大型企业信息安全架构及实践信息安全的维护,不再只是IT部门的职责,与企业的营运和生产也息息相关。政企客户事业部Government&EnterpriseCustomerDepartment企业信息安全实践安全专家服务案例和经验共享企业信息安全体系架构企业信息安全的压力和挑战1目录政企客户事业部Government&EnterpriseCustomerDepartment业务业务业务业务IT支撑IT支撑IT支撑IT支撑客户客户企业企业IT技术IT技术客户客户企业企业IT技术IT技术传统业务模式传统业务模式新业务模式新业务模式传统的企业运作模式信息安全仅作为后台数据的保障基本与业务无关的信息安全需求新的安全考虑安全是一个企业整体需求风险评估和企业连续战略都是今天董事会上讨论的话题企业对受过安全培训的人员需求越来越高企业信息安全的压力源由业务模式的变革新的企业运作模式因客户和IT直接连线导致IT和业务流程的汇合安全不是单独的解决方案政企客户事业部Government&EnterpriseCustomerDepartment08年财富1000公司的IT安全关注点调查0%10%20%30%40%50%RightsManagementRiskManagementIDSOutboundContentControlVulnerabilityManagement敏感数据保护访问控制SIEM合规性身份管理数据加密Wave7Wave8Wave9Whatareyourorganization'stopthreeInformationSecurityprojectsinthenext12months?(11/5/07):F1000Sample.Wave7n=85,Wave8n=132,Wave9n=146.*Notethatduetomultipleresponsesperinterview,totalexceeds100%各大公司在安全工作开展一段时间后,已开始关注数据安全身份管理做为安全的基础架构,一直是持续关注的重点政企客户事业部Government&EnterpriseCustomerDepartment企业自身安全之外的合规性要求国信办的《关于开展信息安全风险评估工作的意见》2006年元月《信息安全风险评估指南》、《信息安全风险管理指南》,2006年4月18日正式成为国标,由国家测评中心颁布公安部2004年9月《关于信息安全等级保护工作的实施意见》66号文,等级保护关于全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)安全等级保护国家颁布的安全等级保护技术要求公安部2005年12月颁布《互联网安全保护技术措施规定》82号令美国公众上市公司需要遵循的萨班斯(SarbanesOxley)法案IT治理(ITGovernance)和IT控制框架(ITControlFramework)用户帐号管理和权限管理、保护组织记录、信息系统的安全审计、文档、邮件的归档针对服务组织的要求由美国注册公共会计师协会(AICPA)发起的评估服务组织内部控制和安全措施是否充分的SAS70标准BS7799/ISO27001标准,指导企业以安全风险管理为基础,建立信息系统安全管理系统ISMS政企客户事业部Government&EnterpriseCustomerDepartmentInternet的安全问题专网的安全问题OA的安全问题企业信息安全的压力和挑战的分解从企业应用和网络系统的结构出发,分解企业常见的安全问题:网络资源滥用行为内部资料泄密行为内网管理无依据相关法规合规病毒、木马攻击黑客入侵网络资源滥用行为内部资料泄密行为内网管理无依据相关法规合规病毒、木马攻击黑客入侵应用系统的安全问题与Internet交互的安全隐患提供管理和决策依据(审计)相关法规(SOX、等保)病毒、木马攻击黑客入侵应用系统的安全问题与Internet交互的安全隐患提供管理和决策依据(审计)相关法规(SOX、等保)病毒、木马攻击黑客入侵网站被篡改数据库被攻击窃取邮件无法发送病毒攻击、木马攻击业务连续性的保障(DDOS攻击)相关法规的合规性黑客入侵网站被篡改数据库被攻击窃取邮件无法发送病毒攻击、木马攻击业务连续性的保障(DDOS攻击)相关法规的合规性黑客入侵政企客户事业部Government&EnterpriseCustomerDepartment安全风险业务影响或中断恶意入侵和破坏数据泄漏非法访问灾难性破坏网络可网络可用性用性系统可系统可用性用性数据机数据机密性密性访问的访问的可控性可控性灾难恢灾难恢复能力复能力安全需求解决措施.网络流量监控及DoS服务防护.核心服务器等采用负载均衡和容错备份系统.应用系统安全评估.网站...