行分类类管理，，权限设设定应当当遵循最最小授权权要求；数据安全全防范措措施—运维16、对系统统的安全全策略、、授权访访问、最最小服务务、升级级与打补补丁、维维护记录录、日志志以及配配置文件件的生成