防信息泄露解决ppt课件

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,防信息泄密解决方案,ISCA,防信息泄密解决方案ISCA,文档目录,背景介绍,防信息泄露实施路线,安全管理途径,文档保护管理体系建设,文档安全管理组织建设,安全技术途径,网络架构改造,设备加固,产品解决方案,文档目录背景介绍,背景介绍,企业现状：,设计过程中采用协同办公模式。设计人员通过共享设计类文件夹的方式进行协同设计。,对于该企业来说大量文档均是重要的机密文档，例如设计类的技术标准和规定、客户名录、设计项目合同文件等。,但是在实际的文档处理过程中，企业存在如下几方面的问题：,企业文档的种类和类型较多，除常用的,office,文档、,AutoCAD,等文档，还根据不同的设计软件产生不同类型、后缀名的文档。但目前缺乏对文档的重要性识别和分级，因此难以采取合理的保护措施。,虽然采用共享文件夹进行协同办公，但个人,PC,仍可以保存共享文件夹中的机密文档。,大多数员工均有加班需要，各种类型的文档都有可能带离企业。同时，大多数文档需与业主、第三方合作者、施工单位、模型和效果图公司进行交互，因此重要文档可通过多方面的途径泄露。,上海某知名的建筑设计公司发现其设计的一些项目文档在网络中公开，且对其声誉、信誉造成了一定影响，这些文档是如何被公开的？如何防止这样的事情再次发生是企业急需解决的问题。,背景介绍企业现状：上海某知名的建筑设计公司发现其设计的一些项,企业防信息泄露的需求,通过对该企业的深入分析，为实现文档保护的目的，既需要保护当前文档服务器中的文档，又需要对员工,PC,中的文档加以保护。需要考虑问题包括：,哪些文档需要加密保护？,如何使用加密后的文档？,文档加密以后，对现有的业务流程有什么影响？,文档加密以后，如何和客户、合作伙伴交互文档？,不同的分公司、业务部门之间是否要限制使用？文件又如何流转？,员工如何知道哪些文档需要加密？哪些人可以使用加密的文件？,谁能对文件进行解密操作？需要什么样的审批、审计流程？,企业防信息泄露的需求通过对该企业的深入分析，为实现文档保护的,文档目录,背景介绍,防信息泄露实施路线,安全管理途径,文档保护管理体系建设,文档安全管理组织建设,安全技术途径,网络架构改造,设备加固,产品解决方案,文档目录背景介绍,设计原则,“整体规划，分步实施”原则,1,“分级保护”原则,2,“适度安全”原则,3,“标准化”原则,4,5,“技术与管理并重”原则,设计原则“整体规划，分步实施”原则1“分级保护”原则2“适度,防信息泄露实施路线,安全管理途径,文档保护管理体系建设,组织建设,流程和制度规范建设,人力资源管理,安全技术途径,网络架构安全加固,IT,设备和终端安全加固,终端安全管理,文档防泄露,企业防信息泄密,防信息泄露实施路线安全管理途径文档保护管理体系建设组织建设流,文档目录,背景介绍,防信息泄露实施路线,安全管理途径,文档保护管理体系建设,文档安全管理组织建设,安全技术途径,网络架构改造,设备加固,产品解决方案,文档目录背景介绍,文档保护管理体系建设,根据企业保护建筑设计等重要文档的需求，特为企业制定相关企业信息安全管理规范，建立健全文档保护管理体系。,文档保护管理体系建设根据企业保护建筑设计等重要文档的需求，特,安全标准和规范,建立和健全的文档保护安全制度、标准、流程、规范：,文档资产安全管理标准,、,信息安全合规检查标准,、,员工办公终端安全使用守则,、,第三方安全管理标准,、,信息文档资产安全管理流程,、,文档资产管理指导方针,、,帐号安全管理标准,、,安全意识培训框架,、,应用软件安全开发标准,、,新系统上线安全检查标准,、,集中帐户安全管理流程,、,终端安全配置操作指南,、,信息系统平台安全配置操作指南,、,网络设备安全标准配置指南,、,软件许可使用列表,等。,文档资产安全管理标准,主要明确信息文档资产在企业的重要性，说明各类关键文档在创建、修订、阅览、拷贝、删除等诸多管理环节中需要遵循的安全要求，帮助企业从制度上规范员工使用文档的行为。,安全标准和规范建立和健全的文档保护安全制度、标准、流程、规范,安全标准和规范,员工办公终端安全使用守则,主要明确员工使用,PC,时，需要遵循的安全规范要求，包括：定期更新补丁、安全防病毒软件、定期更新防病毒库、禁止安装其他一些公司不允许非法软件、正确使用网络资源要求、个人,PC,终端的物理保护等。从而降低由于员工终端,PC,不安全带来的文档泄密。,第三方安全管理标准,规范第三方人员使用公司,IT,资源，有效的防止第三方人员盗取或者非授权使用企业的核心文件。,信息安全合规检查标准,建立企业范围内的信息安全检查标准，及相关违法的惩罚制度，对不遵守公司规定的员工和行为进行处罚。,信息文档资产安全管理流程,建立企业文档管理流程，明确各管理岗位职能、要求和配合流程，提高企业文档管理工作的效率和受控程度。,安全标准和规范员工办公终端安全使用守则,保密协议和竞业禁止合同,与人力资源管理部门一起确定企业“保密协议”的内容：,约束内外人员对涉及企业秘密信息及知识产权内容的保密要求，保密期限，违约责任等内容。,对企业内部人员、外部组织和人员签订,保密协议,与人力资源管理部门一起确定“竞业禁止合同”的内容：,约束企业员工在职期间不得自营或者为他人经营与企业同类的行业以及离职后所入职单位的要求等内容。,保密协议和竞业禁止合同与人力资源管理部门一起确定企业“保密协,文档资产分类和分级,定义企业内文档资产的保护范围，在文档资产保护范围中采取分类、定级等措施，实施不同的安全保护策略。通过对文档资产进行安全等级分类，为文档资产的管理和保护措施提供有效依据，是风险管理的一个重要的先决条件。,标准类,专业技术标准和规定,设计类,绘图文件、计算书、技术成果等文档,质量管理类,质量管理体系文件、内部质量审核单、质量检查文件,流程控制类,任务下达单、流程审核单、项达回证、修改通知单、技术核定单、审图意见单。,档案类,归档文件,合同类,经营合同、劳动合同、劳务合同,计算机类,计算机网络文档、计算机系统文档、计算机应用程序文档、计算机软件开发文档、计算机软硬件文档。,文档资产分类和分级定义企业内文档资产的保护范围，在文档资产保,不同级别的安全保护策略制定,机密数据,保密数据,内部数据,公开数据,文档资产等级化,内部数据安全保护策略,阅览,更新,传送（拷贝、传输）,打印,可编辑模式,不可编辑模式,可编辑模式,企业内部项目组成员,非项目组的企业人员,业主,企业外部合作者,施工单位,模型、效果图公司,顾问公司,安全保护策略制定,操作权限：,：允许,：不允许 ：需审核授权，方可操作（审核人可为文档资产的所有者或者文档安全管理人员）,安全保护策略：,：无安全要求（即使用文档过程中不需进行任何安全设置）,：有安全保护要求（即使用文档过程中要采用设置文档密码、加水印、限制拷贝、打印等设置）,根据文档资产泄密时可能对企业造成损失的严重程度将文档资产定级为机密、保密、内部、公开四个等级。,不同级别的安全保护策略制定机密数据保密数据内部数据公开数据文,建立文档安全管理组织,一个合理的文档安全管理组织架构为：,信息安全委员会,文档安全管理组织,文档管理人员,建立专门的机构负责企业文档安全管理的具体工作。,负责计划、实施企业的文档安全管理；规定企业重要文档资产的保护责任，并明确定义责任人。,听取和采纳来自内部或外部安全专家的建议，及时进行文档安全管理工作的改进。,建立检查机制和措施来检查的文档安全策略的执行情况。,设立由企业高级管理层组成的信息安全委员会来支持文档安全管理工作。,信息安全委员会为文档安全保护提供明确的方向和支持。,属于文档安全管理组织成员或者指定某些人员为文档安全管理人员，负责文档安全具体工作的开展。,建立文档安全管理组织一个合理的文档安全管理组织架构为：信息安,文档保护管理体系建设阶段性划分,编号,项目名称,严重,程度,紧迫,程度,难易,程度,预期,效果,管理,负担,赋值,总计,001,建立文档保护管理体系,3,3,1,2,1,10,002,组织建设,3,3,1,3,1,11,003,明确文档资产管理范围和责任,3,3,1,3,2,12,004,增加内部成员安全保密要求,3,3,2,3,2,13,005,规范文档资产的交换流程,3,2,1,2,1,9,006,加强桌面,PC,、介质管理,3,2,2,1,2,10,007,建立软件使用、开发的安全标准,2,1,3,1,2,9,008,重要,IT,设备安全保护,2,2,1,2,2,9,按照优先级进行阶段性划分，逐步完成文档保护管理体系建设,红色：第一阶段完成,黄色：第二阶段完成,文档保护管理体系建设阶段性划分编号项目名称严重紧迫难易预期管,文档目录,背景介绍,防信息泄露实施路线,安全管理途径,文档保护管理体系建设,文档安全管理组织建设,安全技术途径,网络架构改造,设备加固,产品解决方案,终端安全管理,信息防泄漏技术解决方案,文档目录背景介绍,网络架构安全评估,网络架构安全状况,收集、整理网络、安全设备的信息，检查网络设备安全规则配置，从网络架构、网络设备配置安全几方面，查找存在的风险和配置漏洞。,网络架构安全评估网络架构安全状况收集、整理网络、安全设备的信,服务器和,PC,终端安全评估,主要安全弱点,1.,安全补丁不全,2.,服务版本低,3.,配置不规范,4.,弱服务开放,5.,弱口令,主要服务器和,PC,终端安全状况,服务器和PC终端安全评估主要安全弱点主要服务器和PC终端安全,网络架构改造,网络架构改造,设备加固,对主要承载业务系统以及,PC,终端的操作系统进行了加固,对,主要承载业务系统数据库进行了加固,更新重要业务系统中间件安全补丁,将对实施成果进行前后对比，确定加固的完整性,设备加固对主要承载业务系统以及PC终端的操作系统进行了加固对,终端安全管理,主要功能,集准入控制、安全管理、传统桌面管理功能于一体,以解决桌面安全管理问题为主，同时兼顾传统桌面管理需求,系统安全,文件安全,传统桌面管理,(,提升效率,),网络准入控制,强制遵守组织安全策略,禁止非法用户随意接入,软件部署,资产发现,使用监控,远程维护,设备定位,防病毒管理,补丁管理,策略遵循,漏洞管理,安全加固,外联控制,个人防火墙,终端安全管理主要功能系统安全传统桌面管理网络准入控制强制遵守,实现完整的安全管理流程,定义类别丰富的安全事件,定义检查设备的操作系统漏洞、必须安装的软件、,USB,硬盘插入、拨号上网、,Windows,域等安全策略,定义多种软件、硬件、交换机端口连接关系的配置变更事件,定义每类安全事件处理预案,指定事件处理预案的触发启动时间,每个处理预案可以同时指定多种动作,指定事件恢复的处理动作,处理的动作包括：通知用户、通知管理员、限制对网络的访问、拒绝对网络的访问，或者和其它的,Service Desk,联动。,将安全管理纳入信息系统的服务管理,(ITSM),体系,为用户提供信息系统的服务管理整体解决方案,可以与其它的服务管理软件紧密集成,实现完整的安全管理流程定义类别丰富的安全事件,防止非法传送文件,总体思路：,技术管理威慑,防止,Copy,方式外传,U,盘使用监管，禁止,/,审计将文件从终端,COPY,到,U,盘,禁止,/,审计将文件从终端,COPY,到软盘,禁止,/,审计以共享方式,COPY,文件到其它计算机,防止网络传送,阻止,/,审计访问外部的,Web Mail,阻止,/,审计使用外部的,SMTP/POP3,服务器,阻止,/,审计使用,MSN/QQ,传送文件,阻止本机终端开启,FTP,等网络服务,(,个人防火墙,),防止非法传送文件总体思路：,防止非法传送文件(续),支持漫游、离线保护,离开内部网络或者,VPN,接入时也会接受控制,终端用户不能私自中止、卸载,Agent,或删除,Agent,文件,