《{管理信息化信息化知识}企业信息化安全优化规划建设制造业)》由会员分享,可在线阅读,更多相关《{管理信息化信息化知识}企业信息化安全优化规划建设制造业)(35页珍藏版)》请在金锄头文库上搜索。
1、企业信息化安全、优化规划建设,Enjoy work, enjoy life,政策目标背景,国内 企业内部控制基本规范-中国塞班斯 上市公司管理规范中对信息化的要求 企业信息化安全等级保护条例 国外 塞班斯法案要求 香港联交所上市公司合规要求 特定行业合规要求(HIPAA/PCI/BASIL) 行业 。,Enjoy work, enjoy life,企业的业务发展面临安全威胁挑战,Enjoy work, enjoy life,风险保障,业务保障,问题: 应用的安全与优化能力不足(面对众多应用),新的安全漏洞 部署防火墙 好像大家都用IDS 终端安全要牢记! 设备运维监控 网络性能,Applica
2、tion,应用关注业务逻辑和功能,传统网络关注连通,网络运维,应用开发人员,?,安全审计,安全? 性能?,传统安全关注IT,主管说: 请你们告诉我现在我们企业的信息化系统的风险状况、我们到底安全不安全? 老板说: 请你们告诉我为什么现在业务部门反映的业务系统性能有问题,客户经常投诉?有没有办法解决,双刃剑-近年安全事件风险分析,Enjoy work, enjoy life,企业信息化投资对策,Enjoy work, enjoy life,集中化,通过机房建设,防错机房的整合,实现核心机房的集中化,从而为服务器、网络、应用、存储备份、监控集中化提供基础,提高系统运作效率,降低运维成本。,平台化,
3、安全化,高可靠性,自动化监控,能力提升,通过平台建设,引入成熟、可靠、先进的IT技术,提高业务系统的可靠性。,构建四大平台:服务器平台、应用平台、安全平台、存储备份平台。基于四大平台,增强各种应用的可扩展性及安全性,保证业务稳定运行。,构建统一的ECC监控中心,实现对服务器、网络、桌面、机房环境等的自动化监控管理。,通过信息安全方针、政策及流程的完善,网络安全架构的合理规划,构建一个可扩展的、有前瞻性的安全平台,保证业务稳定运行。,通过优化应用系统的软件架构,并结合INFRA基础设施的能力提升,为各领域的能力提升提供基础,从而保障业务系统的高效率运作。,建立信息安全体系保障基础,安全体系的三要
4、素是人、管理(流程)和技术。在人员配备齐整的情况下,技术上做不到的依靠管理,管理做不到的依靠技术。安全防护体系建设内容包括安全队伍、安全技术和安全管理三个方面 参照ISO27001对于信息化体系规划建设的模型,Enjoy work, enjoy life,人员,(管理)流程,技术,组织、角色、职责,业务流程、制度,实现目标的 技术手段,安全风险防护规划(组织层面-WHO),8,信息风险管理(策略制定)负责人,信息安全负责人,信息风险管理策略实施(策略执行)负责人,策略接受者,信息风险管理策略的日常运维(监控)负责人,信息风险违规事后审计负责人,审计意见 反馈流程,人事考核,CFO/CIO/副总
5、/技术总监?,风险管理部专员?,IT信息部 安全专项负责人?,财务部人员? 销售部前台? 市场部人员?,审计部负责人?,Enjoy work, enjoy life,安全风险防护规划(技术框架层面-HOW),Enjoy work, enjoy life,3、网络安全建设 4、主机系统安全建设 5、应用安全建设 6、数据安全建设,1、物理安全 2、基础安全,7、安全管理 8、安全审计,统一安全管理平台建设,安全化方策,Enjoy work, enjoy life,客户风险统一管理 终端统一身份认证,部分远程连接的安全接入 防火墙策略加固 网络安全域划分 网络隔离及访问控制,系统级安全基线管理 办
6、公、邮件系统的综合防护系统 运单系统应用级防护与审计管理,客户数据安全防范 终端数据外泄防护 商业邮件数据归档管理,网络及支撑,网络安全域部署,网络准入NAC VPN/SSL,Network,终端配置标准化和桌面安全措施统合,全面实现终端加入域,WINDOW登录动态认证,桌面终端,核心数据防护 核心数据访问控制 终端数据安全防护 邮件归档管理,核心数据,App,App,E-HR,系统及应用,邮件统一管理平台 客户管理系统保护 快递运单系统应用保护,目标,对策,安全管理体系,安全组织,安全方针/手册,安全标准/流程,建立简单、易用、可审计的安全架构体系,实现安全策略的标准化和流程化,强化安全事件
7、的集中监控和处理,Enjoy work, enjoy life,安全风险防护规划(管理层面-WHAT),定义目标 范围边界,参照ISO27001对于信息化体系规划建设的模型,定义 任务书,现状 调研,组织 架构,安全 培训,公司层面 确定目标,基础层安全建设 【运维管理 统一身份管控】,基础网络 【主干通讯防DDOS攻击 内网安全策略加固】,关键应用(web) 【业务web 安全策略加固 核心数据库监控】,复制PDCA 模型,战术层面 计划行动,第三方 认证,外部认证 【自定】,系统应用层,应用系统 安全与优化,业务应用优化 入侵攻击防护 数据库安全审计 WEB应用防护 邮件系统安全 系统漏洞
8、评估 主机安全加固 应用服务管理 数据存储优化,生产数据层,数据安全 服务保障,内容数据监控 应用变更管理 文件变更管理 配置变更管理 内容泄露防护 数据层传输加密 用户认证授权 邮件归档管理,信息安全和应用交付领域的IT需求,目标:以”风险控制导向”(Risk Focused )的企业信息安全架构蓝图,Enjoy work, enjoy life,前期阶段-1,风险调研阶段-2,策略建立及 实施阶段-3,事后管理及 审计阶段-4,安全建设Roadmap,Enjoy work, enjoy life,子项规划名称,Roadmap,2013年,2016年,2017年,2014年,2015年,安全
9、体系建设,内网安全加固,主干网络DDOS 安全加固项目,核心商业数据 安全加固,核心应用防护,安全风险管理 平台建设项目,合规审计管理 平台建设项目,商业数据 安全审计规划,在线电子商务渠道架构规划,安全规划,安全管理体系导入,内部管理系统 建设整合,业务规划,运维基础管控,新电子销售 渠道建设整合,内部合规性 建设整合 (上市要求),。,业务流量监控及 故障分析诊断,统一身份 管控平台,基础安全层-运维管理及审计方案,运维审计系统的主要功能,Enjoy work, enjoy life,解决方案(非标协议与工具),HAC+VDH系统部署与应用,Enjoy work, enjoy life,1
10、7,风险,终端,丢失/遭窃 设备接管,偷听 拦截 非授权访问,文件系统/数据库,未经授权的 访问/活动 不可用 泄露 损坏 不可用,企业存储,未经授权的 访问/活动 介质丢失/遭窃 泄露 损坏 不可用,应用,未经授权的访问/活动 多应用的重复登入 不可用 欺诈 泄露,基础安全层-统一身份管控方案(4A)【二阶段建议】,评估和修复服务,i,i,i,i,IT 域,网络,Enjoy work, enjoy life,网络安全层- 提供最佳安全防护方案,最佳DDoS 攻击防护能力 防护性能极强: PPS Web cookies) 基于阀值防护,HTTP & DNS 进阶验证 响应技术 基于实时行为分析
11、 之攻击特征 基于阀值防护,RegEx 特征 自动更新 攻击反制技术 客制化特征,随机即具备广泛DDoS 攻击防护能力,无需人工介入 秒级快速攻击防护响应,网络安全层- 提供最佳安全防护方案,网络安全层-内部网络安全加固,Enjoy work, enjoy life,按照业务系统规划进行网络安全域梳理, 制定统一的安全访问控制策略,并建立 访问控制策略合规监控手段,Security and Value-Added Business Group Digital China (China) Limited,网络安全层-基础网络安全加固,实时网络攻击监控,恶意代码分析,事件分析和关联,合规性报告,E
12、njoy work, enjoy life,Enjoy work, enjoy life,内网风险统一管理,提供策略管理和报告功能的统一管理控制台 一个控制台实现完整的系统管理 基于角色的应用和Web、邮件和数据泄漏防护控制 为内容安全提供统一内容分析,统一平台和统一解决方案 最佳的安全效果,最低的总拥有成本 提供无可比拟的可视性和控制力,精确地对客户端、群组及其网络行为进行规范,在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉分析以进行梳理各种网络问题的原因?,Enjoy work, enjoy life,系统安全加固:风险 & 合规:,诊断,加固,管理,Enjoy work, e
13、njoy life,建立系统级的安全基线管理风险 & 合规,发现 资产梳理及现状评估 评估 安全漏洞及配置策略审计 管理 针对风险最高优化保护和最大限度地降低成本,消除对关键业务应用程序干扰,Vulnerability Manager,Policy Auditor,网络安全层-业务流量监控及故障分析,该方案通过交换机镜像流量,采集业务系统相关的应用数据流量。该采集方式,仅对交换机产生轻微的负载,完全不影响应用。,可监控应用的各个环节的运行性能状态,包括负载均衡、WEB服务器、应用中间件、数据库服务器。,在不安装探针的情况下:,在应用内部安装探针:,可监控及分析应用内部的运行状态,如方法调用、J
14、DBC、内存泄漏。该方式需要在应用服务器内部安装软件探针,所以会对应用的性能产生一定影响。,负载均衡机,Web,中间件,数据库,网络质量,SQL执行,文档,各渠道、区域 用户体验,业务交易监控机,故障域快速定位,Enjoy work, enjoy life,方案能力,Enjoy work, enjoy life,方案提供的解决方案为 软硬一体化解决方案,设备内预置操作系统、数据库、应用软件,设备出厂时即完成所有预设配置,真正做到开箱即用。设备提供Web、客户端、命令行等多种管理方式,界面友好、直观,配置简单。,全球领先的业务流量监控及分析系统,Executive dashboard of re
15、al-time application performance,方案的核心价值,Enjoy work, enjoy life,应用服务层-关键应用(快递)的应用级防护,Enjoy work, enjoy life,合规性审计报告,针对业务系统的安全防护策略定制,现代企业普遍存在商业数据安全需求,对企业关键数据信息系统的访问、修改进行全面审计,出现事件,可找到问题和源头。 对于大型企业的核心业务系统, 需要能够审计到最终用户 避免数据误操作和误修改造成的影响。 防止关键数据违规泄露和篡改的事件的发生。 防止针对数据库安全漏洞造成的安全事件。 提供专业的审计报告支持。 大规模部署和集中管理的支持。
16、,Enjoy work, enjoy life,1/16/06,Users,Neoaccel sslvpn,F5 链路负载均衡,Internet,ISP,ISP,ISP1,ISP2,Bluecoat SG网关,BlueCoat SG网关,Firewalls,BIG-IP 服务器负载均衡,ISP,Imperva WEB防护网关,Router,Router,Router,Router,F5 WEB客户端加速,Neoaccel ssl vpn,f5 广域网容灾,SSL VPN,DMZ,DMZ,F5广域网容灾,DMZ,Firewalls,Firewalls,主数据中心,移动办公,分部,备份数据中心,F5 链路负载均衡,F5 BIG-IP 服务器负载均衡,Bluecoat SG网关,Imperva 数据库审计,日志审计管理,TippingPoint 入侵防御,TippingPoint
