价值信息安全防护体系建设思路.ppt

安全是相对的，不存在绝对安全，信息防泄密的最终目标是“在安全和便利之间找到平衡点” 结语 解决方案 现状分析 风险汇总 实施维护 信息安全体系的建设前提是“保证业务不会被中断”，其建设目标是“使信息风险的发生概率和结果降低到可接受收水平” 传统終端 泛内网安全 框架 智能终端 业务系统关联数据安全 终端审计与管理 终端DLP 移动接入安全 移动应用安全 终端设备管理 明朝万达方案架构 目标 守护价值信息安全 * 从价值信息定义来讲没有严格区分哪类信息是价值信息，对企业来讲对企业重要的信息就是价值信息，并且不同人、不同部门、不同视角导致对价值信息的理解也有很大差别；比如：行政人员认为某一次会议纪要可能不是很重要，但对公司管理层来说其中可能涉及重要领导的更迭等，对竞争对手和公司内部员工都会产生重大影响；所以在做数据安全之前我们应该充分调研，充分了解当前的环境，为下一步的数据安全建设做好坚实的基础 * 充分了解当前的环境，为下一步的数据安全建设做好坚实的基础 * * 数据的价值在于传输，而泄密最大的风险点也在于传输。 * 归类总结当前风险，进行一一列举，形成当前的泄密风险库 * * * * * * * * * 发现涉密数据在哪里？ 监控涉密数据的传播渠道？ 涉密数据是如何被保护的？ 发生数据泄密事件的响应和弥补？ 确保涉密数据的合理访问 确保涉密数据的合理使用 确保泄密事件的事后取证 * 为保障项目的成功率，应在合理范围内评估该项目存在的上线难度及下线风险 * * * 构建全方位数据安全防护体系 2012 5/31 宣讲人：李元勋 分析安全现状 定位泄密风险 建立保护体系 3 4 项目实施维护 4 5 目录 2 3 引言 1 引言 无论是过去的2011，还是今年的3.15晚会，各种信息泄密事件不胜枚举，这当中，无论是主动泄密还是被动泄密，都给相关的组织带来了严重的损失。面对严峻的信息必威体育官网网址形势和日渐升级的必威体育官网网址要求，企业该如何担负核心数据的保卫工作呢？ 引言 数据防泄密范畴 2003 2006 2005 2008 2012 2010 2003 2005 2006 2008 2010 2012 2005年 插曲——上网行为管理 6月，我国宽带用户首次超过拨号；12月，公安部82号令，上网行为监管有了正式的规章。同时，钓鱼欺诈、病毒木马让网管头痛不已，上网行为管理作为内网安全的分支开始蓬勃发展，并形成兼重效率与安全的独立品类延续至今。 2003年 争议——行为监管 安然会计丑闻爆发，随之而来的塞班斯法案对企业信息系统内控提出了要求，对邮件、网络等IT系统的审计需求，让邮件、上网监控产品开始井喷，内网安全注重“人”的风险，由此开端。 2006年 蜕变——防水墙 年初，公安部颁布《信息安全等级保护办法（试行）》，并选择银行等严重依赖信息化的部门进行试点；7月，塞班斯法案大限，众多上市企业面临合规性要求开始考虑和部署内部信息审计和防护产品，以防备来自网络、终端、外设等多样化的安全威胁，信息防泄漏1.0版本——防水墙登上舞台。 2008年 核武器——加密 2008开始的金融危机，让一大批企业倒了下去。艰难时期，IT管理者却更关注安全，只因机密信息关系到核心竞争力。防水墙堵漏不及，新安全威胁不断扩展，痛定思痛，号称彻底解决安全威胁的加密开始全面热卖。 2010年 新生——整体信息防泄漏时代 索尼PSN泄密、富士康ipad图纸泄密等，频繁曝光的泄密事件，让信息防泄漏渐成内网安全的焦点。从终端安全到监控，从防水墙到加密，内网安全的焦点逐渐清晰，市场也更加理性。意识到这些问题的厂商和用户，开始在更深层面思考内网安全，准入控制、数据必威体育官网网址、操作授权、行为审计等结合的整体解决方案，正当其时。 2012年 延伸——多元化信息防泄漏时代 随着各行业信息化建设的拓进，信息化的建设呈现以‘终端为基础、应用为核心、移动办公为扩展’的整体发展模式，且‘加密、虚拟化、关键字过滤’等技术不断发展和融合导致现在和将来的信息安全规划建设日新月异，因此今后的信息安全产业链将呈现多元化特性，根据市场各行业不同的信息化应用模式和发展规划，构建完整且有针对性的信息安全解决方案才能适应客户的需求。 引言 防泄密技术发展历程 引言 小结 信息安全系统如何适应高速发展的信息化系统？ 企业如何选择适合自己的信息安全管理系统？ 分析安全现状 价值信息 业务类 客户资料 财务信息 交易数据 分析统计数据 行政类 市场宣传计划 采购成本 合同定单 物流信息 管理制度 机要类 公文 统计数据 机要文件 会议机要 科研类 调查报告 咨询报告 招投标文件 专利 客户资料 价格 设计类 设计图纸 设计方案 策划文案 源代码 软件程序 价值信息如