【IT信息化】大型集團(tuán)企業(yè)IT信息化安全架構(gòu)規(guī)劃設(shè)計(jì)方案

大型集團(tuán)企業(yè)IT信息化安全架構(gòu)規(guī)劃設(shè)計(jì)方案信息安全技術(shù)信息安全管理信息安全控制信息安全服務(wù)信息安全組織信息安全流程信息安全方針信息安全制度合規(guī)需求管理物理安全通信安全操作安全數(shù)據(jù)安全訪問控制人員安全備份容災(zāi)云安全應(yīng)用安全等級定義運(yùn)作控制技術(shù)控制服務(wù)控制流程控制資產(chǎn)管理業(yè)務(wù)連續(xù)性管理風(fēng)險(xiǎn)評估服務(wù)威脅評估服務(wù)安全情報(bào)安全態(tài)勢威脅分析、溯源分析等級保護(hù)測評安全信息管理安全事件管理身份與訪問管理服務(wù)基礎(chǔ)設(shè)施安全管理應(yīng)用安全服務(wù)數(shù)據(jù)安全服務(wù)安全行為捕捉、安全行為分析數(shù)據(jù)安全行為分析應(yīng)用風(fēng)險(xiǎn)圖譜數(shù)據(jù)風(fēng)險(xiǎn)圖譜行為風(fēng)險(xiǎn)圖譜公司信息安全現(xiàn)狀評估011.綜合管理模型公司信息安全現(xiàn)狀評估012.安全能力評估（設(shè)備）基礎(chǔ)支撐層基礎(chǔ)環(huán)境保障與控制密鑰服務(wù)管理（數(shù)字證書）時(shí)鐘服務(wù)管理強(qiáng)身份認(rèn)證(IDM/IAM)設(shè)備運(yùn)維管理（ITSM）設(shè)備運(yùn)維審計(jì)（堡壘機(jī)）合規(guī)管理高等級數(shù)據(jù)中心專業(yè)認(rèn)證人士任職資格專職運(yùn)維人員（基礎(chǔ)設(shè)施）企業(yè)專網(wǎng)（VPNWAN)安全區(qū)域(生產(chǎn)網(wǎng)絡(luò)隔離）基礎(chǔ)網(wǎng)絡(luò)層網(wǎng)絡(luò)核心安全保障網(wǎng)絡(luò)監(jiān)控可視化（NOC)網(wǎng)絡(luò)行為分析入侵檢測（IDS/IPS)網(wǎng)絡(luò)訪問分區(qū)(交換機(jī)）訪問控制（交換機(jī)、防火墻）無線網(wǎng)絡(luò)管理(無線ac)DNS運(yùn)維管理AD域運(yùn)維管理IP資產(chǎn)管理移動設(shè)備安全管理無線接入分區(qū)控制IT資產(chǎn)管理系統(tǒng)應(yīng)用層應(yīng)用系統(tǒng)安全與優(yōu)化應(yīng)用安全代理（安全網(wǎng)關(guān)）數(shù)據(jù)庫安全審計(jì)WEB應(yīng)用防護(hù)(WAF)郵件服務(wù)安全系統(tǒng)漏洞評估(漏洞掃描)主機(jī)安全加固應(yīng)用安全管理文檔加密（億賽通）應(yīng)用之間隔離保護(hù)數(shù)據(jù)隔離保護(hù)（單數(shù)據(jù)庫）安全基線管理應(yīng)用基線管理數(shù)據(jù)基線管理數(shù)據(jù)脫敏、加密技術(shù)數(shù)據(jù)安全威脅分析生產(chǎn)數(shù)據(jù)層數(shù)據(jù)安全保障內(nèi)容數(shù)據(jù)監(jiān)控應(yīng)用變更管理涉密數(shù)據(jù)管理配置變更管理數(shù)據(jù)防泄漏數(shù)據(jù)層傳輸加密（如HTTPS）統(tǒng)一身份認(rèn)證(IAM/IDM)郵件歸檔管理（郵件歸檔系統(tǒng)）郵件內(nèi)容過濾保護(hù)用戶行為分析風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析安全輿情分析安全動態(tài)感知（內(nèi)網(wǎng)、外網(wǎng)）合規(guī)認(rèn)證（等保）合規(guī)認(rèn)證（ISO27001)數(shù)據(jù)合規(guī)管理（個(gè)人信息、隱私保護(hù)、重要數(shù)據(jù)保護(hù)、CII保護(hù)）邊界接入層邊界安全保障與控制接入策略定制（防火墻）入侵攻擊防護(hù)（IPS）病毒實(shí)時(shí)過濾（防毒墻）帶寬保障控制(MplsVPN）遠(yuǎn)程安全接入(SSLVpn)網(wǎng)絡(luò)應(yīng)用加速(CDN)上網(wǎng)行為管理(AC)鏈路出口管理

終端接入控制（聯(lián)軟）終端桌面安全（360天擎）移動辦公接入（無線、802.1X）移動接入安全（移動設(shè)備安全網(wǎng)關(guān)）重要系統(tǒng)隔離保護(hù)安全技術(shù)+安全設(shè)備安全運(yùn)營、安全管理安全運(yùn)維平臺（SOC）合規(guī)審計(jì)平臺（ADT）風(fēng)險(xiǎn)管理平臺（RSM）安全態(tài)勢感知平臺（外部）日志分析平臺（SIEM）行為分析平臺（IT）（威脅情報(bào)、行為分析）安全治理總結(jié)：1、在基礎(chǔ)網(wǎng)絡(luò)、邊界安全等方面比較全面基本滿足業(yè)務(wù)需求2、在應(yīng)用安全、應(yīng)用數(shù)據(jù)安全、應(yīng)用行為方面差距很大3、在安全運(yùn)營、安全管理類綜合系統(tǒng)，數(shù)據(jù)挖掘、數(shù)據(jù)展現(xiàn)方面，基于單個(gè)系統(tǒng)實(shí)現(xiàn)，未能實(shí)現(xiàn)集中管理、集中分析、集中展現(xiàn)、集中審查，安全治理能力方面較差4、人員結(jié)構(gòu)不合理，在人員能力、組織結(jié)構(gòu)方面需要加強(qiáng)5、工業(yè)網(wǎng)、工業(yè)控制網(wǎng)在安全管控、安全隔離方面相對較差有，基礎(chǔ)階段未深入、未涉及公司信息安全現(xiàn)狀評估013.安全能力評估（技術(shù)能力）物理安全（01）設(shè)備防盜設(shè)備防毀環(huán)境安全防電磁泄漏防線路監(jiān)聽電源保護(hù)越界管理紅區(qū)管理通信安全（02）路由策略端口策略傳輸加密通信認(rèn)證數(shù)字簽名入侵檢測防火墻流量控制WIFI、熱點(diǎn)管理操作安全（03）規(guī)范、制度安全SOP規(guī)范行為審計(jì)操作回溯日志管理補(bǔ)丁管理密碼策略防病毒鑒權(quán)終端安全操作監(jiān)督審計(jì)應(yīng)用安全+數(shù)據(jù)安全（04）加密數(shù)字證書身份認(rèn)證網(wǎng)絡(luò)隔離代碼審計(jì)行為分析防篡改防泄漏敏感字過濾漏洞掃描涉密數(shù)據(jù)保護(hù)核心信息保護(hù)訪問控制（05）網(wǎng)絡(luò)分區(qū)應(yīng)用訪問控制（安全網(wǎng)關(guān)）安全代理準(zhǔn)入控制上網(wǎng)行為管理防火墻服務(wù)控制控制策略紅區(qū)設(shè)計(jì)人員安全（06）身份認(rèn)證門禁權(quán)限控制行為審計(jì)越界管理紅區(qū)管理備份容災(zāi)（07）應(yīng)用備份數(shù)據(jù)備份應(yīng)用容災(zāi)數(shù)據(jù)容災(zāi)集群已具備能力僅覆蓋部分業(yè)務(wù)總結(jié)：1、在通信安全、操作安全、訪問控制方面具備一定的管理和控制能力，基本滿足運(yùn)維需求2、物理安全、應(yīng)用安全、數(shù)據(jù)安全、網(wǎng)絡(luò)接入、業(yè)務(wù)連續(xù)性方面覆蓋面、能力方面還需提升和改進(jìn)3、需提升訪問控制能力的精細(xì)能力，細(xì)化訪問控制的顆粒度，提升應(yīng)用、數(shù)據(jù)的控制能力和保護(hù)能力有能力執(zhí)行不好公司信息安全現(xiàn)狀評估014.安全差距評估

整體評價(jià)整體評估：1、在管理制度、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、終端安全方面已建立相關(guān)制度，部署了一些技術(shù)手段2、在行為留痕、事后追溯方面已有一定的能力和經(jīng)驗(yàn)3、在權(quán)限控制、訪問控制等方面存在細(xì)節(jié)方面的不足4、事前防御、事中控制方面存在不足5、在集中管理、集中監(jiān)控、集中控制、統(tǒng)一管理方面存在不足6、網(wǎng)絡(luò)分區(qū)保護(hù)、數(shù)據(jù)治理、數(shù)據(jù)安全治理方面存在不足7、對標(biāo)ISO27001相關(guān)要求，我司在信息安全方面，基本達(dá)到60-70分水準(zhǔn)，基本滿足業(yè)務(wù)需求8、合規(guī)方面，開展了ISO27001和等級保護(hù)的初步工作，需在網(wǎng)絡(luò)安全法的引導(dǎo)下，提升分享安全合規(guī)能力，如個(gè)人信息保護(hù)、APP合規(guī)評估、重要數(shù)據(jù)保護(hù)、跨境保護(hù)等方面9、境外合規(guī)方面尚未開展工作，如GDPR，LGDP等5.信息安全業(yè)務(wù)全貌-車企典型信息安全體系框架信息安全整體規(guī)劃02信息安全體系生產(chǎn)安全安全建設(shè)安全服務(wù)安全運(yùn)營場地安全人員安全工控網(wǎng)絡(luò)安全工控系統(tǒng)安全在線監(jiān)測體系規(guī)劃體系建設(shè)項(xiàng)目管理運(yùn)行控制風(fēng)險(xiǎn)管理應(yīng)用安全數(shù)據(jù)安全研發(fā)安全資產(chǎn)安全終端安全網(wǎng)絡(luò)安全安全方針安全組織安全管理制度安全策略安全目標(biāo)合規(guī)管理安全運(yùn)營制度物理安全安全治理安全審計(jì)移動安全物聯(lián)網(wǎng)安全異常監(jiān)測數(shù)據(jù)分析車間安全大數(shù)據(jù)安全云安全流程建設(shè)技術(shù)控制服務(wù)控制安全框架安全標(biāo)準(zhǔn)風(fēng)險(xiǎn)控制財(cái)務(wù)控制脆弱性掃描應(yīng)急預(yù)案安全模型制度建設(shè)風(fēng)險(xiǎn)評估安全事件管理威脅評估應(yīng)急響應(yīng)網(wǎng)絡(luò)分析審計(jì)安全監(jiān)控合規(guī)認(rèn)證等級保護(hù)合格證管理應(yīng)用分析審計(jì)安全需求管理安全培訓(xùn)分級保護(hù)安全態(tài)勢最佳實(shí)踐跨境安全安全能力管理安全情報(bào)安全管理計(jì)劃服務(wù)設(shè)計(jì)服務(wù)交付安全考核任職資格數(shù)據(jù)分析審計(jì)安全演練車聯(lián)網(wǎng)安全安全績效供應(yīng)鏈安全財(cái)務(wù)安全安全加固安全技術(shù)應(yīng)用訪問控制（堡壘機(jī)）冗余、災(zāi)備網(wǎng)絡(luò)隔離全網(wǎng)監(jiān)控（NOC）抗DDOS網(wǎng)絡(luò)分層分級環(huán)境監(jiān)控移動安全網(wǎng)關(guān)數(shù)據(jù)防泄漏多租戶隔離資源管理硬件安全應(yīng)用保護(hù)（WAF）加密防病毒IT服務(wù)管理(ITSM)統(tǒng)一身份認(rèn)證上網(wǎng)行為管理企業(yè)私網(wǎng)（VPN）移動終端管理（MDM）邊界保護(hù)虛擬平臺安全訪問控制協(xié)議安全郵件安全網(wǎng)關(guān)防垃圾郵件網(wǎng)關(guān)SIEM脆弱性掃描備份邊界安全防御資產(chǎn)管理工具終端準(zhǔn)入認(rèn)證流量控制消防演練APP安全管理網(wǎng)絡(luò)接入認(rèn)證數(shù)據(jù)隔離服務(wù)控制總線安全SOC其它行為分析安全情報(bào)安全基線數(shù)據(jù)檢測、數(shù)據(jù)校驗(yàn)CDN/SDN無線網(wǎng)絡(luò)管理安全政策生產(chǎn)安全運(yùn)營安全服務(wù)安全技術(shù)方針策略政策目標(biāo)生產(chǎn)安全安全建設(shè)安全治理安全行為分析此框架為BMWGlobal所用框架個(gè)人信息保護(hù)隱私保護(hù)網(wǎng)絡(luò)安全法GDPR6.信息安全規(guī)劃-信息安全整體規(guī)劃02針對業(yè)務(wù)和信息安全、信息保密需求，建議從9個(gè)方面規(guī)劃、建設(shè)信息安全體系 1）信息安全策略 2）信息安全標(biāo)準(zhǔn)、認(rèn)證 3）信息安全組織 4）安全建設(shè)和運(yùn)營 5）安全技術(shù) 6）信息保密 7）研發(fā)安全 8）信息安全績效、考核 9）車-網(wǎng)安全信息安全策略安全組織安全建設(shè)和運(yùn)營安全技術(shù)信息保密研發(fā)安全保密委員會安全委員會安全部門組織間的合作供應(yīng)商安全應(yīng)用分級分類安全體系建設(shè)項(xiàng)目安全管理安全運(yùn)維風(fēng)險(xiǎn)管理與控制應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)容災(zāi)安全監(jiān)測SOC終端安全數(shù)據(jù)隔離與存儲安全隔離保護(hù)軟件開發(fā)安全數(shù)據(jù)防泄漏數(shù)據(jù)安全治理資產(chǎn)分類和分級重要資產(chǎn)定密資產(chǎn)標(biāo)識與管理安全方針信息安全制度和規(guī)范信息安全流程和細(xì)則安全策略安全目標(biāo)合規(guī)管理信息安全標(biāo)準(zhǔn)+認(rèn)證績效+考核業(yè)務(wù)連續(xù)性車-網(wǎng)安全車聯(lián)網(wǎng)安全保護(hù)數(shù)據(jù)安全管理數(shù)據(jù)安全治理Car-net安全生產(chǎn)網(wǎng)絡(luò)保護(hù)工控網(wǎng)絡(luò)保護(hù)場地安全保護(hù)場地安全保護(hù)無線網(wǎng)絡(luò)保護(hù)應(yīng)用系統(tǒng)防護(hù)數(shù)據(jù)保護(hù)賬號保護(hù)網(wǎng)絡(luò)監(jiān)控行為監(jiān)控傳輸保護(hù)數(shù)據(jù)驗(yàn)證業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理數(shù)據(jù)防泄漏業(yè)務(wù)監(jiān)控?cái)?shù)據(jù)監(jiān)控合規(guī)管理數(shù)據(jù)控制系統(tǒng)防護(hù)異常捕捉全網(wǎng)監(jiān)控（NOC，ITSM數(shù)據(jù)中臺）合規(guī)建設(shè)安全態(tài)勢安全威脅情報(bào)統(tǒng)一身份認(rèn)證數(shù)據(jù)備份與恢復(fù)7.信息安全規(guī)劃-技術(shù)體系信息安全整體規(guī)劃02安全技術(shù)能力框架備份恢復(fù)監(jiān)控審計(jì)數(shù)據(jù)安全身份認(rèn)證訪問控制網(wǎng)絡(luò)安全終端安全系統(tǒng)安全應(yīng)用安全/數(shù)據(jù)安全安全技術(shù)能力框架身份認(rèn)證訪問控制數(shù)據(jù)安全監(jiān)控審計(jì)備份恢復(fù)終端應(yīng)用系統(tǒng)網(wǎng)絡(luò)用戶名密碼數(shù)字證書CA用戶名密碼數(shù)字證書CA用戶名密碼數(shù)字證書CA數(shù)字證書CA用戶名密碼統(tǒng)一身份管理（用戶、目錄、密碼、身份統(tǒng)一管理）統(tǒng)一認(rèn)證管理（注冊、認(rèn)證、授權(quán)、會話、注銷）一次性口令利用SSO實(shí)現(xiàn)訪問控制應(yīng)用系統(tǒng)內(nèi)置的授權(quán)管理管理權(quán)限回收終端外設(shè)訪問控制安全域流量監(jiān)控、分析網(wǎng)絡(luò)流量控制網(wǎng)絡(luò)分區(qū)虛擬化桌面

軟件資產(chǎn)管理（SAM）桌面狀態(tài)監(jiān)控終端數(shù)據(jù)備份終端系統(tǒng)備份防篡改技術(shù)（數(shù)字簽名）加密技術(shù)（SSL\PKI）數(shù)據(jù)庫安全審計(jì)源代碼安全控制文件加密主機(jī)惡意代碼防范系統(tǒng)漏洞掃描系統(tǒng)備份本地?cái)?shù)據(jù)與日志備份遠(yuǎn)程數(shù)據(jù)與日志備份傳輸安全網(wǎng)絡(luò)鏈路冗余防火墻規(guī)則審閱網(wǎng)絡(luò)入侵檢測旁路引流網(wǎng)絡(luò)入侵防護(hù)IPS防垃圾郵件系統(tǒng)完整性審計(jì)網(wǎng)絡(luò)行為監(jiān)控IT安全配置基線網(wǎng)絡(luò)設(shè)備冗余識別碼數(shù)據(jù)庫安全防護(hù)WEB應(yīng)用防護(hù)主機(jī)入侵防護(hù)HIPS網(wǎng)絡(luò)設(shè)備監(jiān)控協(xié)議與數(shù)據(jù)包分析主機(jī)入侵檢測系統(tǒng)安全加固應(yīng)用系統(tǒng)日志審計(jì)全盤加密數(shù)據(jù)檢測防病毒網(wǎng)關(guān)防火墻VPN網(wǎng)絡(luò)滲透測試無線接入點(diǎn)偵查桌面統(tǒng)一管理終端防泄漏郵件內(nèi)容偵測防泄漏網(wǎng)關(guān)打印訪問控制數(shù)字權(quán)限管理數(shù)據(jù)保護(hù)應(yīng)用程序與日志備份數(shù)據(jù)庫與日志備份內(nèi)容/控制層分離應(yīng)用訪問授權(quán)終端惡意代碼防護(hù)一次性口令特權(quán)賬號管理操作系統(tǒng)的安全特性系統(tǒng)配置的訪問控制移動終端管理已實(shí)現(xiàn)部分實(shí)現(xiàn)未實(shí)現(xiàn)車-網(wǎng)安全車聯(lián)網(wǎng)安全保護(hù)數(shù)據(jù)監(jiān)控總線安全生產(chǎn)網(wǎng)絡(luò)保護(hù)工控網(wǎng)絡(luò)保護(hù)工控防火墻工控防毒無線網(wǎng)絡(luò)保護(hù)應(yīng)用系統(tǒng)防護(hù)數(shù)據(jù)保護(hù)賬號保護(hù)網(wǎng)絡(luò)監(jiān)控行為監(jiān)控傳輸