開啟主選單

求真百科

信息安全體系在公司中的應用

來自 搜狐網 的圖片

信息安全體系在公司中的應用某公司這幾年主要推進的是信息安全項目,自2015年年初,某該公司通過外部調研,內部溝通,需求分析。根據ISO20000、BS7799指導體系,採用科學的信息安全規劃方法論,充分進行信息安全現狀分析與評估,設計信息安全總體架構,建立了《公司信息安全體系架構》,通過公司組織外部評審,最終對信息安全項目實施進行整體規劃,明確信息安全推進方案。加強網絡安全建設,採用網絡版殺毒軟件、防火牆、硬件防火牆、上網行為管理器、VPN、文檔加密等技術,對公司各個終端計算機進行ip與物理地址的綁定,按不同部門制定不同的上網行為管理策略。

關鍵詞:信息安全,智能製造,信息技術

目錄

一、案例簡介

某公司加強網絡安全建設,採用網絡版殺毒軟件、防火牆、硬件防火牆、上網行為管理器、VPN、文檔加密等技術,對公司各個終端計算機進行ip與物理地址的綁定,按不同部門制定不同的上網行為管理策略。同時對所有部門的所有人員實施了文檔加密系統,保障公司的重要文件、關鍵部門的計算機文檔安全可控。同時對公司研發文檔進行文件存儲備份。在信息化系統的安全方面建立了統一數據庫[1]存儲項目,將信息系統的數據庫數據實施了統一存儲項目。為保障外部員工訪問信息系統的安全性,實施數據安全傳輸通道(VPN)。

二、案例背景介紹

根據ISO20000、BS7799指導體系,採用科學的信息安全規劃方法論,充分進行信息安全現狀分析與評估,設計信息安全總體架構,建立了《公司信息安全體系架構》,通過公司組織外部評審,最終對信息安全項目實施進行整體規劃,明確信息安全推進方案。根據《公司信息安全體系架構》計劃,考慮到公司是一個重研髮型的企業。尤其企業的配方數據及生產工藝文檔是企業的命脈。從研發文檔安全入手,着手推進某公司文檔加密項目。作為一家高科技企業,公司內很多重要數據都是以電子化的方式散布在辦公網絡的終端,不利於集中管理;同時由於連接互聯網[2],來自互聯網的威脅對企業內部數據的保護也存在較大的風險。因此為了保護企業內部數據安全,需要採取多種安全手段對電子文檔、終端行為進行集中管控。因此,加強終端文檔安全勢在必行。

三、案例應用詳情

1、總體應用框架

公司通過安全委員會確定本次安全設施範圍。主要包括:

1、加強對電子文檔的管理,採用對終端文檔加密和權限管理的方式對電子文檔產生、存儲、分發、交互的全生命周期進行管理;

2、對文檔的權限分為不同的級別,同時文檔對應不同部門的人員,同部門人員可查看同級別或低於本人級別的文檔;需要跨部門查看或者越級查看,需要經過審批後才能查看;

3、對於外發的文件,默認情況為加密方式,如果需要以明文的方式交互,需經過審批;對於文件可設定文件的使用期限,超過使用期限的文件將不能使用;電子文檔需同時接受中心端管理,中心端可實現文檔使用期限的回收和下發;

4、對普通終端的電子文檔可設定文件類型和指定文件夾實現文件的自動存儲;對重要終端的電子文檔可設定指定的文件類型並以靜默的方式進行全盤搜索,所有搜索到的文件自動備份到中心服務器

5、需要採用證書技術和密碼技術對電子郵件進行安全防護,通過對電子郵件的正文和附件進行加密保護郵件在互聯網渠道傳輸的安全,保護只有授權人員能打開授權的郵件;

6、需要對終端的行為、外設端口和移動存儲介質的使用進行管控;

7、需要對信息輸出的渠道進行管理,採用光盤刻錄控制和打印控制對利用電子和紙質輸出的方式進行管控,實現輸出行為審批、審計。

2、關鍵技術應用詳情

為保障項目實施過程安全可控,在項目採購和實施過程中,首先,規範產品與服務的採購流程,嚴格工程實施過程管理,將文檔安全體現和落實在整體規劃和建設的過程中。在系統採購和實施過程中,在需求分析階段充分考慮需求,在設計和開發階段施行必要的安全措施,在測試和驗收階段對安全性進行測評。

採購和實施管理是指通過建立相應安全管理機制,在信息系統涉及的產品和服務的採購與實施過程中加強其安全性。在信息化建設的採購和實施過程中,要明確信息系統的安全需求、安全指標和規範,對用於保護信息系統安全的投入予以充分考慮和合理分配並對採購對象的安全性進行嚴格的控制,以避免由於採購和實施的不當造成的安全隱患。

項目建設過程中,在採購和實施的軟硬件產品正式上線前,對其安全性進行測試和評估。確定系統的安全性,為項目的驗收提供依據。

通過方案確定,信息部組織調研了9家企業的產品,並重點測試3家能夠滿足以上方案的產品和招標工作。為保障項目真正落地,信息部組織了全體員工的設施策略調研,建立《實施準備調研表》、《文檔安全實施安排》、《電子文檔安全使用規範》、《電子文檔安全管理系統管理員管理制度》、《電子文檔安全審查管理規定》。在制度保障基礎上,信息部組織26場培訓會,以保證所有員工能夠充分理解、掌握該系統的使用。這一系列的調研工作和制度重複滿足業務部門不同的管理需求,也真正滿足公司的管理要求。

目前系統運行正常。截止2016年12月份,共加密文檔20萬份之多,申請加密和解密流程2萬多條,外發文件月1萬份,自動備份文件月50萬份。部門內或部門間文檔流轉問題反饋約120人次,沒有出現文檔無法打開等問題。

現有項目成功落地,滿足管理需要,實現了信息安全的有效控制。信息安全體系其他項目也在穩步推進。

四、創新性與優勢

本項目的創新性在於以下幾個方面:

(1)某公司兩化融合主要集中在系統建設和安全建設兩個方面,到2017年建立信息安全運維體系,建立了滿足業務需要的營銷管理系統。到2018年建立了完備的信息安全管理體系,推進各業務系統間數據整合,解決數據孤島,建立了滿足管理需要的報表系統。到2019年建立了從基礎安全、系統安全、運維安全、管理安全全方位的信息安全管理體系。建立規範的業務流程體系,構建全面支持營銷運營與管理決策的業務系統。

(2)採用網絡版殺毒軟件、防火牆、硬件防火牆、上網行為管理器、VPN、文檔加密等技術,對公司各個終端計算機進行ip與物理地址的綁定,按不同部門制定不同的上網行為管理策略。

(3)對所有部門的所有人員實施了文檔加密系統,保障公司的重要文件、關鍵部門的計算機文檔安全可控。同時對公司研發文檔進行文件存儲備份。

(4)在信息化系統的安全方面建立了統一數據庫存儲項目,將信息系統的數據庫數據實施了統一存儲項目。為保障外部員工訪問信息系統的安全性,實施數據安全傳輸通道(VPN)。

五、案例應用效益分析

通過信息安全的建設和改造,公司生產經營安全管理手段明顯提升,運行平台的得到有效保障,使打造安全可控的辦公環境,提高公司信息安全水平不再是一句口號。文檔安全管理系統的實施,對公司研發生產資料得到精細控制,增強了企業產品的競爭力,將降本增效落到實處,使企業發生根本的變化。

參考文獻