公司網(wǎng)絡(luò)及信息安全解決方案典型案例

XXX公司網(wǎng)絡(luò)及信息平安

整體解決方案

深圳昂楷科技12/2/2023目錄平安現(xiàn)狀及挑戰(zhàn)第一期整體平安解決方案規(guī)劃未來(lái)平安解決方案展望平安已經(jīng)不僅是技術(shù)問(wèn)題正在轉(zhuǎn)向經(jīng)濟(jì)獲益，且愈演愈烈；安全威脅正變得越來(lái)越難以檢測(cè)和消除安全威脅的嚴(yán)重程度1990199520002005經(jīng)濟(jì)安全威脅:經(jīng)濟(jì)盜竊和破壞中期安全威脅:病毒和惡意軟件早期安全威脅:基本的入侵和網(wǎng)絡(luò)病毒20072010Page3企業(yè)內(nèi)控的開(kāi)展歷史巴塞爾協(xié)議19881992COSO內(nèi)控框架安然、安達(dá)信丑聞曝光2001.82001.12世通丑聞曝光1996COBIT控制框架2002.7薩班斯法案頒布2004.6新巴塞爾協(xié)議2004.9COSOERM框架2004.12中航油事件曝光2006.6金融工具與交易法公布2006.6上交所內(nèi)控指引2006.6中央企業(yè)全面風(fēng)險(xiǎn)管理指引2006.9深交所內(nèi)控指引2007.7商業(yè)銀行內(nèi)控指引2008.6企業(yè)內(nèi)部控制基本規(guī)范2006.7企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)成立Page4企業(yè)成長(zhǎng)與信息技術(shù)

經(jīng)營(yíng)擴(kuò)張業(yè)務(wù)以客戶為中心，分散化支撐部門強(qiáng)調(diào)專業(yè)，集中化客戶地域分布多樣化供應(yīng)商，合作伙伴全球化ERP、DRP、CRM流程平臺(tái)Email，OA系統(tǒng)知識(shí)管理系統(tǒng)VoIP，視頻會(huì)議數(shù)據(jù)中心，呼叫客服中心信息技術(shù)Page5XXX公司信息系統(tǒng)面臨的挑戰(zhàn)需要為多種復(fù)雜應(yīng)用提供方便、快捷的遠(yuǎn)程訪問(wèn)接入隨時(shí)隨地可以訪問(wèn)公司內(nèi)部業(yè)務(wù)系統(tǒng)：DRP、ERP、OA…移動(dòng)便攜機(jī)滿足出差人員外出辦公合作伙伴等外來(lái)計(jì)算機(jī)需要接入公司網(wǎng)絡(luò)需要控制由訪問(wèn)范圍擴(kuò)展、訪問(wèn)環(huán)境復(fù)雜化所帶來(lái)的平安風(fēng)險(xiǎn)非授權(quán)訪問(wèn)網(wǎng)絡(luò)濫用外部或分支機(jī)構(gòu)訪問(wèn)公司業(yè)務(wù)信息可能導(dǎo)致的信息泄密便攜機(jī)外出辦公可能導(dǎo)致的信息泄密公司內(nèi)部網(wǎng)絡(luò)在郵件外發(fā)或者USB等移動(dòng)存貯設(shè)備導(dǎo)致的信息泄密公司核心業(yè)務(wù)系統(tǒng)的平安保障核心業(yè)務(wù)數(shù)據(jù)的災(zāi)備核心業(yè)務(wù)系統(tǒng)的入侵防護(hù)WEB及數(shù)據(jù)庫(kù)平安防護(hù)網(wǎng)絡(luò)及信息平安制度，保證公司IT系統(tǒng)平安運(yùn)行Page6目錄平安現(xiàn)狀及挑戰(zhàn)第一期整體平安解決方案規(guī)劃未來(lái)平安解決方案展望方案綜述防火墻分支機(jī)構(gòu)合作伙伴IPSecVPNSoHo用戶防火墻＋VPN防火墻＋VPNADSLADLS撥號(hào)銷售部研發(fā)區(qū)域財(cái)務(wù)區(qū)域?qū)ν庑趨^(qū)平安域隔離分支機(jī)構(gòu)、移動(dòng)終端、SOHU用戶VPN接入辦公電腦和便攜機(jī)終端接入控制及行為管控重要數(shù)據(jù)防泄密控制Page8網(wǎng)絡(luò)拓?fù)鋉改造前Page9網(wǎng)絡(luò)拓?fù)鋉改造后：網(wǎng)絡(luò)出口防火墻保護(hù)、劃分平安域隔離、分支及移動(dòng)便攜、sohu接入終端VPN控制InternetPage10業(yè)務(wù)系統(tǒng)平安域隔離解決方案面臨問(wèn)題：如何實(shí)現(xiàn)不同平安等級(jí)部門及外部共享區(qū)的隔離，提高系統(tǒng)的平安性解決方案劃分不同的業(yè)務(wù)IP網(wǎng)段,,保證各業(yè)務(wù)系統(tǒng)區(qū)域之間的訪問(wèn)控制,劃分為銷售,研發(fā),財(cái)務(wù)等部門移動(dòng)辦公用戶通過(guò)用戶名進(jìn)行部門區(qū)分,動(dòng)態(tài)分配所屬區(qū)域IP地址將Web網(wǎng)站,,文件,郵件效勞器部署在防火墻的DMZ區(qū)域,提供對(duì)外訪問(wèn)在總部使用專業(yè)防火墻實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的平安域隔離，在分支機(jī)構(gòu)采用分支防火墻保證分支機(jī)構(gòu)的平安總部專業(yè)防火墻需新購(gòu)置，同時(shí)將10M專線和ADSL上internet兩個(gè)出口管理起來(lái)，目前還有一臺(tái)sonicwallTZ170防火墻可以放到分廠或大分支機(jī)構(gòu)使用，在分廠和大的分支機(jī)構(gòu)需新購(gòu)置小型分支防火墻。Internet分支機(jī)構(gòu)A研發(fā)部區(qū)域銷售部區(qū)域財(cái)務(wù)部區(qū)域分支機(jī)構(gòu)B分支機(jī)構(gòu)C專業(yè)防火墻M5100AC郵件效勞器網(wǎng)站效勞器Page11移動(dòng)辦公/SOHU接入平安解決方案面臨問(wèn)題出差人員需要便攜機(jī)接入公司網(wǎng)絡(luò)，有些工作人員需要在家或賓館利用外部電腦接入公司網(wǎng)絡(luò)，如何保證公司核心機(jī)密信息的泄露？解決方案借用公司便攜機(jī)出差人員安裝IPSECVPN客戶端接入公司網(wǎng)絡(luò)，并同時(shí)配發(fā)軟Token軟件甚至硬TOKEN卡加強(qiáng)身份驗(yàn)證平安性；Sohu接入公司網(wǎng)絡(luò)人員，通過(guò)SSLVPN接入公司，無(wú)需安裝客戶端，保證公司業(yè)務(wù)平安；機(jī)構(gòu)總部Internet遠(yuǎn)程維護(hù)出差移動(dòng)辦公SecurID數(shù)字證書(shū)USBKey專業(yè)防火墻SOHOPage12分支機(jī)構(gòu)VPN互聯(lián)Internet遠(yuǎn)程辦公采購(gòu)部合作伙伴分支機(jī)構(gòu)IPSecVPNIPSECVPN銷售部財(cái)務(wù)部IDS…FWMA5100ACSW明文FW分支VPN面臨問(wèn)題分支機(jī)構(gòu)需要接入到總部ERP、DRP、OA系統(tǒng)，如何保證網(wǎng)絡(luò)傳輸中的信息平安？解決方案某些大的分支機(jī)構(gòu)需要使用硬件VPN網(wǎng)關(guān)接入到總部，如上海、北京；小的辦事處/分支機(jī)構(gòu)使用軟VPN接入到公司網(wǎng)絡(luò)；目前總部和分廠已經(jīng)使用VPN互聯(lián)，需要擴(kuò)容，解決某些分支機(jī)構(gòu)沒(méi)有通過(guò)VPN聯(lián)入公司的漏洞Page13終端接入及行為管控平安方案需要解決的問(wèn)題需要對(duì)接入公司網(wǎng)絡(luò)的身份、合規(guī)性就行驗(yàn)證，防止外來(lái)人員接入網(wǎng)絡(luò)，防止計(jì)算機(jī)軟件不合規(guī)引發(fā)網(wǎng)絡(luò)故障，知識(shí)產(chǎn)權(quán)泄露；對(duì)接入網(wǎng)絡(luò)的終端上網(wǎng)行為就行管控，提高工作效率，防止信息通過(guò)移動(dòng)存貯介質(zhì)、即時(shí)通訊軟件、WEB、EMAIL等途徑泄露公司核心機(jī)密；資產(chǎn)管理；解決方案公司目前已經(jīng)使用IP-Guard軟件對(duì)局部電腦終端進(jìn)行管控，需要補(bǔ)充移動(dòng)終端的控制，增加license數(shù)，并且要使用接入控制功能。不合格進(jìn)入隔離區(qū)強(qiáng)制加固隔離區(qū)平安認(rèn)證合法用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請(qǐng)求企業(yè)網(wǎng)絡(luò)動(dòng)態(tài)授權(quán)合格用戶不同用戶享做不同的網(wǎng)絡(luò)使用權(quán)限Page14數(shù)據(jù)防泄露方案－－總體需求目前存在的主要威脅便攜機(jī)移動(dòng)辦公存在很大的泄密風(fēng)險(xiǎn)SOHU〔在家、賓館。。?！撤绞浇尤牍竞诵臉I(yè)務(wù)系統(tǒng)存在泄密風(fēng)險(xiǎn)機(jī)密數(shù)據(jù)如本錢、定單等在公司內(nèi)部沒(méi)有嚴(yán)格控制存在泄密風(fēng)險(xiǎn)移動(dòng)存貯介質(zhì)存在泄密風(fēng)險(xiǎn)郵件、即時(shí)通訊、網(wǎng)頁(yè)上傳等文件外發(fā)存在泄密風(fēng)險(xiǎn)泄密途徑需求歸納Page15數(shù)據(jù)防泄露方案－重要數(shù)據(jù)集中加密控制管理員DRP/ERP文件效勞器將核心業(yè)務(wù)系統(tǒng)的相關(guān)數(shù)據(jù)到處潛移到共享文件效勞器加密保存財(cái)務(wù)、采購(gòu)其它需要相關(guān)信息授權(quán)的管理者、職員解決方案將核心業(yè)務(wù)系統(tǒng)權(quán)限就行隔離，只有最必須的財(cái)務(wù)采購(gòu)人員才能夠直接訪問(wèn)DRP、ERP系統(tǒng)某些數(shù)據(jù)必須共享給公司研發(fā)、銷售等部門，那么通過(guò)管理員將數(shù)據(jù)導(dǎo)出到文件效勞器，進(jìn)入文件效勞器的文件全部加密控制，只有擁有帳號(hào)的人員才能在線訪問(wèn)，不能復(fù)制、粘貼到本地文件，也不能拷屏，下載到本地的文件是加密的，有效防止泄露；但是本地其它文件不加密，方便部門間和對(duì)外交流Page16數(shù)據(jù)防泄露方案－便攜機(jī)控制

移動(dòng)存儲(chǔ)

網(wǎng)絡(luò)郵件

聊天工具

網(wǎng)絡(luò)論壇

各種外設(shè)

亂碼

解密申請(qǐng)

使用

禁用

啟用

外發(fā)審計(jì)

明文

加密工作區(qū)網(wǎng)絡(luò)郵件普通工作區(qū)聊天工具各種外設(shè)移動(dòng)存貯解決方案便攜機(jī)分成兩個(gè)工作區(qū)，加密工作區(qū)和普通工作區(qū)加密工作區(qū)可以接入公司業(yè)務(wù)系統(tǒng)，但是對(duì)網(wǎng)絡(luò)應(yīng)用權(quán)限、文件外發(fā)、外設(shè)嚴(yán)格控制，文件外發(fā)或者拷貝需申請(qǐng)才能夠外發(fā)普通工作區(qū)是為了方便外出或者普通文檔交流的需要，在此工作區(qū)可以不申請(qǐng)將文件外發(fā)或者拷貝對(duì)某些工作部門甚至可以取消普通工作區(qū)，根據(jù)申請(qǐng)人員實(shí)際情況選擇策略Page17數(shù)據(jù)防泄露方案－Sohu辦公機(jī)構(gòu)總部InternetSecurID數(shù)字證書(shū)USBKey專業(yè)防火墻SOHO在家或者在賓館辦公，要求必須通過(guò)SSLVPN客戶端才能接入公司業(yè)務(wù)系統(tǒng)，外部訪問(wèn)的人數(shù)限制到最小可能對(duì)擁有業(yè)務(wù)系統(tǒng)帳號(hào)的人員區(qū)分內(nèi)外帳號(hào)訪問(wèn)的權(quán)限，在外網(wǎng)訪問(wèn)時(shí)限制訪問(wèn)的內(nèi)容及文件導(dǎo)出權(quán)限、文件打印權(quán)限，只能處理事務(wù)性流程；有些ERP系統(tǒng)不能實(shí)現(xiàn)同一個(gè)賬戶在不同網(wǎng)址的不同權(quán)限控制，這時(shí)需給職員分配內(nèi)外兩個(gè)不同的帳號(hào)，區(qū)分訪問(wèn)權(quán)限。Page18重要數(shù)據(jù)防泄露方案－－內(nèi)部文件流轉(zhuǎn)控制在公司內(nèi)部通過(guò)OA或者企業(yè)郵箱，文件共享等方式交流文檔也要進(jìn)行分級(jí)權(quán)限控制。通過(guò)信息平安制度的宣傳及信息平安專員的審計(jì)，要求公司內(nèi)部對(duì)涉及相應(yīng)密級(jí)的文檔使用權(quán)限管理系統(tǒng)加密并設(shè)置其它同事對(duì)文檔的權(quán)限，控制在內(nèi)部信息不受控的傳播。靈活分級(jí)權(quán)限管理文檔平安管理流程Page19目錄平安現(xiàn)狀及挑戰(zhàn)第一期整體平安解決方案規(guī)劃未來(lái)平安解決方案展望ME1監(jiān)督和評(píng)價(jià)IT績(jī)效ME2監(jiān)督和評(píng)價(jià)內(nèi)部控制ME3確保法規(guī)遵從ME4提供IT治理DS1定義和管理效勞水平DS2管理第三方效勞DS3管理性能與容量DS4確保效勞的連續(xù)性DS5確保系統(tǒng)平安DS6確定并分配費(fèi)用DS7教育并培訓(xùn)使用者DS8效勞臺(tái)與事件管理DS9配置管理DS10問(wèn)題管理DS11數(shù)據(jù)管理DS12運(yùn)營(yíng)環(huán)境管理DS13運(yùn)營(yíng)管理AI1定義自動(dòng)化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)根底設(shè)施AI4保障運(yùn)營(yíng)和使用AI5獲取IT資源AI6變革管理AI7安裝、授權(quán)解決方案和變更PO1定義IT戰(zhàn)略規(guī)劃PO2定義信息體系結(jié)構(gòu)PO3確定技術(shù)方向PO4定義IT流程，組織和關(guān)系PO5管理IT投資PO6傳達(dá)管理目標(biāo)和方向PO7管理IT人力資源PO8質(zhì)量管理PO9評(píng)估和管理IT風(fēng)險(xiǎn)PO10工程管理信息平安控制模型應(yīng)用軟件信息根底架構(gòu)人員IT資源交付與支持監(jiān)控和評(píng)價(jià)獲取與實(shí)施規(guī)劃和組織信息治理目標(biāo)企業(yè)目標(biāo)CoBIT效果效率保密性完整性可用性合規(guī)性可靠性Page21信息系統(tǒng)控制關(guān)鍵環(huán)節(jié)信息系統(tǒng)控制的關(guān)鍵環(huán)節(jié)信息系統(tǒng)崗位設(shè)置與職責(zé)別離IT規(guī)劃的制定與審批重要信息系統(tǒng)政策的制定與審批信息系統(tǒng)的歸口管理財(cái)務(wù)部門職責(zé)業(yè)務(wù)部門職責(zé)管理層職責(zé)系統(tǒng)開(kāi)發(fā)、變更與維護(hù)控制系統(tǒng)開(kāi)發(fā)方式系統(tǒng)開(kāi)發(fā)原那么系統(tǒng)開(kāi)發(fā)流程和組織管理系統(tǒng)和數(shù)據(jù)轉(zhuǎn)換系統(tǒng)測(cè)試變更管理采用預(yù)防性措施確保系統(tǒng)的持續(xù)運(yùn)行崗位分工與授權(quán)審批信息系統(tǒng)的可靠性、穩(wěn)定性、平安性及數(shù)據(jù)的完整性和準(zhǔn)確性系統(tǒng)訪問(wèn)平安硬件管理會(huì)計(jì)電算化及其控制制定平安策略、制度和流程身份管理帳號(hào)管理對(duì)第三方的控制設(shè)備的平安管理病毒防護(hù)信息資產(chǎn)的分類管理數(shù)據(jù)備份制定災(zāi)難恢復(fù)方案制定硬件管理制度管理物理平安硬件設(shè)備的變更管理用電平安設(shè)備異常處理制度會(huì)計(jì)電算化操作管理會(huì)計(jì)電算化硬件、軟件和數(shù)據(jù)管理會(huì)計(jì)數(shù)據(jù)及其介質(zhì)的管理會(huì)計(jì)電算化帳務(wù)處理制度Page22業(yè)務(wù)的深度網(wǎng)絡(luò)層平安平安域劃分VPNIDS/IPSDDOS防護(hù)網(wǎng)絡(luò)加速負(fù)載均衡物理層平安門禁控制介質(zhì)管理

系統(tǒng)層平安終端平安系統(tǒng)加固文檔加密數(shù)據(jù)庫(kù)防護(hù)WEB防護(hù)應(yīng)用層平安集中認(rèn)證統(tǒng)一授權(quán)行為審計(jì)郵件審計(jì)WEB審計(jì)反垃圾郵件平安業(yè)務(wù)涉及的管理及技術(shù)手段業(yè)務(wù)應(yīng)用平安的深入數(shù)據(jù)層平安集中存儲(chǔ)容災(zāi)備份虛擬化應(yīng)用文檔平安隨著企業(yè)信息化的深入,根據(jù)企業(yè)信息化開(kāi)展的階段,選擇最為恰當(dāng)?shù)钠桨布夹g(shù)手段,為企業(yè)戰(zhàn)略實(shí)現(xiàn)提供有力支撐.管理平安平安策略平安流程平安制度應(yīng)急響應(yīng)SOC平安管理Page23IT整體平安建設(shè)開(kāi)展階段信息平安評(píng)估和差距分析建立信息平安組織和政策體系初步推行和落實(shí)信息平安管理體系啟動(dòng)根底性平安建設(shè)實(shí)現(xiàn)監(jiān)控的制度化，流程化和經(jīng)?；⑵桨才渲霉芾恚瑢?shí)現(xiàn)平安風(fēng)險(xiǎn)的量化管理機(jī)制建立平安管理持續(xù)優(yōu)化機(jī)制全面審視，優(yōu)化深化信息平安管理體系建立整體平安防護(hù)體系建立集中監(jiān)控平臺(tái)建立數(shù)據(jù)中心和應(yīng)急機(jī)制根底平安固化平安深化平安P2P1P3Page24XXX公司平安建設(shè)3～5年規(guī)劃信息平安評(píng)估、差距分析建立信息平安組織和政策初步推行和落實(shí)信息平安管理體系啟動(dòng)根底性平安建設(shè)平安域隔離VPN接入終端接入控制加密及權(quán)限控制上網(wǎng)行為管控存貯介質(zhì)控制資產(chǎn)管理業(yè)務(wù)系統(tǒng)權(quán)限控制信息平安企業(yè)文化固化可配置管理、量化管理建立持續(xù)優(yōu)化機(jī)制建立集中監(jiān)控SOC平臺(tái)深化信息平安管理體系明確的平安策略和制度合作伙伴IT接入標(biāo)準(zhǔn)建立整體平安防護(hù)體系平安措施覆蓋所有分支業(yè)務(wù)系統(tǒng)外部訪問(wèn)和內(nèi)部訪問(wèn)的別離建立應(yīng)急響應(yīng)機(jī)制根底平安措施的深化垃圾郵件防護(hù)郵件內(nèi)容審計(jì)單點(diǎn)登陸統(tǒng)一身份控制網(wǎng)絡(luò)加速數(shù)據(jù)災(zāi)備、集中存貯數(shù)據(jù)庫(kù)和WEB的防護(hù)根底階段固化階段深化階段P2P1P3Page25深化方案－WAN加速解決方案WAN加速WAN加速WAN加速WAN加速有效降低企業(yè)租用專線本錢業(yè)務(wù)系統(tǒng)向SAP切換增加網(wǎng)絡(luò)負(fù)荷提升網(wǎng)絡(luò)速度，緩解網(wǎng)絡(luò)壓力;目前分支機(jī)構(gòu)只有少量計(jì)算機(jī)通過(guò)VPN接入總部，如果全部接入壓力倍增點(diǎn)對(duì)點(diǎn)部署Page26深化方案－網(wǎng)絡(luò)入侵檢測(cè)②通知防火墻聯(lián)動(dòng)LAN防火墻ALERT?、劢K止入侵①檢測(cè)到攻擊，報(bào)警記錄日志，審計(jì)取證IDS交換機(jī)流量鏡像效勞器可以采用IDS旁路部署，只檢測(cè)，不攔截也可采用IPS直路部署，既檢測(cè)也攔截；加Bypass卡在設(shè)備故障時(shí)旁路，不中斷業(yè)務(wù)Page27深化方案－數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)旁路部署無(wú)需修改現(xiàn)有應(yīng)用配置用于監(jiān)控?cái)?shù)據(jù)庫(kù)操作有無(wú)違規(guī)行為，攔截對(duì)數(shù)據(jù)庫(kù)的攻擊數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)防火墻端口鏡像局域網(wǎng)交換數(shù)據(jù)中心Page28深化方案－WEB應(yīng)用防火墻Web應(yīng)用防火墻主要致力于提供給用層保護(hù)，通過(guò)對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測(cè)分析，識(shí)別及阻斷各類傳統(tǒng)防火墻無(wú)法識(shí)別的WEB應(yīng)用攻防止網(wǎng)頁(yè)篡，影響企業(yè)形象WEB應(yīng)用防火墻局域網(wǎng)交換機(jī)Web效勞器DB效勞器網(wǎng)絡(luò)防火墻效勞器Page29深化方案－郵件審計(jì)及垃圾郵件防護(hù)郵件審計(jì)網(wǎng)關(guān)深度檢測(cè)郵件內(nèi)容防止信息泄密；反垃圾郵件網(wǎng)關(guān)防止企業(yè)受到垃圾郵件、病毒郵件的干擾Page30深化方案－單點(diǎn)登錄SSO單點(diǎn)登陸身份管理權(quán)限管理審計(jì)報(bào)表訪問(wèn)管理ERPDRPEMAILOA用戶Page31BACKUPSERVERTAPELIBRIAYV3605FCSWITCHFCSWITCH…業(yè)務(wù)1…業(yè)務(wù)2…OA…。。。集中備份系統(tǒng)管理終端深化方案－數(shù)據(jù)集中存儲(chǔ)與備份采用信息生命周期管理的思想，統(tǒng)一規(guī)劃存儲(chǔ)資源，按業(yè)務(wù)系統(tǒng)實(shí)際需求進(jìn)行靈活分配，增加近線、離線兩級(jí)存儲(chǔ)系統(tǒng).備份網(wǎng)絡(luò)可采用NAS,SAN混合組網(wǎng)，關(guān)鍵業(yè)務(wù)使用FCSAN，非核心業(yè)務(wù)使用NAS.備份硬件,采用了在線磁盤陣列，近線磁帶庫(kù)備份軟件,自動(dòng)化，集中化，降低操作難度，采用NBU.