公司信息安全规划实例.doc

公司信息安全规划实例：安全风险控制 一、公司网络安全持续改造项目 　　1、公司的网络是接入互联网的，因此网络存在以下四大问题： 　　(1) 无主管的自由王国 　　包括有害信息、非法联络、违规行为等。 　　(2) 不设防的网络空间 　　包括国家安全、企业利益、个人隐私。 　　(3) 法律约束脆弱 　　包括黑客犯罪、知识侵权、避税。 　　(4) 网络资源紧缺及肆意使用 　　包括IP地址、域名、带宽、P2P下载等。 　　2、信息系统安全领域存在的挑战 　　(1) 系统太脆弱，太容易受攻击; 　　(2) 被攻击时很难及时发现和制止; 　　(3) 有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势; 　　(4) 在规模和复杂程度上不断扩展网络而很少考虑其安全状况的变化情况; 　　(5) 因信息系统安全导致的巨大损失并没有得到充分重视，而有组织的犯罪、情报和恐怖组织却深谙这种破坏的威力。 　　3、为了满足公司业务扩展需要和更好的为公司各种信息系统提供安全有效的网络运行环境，公司网络安全主要从以下四个方面。 　　(1) 物理安全 　　对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。 　　①外显行为：通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境。 　　②防范措施：抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份 　　(2) 系统安全 　　对计算机网络与计算机系统可用性与可控性进行攻击。 　　①外显行为：网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。 　　②防范措施：防止入侵，检测入侵，攻击反应，系统恢复。 　　(3) 信息安全 　　对所处理的信息机密性与完整性的威胁，主要表现在加密方面。 　　①外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。 　　②防范措施：加密，完整性技术， 认证，数字签名。 　　(4) 文化安全 　　有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。 　　①外显行为：淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击，互联网被利用作为串联工具，传播迅速，影响范围广。 　　②防范措施：设置因特网关，监测、控管。 　　公司需要根据对网络维护中问题的具体分析以及应用系统的建设，在现有网络设备和网络安全设备的基础上按需不断的进行持续性改造工作。因公司的业务为天然气的输送、储存，既是高系数危险业务，又是必须的。因此建议从公司安全风险全面控制，整体规划、统一部署，尤其是信息安全。在信息安全同样建立相应的应急系统，譬如自建局域网等。