文档介绍：公司信息安全规划方案
49 / 49
9 / 66
建立完善的安全防护及管理体系，应对外部威胁和内部威胁，形成业务系统的快速恢复机制，减少因IT系统停顿对公司主营业务的影响和损失；
建立核心数据管理统一防泄密平台，监控核心业务数据的生产、传播和使用环节；
信息安全建设方案


实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。
传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于XX这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。
10 / 66
此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。
因此，产品＋管理＋服务的组合才能在根本上保证病毒防护的可靠性。
技术层面
因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的终端防护体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：
使用以应用程序为中心的防火墙来阻止蠕虫，木马和黑客，防止其利用漏洞，非法
12 / 66
攻击终端；
网络威胁防护可分析传入数据流，及时阻止威胁通过网络攻击终端；
主动检测威胁技术将存在风险的文件与安全的文件区分开来，可提高恶意软件的检测速度和准确性，扫描偷渡式下载和以浏览器漏洞为目标的攻击，能实时监控应用程序行为并阻止目标性攻击和零日威胁；
智能的应用程序控制，控制文件和注册表访问权限，以及设置允许进程如何运行；
可用于限制对选定硬件的访问，并控制哪些类型的设备可以上传或下载信息的外设控制。外设控制可以结合应用程序控制，提供更灵活的控制策略。
管理层面—入网准入控制
在管理层面上需要实现两个目标：“技术管理化”与“管理技术化”。技术管理化要求对以上这些安全技术进行有效的管理，使其真正发挥作用。通过统一、集中、实时地集中管理，构建坚固的技术保障体系。管理技术化体现在终端的策略和行为约束，把停留在口号阶段的
13 / 66
“三分技术、七分管理”变成可操作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管理要求真正落实下去。
根据XX现状，在企业办公网中无法确定现在网络中有多少各种设备、终端，是什么种类；无法确定入网终端的安全状况、合法性；无法确定此时有哪些人员入网访问，访问了何种资源；机构的安全规范无法得到有效遵从；私接 hub 及无线路由器无法进行有效的管理；无法迅速安全定位到终端设备和使用者。此方案将从以下几个方面解决上述问题。
边界控制管理
在当今的计算环境中，公司和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问公司资源的权限。现在，维护网络环境完整性的任务面临着前所未有的挑战。准入技术可以与AD域系统联动，在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，
13 / 66
要对端点进行持续验证。可以确保在允许端点连接到公司 LAN、WAN、WLAN 或 VPN 之前遵从 IT策略。
利用各种网络控制技术，实现在各种网络环境下适应性，准入系统能够