【IT信息化】大型集团企业IT信息化安全架构规划设计方案

大型集团企业IT信息化安全架构规划设计方案信息安全技术信息安全管理信息安全控制信息安全服务信息安全组织信息安全流程信息安全方针信息安全制度合规需求管理物理安全通信安全操作安全数据安全访问控制人员安全备份容灾云安全应用安全等级定义运作控制技术控制服务控制流程控制资产管理业务连续性管理风险评估服务威胁评估服务安全情报安全态势威胁分析、溯源分析等级保护测评安全信息管理安全事件管理身份与访问管理服务基础设施安全管理应用安全服务数据安全服务安全行为捕捉、安全行为分析数据安全行为分析应用风险图谱数据风险图谱行为风险图谱公司信息安全现状评估011.综合管理模型公司信息安全现状评估012.安全能力评估（设备）基础支撑层基础环境保障与控制密钥服务管理（数字证书）时钟服务管理强身份认证(IDM/IAM)设备运维管理（ITSM）设备运维审计（堡垒机）合规管理高等级数据中心专业认证人士任职资格专职运维人员（基础设施）企业专网（VPNWAN)安全区域(生产网络隔离）基础网络层网络核心安全保障网络监控可视化（NOC)网络行为分析入侵检测（IDS/IPS)网络访问分区(交换机）访问控制（交换机、防火墙）无线网络管理(无线ac)DNS运维管理AD域运维管理IP资产管理移动设备安全管理无线接入分区控制IT资产管理系统应用层应用系统安全与优化应用安全代理（安全网关）数据库安全审计WEB应用防护(WAF)邮件服务安全系统漏洞评估(漏洞扫描)主机安全加固应用安全管理文档加密（亿赛通）应用之间隔离保护数据隔离保护（单数据库）安全基线管理应用基线管理数据基线管理数据脱敏、加密技术数据安全威胁分析生产数据层数据安全保障内容数据监控应用变更管理涉密数据管理配置变更管理数据防泄漏数据层传输加密（如HTTPS）统一身份认证(IAM/IDM)邮件归档管理（邮件归档系统）邮件内容过滤保护用户行为分析风险识别、风险分析安全舆情分析安全动态感知（内网、外网）合规认证（等保）合规认证（ISO27001)数据合规管理（个人信息、隐私保护、重要数据保护、CII保护）边界接入层边界安全保障与控制接入策略定制（防火墙）入侵攻击防护（IPS）病毒实时过滤（防毒墙）带宽保障控制(MplsVPN）远程安全接入(SSLVpn)网络应用加速(CDN)上网行为管理(AC)链路出口管理

终端接入控制（联软）终端桌面安全（360天擎）移动办公接入（无线、802.1X）移动接入安全（移动设备安全网关）重要系统隔离保护安全技术+安全设备安全运营、安全管理安全运维平台（SOC）合规审计平台（ADT）风险管理平台（RSM）安全态势感知平台（外部）日志分析平台（SIEM）行为分析平台（IT）（威胁情报、行为分析）安全治理总结：1、在基础网络、边界安全等方面比较全面基本满足业务需求2、在应用安全、应用数据安全、应用行为方面差距很大3、在安全运营、安全管理类综合系统，数据挖掘、数据展现方面，基于单个系统实现，未能实现集中管理、集中分析、集中展现、集中审查，安全治理能力方面较差4、人员结构不合理，在人员能力、组织结构方面需要加强5、工业网、工业控制网在安全管控、安全隔离方面相对较差有，基础阶段未深入、未涉及公司信息安全现状评估013.安全能力评估（技术能力）物理安全（01）设备防盗设备防毁环境安全防电磁泄漏防线路监听电源保护越界管理红区管理通信安全（02）路由策略端口策略传输加密通信认证数字签名入侵检测防火墙流量控制WIFI、热点管理操作安全（03）规范、制度安全SOP规范行为审计操作回溯日志管理补丁管理密码策略防病毒鉴权终端安全操作监督审计应用安全+数据安全（04）加密数字证书身份认证网络隔离代码审计行为分析防篡改防泄漏敏感字过滤漏洞扫描涉密数据保护核心信息保护访问控制（05）网络分区应用访问控制（安全网关）安全代理准入控制上网行为管理防火墙服务控制控制策略红区设计人员安全（06）身份认证门禁权限控制行为审计越界管理红区管理备份容灾（07）应用备份数据备份应用容灾数据容灾集群已具备能力仅覆盖部分业务总结：1、在通信安全、操作安全、访问控制方面具备一定的管理和控制能力，基本满足运维需求2、物理安全、应用安全、数据安全、网络接入、业务连续性方面覆盖面、能力方面还需提升和改进3、需提升访问控制能力的精细能力，细化访问控制的颗粒度，提升应用、数据的控制能力和保护能力有能力执行不好公司信息安全现状评估014.安全差距评估

整体评价整体评估：1、在管理制度、网络安全、应用安全、数据安全、终端安全方面已建立相关制度，部署了一些技术手段2、在行为留痕、事后追溯方面已有一定的能力和经验3、在权限控制、访问控制等方面存在细节方面的不足4、事前防御、事中控制方面存在不足5、在集中管理、集中监控、集中控制、统一管理方面存在不足6、网络分区保护、数据治理、数据安全治理方面存在不足7、对标ISO27001相关要求，我司在信息安全方面，基本达到60-70分水准，基本满足业务需求8、合规方面，开展了ISO27001和等级保护的初步工作，需在网络安全法的引导下，提升分享安全合规能力，如个人信息保护、APP合规评估、重要数据保护、跨境保护等方面9、境外合规方面尚未开展工作，如GDPR，LGDP等5.信息安全业务全貌-车企典型信息安全体系框架信息安全整体规划02信息安全体系生产安全安全建设安全服务安全运营场地安全人员安全工控网络安全工控系统安全在线监测体系规划体系建设项目管理运行控制风险管理应用安全数据安全研发安全资产安全终端安全网络安全安全方针安全组织安全管理制度安全策略安全目标合规管理安全运营制度物理安全安全治理安全审计移动安全物联网安全异常监测数据分析车间安全大数据安全云安全流程建设技术控制服务控制安全框架安全标准风险控制财务控制脆弱性扫描应急预案安全模型制度建设风险评估安全事件管理威胁评估应急响应网络分析审计安全监控合规认证等级保护合格证管理应用分析审计安全需求管理安全培训分级保护安全态势最佳实践跨境安全安全能力管理安全情报安全管理计划服务设计服务交付安全考核任职资格数据分析审计安全演练车联网安全安全绩效供应链安全财务安全安全加固安全技术应用访问控制（堡垒机）冗余、灾备网络隔离全网监控（NOC）抗DDOS网络分层分级环境监控移动安全网关数据防泄漏多租户隔离资源管理硬件安全应用保护（WAF）加密防病毒IT服务管理(ITSM)统一身份认证上网行为管理企业私网（VPN）移动终端管理（MDM）边界保护虚拟平台安全访问控制协议安全邮件安全网关防垃圾邮件网关SIEM脆弱性扫描备份边界安全防御资产管理工具终端准入认证流量控制消防演练APP安全管理网络接入认证数据隔离服务控制总线安全SOC其它行为分析安全情报安全基线数据检测、数据校验CDN/SDN无线网络管理安全政策生产安全运营安全服务安全技术方针策略政策目标生产安全安全建设安全治理安全行为分析此框架为BMWGlobal所用框架个人信息保护隐私保护网络安全法GDPR6.信息安全规划-信息安全整体规划02针对业务和信息安全、信息保密需求，建议从9个方面规划、建设信息安全体系 1）信息安全策略 2）信息安全标准、认证 3）信息安全组织 4）安全建设和运营 5）安全技术 6）信息保密 7）研发安全 8）信息安全绩效、考核 9）车-网安全信息安全策略安全组织安全建设和运营安全技术信息保密研发安全保密委员会安全委员会安全部门组织间的合作供应商安全应用分级分类安全体系建设项目安全管理安全运维风险管理与控制应用安全数据安全数据容灾安全监测SOC终端安全数据隔离与存储安全隔离保护软件开发安全数据防泄漏数据安全治理资产分类和分级重要资产定密资产标识与管理安全方针信息安全制度和规范信息安全流程和细则安全策略安全目标合规管理信息安全标准+认证绩效+考核业务连续性车-网安全车联网安全保护数据安全管理数据安全治理Car-net安全生产网络保护工控网络保护场地安全保护场地安全保护无线网络保护应用系统防护数据保护账号保护网络监控行为监控传输保护数据验证业务连续性管理业务连续性管理数据防泄漏业务监控数据监控合规管理数据控制系统防护异常捕捉全网监控（NOC，ITSM数据中台）合规建设安全态势安全威胁情报统一身份认证数据备份与恢复7.信息安全规划-技术体系信息安全整体规划02安全技术能力框架备份恢复监控审计数据安全身份认证访问控制网络安全终端安全系统安全应用安全/数据安全安全技术能力框架身份认证访问控制数据安全监控审计备份恢复终端应用系统网络用户名密码数字证书CA用户名密码数字证书CA用户名密码数字证书CA数字证书CA用户名密码统一身份管理（用户、目录、密码、身份统一管理）统一认证管理（注册、认证、授权、会话、注销）一次性口令利用SSO实现访问控制应用系统内置的授权管理管理权限回收终端外设访问控制安全域流量监控、分析网络流量控制网络分区虚拟化桌面

软件资产管理（SAM）桌面状态监控终端数据备份终端系统备份防篡改技术（数字签名）加密技术（SSL\PKI）数据库安全审计源代码安全控制文件加密主机恶意代码防范系统漏洞扫描系统备份本地数据与日志备份远程数据与日志备份传输安全网络链路冗余防火墙规则审阅网络入侵检测旁路引流网络入侵防护IPS防垃圾邮件系统完整性审计网络行为监控IT安全配置基线网络设备冗余识别码数据库安全防护WEB应用防护主机入侵防护HIPS网络设备监控协议与数据包分析主机入侵检测系统安全加固应用系统日志审计全盘加密数据检测防病毒网关防火墙VPN网络渗透测试无线接入点侦查桌面统一管理终端防泄漏邮件内容侦测防泄漏网关打印访问控制数字权限管理数据保护应用程序与日志备份数据库与日志备份内容/控制层分离应用访问授权终端恶意代码防护一次性口令特权账号管理操作系统的安全特性系统配置的访问控制移动终端管理已实现部分实现未实现车-网安全车联网安全保护数据监控总线安全生产网络保护工控网络保护工控防火墙工控防毒无线网络保护应用系统防护数据保护账号保护网络监控行为监控传输