《企业信息安全体系建设方案演示课件》由会员分享,可在线阅读,更多相关《企业信息安全体系建设方案演示课件(55页珍藏版)》请在金锄头文库上搜索。
1、深圳昂楷科技有限公司Shenzhen Ankki Technologies Co.,Ltd,企业信息安全体系建设方案V1.0,邓生品 昂楷科技高级顾问,目录,昂楷公司简介 企业安全压力与挑战 建设有效的企业信息安全体系 信息安全标杆 关键成功因素,2020/10/23,3,公司简介,深圳昂楷技术有限公司Shenzhen Ankki Technology CO.,Ltd. 由业内资深专家共同创立,集网络信息安全、存储、统一通信研发、生产、销售于一体的高新技术企业。 昂楷科技凝聚了约50人的资深网络信息安全与电信背景的专家团队,致力于网络信息安全、存储、统一通信产品及解决方案的创新与研究。 华为战
2、略合作伙伴 。 全国信息技术人才培养工程华南授权培训机构。 华中科技大学信息安全产学研合作单位。 国际顶级开源应用安全组织OWASP中国支持单位。,2020/10/23,4,创始人足迹,带队研发的UA5000为全球TOP电信运营商英国BT独家供货,世界排名第一。 卓越的成本控制多次获得华为公司嘉奖。 发明多篇专利获得公司奖励 所带领团队获得华为“金牌团队”荣誉奖 华赛安全研发总监任职期间成功主导与SYMANTEC技术合作,2020/10/23,5,积极参与和组织国际OWASP峰会,首届OWASP中国峰会发布SOne解决方案。 荣获OWASP最佳服务奖。,http:/,OWASP(Open We
3、b Application Security Project),2020/10/23,6,昂楷科技技术与咨询并重是我们的独特优势,技术整合,进行安全、存储、统一通信技术层面的评估和分析 整合IT环境,夯实基础,架构规划,进行管理策略、运行体系和战略愿景层面的咨询和规划 辅助客户建立信息安全整体架构,推广执行,推广技术和管理策略 落实咨询方案,实现业务保障和创新,与客户共同成长,成为战略合作伙伴,端到端解决方案,2020/10/23,7,安全服务管理体系和技术体系无缝结合,昂楷科技的CISSP专家,ICRA安全主任审核员,有世界TOP10电信运营商的服务经验,能够很好的将管理体系和技术体系融合起
4、来,提供全面深入的咨询服务。 拥有自主研发的应用漏洞扫描系统Sone Hss,能够深入扫描和分析WEB系统漏洞。 提供国际ISO27001和国家信息安全等级保护体系咨询顾问服务。,2020/10/23,8,ANKKITM Sone深度业务安全解决方案,随着安全威胁不断升级,传统网络级的安全解决方案已不能满足丰富多彩的业务应用安全保障需要。昂楷科技不断研发创新,研发出SOne 深度业务安全解决方案,满足金融、政府、证券、互联网、电信、电力、高校、制造业等各行各业对应用系统安全日趋强烈的需要业务安全,昂楷领航!,支持HTTPS 独有的透明工作模式,方便部署 安全的Bypass自学习自适应功能,We
5、b应用安全,灵活定义群组、用户的细粒度权限 可靠容灾机制,保护文件不被破坏 灵活分级控制策略,适合超大规模组织机构 ALL-IN-ONE,避免多软件客户端带来的种种困扰,知识产权防泄密DLP,多达200条的检测基准 独特的可信管理机制 业界独有的风险级别量化机制 服务于德国电信DT、法国电信FT 可配置可管理的全自动化加固机制 可根据安全标准、风险级别灵活定制的策略包,主机基线检查和加固,第三代防篡改技术 多平台、多架构支持,网站防篡改系统WDS,服务于德国电信DT、法国电信FT 全面支持6大主流数据库类型 多达150多条的检测基准,数据库基线检查和加固,独有的双向审计机制 领先的三层审计机制
6、,数据库审计与风险控制系统,2020/10/23,9,认证培训,ISO 27001 / ISO20000 LA审核员认证培训 COBIT / ITIL认证培训 CCIE CCNP NSACE认证(初级/中级/高级)可颁发工信部证书 数据库主机安全培训(专项技能培训) Windows系统安全培训(专项技能培训) Linux系统安全培训(专项技能培训),2020/10/23,10,服务承诺,我们承诺销售的产品解决方案提供终身免费远程支持服务,不断拓展和完善的服务网络保障您的权益 热线电话:4006228990 总部地址: 深圳市福田区新闻路一号中电信息大厦13181319室 研发中心: 深圳市南山
7、区高新技术园北区清华源兴大厦(源政创新大厦)四楼,2020/10/23,11,服务的客户,大亚湾核电站,第二职校,易斯博,舜全电子,惠科电子,海能达,思博伦北京,富兰电子,千色店,目录,昂楷公司简介 企业安全压力与挑战 建设有效的企业信息安全体系 信息安全标杆 关键成功因素,我们公司信息安全管理体系水平,处于哪个状态?,无规范安全防御与评估体系, 表面太平,建立管理组织体系、采取周期评估优化措施,安全规范可控,不断优化,破产,损失惨重 基本无力回天,重大事故发生时“救火”,安全水平,安全形势越来越严峻 麻痹者跌倒后,可能将永远倒下,典型的信息安全事件,HW事件 HW到中东某国投标,、人住当地一
8、家酒店。辛苦了很长时间,开标时却发现竞争对手的标书中多了很多HW特有的东西,报价也较自己低 经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭时,有人到其中一个房间取走了笔记本电脑中的硬盘 LM事件 LM一直与中国军方关系密切,承接过国家级信息安全项目 骨干中一人离职出国,带出很多涉密文件,结果LM被封杀 艳照门 很傻很天真,ISO27001对企业的意义,ISO27001对企业的意义,公司生存、发展、壮大的推动,加上上市、融资、品牌建设的需求驱使,商业秘密、技术秘密等核心竞争力信息的规范有序流转与运用要求越来越明显。,公司大部分员工总体信息安全意识比较淡薄;各部门日常安全管理工作基本空白;公
9、司没有形成系统化的安全管理持续优化系统。,需求,现实,企业信息安全压力与挑战,物理安全现状,企业信息安全现状,网络安全现状,人员安全现状,企业信息安全现状简报,问题重重叠加,风险时时攀升,公司高密级网络与低密级网络无隔离; 内部网络与外部网络无有效隔离,公司内部员工之间、内部员工与外网之间的通信,缺乏内容的监控与过滤,公司数据中心缺乏容灾备份机制、缺乏灾难恢复计划,重大问题不知道如何恢复,缺乏持续的灾难恢复演练,各类密级信息无序流转,无分层分级控制,网络安全现状列举,TFJLLO;PO.J.IPOFIHJKGHLKG NFGNJHGC, ,MS,打印机、传真机等敏感设备放置在非受控的安全区域,
10、缺乏有效监控,在公司重要场地,存储和摄像功能的设备随意使用,公司办公场地出入无有效证件登记与监管、公司各区域门禁系统管理混乱,打印件、传真件经常遗漏,导致重大商务与技术信息泄密,门禁权限缺乏定期审核、清理,处于实验室、数据中心等机要场地时未严格落实登记,问题重重叠加,风险时时攀升,物理安全现状举例,安全要求的落地情况没有人检查,也没有检查标准、奖惩标准,员工内部转岗或离职时,工作文件、权限等没有及时交接或清理,公司岗位职责缺乏安全要求定义,缺乏安全保密协议模板或者签署的习惯,敏感岗位缺乏有效的安全背景调查,既要岗位缺乏详实的保密协议的签署与执行监督,没有进行定期的全员安全意识培训、考试,没有将
11、各部门的信息安全情况纳入考核指标,问题重重叠加,风险时时攀升,人员安全现状举例,目录,昂楷公司简介 企业安全压力与挑战 建设有效的企业信息安全体系 信息安全标杆 关键成功因素,什么是信息安全,安全,安全,安全,安全,信息,威胁,弱点,风险,信息安全关注的“三性”,信息安全的4P,安全,策略与流程 (Policy & Process),专业团队和较高安全意识的员工 People,支撑产品(Product),信息安全的组成领域总揽,信息安全,11个控制领域 39个控制目标 133个控制项,安全制度及流程,技术措施,管理措施,安全风险控制方案设计过程,如何保证企业安全控制水平持续优化?,做什么 怎么
12、做,把计划方案转化成现实,实际的情况是否与计划一样得到控制,下一步如何优化,做什么 怎么做,安全工作模块细分,全貌是什么?,安全风险 评估,安全基础,安全功能,安全优化,安全战略,安全管理,安全技术,防火墙和 边界隔离,安全区域定义和划分,安全组织和 责任划分,企业安全策略定义,信息资产分类和分级,紧急响应 机制,业务持续 计划,核心安全 标准/流程,安全变更 管理,安全补丁 管理,安全备份 管理,其它安全 标准/流程,安全培训与教育,第三方安全控制要求,安全策略和标准修订,系统安全 强化,网络入侵检测体系,高危数据 传输加密,关键系统 日志记录,病毒防范 机制,身份认证 体系,访问控制 体系
13、,可用性与 冗余性,远程访问 安全机制,时间同步 机制,集中安全 审计体系,安全事件 管理平台,企业身份 认证平台,其它内容 安全机制,其它数据传输加密,主机入侵 检测体系,数据存储 安全体系,安全体系全面整合和控管,国际或国内安全认证,这三项,是业界标杆用重金构建起来、用成功实践 证明了的安全大厦的“脊梁”,建立信息安全文件体系框架,建立公司信 息安全组织,建立管理与 技术支撑体系,如何搭建企业信息安全防御大厦?,公司信息安全文件体系如何建设与运维?,确定公司信息 安全类文件体系架构 确定各层文件内容框 架及编撰的责任部门,1,2,3,安全文件体系架构,安全纲领性文件,安全基准奖惩制度,构建
14、反应灵敏、运作高效的安全管理组织,技术支撑体系,应从何处入手?,公司的信息安全技术架构体系,包括但不限于以下信息安全策略支撑工具,1.网关安全防御系统(入侵检测、入侵防御系统)。,2.终端计算机上网行为监管系统。,3.核心文档、代码等电子信息加密工具。,4.计算机端口、打印机监控工具。,5.终端计算机监控检查与安全接入控制工具。,6.移动计算机设备、移动存储介质安全认证工具。,7.防火墙、防病毒、容灾备份等系统和工具,企业信息安全管理体系建设如何有效规划?,信息安全体系建设总流程,动员部署阶段,文件化阶段,总结经验巩固成果阶段,进度控制、各子项目关系协调等如何开展?,总体质量与进度如何控制?,
15、甘特图,阻碍企业安全体系建设成功的主要风险是什么,怎样控制?,目录,昂楷公司简介 企业安全压力与挑战 建设有效的企业信息安全体系 信息安全标杆 关键成功因素,标杆公司信息安全管理体系简介,信息安全管理组织 技术支撑体系 信息安全制度体系,03年起,标杆公司持续投入重金, 根据ISO27001标准,构建设置了其信息 安全管理体系,并通过了认证。 有目共睹的事实证明,这个体系的运作, 推动了标杆公司这列“火车”的市场更加 高效、安全平稳地前行与增长,,反应高效、上下一体的公司信息安全“神经系统”,管理与技术手段融合而成的立体防护,内部网,研发网,非研发网,Internet,安全VPN,分支机构防火
16、墙,数据中心,交换机,ERP,文件共享,E-mail,分支机构,安全VPN,外部网,DMZ区,远端用户,管理有序、布局规范而安全的公司网络系统,OA及其他系统,内、外入侵 行为监管,清晰明了、有效搭配的信息安全金字塔文件体系,信息安全金字塔文件体系关键文件展示,目录,昂楷公司简介 企业安全压力与挑战 建设有效的企业信息安全体系 信息安全标杆 关键成功因素,关键成功因素 信息安全方针、目标和活动反映业务目标,与组织文化一致的信 息安全方法,关键成功因素,关键成功因素 高级管理层可见的支持和承诺,关键成功因素 对信息安全要求、风险评估和风险管理 有好的理解,关键的成功因素 有效地对员工和其他人推销信息安全,关键成功因素 向所有员工和其他人 分发信息安全指南,关键的成功因素
