安全防护法安全威胁安全项目组织资讯安全策略资讯安全四大活动.PPTVIP

資安議題 HP Security Strategy江東軒 李致賢 楊雅婷 胡彥亮 大綱 資安議題 組織的資訊安全議題 國際資訊安全管理標準 HP的重要安全策略 資訊安全政策的制定 (Security Governance ) 資訊基礎架構 (Trusted Infrastructure ) 身份認證管理 (Identity Management) 主動式預防管理 (Proactive Security Management) 組織的資訊安全議題 網路安全的服務與目標 1.安全隱密性(Confidentiality) 2.身份認證性(Authentication) 3.資料完整性(Integrity) 4.授權性(Authorization) 5.不可否認性(Non-Repudiation) 資訊安全的環境背景 1.企業電腦化之普及所潛藏之危機 2.Internet的開放性 3.匿名性與距離性 4.犯罪速度快、容易複製、波及面大 5.電腦犯罪容易潛伏及隱藏 6.法律的周延性不足 組織資訊安全的漏洞與弱點 1.作業系統本身的弱點 2.通訊協定本身的弱點 3.網路軟體上的弱點 4.管理制度上的弱點 5.人員的弱點 網路安全的新威脅與挑戰 資訊安全防禦機制 組織資訊安全策略 資訊安全四大活動機制與目的 國際資訊安全管理標準：BS7799 國家資通安全會報： 政府重要資訊單位（A級機構） 皆必須取得BS7799 導入效益 增加信任度、滿意度 持續改善資安環境 降低損失 提升經營利潤 降低風險 個案介紹： HP Security Strategy attacks Sooner and Faster HP的重要安全策略 1. 資訊安全政策的制定 (Security Governance ) 企業資訊安全政策必須切合法規、企業需求、作業標準來制定政策、組織架構、流程與權限。 ?安全策略及政策服務?政策定義與流程設計?弱點及風險評估?ISO 17799 評估?駭客入侵測試?安全訓練及認知強化?法規遵循審查?資安程式發展?資安與ITIL整合服務 HP的重要安全策略 2. 資訊基礎架構 (Trusted Infrastructure ) 包含了使網路、系統、儲存、作業系統平台以及應用程式等，能即時並在限定的權限下安全的回應，形成值得信賴的基礎建設。 ?活成長的通訊網路設計架構?網路存取管控解決方案?網路及周圍環境安全?Microsoft 資訊安全解決方案?統整終端架構的解決方案 ?儲存安全?系統與主機安全?桌上型電腦與筆記型電腦的安全管理?應用軟體的安全管理?資訊安全服務 (基礎架構，規劃及建置) HP的重要安全策略 3. 身份認證管理 (Identity Management) 從定義、建立、修改、終結，到追蹤身分皆能在安全的管理下進入網路、系統、應用程式及IT服務 ?身分與存取的準備 ?身分認證與管理分析、關聯評估?企業風險與價值影響評估?目錄統整的設計及規劃?存取設計及規劃?身分認證的設計與規劃?身分認證與存取的建置?公共鑰匙的基礎架構?智慧卡整合 HP的重要安全策略 4. 主動式預防管理 (Proactive Security Management) 舉凡裝置、應用程式以及交換器等需要安全地管理其工具、技術和服務，都需要此主動式方案來監測、發現、回報並反應問題 ?資安危機管理程式 ?主動防禦服務 ?資安事件關聯性察覺 ?病毒碼更新管理?企業IT SOC資安作業中心規劃與建置 Security Governance  為什麼需要策略性管理? 除了優化，更重要的是： 使顧客、勞工、供應者、夥伴能夠有更快更簡便的方法通過外部防範 整合或分割組職變化時，能夠更有效率 使新的商業模型能夠更快實做 可以提供部分管理區塊給予商業使用 區域化的管理方法，更可以降低風險 HP的ANA網管策略 ANA means adaptive network architecture 它以創新的方法幫助一個企業以商業觀點建構網路 ANA可以基於商業需求的觀點來幫助企業網路分割出許多應用程式區塊 ANA可以延伸這些區塊，而不必考慮區域性，提共一個一致性的平台管理策略 使用ANA的結果，可以簡化管理，最大化利用，最小化使用時間 Trusted infrastructure Partnering for Security Solutions with Leading Companies