全方位立体化的内部安全保密管理教材

全方位立体化的内部安全保密管理2023/4/30第一页，共三十九页。目录内部安全保密管理的驱动力内部安全保密管理的建设思路内部安全保密管理实践经验内部安全保密管理技术方案Page2第二页，共三十九页。当今企业所处信息环境过去企业是在一个相对封闭的环境中运作，内部信息安全完全在企业的控制之下今天

开放的、互联的网络环境在带来丰富的资源和便利的同时也使公司的资产暴露在越来越多的威胁中过去Page3第三页，共三十九页。Page4我们身边的惨痛教训英国皇家税务及海关总署光盘泄密案2007年11月20日，英国财政大臣阿利斯泰尔·达林证实，税务及海关总署遗失两张重要数据光盘，其中包括2500万人的敏感信息，属“重大失误”，该信息泄密使英国近一半人口面临受欺诈的危险

。英税务及海关总署署长保罗·格雷同日宣布引咎辞职。香港5医院3千病人资料遗失泄密案2008年5月6日，香港医管局证实去年曾发生9宗遗失病人资料事件，涉及5间医院共3000名病人。医管局行政总裁苏利民表示，遗失的资料包括3000名病人的个人资料，其中有约1000名资料没有加密引发信息外泄微软Vista泄密案2006年11月11日，第一个WindowsVista的英文正式版（内核Unicode统一语言编码，支持简体中文）被黑客组织公布到互联网上，这时距离微软交付给合作厂商的日期还有19天。信息泄密成为无法承受痛之Page4第四页，共三十九页。Page5我们身边的惨痛教训电脑文件被盗中共统战部西藏局局长被留党察看泄密案中共中央统战部西藏局女局长毕华疑因涉嫌泄密日前突被撤职，并受到“留党察看”处分，但她坚持没有犯错。路透社及香港明报引述北京消息人士透露，毕华是由于工作电脑遭“黑客”入侵，导致大量中央有关对藏政策的文件被盗走，令中央西藏工作内情外泄。事件震惊中央高层，中共中央总书记、国家主席胡锦涛下令彻查。消息人士指出，毕华所属的统战部西藏工作局又称“七局”，最近达赖喇嘛特使与中央统战部的接触就是经由七局的安排。早前，毕华在工作中所使用的电脑怀疑受“黑客”入侵，由於毕华将大量的文件备份置於电脑档案中，造成不少文件丢失，包括中央对西藏工作的重要部署和规划等，很可能对西藏工作带来一定影响。。。。。。。Page5第五页，共三十九页。内部安全保密管理驱动力保密安全事件法律法规保密技术人安全事件增多安全泄密危害增大黑客蠕虫病毒恶意代码网络钓鱼USB泄密邮件泄密非法网络外联员工窃取信息保密信息保管不当。。。。。。法律法规日益完善国内：《计算机信息系统保密管理规定》《计算机信息系统国际联网保密管理规定》《涉及国家秘密的信息系统分级保护技术要求》国家信息安全等级保护制度公安部第82号令海外：SOX法案PCI数据安全标准安全技术不断发展边界防卫入侵检测传输安全存储安全访问授权文档安全管理帐号管理和认证授权。。。。。。人成为安全保密中最活跃的因素处于政治或商业目的内部员工窃取企业秘密信息信息安全意识薄弱特权人员越权访问员工误操作恶意员工破坏企业信息人员复杂行为难于审计。。。。。。安全保密管理Page6第六页，共三十九页。目录内部安全保密管理的驱动力内部安全保密管理的建设思路内部安全保密管理实践经验内部安全保密管理技术方案Page7第七页，共三十九页。内部安全保密管理的建设思路建立全方位立体化的内部安全保密全方位是指内部安全保密管理是以安全法规为基础、安全技术为支撑、业务流程为保障、安全管理为重点的系统工程立体化是指内部安全保密架构建设是分层次的，在不同环节都要进行防护安全保密管理是一持续改进的动态过程安全保密管理必须始终围绕支持企业业务和竞争力来开展，在实现安全保密的基础上，考虑风险和投入，在安全、效率、成本之间求平衡Page8第八页，共三十九页。内部安全保密管理建设要点1从管理出发结合法律法规，制定相应的安全保密管理制度，并且通过有效技术手段保障制度的落实2建立网络层和应用层相结合的立体化内部安全保密体系，强化接入控制和访问控制3防止信息泄密需要对文档进行安全管理，控制文档的访问者权限，从信息源头开始解决内部安全保密4在强化人员培训和保密意识提升的同时，加强对员工行为的管理和审计Page9第九页，共三十九页。目录内部安全保密管理的驱动力内部安全保密管理的建设思路内部安全保密管理实践经验内部安全保密管理技术方案Page10第十页，共三十九页。保密管理建设需要统一规划、分步建设安全保密状况评估和分析建立安全保密政策和管理体系

初步推行和落实安全保密管理体系

启动安全保密基础设施建设建设初步阶段实现监控制度化、流程化和定期化建设安全配置管理，实现安全风险的量化管理机制

建设安全管理持续优化机制建设后期阶段全面审视、优化和深化信息安全体系建设整体信息安全防护体系建设集中监控平台

建设中期阶段保密管理建设可能性级别定义5几乎肯定发生4非常有可能发生3发生的可能性较大2有可能发生1基本不可能发生影响级别定义5极其严重影响4严重影响3一定影响2轻微影响1基本没有影响风险级别可能性54321影响1234中中低低低高中中低低高高高中中极高高高中中5极高极高高高高Page11第十一页，共三十九页。有效安全保密管理的”1＋1”有效的安全保密管理不能光靠先进的技术体系，更要靠严密的安全保密管理制度与严格的执行落实保密技术体系固然很重要，但并不是万能的，完善的管理制度与严格的执行力比技术措施更加有效安全保密体系

保密理论管理框架技术平台策略…管理运作

强有力的执行力人员制度流程…有效安全保密管理保密管理建设Page12第十二页，共三十九页。对保密信息访问应遵循三原则最小授权原则工作相关性原则审批、受控原则保密信息访问Page13第十三页，共三十九页。文档安全管理保密信息访问文档安全管理防止内部人员主动泄密防止黑客窃取资料防止设备遗失导致泄密外部人员文档创建人授权只读文档内部阅读者泄密文档安全管理中心无法获取授权文档创建人文档安全管理中心加密保存敏感文档窃取无法获取授权外部人员外部人员出差人员连接公司网络获取文档阅读授权设备遗失文档安全管理中心破解ID但ID权限取消无法获取授权通知管理员取消本人ID所有文档权限Page14第十四页，共三十九页。人员安全管理员工生命周期管理雇佣前在职期间离开公司第三方人员管理人员选拔奖惩物理控制宣传培训法律技术保障员工第三方人员人员安全管理Page15第十五页，共三十九页。Page16员工行为管理和审计管理和审计终端的各种行为举动，防止信息泄密，保障违规取证监控USB途径的信息泄密行为检查通过多网卡、Modem、无线上网的情况检查非法外联状况检查终端上网状况并保存记录上网黑白名单检查终端软件使用情况（黑白软件功能）台式机端口封闭笔记本管理邮件发送权限，手机，打印员工管理策略行为审计任务终端用户行为管理策略行为审计策略违规信息审计信息管理员违规报表审计报表人员安全管理Page16第十六页，共三十九页。合理的奖惩条例根据违规行为的后果、性质以及违规人的主观意愿对员工违规行为和处罚分为四级，同时规定具体处罚方法；根据对公司安全保密的贡献大小，将奖励分为三个等级，并明确具体的奖励办法；对违反安全保密管理规定者，如其主管明显管理和指导不力须承担连带责任；对在安全管理制度和措施上贯彻、监控不力、权限审核不当，造成公司安全制度和措施难以落实、部门安全管理工作混乱的部门主管，须承担领导责任。人员安全管理Page17第十七页，共三十九页。示例：违规与处罚等级对违反安全管理规定，性质较轻，没有造成公司损失的，通报批评，责令书面检查，罚款100-400元。降薪！！！对无意违反安全管理规定，造成公司损失的；或者对于有意违反信息安全管理规定，但性质不严重且没有造成公司严重损失的，通报批评，责令书面检查，降薪100-300元。四级三级人员安全管理Page18第十八页，共三十九页。示例：违规与处罚等级对有意违反信息安全管理规定，性质严重或造成公司损失的，通报批评，责令书面检查，降薪500-1000元。法办！！！对有意盗窃、泄露公司保密信息的，或有意违反信息安全管理规定，性质严重造成重大损失的，给予罚款、辞退、开除、公示的处理，记入个人人事档案，并赔偿公司损失。对于触犯国家法律的，移交国家司法机关依法处理。二级一级人员安全管理Page19第十九页，共三十九页。体会“大处着眼，小处着手”

在项目建设中遵循整体方案、统一规划、分步实施、阶段见效的原则，以流程建设为导向，逐步替换现有业务操作方式。“持续优化，不断改进”

选择能够与竞争环境和业务需求匹配的系统，尽快行动起来，开始分享项目建设带来的回报，等待完美不会带来收益，安全保密管理是一个持续优化，不断改进的过程。Page20第二十页，共三十九页。安全保密管理实践经验保密管理建设安全保密管理必须是高层牵头、领导负责、全员参与、专人管理；安全保密建设需统一规化、分步建设；安全保密管理需要以策略为中心持续优化、不断改进，通过IT工具保障策略的有效执行；有效的安全保密管理需要强调执行力，安全保密管理1+1；保密管理为信息安全的一部分，参考业界最佳的信息安全实践及信息安全国际标准：BS7799、ITIL等保密信息访问对保密信息的访问应遵循最小授权、工作相关、审批受控原则；建立网络层和应用层相结合的安全保密架构，强化接入控制和访问控制；抓住重点信息保密，对文档进行安全管理，控制文档的访问者权限，从信息源头开始解决内部安全保密；人员安全管理人员生命周期管理，第三方人员管理在强化人员培训和保密意识提升的同时，加强对员工行为的管理和审计；制定合理的奖惩制度，并且持续进行；Page21第二十一页，共三十九页。目录内部安全保密管理的驱动力内部安全保密管理的建设思路内部安全保密管理实践经验内部安全保密管理技术解决方案Page22第二十二页，共三十九页。解决方案综述SecospaceTSM终端安全系统SecospacePSM移动介质管理SecospaceDSM文档安全系统123Page23第二十三页，共三十九页。阻止非授权用户隔离修复不安全用户华为Secospace终端安全管理授权访问实时监控用户行为审计取证策略身份认证监控响应安全检查授权访问审计恢复敏感资源核心资源一般资源Page24第二十四页，共三十九页。1、安全策略管理财务部安全策略模板检查软件黑白名单检查注册表子键检查防病毒软件补丁检查……Web访问监控

IM，P2P监控移动存储设备监控总裁办安全策略模板检查防病毒软件补丁检查安全策略检查不通过禁止接入网络认证后域认证后域业界最丰富的安全策略，强制企业IT策略遵从主动评估终端安全状态，强制终端策略遵从，自动发现终端漏洞，消除已知、未知威胁量体裁衣，基于角色的动态策略控制基于用户角色或部门自定义不同安全规则，针对不同点控制点采取不同策略

安全策略检查通过授权接入网络财务部总裁办修复后接入网络的违规行为上报服务器严格宽松SMPage25第二十五页，共三十九页。全自动修复自动修复，一键满足各种合规要求安全检查检查软件黑白名单检查注册表子键检查防病毒软件补丁检查……禁止接入网络认证后域全自动修复安装了指定的AS

安装了正确版本的AV

病毒库已更新安装了最新的OS补丁安全接入网络防病毒软件自动下载防病毒软件强联动，自动更新病毒库补丁自动修复提供链接安装指定软件注册表键值自动修复屏保设置自动修复共享目录自动删除……自动修复Page26第二十六页，共三十九页。2、员工行为管理1控制各种非法外联行为控制各类IM、炒股、P2P软件和网游阻止ARP欺骗报文阻止ARP泛洪报文提供ARP地址静态绑定网络行为管理控制网络流量ARP防护基于协议的监控基于端口的监控ModemADSL终端VPN网关非法Proxy服务器ISDN终端无线网卡、双网卡实时阻断基于时间阻断限速事后审计Page27第二十七页，共三十九页。3、员工行为管理2Printer增加、删除、编辑、复制、重命名操作监控选择指定文件或动作监控外设接口管理软驱/光驱串口/并口红外、1394等……文件操作进程/服务黑白名单强制运行信息安全控制软件，并提供修复建议和链接阻止不合规软件安装强制关闭危险服务（如DHCP等），或启用必要服务USB口控制Web访问、IP访问过滤各种恶意、可疑网站URL

配置主机防火墙IP规则控制终端上、下行访问Page28第二十八页，共三十九页。3、补丁管理自动化补丁检查补丁服务器主动推送客户端主动下载，本地下载智能提示基于用户群组的分组补丁下发分布式补丁分发断点续传，保障下载的持续性连贯性可选择闲时分发补丁智能化补丁下发补丁安装统计124补丁安装3多种安装策略：自动/手动静默依据系统环境选择安装自动修复系统漏洞，帮助内网的用户主机及时更新操作系统、Office、数据库、IE补丁,避免因为系统漏洞带来的安全隐患和威胁。部署情况统计下载补丁记录SC/FTPSMAdministratorSC/FTP2SC/FTP1分布式补丁分发自动化补丁下发请求补丁列表；部署情况统计制定补丁部署任务Page29第二十九页，共三十九页。Page304、资产管理实施资产管理终端用户触发资产自动收集SM管理员资产统计报表自动收集资产信息反馈资产变更信息资产变更报表资产告警统一管理企业资产，了解资产生命周期状况，防止资产流失，提高管理效率资产软硬件信息自动采集用户资产信息绑定，落实资产归属责任资产变更自动跟踪，提供资产变更短信告警，有效防止资产流失资产生命周期状况管理，如报废期和超过保修期及时提醒资产信息统计，提供丰富的资产统计报表和资产变更报表Page30第三十页，共三十九页。5、软件分发软件自动化部署，简易终端信息化维护工作，提高部署效率支持分布式软件分发，有效分担网络流量，平衡负载多种安全策略灵活选择：自动、手动和静默安装支持配置分发软件参数，带参数执行支持按部门、按操作系统进行软件分发支持断点续传以及文件完整性校验(MD5)SC/FTPSMAdministratorSC/FTP2SC/FTP1分布式软件分发软件分发制定软件分发任务制定软件分发任务Page31第三十一页，共三十九页。移动存储设备管理PSMU盘授权控制U盘使用审计U盘注册单机版客户端Page32第三十二页，共三十九页。

SecospacePSM安全解决方案概述开启身份认证访问授权阻止非授权用户和终端开启访问权限使用审计阻止非授权终端阻止非授权用户统一注册临时普通注册普通注册加密注册临时加密注册Page33第三十三页，共三十九页。SecospacePSM移动介质管理

全面USB移动存储设备支持（以下所有的移动存储设备均简称U盘）：USB移动硬盘、各类FlashDisk（U盘）、读卡器（SD/MMC、XD、MemoryStick、CF/MD）USBMP3/MP4、非WinCE的智能手机、数码相机光驱/刻录机统一注册：提供普通注册、全盘加密注册；支持临时注册灵活授权：提供阻止、只读、只写、放行四种控制方式多维度管理：提供居于用户和计算机两个维度的管理多种认证方式：AD/本地账号/不认证使用审计：提供全过程移动存储设备使用审计Page34第三十四页，共三十九页。账号、部门管理用户漫游跨系统授权

Web客户端登陆日志文件操作日志强大的动态加解密技术实时文档权限控制组策略与权限模板SecospaceDSM主要功能用户管理文档权限管理日志审计

Secospace文档安全管理通过实时权限控制，提供安全授权下的机密信息共享，使信息所有者能够定义信息的访问者、访问方式和时间等，并记录文档操作日志，助力企业构建安全可控的文档安全管理平台Secospace文档安全管理系统（DSM,DocumentSecurityManagement）Page35第三十五页，共三十九页。完善的权限控制方式用户组D用户组C用户B用户A权限只读修改分发打印离线使用√√√√√√√√√√√——————基于用户组完善的权限管理，使信息所有者能够定义信息的访问者、访问方式和时间，主动防止各种信息泄密行为。提供三个文件权限级别：只读编辑：可附加打印、复制、分发和离线完全控制：可还原文档复制完全控制√√√——————√√其他权限控制：权限有效期限制，可自动使内容过期，无论文档在何处周期性时间控制，指定每天固定时间段内才能访问打印/只读次数设置，严格控制文档访问和打印次数Page36第三十六页，共三十九页。文件所有操作日志