企业信息化安全、优化规划建设(制造业)

《企业信息化安全、优化规划建设(制造业)》由会员分享，可在线阅读，更多相关《企业信息化安全、优化规划建设(制造业)（37页珍藏版）》请在装配图网上搜索。

1、企业信息化安全、优化规划建设企业信息化安全、优化规划建设数据中心数据中心IT 创新创新IT 投入投入:核心应用核心应用网络网络主机主机 存储存储优化与安全优化与安全新应用部新应用部署周期署周期由数周变由数周变为为几分钟几分钟服务器的服务器的系统漏洞系统漏洞网络攻击网络攻击更高的可更高的可靠性靠性提高服务提高服务等级等级 安全及安全及优化池优化池网络池网络池计算池计算池存储池存储池专业化专业化服务服务 政策目标背景政策目标背景l 国内l 企业内部控制基本规范-中国塞班斯l 上市公司管理规范中对信息化的要求l 企业信息化安全等级保护条例l 国外l 塞班斯法案要求l 香港联交所上市公司合规要求l 特

2、定行业合规要求（HIPAA/PCI/BASIL）l 行业l。企业的业务发展面临安全威胁挑战企业的业务发展面临安全威胁挑战风险保障风险保障业务保障业务保障问题:应用的安全与优化能力不足（面对众多应用）新的安全漏新的安全漏洞洞部署防火墙部署防火墙好像大家都好像大家都用用IDS终端安全要终端安全要牢记！牢记！设备运维监设备运维监控控网络性能网络性能Application应用关注业务逻辑和功能应用关注业务逻辑和功能传统网络关注连通传统网络关注连通网络运维网络运维应用开发人员应用开发人员?安全审计安全审计安全？安全？性能？性能？传统安全关注传统安全关注IT主管说：主管说：请你们告诉我现在我们企业的信息化

3、系统的风请你们告诉我现在我们企业的信息化系统的风险状况、我们到底安全不安全？险状况、我们到底安全不安全？老板说：老板说：请你们告诉我为什么现在业务部门反映的业务请你们告诉我为什么现在业务部门反映的业务系统性能有问题，客户经常投诉？有没有办法解决系统性能有问题，客户经常投诉？有没有办法解决双刃剑双刃剑-近年安全事件风险分析近年安全事件风险分析企业信息化投资对策企业信息化投资对策集中化集中化通过机房建设，防错机房的整合，实现核心机房的集中化，从而为服务器、网络、应用、存储备份、监控集中化提供基础，提高系统运作效率，降低运维成本。平台化平台化安全化安全化高可靠性高可靠性自动化监控自动化监控能力提升能

4、力提升通过平台建设，引入成熟、可靠、先进的IT技术，提高业务系统的可靠性。构建四大平台：服务器平台、应用平台、安全平台、存储备份平台。基于四大平台，增强各种应用的可扩展性及安全性，保证业务稳定运行。构建统一的ECC监控中心，实现对服务器、网络、桌面、机房环境等的自动化监控管理。通过信息安全方针、政策及流程的完善，网络安全架构的合理规划，构建一个可扩展的、有前瞻性的安全平台，保证业务稳定运行。通过优化应用系统的软件架构，并结合INFRA基础设施的能力提升，为各领域的能力提升提供基础，从而保障业务系统的高效率运作。建立信息安全体系保障基础建立信息安全体系保障基础安全体系的三要素是人、管理（流程）和

5、技术。在人员配备齐整的情况下，技术上做不到的依靠管理，管理做不到的依靠技术。安全防护体系建设内容包括安全队伍、安全技术和安全管理三个方面 参照ISO27001对于信息化体系规划建设的模型人员人员（管理）流程（管理）流程技术技术组织、角色、职责组织、角色、职责业务流程、制业务流程、制度度实现目标的实现目标的技术手段技术手段安全风险防护规划（组织层面-WHO）8信息风险管理（策略制定）负责人信息风险管理（策略制定）负责人信息安全负责人信息安全负责人信息风险管理策略实施（策略执行）负责人信息风险管理策略实施（策略执行）负责人策略接受者策略接受者信息风险管理策略的日常运维（监控）负责人信息风险管理策略

6、的日常运维（监控）负责人信息风险违规事后审计负责人信息风险违规事后审计负责人审计意见审计意见反馈流程反馈流程人事考核人事考核CFO/CIO/副总副总/技术总监？技术总监？风险管理部专员？风险管理部专员？IT信息部信息部安全专项负责人？安全专项负责人？财务部人员？财务部人员？销售部前台？销售部前台？市场部人员？市场部人员？审计部负责人？审计部负责人？安全风险防护规划（技术框架层面安全风险防护规划（技术框架层面-HOW）3、网络安全建设、网络安全建设4、主机系统安全建设、主机系统安全建设5、应用安全建设、应用安全建设6、数据安全建设、数据安全建设1、物理安全、物理安全2、基础安全、基础安全7、安全

7、管理、安全管理8、安全审计、安全审计统一安全管理平台建设统一安全管理平台建设安全化方策安全化方策客户风险统一管理终端统一身份认证部分远程连接的安全接入防火墙策略加固网络安全域划分网络隔离及访问控制系统级安全基线管理办公、邮件系统的综合防护系统运单系统应用级防护与审计管理客户数据安全防范终端数据外泄防护商业邮件数据归档管理网络及支撑p网络安全域部署p网络准入NACpVPN/SSLNetworkp终端配置标准化和桌面安全措施统合l全面实现终端加入域，WINDOW登录动态认证桌面终端p核心数据防护p核心数据访问控制p终端数据安全防护p邮件归档管理核心数据AppAppE-HR系统及应用p邮件统一管理平

8、台p客户管理系统保护p快递运单系统应用保护目标对策安全管理体系l安全组织安全方针/手册l安全标准/流程建立简单、易用、可审计的安全架构体系，实现安全策略的标准化和流程化，强化安全事件的集中监控和处理建立简单、易用、可审计的安全架构体系，实现安全策略的标准化和流程化，强化安全事件的集中监控和处理安全风险防护规划（管理层面安全风险防护规划（管理层面-WHAT-WHAT）定义目标定义目标范围边界范围边界参照ISO27001对于信息化体系规划建设的模型定义定义任务书任务书现状现状调研调研组织组织架构架构安全安全培训培训公司层面公司层面确定目标确定目标基础层安全建设基础层安全建设 【运维管理运维管理统一

9、身份管控统一身份管控】基础网络基础网络 【主干通讯防主干通讯防DDOS攻击攻击内网安全策略加固内网安全策略加固】关键应用（关键应用（web）【业务业务web 安全策略加固安全策略加固核心数据库监控核心数据库监控】复制复制PDCA模型模型战术层面战术层面计划行动计划行动第三方第三方认证认证外部认证外部认证【自定自定】基础支撑层基础支撑保障与控制密钥服务管理时钟服务管理强身份认证设备运维管理设备运维审计基础网络层网络核心安全保障网络监控可视化网络行为分析入侵攻击防护网络性能优化网络访问分区访问控制法规无线网络管理目录服务防护DNS运维管理IPAM管理系统应用层应用系统安全与优化业务应用优化入侵攻击

10、防护数据库安全审计WEB应用防护邮件系统安全系统漏洞评估主机安全加固应用服务管理数据存储优化生产数据层数据安全服务保障内容数据监控应用变更管理文件变更管理配置变更管理内容泄露防护数据层传输加密用户认证授权邮件归档管理安全策略/系统风险服务层运维管理平台合规审计平台风险管理平台信息安全和应用交付领域的IT需求边界接入层边界安全保障与控制接入策略定制入侵攻击防护病毒实时过滤带宽保障控制远程安全接入网络应用加速上网行为管理链路出口管理终端接入控制终端桌面安全移动办公接入目标：以目标：以”风险控制导向风险控制导向”(Risk Focused)(Risk Focused)的企业信息安的企业信息安全架构蓝

11、图全架构蓝图监控机制 Operation弱点侦测机制（项目另立）(Vulnerability Detection)安全事件侦测机制(Incident Detection)事件关联分析 及审计(Event Correlation&Communication)数据信息安全管理体系(Information Security Management System)-信息安全战略、标准、及信息安全资产建立企业经营战略/业务管理需求(Business Strategy/Requirement)数据信息服务管理工具及程序(IT Management Tools And Process)-认证管理、调研管理、变

12、更管理、事件管理数据信息服务技术架构(IT infrastructure)数据信息安全方案(Security Solutions)信息安全管理组织机构(Security Organization)安全风险事后的管理程序(Defective Response Process)预防的管理程序(Proactive Response Process)合规审计程序(Auditing Process)数据安全管理制度 Process技术与架构支持 Enabler前期阶段前期阶段-1风险调研阶段风险调研阶段-2策略建立及策略建立及实施阶段实施阶段-3事后管理及事后管理及审计阶段审计阶段-4安全建设安全建设R

13、oadmapRoadmap子项规划名称Roadmap2013年2016年2017年2014年2015年安全体系建设内网安全加固主干网络DDOS安全加固项目核心商业数据安全加固核心应用防护安全风险管理平台建设项目合规审计管理平台建设项目商业数据安全审计规划在线电子商务渠道架构规划安全规划安全管理体系导入 内部管理系统建设整合业务规划运维基础管控新电子销售渠道建设整合内部合规性建设整合（上市要求）。业务流量监控及故障分析诊断统一身份管控平台基础安全层-运维管理及审计方案运维审计系统的主要功能运维审计系统的主要功能解决方案（非标协议与工具）解决方案（非标协议与工具）HAC+VDH系统部署与应用系统部

14、署与应用17风险终端丢失/遭窃设备接管偷听拦截非授权访问文件系统/数据库未经授权的 访问/活动不可用泄露损坏不可用企业存储未经授权的 访问/活动介质丢失/遭窃泄露损坏不可用应用未经授权的访问/活动多应用的重复登入不可用欺诈泄露基础安全层-统一身份管控方案（4A）【二阶段建议】评估和修复服务iiiiIT 域服服务请务请求管理求管理用户自主工作流，根据工作需要提出访问请求，支持多级审批，自助开通权限用户自助密码管理角色管理角色管理评估、审计及清除访问权限 定义、授予、改造、批准及验证角色模型身份合规身份合规建立企业中央身份库审计，定义/核实策略,验证权限及补救措施合规报告、报表用用户户供供应应 入

15、职及离职账号自动化管理流程建立账号及授权可立即终止访问权限以减少风险网络网络安全层网络安全层-提供最佳安全防护方案提供最佳安全防护方案最佳DDoS 攻击防护能力 防护性能极强：PPS&带宽 DDoS 攻击防护 连接&应用 DDoS 攻击防护 应用导向DoS 攻击防护 NSS Recommended 获得最高推荐级别攻击缓解设备 全面防护网络及应用威胁确保客户服务水平 SLA 秒级快速防护响应 多种防护日志报告，客制化报告，个别用户报告，实时告警维护操作简单有效 随机即提供广泛有效之DDoS防护能力 SOC 安全小组定期更新攻击特征 ERT 应急团队保障防护效果 多维度DDoS防护技术集合一身及

16、管理日志系统整合均大大降低投资成本及运维成本开放API提供最佳整合，保障投资效益Slide 18Slide 19PPS&带宽带宽泛洪攻击泛洪攻击连接连接&应用应用泛洪攻击泛洪攻击应用导向应用导向DoS 攻击攻击 BDoS 基于实时基于实时 行为分析之攻击特征行为分析之攻击特征 SYN 防护防护(基于基于SYN cookies;Web cookies)基于阀值防护基于阀值防护 HTTP&DNS 进阶验证进阶验证 响应技术响应技术基于实时行为分析基于实时行为分析 之攻击特征之攻击特征基于阀值防护基于阀值防护RegEx 特征特征 自动更新自动更新 攻击反制技术攻击反制技术 客制化特征客制化特征 随机

17、即具随机即具备备广泛广泛DDoS 攻攻击击防防护护能力，无需人工介入能力，无需人工介入 秒秒级级快速攻快速攻击击防防护护响响应应网络安全层网络安全层-提供最佳安全防护方案提供最佳安全防护方案网络安全层网络安全层-内部网络安全加固内部网络安全加固按照业务系统规划进行网络安全域梳理，按照业务系统规划进行网络安全域梳理，制定统一的安全访问控制策略，并建立制定统一的安全访问控制策略，并建立访问控制策略合规监控手段访问控制策略合规监控手段Security and Value-Added Business GroupDigital China(China)Limited网络安全层网络安全层-基础网络安全加

18、固基础网络安全加固实时网络攻击监控实时网络攻击监控恶意代码分析恶意代码分析事件分析和关联事件分析和关联合规性报告合规性报告内网风险统一管理内网风险统一管理提供策略管理和报告功能的统一管理控制台 一个控制台实现完整的系统管理 基于角色的应用和Web、邮件和数据泄漏防护控制为内容安全提供统一内容分析，统一平台和统一解决方案 最佳的安全效果，最低的总拥有成本提供无可比拟的可视性和控制力精确地对客户端、群组及其精确地对客户端、群组及其网络行为进行规范网络行为进行规范在过去您需要花多少时间去进行各类事件的统在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉分析以进行计、横向整合与交叉分析以进行梳

19、理梳理各种网络各种网络问题的原因？问题的原因？系统安全加固：风险系统安全加固：风险&合规合规:诊断诊断加固加固管理管理建立系统级的安全基线管理风险建立系统级的安全基线管理风险&合规合规 发现 资产梳理及现状评估 评估 安全漏洞及配置策略审计 管理 针对风险最高优化保护和最大限度地降低成本，消除对关键业务应用程序干扰Vulnerability ManagerPolicy Auditor网络安全层网络安全层-业务流量监控及故障分析业务流量监控及故障分析该方案通过交换机镜像流量，采集业务系统相关的应用数据流量。该采集方式，仅对交换机产生轻微的负载，完全不影响应用。可监控应用的各个环节的运行性能状态，

20、包括负载均衡、WEB服务器、应用中间件、数据库服务器。在不安装探针的情况下在不安装探针的情况下:在应用内部安装探针在应用内部安装探针:可监控及分析应用内部的运行状态，如方法调用、JDBC、内存泄漏。该方式需要在应用服务器内部安装软件探针，所以会对应用的性能产生一定影响。负载均衡机 Web中间件数据库网络质量SQL执行文档各渠道、区域用户体验业务交易监控机故障域快速定位方案能力方案能力 方案提供的解决方案为 软硬一体化解决方案，设备内预置操作系统、数据库、应用软件，设备出厂时即完成所有预设配置，真正做到开箱即用。设备提供Web、客户端、命令行等多种管理方式，界面友好、直观，配置简单。全球领先的业

21、务流量监控及分析系统Executive dashboard of real-time application performance方案方案的核心价值的核心价值理由理由关键收益关键收益1专用的软硬一体化应用性能监控解决方案稳定、高效、易使用2核心应用的应用性能监控，制定合理的报警，主动运维，减少客户投诉提高用户的使用体验以及满意度3核心应用的用户体验监控，实时掌握各分支机构的用户使用状况提高用户的使用体验以及满意度4智能报警，故障数据回放，确定故障的原因提前发现系统存在的潜在应用性能问题，在用户投诉前分析及解决 避免被动式的运维方式5数据现场的回放，确定用户投诉的原因准确、快速的定位故障原因及

22、时解决用户投诉的问题6快速发现出现性能问题的区域和应用监控覆盖面广、可提前预警7监控面覆盖面广、涵盖影响应用性能的所有可能性全面、准确、及时的解决问题应用服务层应用服务层-关键应用（快递）的应用级防护关键应用（快递）的应用级防护合规性审计报告合规性审计报告针对业务系统的安针对业务系统的安全防护策略定制全防护策略定制现代企业普遍存在商业数据安全需求现代企业普遍存在商业数据安全需求对企业关键数据信息系统的访问、修改进行全面审计，出现事件，可找到问题和源头。对于大型企业的核心业务系统，需要能够审计到最终用户避免数据误操作和误修改造成的影响。防止关键数据违规泄露和篡改的事件的发生。防止针对数据库安全漏

23、洞造成的安全事件。提供专业的审计报告支持。大规模部署和集中管理的支持。1/16/06UsersNeoaccel sslvpn F5 链路负载均衡 InternetISPISPISP1ISP2Bluecoat SG网关网关 BlueCoat SG网关网关 Firewalls BIG-IP 服务器负载均衡服务器负载均衡ISPImperva WEB防防护护网关网关RouterRouterRouterRouterF5 WEB客户端加速客户端加速DatabaseApplicationServersBlade ServersWeb ServersNeoaccel ssl vpnf5 广域网容灾广域网容灾S

24、SL VPNDMZDMZ F5广域网容灾广域网容灾DMZ Firewalls Firewalls 主数据中心主数据中心移动办公移动办公分部分部备份数据中心备份数据中心F5 链路负载均衡链路负载均衡F5 BIG-IP 服务器负载均衡服务器负载均衡Bluecoat SG网关网关Imperva 数据数据库审计库审计日志审计管理日志审计管理TippingPoint 入侵防御入侵防御TippingPoint 入侵防御入侵防御电子商务安全优化方案结构图最终提交建设目标最终提交建设目标【本次标的范围本次标的范围】整体的安全管理架构 安全小组（组织架构）安全系统防护框架建议 安全方案实施落地 统一的安全策略

25、运维操作安全策略 网络安全应急策略 内网管理安全策略 核心数据操作安全策略 办公网安全策略 统一的安全审计管理 安全事件处理流程 安全监控与审计管理流程服务能力服务能力-安全服务安全服务2022-7-1432应急响应应急响应项目技术支项目技术支持持安全培训安全培训安全制度建安全制度建立立安全加固安全加固安全评估安全评估规划设计规划设计安全咨询安全咨询安全培训安全培训依据角色，提供多层次的理论和实践操作培训。帮助用户应对各种安全突发事件，提供紧急事件解决方案。应急响应应急响应安全制度建立安全制度建立遵循PDCA模型，通过需求分析、风险评估、风险处理、等各种技术手段为用户提供信息安全管理体系建设服

26、务。安全咨询安全咨询从用户战略出发，为用户制定信息安全整体发展规划、安全建设纲要、安全总则等战略性的指导文档，全面指导用户信息化安全建设。项目技术支持项目技术支持为用户提供基于安全产品产品的安装调试，产品后续技术支持服务。安全评估安全评估为用户提供包括业务目标及需求访谈调查、信息安全风险的评估与差异分析、建立信息安全政策等安全评估服务。规划设计规划设计为用户提供完善的信息安全架构设计服务，再安全策略、规范、管理流程方面分析提取安全保密的需求，同事通过定义合适的信息安全程序，为客户量身灯座信息安全解决方案，协助客户贯彻执行信息安全规范与信息安全标准。安全加固安全加固通过良性入侵检测和第三方工具，

27、对客户网络、平台、数据库及应用程序等进行检测或审计，并结合企业现行的网络架构、系统架构、数据架构、应用架构，乃至系统运营和实体环境，提出系统加固建议方案。安全服务安全服务十载十载的行业的行业经验经验与与服务服务能力，形成规范的经营能力，形成规范的经营管理程序与运作机制；管理程序与运作机制；成熟的产品序列与广泛的行业客户群体成熟的产品序列与广泛的行业客户群体，形成，形成完备的服务管理流程与质量保证体系。现有行完备的服务管理流程与质量保证体系。现有行业拥有稳定的优质客户、较大市场份额；业拥有稳定的优质客户、较大市场份额；强大的客户服务能力强大的客户服务能力1、全国、全国3大技术支持中心大技术支持中

28、心2、EMC/F5/paloalto/HP/CA厂商认证的服务中心厂商认证的服务中心（全国（全国4个备件库）个备件库）3、近、近80名各类技术专家、通过多达名各类技术专家、通过多达14个厂商的全个厂商的全球各类认证球各类认证4、具有安全专家团队，、具有安全专家团队，3名名cisp、2名名cissp、4名名PMP、7名名CCIE、3名名CCSE、3名名ACE、10名名F5SE5、数据管理团队，、数据管理团队，EMC专家专家13名、昆腾认证工程名、昆腾认证工程师师3名名6、虚拟化团队，、虚拟化团队，VCE认证工程师认证工程师2名、名、vmware认认证工程师证工程师7名、名、ctrix认证工程师认

29、证工程师3名名为为XXXX定制的安全服务定制的安全服务安全服务细项安全服务细项物理安全物理安全网络安全网络安全物理安全物理安全逻辑安全逻辑安全系统安全系统安全应用安全应用安全紧急紧急事件事件响应响应网络层安全风险监控、出风险管理报告并解决隐患（月）网络层安全风险监控、出风险管理报告并解决隐患（月）系统层漏洞扫描，出系统漏洞报告（季）系统层漏洞扫描，出系统漏洞报告（季）参加客户端的安全管理会议，提供安全组织建设建议参加客户端的安全管理会议，提供安全组织建设建议 入口攻击流量分析及问题解决入口攻击流量分析及问题解决安全事件应急服务，安全事件应急服务，2 2小时到现场小时到现场业务系统监控及隐患分析报告（月、未来）业务系统监控及隐患分析报告（月、未来）谢 谢 !演讲完毕，谢谢观看！