信息安全体系在公司中的应用
信息安全体系在公司中的应用某公司这几年主要推进的是信息安全项目,自2015年年初,某该公司通过外部调研,内部沟通,需求分析。根据ISO20000、BS7799指导体系,采用科学的信息安全规划方法论,充分进行信息安全现状分析与评估,设计信息安全总体架构,建立了《公司信息安全体系架构》,通过公司组织外部评审,最终对信息安全项目实施进行整体规划,明确信息安全推进方案。加强网络安全建设,采用网络版杀毒软件、防火墙、硬件防火墙、上网行为管理器、VPN、文档加密等技术,对公司各个终端计算机进行ip与物理地址的绑定,按不同部门制定不同的上网行为管理策略。
关键词:信息安全,智能制造,信息技术,
目录
一、案例简介
某公司加强网络安全建设,采用网络版杀毒软件、防火墙、硬件防火墙、上网行为管理器、VPN、文档加密等技术,对公司各个终端计算机进行ip与物理地址的绑定,按不同部门制定不同的上网行为管理策略。同时对所有部门的所有人员实施了文档加密系统,保障公司的重要文件、关键部门的计算机文档安全可控。同时对公司研发文档进行文件存储备份。在信息化系统的安全方面建立了统一数据库[1]存储项目,将信息系统的数据库数据实施了统一存储项目。为保障外部员工访问信息系统的安全性,实施数据安全传输通道(VPN)。
二、案例背景介绍
根据ISO20000、BS7799指导体系,采用科学的信息安全规划方法论,充分进行信息安全现状分析与评估,设计信息安全总体架构,建立了《公司信息安全体系架构》,通过公司组织外部评审,最终对信息安全项目实施进行整体规划,明确信息安全推进方案。根据《公司信息安全体系架构》计划,考虑到公司是一个重研发型的企业。尤其企业的配方数据及生产工艺文档是企业的命脉。从研发文档安全入手,着手推进某公司文档加密项目。作为一家高科技企业,公司内很多重要数据都是以电子化的方式散布在办公网络的终端,不利于集中管理;同时由于连接互联网[2],来自互联网的威胁对企业内部数据的保护也存在较大的风险。因此为了保护企业内部数据安全,需要采取多种安全手段对电子文档、终端行为进行集中管控。因此,加强终端文档安全势在必行。
三、案例应用详情
1、总体应用框架
公司通过安全委员会确定本次安全设施范围。主要包括:
1、加强对电子文档的管理,采用对终端文档加密和权限管理的方式对电子文档产生、存储、分发、交互的全生命周期进行管理;
2、对文档的权限分为不同的级别,同时文档对应不同部门的人员,同部门人员可查看同级别或低于本人级别的文档;需要跨部门查看或者越级查看,需要经过审批后才能查看;
3、对于外发的文件,默认情况为加密方式,如果需要以明文的方式交互,需经过审批;对于文件可设定文件的使用期限,超过使用期限的文件将不能使用;电子文档需同时接受中心端管理,中心端可实现文档使用期限的回收和下发;
4、对普通终端的电子文档可设定文件类型和指定文件夹实现文件的自动存储;对重要终端的电子文档可设定指定的文件类型并以静默的方式进行全盘搜索,所有搜索到的文件自动备份到中心服务器;
5、需要采用证书技术和密码技术对电子邮件进行安全防护,通过对电子邮件的正文和附件进行加密保护邮件在互联网渠道传输的安全,保护只有授权人员能打开授权的邮件;
6、需要对终端的行为、外设端口和移动存储介质的使用进行管控;
7、需要对信息输出的渠道进行管理,采用光盘刻录控制和打印控制对利用电子和纸质输出的方式进行管控,实现输出行为审批、审计。
2、关键技术应用详情
为保障项目实施过程安全可控,在项目采购和实施过程中,首先,规范产品与服务的采购流程,严格工程实施过程管理,将文档安全体现和落实在整体规划和建设的过程中。在系统采购和实施过程中,在需求分析阶段充分考虑需求,在设计和开发阶段施行必要的安全措施,在测试和验收阶段对安全性进行测评。
采购和实施管理是指通过建立相应安全管理机制,在信息系统涉及的产品和服务的采购与实施过程中加强其安全性。在信息化建设的采购和实施过程中,要明确信息系统的安全需求、安全指标和规范,对用于保护信息系统安全的投入予以充分考虑和合理分配并对采购对象的安全性进行严格的控制,以避免由于采购和实施的不当造成的安全隐患。
项目建设过程中,在采购和实施的软硬件产品正式上线前,对其安全性进行测试和评估。确定系统的安全性,为项目的验收提供依据。
通过方案确定,信息部组织调研了9家企业的产品,并重点测试3家能够满足以上方案的产品和招标工作。为保障项目真正落地,信息部组织了全体员工的设施策略调研,建立《实施准备调研表》、《文档安全实施安排》、《电子文档安全使用规范》、《电子文档安全管理系统管理员管理制度》、《电子文档安全审查管理规定》。在制度保障基础上,信息部组织26场培训会,以保证所有员工能够充分理解、掌握该系统的使用。这一系列的调研工作和制度重复满足业务部门不同的管理需求,也真正满足公司的管理要求。
目前系统运行正常。截止2016年12月份,共加密文档20万份之多,申请加密和解密流程2万多条,外发文件月1万份,自动备份文件月50万份。部门内或部门间文档流转问题反馈约120人次,没有出现文档无法打开等问题。
现有项目成功落地,满足管理需要,实现了信息安全的有效控制。信息安全体系其他项目也在稳步推进。
四、创新性与优势
本项目的创新性在于以下几个方面:
(1)某公司两化融合主要集中在系统建设和安全建设两个方面,到2017年建立信息安全运维体系,建立了满足业务需要的营销管理系统。到2018年建立了完备的信息安全管理体系,推进各业务系统间数据整合,解决数据孤岛,建立了满足管理需要的报表系统。到2019年建立了从基础安全、系统安全、运维安全、管理安全全方位的信息安全管理体系。建立规范的业务流程体系,构建全面支持营销运营与管理决策的业务系统。
(2)采用网络版杀毒软件、防火墙、硬件防火墙、上网行为管理器、VPN、文档加密等技术,对公司各个终端计算机进行ip与物理地址的绑定,按不同部门制定不同的上网行为管理策略。
(3)对所有部门的所有人员实施了文档加密系统,保障公司的重要文件、关键部门的计算机文档安全可控。同时对公司研发文档进行文件存储备份。
(4)在信息化系统的安全方面建立了统一数据库存储项目,将信息系统的数据库数据实施了统一存储项目。为保障外部员工访问信息系统的安全性,实施数据安全传输通道(VPN)。
五、案例应用效益分析
通过信息安全的建设和改造,公司生产经营安全管理手段明显提升,运行平台的得到有效保障,使打造安全可控的办公环境,提高公司信息安全水平不再是一句口号。文档安全管理系统的实施,对公司研发生产资料得到精细控制,增强了企业产品的竞争力,将降本增效落到实处,使企业发生根本的变化。
参考文献
- ↑ 细数常用数据库有哪些 ,搜狐,2017-05-25
- ↑ 互联网的 10 年,每一个互联网人都应该知道!,搜狐,2022-04-09