企业信息安全架构全貌.pptx

信息安全技术 信息安全管理 信息安全控制 信息安全服务 信息安全组织 信息安全流程 信息安全方针 信息安全制度 合规需求管理 物理安全 通信安全 操作安全 数据安全 访问控制 人员安全 备份容灾 云安全 应用安全 等级定义 运作控制 技术控制 服务控制 流程控制 资产管理 业务连续性管理 风险评估服务 威胁评估服务 安全情报 安全态势 威胁分析、溯源分析 等级保护测评 安全信息管理 安全事件管理 身份与访问管理服务 基础设施安全管理 应用安全服务 数据安全服务 安全行为捕捉、安全行为分析 数据安全行为分析 应用风险图谱 数据风险图谱 行为风险图谱 公司信息安全现状评估 1.2 综合管理模型 公司信息安全现状评估 1.9 安全能力评估（设备） 基础支撑层 基础环境保障与控制 密钥服务管理（数字证书） 时钟服务管理 强身份认证(IDM/IAM) 设备运维管理（ITSM） 设备运维审计（堡垒机） 合规管理 高等级数据中心 专业认证人士 任职资格 专职运维人员（基础设施） 企业专网（VPN WAN ) 安全区域(生产网络隔离） 基础网络层 网络核心安全保障 网络监控可视化（NOC) 网络行为分析 入侵检测（IDS/IPS) 网络访问分区 (交换机） 访问控制（交换机、防火墙） 无线网络管理(无线ac) DNS运维管理 AD域运维管理 IP资产管理 移动设备安全管理 无线接入分区控制 IT资产管理 系统应用层 应用系统安全与优化 应用安全代理（安全网关） 数据库安全审计 WEB应用防护 (WAF) 邮件服务安全 系统漏洞评估 (漏洞扫描) 主机安全加固 应用安全管理 文档加密（亿赛通） 应用之间隔离保护 数据隔离保护（单数据库） 安全基线管理 应用基线管理 数据基线管理 数据脱敏、加密技术 数据安全威胁分析 生产数据层 数据安全保障 内容数据监控 应用变更管理 涉密数据管理 配置变更管理 数据防泄漏 数据层传输加密 （如HTTPS） 统一身份认证(IAM/IDM) 邮件归档管理（邮件归档系统） 邮件内容过滤保护 用户行为分析 风险识别、风险分析 安全舆情分析 安全动态感知（内网、外网） 合规认证（等保） 合规认证（ISO27001) 数据合规管理（个人信息、隐私保护、重要数据保护、CII保护） 边界接入层 边界安全保障与控制 接入策略定制（防火墙） 入侵攻击防护（IPS） 病毒实时过滤（防毒墙） 带宽保障控制 (Mpls VPN） 远程安全接入 (SSL Vpn) 网络应用加速 (CDN) 上网行为管理 (AC) 链路出口管理 终端接入控制 （联软） 终端桌面安全 （360天擎） 移动办公接入 （无线、802.1X） 移动接入安全（移动设备安全网关） 重要系统隔离保护 安全技术+安全设备 总结： 1、在基础网络、边界安全等方面比较全面 基本满足业务需求 2、在应用安全、应用数据安全、应用行为方面差距很大 3、在安全运营、安全管理类综合系统，数据挖掘、数据展现方面，基于单个系统实现，未能实现集中管理、集中分析、集中展现、集中审查，安全治理能力方面较差 4、人员结构不合理，在人员能力、组织结构方面需要加强 5、工业网、工业控制网在安全管控、安全隔离方面相对较差 有，基础阶段 未深入、未涉及 公司信息安全现状评估 1.10 安全能力评估（技术能力） 已具备能力 仅覆盖部分业务 总结： 1、在通信安全、操作安全、访问控制方面具备一定的管理和控制能力，基本满足运维需求 2、物理安全、应用安全、数据安全、网络接入、业务连续性方面覆盖面、能力方面还需提升和改进 3、需提升访问控制能力的精细能力，细化访问控制的颗粒度，提升应用、数据的控制能力和保护能力 有能力执行不好 公司信息安全现状评估 1.16 安全差距评估 整体评价 整体评估： 1、 在管理制度、网络安全、应用安全、数据安全、终端安全方面已建立相关制度，部署了一些技术手段 2、在行为留痕、事后追溯方面已有一定的能力和经验 3、在权限控制、访问控制等方面存在细节方面的不足 4、事前防御、事中控制方面存在不足 5、在集中管理、集中监控、集中控制、统一管理方面存在不足 6、网络分区保护、数据治理、数据安全治理方面存在不足 7、对标ISO 27001相关要求，我司在信息安全方面，基本达到60-70分水准，基本满足业务需求 8、合规方面，开展了ISO27001和等级保护的初步工作，需在网络安全法的引导下，提升分享安全合规能力，如个人信息保护、APP合规评估、重要数据保护、跨境保护等方面 9、境外合规方面尚未开展工作， 如GDPR，LGDP等 2.4 信息安全业务全貌-车企典型信息安全体系框架 信息安全整体规划 信息安全体系 生产安全 安全建设 安全服务 安全运营 场地安全 人员安全 工控网络安