企业信息化安全、优化规划建设(制造业)

企业信息化安全、优化规划建设Enjoywork，enjoylife数据中心IT创新IT投入:核心应用网络主机存储优化与安全新应用部署周期由数周变为几分钟服务器的系统漏洞网络攻击更高的可靠性提高服务等级安全及优化池网络池计算池存储池专业化服务政策目标背景国内《企业内部控制基本规范》-中国塞班斯《上市公司管理规范》中对信息化的要求《企业信息化安全等级保护条例》国外塞班斯法案要求香港联交所上市公司合规要求特定行业合规要求（HIPAA/PCI/BASIL）行业。。。。。。Enjoywork，enjoylife企业的业务发展面临安全威胁挑战Enjoywork，enjoylife风险保障业务保障问题:应用的安全与优化能力不足（面对众多应用）新的安全漏洞部署防火墙好像大家都用IDS终端安全要牢记！设备运维监控网络性能Application应用关注业务逻辑和功能传统网络关注连通网络运维应用开发人员?安全审计安全？性能？传统安全关注IT主管说：请你们告诉我现在我们企业的信息化系统的风险状况、我们到底安全不安全？老板说：请你们告诉我为什么现在业务部门反映的业务系统性能有问题，客户经常投诉？有没有办法解决双刃剑-近年安全事件风险分析Enjoywork，enjoylife企业信息化投资对策Enjoywork，enjoylife集中化通过机房建设，防错机房的整合，实现核心机房的集中化，从而为服务器、网络、应用、存储备份、监控集中化提供基础，提高系统运作效率，降低运维成本。平台化安全化高可靠性自动化监控能力提升通过平台建设，引入成熟、可靠、先进的IT技术，提高业务系统的可靠性。构建四大平台：服务器平台、应用平台、安全平台、存储备份平台。基于四大平台，增强各种应用的可扩展性及安全性，保证业务稳定运行。构建统一的ECC监控中心，实现对服务器、网络、桌面、机房环境等的自动化监控管理。通过信息安全方针、政策及流程的完善，网络安全架构的合理规划，构建一个可扩展的、有前瞻性的安全平台，保证业务稳定运行。通过优化应用系统的软件架构，并结合INFRA基础设施的能力提升，为各领域的能力提升提供基础，从而保障业务系统的高效率运作。建立信息安全体系保障基础•安全体系的三要素是人、管理（流程）和技术。在人员配备齐整的情况下，技术上做不到的依靠管理，管理做不到的依靠技术。安全防护体系建设内容包括安全队伍、安全技术和安全管理三个方面•参照《ISO27001》对于信息化体系规划建设的模型Enjoywork，enjoylife人员（管理）流程技术安全风险防护规划（组织层面-WHO）8信息风险管理（策略制定）负责人信息安全负责人信息风险管理策略实施（策略执行）负责人策略接受者信息风险管理策略的日常运维（监控）负责人信息风险违规事后审计负责人审计意见反馈流程人事考核CFO/CIO/副总/技术总监？风险管理部专员？IT信息部安全专项负责人？财务部人员？销售部前台？市场部人员？审计部负责人？Enjoywork，enjoylife安全风险防护规划（技术框架层面-HOW）Enjoywork，enjoylife3、网络安全建设4、主机系统安全建设5、应用安全建设6、数据安全建设1、物理安全2、基础安全7、安全管理8、安全审计统一安全管理平台建设安全化方策Enjoywork，enjoylife客户风险统一管理终端统一身份认证部分远程连接的安全接入防火墙策略加固网络安全域划分网络隔离及访问控制系统级安全基线管理办公、邮件系统的综合防护系统运单系统应用级防护与审计管理客户数据安全防范终端数据外泄防护商业邮件数据归档管理网络及支撑网络安全域部署网络准入NACVPN/SSLNetwork终端配置标准化和桌面安全措施统合全面实现终端加入域，WINDOW登录动态认证桌面终端核心数据防护核心数据访问控制终端数据安全防护邮件归档管理核心数据AppAppE-HR系统及应用邮件统一管理平台客户管理系统保护快递运单系统应用保护目标对策安全管理体系未知dmd安全组织安全方针/手册安全标准/流程建立简单、易用、可审计的安全架构体系，实现安全策略的标准化和流程化，强化安全事件的集中监控和处理Enjoywork，enjoylife安全风险防护规划（管理层面-WHAT）定义目标范围边界参照《ISO27001》对于信息化体系规划建设的模型定义任务书现状调研组织架构安全培训公司层面确定目标基础层安全建设【运维管理统一身份管控】基础网络【主干通讯防DDOS攻击内网安全策略加固】关键应用（web）【业务web安全策略加固核心数据库监控】复制PDCA模型战术层面计划行动第三方认证外部认证【自定】基础支撑层基础支撑保障与控制•密钥服务管理•时钟服务管理•强身份认证•设备运维管理•设备运维审计基础网络层网络核心安全保障•网络监控可视化•网络行为分析•入侵攻击防护•网络性能优化•网络访问分区•访问控制法规•无线网络管理目录服务防护DNS运维管理IPAM管理系统应用层应用系统安全与优化•业务应用优化•入侵攻击防护•数据库安全审计•WEB应用防护•邮件系统安全•系统漏洞评估•主机安全加固•应用服务管理•数据存储优化生产数据层数据安全服务保障•内容数据监控•应用变更管理•文件变更管理•配置变更管理•内容泄露防护•数据层传输加密•用户认证授权•邮件归档管理安全策略/系统风险服务层运维管理平台•合规审计平台•风险管理平台信息安全和应用交付领域的IT需求边界接入层边界安全保障与控制•接入策略定制•入侵攻击防护•病毒实时过滤•带宽保障控制•远程安全接入•网络应用加速•上网行为管理•链路出口管理•终端接入控制•终端桌面安全•移动办公接入目标：以”风险控制导向”(RiskFocused)的企业信息安全架构蓝图Enjoywork，enjoylife监控机制Operation弱点侦测机制（项目另立）(VulnerabilityDetection)安全事件侦测机制(IncidentDetection)事件关联分析及审计(EventCorrelation&Communication)数据信息安全管理体系(InformationSecurityManagementSystem)-信息安全战略、标准、及信息安全资产建立企业经营战略/业务管理需求(BusinessStrategy/Requirement)数据信息服务管理工具及程序(ITManagementToolsAndProcess)-认证管理、调研管理、变更管理、事件管理数据信息服务技术架构(ITinfrastructure)数据信息安全方案(SecuritySolutions)信息安全管理组织机构(SecurityOrganization)安全风险事后的管理程序(DefectiveResponseProcess)预防的管理程序(ProactiveResponseProcess)合规审计程序(AuditingProcess)数据安全管理制度Process技术与架构支持Enabler前期阶段-1风险调研阶段-2策略建立及实施阶段-3事后管理及审计阶段-4安全建设RoadmapEnjoywork，enjoylife子项规划名称Roadmap2013年2016年2017年2014年2015年安全体系建设内网安全加固主干网络DDOS安全加固项目核心商业数据安全加固核心应用防护安全风险管理平台建设项目合规审计管理平台建设项目商业数据安全审计规划在线电子商务渠道架构规划安全规划安全管理体系导入内部管理系统建设整合业务规划运维基础管控新电子销售渠道建设整合内部合规性建设整合（上市要求）。。。。业务流量监控及故障分析诊断统一身份管控平台基础安全层-运维管理及审计方案运维审计系统的主要功能Enjoywork，enjoylife防火墙Windows应用服务器网络设备HAC服务器区VDH运行维护人员①②③④⑤⑥LANWeb服务器数据库服务器Unix服务器解决方案（非标协议与工具）HAC+VDH系统部署与应用Enjoywork，enjoylife17风险终端丢失/遭窃设备接管偷听拦截非授权访问文件系统/数据库未经授权的访问/活动不可用泄露损坏不可用企业存储未经授权的访问/活动介质丢失/遭窃泄露损坏不可用应用未经授权的访问/活动多应用的重复登入不可用欺诈泄露基础安全层-统一身份管控方案（4A）【二阶段建议】评估和修复服务iiiiIT域服务请求管理•用户自主工作流，根据工作需要提出访问请求，支持多级审批，自助开通权限•用户自助密码管理角色管理•评估、审计及清除访问权限•定义、授予、改造、批准及验证角色模型身份合规•建立企业中央身份库•审计，定义/核实策略,验证权限及补救措施•合规报告、报表用户供应•入职及离职账号自动化管理流程•建立账号及授权•可立即终止访问权限以减少风险网络Enjoywork，enjoylife网络安全层-提供最佳安全防护方案•最佳DDoS攻击防护能力–防护性能极强：PPS&带宽DDoS攻击防护–连接&应用DDoS攻击防护–应用导向DoS攻击防护–NSSRecommended获得最高推荐级别攻击缓解设备–全面防护网络及应用威胁•确保客户服务水平SLA–秒级快速防护响应–多种防护日志报告，客制化报告，个别用户报告，实时告警•维护操作简单有效–随机即提供广泛有效之DDoS防护能力–SOC安全小组定期更新攻击特征–ERT应急团队保障防护效果–多维度DDoS防护技术集合一身及管理日志系统整合均大大降低投资成本及运维成本•开放API提供最佳整合，保障投资效益Enjoywork，enjoylifeSlide18Enjoywork，enjoylifeSlide19PPS&带宽泛洪攻击连接&应用泛洪攻击应用导向DoS攻击•BDoS基于实时行为分析之攻击特征•SYN防护(基于SYNcookies;Webcookies)•基于阀值防护•HTTP&DNS进阶验证–响应技术•基于实时行为分析之攻击特征•基于阀值防护•RegEx特征自动更新•攻击反制技术•客制化特征•随机即具备广泛DDoS攻击防护能力，无需人工介入•秒级快速攻击防护响应网络安全层-提供最佳安全防护方案网络安全层-内部网络安全加固Enjoywork，enjoylife按照业务系统规划进行网络安全域梳理，制定统一的安全访问控制策略，并建立访问控制策略合规监控手段SecurityandValue-AddedBusinessGroupDigitalChina(China)Limited网络安全层-基础网络安全加固实时网络攻击监控恶意代码分析事件分析和关联合规性报告Enjoywork，enjoylifeEnjoywork，enjoylife内网风险统一管理•提供策略管理和报告功能的统一管理控制台–一个控制台实现完整的系统管理–基于角色的应用和Web、邮件和数据泄漏防护控制•为内容安全提供统一内容分析，统一平台和统一解决方案–最佳的安全效果，最低的总拥有成本•提供无可比拟的可视性和控制力精确地对客户端、群组及其网络行为进行规范…在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉分析以进行梳理各种网络问题的原因？Enjoywork，enjoylife系统安全加固：风险&合规:诊断加固管理Enjoywork，enjoylife建立系统级的安全基线管理风险&合规•发现–资产梳理及现状评估•评估–安全漏洞及配置策略审计•管理–针对风险最高优化保护和最大限度地降低成本，消除对关键业务应用程序干扰VulnerabilityManagerPolicyAuditor网络安全层-业务流量监控及故障分析该方案通过交换机镜像流量，采集业务系统相关的应用数据流量。该采集方式，仅对交换机产生轻微的负载，完全不影响应用。可监控应用的各个环节的运行性能状态，包括负载均衡、WEB服务器、应用中间件、数据库服务器。在不安装探针的情况下:在应用内部安装探针:可监控及分析应用内部的运行状态，如方法调用、JDBC、内存泄漏。该方式需要在应用