企业信息化安全优化规划建设制造业

企业信息化安全、优化规划建设数据中心IT创新IT投入:核心应用网络主机

存储优化与安全新应用部署周期由数周变为几分钟服务器的系统漏洞网络攻击更高的可靠性提高服务等级

安全及优化池网络池应用交付计算池存储池专业化服务

政策目标背景国内《企业内部控制基本规范》-中国塞班斯《上市公司管理规范》中对信息化的要求《企业信息化安全等级保护条例》国外塞班斯法案要求香港联交所上市公司合规要求特定行业合规要求（HIPAA/PCI/BASIL）行业。。。。。。企业的业务发展面临安全威胁挑战风险保障业务保障问题:应用的安全与优化能力不足（面对众多应用）新的安全漏洞部署防火墙好像大家都用IDS终端安全要牢记！设备运维监控网络性能Application应用关注业务逻辑和功能传统网络关注连通网络运维应用开发人员?安全审计安全？性能？传统安全关注IT主管说： 请你们告诉我现在我们企业的信息化系统的风险状况、我们到底安全不安全？老板说： 请你们告诉我为什么现在业务部门反映的业务系统性能有问题，客户经常投诉？有没有办法解决

双刃剑-近年安全事件风险分析企业信息化投资对策集中化通过机房建设，防错机房的整合，实现核心机房的集中化，从而为服务器、网络、应用、存储备份、监控集中化提供基础，提高系统运作效率，降低运维成本。平台化安全化高可靠性自动化监控能力提升通过平台建设，引入成熟、可靠、先进的IT技术，提高业务系统的可靠性。构建四大平台：服务器平台、应用平台、安全平台、存储备份平台。基于四大平台，增强各种应用的可扩展性及安全性，保证业务稳定运行。构建统一的ECC监控中心，实现对服务器、网络、桌面、机房环境等的自动化监控管理。通过信息安全方针、政策及流程的完善，网络安全架构的合理规划，构建一个可扩展的、有前瞻性的安全平台，保证业务稳定运行。通过优化应用系统的软件架构，并结合INFRA基础设施的能力提升，为各领域的能力提升提供基础，从而保障业务系统的高效率运作。建立信息安全体系保障基础安全体系的三要素是人、管理（流程）和技术。在人员配备齐整的情况下，技术上做不到的依靠管理，管理做不到的依靠技术。安全防护体系建设内容包括安全队伍、安全技术和安全管理三个方面参照《ISO27001》对于信息化体系规划建设的模型人员（管理）流程技术组织、角色、职责业务流程、制度实现目标的技术手段安全风险防护规划（组织层面-WHO）8信息风险管理（策略制定）负责人信息安全负责人信息风险管理策略实施（策略执行）负责人策略接受者信息风险管理策略的日常运维（监控）负责人信息风险违规事后审计负责人审计意见反馈流程人事考核CFO/CIO/副总/技术总监？风险管理部专员？IT信息部安全专项负责人？财务部人员？销售部前台？市场部人员？审计部负责人？安全风险防护规划（技术框架层面-HOW）3、网络安全建设4、主机系统安全建设5、应用安全建设6、数据安全建设1、物理安全2、基础安全7、安全管理8、安全审计统一安全管理平台建设安全化方策策客户风险统统一管理终端统一身身份认证部分远程连连接的安全全接入防火墙策略略加固网络安全域域划分网络隔离及及访问控制制系统级安全全基线管理理办公、邮件件系统的综综合防护系系统运单系统应应用级防护护与审计管管理客户数据安安全防范终端数据外外泄防护商业邮件数数据归档管管理网络及支撑撑网络安全域域部署网络准入NACVPN/SSLNetwork终端配置标标准化和桌桌面安全措措施统合全面实现终终端加入域域，WINDOW登录动态认认证桌面终端核心数据防防护核心数据访访问控制终端数据安安全防护邮件归档管管理核心数据AppAppE-HR系统及应用用邮件统一管管理平台客户管理系系统保护快递运单系系统应用保保护目标对策安全管理体体系安全组织安全方针/手册安全标准/流程建立简单、、易用、可可审计的安安全架构体体系，实现现安全策略略的标准化化和流程化化，强化安安全事件的的集中监控控和处理安全风险防防护规划（（管理层面面-WHAT）定义目标范围边界参照《ISO27001》对于信息化化体系规划划建设的模模型定义任务书现状调研组织架构安全培训公司层面确定目标基础层安全全建设【运维管理统一身份管管控】基础网络【主干通讯防防DDOS攻击内网安全策策略加固】关键应用（（web）【业务web安全策略加加固核心数据库库监控】复制PDCA模型战术层面计划行动第三方认证外部认认证【自定】基础支撑层基础支撑保障与控制密钥服务管理时钟服务管理强身份认证设备运维管理设备运维审计基础网络层网络核心安全保障网络监控可视化网络行为分析入侵攻击防护网络性能优化网络访问分区访问控制法规无线网络管理目录服务防护DNS运维管理IPAM管理系统应应用层层应用系系统安全与与优化化业务应应用优优化入侵攻攻击防防护数据库库安全全审计计WEB应用防防护邮件系系统安安全系统漏漏洞评评估主机安安全加加固应用服服务管管理数据存存储优优化生产数数据层层数据安安全服务保保障内容数数据监监控应用变变更管管理文件变变更管管理配置变变更管管理内容泄泄露防防护数据层层传输输加密密用户认认证授授权邮件归归档管管理安全策略/系统风险服务层运维管理平台合规审计平台风险管理平台信息安安全和和应用用交付付领域域的IT需求边界接入层边界安全保障与控制接入策略定制入侵攻击防护病毒实时过滤带宽保障控制远程安全接入网络应用加速上网行为管理链路出口管理终端接入控制终端桌面安全移动办公接入目标：：以””风险险控制制导向向”(RiskFocused)的企业业信息息安全全架构构蓝图图监控机制

Operation弱点侦测机制（项目另立）(VulnerabilityDetection)安全事件侦测机制(IncidentDetection)事件关联分析及审计(EventCorrelation&Communication)数据信息安全管理体系(

InformationSecurityManagementSystem

)-信息安全战略、标准、及信息安全资产建立企业经营战略/业务管理需求(BusinessStrategy/Requirement)数据信息服务管理工具及程序(ITManagementToolsAndProcess)-认证管理、调研管理、变更管理、事件管理数据信息服务技术架构(ITinfrastructure)数据信息安全方案(SecuritySolutions)信息安全管理组织机构(SecurityOrganization)安全风险事后的管理程序(DefectiveResponseProcess)预防的管理程序(ProactiveResponseProcess)合规审计程序(AuditingProcess)数据安全管理制度

Process技术与架构支持

Enabler前期阶阶段-1风险调调研阶阶段-2策略建建立及及实施阶阶段-3事后管管理及及审计阶阶段-4安全建建设Roadmap子项规划名名称Roadmap2013年2016年2017年2014年2015年安全体系建建设内网安全加加固主干网络DDOS安全加固项项目核心商业数数据安全加固核心应用防防护安全风险管管理平台建设项项目合规审计管管理平台建设项项目商业数据安全审计规规划在线电子商商务渠道架架构规划安全规划安全管理体体系导入内部管理系系统建设整合业务规划运维基础管管控新电子销售售渠道建设整整合内部合规性性建设整合（上市要求求）。。。。业务流量监监控及故障分析诊诊断统一身份管控平台台基础安全全层-运维管理理及审计计方案运维审计计系统的的主要功功能解决方案案（非标标协议与与工具））HAC+VDH系统部署署与应用用17风险终端丢失/遭窃设备接管管偷听拦截非授权访访问文件系统统/数据库未经授权权的访访问/活动不可用泄露损坏不可用企业存储储未经授权权的访访问/活动介质丢失失/遭窃泄露损坏不可用应用未经授权权的访访问/活动多应用的的重复登登入不可用欺诈泄露基础安全全层-统一身份份管控方方案（4A）【二阶段建建议】评估和修修复服务务iiiiIT域服务请求管理用户自主工作流，根据工作需要提出访问请求，支持多级审批，自助开通权限用户自助密码管理角色管理评估、审计及清除访问权限

定义、授予、改造、批准及验证角色模型身份合规建立企业中央身份库审计，定义/核实策略,验证权限及补救措施合规报告、报表用户供应

入职及离职账号自动化管理流程建立账号及授权可立即终止访问权限以减少风险网络网络安全全层-提供最佳佳安全防防护方案案最佳DDoS攻击防护护能力防护性能能极强：：PPS&带宽DDoS攻击防护护连接&应用DDoS攻击防护护应用导向向DoS攻击防护护NSSRecommended获得最高高推荐级级别攻击击缓解设设备全面防护护网络及及应用威威胁确保客户户服务水水平SLA秒级快速速防护响响应多种防护护日志报报告，客客制化报报告，个个别用户户报告，，实时告告警维护操作作简单有有效随机即提提供广泛泛有效之之DDoS防护能力力SOC安全小组组定期更更新攻击击特征ERT应急团队保障障防护效果多维度DDoS防护技术集合合一身及管理理日志系统整整合均大大降降低投资成本本及运维成本本开放API提供最佳整合合，保障投资资效益Slide18Slide19PPS&带宽泛洪攻击连接&应用泛洪攻击应用导向DoS攻击BDoS基于实时行为分析之攻攻击特征SYN防护(基于SYNcookies;Webcookies)基于阀值防护护HTTP&DNS进阶验证–响应技术基于实时行为为分析之攻击特征基于阀值防护护RegEx特征自动更新攻击反制技术术客制化特征

随机即具备广泛DDoS攻击防护能力，无需人工介入

秒级快速攻击防护响应网络安全层-提供最佳安全全防护方案网络安全层-内部网络安全全加固按照业务系统统规划进行网网络安全域梳梳理，制定统一的安安全访问控制制策略，并建建立访问控制策略略合规监控手手段网络安全层-基础网络安全全加固实时网络攻击击监控恶意代码码分析事件分析析和关联联合规性报报告Enjoywork，enjoylife内网风险险统一管管理提供策略略管理和和报告功功能的统统一管理理控制台台一个控制制台实现现完整的的系统管管理基于角色色的应用用和Web、邮件和和数据泄泄漏防护护控制为内容安安全提供供统一内内容分析析，统一一平台和和统一解解决方案案最佳的安安全效果果，最低低的总拥拥有成本本提供无可可比拟的的可视性性和控制制力精确地对对客户端端、群组组及其网网络行为为进行规规范…在过去您您需要花花多少时时间去进进行各类类事件的的统计、、横向整整合与交交叉分析析以进行行梳理各种网络络问题的的原因？？系统安全全加固：：风险&合规:诊断加固管理建立系统级级的安全基基线管理风风险&合规发现资产梳理及现现状评估评估安全漏洞及配配置策略审计计管理针对风险最高高优化保护和和最大限度地地降低成本，消除对关键业务应用用程序干扰VulnerabilityManagerPolicyAuditor网络安全层-业务流量监控控及故障分析析该方案通过交交换机镜像流流量，采集业业务系统相关关的应用数据据流量。该采采集方式，仅仅对交换机产产生轻微的负负载，完全不不影响应用。。可监控应用的的各个环节的的运行性能状状态，包括负负载均衡、WEB服务器、应用用中间件、数数据库服务器器。在不安装探针针的情况下:在应用内部安安装探针:可监控及分析应应用内部的运行状态，如方法调用用、JDBC、内存泄漏。。该方式需要要在应用服务务器内部安装装软件探针，，所以会对应应用的性能产产生一定影响响。负载均衡机Web中间件数据库网络质量SQL执行文档各渠道、区域域用户体验业务交易监控控机故障域快速定位方案能力方案提供的解解决方案为软软硬一体化化解决方案，，设备内预置置操作系统、、数据库、应应用软件，设设备出厂时即即完成所有预预设配置，真真正做到开箱箱即用。设备备提供Web、客户端、命命令行等多种种管理方式，，界面友好、、直观，配置置简单。全球领先的业业务流量监控控及分析系统统Executivedashboardofreal-timeapplicationperformance方案的核心价值理由关键收益1专用的软硬一体化应用性能监控解决方案稳定、高效、易使用2核心应用的应用性能监控，制定合理的报警，主动运维，减少客户投诉提高用户的使用体验以及满意度3核心应用的用户体验监控，实时掌握各分支机构的用户使用状况提高用户的使用体验以及满意度4智能报警，故障数据回放，确定故障的原因提前发现系统存在的潜在应用性能问题，在用户投诉前分析及解决避免被动式的运维方式5数据现场的回放，确定用户投诉的原因准确、快速的定位故障原因及时解决用户投诉的问题6快速发现出现性能问题的区域和应用监控覆盖面广、可提前预警7监控面覆盖面广、涵盖影响应用性能的所有可能性全面、准确、及时的解决问题应用服务层--关键应用（快快递）的应用用级防护合规性审计报报告针对业务系统统的安全防护护策略定制现代企业普遍遍存在商业数数据安全需求求对企业关键数数据信息系统统的访问、修修改进行全面面审计，出现现事件，可找找到问题和源源头。对于大型企业业的核心业务务系统，需需要能够审计计到最终用户户避免数据误操操作和误修改改造成的影响响。防止关键数据据违规泄露和和篡改的事件件的发生。防止针对数据据库安全漏洞洞造成的安全全事件。提供专业的审审计报告支持持。大规模部署和和集中管理的的支持。1/16/06UsersNeoaccelsslvpnF5链路负载均衡衡InternetISPISPISP1ISP2BluecoatSG网关BlueCoatSG网关

FirewallsBIG-IP服务器负载载均衡ISPImpervaWEB防护网关RouterRouterRouterRouterF5WEB客户端加速DatabaseApplicationServersBladeServersWebServersNeoaccelsslvpnf5广域网容灾SSLVPNDMZDMZF5广域网容灾DMZ

Firewalls

Firewalls主数据中心移动办公分部备份数据中心心F5链路负载均衡衡F5BIG-IP服务器负载均均衡BluecoatSG网关Imperva数据库审计日志审计管理理TippingPoint入侵防御TippingPoint入侵防御电子商务安全全优化方案结结构图最终提交建设设目标【本次标的范围围】整体的安全管管理架构安全小组（组组织架构）安全系统防护护框架建议安全方案实施施落地统一的安安全策略略运维操作作安全策策略网络安全全应急策策略内网管理理安全策策略核心数据据操作安安全策略略办公网安安全策略略统一的安安全审计计管理安全事件件处理流流程安全监控控与审计计管理流流程服务能力力-安全服务务2023/1/732<报告人>应急响应项目技术支持安全培训安全制度建立安全加固安全评估规划设计安全咨询安全培训依据角色，提供多层次的理论和实践操作培训。帮助用户应对各种安全突发事件，提供紧急事件解决方案。应急响应安全制度建立遵循PDCA模型，通过需求分析、风险评估、风险处理、等各种技术手段为用户提供信息安全管理体系建设服务。安全咨询从用户战略出发，为用户制定信息安全整体发展规划、安全建设纲要、安全总则等战略性的指导文档，全面指导用户信息化安全建设。项目技术支持为用户提供基于安全产品产品的安装调试，产品后续技术支持服务。安全评估为用户提供包括业务目标及需求访谈调查、信息安全风险的评估与差异分析、建立信息安全政策等安全评估服务。规划设计为用户提供完善的信息安全架构设计服务，再安全策略、规范、管理流程方面分析提取安全保密的需求，同事通过定义合适的信息安全程序，为客户量身灯座信息安全解决方案，协助客户贯彻执行信息安全规范与信息安全标准。安全加固通过良性入侵检测和第三方工具，对客户网络、平台、数据库及应用程序等进行检测或审计，并结合企业现行的网络架构、系统架构、数据架构、应用架构，乃至系统运营和实体环境，提出系统加固建议方案。安全服务十载的行业经验与服务能力，形形成规范范的经营营管理程程序与运运作机制制；成熟的产产品序列列与广泛泛的行业业客户群群体，形成完完备的服服务管理理流程与与质量保保证体系系。现有有行业拥拥有稳定定的优质质客户、、较大市市场份额额；强大的客客户服务务能力1、全国3大技术支支持中心心2、EMC/F5/paloalto/HP/CA厂商认证证的服务务中心（（全国4个备件库库）3、近80名各类技技术专家家、通过过多达14个厂商的的全球各各类认证证4、具有安安全专家家团队，，3名cisp、2名cissp、4名PMP、7名CCIE、3名CCSE、3名ACE、10名F5SE……5、数据管管理团队队，EMC专家13名、昆腾腾认证工工程师3名6、虚拟化化团队，，VCE认证工程程师2名、vmware认证工程程师7名、ctrix认证工程程师3名为XXXX定制的安安全服务务安全服务务细项安全管理理组织物理安全网络安全物理安全逻辑安全系统安全应用安全紧急事件响应网络层安全风险监控、出风险管理报告并解决隐患（月）系统层漏洞扫描，出系统漏洞报告（季）参加客户端的安全管理会议，提供安全组织建设建议入口攻击流量分析及问题解决安全事件应急服务，2小时到现场业务系统监控及隐患分析报告（月、未来）谢谢谢!!演讲完毕毕，谢谢谢观看！！