用户名: 密码: 登录 | 邮箱入口
【HT】新闻公告 应用服务维护通知:2022年11/10晚18时至2022年11/11日早上6时,公司对外提供的所有网络服务进行设备维护。 2022-11-10 紧急告知:因配合疫情防控需要,公司办公场地或工作人员居住地存在封闭管控的可能,公司近期技术支持电话有可能存在无人接听的情况;有需要支持的可拨打13916003523、13817537968 2021-07-28 关于财政用户升级政务外网加密客户端通知 2021-07-28 华堂产品荣获信息安全产品认证证书 2021-07-28 华堂公司受邀参加“商用密码产品成果展” 2021-07-28 SSL VPN安全网关首家通过国密局认证 2021-07-28 VPN隧道内安全防范 2021-07-28
     
您现在的位置:首页 >> 成功案例 返回上一页  
【HT】案例目录
【HT】客户名录
【HT】客户鉴定
 
 
典型案例    
企业信息化安全方案

一、企业信息化概述                                           

    全球信息化推动了信息社会的发展,改变了人类的生产和生活方式,促进了知识经济的成长,加快了世界经济一体化进程。对信息的掌握、利用与传播,成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。信息化最终要落实在企业信息化,因为企业才是财富的真正源泉。

    企业信息化是指“企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用和传播信息资源的过程”。实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质优劣和竞争优势强弱。

    企业信息化的范围是以生产控制为核心的自动化系统、以财务成本管理为核心的管理系统、以电子商务为核心的投融资决策与营销系统。由于业务愈来愈多的依靠计算机网络,一个问题越来越受到重视    网络安全

二、网络安全                                                 

    传统网络安全包括三个基本要素:机密性、完整性、可用性
    机密性:确保信息不暴露给未授权的实体或进程。
    完整性:确保内容不会被破坏或篡改。只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
    可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。

    
    随着网上电子商务等业务的开展,又增加了一个新的要素:抗否认机制。即个体在网络中签署的文件或进行的交易不容抵赖,保证网上业务的正常开展。
如何达到以上要求,华堂网络公司从自身能力出发,为用户考虑提出以下实现模型以指导自身的工作:


    安全技术是实现网络安全的基础:其内容包括密码理论与技术、认证识别理论与技术、授权与访问控制理论与技术、审计追踪技术、网间隔离与访问代理技术、反病毒技术等。有了他们才能开发出可靠的产品。

    安全产品是实现网络安全的工具:它包括了防火墙产品、漏洞扫描产品、入侵监测系统、vpn系统、安全服务包等。

    安全策略是实现网络安全的关键:用户的最终目的是达到前面提到的四个安全要素。安全不是产品的堆砌如何利用安全产品达到此目的,必须有一个完整、完善的安全策略。它应包括:物理安全策略、网络安全策略、数据加密策略 、数据备份策略、病毒防护策略、系统安全策略 、身份认证及授权策略、灾难恢复策略、事故处理、紧急响应策略、安全教育策略、口令管理策略、补丁管理策略、系统变更控制策略、商业伙伴、客户关系策略、复查审计策略等

    客户关系是实现网络安全的保证:它包括了对用户的设备使用情况跟踪、安全事件审计、升级服务等。安全是动态的安全,也没有十全十美的安全策略,只有通过审计发现问题并弥补之,通过产品升级来面对新的威胁,才能保证达到一个和资产价值平衡的安全水平。

三、安全策略实现                                            

    一般大中型企业由于下属企业在地理上的分散,通过internet实现下属机构、企业与集团总部的网络互联。无论集团总部还是下属企业,其内部网络的结构大同小异:按行政结构,下属部门各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。这些局域网都是直接连接到网络中心,共享公共应用服务,同时也提供自己的信息给其他单位共享。一般来说,这些局域网之间没有直接通信通道。中心子网中,放置着各种公共应用服务器,如办公服务器、对内和公开的WWW服务器等。其他应用各有自己的子网,例如,财务服务器放置在财务子网中,销售服务器放置在销售子网,电子商务的Web服务器放置在电子商务子网。

典型大中型企业网络拓扑图如下:

 

1. 信息分级
    信息分级是基于数据相对重要性以及数据对于公司的敏感度规定的。大多数企业而言,对于基于业务敏感度的数据分组来说,4级方案己经是足够强健了:
公共:如果信息可以向公众清楚透露,信息就是公共的。公共信息通过授权的渠道向公众发布,这些渠道包括印刷品的发布、杂志文章以及企业的主页。
    内部:那些没有向公众公开透露的信息是内部的。为实现保护和处理的目的, 公司的内部信息是根据其包含的最敏感数据或材料来分级的。另外,无论数据以何种格式存储,都应该分到相同的级别并且受到相近级别的保护。
    机密:信息受到威胁会对公司及其顾客、供应商或员工产生不利影响,这样的信息就是机密信息。这种信息包括在正常的业务活动中对员工公开的信息,但是这些信息必须由公司控制,并且不得在末经授权的情况下泄露给公众。 公司机密数据的保护和处理上的要求要比对待内部数据方面严格。
    限制:信息受到威胁会对公司及其顾客、供应商或员工找造成严重的损失,这样的信息就是限制级的。这类信息极为敏感,要求个人在访问之前必须进行必要性确认。限制数据的保护和处理上的要求要比对待机密数据方面严格。

根据以上定义我们对大中型企业的网络资源进行分级:

公共:任意 
内部:企业内部网、Mail服务器
机密:数据库、ERP等业务服务器、财务系统、人力资源系统
限制:销售数据库、薪资信息
 

2. 风险评定

    上图是美国计算机安全协会和FBI年度调查报告的数据示意图,我们根据此图可以得到风险最大的威胁种类。它们分别威胁了四个安全要素的一个或多个。
 
机密性:活动线路分接、电信窃听、系统渗透、内部人员滥用网络、手提电脑失窃、电信诈骗、窃取私人信息、未授权内部人员访问
完整性:系统渗透、恶意破坏、病毒、未授权内部人员访问
可用性:系统渗透、恶意破坏、拒绝服务、内部人员滥用网络、手提电脑失窃、病毒、
抗否认机制:金融诈骗、电信诈骗
 

3. 安全策略大纲

    根据风险分析我们提出策略大纲,为方便分类我们将四要素中共有的用户认证和访问控制单列出来:


4. 策略实施纲要

  在公司总部和分支机构网络出口处分别配置HT-2800,HT1800:
  控制外网对web服务器的访问;
  限制外网对内的访问,限制蠕虫的侵入;
  控制移动用户对内网的访问
  控制内网对mail服务器的访问;
  对通过公网传输的数据进行加密;
  对数据流进行日志、审核、监控。
  在业务服务器前配置HT-2500:
  控制内网对业务服务器的访问;
  防火墙进行基于用户的加密强制认证;
  对用户访问、失败登陆、系统警报进行日志、审核、监控。
  在人力、财务、销售部门局域网前配置HT-2800:
  限制对以上部门资源的访问;
  进行加密增强用户认证;
  对外部访问连接进行加密;
  进行全面日志、审核、监控
  全网部署集中控管式防病毒软件
  相应服务器依策略进行读写等权限设置