搜索
AnkkiConfidential目录•安全现状及挑战•第一期整体安全解决方案规划•未来安全解决方案展望KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page3安全已经不仅是技术问题正在转向经济获益,且愈演愈烈;安全威胁正变得越来越难以检测和消除安全威胁的严重程度1990199520002005经济安全威胁:经济盗窃和破坏中期安全威胁:病毒和恶意软件早期安全威胁:基本的入侵和网络病毒20072010KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page4企业内控的发展历史巴塞尔协议19881992COSO内控框架安然、安达信丑闻曝光2001.82001.12世通丑闻曝光1996COBIT控制框架2002.7萨班斯法案颁布2004.6新巴塞尔协议2004.9COSOERM框架2004.12中航油事件曝光2006.6金融工具与交易法颁布2006.6上交所内控指引2006.6中央企业全面风险管理指引2006.9深交所内控指引2007.7商业银行内控指引2008.6企业内部控制基本规范2006.7企业内部控制标准委员会成立KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page5企业成长与信息技术经营扩张业务以客户为中心,分散化支撑部门强调专业,集中化客户地域分布多样化供应商,合作伙伴全球化ERP、DRP、CRM流程平台Email,OA系统知识管理系统VoIP,视频会议数据中心,呼叫客服中心信息技术KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page6XXX公司信息系统面临的挑战需要为多种复杂应用提供方便、快捷的远程访问接入随时随地可以访问公司内部业务系统:DRP、ERP、OA…移动便携机满足出差人员外出办公合作伙伴等外来计算机需要接入公司网络需要控制由访问范围扩展、访问环境复杂化所带来的安全风险非授权访问网络滥用外部或分支机构访问公司业务信息可能导致的信息泄密便携机外出办公可能导致的信息泄密公司内部网络在邮件外发或者USB等移动存贮设备导致的信息泄密公司核心业务系统的安全保障核心业务数据的灾备核心业务系统的入侵防护WEB及数据库安全防护网络及信息安全制度,保证公司IT系统安全运行目录•安全现状及挑战•第一期整体安全解决方案规划•未来安全解决方案展望KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page8方案综述防火墙分支机构合作伙伴IPSecVPNSoHo用户防火墙+VPN防火墙+VPNADSLADLS拨号销售部研发区域财务区域对外服务区安全域隔离分支机构、移动终端、SOHU用户VPN接入办公电脑和便携机终端接入控制及行为管控重要数据防泄密控制KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page9网络拓扑_改造前KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page10网络拓扑_改造后:网络出口防火墙保护、划分安全域隔离、分支及移动便携、sohu接入终端VPN控制InternetKingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page11业务系统安全域隔离解决方案面临问题:如何实现不同安全等级部门及外部共享区的隔离,提高系统的安全性解决方案划分不同的业务IP网段,,保证各业务系统区域之间的访问控制,划分为销售,研发,财务等部门移动办公用户通过用户名进行部门区分,动态分配所属区域IP地址将Web网站,,文件,邮件服务器部署在防火墙的DMZ区域,提供对外访问在总部使用专业防火墙实现业务系统的安全域隔离,在分支机构采用分支防火墙保证分支机构的安全总部专业防火墙需新购买,同时将10M专线和ADSL上internet两个出口管理起来,目前还有一台sonicwallTZ170防火墙可以放到分厂或大分支机构使用,在分厂和大的分支机构需新购买小型分支防火墙。分支机构A研发部区域销售部区域财务部区域分支机构B分支机构C专业防火墙M5100AC邮件服务器网站服务器KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page12移动办公/SOHU接入安全解决方案面临问题出差人员需要便携机接入公司网络,有些工作人员需要在家或宾馆利用外部电脑接入公司网络,如何保证公司核心机密信息的泄露?解决方案借用公司便携机出差人员安装IPSECVPN客户端接入公司网络,并同时配发软Token软件甚至硬TOKEN卡加强身份验证安全性;Sohu接入公司网络人员,通过SSLVPN接入公司,无需安装客户端,保证公司业务安全;机构总部Internet远程维护出差移动办公SecurID数字证书USBKey专业防火墙SOHOKingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page13分支机构VPN互联Internet远程办公采购部合作伙伴分支机构IPSecVPNIPSECVPN销售部财务部IDS…FWMA5100ACSW明文FW分支VPN面临问题分支机构需要接入到总部ERP、DRP、OA系统,如何保证网络传输中的信息安全?解决方案某些大的分支机构需要使用硬件VPN网关接入到总部,如上海、北京;小的办事处/分支机构使用软VPN接入到公司网络;目前总部和分厂已经使用VPN互联,需要扩容,解决某些分支机构没有通过VPN联入公司的漏洞KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page14终端接入及行为管控安全方案需要解决的问题需要对接入公司网络的身份、合规性就行验证,防止外来人员接入网络,防止计算机软件不合规引发网络故障,知识产权泄露;对接入网络的终端上网行为就行管控,提高工作效率,防止信息通过移动存贮介质、即时通讯软件、WEB、EMAIL等途径泄露公司核心机密;资产管理;解决方案公司目前已经使用IP-Guard软件对部分电脑终端进行管控,需要补充移动终端的控制,增加license数,并且要使用接入控制功能。不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求企业网络动态授权合格用户不同用户享做不同的网络使用权限KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page15数据防泄露方案--总体需求目前存在的主要威胁便携机移动办公存在很大的泄密风险SOHU(在家、宾馆。。。)方式接入公司核心业务系统存在泄密风险机密数据如成本、定单等在公司内部没有严格控制存在泄密风险移动存贮介质存在泄密风险邮件、即时通讯、网页上传等文件外发存在泄密风险泄密途径需求归纳KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page16数据防泄露方案-重要数据集中加密控制管理员DRP/ERP文件服务器将核心业务系统的相关数据到处潜移到共享文件服务器加密保存财务、采购其它需要相关信息授权的管理者、职员解决方案将核心业务系统权限就行隔离,只有最必须的财务采购人员才能够直接访问DRP、ERP系统某些数据必须共享给公司研发、销售等部门,则通过管理员将数据导出到文件服务器,进入文件服务器的文件全部加密控制,只有拥有帐号的人员才能在线访问,不能复制、粘贴到本地文件,也不能拷屏,下载到本地的文件是加密的,有效防止泄露;但是本地其它文件不加密,方便部门间和对外交流KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page17数据防泄露方案-便携机控制移动存储网络邮件聊天工具网络论坛各种外设乱码解密申请使用禁用启用外发审计明文加密工作区网络邮件普通工作区聊天工具各种外设移动存贮解决方案便携机分成两个工作区,加密工作区和普通工作区加密工作区可以接入公司业务系统,但是对网络应用权限、文件外发、外设严格控制,文件外发或者拷贝需申请才能够外发普通工作区是为了方便外出或者普通文档交流的需要,在此工作区可以不申请将文件外发或者拷贝对某些工作部门甚至可以取消普通工作区,根据申请人员实际情况选择策略KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page18数据防泄露方案-Sohu办公机构总部InternetSecurID数字证书USBKey专业防火墙SOHO在家或者在宾馆办公,要求必须通过SSLVPN客户端才能接入公司业务系统,外部访问的人数限制到最小可能对拥有业务系统帐号的人员区分内外帐号访问的权限,在外网访问时限制访问的内容及文件导出权限、文件打印权限,只能处理事务性流程;有些ERP系统不能实现同一个账户在不同网址的不同权限控制,这时需给职员分配内外两个不同的帐号,区分访问权限。KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page19重要数据防泄露方案--内部文件流转控制在公司内部通过OA或者企业邮箱,文件共享等方式交流文档也要进行分级权限控制。通过信息安全制度的宣传及信息安全专员的审计,要求公司内部对涉及相应密级的文档使用权限管理系统加密并设置其它同事对文档的权限,控制在内部信息不受控的传播。灵活分级权限管理文档安全管理流程目录•安全现状及挑战•第一期整体安全解决方案规划•未来安全解决方案展望KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page21•ME1监督和评价IT绩效•ME2监督和评价内部控制•ME3确保法规遵从•ME4提供IT治理•DS1定义和管理服务水平•DS2管理第三方服务•DS3管理性能与容量•DS4确保服务的连续性•DS5确保系统安全•DS6确定并分配费用•DS7教育并培训使用者•DS8服务台与事件管理•DS9配置管理•DS10问题管理•DS11数据管理•DS12运营环境管理•DS13运营管理•AI1定义自动化解决方案•AI2获取并维护应用软件•AI3获取并维护技术基础设施•AI4保障运营和使用•AI5获取IT资源•AI6变革管理•AI7安装、授权解决方案和变更•PO1定义IT战略规划•PO2定义信息体系结构•PO3确定技术方向•PO4定义IT流程,组织和关系•PO5管理IT投资•PO6传达管理目标和方向•PO7管理IT人力资源•PO8质量管理•PO9评估和管理IT风险•PO10项目管理信息安全控制模型•应用软件•信息•基础架构•人员IT资源交付与支持监控和评价获取与实施规划和组织信息治理目标企业目标CoBIT•效果•效率•保密性•完整性•可用性•合规性•可靠性KingthinkConfidentialAnkkiConfidentialAnkki昂楷科技Page22信息系统控制关键环节信息系统控制的关键环节•信息系统岗位设置与职责分离•IT规划的制定与审批•重要信息系统政策的制定与审批•信息系统的归口管理财务部门职责业务部门职责管理层职责系统开发、变更与维护控制•系统开发方式•系统开发原则•系统开发流程和组织管理•系统和数据转换•系统测试•变更管理•采用预防性措施确保系统的持续运行岗位分工与授权审批信息系统的可靠性、稳定性、安全性及数据的完整性和准确性系统访问安全硬件管理会计电算化及其控制•制定安全策略、制度和流程•身份管理•帐号管理•对第三方的控制•设备的安全管理•病毒防护•信息资产的分类管理•数据备份•制定灾难恢复计划•制定硬件管理制度•