分享好友 方案首页 频道列表

企业内部信息安全管理体系

2012-04-11北京金关科技有限公司

                                  企业内部信息安全管理体系   建议书                   北京金关科技有限公司                  
  目  录   1.... 理昌科技网络现状和安全需求分析:... 3 1.1          概述... 3 1.2          网络现状:... 3 1.3          安全需求:... 3 2.... 解决方案:... 4 2.1 总体思路:... 4 2.2          TO-KEY主动反泄密系统:... 5 2.2.1       系统结构:... 5 2.2.2       系统功能:... 6 2.2.3       主要算法:... 7 2.2.4       问题?... 7 2.3          打印机管理... 8 2.3.1       打印机管理员碰到的问题... 8 2.3.2       产品定位... 8 2.3.3       产品目标... 8 2.3.4       概念—TO-KEY电子钥匙预付费... 9 2.3.5       功能... 9 3.... 方案实施与成本分析... 10  
 

1         企业网络现状和安全需求分析:

1.1     概述

调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、 核心技术和公司其他资料必定要受到竞争对手的窥视。 2、 人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、 内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要解决这样一个矛盾:        在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。

1.2     网络现状:

公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。

1.3     安全需求:

公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求,和目前的网络现状,我们可以从下面几个方面去考虑信息泄露的途径: l         通过网络方式将信息发送出去,包括MAIL、QQ、MSN、FTP等多种文件传输方式。 l         通过对内部网络的窃听来非法获取信息 l         内部人员在其他人的计算机上种植木马,引导外部人员获取机密信息。可以有效逃避网络督察的监控。 l         内部人员将文件以密文方式发送出去,也能逃避网络督察的监控,网络上的加密工具太多了。 l         通过COPY方式将文件传送出去。 l         非法获取内部非自己权限内的信息,包括获取他人计算机上的信息以及越权访问服务器上的信息等。 l         网络管理人员将服务器上的信息复制出去。 l         制造计算机硬盘故障,将硬盘以维修的理由携带出去。 l         制造计算机故障,以维修的理由,将计算机带出公司 l         内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。 l         通过打印机将重要的文件如图纸、招标文件等打印后携带出去。 很显然除了上面所提及的技术手段外,还应该从公司的整个管理和企业文化等多个角度去考虑,显然良好的管理手段配合有效的技术手段,防止内部人员的泄密是完全可以防止的! 我们采用打印机管理系统和内部主动反泄密系统可以有效杜绝上面所涉及的泄露途径。 需要说明的是,现有的网络督察,已经能成功的解决通过内部网络泄露的很多问题。

2         解决方案:

2.1 总体思路:

通过密码算法技术,对文件的实现加密传输和存储。文件的解密必须得到相应的授权和一定的条件。一旦没有授权或条件不存在,文件的存储就以密文方式存在,即使获得文件也因无法解密而无效。文件加密采用168位的3DES国际通用密码算法。  

2.2      TO-KEY主动反泄密系统:

2.2.1   系统结构:

TO-KEY电子钥匙

  整个系统包括:TO-KEY电子令牌,主动防泄密客户端软件,主动防泄密管理软件,文件审批系统(网络软件),数据库(密钥管理、审计等信息) 其中: TO-KEY电子令牌实现文件加密和密钥存储功能。由于TO-KEY电子令牌与计算机的结合,使计算机成为一个特定的计算机硬件设备。        主动防泄密客户端软件实现个人计算机文件的管理。对于文件的传输、COPY以及以什么方式进行传输等进行控制。可以实现对所有文件的控制和管理。同时也是作为文件审批系统的客户端。用户可以通过该软件向部门领导提出对文件传输或COPY的申请,由管理员提供授权。只有被授权的文件才能被传输或COPY,并能被解密!        主动防泄密管理软件负责接受客户端的审批请求,对文件做出传输、COPY授权。可以指定什么文件,在什么情况下,允许COPY或传输,同时对文件进行加密和完整性认证!确保只有被指定的文件才能进行操作! 管理软件同时能查看客户端的文件操作行为!        文件审批系统建立起一个对文件操作权限进行审批的管理流程。        数据库用于密钥的存储和审计信息的存储。

2.2.2   系统功能:

1)  在默认状态下,所有的文件只能在内部权限域内复制和传输!对外的传输和复制均无法实现! 2)  文件传输管理,只开放几个基本的协议端口,包括:HTTP、FTP、POP3、SMTP等,对于其他的端口全部封闭。对于通过这些端口进行传输的文件,全部进行加密控制和管理。 3)  客户端软件安装后,自动信任本地硬盘驱动器,对于其他的存储设备,全部进行COPY加密管理,同时将本地的硬盘驱动器进行加密。 4)  所有文件的对外COPY、传输均必须得到管理员(公司领导)的授权,否则一概无法实现文件的传输和COPY!授权的同时,文件会自动形成密文包,同时对文件进行完整性认证,确保只有被授权的文件才能出内部网络。 5)  管理员可以设置内部的权限域,在内部权限域的传输,可以由用户自己定义文件的解密授权! 6)  所有的文件传输或COPY操作,均有审计备份! 7)  所有的计算机必须插TO-KEY 电子钥匙才能使用(一把钥匙对应一台计算机),拔KEY 后,计算机将进入锁定状态,无法使用。 8)  用户无法自己卸载软件,而且一旦软件没有运行,硬盘将无法正常读取文件,同时网络监控和管理中心就会报警。 9)  用户也无法自己安装应用软件,必须获得管理部门的授权,才能安装、使用。 10)              内部计算机一旦脱离了内部网络,文件将无法实现解密,所以即使将计算机带回家,也没有办法啦。

2.2.3    主要算法:

对称算法:3DES、RC4 公私钥算法:RSA1024 摘要算法:MD5、SHA-1

2.2.4   问题?

1、  文件出了内部网络(无论是COPY还是网络发送或网络窃取),文件将以密文方式存在,无法解密,如何解决正常文件的发送问题? 所有正常文件的发送,均由内部人员向专业管理人员提出申请,得到授权后,可以获得明文或授权密文发送。内部管理系统会自动记录整个申请和审批的过程。 2、  内部人员的笔记本如果携带出去,文件就无法使用了吗? 内部人员携带的笔记本,可以设置成特定机器模式,也就是文件在该机器上都是有效的,一旦出了该机器,文件将无法解密。也就是说,即使将笔记本携带出去,笔记本所有者也无法将文件泄露出去。一旦笔记本被偷,由于还有TO-KEY电子钥匙的保护,所以仅仅有笔记本,文件也是密文,别人获取不了有效的文件。 3、  内部机器需要安装应用软件怎么办? 内部人员需要安装软件,需要得到专业管理人员的授权,自己是无法安装应用软件的。这样还可以避免病毒和木马等程序的运行。 4、  TO-KEY电子钥匙丢失怎么办? 公司有密钥备份,丢失后,通过一定的程序申请后,可以重新配一把钥匙。 5、  人员自己废除在自己计算机上的安全管理软件怎么办? 软件运行在后台,具有再生功能,同时一旦程序运行不正常,那么网络上的管理中心就会发现并及时报警,同时所有文件均无法打开。

3         项目的实施

项目实施包括:安装、调试、培训等过程。 安装: 包括安装客户端软件、分级管理员软件、数据库、以及审批系统软件。 设置,包括对客户端和分级管理员软件进行设置,并初始化数据库。设置包括:内部权限域的划分,建立权限库等! 该过程一般需要3天时间 培训: 内部人员的培训和管理员的培训 该过程一般需要2天时间  

4         操作说明

1) 文件对外传输或COPY申请:     第一步:申请 客户端需要对外传输或者COPY文件,可以通过其客户端软件填写申请表。申请表包括: 文件属性: 文件名、后缀名、时间(可以是多个文件) 申请项目: 明文传输、密文授权传输、明文COPY、密文授权COPY、有效时间、执行人、接受人、传输方式、COPY方式等 附所有文件。 第二步:授权   管理人员受到请求后,对文件进行抗抵赖性处理,并生成一个审批结果文件,连同审批结论一并通过审批系统传输给申请人。如果以密文传输,由管理员生成密文,并进行授权后,返回给申请人。    第三步:导入 申请人通过客户端软件导入审批结果文件。    第四步:文件操作 根据审批结论,对文件进行传输或COPY操作。    系统对整个过程进行记录,同时在进行传输和COPY前,对文件的完整性进行验证! 2)文件的内部权限域内传输或者COPY 首先进行授权加密,指定内部权限域的接受人! 除了对外的文件传输或COPY,用户使用计算机与以前没有区别。只是将计算机带出或将硬盘带出后,文件将无法使用。   3密钥恢复 内部人员离开公司或密钥丢失,此时可以启动密钥备份系统。密钥备份系统可以复制出一对密钥,还可以重新配制一个KEY。但是密钥备份系统的使用需要有2个管理员分别插入对应的KEY并输入PIN码才能使用。  


反对
收藏
众志和达提升某市公安局警务平台高性能
依托于信息化技术的发展,“金盾工程”建设不断深入,通过整合分散的各类警务信息应用系统形成大情报系统,实现数据的全警采集、全警应用、全警共享,结合警务综合平台、信息研判平台、视频监控平台等具体应用,大幅提升了公安事业的侦查破案、打击犯罪的效率,公安信息化建设提升了警务处理与便民执法的效率,维护了国家安全与社会稳定。

0评论2012-09-19

惠普全新服务助政府机构加强应用和系统安全
惠普公司宣布扩展惠普面向政府及公共事业部门的安全(HP Security for Public Sector)解决方案,以帮助政府机构管理其所面临的威胁,控制由身份欺诈和应用漏洞造成的损失,并在支持法规遵从需求的同时提高效率。

0评论2012-09-18

国家税务总局公路内河货运、机动车项目提供商
2006 年底,国家税务总局为了达到控税的目的,减轻纳税人的负担,在全国货运业采用了可解决控税问题,同时成本较低的基于PKI 技术的税控盘和传输盘。我公司凭借较强的技术优势和多年服务军队及航天系统的严谨工作态度,成为全国三家供应商之一,为全国13 个省份提供我们的产品及服务。

0评论2012-05-08

旋极COMYIKEY220 应用于中国农业银行
为了保障中国农业银行网上银行数据传输的安全性,旋极公司选择了将IC 卡技术与互联网技术相结合的新一代COMYIKEY220 产品,以此保障中国农业银行网上银行金融服务安全运转,真正实现网上银行的业务操作,保证金融交易的安全性、完整性和不可抵赖性。

0评论2012-05-08

军工企业保护重要数据安全新方向
军工企业是国家军事装备重要的科研生产单位,随着社会信息化程度的提高,军工企业的研发、生产等流程应用了相应的信息系统,数字化程度也越来越高。

0评论2010-04-22

华北工控网安产品在网络安全管理及审计中的应用
  系统概述: 信息时代,互联网日趋普及,一些信息中心希望通过部署规范的审计系统,提高各类安全事件的防范,规范信息发布,

0评论2010-01-21

工业级网络密码机(网关VPN)
传输和接入安全一直是电子政务、金融、电信等大型网络试图解决的问题。在VPN技术出现以前,一般采用 "信道加密机"来解决这类安

0评论2008-04-17

研祥EIP在监狱监控系统中的解决方案
[系统概述]根据监狱监视控制系统的具体要求,建立基于计算机网络的的多媒体监控方案,满足监狱自身的安防和技防的需要。同时满足

0评论2007-11-17

BridgeWave通信公司和Fortress技术公司共同推出吉比特无线保密通信方案
【据军事航空电子2007年5月21日报道】BridgeWave通信公司是一家吉比特无线通信方案提供商,日前该公司与另一家保密无线网络提供

0评论2007-05-28

美国陆军采纳MDI安全管理解决方案
[据美国军事航空电子网站2007年4月14日报道] MDI有限公司是一家安全工业统一科技解决方案制造商,日前该公司宣布其统一接入控制

0评论2007-04-19