价值信息安全防护体系建设思路-.ppt

构建全方位数据安全防构建全方位数据安全防护体系体系 2012 5/31 宣宣讲人：李元人：李元勋分析安全分析安全分析安全分析安全现现状状状状定位泄密定位泄密定位泄密定位泄密风险风险建立保建立保建立保建立保护护体系体系体系体系3 4项项目目目目实实施施施施维护维护4 5目目录23引言引言引言引言1引言引言 无论是过去的2011，还是今年的3.15晚会，各种信息泄密事件不胜枚举，这当中，无论是主动泄密还是被动泄密，都给相关的组织带来了严重的损失。面对严峻的信息保密形势和日渐升级的保密要求，企业该如何担负核心数据的保卫工作呢？引言引言 人人员员意意识识 数据防泄密范畴数据防泄密范畴2003200620052008201220102003200520062008201020122005年年 插曲插曲上网行上网行为管理管理6月，我国月，我国宽带用用户首次超首次超过拨号；号；12月，公安部月，公安部82号令，上网行号令，上网行为监管有了正式的管有了正式的规章。同章。同时，钓鱼欺欺诈、病毒木、病毒木马让网管网管头痛不已，上网行痛不已，上网行为管理作管理作为内内网安全的分支开始蓬勃网安全的分支开始蓬勃发展，并形成兼重效率与安全展，并形成兼重效率与安全的独立品的独立品类延延续至今。至今。2003年年 争争议行行为监管管安然会安然会计丑丑闻爆爆发，随之而来的塞班斯法案，随之而来的塞班斯法案对企企业信息系信息系统内控提出了要求，内控提出了要求，对邮件、网件、网络等等IT系系统的的审计需求，需求，让邮件、上网件、上网监控控产品开始井品开始井喷，内网安全注重，内网安全注重“人人”的的风险，由此开端。，由此开端。2006年年 蜕变防水防水墙年初，公安部年初，公安部颁布布信息安全等信息安全等级保保护办法（法（试行）行），并并选择银行等行等严重依重依赖信息化的部信息化的部门进行行试点；点；7月，月，塞班斯法案大限，众多上市企塞班斯法案大限，众多上市企业面面临合合规性要求开始考性要求开始考虑和部署内部信息和部署内部信息审计和防和防护产品，以防品，以防备来自网来自网络、终端、外端、外设等多等多样化的安全威化的安全威胁，信息防泄漏，信息防泄漏1.0版本版本防水防水墙登上舞台。登上舞台。2008年年 核武器核武器加密加密2008开始的金融危机，开始的金融危机，让一大批企一大批企业倒了下去。倒了下去。艰难时期，期，IT管理者却更关注安全，只因机密信息关系到管理者却更关注安全，只因机密信息关系到核心核心竞争力。防水争力。防水墙堵漏不及，新安全威堵漏不及，新安全威胁不断不断扩展，展，痛定思痛，号称痛定思痛，号称彻底解决安全威底解决安全威胁的加密开始全面的加密开始全面热卖。2010年年 新生新生整体信息防泄漏整体信息防泄漏时代代索尼索尼PSN泄密、富士康泄密、富士康ipad图纸泄密等，泄密等，频繁曝光的泄繁曝光的泄密事件，密事件，让信息防泄漏信息防泄漏渐成内网安全的焦点。从成内网安全的焦点。从终端安全端安全到到监控，从防水控，从防水墙到加密，内网安全的焦点逐到加密，内网安全的焦点逐渐清晰，市清晰，市场也更加理性。意也更加理性。意识到到这些些问题的厂商和用的厂商和用户，开始在更，开始在更深深层面思考内网安全，准入控制、数据保密、操作授面思考内网安全，准入控制、数据保密、操作授权、行行为审计等等结合的整体解决方案，正当其合的整体解决方案，正当其时。2012年年 延伸延伸多元化信息防泄漏多元化信息防泄漏时代代随着各行随着各行业信息化建信息化建设的拓的拓进，信息化的建，信息化的建设呈呈现以以终端端为基基础、应用用为核心、移核心、移动办公公为扩展展的整体的整体发展模展模式，且式，且加密、虚加密、虚拟化、关化、关键字字过滤等技等技术不断不断发展和展和融合融合导致致现在和将来的信息安全在和将来的信息安全规划建划建设日新月异，因此日新月异，因此今后的信息安全今后的信息安全产业链将呈将呈现多元化特性，根据市多元化特性，根据市场各行各行业不同的信息化不同的信息化应用模式和用模式和发展展规划，构建完整且有划，构建完整且有针对性的信息安全解决方案才能适性的信息安全解决方案才能适应客客户的需求。的需求。引言引言防泄密技防泄密技术发展展历程程引言引言小小结信息安全系统如何适应高速发展的信息化系统？企业如何选择适合自己的信息安全管理系统？分析安全分析安全现状状价价值信息信息业务类客户资料财务信息交易数据分析统计数据行政类市场宣传计划采购成本合同定单物流信息管理制度机要类公文统计数据机要文件会议机要科研类调查报告咨询报告招投标文件专利客户资料价格 设计类设计图纸设计方案策划文案源代码软件程序价价值信息如何生成？信息如何生成？价价值信息如何存信息如何存储？价价值信息如何信息如何传输？分析安全分析安全现状状本地生成本地生成系系统生成生成信息信息信息信息生成生成生成生成信息生成方式信息生成方式分析安全分析安全现状状集中集中结构化存构化存储集中非集中非结构化存构化存储信息信息信息信息存存存存储储终端分散存端分散存储分析安全分析安全现状状信息存信息存储方式方式局部封局部封闭传输对外受控外受控传输信息信息信息信息传输传输内部开放内部开放传输对外开放外开放传输分析安全分析安全现状状信息信息传输方式方式分析安全分析安全现状状现状状汇总信息保密意信息保密意信息保密意信息保密意识识是否具是否具是否具是否具备备信息保密手段信息保密手段信息保密手段信息保密手段 是否缺乏是否缺乏是否缺乏是否缺乏信息保密制度是否健全信息保密制度是否健全信息保密制度是否健全信息保密制度是否健全 信息安全信息安全现状状数据数据生成生成数据数据存存储数据数据传输.n服务器失窃泄密n移动存储介质丢失n笔记本丢失或被盗n网络非法外发n终端外设传输n合作伙伴恶意传播n.风险汇总风险分析分析n数据创建者主动泄密n数据越权使用n病毒木马感染分析可能的分析可能的风险点点数据数据产生生数据存数据存储数据数据应用用数据交数据交换归类总结形成泄密形成泄密风险库泄密性泄密性质不同的泄密性不同的泄密性质决定了所决定了所应采取的技采取的技术手段手段主主动泄密泄密被被动泄密泄密风险汇总泄密性泄密性质 意识形态泄密风险主主动被被动U盘使用1级网络外发1级外设传输1级第三方泄密1级移动智能终端泄密1级笔记本丢失2级口令攻破2级木马病毒2级备注：对于无法明确定义出主动还是被动的泄密行为，均列入主动泄密范围，进入1级风险类别中。风险汇总定定义泄密泄密风险等等级安全措施安全措施保密意保密意识规章制度章制度信息安全防信息安全防护体系的建体系的建设绝非非单一某个一某个产品或者某一种技品或者某一种技术可以解决，可以解决，而是需要从技而是需要从技术和制度等多方面和制度等多方面进行合理整合，形成行合理整合，形成统一的一的DLP体系体系建立整体防建立整体防护体系体系体系建体系建设基基础建立整体防建立整体防护体系体系数据分布区域划分数据分布区域划分-风险差异化差异化建立整体防建立整体防护体系体系技技术手段手段安全力度安全力度-L2数据加密数据加密虚虚拟拟化化桌面管理桌面管理网网络络准入准入安全力度安全力度-L1WindowsWindows域控域控关关键键字字过滤过滤建立建立严格的格的终端端DLP防防护体系，体系，规范范约束数据束数据对外交互的出口外交互的出口建立整体防建立整体防护体系体系核心数据区核心数据区核心数据区核心数据区U盘拷拷贝非法非法访问硬硬盘拔插拔插外外设传输非法非法/强行外行外带乱乱码明文外明文外带密文外密文外带审批外批外带管理管理外外发者者网网络外外发只只读禁用禁用正常正常未知人未知人员/终端端X服服务器区域器区域防止防止业务系系统服服务器中的数据器中的数据扩散和非法散和非法访问OA系系统建立整体防建立整体防护体系体系服服务器区域器区域网络监控：邮件收发网址访问网络共享IP地址绑定等终端行为管理：应用程序控制打印监控远程实时监控/截屏补丁分发等 外设管理：移动存储设备光驱、软驱蓝牙、红外、无线网卡新增外设控制等综合审计：网址访问文件操作记录邮件收发审计软/硬件资产审计U盘使用记录等建立事前建立事前预防控制、事中控制、事后防控制、事中控制、事后审计机制机制建立整体防建立整体防护体系体系普通普通办公区公区建立整体防建立整体防护体系体系第三方运第三方运维区区 终端易用性数据安全性保保证数据安全性同数据安全性同时最大限度开放最大限度开放终端端权限限安全接入安全接入移移动办公公通通讯加密加密资源控制源控制手机安全手机安全区分数据区分数据放行放行私人数据私人数据管理管理涉密数据涉密数据终端端登登录加固加固充分考充分考虑到移到移动办公的公的实效性效性对移移动办公公设备进行合理保行合理保护建立整体防建立整体防护体系体系移移动办公区公区防防护体系体系信息泄露的可知、信息泄露的可知、可控、可管可控、可管识别监视管控管控审计前置安全手段前置安全手段生成生成存存储传播播风险库解决解决手段手段 建立整体防建立整体防护体系体系体系模型体系模型建立防建立防护体系体系配套建配套建设信息系信息系统运运维管理管理办法法信息系信息系统安全安全检查制度制度服服务器安全管理制度器安全管理制度终端端计算机管理制度算机管理制度信息信息资产安全管理制度安全管理制度信息系信息系统数据数据备份及恢复管理制度份及恢复管理制度网网络安全管理制度安全管理制度机房安全管理制度机房安全管理制度 .4321风险评估估后期维护工作量数据自身安全风险使用习惯及效率影响环境改动工作量项目启目启动人人员协调环境境调研研细化策略化策略实施人施人员实施范施范围实施目施目标实施施总结权限部署限部署规则下下发问题处理理经验总结细化方案化方案局部局部实施施全全环境境实施施业务流程的改造流程的改造信息系信息系统的整合的整合风险变更的防范更的防范确确认管理制度管理制度项目目实施施维护安全是相安全是相对的，不存在的，不存在绝对安全，信息安全，信息防泄密的最防泄密的最终目目标是是“在安全和便利之在安全和便利之间找到平衡点找到平衡点”结语解决方案解决方案现状分析状分析风险汇总 实施施维护信息安全体系的建信息安全体系的建设前提是前提是“保保证业务不会被中断不会被中断”，其建，其建设目目标是是“使信息使信息风险的的发生概率和生概率和结果降低到可接受收果降低到可接受收水平水平”传统終端終端泛内网安全泛内网安全框架框架智能智能终端端业务系系统关关联数据安全数据安全终端端审计与管理与管理终端端DLP移移动接入安全接入安全移移动应用安全用安全终端端设备管理管理明朝万达方案架构明朝万达方案架构目标守护价值信息安全