如何讲安全.ppt

如何讲安全 安全服务拓展思路 01 02 03 新华三在安全领域 解决方案及拓展思路 安全的专业性 厂商资质 安全的专业性 人员资质 CISSP CISP ISO27001 CISA CIW 注册信息系统安全专家 是目前全球范围内最权威最系统的信息安全认证 注册信息安全专业人员 国内版本的CISSP证书 信息安全管理要求 是目前全球范围内最具权威的公司信息安全管理体系 国际信息系统审计师是信息系统审计 控制与安全等专业领域中取得成绩的象征 该证书认可了IT行业中担任安全管理的专业人员的职业技能资格 安全的专业性 产品地位 2016年 安全产品全球销售10亿 国内连续三年销售前四 IDC中国 防火墙 入侵防御系统 负载均衡产品连续7年入围三大运营商集采2016年IDC细分市场排名 防火墙排名第三 15 9 VPN设备排名第三 9 5 入侵检测与防御设备排名第四 10 4 内容管理设备排名第四 5 1 广泛服务于政府 金融 企业 教育 运营商等各行业客户 保障公安部 工商银行 平安保险 中国互联网络信息中心 淘宝网等高端应用共同编写公安部 云计算安全等级保护标准与测评要求 公安部 大数据等级保护标准与测评要求 国家信息中心 政务云等级保护基本要求及实施指南 工信部 云计算安全服务实施指南 安全的专业性 安全服务 专业安全服务产品 等级保护合规咨询信息安全风险评估信息安全规划咨询 渗透测试漏洞检测安全基线配置核查移动APP安全评估安全应急响应代码安全审计 安全协维5 8安全协维7 24 远程安全监测安全运维平台定制及运营智动安全工具及服务 安全产品培训安全技术培训安全管理培训客户定制化培训 新华三安全服务包含5大类18种细分产品 为客户信息安全建设保驾护航 安全的专业性 关键事件 2016G20杭州峰会 2016 双十一保障7年服务于阿里 百度 腾讯 京东等互联网大咖 2015世界互联网大会无线支持 反法西斯战争胜利70周年阅兵式 国家公务员考试8年守护0风险故障 2012 春运 金融结算日 双十一 冰雪灾害奥运保障512地震 2014 60周年国庆十一运会 2016 嫦娥 探月工程上海世博会 十八大 APEC峰会 抗战70周年阅兵支持 公务员国考 达沃斯论坛 512应急 港口关键业务保障 1000天无计划外宕机 2008 2010 2006 两会支持 国庆保障 挑战365 无忧守护 全心服务 2004 2000 千年虫 抓虫 支持与保障 2002 上海世博会保障 奥运特别保障 永续运行 新华三成就 ChinaG20 优质服务保障 统一认证 统一管理 让网络安全畅通杭城 G20峰会安全保障支持 2016世界互联网大会安全保障支持 H3C关键时刻应急响应服务 新华三安全产品基地 新华三投资不低于30亿合肥市政府配套补助资金5年上市 年产值100亿规模打造千亿信息安全产业生态圈研发中心 销售中心 上市公司总部 5月中旬临时办公场所入住300研发人员9月进驻正式场地 研发人员每年翻倍合肥市高新区创新产业园二期10000 研发基地 构建面向全球的安全云服务中心基于大数据的全局态势感知中心高级威胁防护安全情报中心全流程云化安全运维服务云 网 端安全协同联动 政府 十三五规划 信息安全领域定向开发构建智慧城市安全保障提供政务云安全保障完善安全大数据平台搭建信息安全情报中心定制政府可信安全系统 5年100亿5年过三千人云化安全 云化服务信息安全领域核心产业 公司远景 研发规模 研究方向 政府使命 2016年11月28日 新华三集团大安全产业落地合肥 安全管理中心 云安全监测中心 终端安全管理 漏洞扫描 网页防篡改 入侵防御系统 应用控制 负载均衡 Web防火墙 堡垒机 数据库审计 下一代防火墙 UTM VPN系列 M9000多业务网关 华三天机安全一体化交付平台 F100系列 U200系列 F1000系列 F50X0系列 NFV虚拟化安全 安全刀片 SecBladeLite III IV VMSG虚拟安全网关 F10X0系列 T1000 5000 9000系列 ACG1000 2000 8000系列 L1000 5000 9000系列 W1000 2000系列 安全管理 应用层安全 网络层安全 拥有全球最快的防火墙 单模块业务处理能力320G 网闸 新华三安全产品全家福 讲故事 日趋发展的攻击手段 讲故事 高级持续性威胁攻击原理 情报收集 外部暂存服务器 C C服务器 侵入入口 规模感染 窃取 破坏 攻击实施者 乌克兰圣诞大停电事件沙特大赦之夜攻击事件越南 香港 菲律宾等多家银行被盗事件台湾 泰国等多家银行ATM机被盗事件美国DNC邮件泄露事件 2016年全球热门APT事件 信息采集 通过互联网找到切入口恶意代码植入水坑攻击 全网进行扩散远程控制 APT关键步骤 通过互联网收集信息 通过互联网植入恶意代码 恶意代码进入网络中 恶意代码扩散 对核心资产进行窃取或破坏 通过跳板机远程进行控制 通过互联网植入恶意代码 获取偷窃成果 讲故事 安全体系演进趋势 传统安全技术体系 安全态势感知技术体系 智能防御技术体系 基于传统安全满足保密性 完整性 可用性要求 基于脆弱性 资产价值和安全事件进行综合风险评估 基于已知风险 预判未知风险 实现威胁主动防御 FW FW IPS IPS AV AV 日志留存 FW FW IPS IPS AV AV 风险评估 流量捕获 分析引擎 分析引擎 分析引擎 节点 节点 节点 节点 节点 节点 人工智能 软件定义 安全可视化 事件采集 关联分析 流量捕获 分析引擎 分析引擎 分析引擎 安全可视化 安全态势感知解决方案 传统安全设备 流量分析引擎 堡垒机 行为管理 数据库审计 异常访问监控 入侵防御 防火墙 入侵检测 数据防泄漏 Web应用防火墙 防病毒网关 Web应用防火墙 异常流量检测 漏洞扫描 入侵检测 未知威胁检测 网络协议分析 旁挂 全量匹配日志上送 串接 最小匹配日志上送 安全态势感知平台 日志采集 状态采集 统计关联 规则关联 趋势分析 信息共享 态势感知 安全可视化 基于大数据架构的底层平台 国家应急响应中心 攻防实验室 CVE MAPP CNVD CNNVD 策略更新与优化 安全态势感知架构 业务流量 交换机 在线安全设备 旁路安全设备 流量分发设备 业务基础设施 安全态势感知 旁路安全设备 旁路安全设备 业务流量 日志 管理流量 在线安全设备 旁路安全设备 流量分发设备 传统在线部署设备 如防火墙根据态势感知平台的分析调整配置发生事件后 事件日志上送作为体系中实际安全策略的执行者 传统旁路部署的设备 如入侵检测针对性的对流量进行分析完成分析后 分析日志上送作为体系中安全事件的分析者 特殊类别的交换机 专业分流芯片实现流量一次镜像 多次分配旁路方式部署 分析流量的总入口不影响原有业务情况下实现分析 安全态势感知 获取所有日志信息 进行关联分析定位异常流量 提出配置建议定位攻击流量 下发阻断配置实现安全事件可视化展示 分析结果以日志形式上报 业务流量按需分配 上报日志信息 上报日志信息 上报日志信息 下发安全策略 业务流量镜像 分析结果以日志形式上报 等保方案 简单描述为APP区和DB区以及部分Web区 简单描述为运维管理相关的功能区域 泛指全网的通信设施 包括路由 交换等 泛指广域网 互联网等接入边界 等保本质 安全域划分通过网络安全域的划分 可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题 从而更好地控制网络安全风险 降低系统风险 等保方案 漏扫系统 堡垒机 云安全监测中心 安全管理平台 综合安全管理区 核心交换区 互联网接入区 WEB服务器 业务服务器群 公共服务数据库 DMZ区 DNS 多业务硬件安全资源池 办公网区 IPS 防火墙 LLB 数据库审计 终端安全管理 CA 网页防篡改 二级标准配置 三级标准配置 三级扩展配置 防病毒服务器 防火墙 IDS IPS ISP1 ISP2 网络版杀毒软件客户端 流量清洗 数据备份 ACG SLB WAF 服务器区 云安全方案 国家信息中心 电子政务外网 政务云安全要求 对云基础设施云安全等保要求政务云计算基础设施应按信息系统等级保护国家标准中的第三级等级保护要求建设和保护对租户系统通过云安全等保要求访问控制 攻击防范 网络审计 安全检测等要求按等级保护第三级要求中的网络与通信部分的要求执行 政务云所有宿主机和虚拟机采用的操作系统均应满足国家标准 信息安全技术信息安全等级保护基本要求 GB T22239 的相关安全要求 云安全解决方案 网站防护方案 网站安全状态评估 网站入侵安全防护 网站流量审计分析 网站安全加固修复 漏洞查找与社会工程 漏洞验证与利用 漏洞攻击扩展过程 破坏 窃取 留后门 安全防护步骤 黑客攻击步骤 修补漏洞 阻断攻击 产生告警 优化修复 重新检测 告警 发起下一次攻击 定期巡检 网站防护方案 解决方案在政府行业 安全的专业性 安全服务 专业安全服务产品 等级保护合规咨询信息安全风险评估信息安全规划咨询 渗透测试漏洞检测安全基线配置核查移动APP安全评估安全应急响应代码安全审计 安全协维5 8安全协维7 24 远程安全监测安全运维平台定制及运营智动安全工具及服务 安全产品培训安全技术培训安全管理培训客户定制化培训 新华三安全服务包含5大类18种细分产品 为客户信息安全建设保驾护航 信息安全风险评估服务 什么是安全风险评估服务评估客户信息系统面临的安全风险的大小 以选择适当的安全措施进行风险控制 最终降低客户信息系统安全风险信息安全风险评估是信息安全建设的基础 是信息安全管理工作考核的方法和手段 安全风险评估给客户的价值了解信息系统安全现状 从而制定整体安全规划 逐步完善安全防护 提升信息系统安全等级满足企业法律法规合规性要求 等级保护 27001 一句话概括 安全风险评估就是为信息系统体检 信息系统风险评估范围 工作站 服务器 网络设备 安全设备数量与类型 物理环境 业务系统 文档数据 组织人员情况规模 风险评估服务报价不同于产品与其他服务包 报价来源于客户信息系统范围规模 客户项目时间预期 客户项目预算 竞争对手情况 具体价格范围须经过安服人员评估工作范围 内容 周期 客户实际情况后确定所需工作人天才能确定报价范围 服务内容确认 注意事项一 服务范围确认 注意事项二 资产评估 威胁评估 脆弱评估 风险分析 风险控制 安全规划 风险评估往往与安全加固打包在一起 既帮助客户发现了弱点与脆弱性后 通过安全加固帮助客户尽量消除这些弱点 客户特征 有业务信息系统 且有一定使用程度有基础的安全防范措施和意识发生过安全事件 有安全需求有安全方面的财务预算具有独立的决定权 愿意安全方面的支出服务需求 发现潜在安全隐患 保障业务运行 安全检查系统发生安全事件后 对系统安全进行检查应对上级组织的安全检查 01 信息安全风险评估服务 等级保护合规咨询服务 依据等级保护政策 为客户提供信息安全等级保护安全咨询和建设服务协助客户发现信息系统的安全现状与安全目标的差异 配合客户完成等级保护安全建设工作 完善客户的安全保障能力 解决信息安全意识和安全防范能力薄弱问题解决信息安全保障工作重点不突出的问题 为客户安全建设提供指导协助定级 全面推动等级保护的工作 满足等保合规要求 一句话概括 帮客户拿证 等级保护合规咨询服务销售 理想客户 潜在客户 客户类型 党政机关 央企 国企 医疗对信息服务较为依赖的企事业客户特征 受政策影响大 信息化程度较高 应用水平较高 系统规模大 人员设备数量多安全现状 安全应用水平一般 出现过安全事件 有安全服务需求决策能力 安全预算多 有独立决策能力 愿意使用服务产品安全管理 管理体系尚需完善服务现状 已经采用华三产品 系统已经定级或准备定级 采用华三安全产品受国家政策影响较大的企事业单位有业务信息系统 且有一定使用程度有基础的安全防范措施和意识有安全服务方面的财务预算具有独立的决定权 愿意安全方面的支出服务需求 发现安全差距 满足政策要求 漏洞检查服务 使用漏洞扫描工具扫描客户信息系统存在的安全漏洞 一句话概括 找出漏洞 2015新增漏洞分布 年度新增漏洞数量 安全基线配置核查服务 用工具对网络安全设备 主机系统 数据库 中间件等IT资产配置进行配置合规检查 一句话概括 发现配置不符合项 渗透测试服务 通过模拟黑客攻击方式 对应用系统进行渗透测试 发现系统存在的深度的安全问题 以最直观的方式呈现系统的安全状态 很多通过了安全标准的公司仍然会被黑扫描器报告的 高危漏洞 难以理解 一句话概括 善意的 黑客 漏扫与渗透测试的区别 漏扫是使用工具扫描漏洞 渗透测试是利用工具 手工测试的方式挖掘漏洞漏洞检测服务是比较单一和低端的服务 建议采用安全评估服务 移动APP安全评估服务 通过使用多种技术 全面发现移动APP存在的安全漏洞 服务端安全测试通信安全测试客户端安全测试 包括Andriod iOS 随着移动APP的普及 传统安全问题在移动APP上依然存在移动APP用户个人隐私数据泄露问题日益严峻 一句话概括 为移动APP做体检 安全技术类服务销售机会 客户收益 针对客户重点业务系统渗透测试将作为一种发现 验证系统风险的重要手段 渗透测试模拟黑客事件能从中找出企业最急需解决的安全问题 渗透测试和工具扫描的结果一起为日后的安全加固安全规划等提供重要数据 渗透测试以非常明显直观的结果反映出系统的安全现状越来越受到国际 国内信息安全业界的认可