企业信息安全整体解决方案
案例:从Offline向Online
互联网浪潮下的中国企业, 其商业模式、运营模式、管理模式都在发生深刻变化。 企业战略、企业组织、企业业务…正从Offline向Online迁移!
越来越多的企业业务通过网络, 以 [ 数字资产 ] 的形式交换和转移。 从 企业内部产业链社会化商业协同 传统的信息安全
• 缺乏专业的信息安全人才, 信息安全意识淡薄。 • 缺乏对信息系统的安全审 计机制
• 财务报表泄露,给企业
内控 供应链 人力
财务
带来经济损失。 • 财务数据被篡改,给企 业带来经营管理风险。
• 缺乏完善的业务安全准入
认证机制 • 信息安全仅注重边界安全 的保护,忽略内部产生的 信息安全风险。
重新定义企业信息安全
我们的
解决方案
解决方案的业务流程
安全咨询 与规划
安全风 险评估
企业 业务
安全建设 方案设计
安全运维 与服务
企业信息 安全整体解决方案
安全咨询
基础 架构安全
业务 业务 运维安全 应用安全 数据安全
企业信息安全风险评估的流程
资产评估
• 识别(发现)业务信息资产
脆弱性识别
• 查找业务信息资产存在的安全隐 患
业务数据安全
敏感信息泄漏阻断
敏感信息泄漏监测
敏感信息加密
数据备份/异地灾备
业务应用安全
内网业务安全准入 业务可用性保护
攻击风险
业务信息丢 失无法恢复
乏审计控制的风险
数据远程传输过程 中被监听和篡改风
IT运维过程缺乏 监管的安全风险
sos
系统(ERP)自身 内部员工网络行为 无法监管的风险 安全漏洞风险
险
重要信息资 料泄密风险
来自互联网 黑客的恶意攻击
企业业务信息管理
信息安全行业在中国的发展历史很短,缺乏核心技术、缺乏高端产品。 很多企业对信息安全的认识比较单一,认为信息安全主要就是:防火墙、防病毒…; 认为只要把企业的“边界”防住了,内部的数据(“信息资产”)也就安全了…
信息安全管理体系
信息安全技术体系
ISO27001
国家等级保护
ISO13335
ESA
行业信息安全水平评价要求
全球企业信息安全最佳实践
企业信息安全现状与需求
解决方案的业务流程
安全咨询 与规划
安全风 险评估
企业 业务
安全建设 方案设计
安全运维 与服务
企业用户的信息安全技术方案框架体系
运维安全
运维安全审计 日志统一管理 漏洞扫描/基线核查 IT运行综合管理
目前企业信息安全的现状: • 设计图纸泄露、工艺路线被篡改
• 产品BOM、原材料信息泄露
息泄露 • 客户信息、经销商信息、价格信
• 薪资数据时常泄露,对企业内部经营 造成影响。 • 人员花名册泄露,造成不必要的人员 流失的风险。
搞不懂、防不住、控不了、查不出!
企业IT系统面临的安全风险
APT渗透
业务系统使用操作缺
防火墙是死的,企业是活的;企业的信息安全,就是关注企业业务的本身,围绕业
务安全建立信息安全的综合防御体系,而不是单一的边界防御,要伴随企业业务的变化而 不断的衍生、发展。
我们认为:企业信息安全要建立以业务安全为核心的全方位立体化防御!
、用友优普、启明星辰三方强强强联合
针对企业市场推出适合于企业客户的信息安全解决方案
心访问权限,最终造成财务报表泄漏。
血淋淋的教训(客户信息泄露)
2014年8月,浙江一家做网上书店的互联网公司,因为其网站存在SQL注入漏洞而
被攻击,造成数据库信息泄漏,大量客户的信息被泄露,客户遭到很多的诈骗电话,有 些客户遭受到了经济损失,这个事情使该互联网的声誉极大受损,同时也造成大量客户
流失,影响甚大。
风险分析
• 综合分析脆弱性被威胁利用的可能性以及 给可能带来的影响
安全需求
• 汇总安全问题 • 总结安全需求 • 提出风险处置建议
企业信息安全咨询规划
根据NC企业用户的当前情况及未来业务发展方向,参考等级保护、ISO27001国际安全标准 和相关安全方法论,以及企业信息安全体系建设最佳实践,充分分析企业用户信息安全现状及需求, 形成企业用户信息安全体系,体系包括信息安全管理体系和信息安全技术体系。
委托付款书中的收款人及收款金额恶意修改,由于银行
网银适配器并不校验ERP系统提交的付款信息,给企业 造成巨大的损失……
血淋淋的教训(财务信息泄漏)
2013年山东某上市企业,在年报发布之前,年报数据被泄露,造成该企业股票
产生剧烈波动,造成了很大的 经济损失和声誉影响,后经调查发现,该企业遭
受了为期一年之久的APT攻击,经济黑客通过给该公司内部员工发钓鱼邮件,逐 层控制员工主机,监听内部信息,最终控制重要人员电脑获取到了财务信息的核
误区
只重视信息化,而忽略信息化之后的安全问题 抱有侥幸思想,认为不是行业知名企业就没有风险 对于信息安全的认识比较浅薄,认为买了防火墙就是信息安全了 只注重外部防御,而忽视内部监控 部分有信息安全意识的企业有需求,也购买一些安全产品,但是不与核心业务进行结合,治标不治本
企业业务管理中的信息安全困境
已经模糊甚至消失。企业业务不能龟缩在线下,那么:在线上的每一个业务行为、每一
次数据交换都可能存在风险!
企业对信息安全认识的误区
近些年来,随着管理软件市场的蓬勃发展,企业对于信息化(ERP)的认识也在逐步 加深,越来越多的企业开始将核心业务移植到信息化平台。 在某些行业与领域,一些先进的公司(例如,电子商务)已经开始将企业的核心业务 系统与互联网对接,借以提高业务处理效率、准确性,为客户提供更好的体验。
企业信息安全整体解决方案
严峻的
信息安全环境
血淋淋的教训(资金审批篡改事件)
河北某大型生产企业非常重视企业信息化建设,在原有
财务核算与供应链系统的基础上增加了将OA系统、资 金系统,实现了企业内部业务与审批的“无纸化”办公。 其ERP系统管理员周某蓄意报复企业,利用对系统及数 据库的了解,在后台数据库中将企业资金管理系统中的
威胁分析
• 威胁源分析 •威胁路径分析
针对企业用户的信息安全风险 评估是参照国际风险评估标准和管理 规范,对企业的业务信息系统的资产 价值、潜在威胁、薄弱环节、已采取 的防护措施等进行综合分析监测,判 断信息安全事件发生的概率以及可能 造成的损失,从而分析总结出企业在 信息安全方面的薄弱点和信息安全需 求。
