构建健康的信息安全环境.pptx

1、构建一个健康的信息安全环境高级咨询顾问：贾强议程安全热点透视怎样构建健康的信息安全环境？Web应用安全立体服务内网威胁应急响应管理服务神州数码的优势安全事件一：SONY：北京时间5月24日消息，据国外媒体报道，索尼周一表示，4月份发生的黑客攻击PlayStation Network（PSN）事件将给公司造成1.71亿美元损失。攻击事件已促使该公司于4月20日和5月2日分别关闭了旗下的PlayStation Network和Sony Online Entertainment。，大约有1亿多用户帐户的个人资料被窃，包括用户名、密码和联系地址等。黑客攻击不需要理由：商业利益驱动、技术炫耀、恶作剧、报

2、复安全事件二：EMC2011年3月，世界知名产品供应商EMC的高度机密内部数据库在黑客攻击下暴露无遗。黑客采用钓鱼邮件攻击方式，内含“零日漏洞”，远程控制了内网终端。盗取用户信息。道高一尺、魔高一丈，安全永远是动态建设的过程。再好的技术也会存在漏洞，只是时间的长短而已安全事件三：英国税务海关总署英国税务海关总署2007年11月，英国税务海关总署(Revenue&Customs)丢失了多张光盘，里面存有2500万英国公民的姓名、地址等个人信息。2006年，美国退伍军人事务部也曾发生过类似事件，一台存有2650万美国退伍军人社保号码的笔记本电脑失窃。获取大量敏感数据有时并不需要进行高科技网络攻击；

3、安全威胁防不胜防，安全防护方方面面，安全意识，严格的安全管理制度，安全培训信息系统面临的威胁（一）IDC分析报告信息系统面临的威胁（二）网站及在线Web应用（B/S）的重要性网站或基于Web的在线应用系统（B/S架构）承担重要信息发布、商务应用等业务常见WEB应用攻击影响分析网页木马：直接控制网站主机或者借此攻击访问者客户端SQL注入漏洞：数据库信息窃取、篡改、删除Cookie注入：数据库信息窃取、篡改、删除，控制服务器跨站脚本漏洞：用户证书、网站信息、用户信息被盗缓冲区溢出：攻陷和控制服务器表单绕过漏洞：攻击者访问禁止访问的目录文件上传漏洞：主页篡改、数据损坏和传播木马文件包含漏洞：服务器信

4、息窃取、攻陷和控制服务器企业的安全挑战与企业自身战略发展匹配的信息安全发展规划符合行业和国家/国际的标准，提高市场竞争力全员的安全风险意识培养缺乏专业的安全维护人员信息化应用逐渐增多和复杂内网管理繁杂，缺乏辅助工具面对复杂的安全威胁，怎样构建一个健康的安全环境？我的安全隐患是什么？哪些是我的安全防护重点？采用什么样安全解决方案？安全制度怎样建立？何种安全理论指导？法律法规遵循构建健康的信息安全网络环境构建健康的信息安全网络环境信息安全功能框架三分技术三分技术七分管理七分管理安全建设过程周期1 1、风险、风险、风险、风险评估评估评估评估安全咨询安全评估2 2、设计、设计、设计、设计安全里程碑安全

5、里程碑安全里程碑安全里程碑安全规划3 3、制定实施、制定实施、制定实施、制定实施方案方案方案方案数据安全内网安全应用安全物理安全安全加固服务安全外包服务4 4、培训、培训、培训、培训安全管理培训安全技能培训5 5、安全运维监控、安全运维监控、安全运维监控、安全运维监控/审计审计审计审计安全运维/安全监控Web审计网络行为审计内网审计数据库审计主机审计邮件审计账户审计6 6、入侵响应和恢复、入侵响应和恢复、入侵响应和恢复、入侵响应和恢复安全响应数据恢复7 7、策略、标准和、策略、标准和、策略、标准和、策略、标准和过程过程过程过程安全管理法规遵循法规遵循，理论指导国家对上市公司的信息安全建设和要求

6、企业内部控制配套指引、企业内部控制基本规范、等级保护十二五规划关于信息安全内容“十二五”规划首次将“加强网络与信息安全保障”作为重要的一个章节突出，充分显示了国家对信息安全的重视。“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广，加强信息网络监测、管控能力建设，确保基础信息网络和重点信息系统安全。加强互联网管理，确保国家网络与信息安全。”ISO17799信息安全管理实施指南ISO/IEC27001信息安全管理体系要求项目建设项目建设安全管理安全管理安全风险安全风险管理管理安全运行安全运行维护维护

7、安全体系安全体系的建设的建设制定部门级体系制定部门级体系制定总体制定总体安全体系安全体系按要求开展工作按要求开展工作安全目标安全目标安全要求安全要求提出安全提出安全规范、要求规范、要求根据要求根据要求评估建设评估建设跟踪、定期审核跟踪、定期审核安全建设工作安全建设工作按要求进行按要求进行安全建设工作安全建设工作申请立项申请立项提供项目安全说明提供项目安全说明弱点评估弱点评估系统加固系统加固安全事件处理安全事件处理按要求进行按要求进行建设建设紧急处理操作紧急处理操作定期评估定期评估安全现状安全现状监控、审计监控、审计安全现状安全现状安全预警安全预警提出规范、要求提出规范、要求设备安全维护设备安全

8、维护系统安全维护系统安全维护考核和检查考核和检查落实规范、要求落实规范、要求制定运维作业计划制定运维作业计划高级培训高级培训中级培训中级培训初级培训初级培训安全人才培养安全人才培养根据岗位与工作内容划分三个级别根据岗位与工作内容划分三个级别神州数码的安全建设理念安全的关注点从深度转向广度；安全的平常化周期性、常态化、制度化；安全的易用性手段清，效果明；WEB应用安全立体服务应用安全立体服务应用安全生命周期服务内容开发测试上线运维立体监护统一防护1.应用安全评估系统Web应用程序源代码检测Web应用漏洞深度扫描评估自动化渗透测试功能网页挂马、暗链检测与分析网页关键字检测与定位2.Web安全“云”

9、监控中心脆弱性监测1.网站SQL注入监测2.网站XSS跨站脚本监测3.网站CSRF漏洞监测4.网站配置错误监测5.网站WEB后门监测6.网站应用漏洞监测内容安全监测1.网站页面挂马监测2.网站页面嵌入隐藏链接监测3.网站页面变更及篡改监测4.网站页面关键词监测5.网站ICP备案监测6.信息泄漏监测网站可用性监测1.网站首页访问速度监测2.网站是否被屏蔽监测3.网站应用状态监测4.网站ping响应时间监测云安全监控中心3.Web安全防护-云防火墙数百上千台服务构建的数百上千台服务构建的防护集群；部署在互联防护集群；部署在互联网上为数十万网站提供网上为数十万网站提供在线租赁式防护服务在线租赁式防护

10、服务A.Com真实主机A.Com域名1 A.com网站管理员修改域名指向云防火墙IP2 A.Com网站管理员登陆云防火墙配置后端真实主机地址和防护策略3 用户访问A.com实际访问的是云防火墙4 所有用户提交数据均经过严格检查，安全的请求才放行给真实网站服务器Web安全动态防护内网威胁应急响应管理服务内网威胁应急响应管理服务 -威胁快速定位、审计追踪、分秒级响应控制威胁快速定位、审计追踪、分秒级响应控制应急响应系统内部网络自己的内部网络自己的“110”系统：系统：宗旨：报警-隔离-处理目标：缩短响应控制时间，降低用户损失网络设备集中管理设备端口流量管理安全事件应急响应管理网络IP地址资源管理设

11、备端口下联定位检测系统定位系统隔离系统安全事件收集系统内网威胁应急响应管理服务拓扑管理自动拓扑，可视化定位及管理神州数码的优势神州数码的优势金融行业金融行业政府及公共事业政府及公共事业互联网等行业互联网等行业服务产品服务产品解决方案解决方案为客户提供基于端到端IT基础设施服务的专业解决方案和服务产品覆盖覆盖IT全生命周期的锐行服务全生命周期的锐行服务IT规划期规划期IT基础基础设施建设设施建设IT运维期运维期咨咨询服服务咨咨询服服务咨咨询服服务咨咨询服服务咨询服务咨询服务系统测系统测试服务试服务运营外运营外包服务包服务维保服务维保服务培训服务培训服务专业服务专业服务集成能力集成能力交付能力交付

12、能力服务产品及解决方案能力服务产品及解决方案能力能力支撑能力支撑电信行业电信行业覆盖覆盖IT全生命周期的锐行服务全生命周期的锐行服务分布在全国三个大区、十九个平台、十余个办事处的技术工程师随时为您待命。承诺全国承诺全国31个省会城市个省会城市2小时响应；小时响应；700余名工程师80%获得IBM、Cisco、HP、SUN、Microsoft、Oracle、PMI（PMP）、EXIN（ITIL）等近50家主流IT厂商的中高级技术和管理认证；信息安全资质：CISSP、CISP、27001LA、CISA、CCSE、CCIE 信息安全咨询服务客户：九牧集团、首都数字图书馆、宁夏地税、澳门彩票、合肥国元信息安全培训服务客户：国务院办公厅、国家税务总局、中航信、河南国务院办公厅、国家税务总局、中航信、河南移动、上海移动、浙江移动、中国电信、中国人民银行、中国人民解放移动、上海移动、浙江移动、中国电信、中国人民银行、中国人民解放军军X部队、中国石化集团、中国石油集团、国家保密局、国家电网、中部队、中国石化集团、中国石油集团、国家保密局、国家电网、中国船舶集团国船舶集团遍布全国的服务体系遍布全国的服务体系讨论全面、专业、可靠、信任!