企业信息安全及等级保护治理方案.pptVIP

拜访对象及客户特征 理想的销售对象：CIO、CXO、IT或审计部门负责人 典型客户特征：医药销售领域商业贿赂、电信诈骗、POS机透支现金、证券内幕交易、保险“三假”事件、内部员工出售公司数据、及缺乏对额度大或数量大交易过程的有效监控 提问和商机挖掘 您所在公司是否发生过数据泄露事件?是的话,内部是如何处理的?员工被开除还是相关领导降职? 公司目前实施了那些信息安全举措?如:网络防火墙、网络入侵防护、物理监控、及数据外泄防护等 公司是否存在信息安全部？不存在的话，那个部门负责信息安全？如：IT科技部、审计部门、IT运维部门 您了解的数据安全监控技术有那些？数据库日志方式？网络报文方式？或其他？ 方案价值 防止对数据库的破坏、恶意访问、偷窃数据 了解敏感数据在什么地方；谁在使用这些数据 控制对数据库中数据的访问，包括特权用户 帮助企业强制执行安全规范 检查薄弱环节、漏洞，加固数据库风险防范能力 自动化内部和外部审计流程，增强运作效率 降低数据库风险治理的复杂性 客户案例 Bank of America, Boeing, Citibank, Coca Cola, Dell, EnCana, Florida Power Light, Ford, ING, MasterCard, Pacific Gas Electric, Progress Energy, Royal Bank of Scotland, Sprint, US Postal Service, Vodafone 安全项目是锦上添花 自09年刑法修正案明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三个罪名以来,全国立案案件数百起.值得企业关注的是在这些案件中,在国家司法力度强化之时涉案情节严重的多为金融和电信业中的一线技术和管理人员. 安全项目不适合国外产品 《中国信息安全市场分析》论文指出:信息安全产品的技术含量是非常高的，这就要求知识积累一定要充足，才能开发出有竞争力的产品。国内安全产品市场近八成高端用户的首选是国外产品.GUARDIUM是经公安部认证的数据库安全审计产品,用友整合其技术优势为国内客户提供适合企业实情的解决方案. 信息安全与业务审计无关 事实上,信息安全、风险管理、和审计工作本身就是密切相关的。在审计凭证性的前提下，数据库监控本身就可为企业提供审计需要的大量具有适当性和充分性的数据。业务审计能离开数据吗？数据库监控要保留何种数据是跨部门协同解决的议题，技术上不存在任何问题。 本部门职责定位明确，推动项目的条件不成熟 条件是可能转变的，贵部门是否存在与安全审计相关的需求？在需要跨部门协调的情况下，贵公司通常是如何运作的？ 信息安全/风险管理尚未提到本企业的议事日程 12.5规划及银监会巴三监管指导均对该议题的实现有明确时间性要求,两者结合推动对企业的实际效益会有明显提高.具体线路图是要靠项目实现的,只要根据实际情况确定切入点后期效果是有保障的.切入点的选择应遵循投入小产出高有后续的课题. 交流焦点回应 GUARDIUM近期培训 报名信息：/developerworks/wikis/display/im/InfoSphere+Guardium+Bootcamp 地点 开始 结束 上海 Jul 26, 2011 Jul 29, 2011 北京 Aug 09, 2011 Aug 12, 2011 深圳 Oct 18, 2011 Oct 21, 2011 问题 索尼数据泄露事件是如何发生的? 为什么说数据泄露的源头在数据库? 最直接的数据安全防护技术是什么? GUARDIUM获取数据库操作的方式有哪些? 举例说明3通道数据库监控的优点? GUARDIUM保存的信息是不可更动的,为什么? 谈谈你对安全审计和业务审计的看法? What the Sony PlayStation Network Attack Can Teach Us About Database Security By Alex Rothacker Sony’s PlayStation Network was breached between April 17 and April 19 and was taken offline by Sony on April 20. At the time of this writing, the service is still not available and it might not be available until the end of May. Much speculation has ensued on what has actually happened and the information