大型企業(yè)信息安全架構(gòu)及實(shí)踐介紹PPT課件

1、大型企業(yè)信息安全架構(gòu)及實(shí)踐信息安全的維護(hù)，不再只是IT部門的職責(zé)，與企業(yè)的營(yíng)運(yùn)和生產(chǎn)也息息相關(guān)。企業(yè)信息安全實(shí)踐安全專家服務(wù)案例和經(jīng)驗(yàn)共享企業(yè)信息安全體系架構(gòu)企業(yè)信息安全的壓力和挑戰(zhàn)1目錄業(yè)務(wù)業(yè)務(wù)IT支撐IT支撐客戶企業(yè)IT技術(shù)客戶企業(yè)IT技術(shù)傳統(tǒng)業(yè)務(wù)模式新業(yè)務(wù)模式傳統(tǒng)的企業(yè)運(yùn)作模式信息安全僅作為后臺(tái)數(shù)據(jù)的保障基本與業(yè)務(wù)無(wú)關(guān)的信息安全需求新的安全考慮安全是一個(gè)企業(yè)整體需求風(fēng)險(xiǎn)評(píng)估和企業(yè)連續(xù)戰(zhàn)略都是今天董事會(huì)上討論的話題企業(yè)對(duì)受過(guò)安全培訓(xùn)的人員需求越來(lái)越高企業(yè)信息安全的壓力源由業(yè)務(wù)模式的變革新的企業(yè)運(yùn)作模式因客戶和IT直接連線導(dǎo)致IT 和業(yè)務(wù)流程的匯合安全不是單獨(dú)的解決方案08年財(cái)富1000公司

2、的IT安全關(guān)注點(diǎn)調(diào)查What are your organizations top three Information Security projects in the next 12 months?(11/5/07): F1000 Sample. Wave 7 n=85, Wave 8 n=132, Wave 9 n=146. * Note that due to multiple responses per interview, total exceeds 100%各大公司在安全工作開(kāi)展一段時(shí)間后，已開(kāi)始關(guān)注數(shù)據(jù)安全身份管理做為安全的基礎(chǔ)架構(gòu)，一直是持續(xù)關(guān)注的重點(diǎn)企業(yè)自身安全之外的合規(guī)性要

3、求國(guó)信辦的關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)2006年元月信息安全風(fēng)險(xiǎn)評(píng)估指南、信息安全風(fēng)險(xiǎn)管理指南， 2006年4月18日正式成為國(guó)標(biāo)，由國(guó)家測(cè)評(píng)中心頒布公安部2004年9月關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 66號(hào)文，等級(jí)保護(hù)關(guān)于全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安2007861號(hào)）安全等級(jí)保護(hù)國(guó)家頒布的安全等級(jí)保護(hù)技術(shù)要求公安部2005年12月頒布互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定82號(hào)令美國(guó)公眾上市公司需要遵循的薩班斯（Sarbanes Oxley）法案IT治理（IT Governance）和IT控制框架（IT Control Framework）用戶帳號(hào)管理和權(quán)限管理、保護(hù)組織

4、記錄、信息系統(tǒng)的安全審計(jì)、文檔、郵件的歸檔針對(duì)服務(wù)組織的要求由美國(guó)注冊(cè)公共會(huì)計(jì)師協(xié)會(huì)(AICPA)發(fā)起的評(píng)估服務(wù)組織內(nèi)部控制和安全措施是否充分的SAS70標(biāo)準(zhǔn)BS7799/ISO27001標(biāo)準(zhǔn)，指導(dǎo)企業(yè)以安全風(fēng)險(xiǎn)管理為基礎(chǔ)，建立信息系統(tǒng)安全管理系統(tǒng)ISMSInternet的安全問(wèn)題專網(wǎng)的安全問(wèn)題OA的安全問(wèn)題企業(yè)信息安全的壓力和挑戰(zhàn)的分解從企業(yè)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)出發(fā)，分解企業(yè)常見(jiàn)的安全問(wèn)題：網(wǎng)絡(luò)資源濫用行為內(nèi)部資料泄密行為內(nèi)網(wǎng)管理無(wú)依據(jù)相關(guān)法規(guī)合規(guī)病毒、木馬攻擊黑客入侵應(yīng)用系統(tǒng)的安全問(wèn)題與Internet交互的安全隱患提供管理和決策依據(jù) （審計(jì)）相關(guān)法規(guī)（SOX、等保）病毒、木馬攻擊黑客入侵

5、網(wǎng)站被篡改數(shù)據(jù)庫(kù)被攻擊竊取郵件無(wú)法發(fā)送病毒攻擊、木馬攻擊業(yè)務(wù)連續(xù)性的保障 （DDOS攻擊）相關(guān)法規(guī)的合規(guī)性黑客入侵安全風(fēng)險(xiǎn)業(yè)務(wù)影響或中斷惡意入侵和破壞數(shù)據(jù)泄漏非法訪問(wèn)災(zāi)難性破壞網(wǎng)絡(luò)可用性系統(tǒng)可用性數(shù)據(jù)機(jī)密性訪問(wèn)的可控性災(zāi)難恢復(fù)能力安全需求 解決措施. 網(wǎng)絡(luò)流量監(jiān)控及DoS服務(wù)防護(hù). 核心服務(wù)器等采用負(fù)載均衡和容錯(cuò)備份系統(tǒng) . 應(yīng)用系統(tǒng)安全評(píng)估. 網(wǎng)站安全加固. 網(wǎng)頁(yè)防篡改系統(tǒng). WEB應(yīng)用防火墻. 數(shù)據(jù)庫(kù)安全審計(jì). CA認(rèn)證系統(tǒng). 防火墻. 安全控制中心. 入侵監(jiān)測(cè)系統(tǒng). 網(wǎng)絡(luò)掃描系統(tǒng). 網(wǎng)絡(luò)防病毒系統(tǒng). 信息審計(jì)系統(tǒng) . 構(gòu)建虛擬專用網(wǎng)VPN. 基于SSL協(xié)議的應(yīng)用加密系統(tǒng) . 災(zāi)備中心 企

6、業(yè)安全風(fēng)險(xiǎn)及解決措施目錄企業(yè)信息安全實(shí)踐安全專家服務(wù)案例和經(jīng)驗(yàn)共享企業(yè)信息安全體系架構(gòu)企業(yè)信息安全的壓力和挑戰(zhàn)2預(yù)防Prevent安全策略Security Policy保護(hù)Protect轉(zhuǎn)移Mitigate殘余風(fēng)險(xiǎn)ResidualRisk接受Risk應(yīng)急計(jì)劃Emergency Plan風(fēng)險(xiǎn)分析Risk Analysis企業(yè)信息安全管理中執(zhí)行安全規(guī)定是難點(diǎn)從業(yè)務(wù)出發(fā)才能了解企業(yè)的風(fēng)險(xiǎn)關(guān)注安全遵守才能降低企業(yè)的風(fēng)險(xiǎn)企業(yè)可以通過(guò)安全架構(gòu)模型，與等保結(jié)合專業(yè)服務(wù)ProfessionalServices管理服務(wù)ManagedServices軟硬件Hardware& Software管控與風(fēng)險(xiǎn)管理 Gov

7、ernance and Risk Management結(jié)構(gòu)化的控制框架支持性能、風(fēng)險(xiǎn)與符合性管理 Structured control framework supporting performance, risk and compliance management.安全架構(gòu)威脅緩解與業(yè)務(wù)支持 Threat Mitigation and Business Enablement共同的策略、事件處理與報(bào)告網(wǎng)絡(luò)、服務(wù)器、終端Network, Server, and End-point物理安全 Physical Facilities人員與身份People and Identity數(shù)據(jù)與信息Data an

8、dInformationDelivered by流程與應(yīng)用Process and Application管理上：管控與風(fēng)險(xiǎn)管理是安全的基礎(chǔ)，它包括 policy definition, compliance, and auditing related activities.技術(shù)上：威脅緩解與業(yè)務(wù)支持包括5大類安全功能安全管理與技術(shù)通過(guò)專業(yè)服務(wù)、軟硬件部署、管理服務(wù)三種形式來(lái)提供越來(lái)越多的企業(yè)認(rèn)識(shí)到：必須整合企業(yè)組織與人員、管理體系與流程、技術(shù)手段三方面因素，設(shè)計(jì)一致完整的安全架構(gòu)、并持續(xù)實(shí)施才能獲得理想的安全管控效果安全管理架構(gòu) 安全技術(shù)架構(gòu)組織與人員流程技術(shù)執(zhí)行業(yè)務(wù)邏輯IT 基 礎(chǔ) 架 構(gòu)企

9、業(yè)信息安全管理的要素建議制定的信息安全管理架構(gòu)應(yīng)包括的內(nèi)容企業(yè)整體管理體系的一部分，是一套有系統(tǒng)地分析和管理信息風(fēng)險(xiǎn)的方法。安全原則，描述信息安全的業(yè)務(wù)需求價(jià)值安全政策，描述信息安全的目地、方向、愿景及責(zé)任安全標(biāo)準(zhǔn)，信息安全實(shí)施規(guī)則，包括技術(shù)、方法及其它細(xì)節(jié)安全流程，于跨單位實(shí)施政策標(biāo)準(zhǔn)的活動(dòng)、工作及程序安全步驟，描述個(gè)人在流程上的詳細(xì)工作安全架構(gòu)，信息安全技術(shù)如何結(jié)合的細(xì)節(jié)安全產(chǎn)品，信息安全解決方案所選的產(chǎn)品及工具ISO27001要求企業(yè)建立起PDCA的模型，確保信息安全的持續(xù)發(fā)展。Product流程作業(yè)步驟架構(gòu)產(chǎn)品建議政策安全標(biāo)準(zhǔn)原則建議企業(yè)制定的安全技術(shù)架構(gòu)應(yīng)包括的內(nèi)容完整性審計(jì)信任管理

10、信息流控制 接入控制審計(jì)系統(tǒng)接口授權(quán)管理信任關(guān)系確認(rèn)管理認(rèn)證管理接入控制接入控制策略安全基礎(chǔ)設(shè)施建設(shè)，重視網(wǎng)絡(luò)安全防護(hù)建設(shè)審計(jì)系統(tǒng)接口數(shù)據(jù)流過(guò)濾、邊界防護(hù)數(shù)據(jù)流控圖信息流策略服務(wù)信息流管理梳理、分析應(yīng)用數(shù)據(jù)流，確保安全控制措施有效、且不影響業(yè)務(wù)的運(yùn)行信任關(guān)系庫(kù)審計(jì)系統(tǒng)接口信息關(guān)系分發(fā)信任關(guān)系生命周期管理信任管理-單點(diǎn)登陸建設(shè)企業(yè)用戶目錄庫(kù)（LDAP),實(shí)現(xiàn)用戶“實(shí)名制”的集中用戶認(rèn)證、訪問(wèn)控制和授權(quán)管理事件收集審計(jì)分析審計(jì)報(bào)告生成事件匯總審計(jì)事件產(chǎn)生實(shí)時(shí)事件分析審計(jì)管理結(jié)合各個(gè)信息安全功能模塊中審計(jì)系統(tǒng)接口，進(jìn)行基于自然人審計(jì)，實(shí)現(xiàn)審計(jì)功能系統(tǒng)安全優(yōu)化、可用性應(yīng)用安全測(cè)試管理災(zāi)難恢復(fù)審計(jì)系統(tǒng)接

11、口物理防護(hù)應(yīng)用與數(shù)據(jù)的系統(tǒng)安全，安全因素始終應(yīng)貫穿軟件與數(shù)據(jù)的需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、保存等整個(gè)生命周期目錄企業(yè)信息安全實(shí)踐安全專家服務(wù)案例和經(jīng)驗(yàn)共享企業(yè)信息安全體系架構(gòu)企業(yè)信息安全的壓力和挑戰(zhàn)3培訓(xùn)是安全實(shí)踐中的重要環(huán)節(jié)在企業(yè)的安全培訓(xùn)中的“保障IT安全的服務(wù)實(shí)施”應(yīng)該包括基本的安全主題課程主題受眾安全概述學(xué)習(xí)本課程的所有人員工的安全責(zé)任所有員工內(nèi)部系統(tǒng)的安全標(biāo)準(zhǔn)支持電信業(yè)務(wù)或?yàn)殡娦藕屯獠科髽I(yè)提供企業(yè)間服務(wù)的多用戶系統(tǒng)、應(yīng)用、中間件和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的所有者和系統(tǒng)管理員安全與外包客戶負(fù)責(zé)管理信息科技服務(wù)實(shí)施的全球服務(wù)實(shí)施中心事件管理所有服務(wù)實(shí)施人員用戶ID管理在內(nèi)部或外部客戶中負(fù)責(zé)下列任何系統(tǒng)、

12、服務(wù)器或應(yīng)用的人員： 建立員工帳號(hào) 更新員工帳號(hào) 刪除員工帳號(hào) 維護(hù)員工帳號(hào) 重建員工帳號(hào)密碼脆弱性管理使用“不符合事件追蹤系統(tǒng)”負(fù)責(zé)保證設(shè)備遵從內(nèi)部系統(tǒng)的安全標(biāo)準(zhǔn)的系統(tǒng)管理員和如其他人員不符合事件追蹤系統(tǒng)業(yè)務(wù)線管理者、安全管理員或任何其他由業(yè)務(wù)線管理者安排的人員；任何負(fù)責(zé)網(wǎng)絡(luò)或服務(wù)以保證與業(yè)務(wù)線管理和安全管理相關(guān)業(yè)務(wù)執(zhí)行的人員員工安全責(zé)任所有員工（包括經(jīng)理）有責(zé)任保護(hù)公司交付其使用的資產(chǎn)，包括知識(shí)產(chǎn)權(quán)員工責(zé)任：?jiǎn)T工的安全責(zé)任包括但不限于：理解并遵從公司安全策略隨時(shí)明顯地佩戴員工牌向安保部門和管理層報(bào)告所有活動(dòng)、可能的信息泄漏、確已發(fā)生或可能發(fā)生的損失, 以及其他對(duì)公司財(cái)產(chǎn)、信息、其它資產(chǎn)和公

13、司員工造成傷害或可能造成傷害的安全事件主題 ：場(chǎng)所安全業(yè)務(wù)行為指南員工電腦的安全和使用標(biāo)準(zhǔn)個(gè)人所有電腦設(shè)備使用指南數(shù)據(jù)私密性企業(yè)內(nèi)部IT安全和使用標(biāo)準(zhǔn)及運(yùn)營(yíng)的制定2. 制定終端安全標(biāo)準(zhǔn)：?jiǎn)T工電腦的安全和使用標(biāo)準(zhǔn)；相關(guān)的執(zhí)行流程、組織架構(gòu)等1. 參考企業(yè)的安全政策，企業(yè)IT安全準(zhǔn)則，和信息安全分類與控制3. 根據(jù)企業(yè)的安全架構(gòu)設(shè)計(jì)，進(jìn)行桌面安全產(chǎn)品的功能定位、確定選擇標(biāo)準(zhǔn)并進(jìn)行測(cè)試。4. 分兩類進(jìn)行產(chǎn)品的布置，并完成相應(yīng)的作業(yè)指南：A. 基本類：防毒軟件、補(bǔ)丁工具、個(gè)人防火墻。企業(yè)身份管理平臺(tái)與資產(chǎn)管理工具；B：符合與審計(jì)類：同步或提前布置符合與審計(jì)工具5. 在實(shí)際的工作中，對(duì)第2步的規(guī)范、管理

14、流程，進(jìn)行修訂。包括部署、執(zhí)行、檢查、培訓(xùn)、通知、符合與審計(jì)流程及相應(yīng)的角色定位6. 定期根據(jù)執(zhí)行情況進(jìn)行相應(yīng)的改進(jìn)與變更，包括對(duì)基本類產(chǎn)品的更換與日常支持，開(kāi)發(fā)并部署一些符合與審計(jì)的工具。Product流程作業(yè)指南 架構(gòu)產(chǎn)品建議政策安全標(biāo)準(zhǔn)原則0. 基礎(chǔ)是建立企業(yè)的信息安全架構(gòu)模型中國(guó)電信安全專家的三大安全解決方案及特點(diǎn)安全專業(yè)服務(wù)理論與實(shí)踐的結(jié)合經(jīng)實(shí)踐檢驗(yàn)的安全方法論與工具，并在不斷研發(fā)。自身的信息安全管理體系，管理分布在全國(guó)的各地至縣級(jí)的分公司、近萬(wàn)套應(yīng)用程序、若干個(gè)數(shù)據(jù)中心等，可作為國(guó)內(nèi)企業(yè)信息安全建設(shè)的最佳參考典范不斷積累的安全項(xiàng)目經(jīng)驗(yàn)Product流程作業(yè)步驟架構(gòu)產(chǎn)品建議政策安全標(biāo)

15、準(zhǔn)原則安全管理服務(wù)有保證的安全外包服務(wù)擁有安全運(yùn)營(yíng)中心，為企業(yè)提供安全監(jiān)控、管理服務(wù)完善的安全外包服務(wù)標(biāo)準(zhǔn)，2007 MSS市場(chǎng)#1有超過(guò)300多名的信息安全專家，獨(dú)立安全實(shí)驗(yàn)室結(jié)合軟硬件安全產(chǎn)品不斷豐富的一流的安全、監(jiān)控、及災(zāi)備服務(wù)E網(wǎng)安產(chǎn)品Netcare目錄企業(yè)信息安全實(shí)踐安全專家服務(wù)案例和經(jīng)驗(yàn)共享企業(yè)信息安全體系架構(gòu)企業(yè)信息安全的壓力和挑戰(zhàn)4IDC個(gè)人客戶MSS平臺(tái)持續(xù)的數(shù)據(jù)挖掘和知識(shí)更新安全分析模型專家知識(shí)庫(kù)安全技術(shù)團(tuán)隊(duì)中心數(shù)據(jù)庫(kù)可管理安全服務(wù)政企客戶家庭客戶安全專家服務(wù)支撐體系安全服務(wù)安全加固安全培訓(xùn)安全通告應(yīng)急響應(yīng)安全運(yùn)營(yíng)業(yè)務(wù)連續(xù)性保障DDos防護(hù)安全網(wǎng)關(guān)安全郵局流量監(jiān)控分析應(yīng)用系

16、統(tǒng)安全風(fēng)險(xiǎn)評(píng)估安全咨詢安全規(guī)劃安全集成安全審計(jì)公眾網(wǎng)網(wǎng)絡(luò)流量清洗服務(wù)業(yè)務(wù)連續(xù)性保障DDOS防護(hù)幫助客戶自動(dòng)清潔針對(duì)其業(yè)務(wù)系統(tǒng)的DDOS惡意攻擊流量，有效保障關(guān)鍵業(yè)務(wù)的連續(xù)性，客戶無(wú)需任何設(shè)備投資和網(wǎng)絡(luò)改動(dòng)，就能輕松解除后顧之憂。 DDOS攻擊防護(hù)由于需要在運(yùn)營(yíng)商的生產(chǎn)網(wǎng)絡(luò)中實(shí)施全網(wǎng)監(jiān)控和流量控制，中國(guó)電信提供該類業(yè)務(wù)具有得天獨(dú)厚的優(yōu)勢(shì)，可以為客戶提供高品質(zhì)的安全服務(wù)。 ISP1ISP2監(jiān)控分析中心分析設(shè)備清潔中心用戶接入層核心層流量采樣12CHINANET應(yīng)用系統(tǒng)安全防護(hù)服務(wù) 針對(duì)基于Web的應(yīng)用系統(tǒng)提供： 深度檢測(cè) 定期評(píng)估 系統(tǒng)加固 數(shù)據(jù)庫(kù)審計(jì) 保障用戶系統(tǒng)安全。應(yīng)用系統(tǒng)安全防護(hù)系統(tǒng)風(fēng)險(xiǎn)深

17、度評(píng)估：通過(guò)遠(yuǎn)程掃描的方式，檢測(cè)WEB系統(tǒng)潛在的漏洞，主要包括遠(yuǎn)程CGI掃描，弱口令掃描，補(bǔ)丁漏洞掃描，溢出漏洞掃描。深度檢測(cè)和滲透測(cè)試：通過(guò)模擬攻擊的方式，對(duì)WEB系統(tǒng)漏洞進(jìn)行深入分析，主要包括跨站腳本分析、注入分析、弱口令檢測(cè)分析、惡意編碼檢測(cè)、釣魚軟件檢測(cè)、應(yīng)用層DDOS攻擊檢測(cè)。提供評(píng)估報(bào)告和安全加固：提供整體WEB評(píng)估報(bào)告，漏洞補(bǔ)丁修復(fù)建議，提供WEB系統(tǒng)加固和防御完整解決方案。郵件系統(tǒng)安全保障服務(wù)安全郵局服務(wù)提供郵件系統(tǒng)監(jiān)測(cè)及郵件代發(fā)送服務(wù)。 確?？蛻羿]件能安全可靠的投遞，基于互聯(lián)網(wǎng)及時(shí)診斷、救護(hù)和保障客戶郵件服務(wù)正常運(yùn)行的運(yùn)行。服務(wù)內(nèi)容：DSN : 黑名單預(yù)警及提示服務(wù)DSM : 郵件服務(wù)器的通信質(zhì)量監(jiān)測(cè)DSR : 電子郵件全球無(wú)障礙收發(fā)DSCA : 郵件服務(wù)器的審計(jì)與認(rèn)證DSL : 垃圾郵件高頻率控制列表DSSC : 發(fā)信安全過(guò)濾器DSC : 郵件/反垃圾郵件技術(shù)咨詢案例：甘肅酒泉鋼鐵集團(tuán)安全評(píng)估及郵件安全治理項(xiàng)目被保護(hù)用戶網(wǎng)絡(luò)垃圾郵件過(guò)濾病毒郵件過(guò)濾蠕蟲郵件過(guò)濾網(wǎng)絡(luò)釣魚郵件大量郵件發(fā)送 郵件接收用戶郵件服務(wù)器外部網(wǎng)絡(luò)郵件服務(wù)器對(duì)用戶的好處：無(wú)需購(gòu)買硬件設(shè)備。節(jié)約用戶帶寬資源保護(hù)用戶郵件服務(wù)器用戶端操作簡(jiǎn)單、零維護(hù)郵件發(fā)送郵件發(fā)送郵件接收工作模式：用戶端只需