1 / 25

如何判断我的网络是否安全?

如何判断我的网络是否安全?. 趋势科技 @ 中国 王锁杰 产品技术顾问,服务. Agenda. 安全的组成要素 趋势科技安全实践 如何评估. 安全的组成要素. 我从来没有 ……. 我们公司(或单位), 从来没有 购买过安全解决方案 从来没有 爆发过重大安全事件 从来没有 统一的安全守则 从来没有在网络中 部署多层次的安全防护体系 从来没有 购买过任何收费的安全服务. Policy. Product. Process. People. 趋势科技认为安全的组成要素 ……. 建设安全的方针 实现安全的手段 落实安全的保障 执行安全的实体.

borka
Download Presentation

如何判断我的网络是否安全?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 如何判断我的网络是否安全? 趋势科技@中国 王锁杰 产品技术顾问,服务

  2. Agenda • 安全的组成要素 • 趋势科技安全实践 • 如何评估

  3. 安全的组成要素

  4. 我从来没有…… 我们公司(或单位), • 从来没有购买过安全解决方案 • 从来没有爆发过重大安全事件 • 从来没有统一的安全守则 • 从来没有在网络中部署多层次的安全防护体系 • 从来没有购买过任何收费的安全服务

  5. Policy Product Process People 趋势科技认为安全的组成要素…… 建设安全的方针 实现安全的手段 落实安全的保障 执行安全的实体 购买什么 非技术手段 Policy 如何使用

  6. 趋势科技安全实践

  7. 基于BS7799的安全网域(1) 通信& 运营管理 把安全应用于所有运营活动中 资产分类&控制 通过风险管理和数据分类来管理信息资产风险 安全组织 建立管理架构,监督所有与安全相关的项目 安全政策 制定公司政策,作为安全实施方面的指导原则 计划C1:计算机使用政策 计划C2:防病毒政策 计划C3:便携式电脑 计划C4:电子商务系统 计划C5:敏感数据加密 计划C6:数据备份 计划C7:数据转换和传输 计划C8:电子邮件 计划C9:互联网使用政策 计划C10:完整性 计划O1:信息安全管理架构 计划A1:数据可用性 计划A2:审核和汇报 计划S1:信息安全政策

  8. 基于BS7799的安全网域(2) 遵守规定 确保系统遵守组织或行业的安全政策和标准 业务连续性规划 确保即使在灾难期间仍保持业务和运营活动的连续性 物理& 环境安全 实施政策,保护工作场所和IT基础设施 人员安全 通过提高用户的安全意识把安全风险降至最低 计划M1:版权/商标政策 计划E1:人力资源 计划E2:安全意识 计划E3:汇报政策 计划E4:禁止活动 计划E5:应急响应政策 计划B1:业务连续性管理 计划P1:物理访问 系统开发&维护 创建包含SDLC安全的程序 访问控制 通过控制对信息和基础设施的访问把风险降至最低 计划D1:系统安全审核 计划T1:逻辑访问 计划T2:远程访问

  9. 安全组织架构 信息安全治理委员会 Mahendra、Jeremy、Max、Steve、Lane、Carolyn 安全顾问 首席安全官 Jeremy Liang 安全运营经理 政策经理 安全架构师 安全程序管理 安全审核员 培训& 意识 项目经理 事故响应 项目经理 补丁管理 技术扫描 安全记分卡 安全组织

  10. 安全意识 • 新员工的安全政策定位 • 通过电子邮件和内部网向所有员工发出安全事件通知 • 安全训练 • 季度性事件(全球) • 鼓励员工参加安全方面的网络培训 • 训练中采用趋势科技的防恶件意识服务(TAAS) • 实施事后检查,提出补救计划并予以实施

  11. 数据分类 • 数据分类程序 • 识别需要保护的数据 • 确定谁是数据所有者 • 评估数据对组织的价值 • 按照数据分类的级别对数据进行分类: • 公共 • 仅为内部使用 • 机密 • 秘密

  12. 网络分类 • 把生产网络与测试/VirusLab网络相分离 • 生产网络:允许内部用户访问内部和外部资源的网络 • 测试网络:用于诸如研发产品测试的网络 • VirusLab网络:允许应对病毒的网络 • 逻辑分离 • 防火墙保护 • 物理访问限制 • 生产机器政策 • 连接并参加到网域中 • 遵循标准的计算机命名习惯 • 安装趋势科技的防病毒软件 • 应用最新的操作系统/软件安全补丁

  13. 安全事故响应 • 同时包括趋势科技产品和服务漏洞的关联响应 • 指导委员会由高级管理人员组成,将对极其严重的事故采取措施 CSO 批准安全政策豁免 GISS GSOC 安全案件 全球求助系统 24x7 即时解决方案 投诉 紧急安全 案件处理程序 案件 分析 响应 安全案件 事后处理 分析案件重要性的标准 • 业务影响 2. 实施工作 项目请求 服务所有者 项目请求 案件分析 项目计划程序

  14. 审计 • GSOC的月度审计 • 审核项目包括操作系统漏洞、数据库漏洞、特定的应用漏洞(例如Siebel) • 漏洞查找计划,并由GSOC采取进一步行动 • 如漏洞未被及时查到,则交由首席安全官处理

  15. 业务连续性管理 • 通过六个步骤对灾难或可能发展为灾难的问题作出响应 • 检测并确定灾难的情况 • 通知负责恢复的人员 • 启动业务连续性计划 • 激活指定的热门站点 • 传播公共信息 • 实施恢复计划

  16. 安全外包 • 为什么外包? • 我们足够优秀吗? • 缺乏安全专业技术/资源 • 可预测的及时事故响应 • 外包那些工作? • 防病毒监测/早期预警 • 审计

  17. 如何评估

  18. 防病毒框架-技术能力和资源 将从四个方面评估技术能力和资源 技术能力和资源评估 技术能力和资源 评估标准 防病毒软件部署率 病毒码过期率 补丁程序过期率 防毒软件 防病毒监控/检测系统性能 监控数据分析能力 监控/过滤 机器的识别与可见度 设备追踪 分隔办公网与关键业务网 针对病毒防护所作的网络区隔区隔

  19. 防病毒框架 –处理程序与政策 将从以下五个方面评估处理程序与政策 处理程序与政策评估 处理程序与政策 评估标准 安全弱点管理 弱点检测与应对策略 补丁检查机制 补丁分发策略 病毒码部署 防毒软件客户端安装/卸载机制 防毒组件检查机制 防毒组件分发与跟进策略 帐户管理 用户帐号检验流程 口令管理机制 软件安装规则 外部电脑使用策略 网络访问策略 应用程序/网络存取政策 应急与复原程序 系统备份计划 病毒爆发响应流程

  20. 防病毒框架– 组织和人员 从以下三个方面来评估组织的组织和人员 组织和人员评估 组织和人员 评估标准 专门的IT安全机构 防病毒管理绩效评估 识别感染源与感染途径 组织可靠度与能力 员工遵循IT安全策略 IT安全策略能强制执行 组织政策遵行情形 安全意识培训频率 安全意识培训种类 安全培训主旨交付 安全威胁告警 员工认知度

  21. 评估实例

  22. 整体评估步骤 • 客户主观期望 • 网络客观现状 • 两者间的差距? (人员,手段,技术) 4. 如何弥补? 5. 周期重复

  23. 总结

  24. 安全网络的必然条件 • 完善的安全架构 • 需要丰富有效的产品支撑 • 需要有效的技术以及行政手段来落实 • 需要不断的进行论证,不断的循环 • 一个网络能做到如何的安全等级,关键在于 • 执行者的决心、能力 • 厂商与客户方长效的合作 People Process Product Policy 现有安全策略的 针对性 安全策略的及时 调整 现有网络架构的 合理性 现有解决方案的 有效性 日常维护的规范 合理性 应对新生危险的 响应速度 灾难恢复的响应 速度 现有人员的风险意识

  25. Q&A

More Related