企业信息化安全、优化规划建设(制造业)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Security and Value-Added Business Group,Digital China(China)Limited,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Security and Value-Added Business Group,Digital China(China)Limited,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Security and Value-Added Business Group,Digital China(China)Limited,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Security and Value-Added Business Group,Digital China(China)Limited,#,企业信息化安全、优化规划建设,Enjoy work,，,enjoy life,数据中心,IT,创新,IT,投入,:,核心应用,网络,主机,存储,优化与安全,新应用部署周期,由数周变为,几分钟,服务器的系统漏洞,网络攻击,更高的可靠性,提高服务等级,安全及优化池,网络池,应用交付,计算池,存储池,专业化服务,政策目,标,标背景,国内,企业内,部,部控制,基,基本规,范,范-中国塞,班,班斯,上市公,司,司管理,规,规范中对信,息,息化的,要,要求,企业信,息,息化安,全,全等级,保,保护条,例,例,国外,塞班斯,法,法案要,求,求,香港联,交,交所上,市,市公司,合,合规要,求,求,特定行,业,业合规,要,要求（HIPAA/PCI,/,/BASIL）,行业,。,。,。,Enjoywork，enjoylife,企业的,业,业务发,展,展面临,安,安全威,胁,胁挑战,Enjoywork，enjoylife,风险保,障,障,业务保,障,障,问题:应用的,安,安全与,优,优化能,力,力不足,（,（面对,众,众多应,用,用）,新的安,全,全漏洞,部署防,火,火墙,好像大,家,家都用IDS,终端安,全,全要牢,记,记！,设备运,维,维监控,网络性,能,能,Application,应用关,注,注业务,逻,逻辑和,功,功能,传统网,络,络关注,连,连通,网络运,维,维,应用开,发,发人员,?,安全审,计,计,安全？,性能？,传统安,全,全关注IT,主管说,：,：,请你们,告,告诉我,现,现在我,们,们企业,的,的信息,化,化系统,的,的风险,状,状况、,我,我们到,底,底安全,不,不安全,？,？,老板说,：,：,请你们,告,告诉我,为,为什么,现,现在业,务,务部门,反,反映的,业,业务系,统,统性能,有,有问题,，,，客户,经,经常投,诉,诉？有,没,没有办,法,法解决,双刃剑-近年安,全,全事件,风,风险分,析,析,Enjoywork，enjoylife,企业信,息,息化投,资,资对策,Enjoywork，enjoylife,集中化,通过机,房,房建设,，,，防错,机,机房的,整,整合，,实,实现核,心,心机房,的,的集中,化,化，从,而,而为服,务,务器、,网,网络、,应,应用、,存,存储备,份,份、监,控,控集中,化,化提供,基,基础，,提,提高系,统,统运作,效,效率，,降,降低运,维,维成本,。,。,平台化,安全化,高可靠,性,性,自动化,监,监控,能力提,升,升,通过平,台,台建设,，,，引入,成,成熟、,可,可靠、,先,先进的IT技术，,提,提高业,务,务系统,的,的可靠,性,性。,构建四,大,大平台,：,：服务,器,器平台,、,、应用,平,平台、,安,安全平,台,台、存,储,储备份,平,平台。,基,基于四,大,大平台,，,，增强,各,各种应,用,用的可,扩,扩展性,及,及安全,性,性，保,证,证业务,稳,稳定运,行,行。,构建统,一,一的ECC监控中,心,心，实,现,现对服,务,务器、,网,网络、,桌,桌面、,机,机房环,境,境等的,自,自动化,监,监控管,理,理。,通过信,息,息安全,方,方针、,政,政策及,流,流程的,完,完善，,网,网络安,全,全架构,的,的合理,规,规划，,构,构建一,个,个可扩,展,展的、,有,有前瞻,性,性的安,全,全平台,，,，保证,业,业务稳,定,定运行,。,。,通过优,化,化应用,系,系统的,软,软件架,构,构，并,结,结合INFRA基础设,施,施的能,力,力提升,，,，为各,领,领域的,能,能力提,升,升提供,基,基础，,从,从而保,障,障业务,系,系统的,高,高效率,运,运作。,建立信,息,息安全,体,体系保,障,障基础,安全体,系,系的三,要,要素是,人,人、管,理,理（流,程,程）和,技,技术。,在,在人员,配,配备齐,整,整的情,况,况下，,技,技术上,做,做不到,的,的依靠,管,管理，,管,管理做,不,不到的,依,依靠技,术,术。安,全,全防护,体,体系建,设,设内容,包,包括安,全,全队伍,、,、安全,技,技术和,安,安全管,理,理三个,方,方面,参照ISO27001,对于信,息,息化体,系,系规划,建,建设的,模,模型,Enjoywork，enjoylife,人员,（管理,）,）流程,技术,组织、,角,角色、,职,职责,业务流,程,程、制,度,度,实现目,标,标的,技术手,段,段,安全风,险,险防护,规,规划（,组,组织层,面,面-WHO）,8,信息风,险,险管理,（,（策略,制,制定）,负,负责人,信息安,全,全负责,人,人,信息风,险,险管理,策,策略实,施,施（策,略,略执行,）,）负责,人,人,策略接,受,受者,信息风,险,险管理,策,策略的,日,日常运,维,维（监,控,控）负,责,责人,信息风,险,险违规,事,事后审,计,计负责,人,人,审计意,见,见,反馈流,程,程,人事考,核,核,CFO,/,/CIO/副总/技术总,监,监？,风险管,理,理部专,员,员？,IT信息部,安全专,项,项负责,人,人？,财务部,人,人员？,销售部,前,前台？,市场部,人,人员？,审计部,负,负责人,？,？,Enjoywork，enjoylife,安全风,险,险防护,规,规划（,技,技术框,架,架层面-HOW）,Enjoywork，enjoylife,3、网络,安,安全建,设,设,4、主机,系,系统安,全,全建设,5、应用,安,安全建,设,设,6、数据,安,安全建,设,设,1、物理,安,安全,2、基础,安,安全,7、安全,管,管理,8、安全,审,审计,统一安,全,全管理,平,平台建,设,设,安全化,方,方策,Enjoywork，enjoylife,客户风,险,险统一,管,管理,终端统,一,一身份,认,认证,部分远,程,程连接,的,的安全,接,接入,防火墙,策,策略加,固,固,网络安,全,全域划,分,分,网络隔,离,离及访,问,问控制,系统级,安,安全基,线,线管理,办公、,邮,邮件系,统,统的综,合,合防护,系,系统,运单系,统,统应用,级,级防护,与,与审计,管,管理,客户数,据,据安全,防,防范,终端数,据,据外泄,防,防护,商业邮,件,件数据,归,归档管,理,理,网络及,支,支撑,网络安,全,全域部,署,署,网络准,入,入NAC,VPN,/,/SSL,Network,终端配,置,置标准,化,化和桌,面,面安全,措,措施统,合,合,全面实,现,现终端,加,加入域,，,，WINDOW登录动,态,态认证,桌面终,端,端,核心数,据,据防护,核心数,据,据访问,控,控制,终端数,据,据安全,防,防护,邮件归,档,档管理,核心数,据,据,App,App,E-HR,系统及,应,应用,邮件统,一,一管理,平,平台,客户管,理,理系统,保,保护,快递运,单,单系统,应,应用保,护,护,目标,对策,安全管,理,理体系,安全组,织,织,安全方,针,针/手册,安全标,准,准/流程,建立简,单,单、易,用,用、可,审,审计的,安,安全架,构,构体系,，,，实现,安,安全策,略,略的标,准,准化和,流,流程化,，,，强化,安,安全事,件,件的集,中,中监控,和,和处理,Enjoywork，enjoylife,安全风,险,险防护,规,规划（,管,管理层,面,面-WHAT）,定义目,标,标,范围边,界,界,参照ISO27001,对于信,息,息化体,系,系规划,建,建设的,模,模型,定义,任务书,现状,调研,组织,架构,安全,培训,公司层,面,面,确定目,标,标,基础层,安,安全建,设,设,【运维管,理,理,统一身,份,份管控】,基础网,络,络,【主干通,讯,讯防DDOS攻击,内网安,全,全策略,加,加固】,关键应,用,用（web）,【业务web安全策,略,略加固,核心数,据,据库监,控,控】,复制PDCA,模型,战术层,面,面,计划行,动,动,第三方,认证,外部认,证,证,【自定】,基础支撑层,基础支撑,保障与控制,密钥服务管理,时钟服务管理,强身份认证,设备运维管理,设备运维审计,基础网络层,网络核心,安全保障,网络监控可视化,网络行为分析,入侵攻击防护,网络性能优化,网络访问分区,访问控制法规,无线网络管理,目录服务防护,DNS,运维管理,IPAM,管理,系统应,用,用层,应用系,统,统,安全与,优,优化,业务应,用,用优化,入侵攻,击,击防护,数据库,安,安全审,计,计,WEB应用防,护,护,邮件系,统,统安全,系统漏,洞,洞评估,主机安,全,全加固,应用服,务,务管理,数据存,储,储优化,生产数,据,据层,数据安,全,全,服务保,障,障,内容数,据,据监控,应用变,更,更管理,文件变,更,更管理,配置变,更,更管理,内容泄,露,露防护,数据层,传,传输加,密,密,用户认,证,证授权,邮件归,档,档管理,安全策略,/,系统风险服务层,运维管理平台,合规审计平台,风险管理平台,信息安,全,全和应,用,用交付,领,领域的IT需求,边界接入层,边界安全,保障与控制,接入策略定制,入侵攻击防护,病毒实时过滤,带宽保障控制,远程安全接入,网络应用加速,上网行为管理,链路出口管理,终端接入控制,终端桌面安全,移动办公接入,目标：,以,以”风,险,险控制,导,导向”(RiskFocused)的企业,信,信息安,全,全架构,蓝,蓝图,Enjoywork，enjoylife,监,控,机,制,Operation,弱点侦测机制（项目另立）,(Vulnerability Detection),安全事件侦测机制,(Incident Detection),事件关联分析 及审计,(Event Correlation&Communication),数据信息安全管理体系,(,Information Security Management System,),-,信息安全战略、标准、及信息安全资产建立,企业经营战略,/,业务管理需求,(Business Strategy/Requirement),数据,信息服务管理工具及程序,(IT Management Tools And Process),-,认证管理、调研管理、变更管理、事件,管理,数据信息服务技术架构,(IT infrastructure),数据信息安全方案,(Security Solutions),信息安全管理,组织机构,(Security Organization),安全风险,事后的管理程序,(Defective Response Process),预防,的管理程序,(Proactive Response Process),合规审计程序,(Auditing Process),数据,安,全,管,理,制,度,Process,技,术,与,架,构,支,持,Enabler,前期阶,段,段-1,风险调,研,研阶段-2,策略建,立,立及,实施阶,段,段-3,事后管,理,理及,审计阶,段,段-4,安全建,设