广东电信的内部安全方案建议书

zxf_lxx
5 ℃
2020-07-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

广东电信的内部安全方案建议书GuangDongTelecomInter-SecurityProjectProposal四川汇源光通信股份有限公司2003年10月24日广东电信的内部安全方案建议书四川汇源光通信股份有限公司2目录1.安全需求分析.........................................................................................................................................31.1.初步理解.................................................................................................................................31.2.内部泄密方式.........................................................................................................................41.3.客户情况描述.........................................................................................................................42.安全目标建设.........................................................................................................................................53.内部安全系统.........................................................................................................................................63.1.离线存储设备防泄密管理.....................................................................................................63.2.网络信息防泄密管理.............................................................................................................63.3.个人计算机资源审计和管理.................................................................................................73.4.管理和配置功能.....................................................................................................................73.5.专业级别的报表分析.............................................................................................................84.技术与产品.............................................................................................................................................94.1.产品选型原则.........................................................................................................................94.2.推荐产品.................................................................................................................................95.小结.......................................................................................................................................................10广东电信的内部安全方案建议书四川汇源光通信股份有限公司31.安全需求分析1.1.初步理解一般来讲，大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。针对网络系统安全方面，机构需要防止网络系统遭到没有授权的存取或破坏以及非法入侵；在数据安全方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等。各类计算机病毒、系统陷阱（Trapdoors）、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web站点瘫痪等等问题，都是机构实现网络化面临的外部威胁。如何搭建安全的网络架构，如何将非法入侵者拒之门外、如何防止内部信息外泄，这些都是企业/机构在进行网络化过程中必须解决的问题。目前，机构仅仅利用Firewall在网络的边缘设置了快速有效的网络防火墙及网络巡警系统，可以对网络入侵进行监控和防护，抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用。这种解决方案是针对外部入侵的防范，对于机构内部信息保密安全管理却无任何作用。对于一个大型机构特别是政府机关，保密单位信息保密安全防范尤为重要。以往人为控制的教育加监督（人工填写日志）的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密（如利用EMAIL，FTP，笔记本，光盘，可移动硬盘等）的，这是每一个安全管理人员必须认真对待的问题。Internet是一个开放的网络，同其高速发展相关的负面结果就是严重的网络安全问题。特别是日益严重的内部信息泄漏问题，FBI和CSI对484家公司调查显示：编号安全事件占有比例1内部安全威胁85%2内部未授权的存储16%3专利信息被窃取14%4内部人员的财务欺骗12%5资料或网络的破坏11%从上述数据中，我们可以看出面对来自于公司内部的安全威胁，必要的安全措施对企业是如何重要。当前，国内的企业用重金购置防火墙，防病毒软件来防止外界威胁的同时，往往忽视了对内部安全威胁的对策。广东电信的内部安全方案建议书四川汇源光通信股份有限公司41.2.内部泄密方式计算机工作人员由于对专业知识的不熟悉而泄密。对电子信息保密的意识还不强，常常由于专业知识不熟悉而泄密。如有些人由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。有些人由于不知道计算机软盘上的剩滋可以提取还原，将曾经存贮过秘密信息的软盘交流出去，因而造成泄密。有些人因事离机时没有及时关机，或者采取屏幕保护加密措施，使各种输入、输出信息暴露在界面上。规章制度不健全或者违反规章制度泄密。如有的单位没有配备专门的计算机维护管理人员，或者机房管理不严格，无关人员可以随意进出机房。当机器发生故障时，随意叫自己的朋友或者外面的人进入机房维修，或者将发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。操作人员对涉密信息与非涉密信息没有分开存储，甚至将所有的文件都放在一个公共目录里，也没有进行加密处理或者保护处理，使涉密信息处于无密可保的状态。故意泄密。由于电子信息文档不象传统文档那样直观，极易被复制，且不会留下痕迹，所以窃取秘密也非常容易。电子计算机操作人员徇私枉法，受亲友或朋友委托，通过计算机查询有关案情，就可以向有关人员泄露案情。计算机操作人员被收买，泄露计算机系统软件保密措施，口令或密钥，就会使不法分子打入计算机网络，窃取信息系统、数据库内的重要秘密。1.3.客户情况描述广东电信是一家大型的国家级电信运营商，旗下拥有诸多大型的应用系统且结果地域部署广泛、结构相对复杂，刚完成的网络升级。内部安全问题很快的凸现出来，例如：刚刚完成的网络审计和扩容方案很快流到其他厂商那里，经过调查发现，其主要原因是工程师之间经常无防范地拷贝文档。广东电信希望能够拥有一套统一的、安全的、可扩展的内部网络信息管理系统，在改系统上线后能够有效地在内部把移动存储设备管理起来，最大程度地减少内部文建非法拷贝的发生；同时需要在网络文件拷贝上也要做一定防范。广东电信的内部安全方案建议书四川汇源光通信股份有限公司52.安全目标建设根据实际情况，为广东电信网络信息系统规划了安全目标，我们认为规划、设计、实施广东电信系统的安全系统的目标是：通过安全系统工程的实施，建立完整的广东电信信息系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定客户化的安全策略，采用合适的安全技术和进行制度化的安全管理，从安全策略、安全域、安全系统、安全管理多个层次，多个角度，构建广东电信内部信息安全保障技术框架。安全策略的安全目标：统一的内部信息放泄漏策略，规章、制度、规范、系统配置的形式下发和实现；安全域的安全目标：更具广东电信的实际情况，规划不同密级的安全域，为不同安全域制定相应的安全策略，并统一的管理所有安全域；安全系统的安全目标：以一套内部网络信息管理系统作为支撑，来具体实现企业自身的安全策略和安全域建设；安全管理的安全目标：安全管理是整个内部安全管理体系的核心，使得安全策略、安全域和安全系统最终形成一个统一的安全整体，为企业创造真正的价值。本系统的设计目标是在最小安全投资的前提下，最大限度的管理印广东电信信息网络内部信息的安全。内部安全系统是实现涉密网络系统的失、泄密管理，阻止公司内部网用户通过在线方式、离线方式和打印方式泄漏敏感信息，对计算机进行合理的管理。广东电信的内部安全方案建议书四川汇源光通信股份有限公司63.内部安全系统一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重要因素，内部安全系统是我们整个内部安全体系的基础框架，通过我们的内部安全系统，我们可以具体完成我们的安全管理工作，使我们的管理电子化、自动化；实现安全策略，把安全策略作为系统配置的形式下发到所有终端主机；科学的划分安全域，我们的管理工作趋于统一化、合理化、高效化。3.1.离线存储设备防泄密管理离线存储设备防泄密管理主要集中各种移动存储设备、打印机等设备的防泄密管理，广州电信正是希望能够对内部文件的未授权拷贝做到很好的防范和控制，我们通过对如下泄密途径的管理，来最终实现我们的离线存储设备防泄密管理需求，包括：移动硬盘信息防泄密管理；移动U盘信息防泄密管理；IDE硬盘信息防泄密管理；SCSI硬盘信息防泄密管理；软盘信息防泄密管理；光盘信息防泄密管理。3.2.网络信息防泄密管理网络信息防泄密管理是通过必要的技术手段，防止机密的信息通过各种网络应用泄漏出去，以进一步满足广东电信的内部信息管理的需求。我们认为的网络信息防泄密管理包括：IP地址管理，以及防泄密日志记录；端口（PORT）配置管理，以及防泄密日志记录；浏览网页（HTTP）配置管理，以及防泄密日志记录；电子邮件（SMTP）配置管理，以及防泄密日志记录；文件传输（FTP）配置管理，以及防泄密日志记录；远程登陆（TELNET）配置管理，以及防泄密日志记录；拨号连