企业信息化安全、优化规划建设【制造业】

1、Security and Value-Added Business Group Digital China (China) Limited,企业信息化安全、优化规划建设,政策目标背景,国内 企业内部控制基本规范-中国塞班斯 上市公司管理规范中对信息化的要求 企业信息化安全等级保护条例 国外 塞班斯法案要求 香港联交所上市公司合规要求 特定行业合规要求（HIPAA/PCI/BASIL） 行业 。,Enjoy work， enjoy life,企业的业务发展面临安全威胁挑战,Enjoy work， enjoy life,风险保障,业务保障,Security and Value-Added Busi

2、ness Group Digital China (China) Limited,问题: 应用的安全与优化能力不足（面对众多应用）,新的安全漏洞 部署防火墙 好像大家都用IDS 终端安全要牢记！ 设备运维监控 网络性能,Application,应用关注业务逻辑和功能,传统网络关注连通,网络运维,应用开发人员,?,安全审计,安全？ 性能？,传统安全关注IT,主管说： 请你们告诉我现在我们企业的信息化系统的风险状况、我们到底安全不安全？ 老板说： 请你们告诉我为什么现在业务部门反映的业务系统性能有问题，客户经常投诉？有没有办法解决,双刃剑-近年安全事件风险分析,Enjoy work， enjoy

3、life,企业信息化投资对策,Enjoy work， enjoy life,集中化,通过机房建设，防错机房的整合，实现核心机房的集中化，从而为服务器、网络、应用、存储备份、监控集中化提供基础，提高系统运作效率，降低运维成本。,平台化,安全化,高可靠性,自动化监控,能力提升,通过平台建设，引入成熟、可靠、先进的IT技术，提高业务系统的可靠性。,构建四大平台：服务器平台、应用平台、安全平台、存储备份平台。基于四大平台，增强各种应用的可扩展性及安全性，保证业务稳定运行。,构建统一的ECC监控中心，实现对服务器、网络、桌面、机房环境等的自动化监控管理。,通过信息安全方针、政策及流程的完善，网络安全架构

4、的合理规划，构建一个可扩展的、有前瞻性的安全平台，保证业务稳定运行。,通过优化应用系统的软件架构，并结合INFRA基础设施的能力提升，为各领域的能力提升提供基础，从而保障业务系统的高效率运作。,建立信息安全体系保障基础,安全体系的三要素是人、管理（流程）和技术。在人员配备齐整的情况下，技术上做不到的依靠管理，管理做不到的依靠技术。安全防护体系建设内容包括安全队伍、安全技术和安全管理三个方面 参照ISO27001对于信息化体系规划建设的模型,Enjoy work， enjoy life,人员,（管理）流程,技术,组织、角色、职责,业务流程、制度,实现目标的 技术手段,安全风险防护规划（组织层面-

5、WHO）,8,信息风险管理（策略制定）负责人,信息安全负责人,信息风险管理策略实施（策略执行）负责人,策略接受者,信息风险管理策略的日常运维（监控）负责人,信息风险违规事后审计负责人,审计意见 反馈流程,人事考核,CFO/CIO/副总/技术总监？,风险管理部专员？,IT信息部 安全专项负责人？,财务部人员？ 销售部前台？ 市场部人员？,审计部负责人？,Enjoy work， enjoy life,安全风险防护规划（技术框架层面-HOW）,Enjoy work， enjoy life,3、网络安全建设 4、主机系统安全建设 5、应用安全建设 6、数据安全建设,1、物理安全 2、基础安全,7、安全

6、管理 8、安全审计,统一安全管理平台建设,安全化方策,Enjoy work， enjoy life,客户风险统一管理 终端统一身份认证,部分远程连接的安全接入 防火墙策略加固 网络安全域划分 网络隔离及访问控制,系统级安全基线管理 办公、邮件系统的综合防护系统 运单系统应用级防护与审计管理,客户数据安全防范 终端数据外泄防护 商业邮件数据归档管理,网络及支撑,网络安全域部署,网络准入NAC VPN/SSL,Network,终端配置标准化和桌面安全措施统合,全面实现终端加入域，WINDOW登录动态认证,桌面终端,核心数据防护 核心数据访问控制 终端数据安全防护 邮件归档管理,核心数据,App,A

7、pp,E-HR,系统及应用,邮件统一管理平台 客户管理系统保护 快递运单系统应用保护,目标,对策,安全管理体系,安全组织,安全方针/手册,安全标准/流程,建立简单、易用、可审计的安全架构体系，实现安全策略的标准化和流程化，强化安全事件的集中监控和处理,Enjoy work， enjoy life,安全风险防护规划（管理层面-WHAT）,定义目标 范围边界,参照ISO27001对于信息化体系规划建设的模型,定义 任务书,现状 调研,组织 架构,安全 培训,公司层面 确定目标,基础层安全建设 【运维管理 统一身份管控】,基础网络 【主干通讯防DDOS攻击 内网安全策略加固】,关键应用（web） 【

8、业务web 安全策略加固 核心数据库监控】,复制PDCA 模型,战术层面 计划行动,第三方 认证,外部认证 【自定】,Security and Value-Added Business Group Digital China (China) Limited,系统应用层,应用系统 安全与优化,业务应用优化 入侵攻击防护 数据库安全审计 WEB应用防护 邮件系统安全 系统漏洞评估 主机安全加固 应用服务管理 数据存储优化,生产数据层,数据安全 服务保障,内容数据监控 应用变更管理 文件变更管理 配置变更管理 内容泄露防护 数据层传输加密 用户认证授权 邮件归档管理,信息安全和应用交付领域的IT需求

9、,Security and Value-Added Business Group Digital China (China) Limited,目标：以”风险控制导向”(Risk Focused )的企业信息安全架构蓝图,前期阶段-1,风险调研阶段-2,策略建立及 实施阶段-3,事后管理及 审计阶段-4,安全建设Roadmap,Enjoy work， enjoy life,子项规划名称,Roadmap,2013年,2016年,2017年,2014年,2015年,安全体系建设,内网安全加固,主干网络DDOS 安全加固项目,核心商业数据 安全加固,核心应用防护,安全风险管理 平台建设项目,合规审计管

10、理 平台建设项目,商业数据 安全审计规划,在线电子商务渠道架构规划,安全规划,安全管理体系导入,内部管理系统 建设整合,业务规划,运维基础管控,新电子销售 渠道建设整合,内部合规性 建设整合 （上市要求）,。,业务流量监控及 故障分析诊断,统一身份 管控平台,基础安全层-运维管理及审计方案,运维审计系统的主要功能,Enjoy work， enjoy life,解决方案（非标协议与工具）,HAC+VDH系统部署与应用,Enjoy work， enjoy life,17,风险,终端,丢失/遭窃 设备接管,偷听 拦截 非授权访问,文件系统/数据库,未经授权的 访问/活动 不可用 泄露 损坏 不可用,

11、企业存储,未经授权的 访问/活动 介质丢失/遭窃 泄露 损坏 不可用,应用,未经授权的 访问/活动 多应用的重复登入 不可用 欺诈 泄露,基础安全层-统一身份管控方案（4A）【二阶段建议】,评估和修复服务,IT 域,网络,Enjoy work， enjoy life,网络安全层- 提供最佳安全防护方案,最佳DDoS 攻击防护能力 防护性能极强： PPS Web cookies) 基于阀值防护,HTTP & DNS 进阶验证 响应技术 基于实时行为分析 之攻击特征 基于阀值防护,RegEx 特征 自动更新 攻击反制技术 客制化特征,随机即具备广泛DDoS 攻击防护能力，无需人工介入 秒级快速攻击

12、防护响应,网络安全层- 提供最佳安全防护方案,网络安全层-内部网络安全加固,Enjoy work， enjoy life,按照业务系统规划进行网络安全域梳理， 制定统一的安全访问控制策略，并建立 访问控制策略合规监控手段,Security and Value-Added Business Group Digital China (China) Limited,网络安全层-基础网络安全加固,实时网络攻击监控,恶意代码分析,事件分析和关联,合规性报告,Enjoy work， enjoy life,Enjoy work， enjoy life,内网风险统一管理,提供策略管理和报告功能的统一管理控制台

13、 一个控制台实现完整的系统管理 基于角色的应用和Web、邮件和数据泄漏防护控制 为内容安全提供统一内容分析，统一平台和统一解决方案 最佳的安全效果，最低的总拥有成本 提供无可比拟的可视性和控制力,精确地对客户端、群组及其网络行为进行规范,在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉分析以进行梳理各种网络问题的原因？,Enjoy work， enjoy life,系统安全加固：风险 & 合规:,诊断,加固,管理,Enjoy work， enjoy life,建立系统级的安全基线管理风险 & 合规,发现 资产梳理及现状评估 评估 安全漏洞及配置策略审计 管理 针对风险最高优化保护和最

14、大限度地降低成本，消除对关键业务应用程序干扰,Vulnerability Manager,Policy Auditor,网络安全层-业务流量监控及故障分析,该方案通过交换机镜像流量，采集业务系统相关的应用数据流量。该采集方式，仅对交换机产生轻微的负载，完全不影响应用。,可监控应用的各个环节的运行性能状态，包括负载均衡、WEB服务器、应用中间件、数据库服务器。,在不安装探针的情况下:,在应用内部安装探针:,可监控及分析应用内部的运行状态，如方法调用、JDBC、内存泄漏。该方式需要在应用服务器内部安装软件探针，所以会对应用的性能产生一定影响。,负载均衡机,Web,中间件,数据库,网络质量,SQL执

15、行,文档,各渠道、区域 用户体验,业务交易监控机,故障域快速定位,Enjoy work， enjoy life,方案能力,Enjoy work， enjoy life,方案提供的解决方案为 软硬一体化解决方案，设备内预置操作系统、数据库、应用软件，设备出厂时即完成所有预设配置，真正做到开箱即用。设备提供Web、客户端、命令行等多种管理方式，界面友好、直观，配置简单。,全球领先的业务流量监控及分析系统,Executive dashboard of real-time application performance,方案的核心价值,Enjoy work， enjoy life,应用服务层-关键应用

16、（快递）的应用级防护,Enjoy work， enjoy life,合规性审计报告,针对业务系统的安全防护策略定制,现代企业普遍存在商业数据安全需求,对企业关键数据信息系统的访问、修改进行全面审计，出现事件，可找到问题和源头。 对于大型企业的核心业务系统， 需要能够审计到最终用户 避免数据误操作和误修改造成的影响。 防止关键数据违规泄露和篡改的事件的发生。 防止针对数据库安全漏洞造成的安全事件。 提供专业的审计报告支持。 大规模部署和集中管理的支持。,Enjoy work， enjoy life,1/16/06,Users,Neoaccel sslvpn,F5 链路负载均衡,Internet,

17、ISP,ISP,ISP1,ISP2,Bluecoat SG网关,BlueCoat SG网关,BIG-IP 服务器负载均衡,ISP,Imperva WEB防护网关,Router,Router,Router,Router,F5 WEB客户端加速,Neoaccel ssl vpn,f5 广域网容灾,SSL VPN,DMZ,DMZ,F5广域网容灾,DMZ,主数据中心,移动办公,分部,备份数据中心,F5 链路负载均衡,F5 BIG-IP 服务器负载均衡,Bluecoat SG网关,Imperva 数据库审计,日志审计管理,TippingPoint 入侵防御,TippingPoint 入侵防御,电子商务安

18、全优化方案结构图,最终提交建设目标【本次标的范围】,整体的安全管理架构 安全小组（组织架构） 安全系统防护框架建议 安全方案实施落地 统一的安全策略 运维操作安全策略 网络安全应急策略 内网管理安全策略 核心数据操作安全策略 办公网安全策略 统一的安全审计管理 安全事件处理流程 安全监控与审计管理流程,Enjoy work， enjoy life,服务能力-安全服务,2020/6/24,Enjoy work， enjoy life,32,十载的行业经验与服务能力，形成规范的经营管理程序与运作机制； 成熟的产品序列与广泛的行业客户群体，形成完备的服务管理流程与质量保证体系。现有行业拥有稳定的优质客户、较大市场份额；,强大的客户服务能力,Enjoy work， enjoy life,1、全国3大技术支持中