企业内部信息安全管理体系

企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com企业内部信息安全管理体系建议书北京太极英泰信息科技有限公司企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com目录1理昌科技网络现状和安全需求分析：...................................................................................31.1概述...........................................................................................................................31.2网络现状：...............................................................................................................31.3安全需求：...............................................................................................................32解决方案：..............................................................................................................................4２.1总体思路：......................................................................................................................42.2TO-KEY主动反泄密系统：...................................................................................52.2.1系统结构：.......................................................................................................52.2.2系统功能：.......................................................................................................62.2.3主要算法：.......................................................................................................62.2.4问题？...............................................................................................................72.3打印机管理...............................................................................错误!未定义书签。2.3.1打印机管理员碰到的问题...............................................错误!未定义书签。2.3.2产品定位...........................................................................错误!未定义书签。2.3.3产品目标...........................................................................错误!未定义书签。2.3.4概念—TO-KEY电子钥匙预付费...................................错误!未定义书签。2.3.5功能...................................................................................错误!未定义书签。3方案实施与成本分析................................................................................错误!未定义书签。企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com1企业网络现状和安全需求分析：1.1概述调查表明：80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说：“目前我国信息安全的最大问题是：安全威胁的假设错误！我们总是假设会受到来自外部的攻击，而事实上80%的信息泄露是由内部或内外勾结造成的。对于一个企业而言，其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天，企业不得不面对这样的严峻形势：1、核心技术和公司其他资料必定要受到竞争对手的窥视。2、人才的自由流动，以及竞争对手通过收买内部线人窃取资料。3、内部人员由于对公司的不满，而采取的破坏行为。而另外一方面，随着计算机的普及和信息化的发展，采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然，企业需要解决这样一个矛盾：在充分利用信息化所带来的高效益的基础上，保证企业信息资源的安全！理昌科技作为一家专业从事保险带产品开发和生产的外资企业，公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术，增强核心竞争力。公司在现有网络信息的基础上，提出防泄密的需求。我们根据理昌科技的需求，并结合我们的行业经验，提出了下面的方案。1.2网络现状：公司组成局域网，内部人员通过局域网上网，内部具有多个网络应用系统。在内部部署有网络督察（网络行为监控系统）能记录内部人员网络行为。1.3安全需求：公司安全的总体需求是：“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com图”。根据此总体需求，和目前的网络现状，我们可以从下面几个方面去考虑信息泄露的途径：通过网络方式将信息发送出去，包括MAIL、QQ、MSN、FTP等多种文件传输方式。通过对内部网络的窃听来非法获取信息内部人员在其他人的计算机上种植木马，引导外部人员获取机密信息。可以有效逃避网络督察的监控。内部人员将文件以密文方式发送出去，也能逃避网络督察的监控，网络上的加密工具太多了。通过COPY方式将文件传送出去。非法获取内部非自己权限内的信息，包括获取他人计算机上的信息以及越权访问服务器上的信息等。网络管理人员将服务器上的信息复制出去。制造计算机硬盘故障，将硬盘以维修的理由携带出去。制造计算机故障，以维修的理由，将计算机带出公司内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。通过打印机将重要的文件如图纸、招标文件等打印后携带出去。很显然除了上面所提及的技术手段外，还应该从公司的整个管理和企业文化等多个角度去考虑，显然良好的管理手段配合有效的技术手段，防止内部人员的泄密是完全可以防止的！我们采用打印机管理系统和内部主动反泄密系统可以有效杜绝上面所涉及的泄露途径。需要说明的是，现有的网络督察，已经能成功的解决通过内部网络泄露的很多问题。2解决方案：２.1总体思路：通过密码算法技术，对文件的实现加密传输和存储。文件的解密必须得到相应的授权和一定的条件。一旦没有授权或条件不存在，文件的存储就以密文方式存在，即使获得文件也因无法解密而无效。文件加密采用168位的3DES国际通用密码算法。企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com2.2TO-KEY主动反泄密系统：2.2.1系统结构：整个系统包括：TO-KEY电子令牌，主动防泄密客户端软件，主动防泄密管理软件，文件审批系统（网络软件），数据库（密钥管理、审计等信息）其中：TO-KEY电子令牌实现文件加密和密钥存储功能。由于TO-KEY电子令牌与计算机的结合，使计算机成为一个特定的计算机硬件设备。主动防泄密客户端软件实现个人计算机文件的管理。对于文件的传输、COPY以及以什么方式进行传输等进行控制。可以实现对所有文件的控制和管理。同时也是作为文件审批系统的客户端。用户可以通过该软件向部门领导提出对文件传输或COPY的申请，由管理员提供授权。只有被授权的文件才能被传输或COPY，并能被解密！主动防泄密管理软件负责接受客户端的审批请求，对文件做出传输、COPY授权。可以指定什么文件，在什么情况下，允许COPY或传输，同时对文件进行加密和完整性认证！确保只有被指定的文件才能进行操作！TO-KEY电子钥匙企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com管理软件同时能查看客户端的文件操作行为！文件审批系统建立起一个对文件操作权限进行审批的管理流程。数据库用于密钥的存储和审计信息的存储。2.2.2系统功能：1）在默认状态下，所有的文件只能在内部权限域内复制和传输！对外的传输和复制均无法实现！2）文件传输管理，只开放几个基本的协议端口，包括：HTTP、FTP、POP3、SMTP等，对于其他的端口全部封闭。对于通过这些端口进行传输的文件，全部进行加密控制和管理。3）客户端软件安装后，自动信任本地硬盘驱动器，对于其他的存储设备，全部进行COPY加密管理，同时将本地的硬盘驱动器进行加密。4）所有文件的对外COPY、传输均必须得到管理员（公司领导）的授权，否则一概无法实现文件的传输和COPY！授权的同时，文件会自动形成密文包，同时对文件进行完整性认证，确保只有被授权的文件才能出内部网络。5）管理员可以设置内部的权限域，在内部权限域的传输，可以由用户自己定义文件的解密授权！6）所有的文件传输或COPY操作，均有审计备份！7）所有的计算机必须插TO-KEY电子钥匙才能使用（一把钥匙对应一台计算机），拔KEY后，计算机将进入锁定状态，无法使用。8）用户无法自己卸载软件，而且一旦软件没有运行，硬盘将无法正常读取文件，同时网络监控和管理中心就会报警。9）用户也无法自己安装应用软件，必须获得管理部门的授权，才能安装、使用。10）内部计算机一旦脱离了内部网络，文件将无法实现解密，所以即使将计算机带回家，也没有办法啦。2.2.3主要算法：对称算法：3DES、RC4公私钥算法：RSA1024企业内部信息安全管理体系电话：13255215520E-Mail:jiandandan2008@sina.com摘要算法：MD5、SHA-12.2.4问题？1、文件出了内部网络（无论是COPY还是网络发送或网络窃取），文件将以密文方式存在，无法解密，如何解决正常文件的发送问题？所有正常文件的发送，均由内部人员向专业管理人员提出申请，得到授权后，可以获得明文或授权密文发送。内部管理系统会自动记录整个申请和审批的过程。2、内部人员的笔记本如果携带出去