安全規(guī)劃課件_第1頁
安全規(guī)劃課件_第2頁
安全規(guī)劃課件_第3頁
安全規(guī)劃課件_第4頁
安全規(guī)劃課件_第5頁
已閱讀5頁,還剩53頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路業(yè)務(wù)安全需求安全挑戰(zhàn)核心數(shù)據(jù)不外泄,保證內(nèi)部系統(tǒng)和數(shù)據(jù)安全核心數(shù)據(jù)泄露核心數(shù)據(jù)損壞核心數(shù)據(jù)可用合作伙伴間信息交互信息竊取非授權(quán)訪問安全智能的產(chǎn)品車聯(lián)網(wǎng)易被入侵整車接口易被入侵安全穩(wěn)定的服務(wù)安全事件處理不當(dāng)不及時(shí)無法發(fā)現(xiàn)攻擊行為汽車生產(chǎn)合規(guī)汽車行業(yè)安全須遵從多種行業(yè)要求法律法規(guī)要求遵從網(wǎng)絡(luò)安全法、等級(jí)保護(hù)、刑法第九條、密碼法、個(gè)人信息保護(hù)法等法律法規(guī)上市公司要求SOX中關(guān)于信息安全方面的要求作為美國上市企業(yè)必須滿足資本市場的要求,按時(shí)、全面、系統(tǒng)地建立符合SOX404的內(nèi)控體系。塞班斯法案涉及到公司治理、內(nèi)部控制、財(cái)務(wù)報(bào)告、管理流程、信息系統(tǒng)、法律責(zé)任等各個(gè)方面。SOX法案規(guī)定,上市公司的內(nèi)控管理必須切實(shí)做到保護(hù)財(cái)務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶數(shù)據(jù)免遭盜竊與破壞,以提高公司披露的準(zhǔn)確性和可靠性。企業(yè)需求法規(guī)要求當(dāng)前安全的迫切需求要求建立:弱點(diǎn)管理和安全符合性檢查系統(tǒng)要求:安全事件監(jiān)控與審計(jì)系統(tǒng)要求建立:數(shù)據(jù)保護(hù)系統(tǒng)建立弱點(diǎn)管理和安全符合性檢查系統(tǒng),全面持續(xù)收集企業(yè)IT系統(tǒng)內(nèi)的安全弱點(diǎn)信息、安全策略的符合性狀況,保障系統(tǒng)安全。建立安全事件監(jiān)控與審計(jì)系統(tǒng),及時(shí)發(fā)現(xiàn)對(duì)于企業(yè)IT系統(tǒng)和數(shù)據(jù)的非法訪問以及事后審計(jì)能力,獲得企業(yè)風(fēng)險(xiǎn)狀況的動(dòng)態(tài)視圖。建立數(shù)據(jù)保護(hù)平臺(tái),對(duì)客戶數(shù)據(jù)、企業(yè)財(cái)務(wù)數(shù)據(jù)等企業(yè)敏感數(shù)據(jù)在其生命周期內(nèi)的保密性、可用性和完整性提供保護(hù)。業(yè)務(wù)安全需求安全挑戰(zhàn)核心數(shù)據(jù)不外泄,保證內(nèi)部系統(tǒng)和數(shù)據(jù)安全核人-安全意識(shí)-安全行為-安全文化技術(shù)信息安全風(fēng)險(xiǎn)和信息安全事件的發(fā)現(xiàn)/控制/保護(hù)/審計(jì)制度數(shù)據(jù)資產(chǎn)分類分級(jí)數(shù)據(jù)安全制度和流程

1.安全制度(Policy):明確定義組織責(zé)任、策略要求、流程固化,構(gòu)建信息安全建設(shè)的體系和運(yùn)營基礎(chǔ)。2.安全技術(shù)(Technology):對(duì)標(biāo)信息安全建設(shè)最佳實(shí)踐模型,定位出公司在信息安全技術(shù)架構(gòu)中的薄弱環(huán)節(jié);分析技術(shù)系統(tǒng)部署優(yōu)先級(jí)及關(guān)聯(lián)性,確保關(guān)鍵信息安全風(fēng)險(xiǎn)的可發(fā)現(xiàn),可控制,和可追溯審計(jì)。3.安全意識(shí)(People):采用教育和懲戒結(jié)合的方式,促進(jìn)員工的信息安全意識(shí),行為和文化的形成。信息安全建設(shè)工作,不是僅靠技術(shù)系統(tǒng)上線就可完成,而是融合的管理和技術(shù)兩方面的投入,進(jìn)而改變員工的思想、行為和企業(yè)安全文化的一個(gè)持續(xù)過程。信息安全建設(shè)理念人技術(shù)制度1.安全制度(Policy):信息安全建設(shè)工作信息安全規(guī)劃原則信息安全實(shí)施思路信息安全技術(shù)驅(qū)動(dòng)完善基礎(chǔ)設(shè)施安全,部署先進(jìn)的信息安全運(yùn)維工具,加強(qiáng)信息安全工具聯(lián)動(dòng)發(fā)揮作用事件驅(qū)動(dòng)

靜態(tài)的、局部的、事后補(bǔ)救的被動(dòng)式信息安全管理模式信息安全管理驅(qū)動(dòng)建立正式的信息安全組織、完善的信息安全策略、標(biāo)準(zhǔn)及流程,提升員工信息安全意識(shí)技術(shù)與管理相結(jié)合信息安全的技術(shù)手段由管理制度和標(biāo)準(zhǔn)來支持,對(duì)環(huán)境的變化作主動(dòng)的適應(yīng)和調(diào)整,建立動(dòng)態(tài)的、全面的、預(yù)防為主的主動(dòng)式信息安全管理模式整體規(guī)劃、分步實(shí)施原則全面保障原則同步建設(shè)原則技術(shù)與管理并重原則使IT能力成為公司全球化核心競爭力的重要支撐以業(yè)務(wù)為中心,優(yōu)先支持業(yè)務(wù)流程和業(yè)務(wù)系統(tǒng)需求,提高業(yè)務(wù)運(yùn)營效率支持管理和決策,保證企業(yè)信息及數(shù)據(jù)的安全性(機(jī)密性、完整性、可用性)建立高效的IT系統(tǒng)和IT服務(wù)IT戰(zhàn)略IT愿景IT建設(shè)原則

信息安全實(shí)施思路信息安全規(guī)劃原則信息安全實(shí)施思路信息安全技術(shù)驅(qū)動(dòng)事件驅(qū)動(dòng)信息目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路二、信息安全建設(shè)目標(biāo)防止特權(quán)用戶利用運(yùn)維權(quán)限竊取或破壞防止特權(quán)用戶誤操作導(dǎo)致系統(tǒng)故障遵從國內(nèi)外法律法規(guī)的要求防范外部攻擊導(dǎo)致系統(tǒng)癱瘓防范外部攻擊導(dǎo)致數(shù)據(jù)泄漏或破壞防范員工無意泄密防范員工故意泄密防范外來人員竊取1.安全不違規(guī)2.“攻擊”進(jìn)不來4.特權(quán)不濫用3.信息拿不走涉密員工網(wǎng)絡(luò)黑客特權(quán)用戶監(jiān)管機(jī)構(gòu)公司信息安全建設(shè)目標(biāo)應(yīng)包括“人防+技防”,全面降低信息安全風(fēng)險(xiǎn),最終實(shí)現(xiàn)企業(yè)合規(guī)經(jīng)營目標(biāo)。二、信息安全建設(shè)目標(biāo)防止特權(quán)用戶利用運(yùn)維權(quán)限竊取或破壞遵從國2.1“安全不違規(guī)”管理措施法律法規(guī)條目化:

梳理合規(guī)要求(網(wǎng)絡(luò)安全法、刑法第九條、密碼法、SOX)等法律法規(guī)信息安全管理要求差距分析:

結(jié)合考慮IT管理、系統(tǒng)開發(fā)、基礎(chǔ)設(shè)施、生產(chǎn)運(yùn)行、綜合管理等進(jìn)行差距分析,設(shè)計(jì)安全管理體系管理體系建設(shè):

依據(jù)國際標(biāo)準(zhǔn)ISO27001建設(shè)信息安全管理體系,制定信息安全管理制度、流程、規(guī)范等技術(shù)體系建設(shè):

采取必要的安全技術(shù)手段,實(shí)施安全控制措施,逐步建立完善信息安全技術(shù)體系,滿足安全合規(guī)的相關(guān)要求安全意識(shí)全員培訓(xùn):

信息安全意識(shí)持續(xù)教育、安全能力逐步提升實(shí)施策略第九條網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使用戶的公民個(gè)人信息泄露,造成嚴(yán)重后果的,應(yīng)當(dāng)依照刑法第二百八十六條之一的規(guī)定,以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。2.1“安全不違規(guī)”管理措施實(shí)施策略第九條2.2“攻擊進(jìn)不來”實(shí)施策略管理措施漏洞管理:

定義漏洞管理策略,執(zhí)行漏洞管理機(jī)制,

將漏洞管理納入日常管理運(yùn)維機(jī)制。郵件安全:

加強(qiáng)垃圾郵件、釣魚網(wǎng)站、木馬郵件的鑒

別能力,通過持續(xù)的安全教育和培訓(xùn),加

強(qiáng)人員安全防護(hù)意識(shí)。技術(shù)措施網(wǎng)絡(luò)安全域劃分:

將網(wǎng)絡(luò)劃分互聯(lián)網(wǎng)區(qū)、DMZ、內(nèi)部區(qū)域、內(nèi)

部核心區(qū)等,做好安全防護(hù)策略網(wǎng)絡(luò)準(zhǔn)入:

建立網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),實(shí)現(xiàn)終端接入認(rèn)

證、違規(guī)報(bào)警漏洞掃描:

對(duì)主機(jī)、操作系統(tǒng)、中間件、數(shù)據(jù)庫、應(yīng)

用等進(jìn)行安全漏洞掃描并進(jìn)行安全加固代碼審計(jì)+滲透測試:

使用工具檢查程序源代碼和應(yīng)用程序是否

存在安全缺陷,提供代碼缺陷引發(fā)的安全

問題修訂措施和建議郵件安全網(wǎng)關(guān):

部署郵件安全網(wǎng)關(guān)攔截垃圾郵件、木馬郵

件及釣魚網(wǎng)站現(xiàn)狀非法端口外部入侵病毒攻擊內(nèi)部用戶垃圾郵件生產(chǎn)服務(wù)器測試服務(wù)器對(duì)外服務(wù)器公司信息安全邊界2.2“攻擊進(jìn)不來”實(shí)施策略管理措施技術(shù)措施現(xiàn)狀非法端口外2.3“信息拿不走”實(shí)施策略管理措施制度建設(shè)

編制《數(shù)據(jù)資產(chǎn)安全管理辦法》等相關(guān)制

度,對(duì)華人運(yùn)通數(shù)據(jù)進(jìn)行分類、分級(jí),明

確數(shù)據(jù)安全管理職責(zé),制定數(shù)據(jù)操作流程資產(chǎn)識(shí)別:

梳理數(shù)據(jù)資產(chǎn),建立完善華人運(yùn)通數(shù)據(jù)資

產(chǎn)清單并持續(xù)更新技術(shù)措施企業(yè)云盤:

通過使用企業(yè)云盤的方式將分散在終端的

非結(jié)構(gòu)化數(shù)據(jù)在企業(yè)云盤上進(jìn)行集中存儲(chǔ),

統(tǒng)一管理和文件共享交互數(shù)據(jù)防泄密DLP

部署數(shù)據(jù)防泄密DLP工具監(jiān)控和阻攔所有禁

止傳輸?shù)桨踩吔缤獾拿舾袛?shù)據(jù),防范數(shù)

據(jù)泄露硬盤加密

通過客戶端、服務(wù)器硬盤加密方式,防止

拆除硬盤后可直接讀取、拷貝數(shù)據(jù),繞過 DLP防護(hù)措施共享文件30%企業(yè)云盤100%現(xiàn)狀公司信息安全邊界終端通道網(wǎng)絡(luò)訪問通道外部郵箱登陸通道USB藍(lán)牙光盤特殊網(wǎng)站微信外部云盤QQ郵箱163郵箱數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)分散數(shù)據(jù)70%郵箱正常網(wǎng)站合作伙伴FTP服務(wù)器2.3“信息拿不走”實(shí)施策略管理措施技術(shù)措施共享文件30%2.4“特權(quán)不濫用”實(shí)施策略管理措施賬號(hào)策略:

定義賬號(hào)權(quán)限管理策略并定期開展賬號(hào)權(quán)限審查嚴(yán)格禁止共享賬號(hào)策略特權(quán)賬號(hào)密碼分段保存策略密碼復(fù)雜度策略密碼錯(cuò)誤次數(shù)鎖定策略強(qiáng)制定期改密策略禁止密碼自動(dòng)保存策略技術(shù)措施統(tǒng)一賬號(hào)管理平臺(tái):建立統(tǒng)一賬號(hào)管理平臺(tái)對(duì)系統(tǒng)賬號(hào)權(quán)限統(tǒng)一集中管控。在終端、應(yīng)用層分別實(shí)現(xiàn)身份認(rèn)證和識(shí)別,即統(tǒng)一管理、統(tǒng)一認(rèn)證、授權(quán)和安全審計(jì)堡壘機(jī);部署集中運(yùn)維及審系統(tǒng),內(nèi)外部用戶利用堡壘機(jī)作為統(tǒng)一運(yùn)維平臺(tái),避免用戶直接訪問服務(wù)器進(jìn)而對(duì)服務(wù)器做破壞性工作?,F(xiàn)狀公司信息安全邊界內(nèi)部員工駐場供應(yīng)商出差員工外部供應(yīng)商加密通道服務(wù)器應(yīng)用系統(tǒng)特權(quán)員工統(tǒng)一賬號(hào)管理平臺(tái)堡壘機(jī)2.4“特權(quán)不濫用”實(shí)施策略管理措施技術(shù)措施現(xiàn)狀公司內(nèi)部員目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路NO類別項(xiàng)目名稱描述涉及范圍實(shí)現(xiàn)目標(biāo)預(yù)算優(yōu)先級(jí)1管理安全組織結(jié)構(gòu)優(yōu)化優(yōu)化信息安全組織明確職責(zé)全體安全不違規(guī)2建立信息安全制度體系建立信息安全管理制度規(guī)范與技術(shù)標(biāo)準(zhǔn)建立信息安全制度體系建立信息安全管理制度規(guī)范與技術(shù)標(biāo)準(zhǔn)全體安全不違規(guī)3信息安全培訓(xùn)針對(duì)安全管理人員和安全技術(shù)人員,定期開展專項(xiàng)安全意識(shí)培訓(xùn)、安全技能提升培訓(xùn)等;通過定期的安全宣傳(如宣傳圖片、宣傳專題活動(dòng)),逐步提高人員安全意識(shí)全體安全不違規(guī)4技術(shù)

數(shù)據(jù)防泄密DLP采購部署數(shù)據(jù)防泄漏工具監(jiān)控和阻攔所有傳輸?shù)桨踩吔缤獾闹匾兔舾袛?shù)據(jù)全體信息拿不走5統(tǒng)一賬號(hào)管理平臺(tái)采購統(tǒng)一賬號(hào)管理平臺(tái),實(shí)現(xiàn)賬號(hào)、權(quán)限和統(tǒng)一管理、認(rèn)證、審計(jì)全體、第三方特權(quán)不濫用6漏洞掃描軟件采購掃描軟件,對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫進(jìn)行漏洞掃描并加固測試團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)攻擊進(jìn)不來7堡壘機(jī)內(nèi)外部用戶利用堡壘機(jī)作為統(tǒng)一運(yùn)維平臺(tái),避免用戶直接訪問服務(wù)器進(jìn)而對(duì)服務(wù)器做破壞性工作運(yùn)維團(tuán)隊(duì)特權(quán)不濫用8企業(yè)云盤通過企業(yè)云盤的方式集中存放與管理分散在客戶端的數(shù)據(jù)全體信息拿不走9網(wǎng)絡(luò)準(zhǔn)入實(shí)現(xiàn)終端接入認(rèn)證、違規(guī)報(bào)警,可實(shí)時(shí)管理終端接入狀態(tài),檢測網(wǎng)絡(luò)流量,監(jiān)控各種網(wǎng)絡(luò)行為,對(duì)違規(guī)行為及時(shí)報(bào)警和阻斷全體、第三方攻擊進(jìn)不來10代碼倉庫實(shí)現(xiàn)源代碼集中、構(gòu)建、版本控制、發(fā)布和源代碼的安全管理開發(fā)團(tuán)隊(duì)信息拿不走11郵件安全網(wǎng)關(guān)利用安全郵件網(wǎng)關(guān)攔截垃圾郵件、木馬郵件及釣魚網(wǎng)站全體攻擊進(jìn)不來12網(wǎng)絡(luò)安全域劃分網(wǎng)絡(luò)劃分互聯(lián)網(wǎng)區(qū)、DMZ、內(nèi)部區(qū)域、內(nèi)部核心區(qū)等,實(shí)現(xiàn)不同區(qū)域的安全訪問控制全體攻擊進(jìn)不來代碼審計(jì)+滲透測試使用漏洞工具掃描應(yīng)用系統(tǒng)源代碼和應(yīng)用程序是否存在安全缺陷或“后門”程序等,并提供安全問題修訂措施和建議,跟蹤整改軟件開發(fā)攻擊進(jìn)不來13代碼審計(jì)+滲透測試使用漏洞工具掃描應(yīng)用系統(tǒng)源代碼和應(yīng)用程序是否存在安全缺陷或“后門”程序等,并提供安全問題修訂措施和建議,跟蹤整改軟件開發(fā)攻擊進(jìn)不來安全措施總結(jié)與計(jì)劃NO類別項(xiàng)目名稱描述涉及范圍實(shí)現(xiàn)目標(biāo)預(yù)算優(yōu)先級(jí)1管理安全組織項(xiàng)目實(shí)施計(jì)劃2019年4月2019年6月2019年8月2019年9月2019年10月2019年11月2019年12月安全不違規(guī)信息安全培訓(xùn)統(tǒng)一賬號(hào)管理平臺(tái)企業(yè)云盤代碼倉庫堡壘機(jī)信息安全管理體系制度流程編寫數(shù)據(jù)防泄漏DLP網(wǎng)絡(luò)安全域劃分網(wǎng)絡(luò)準(zhǔn)入郵件安全網(wǎng)關(guān)攻擊進(jìn)不來信息拿不走特權(quán)不濫用2019年7月2019年5月漏洞掃描軟件安全組織結(jié)構(gòu)優(yōu)化信息安全檢查、體系運(yùn)行有效性測量、管理評(píng)審、持續(xù)改進(jìn)代碼審計(jì)

滲透測試代碼審計(jì)

滲透測試代碼審計(jì)

滲透測試項(xiàng)目實(shí)施計(jì)劃2019年4月2019年6月2019年8月201目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路項(xiàng)目1-信息安全委員會(huì)職責(zé)項(xiàng)目1-信息安全委員會(huì)職責(zé)項(xiàng)目2-建立信息安全制度體系信息安全管理策略通過工作討論會(huì),將培訓(xùn)、知識(shí)傳遞、現(xiàn)狀分析和改進(jìn)結(jié)合為一體,共同確認(rèn)出可執(zhí)行的制度和流程一級(jí)文件:為信息安全的原則、方針和總則,是整個(gè)體系的綱領(lǐng)性文件。定義了信息安全管理目標(biāo)、工作原則等內(nèi)容;二級(jí)文件:主要為信息安全各領(lǐng)域的制度、管理辦法,是一級(jí)文件的具體闡述,為相關(guān)領(lǐng)域信息安全工作提供更具體的控制和指導(dǎo);三級(jí)文件:針對(duì)一級(jí)、二級(jí)文件所提出的原則、要求,規(guī)定如何達(dá)到這些要求的程序文件,如實(shí)施細(xì)則、規(guī)范、指引、指南、規(guī)定等;四級(jí)文件:依據(jù)一級(jí)文件、二級(jí)文件、三級(jí)文件的規(guī)范與要求而制作的操作說明、操作記錄和相關(guān)表單文件等。一階二階三階表單、記錄文件安全方針、策略安全原則標(biāo)準(zhǔn)、指南、流程制度層級(jí)制(修)訂協(xié)助批準(zhǔn)適用范圍一階安全部門信息安全委員會(huì)公司二階安全部門信息安全委員會(huì)公司三階主要責(zé)任部門安全部門制訂部門負(fù)責(zé)人制訂范圍內(nèi)項(xiàng)目2-建立信息安全制度體系信息安全管理策略通過工作討論會(huì),項(xiàng)目2-體系文件目錄L1:信息安全方針L2人力資源安全管理辦法L3機(jī)房安全管理規(guī)范L3軟件開發(fā)安全管理規(guī)范數(shù)據(jù)安全管理規(guī)范L3機(jī)房人員進(jìn)出管理規(guī)范L2信息安全組織管理辦法L1:信息安全策略L3員工信息安全守則L3第三方人員安全管理規(guī)范L3人員離職轉(zhuǎn)崗管理規(guī)范L2訪問控制管理辦法L2密鑰安全管理辦法(暫不適用)L2信息資產(chǎn)管理辦法數(shù)據(jù)分類分級(jí)管理規(guī)范L2物理與環(huán)境安全管理辦法L2操作安全管理辦法L2通信安全管理辦法L2信息系統(tǒng)建設(shè)安全管理辦法L3軟件測試安全管理規(guī)范L3軟件編碼規(guī)范L2法律法規(guī)符合性管理辦法L2供應(yīng)商安全管理辦法L2IT業(yè)務(wù)連續(xù)性管理管理辦法L2信息安全事件管理辦法L4進(jìn)出記錄、表單軟件正版化管理規(guī)范L4變更記錄、表單L3變更管理規(guī)范L3軟件測試規(guī)范L3漏洞安全管理規(guī)范項(xiàng)目2-體系文件目錄L1:信息安全方針L2人力資源安全管理辦項(xiàng)目3-信息安全培訓(xùn)項(xiàng)目3-信息安全培訓(xùn)項(xiàng)目4-數(shù)據(jù)防泄密DLP如何防止數(shù)據(jù)泄露是信息安全工作的重大課題1敏感數(shù)據(jù)發(fā)現(xiàn)按預(yù)先配置的策略掃描敏感數(shù)據(jù),了解敏感數(shù)據(jù)存在哪些位置。敏感數(shù)據(jù)監(jiān)控識(shí)別數(shù)據(jù)所有者監(jiān)控?cái)?shù)據(jù)的使用過程,這些數(shù)據(jù)是如何被使用的,被誰使用。敏感數(shù)據(jù)保護(hù)阻止違規(guī)使用的行為,防止數(shù)據(jù)丟失。數(shù)據(jù)防泄漏兩大方式2終端防泄漏終端DLP主要依賴于運(yùn)行于桌面、筆記本電腦、服務(wù)器、AppleOS的設(shè)備上的軟件客戶端。該客戶端提供可見性,并且在有需要的時(shí)候,對(duì)數(shù)據(jù)進(jìn)行控制網(wǎng)絡(luò)防泄漏網(wǎng)絡(luò)DLP,通常稱為無代理DLP,提供網(wǎng)絡(luò)流量的可見性并可以對(duì)流量進(jìn)行控制。檢查物理機(jī)或虛擬機(jī)的所有流量,如:郵件、網(wǎng)絡(luò)、即時(shí)通訊,然后可以執(zhí)行強(qiáng)制的數(shù)據(jù)策略。部署則是通過物理設(shè)備或者虛擬機(jī),然后配置網(wǎng)絡(luò)流量通過其進(jìn)行檢查DLP郵件審批用戶USB藍(lán)牙光盤打印離線用戶DLP監(jiān)控、阻斷DLP監(jiān)控、阻斷用戶用戶用戶DLP監(jiān)控、阻斷網(wǎng)絡(luò)DLP終端DLP外部云盤外部郵箱網(wǎng)站應(yīng)用內(nèi)部郵箱Outlook郵件DLP存儲(chǔ)發(fā)現(xiàn)DLPDLP共享存儲(chǔ)數(shù)據(jù)發(fā)現(xiàn)DLP審批、阻斷DLP報(bào)表展示管理員數(shù)據(jù)庫云存儲(chǔ)文件系統(tǒng)SharePoint云存儲(chǔ)項(xiàng)目4-數(shù)據(jù)防泄密DLP如何防止數(shù)據(jù)泄露是信息安全工作的重大①管理員員工③最終客戶供應(yīng)商經(jīng)銷商②長期外包PRHRMSPDMBOMSRMTDMERPQMS知識(shí)庫源碼庫構(gòu)件庫云盤文檔庫OAMES統(tǒng)一身份認(rèn)證管理平臺(tái)(IDM)內(nèi)部用戶目錄統(tǒng)一身份認(rèn)證和單點(diǎn)登錄統(tǒng)一授權(quán)管理用戶賬號(hào)生命周期管理用戶訪問行為異常事件行為賬號(hào)管理行為賬號(hào)申請(qǐng)行為安全審計(jì)用戶身份信息統(tǒng)一存儲(chǔ)外部用戶目錄最終客戶目錄中央用戶目錄項(xiàng)目5-統(tǒng)一賬號(hào)管理平臺(tái)應(yīng)用系統(tǒng))用戶①管理員員工③最終客戶供應(yīng)商經(jīng)銷商②長期外包PRHRMSPD項(xiàng)目6-漏洞掃描軟件高風(fēng)險(xiǎn)漏洞成為企業(yè)安全的最大隱患1針對(duì)操作系統(tǒng)的攻擊內(nèi)容包括病毒、后門程序、勒索軟件、權(quán)限提升等針對(duì)數(shù)據(jù)庫或業(yè)務(wù)系統(tǒng)黑客有目的的針對(duì)公網(wǎng)的業(yè)務(wù)系統(tǒng)和地址進(jìn)行的遠(yuǎn)程攻擊內(nèi)部網(wǎng)絡(luò)安全性內(nèi)部網(wǎng)絡(luò)被滲透攻擊的最主要方式就是漏洞利用。漏洞管理的挑戰(zhàn)2漏洞數(shù)量全球漏洞數(shù)量都在快速增長,內(nèi)部需要監(jiān)控和追蹤的漏洞超10萬。漏洞的風(fēng)險(xiǎn)病毒、后門程序的傳播都和漏洞相關(guān)。針對(duì)性的黑客攻擊黑客攻擊往往和漏洞相關(guān),有針對(duì)性的滲透往往因?yàn)槁┒床艜?huì)成功漏洞管理工作缺失的后果3影響內(nèi)部業(yè)務(wù),黑客遠(yuǎn)程攻擊和滲透成功,合規(guī)需求不滿足,主管部門的壓力和監(jiān)管部門的責(zé)罰、……漏洞掃描和管理的需求漏洞管理流程:資產(chǎn)發(fā)現(xiàn)和分組:發(fā)現(xiàn)IT基礎(chǔ)架構(gòu)中的所有目標(biāo)系統(tǒng)和設(shè)備,并合理分組,劃分責(zé)任人漏洞掃描:設(shè)定需要的評(píng)估策略,完成漏洞評(píng)估和掃描,可以支持自動(dòng)的周期性掃描風(fēng)險(xiǎn)分析和降低:分析高風(fēng)險(xiǎn)漏洞,完成高危漏洞的修補(bǔ)報(bào)告及合規(guī):生成需要的各類匯報(bào)報(bào)告,滿足各類合規(guī)需求?;钴S漏洞數(shù)量:100000+漏洞帶來整體安全問題操作系統(tǒng)12345商業(yè)軟件開源和免費(fèi)軟件各類應(yīng)用系統(tǒng)防火墻、交換機(jī)等設(shè)備漏洞管理也是合規(guī)需求漏洞管理是信息安全合規(guī)的基礎(chǔ)12345等級(jí)化保護(hù)BSISOX法案網(wǎng)絡(luò)安全法ISO27001項(xiàng)目6-漏洞掃描軟件高風(fēng)險(xiǎn)漏洞成為企業(yè)安全的最大隱患1針對(duì)操IT運(yùn)維人員所面臨的問題1如何通過等保、SOX、ISO27001如何確定共享帳號(hào)的操作如何提升IT運(yùn)維響應(yīng)效率如何管理海量帳號(hào)/密碼等資產(chǎn)如何完整審計(jì)數(shù)據(jù)庫操作如何針對(duì)RDP和Xwindow審計(jì)如何規(guī)避IT運(yùn)維過程中的誤操作如何保證IT運(yùn)維過程中的安全………………需求分析2分散管理,松散權(quán)限控制,無過程、無狀態(tài)、無時(shí)間點(diǎn);沒有統(tǒng)一的用戶操作管理機(jī)制;沒有監(jiān)控審計(jì)操作過程。IT運(yùn)維人員擁有后臺(tái)IT系統(tǒng)的權(quán)限過高帳號(hào),同一個(gè)管理員賬號(hào)多人擁有,發(fā)生誤操作無法定位自然人;針對(duì)異常操作以及危害范圍,無法控制和審計(jì)。無法根據(jù)用戶限制訪問核心主機(jī)系統(tǒng);管理員需要記住多個(gè)需要管理IT系統(tǒng)的賬戶;第三方公司及人員眾多,第三方IT運(yùn)維誤操作時(shí),無法準(zhǔn)確操作人定位。多點(diǎn)訪問,帳號(hào)交叉使用12多種方式訪問,分散式管理IT運(yùn)維需求——運(yùn)維現(xiàn)狀為什么使用堡壘機(jī)?公安部88號(hào)令、《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)管理辦法》、公安部151號(hào)令等,企業(yè)配置相應(yīng)的堡壘機(jī)有助于快速通過等保測試,達(dá)到合規(guī)要求。堡壘機(jī)能給公司帶來什么?運(yùn)維過程中所存在的事前身份不確定、授權(quán)不清晰,事中操作不透明、過程不可控,事后結(jié)果無法審計(jì)、責(zé)任不明確等一系列問題,均可通過堡壘機(jī)來解決。項(xiàng)目7-堡壘機(jī)IT運(yùn)維人員所面臨的問題1如何通過等保、SOX、ISO270項(xiàng)目8-企業(yè)云盤設(shè)計(jì)數(shù)模算法軟件產(chǎn)品物料人員組織個(gè)人電腦分散文檔Office文檔PDF文件多媒體文件應(yīng)用程序終端防控DLP殺毒磁盤加密文件加密數(shù)據(jù)中心集中管控PDMBOMOATFSSRMERP已建未建企業(yè)云盤設(shè)計(jì)數(shù)模產(chǎn)品物料算法軟件人員組織數(shù)字資產(chǎn)集中管控財(cái)務(wù)數(shù)據(jù)供應(yīng)商數(shù)據(jù)知識(shí)中心工程文檔過程文檔共享文件夾FTP統(tǒng)一身份管理員工駐場供應(yīng)商實(shí)習(xí)生出差員工外部合作伙伴外部共享計(jì)劃備份監(jiān)控防火墻項(xiàng)目實(shí)施統(tǒng)一身份管理IDM平臺(tái)企業(yè)文檔知識(shí)中心企業(yè)共享云盤統(tǒng)一管理員工,駐場供應(yīng)商,外部供應(yīng)商,短期合同工的實(shí)名用戶身份信息,分配用戶資源訪問權(quán)限,進(jìn)行訪問控制,使得用戶身份信息、授權(quán)信息、身份認(rèn)證和訪問控制機(jī)制規(guī)范化、標(biāo)準(zhǔn)化,真正做到4A(賬戶Account、認(rèn)證Authentication、授權(quán)Authorization、審計(jì)Audit)統(tǒng)一,全面控制企業(yè)安全風(fēng)險(xiǎn)。將工程項(xiàng)目文檔,流程規(guī)章制度,企業(yè)知識(shí)Knowhow聚集起來,形成組織的知識(shí)庫,在部門、團(tuán)隊(duì)間進(jìn)行信息共享和協(xié)同編輯。使得文檔的發(fā)布,訪問權(quán)限設(shè)定,歷史版本控制以及知識(shí)內(nèi)容的檢索規(guī)范化。PC筆記本手機(jī)/pad將任何文件和文件夾同步到共享云盤,設(shè)置訪問權(quán)限,合法用戶隨時(shí)可以訪問到最新文件,可以通過郵件或URL鏈接分享文件給內(nèi)外部用戶,外部用戶通過專屬外部共享區(qū)域訪問文件內(nèi)容,取代共享文件夾,U盤,移動(dòng)硬盤和FTP。數(shù)據(jù)集中策略項(xiàng)目8-企業(yè)云盤設(shè)計(jì)數(shù)模算法軟件產(chǎn)品物料人員組織個(gè)人電腦分散項(xiàng)目9-網(wǎng)絡(luò)準(zhǔn)入接入網(wǎng)絡(luò)的終端和使用人合規(guī)性不受控1接入網(wǎng)絡(luò)的用戶(人)是誰?怎么接入的?接入網(wǎng)絡(luò)的終端是公司的么?在哪個(gè)位置接入?終端的操作系統(tǒng)?補(bǔ)丁情況?終端的安全情況?4大盲點(diǎn)2終端設(shè)備不明使用人員不明終端安全不明接入方式不明網(wǎng)絡(luò)準(zhǔn)入3網(wǎng)絡(luò)準(zhǔn)入控制是指對(duì)網(wǎng)絡(luò)的邊界進(jìn)行保護(hù),對(duì)接入網(wǎng)絡(luò)的終端和終端的使用人進(jìn)行合規(guī)性檢查,只允許合法的、值得信任的終端設(shè)備接入網(wǎng)絡(luò),而不允許其他設(shè)備接入。功能口用戶身份認(rèn)證從接入層對(duì)訪問的用戶進(jìn)行最小授權(quán)控制,根據(jù)用戶身份嚴(yán)格控制用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問范圍,確保企業(yè)內(nèi)網(wǎng)資源安全口終端完整性檢查通過身份認(rèn)證的用戶還必須通過終端完整性檢查,查看連入系統(tǒng)的補(bǔ)丁、放病毒等功能是否已及時(shí)升級(jí),是否具有潛在安全隱患口終端安全隔離與修補(bǔ)對(duì)通過身份認(rèn)證但不滿足安全檢查的終端不予以網(wǎng)絡(luò)接入,并強(qiáng)制引導(dǎo)至隔離修復(fù)區(qū),提示用戶安裝有關(guān)補(bǔ)丁、殺毒軟件、配置操作系統(tǒng)有關(guān)安全設(shè)置等??诜欠ńK端網(wǎng)絡(luò)阻斷能及時(shí)發(fā)現(xiàn)并組織未授權(quán)終端對(duì)內(nèi)網(wǎng)資源的訪問,降低非法終端對(duì)內(nèi)網(wǎng)進(jìn)行攻擊、竊密等安全威脅,從而確保內(nèi)部網(wǎng)絡(luò)的安全網(wǎng)絡(luò)準(zhǔn)入控制受益威脅控制減少終端感染減輕IT查毒負(fù)擔(dān)增強(qiáng)網(wǎng)絡(luò)復(fù)原力細(xì)粒度訪問控制減少安全事故放敏感數(shù)據(jù)泄露行業(yè)規(guī)范遵從提高安全性滿足安全審計(jì)需要提高運(yùn)維效率便捷的訪客網(wǎng)絡(luò)設(shè)備自動(dòng)識(shí)別和監(jiān)控網(wǎng)絡(luò)準(zhǔn)入實(shí)現(xiàn)的功能項(xiàng)目9-網(wǎng)絡(luò)準(zhǔn)入接入網(wǎng)絡(luò)的終端和使用人合規(guī)性不受控1接入網(wǎng)絡(luò)目的:有效阻截外界入侵和垃圾郵件,隔離所有可疑內(nèi)容,全面保護(hù)企業(yè)電子郵件系統(tǒng)的安全垃圾郵件成為網(wǎng)絡(luò)安全的最大威脅1惡意垃圾郵件內(nèi)容包括色情、暴力、安全威脅等電子郵件廣告性質(zhì)的垃圾郵件廣告性質(zhì)的垃圾郵件由合法組織大量寄送的廣告郵件來自朋友的垃圾郵件認(rèn)識(shí)的使用者寄送內(nèi)容包含笑話、網(wǎng)站鏈接等無企業(yè)價(jià)值的信息垃圾郵件帶來很多不安全因素2病毒和木馬80%以上病毒通過郵件傳播,其中70%通過垃圾郵件傳播。后門程序后門程序占到惡意代碼的21.7%,傀儡程序BOT四處流竄。間諜軟件間諜軟件已經(jīng)占到了與Internet連接電腦的80%垃圾郵件對(duì)企業(yè)的不利因素3影響正常業(yè)務(wù)開展、影響企業(yè)生產(chǎn)效率、丟失業(yè)務(wù)機(jī)會(huì)、信息泄密、信任詐騙、……垃圾郵件趨勢選擇反垃圾郵件產(chǎn)品的原則功能全面、準(zhǔn)確度高辯識(shí)率(垃圾郵件辯識(shí)的百分比)誤判率(被刪除或隔離的正常郵件百分比)漏判率(被當(dāng)成正常郵件的垃圾郵件百分比)高效率、可快捷部署,具備良好的易用性和可管理性產(chǎn)品的可靠性,持續(xù)的服務(wù)項(xiàng)目10-郵件安全網(wǎng)關(guān)目的:有效阻截外界入侵和垃圾郵件,隔離所有可疑內(nèi)容,全面保護(hù)項(xiàng)目11-網(wǎng)絡(luò)安全域劃分信息系統(tǒng)現(xiàn)狀組網(wǎng)方式隨意性強(qiáng),缺乏統(tǒng)一規(guī)劃,擴(kuò)展性差網(wǎng)絡(luò)區(qū)域之間邊界不清晰,互聯(lián)互通沒有統(tǒng)一控制規(guī)范業(yè)務(wù)系統(tǒng)各自為政,與外網(wǎng)存在多個(gè)出口,無法統(tǒng)一管理安全防護(hù)策略不統(tǒng)一,安全防護(hù)手段部署原則不明確對(duì)訪問關(guān)鍵業(yè)務(wù)的相對(duì)不可信終端缺乏有效控制導(dǎo)致的問題無法有效隔離不同業(yè)務(wù)領(lǐng)域,跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪難于發(fā)現(xiàn)和控制無法有效控制入侵和網(wǎng)絡(luò)病毒的發(fā)作區(qū)域和影響不能及時(shí)發(fā)現(xiàn)安全事件和響應(yīng)第三方維護(hù)人員沒有訪問控制和授權(quán)合作伙伴的身份無法準(zhǔn)確認(rèn)證關(guān)鍵服務(wù)器、信息資產(chǎn)缺乏重點(diǎn)防護(hù)安全域防護(hù)把復(fù)雜的系統(tǒng)的安全保護(hù)問題,分解為更小、結(jié)構(gòu)化的區(qū)域的安全保護(hù)問題。按照“統(tǒng)一防護(hù)、重點(diǎn)把守、縱深防御”的原則,實(shí)現(xiàn)對(duì)系統(tǒng)的分域、分級(jí)的安全保護(hù)一般服務(wù)區(qū)計(jì)算環(huán)境核心區(qū)重要服務(wù)區(qū)計(jì)算環(huán)境域互聯(lián)網(wǎng)接入?yún)^(qū)外聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)部網(wǎng)接入?yún)^(qū)邊界接入域骨干區(qū)匯聚區(qū)接入?yún)^(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施域安全系統(tǒng)網(wǎng)管系統(tǒng)其他支撐系統(tǒng)支撐性設(shè)施域項(xiàng)目11-網(wǎng)絡(luò)安全域劃分信息系統(tǒng)現(xiàn)狀組網(wǎng)方式隨意性強(qiáng),缺乏統(tǒng)項(xiàng)目12-代碼審計(jì)1源代碼審計(jì)方法收益提高代碼質(zhì)量發(fā)現(xiàn)應(yīng)用風(fēng)險(xiǎn)點(diǎn)避免損失提高安全技能

目的:通過源代碼靜態(tài)分析工具掃描、分析,發(fā)現(xiàn)應(yīng)用程序編碼過程中造成的安全漏洞,對(duì)導(dǎo)致安全漏洞的錯(cuò)誤代碼進(jìn)行人工定位和驗(yàn)證,并提供代碼修訂措施和建議。以功能為主,忽略安全的重要性缺乏完全適用的安全設(shè)計(jì)開發(fā)流程

開發(fā)者缺乏安全開發(fā)經(jīng)驗(yàn)企業(yè)應(yīng)用安全主要依賴于發(fā)現(xiàn)問題和修復(fù)問題,主要原因有三:2源代碼審計(jì)內(nèi)容項(xiàng)目12-代碼審計(jì)1源代碼審計(jì)方法收益 目的:通過源代碼靜態(tài)IT安全建議事項(xiàng)建立公司級(jí)健全的信息安全組織,各部門設(shè)立信息安全專員,定期參加公司信息安全培訓(xùn),并負(fù)責(zé)監(jiān)督各部門信息安全違規(guī)行為,公司信息安全部門月度發(fā)布信息安全管理簡報(bào)

公司IT設(shè)備統(tǒng)一歸口管理,財(cái)務(wù)部及采購部配合執(zhí)行,業(yè)務(wù)部門自主購買IT設(shè)備的申請(qǐng)不予受理,避免由于設(shè)備標(biāo)準(zhǔn)不一造成的信息安全管理漏洞

修訂公司電腦配備標(biāo)準(zhǔn),不再全員發(fā)放移動(dòng)筆記本,部分無強(qiáng)移動(dòng)辦公需求的崗位配發(fā)臺(tái)式機(jī)

,Mac電腦原則上不予發(fā)放(特殊崗位需報(bào)執(zhí)委會(huì)同意),避免由于蘋果系統(tǒng)封閉的原因,導(dǎo)致部分安全策略失效

研發(fā)部門互聯(lián)網(wǎng)服務(wù)關(guān)閉,按需進(jìn)行審批,并經(jīng)信息安全確認(rèn)聯(lián)網(wǎng)設(shè)備無信息安全風(fēng)險(xiǎn)及軟件license法規(guī)風(fēng)險(xiǎn)后,進(jìn)行開放公司數(shù)據(jù)統(tǒng)一存儲(chǔ)、備份管理,核心敏感崗位個(gè)人終端數(shù)據(jù)進(jìn)行備份

設(shè)備終端(終端屏幕及打印機(jī))進(jìn)行水印控制,避免拍照及打印方式泄密全公司企業(yè)微信等即時(shí)通訊類工具禁止文件傳輸,所有文件傳輸通過郵件及企業(yè)云盤進(jìn)行交互IT安全建議事項(xiàng)建立公司級(jí)健全的信息安全組織,各部門設(shè)立信息華人運(yùn)通員工信息安全工作要點(diǎn)每個(gè)人都是信息安全的主體,都有責(zé)任保證公司信息安全除了自己要保護(hù)公司信息安全,也要教導(dǎo)他人保護(hù)公司信息安全在公司沒有技術(shù)手段的情況下,員工也應(yīng)自覺保護(hù)公司信息安全熟讀公司發(fā)布的信息安全制度,遵照制度中的條例行事工作中除了考慮工作效率,也要考慮是否注意到了信息安全發(fā)現(xiàn)不正常的人和事,及時(shí)通知IT信息安全部門,避免公司損失123456華人運(yùn)通員工信息安全工作要點(diǎn)每個(gè)人都是信息安全的主體,都有責(zé)信息安全框架設(shè)計(jì)信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制密碼學(xué)物理環(huán)境安全操作安全通信安全系統(tǒng)獲取開發(fā)、維護(hù)供應(yīng)商管理信息安全事件業(yè)務(wù)連續(xù)性的信息安全方面符合性ISMSCHECK檢查ACT行動(dòng)PLAN計(jì)劃DO實(shí)施ISO27001標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則SOX法案信息安全管理框架信息安全策略信息安全方針人力資源安全資產(chǎn)管理物理與環(huán)境安全操作安全通信安全信息系統(tǒng)獲取、開發(fā)與維護(hù)密碼學(xué)訪問控制供應(yīng)商管理信息安全事件管理業(yè)務(wù)連續(xù)性的信息安全方面符合性信息安全技術(shù)框架終端安全數(shù)據(jù)安全應(yīng)用安全網(wǎng)絡(luò)安全物理安全系統(tǒng)安全身份認(rèn)證訪問控制內(nèi)容安全監(jiān)控審計(jì)恢復(fù)備份領(lǐng)域維度信息安全框架設(shè)計(jì)信息安全方針信息安全組織人力資源安全資產(chǎn)管理安全建設(shè)落地-關(guān)鍵點(diǎn)全方位多樣式的安全意識(shí)宣貫簡化有效的風(fēng)險(xiǎn)評(píng)估方法建立合理化、層次化的信息安全組織全員積極參與信息安全管理體系建設(shè)并嚴(yán)格按照安全管理要求執(zhí)行和業(yè)務(wù)目標(biāo)保持一致,與現(xiàn)有管理體系有效融合建立明確的信息安全工作職責(zé)矩陣切實(shí)推動(dòng)風(fēng)險(xiǎn)整改工作做實(shí)做細(xì)體系有效性測量和內(nèi)部審核工作落地關(guān)鍵持續(xù)改進(jìn)安全建設(shè)落地-關(guān)鍵點(diǎn)全方位多樣式的安全意識(shí)宣貫簡化有效的風(fēng)險(xiǎn)《國家信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全提出了技術(shù)方面的需求。

物理安全

主機(jī)安全

數(shù)據(jù)安全物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)身份鑒別訪問控制安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)

網(wǎng)絡(luò)安全

應(yīng)用安全

總體性要求結(jié)構(gòu)安全訪問控制安全審計(jì)邊界完整性檢查入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)身份鑒別訪問控制安全審計(jì)剩余信息保護(hù)通信完整性通信保密性抗抵賴軟件容錯(cuò)資源控制構(gòu)建縱深的防御體系采取互補(bǔ)的安全措施保證一致的安全強(qiáng)度建立統(tǒng)一的支撐平臺(tái)進(jìn)行集中的安全管理安全不違規(guī)-國家等保要求《國家信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》從物理安全、作為美國上市企業(yè)必須滿足資本市場的要求,按時(shí)、全面、系統(tǒng)地建立符合SOX404的內(nèi)控體系。塞班斯法案涉及到公司治理、內(nèi)部控制、財(cái)務(wù)報(bào)告、管理流程、信息系統(tǒng)、法律責(zé)任等各個(gè)方面。SOX法案規(guī)定,上市公司的內(nèi)控管理必須切實(shí)做到保護(hù)財(cái)務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶數(shù)據(jù)免遭盜竊與破壞,以提高公司披露的準(zhǔn)確性和可靠性。弱點(diǎn)管理和安全符合性檢查系統(tǒng)安全事件監(jiān)控與審計(jì)系統(tǒng)數(shù)據(jù)保護(hù)系統(tǒng)建立弱點(diǎn)管理和安全符合性檢查系統(tǒng),全面系統(tǒng)持續(xù)地收集企業(yè)IT系統(tǒng)內(nèi)的安全弱點(diǎn)信息、安全策略的符合性狀況,保障系統(tǒng)安全。建立安全事件監(jiān)控與審計(jì)系統(tǒng),及時(shí)發(fā)現(xiàn)對(duì)于企業(yè)IT系統(tǒng)和數(shù)據(jù)的非法訪問以及事后審計(jì)能力,獲得企業(yè)風(fēng)險(xiǎn)狀況的動(dòng)態(tài)視圖。建立數(shù)據(jù)保護(hù)平臺(tái),對(duì)客戶數(shù)據(jù)、企業(yè)財(cái)務(wù)數(shù)據(jù)等企業(yè)敏感數(shù)據(jù)在其生命周期內(nèi)的保密性、可用性和完整性提供保護(hù)。安全不違規(guī)-SOX404SOX404作為美國上市企業(yè)必須滿足資本市場的要求,按時(shí)、全面、系統(tǒng)地建目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路業(yè)務(wù)安全需求安全挑戰(zhàn)核心數(shù)據(jù)不外泄,保證內(nèi)部系統(tǒng)和數(shù)據(jù)安全核心數(shù)據(jù)泄露核心數(shù)據(jù)損壞核心數(shù)據(jù)可用合作伙伴間信息交互信息竊取非授權(quán)訪問安全智能的產(chǎn)品車聯(lián)網(wǎng)易被入侵整車接口易被入侵安全穩(wěn)定的服務(wù)安全事件處理不當(dāng)不及時(shí)無法發(fā)現(xiàn)攻擊行為汽車生產(chǎn)合規(guī)汽車行業(yè)安全須遵從多種行業(yè)要求法律法規(guī)要求遵從網(wǎng)絡(luò)安全法、等級(jí)保護(hù)、刑法第九條、密碼法、個(gè)人信息保護(hù)法等法律法規(guī)上市公司要求SOX中關(guān)于信息安全方面的要求作為美國上市企業(yè)必須滿足資本市場的要求,按時(shí)、全面、系統(tǒng)地建立符合SOX404的內(nèi)控體系。塞班斯法案涉及到公司治理、內(nèi)部控制、財(cái)務(wù)報(bào)告、管理流程、信息系統(tǒng)、法律責(zé)任等各個(gè)方面。SOX法案規(guī)定,上市公司的內(nèi)控管理必須切實(shí)做到保護(hù)財(cái)務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶數(shù)據(jù)免遭盜竊與破壞,以提高公司披露的準(zhǔn)確性和可靠性。企業(yè)需求法規(guī)要求當(dāng)前安全的迫切需求要求建立:弱點(diǎn)管理和安全符合性檢查系統(tǒng)要求:安全事件監(jiān)控與審計(jì)系統(tǒng)要求建立:數(shù)據(jù)保護(hù)系統(tǒng)建立弱點(diǎn)管理和安全符合性檢查系統(tǒng),全面持續(xù)收集企業(yè)IT系統(tǒng)內(nèi)的安全弱點(diǎn)信息、安全策略的符合性狀況,保障系統(tǒng)安全。建立安全事件監(jiān)控與審計(jì)系統(tǒng),及時(shí)發(fā)現(xiàn)對(duì)于企業(yè)IT系統(tǒng)和數(shù)據(jù)的非法訪問以及事后審計(jì)能力,獲得企業(yè)風(fēng)險(xiǎn)狀況的動(dòng)態(tài)視圖。建立數(shù)據(jù)保護(hù)平臺(tái),對(duì)客戶數(shù)據(jù)、企業(yè)財(cái)務(wù)數(shù)據(jù)等企業(yè)敏感數(shù)據(jù)在其生命周期內(nèi)的保密性、可用性和完整性提供保護(hù)。業(yè)務(wù)安全需求安全挑戰(zhàn)核心數(shù)據(jù)不外泄,保證內(nèi)部系統(tǒng)和數(shù)據(jù)安全核人-安全意識(shí)-安全行為-安全文化技術(shù)信息安全風(fēng)險(xiǎn)和信息安全事件的發(fā)現(xiàn)/控制/保護(hù)/審計(jì)制度數(shù)據(jù)資產(chǎn)分類分級(jí)數(shù)據(jù)安全制度和流程

1.安全制度(Policy):明確定義組織責(zé)任、策略要求、流程固化,構(gòu)建信息安全建設(shè)的體系和運(yùn)營基礎(chǔ)。2.安全技術(shù)(Technology):對(duì)標(biāo)信息安全建設(shè)最佳實(shí)踐模型,定位出公司在信息安全技術(shù)架構(gòu)中的薄弱環(huán)節(jié);分析技術(shù)系統(tǒng)部署優(yōu)先級(jí)及關(guān)聯(lián)性,確保關(guān)鍵信息安全風(fēng)險(xiǎn)的可發(fā)現(xiàn),可控制,和可追溯審計(jì)。3.安全意識(shí)(People):采用教育和懲戒結(jié)合的方式,促進(jìn)員工的信息安全意識(shí),行為和文化的形成。信息安全建設(shè)工作,不是僅靠技術(shù)系統(tǒng)上線就可完成,而是融合的管理和技術(shù)兩方面的投入,進(jìn)而改變員工的思想、行為和企業(yè)安全文化的一個(gè)持續(xù)過程。信息安全建設(shè)理念人技術(shù)制度1.安全制度(Policy):信息安全建設(shè)工作信息安全規(guī)劃原則信息安全實(shí)施思路信息安全技術(shù)驅(qū)動(dòng)完善基礎(chǔ)設(shè)施安全,部署先進(jìn)的信息安全運(yùn)維工具,加強(qiáng)信息安全工具聯(lián)動(dòng)發(fā)揮作用事件驅(qū)動(dòng)

靜態(tài)的、局部的、事后補(bǔ)救的被動(dòng)式信息安全管理模式信息安全管理驅(qū)動(dòng)建立正式的信息安全組織、完善的信息安全策略、標(biāo)準(zhǔn)及流程,提升員工信息安全意識(shí)技術(shù)與管理相結(jié)合信息安全的技術(shù)手段由管理制度和標(biāo)準(zhǔn)來支持,對(duì)環(huán)境的變化作主動(dòng)的適應(yīng)和調(diào)整,建立動(dòng)態(tài)的、全面的、預(yù)防為主的主動(dòng)式信息安全管理模式整體規(guī)劃、分步實(shí)施原則全面保障原則同步建設(shè)原則技術(shù)與管理并重原則使IT能力成為公司全球化核心競爭力的重要支撐以業(yè)務(wù)為中心,優(yōu)先支持業(yè)務(wù)流程和業(yè)務(wù)系統(tǒng)需求,提高業(yè)務(wù)運(yùn)營效率支持管理和決策,保證企業(yè)信息及數(shù)據(jù)的安全性(機(jī)密性、完整性、可用性)建立高效的IT系統(tǒng)和IT服務(wù)IT戰(zhàn)略IT愿景IT建設(shè)原則

信息安全實(shí)施思路信息安全規(guī)劃原則信息安全實(shí)施思路信息安全技術(shù)驅(qū)動(dòng)事件驅(qū)動(dòng)信息目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路二、信息安全建設(shè)目標(biāo)防止特權(quán)用戶利用運(yùn)維權(quán)限竊取或破壞防止特權(quán)用戶誤操作導(dǎo)致系統(tǒng)故障遵從國內(nèi)外法律法規(guī)的要求防范外部攻擊導(dǎo)致系統(tǒng)癱瘓防范外部攻擊導(dǎo)致數(shù)據(jù)泄漏或破壞防范員工無意泄密防范員工故意泄密防范外來人員竊取1.安全不違規(guī)2.“攻擊”進(jìn)不來4.特權(quán)不濫用3.信息拿不走涉密員工網(wǎng)絡(luò)黑客特權(quán)用戶監(jiān)管機(jī)構(gòu)公司信息安全建設(shè)目標(biāo)應(yīng)包括“人防+技防”,全面降低信息安全風(fēng)險(xiǎn),最終實(shí)現(xiàn)企業(yè)合規(guī)經(jīng)營目標(biāo)。二、信息安全建設(shè)目標(biāo)防止特權(quán)用戶利用運(yùn)維權(quán)限竊取或破壞遵從國2.1“安全不違規(guī)”管理措施法律法規(guī)條目化:

梳理合規(guī)要求(網(wǎng)絡(luò)安全法、刑法第九條、密碼法、SOX)等法律法規(guī)信息安全管理要求差距分析:

結(jié)合考慮IT管理、系統(tǒng)開發(fā)、基礎(chǔ)設(shè)施、生產(chǎn)運(yùn)行、綜合管理等進(jìn)行差距分析,設(shè)計(jì)安全管理體系管理體系建設(shè):

依據(jù)國際標(biāo)準(zhǔn)ISO27001建設(shè)信息安全管理體系,制定信息安全管理制度、流程、規(guī)范等技術(shù)體系建設(shè):

采取必要的安全技術(shù)手段,實(shí)施安全控制措施,逐步建立完善信息安全技術(shù)體系,滿足安全合規(guī)的相關(guān)要求安全意識(shí)全員培訓(xùn):

信息安全意識(shí)持續(xù)教育、安全能力逐步提升實(shí)施策略第九條網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使用戶的公民個(gè)人信息泄露,造成嚴(yán)重后果的,應(yīng)當(dāng)依照刑法第二百八十六條之一的規(guī)定,以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。2.1“安全不違規(guī)”管理措施實(shí)施策略第九條2.2“攻擊進(jìn)不來”實(shí)施策略管理措施漏洞管理:

定義漏洞管理策略,執(zhí)行漏洞管理機(jī)制,

將漏洞管理納入日常管理運(yùn)維機(jī)制。郵件安全:

加強(qiáng)垃圾郵件、釣魚網(wǎng)站、木馬郵件的鑒

別能力,通過持續(xù)的安全教育和培訓(xùn),加

強(qiáng)人員安全防護(hù)意識(shí)。技術(shù)措施網(wǎng)絡(luò)安全域劃分:

將網(wǎng)絡(luò)劃分互聯(lián)網(wǎng)區(qū)、DMZ、內(nèi)部區(qū)域、內(nèi)

部核心區(qū)等,做好安全防護(hù)策略網(wǎng)絡(luò)準(zhǔn)入:

建立網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),實(shí)現(xiàn)終端接入認(rèn)

證、違規(guī)報(bào)警漏洞掃描:

對(duì)主機(jī)、操作系統(tǒng)、中間件、數(shù)據(jù)庫、應(yīng)

用等進(jìn)行安全漏洞掃描并進(jìn)行安全加固代碼審計(jì)+滲透測試:

使用工具檢查程序源代碼和應(yīng)用程序是否

存在安全缺陷,提供代碼缺陷引發(fā)的安全

問題修訂措施和建議郵件安全網(wǎng)關(guān):

部署郵件安全網(wǎng)關(guān)攔截垃圾郵件、木馬郵

件及釣魚網(wǎng)站現(xiàn)狀非法端口外部入侵病毒攻擊內(nèi)部用戶垃圾郵件生產(chǎn)服務(wù)器測試服務(wù)器對(duì)外服務(wù)器公司信息安全邊界2.2“攻擊進(jìn)不來”實(shí)施策略管理措施技術(shù)措施現(xiàn)狀非法端口外2.3“信息拿不走”實(shí)施策略管理措施制度建設(shè)

編制《數(shù)據(jù)資產(chǎn)安全管理辦法》等相關(guān)制

度,對(duì)華人運(yùn)通數(shù)據(jù)進(jìn)行分類、分級(jí),明

確數(shù)據(jù)安全管理職責(zé),制定數(shù)據(jù)操作流程資產(chǎn)識(shí)別:

梳理數(shù)據(jù)資產(chǎn),建立完善華人運(yùn)通數(shù)據(jù)資

產(chǎn)清單并持續(xù)更新技術(shù)措施企業(yè)云盤:

通過使用企業(yè)云盤的方式將分散在終端的

非結(jié)構(gòu)化數(shù)據(jù)在企業(yè)云盤上進(jìn)行集中存儲(chǔ),

統(tǒng)一管理和文件共享交互數(shù)據(jù)防泄密DLP

部署數(shù)據(jù)防泄密DLP工具監(jiān)控和阻攔所有禁

止傳輸?shù)桨踩吔缤獾拿舾袛?shù)據(jù),防范數(shù)

據(jù)泄露硬盤加密

通過客戶端、服務(wù)器硬盤加密方式,防止

拆除硬盤后可直接讀取、拷貝數(shù)據(jù),繞過 DLP防護(hù)措施共享文件30%企業(yè)云盤100%現(xiàn)狀公司信息安全邊界終端通道網(wǎng)絡(luò)訪問通道外部郵箱登陸通道USB藍(lán)牙光盤特殊網(wǎng)站微信外部云盤QQ郵箱163郵箱數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)分散數(shù)據(jù)70%郵箱正常網(wǎng)站合作伙伴FTP服務(wù)器2.3“信息拿不走”實(shí)施策略管理措施技術(shù)措施共享文件30%2.4“特權(quán)不濫用”實(shí)施策略管理措施賬號(hào)策略:

定義賬號(hào)權(quán)限管理策略并定期開展賬號(hào)權(quán)限審查嚴(yán)格禁止共享賬號(hào)策略特權(quán)賬號(hào)密碼分段保存策略密碼復(fù)雜度策略密碼錯(cuò)誤次數(shù)鎖定策略強(qiáng)制定期改密策略禁止密碼自動(dòng)保存策略技術(shù)措施統(tǒng)一賬號(hào)管理平臺(tái):建立統(tǒng)一賬號(hào)管理平臺(tái)對(duì)系統(tǒng)賬號(hào)權(quán)限統(tǒng)一集中管控。在終端、應(yīng)用層分別實(shí)現(xiàn)身份認(rèn)證和識(shí)別,即統(tǒng)一管理、統(tǒng)一認(rèn)證、授權(quán)和安全審計(jì)堡壘機(jī);部署集中運(yùn)維及審系統(tǒng),內(nèi)外部用戶利用堡壘機(jī)作為統(tǒng)一運(yùn)維平臺(tái),避免用戶直接訪問服務(wù)器進(jìn)而對(duì)服務(wù)器做破壞性工作?,F(xiàn)狀公司信息安全邊界內(nèi)部員工駐場供應(yīng)商出差員工外部供應(yīng)商加密通道服務(wù)器應(yīng)用系統(tǒng)特權(quán)員工統(tǒng)一賬號(hào)管理平臺(tái)堡壘機(jī)2.4“特權(quán)不濫用”實(shí)施策略管理措施技術(shù)措施現(xiàn)狀公司內(nèi)部員目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路NO類別項(xiàng)目名稱描述涉及范圍實(shí)現(xiàn)目標(biāo)預(yù)算優(yōu)先級(jí)1管理安全組織結(jié)構(gòu)優(yōu)化優(yōu)化信息安全組織明確職責(zé)全體安全不違規(guī)2建立信息安全制度體系建立信息安全管理制度規(guī)范與技術(shù)標(biāo)準(zhǔn)建立信息安全制度體系建立信息安全管理制度規(guī)范與技術(shù)標(biāo)準(zhǔn)全體安全不違規(guī)3信息安全培訓(xùn)針對(duì)安全管理人員和安全技術(shù)人員,定期開展專項(xiàng)安全意識(shí)培訓(xùn)、安全技能提升培訓(xùn)等;通過定期的安全宣傳(如宣傳圖片、宣傳專題活動(dòng)),逐步提高人員安全意識(shí)全體安全不違規(guī)4技術(shù)

數(shù)據(jù)防泄密DLP采購部署數(shù)據(jù)防泄漏工具監(jiān)控和阻攔所有傳輸?shù)桨踩吔缤獾闹匾兔舾袛?shù)據(jù)全體信息拿不走5統(tǒng)一賬號(hào)管理平臺(tái)采購統(tǒng)一賬號(hào)管理平臺(tái),實(shí)現(xiàn)賬號(hào)、權(quán)限和統(tǒng)一管理、認(rèn)證、審計(jì)全體、第三方特權(quán)不濫用6漏洞掃描軟件采購掃描軟件,對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫進(jìn)行漏洞掃描并加固測試團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)攻擊進(jìn)不來7堡壘機(jī)內(nèi)外部用戶利用堡壘機(jī)作為統(tǒng)一運(yùn)維平臺(tái),避免用戶直接訪問服務(wù)器進(jìn)而對(duì)服務(wù)器做破壞性工作運(yùn)維團(tuán)隊(duì)特權(quán)不濫用8企業(yè)云盤通過企業(yè)云盤的方式集中存放與管理分散在客戶端的數(shù)據(jù)全體信息拿不走9網(wǎng)絡(luò)準(zhǔn)入實(shí)現(xiàn)終端接入認(rèn)證、違規(guī)報(bào)警,可實(shí)時(shí)管理終端接入狀態(tài),檢測網(wǎng)絡(luò)流量,監(jiān)控各種網(wǎng)絡(luò)行為,對(duì)違規(guī)行為及時(shí)報(bào)警和阻斷全體、第三方攻擊進(jìn)不來10代碼倉庫實(shí)現(xiàn)源代碼集中、構(gòu)建、版本控制、發(fā)布和源代碼的安全管理開發(fā)團(tuán)隊(duì)信息拿不走11郵件安全網(wǎng)關(guān)利用安全郵件網(wǎng)關(guān)攔截垃圾郵件、木馬郵件及釣魚網(wǎng)站全體攻擊進(jìn)不來12網(wǎng)絡(luò)安全域劃分網(wǎng)絡(luò)劃分互聯(lián)網(wǎng)區(qū)、DMZ、內(nèi)部區(qū)域、內(nèi)部核心區(qū)等,實(shí)現(xiàn)不同區(qū)域的安全訪問控制全體攻擊進(jìn)不來代碼審計(jì)+滲透測試使用漏洞工具掃描應(yīng)用系統(tǒng)源代碼和應(yīng)用程序是否存在安全缺陷或“后門”程序等,并提供安全問題修訂措施和建議,跟蹤整改軟件開發(fā)攻擊進(jìn)不來13代碼審計(jì)+滲透測試使用漏洞工具掃描應(yīng)用系統(tǒng)源代碼和應(yīng)用程序是否存在安全缺陷或“后門”程序等,并提供安全問題修訂措施和建議,跟蹤整改軟件開發(fā)攻擊進(jìn)不來安全措施總結(jié)與計(jì)劃NO類別項(xiàng)目名稱描述涉及范圍實(shí)現(xiàn)目標(biāo)預(yù)算優(yōu)先級(jí)1管理安全組織項(xiàng)目實(shí)施計(jì)劃2019年4月2019年6月2019年8月2019年9月2019年10月2019年11月2019年12月安全不違規(guī)信息安全培訓(xùn)統(tǒng)一賬號(hào)管理平臺(tái)企業(yè)云盤代碼倉庫堡壘機(jī)信息安全管理體系制度流程編寫數(shù)據(jù)防泄漏DLP網(wǎng)絡(luò)安全域劃分網(wǎng)絡(luò)準(zhǔn)入郵件安全網(wǎng)關(guān)攻擊進(jìn)不來信息拿不走特權(quán)不濫用2019年7月2019年5月漏洞掃描軟件安全組織結(jié)構(gòu)優(yōu)化信息安全檢查、體系運(yùn)行有效性測量、管理評(píng)審、持續(xù)改進(jìn)代碼審計(jì)

滲透測試代碼審計(jì)

滲透測試代碼審計(jì)

滲透測試項(xiàng)目實(shí)施計(jì)劃2019年4月2019年6月2019年8月201目錄安全需求、理念和實(shí)施思路安全建設(shè)目標(biāo)2.1安全不違規(guī)2.2攻擊進(jìn)不來2.3信息拿不走2.4特權(quán)不濫用安全措施總結(jié)與計(jì)劃管理層批準(zhǔn)事項(xiàng)目錄安全需求、理念和實(shí)施思路項(xiàng)目1-信息安全委員會(huì)職責(zé)項(xiàng)目1-信息安全委員會(huì)職責(zé)項(xiàng)目2-建立信息安全制度體系信息安全管理策略通過工作討論會(huì),將培訓(xùn)、知識(shí)傳遞、現(xiàn)狀分析和改進(jìn)結(jié)合為一體,共同確認(rèn)出可執(zhí)行的制度和流程一級(jí)文件:為信息安全的原則、方針和總則,是整個(gè)體系的綱領(lǐng)性文件。定義了信息安全管理目標(biāo)、工作原則等內(nèi)容;二級(jí)文件:主要為信息安全各領(lǐng)域的制度、管理辦法,是一級(jí)文件的具體闡述,為相關(guān)領(lǐng)域信息安全工作提供更具體的控制和指導(dǎo);三級(jí)文件:針對(duì)一級(jí)、二級(jí)文件所提出的原則、要求,規(guī)定如何達(dá)到這些要求的程序文件,如實(shí)施細(xì)則、規(guī)范、指引、指南、規(guī)定等;四級(jí)文件:依據(jù)一級(jí)文件、二級(jí)文件、三級(jí)文件的規(guī)范與要求而制作的操作說明、操作記錄和相關(guān)表單文件等。一階二階三階表單、記錄文件安全方針、策略安全原則標(biāo)準(zhǔn)、指南、流程制度層級(jí)制(修)訂協(xié)助批準(zhǔn)適用范圍一階安全部門信息安全委員會(huì)公司二階安全部門信息安全委員會(huì)公司三階主要責(zé)任部門安全部門制訂部門負(fù)責(zé)人制訂范圍內(nèi)項(xiàng)目2-建立信息安全制度體系信息安全管理策略通過工作討論會(huì),項(xiàng)目2-體系文件目錄L1:信息安全方針L2人力資源安全管理辦法L3機(jī)房安全管理規(guī)范L3軟件開發(fā)安全管理規(guī)范數(shù)據(jù)安全管理規(guī)范L3機(jī)房人員進(jìn)出管理規(guī)范L2信息安全組織管理辦法L1:信息安全策略L3員工信息安全守則L3第三方人員安全管理規(guī)范L3人員離職轉(zhuǎn)崗管理規(guī)范L2訪問控制管理辦法L2密鑰安全管理辦法(暫不適用)L2信息資產(chǎn)管理辦法數(shù)據(jù)分類分級(jí)管理規(guī)范L2物理與環(huán)境安全管理辦法L2操作安全管理辦法L2通信安全管理辦法L2信息系統(tǒng)建設(shè)安全管理辦法L3軟件測試安全管理規(guī)范L3軟件編碼規(guī)范L2法律法規(guī)符合性管理辦法L2供應(yīng)商安全管理辦法L2IT業(yè)務(wù)連續(xù)性管理管理辦法L2信息安全事件管理辦法L4進(jìn)出記錄、表單軟件正版化管理規(guī)范L4變更記錄、表單L3變更管理規(guī)范L3軟件測試規(guī)范L3漏洞安全管理規(guī)范項(xiàng)目2-體系文件目錄L1:信息安全方針L2人力資源安全管理辦項(xiàng)目3-信息安全培訓(xùn)項(xiàng)目3-信息安全培訓(xùn)項(xiàng)目4-數(shù)據(jù)防泄密DLP如何防止數(shù)據(jù)泄露是信息安全工作的重大課題1敏感數(shù)據(jù)發(fā)現(xiàn)按預(yù)先配置的策略掃描敏感數(shù)據(jù),了解敏感數(shù)據(jù)存在哪些位置。敏感數(shù)據(jù)監(jiān)控識(shí)別數(shù)據(jù)所有者監(jiān)控?cái)?shù)據(jù)的使用過程,這些數(shù)據(jù)是如何被使用的,被誰使用。敏感數(shù)據(jù)保護(hù)阻止違規(guī)使用的行為,防止數(shù)據(jù)丟失。數(shù)據(jù)防泄漏兩大方式2終端防泄漏終端DLP主要依賴于運(yùn)行于桌面、筆記本電腦、服務(wù)器、AppleOS的設(shè)備上的軟件客戶端。該客戶端提供可見性,并且在有需要的時(shí)候,對(duì)數(shù)據(jù)進(jìn)行控制網(wǎng)絡(luò)防泄漏網(wǎng)絡(luò)DLP,通常稱為無代理DLP,提供網(wǎng)絡(luò)流量的可見性并可以對(duì)流量進(jìn)行控制。檢查物理機(jī)或虛擬機(jī)的所有流量,如:郵件、網(wǎng)絡(luò)、即時(shí)通訊,然后可以執(zhí)行強(qiáng)制的數(shù)據(jù)策略。部署則是通過物理設(shè)備或者虛擬機(jī),然后配置網(wǎng)絡(luò)流量通過其進(jìn)行檢查DLP郵件審批用戶USB藍(lán)牙光盤打印離線用戶DLP監(jiān)控、阻斷DLP監(jiān)控、阻斷用戶用戶用戶DLP監(jiān)控、阻斷網(wǎng)絡(luò)DLP終端DLP外部云盤外部郵箱網(wǎng)站應(yīng)用內(nèi)部郵箱Outlook郵件DLP存儲(chǔ)發(fā)現(xiàn)DLPDLP共享存儲(chǔ)數(shù)據(jù)發(fā)現(xiàn)DLP審批、阻斷DLP報(bào)表展示管理員數(shù)據(jù)庫云存儲(chǔ)文件系統(tǒng)SharePoint云存儲(chǔ)項(xiàng)目4-數(shù)據(jù)防泄密DLP如何防止數(shù)據(jù)泄露是信息安全工作的重大①管理員員工③最終客戶供應(yīng)商經(jīng)銷商②長期外包PRHRMSPDMBOMSRMTDMERPQMS知識(shí)庫源碼庫構(gòu)件庫云盤文檔庫OAMES統(tǒng)一身份認(rèn)證管理平臺(tái)(IDM)內(nèi)部用戶目錄統(tǒng)一身份認(rèn)證和單點(diǎn)登錄統(tǒng)一授權(quán)管理用戶賬號(hào)生命周期管理用戶訪問行為異常事件行為賬號(hào)管理行為賬號(hào)申請(qǐng)行為安全審計(jì)用戶身份信息統(tǒng)一存儲(chǔ)外部用戶目錄最終客戶目錄中央用戶目錄項(xiàng)目5-統(tǒng)一賬號(hào)管理平臺(tái)應(yīng)用系統(tǒng))用戶①管理員員工③最終客戶供應(yīng)商經(jīng)銷商②長期外包PRHRMSPD項(xiàng)目6-漏洞掃描軟件高風(fēng)險(xiǎn)漏洞成為企業(yè)安全的最大隱患1針對(duì)操作系統(tǒng)的攻擊內(nèi)容包括病毒、后門程序、勒索軟件、權(quán)限提升等針對(duì)數(shù)據(jù)庫或業(yè)務(wù)系統(tǒng)黑客有目的的針對(duì)公網(wǎng)的業(yè)務(wù)系統(tǒng)和地址進(jìn)行的遠(yuǎn)程攻擊內(nèi)部網(wǎng)絡(luò)安全性內(nèi)部網(wǎng)絡(luò)被滲透攻擊的最主要方式就是漏洞利用。漏洞管理的挑戰(zhàn)2漏洞數(shù)量全球漏洞數(shù)量都在快速增長,內(nèi)部需要監(jiān)控和追蹤的漏洞超10萬。漏洞的風(fēng)險(xiǎn)病毒、后門程序的傳播都和漏洞相關(guān)。針對(duì)性的黑客攻擊黑客攻擊往往和漏洞相關(guān),有針對(duì)性的滲透往往因?yàn)槁┒床艜?huì)成功漏洞管理工作缺失的后果3影響內(nèi)部業(yè)務(wù),黑客遠(yuǎn)程攻擊和滲透成功,合規(guī)需求不滿足,主管部門的壓力和監(jiān)管部門的責(zé)罰、……漏洞掃描和管理的需求漏洞管理流程:資產(chǎn)發(fā)現(xiàn)和分組:發(fā)現(xiàn)IT基礎(chǔ)架構(gòu)中的所有目標(biāo)系統(tǒng)和設(shè)備,并合理分組,劃分責(zé)任人漏洞掃描:設(shè)定需要的評(píng)估策略,完成漏洞評(píng)估和掃描,可以支持自動(dòng)的周期性掃描風(fēng)險(xiǎn)分析和降低:分析高風(fēng)險(xiǎn)漏洞,完成高危漏洞的修補(bǔ)報(bào)告及合規(guī):生成需要的各類匯報(bào)報(bào)告,滿足各類合規(guī)需求?;钴S漏洞數(shù)量:100000+漏洞帶來整體安全問題操作系統(tǒng)12345商業(yè)軟件開源和免費(fèi)軟件各類應(yīng)用系統(tǒng)防火墻、交換機(jī)等設(shè)備漏洞管理也是合規(guī)需求漏洞管理是信息安全合規(guī)的基礎(chǔ)12345等級(jí)化保護(hù)BSISOX法案網(wǎng)絡(luò)安全法ISO27001項(xiàng)目6-漏洞掃描軟件高風(fēng)險(xiǎn)漏洞成為企業(yè)安全的最大隱患1針對(duì)操IT運(yùn)維人員所面臨的問題1如何通過等保、SOX、ISO27001如何確定共享帳號(hào)的操作如何提升IT運(yùn)維響應(yīng)效率如何管理海量帳號(hào)/密碼等資產(chǎn)如何完整審計(jì)數(shù)據(jù)庫操作如何針對(duì)RDP和Xwindow審計(jì)如何規(guī)避IT運(yùn)維過程中的誤操作如何保證IT運(yùn)維過程中的安全………………需求分析2分散管理,松散權(quán)限控制,無過程、無狀態(tài)、無時(shí)間點(diǎn);沒有統(tǒng)一的用戶操作管理機(jī)制;沒有監(jiān)控審計(jì)操作過程。IT運(yùn)維人員擁有后臺(tái)IT系統(tǒng)的權(quán)限過高帳號(hào),同一個(gè)管理員賬號(hào)多人擁有,發(fā)生誤操作無法定位自然人;針對(duì)異常操作以及危害范圍,無法控制和審計(jì)。無法根據(jù)用戶限制訪問核心主機(jī)系統(tǒng);管理員需要記住多個(gè)需要管理IT系統(tǒng)的賬戶;第三方公司及人員眾多,第三方IT運(yùn)維誤操作時(shí),無法準(zhǔn)確操作人定位。多點(diǎn)訪問,帳號(hào)交叉使用12多種方式訪問,分散式管理IT運(yùn)維需求——運(yùn)維現(xiàn)狀為什么使用堡壘機(jī)?公安部88號(hào)令、《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)管理辦法》、公安部151號(hào)令等,企業(yè)配置相應(yīng)的堡壘機(jī)有助于快速通過等保測試,達(dá)到合規(guī)要求。堡壘機(jī)能給公司帶來什么?運(yùn)維過程中所存在的事前身份不確定、授權(quán)不清晰,事中操作不透明、過程不可控,事后結(jié)果無法審計(jì)、責(zé)任不明確等一系列問題,均可通過堡壘機(jī)來解決。項(xiàng)目7-堡壘機(jī)IT運(yùn)維人員所面臨的問題1如何通過等保、SOX、ISO270項(xiàng)目8-企業(yè)云盤設(shè)計(jì)數(shù)模算法軟件產(chǎn)品物料人員組織個(gè)人電腦分散文檔Office文檔PDF文件多媒體文件應(yīng)用程序終端防控DLP殺毒磁盤加密文件加密數(shù)據(jù)中心集中管控PDMBOMOATFSSRMERP已建未建企業(yè)云盤設(shè)計(jì)數(shù)模產(chǎn)品物料算法軟件人員組織數(shù)字資產(chǎn)集中管控財(cái)務(wù)數(shù)據(jù)供應(yīng)商數(shù)據(jù)知識(shí)中心工程文檔過程文檔共享文件夾FTP統(tǒng)一身份管理員工駐場供應(yīng)商實(shí)習(xí)生出差員工外部合作伙伴外部共享計(jì)劃備份監(jiān)控防火墻項(xiàng)目實(shí)施統(tǒng)一身份管理IDM平臺(tái)企業(yè)文檔知識(shí)中心企業(yè)共享云盤統(tǒng)一管理員工,駐場供應(yīng)商,外部供應(yīng)商,短期合同工的實(shí)名用戶身份信息,分配用戶資源訪問權(quán)限,進(jìn)行訪問控制,使得用戶身份信息、授權(quán)信息、身份認(rèn)證和訪問控制機(jī)制規(guī)范化、標(biāo)準(zhǔn)化,真正做到4A(賬戶Account、認(rèn)證Authentication、授權(quán)Authorization、審計(jì)Audit)統(tǒng)一,全面控制企業(yè)安全風(fēng)險(xiǎn)。將工程項(xiàng)目文檔,流程規(guī)章制度,企業(yè)知識(shí)Knowhow聚集起來,形成組織的知識(shí)庫,在部門、團(tuán)隊(duì)間進(jìn)行信息共享和協(xié)同編輯。使得文檔的發(fā)布,訪問權(quán)限設(shè)定,歷史版本控制以及知識(shí)內(nèi)容的檢索規(guī)范化。PC筆記本手機(jī)/pad將任何文件和文件夾同步到共享云盤,設(shè)置訪問權(quán)限,合法用戶隨時(shí)可以訪問到最新文件,可以通過郵件或URL鏈接分享文件給內(nèi)外部用戶,外部用戶通過專屬外部共享區(qū)域訪問文件內(nèi)容,取代共享文件夾,U盤,移動(dòng)硬盤和FTP。數(shù)據(jù)集中策略項(xiàng)目8-企業(yè)云盤設(shè)計(jì)數(shù)模算法軟件產(chǎn)品物料人員組織個(gè)人電腦分散項(xiàng)目9-網(wǎng)絡(luò)準(zhǔn)入接入網(wǎng)絡(luò)的終端和使用人合規(guī)性不受控1接入網(wǎng)絡(luò)的用戶(人)是誰?怎么接入的?接入網(wǎng)絡(luò)的終端是公司的么?在哪個(gè)位置接入?終端的操作系統(tǒng)?補(bǔ)丁情況?終端的安全情況?4大盲點(diǎn)2終端設(shè)備不明使用人員不明終端安全不明接入方式不明網(wǎng)絡(luò)準(zhǔn)入3網(wǎng)絡(luò)準(zhǔn)入控制是指對(duì)網(wǎng)絡(luò)的邊界進(jìn)行保護(hù),對(duì)接入網(wǎng)絡(luò)的終端和終端的使用人進(jìn)行合規(guī)性檢查,只允許合法的、值得信任的終端設(shè)備接入網(wǎng)絡(luò),而不允許其他設(shè)備接入。功能口用戶身份認(rèn)證從接入層對(duì)訪問的用戶進(jìn)行最小授權(quán)控制,根據(jù)用戶身份嚴(yán)格控制用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問范圍,確保企業(yè)內(nèi)網(wǎng)資源安全口終端完整性檢查通過身份認(rèn)證的用戶還必須通過終端完整性檢查,查看連入系統(tǒng)的補(bǔ)丁、放病毒等功能是否已及時(shí)升級(jí),是否具有潛在安全隱患口終端安全隔離與修補(bǔ)對(duì)通過身份認(rèn)證但不滿足安全檢查的終端不予以網(wǎng)絡(luò)接入,并強(qiáng)制引導(dǎo)至隔離修復(fù)區(qū),提示用戶安裝有關(guān)補(bǔ)丁、殺毒軟件、配置操作系統(tǒng)有關(guān)安全設(shè)置等??诜欠ńK端網(wǎng)絡(luò)阻斷能及時(shí)發(fā)現(xiàn)并組織未授權(quán)終端對(duì)內(nèi)網(wǎng)資源的訪問,降低非法終端對(duì)內(nèi)網(wǎng)進(jìn)行攻擊、竊密等安全威脅,從而確保內(nèi)部網(wǎng)絡(luò)的安全網(wǎng)絡(luò)準(zhǔn)入控制受益威脅控制減少終端感染減輕IT查毒負(fù)擔(dān)增強(qiáng)網(wǎng)絡(luò)復(fù)原力細(xì)粒度訪問控制減少安全事故放敏感數(shù)據(jù)泄露行業(yè)規(guī)范遵從提高安全性滿足安全審計(jì)需要提高運(yùn)維效率便捷的訪客網(wǎng)絡(luò)設(shè)備自動(dòng)識(shí)別和監(jiān)控網(wǎng)絡(luò)準(zhǔn)入實(shí)現(xiàn)的功能項(xiàng)目9-網(wǎng)絡(luò)準(zhǔn)入接入網(wǎng)絡(luò)的終端和使用人合規(guī)性不受控1接入網(wǎng)絡(luò)目的:有效阻截外界入侵和垃圾郵件,隔離所有可疑內(nèi)容,全面保護(hù)企業(yè)電子郵件系統(tǒng)的安全垃圾郵件成為網(wǎng)絡(luò)安全的最大威脅1惡意垃圾郵件內(nèi)容包括色情、暴力、安全威脅等電子郵件廣告性質(zhì)的垃圾郵件廣告性質(zhì)的垃圾郵件由合法組織大量寄送的廣告郵件來自朋友的垃圾郵件認(rèn)識(shí)的使用者寄送內(nèi)容包含笑話、網(wǎng)站鏈接等無企業(yè)價(jià)值的信息垃圾郵件帶來很多不安全因素2病毒和木馬80%以上病毒通過郵件傳播,其中70%通過垃圾郵件傳播。后門程序后門程序占到惡意代碼的21.7%,傀儡程序BOT四處流竄。間諜軟件間諜軟件已經(jīng)占到了與Internet連接電腦的80%垃圾郵件對(duì)企業(yè)的不利因素3影響正常業(yè)務(wù)開展、影響企業(yè)生產(chǎn)效率、丟失業(yè)務(wù)機(jī)會(huì)、信息泄密、信任詐騙、……垃圾郵件趨勢選擇反垃圾郵件產(chǎn)品的原則功能全面、準(zhǔn)確度高辯識(shí)率(垃圾郵件辯識(shí)的百分比)誤判率(被刪除或隔離的正常郵件百分比)漏判率(被當(dāng)成正常郵件的垃圾郵件百分比)高效率、可快捷部署,具備良好的易用性和可管理性產(chǎn)品的可靠性,持續(xù)的服務(wù)項(xiàng)目10-郵件安全網(wǎng)關(guān)目的:有效阻截外界入侵和垃圾郵件,隔離所有可疑內(nèi)容,全面保護(hù)項(xiàng)目11-網(wǎng)絡(luò)安全域劃分信息系統(tǒng)現(xiàn)狀組網(wǎng)方式隨意性強(qiáng),缺乏統(tǒng)一規(guī)劃,擴(kuò)展性差網(wǎng)絡(luò)區(qū)域之間邊界不清晰,互聯(lián)互通沒有統(tǒng)一控制規(guī)范業(yè)務(wù)系統(tǒng)各自為政,與外網(wǎng)存在多個(gè)出口,無法統(tǒng)一管理安全防護(hù)策略不統(tǒng)一,安全防護(hù)手段部署原則不明確對(duì)訪問關(guān)鍵業(yè)務(wù)的相對(duì)不可信終端缺乏有效控制導(dǎo)致的問題無法有效隔離不同業(yè)務(wù)領(lǐng)域,跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪難于發(fā)現(xiàn)和控制無法有效控制入侵和網(wǎng)絡(luò)病毒的發(fā)作區(qū)域和影響不能及時(shí)發(fā)現(xiàn)安全事件和響應(yīng)第三方維護(hù)人員沒有訪問控制和授權(quán)合作伙伴的身份無法準(zhǔn)確認(rèn)證關(guān)鍵服務(wù)器、信息資產(chǎn)缺乏重點(diǎn)防護(hù)安全域防護(hù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論