以太信御企业安全集成宣贯解决方案（2015.08.09）.pptx

企业信息安全整体解决方案严峻的信息安全环境血淋淋的教训（资金审批篡改事件）河北某大型生产企业非常重视企业信息化建设，在原有财务核算与供应链系统的基础上增加了将OA系统、资金系统，实现了企业内部业务与审批的“无纸化”办公。其ERP系统管理员周某蓄意报复企业，利用对系统及数据库的了解，在后台数据库中将企业资金管理系统中的委托付款书中的收款人及收款金额恶意修改，由于银行网银适配器并不校验ERP系统提交的付款信息，给企业造成巨大的损失……血淋淋的教训（财务信息泄漏）2013年山东某上市企业，在年报发布之前，年报数据被泄露，造成该企业股票产生剧烈波动，造成了很大的 经济损失和声誉影响，后经调查发现，该企业遭受了为期一年之久的APT攻击，经济黑客通过给该公司内部员工发钓鱼邮件，逐层控制员工主机，监听内部信息，最终控制重要人员电脑获取到了财务信息的核心访问权限，最终造成财务报表泄漏。血淋淋的教训（客户信息泄露）2014年8月，浙江一家做网上书店的互联网公司，因为其网站存在SQL注入漏洞而被攻击，造成数据库信息泄漏，大量客户的信息被泄露，客户遭到很多的诈骗电话，有些客户遭受到了经济损失，这个事情使该互联网的声誉极大受损，同时也造成大量客户流失，影响甚大。案例：从Offline向Online互联网浪潮下的中国企业，其商业模式、运营模式、管理模式都在发生深刻变化。企业战略、企业组织、企业业务…正从Offline向Online迁移！越来越多的企业业务通过网络, 以 [ 数字资产 ] 的形式交换和转移。从 企业内部?产业链?社会化商业协同 传统的信息安全防御边界已经模糊甚至消失。企业业务不能龟缩在线下，那么：在线上的每一个业务行为、每一次数据交换都可能存在风险！企业对信息安全认识的误区近些年来，随着管理软件市场的蓬勃发展，企业对于信息化（ERP）的认识也在逐步加深，越来越多的企业开始将核心业务移植到信息化平台。在某些行业与领域，一些先进的公司（例如，电子商务）已经开始将企业的核心业务系统与互联网对接，借以提高业务处理效率、准确性，为客户提供更好的体验。误区只重视信息化，而忽略信息化之后的安全问题抱有侥幸思想，认为不是行业知名企业就没有风险对于信息安全的认识比较浅薄，认为买了防火墙就是信息安全了只注重外部防御，而忽视内部监控部分有信息安全意识的企业有需求，也购买一些安全产品，但是不与核心业务进行结合，治标不治本企业业务管理中的信息安全困境…….…….安 全内控财务缺乏专业的信息安全人才，信息安全意识淡薄。缺乏对信息系统的安全审计机制缺乏完善的业务安全准入认证机制信息安全仅注重边界安全的保护，忽略内部产生的信息安全风险。财务报表泄露，给企业带来经济损失。财务数据被篡改，给企业带来经营管理风险。供应链人力目前企业信息安全的现状：搞不懂、防不住、控不了、查不出！薪资数据时常泄露，对企业内部经营造成影响。人员花名册泄露，造成不必要的人员流失的风险。设计图纸泄露、工艺路线被篡改产品BOM、原材料信息泄露客户信息、经销商信息、价格信息泄露企业IT系统面临的安全风险APT渗透攻击风险业务信息丢失无法恢复业务系统使用操作缺乏审计控制的风险数据远程传输过程中被监听和篡改风险sosIT运维过程缺乏监管的安全风险重要信息资料泄密风险来自互联网黑客的恶意攻击企业业务信息管理系统（ERP）自身安全漏洞风险内部员工网络行为无法监管的风险信息安全行业在中国的发展历史很短，缺乏核心技术、缺乏高端产品。很多企业对信息安全的认识比较单一，认为信息安全主要就是：防火墙、防病毒…；认为只要把企业的“边界”防住了，内部的数据（“信息资产”）也就安全了…防火墙是死的，企业是活的；企业的信息安全，就是关注企业业务的本身，围绕业务安全建立信息安全的综合防御体系，而不是单一的边界防御，要伴随企业业务的变化而不断的衍生、发展。我们认为：企业信息安全要建立以业务安全为核心的全方位立体化防御！以太信御、用友优普、启明星辰三方强强强联合针对企业市场推出适合于企业客户的信息安全解决方案重新定义企业信息安全我们的解决方案解决方案的业务流程安全咨询与规划企业业务安全风险评估安全建设方案设计安全运维与服务企业信息安全整体解决方案业务数据安全业务应用安全基础架构安全运维安全安全咨询企业信息安全风险评估的流程资产评估脆弱性识别威胁分析 威胁源分析威胁路径分析 识别（发现）业务信息资产 查找业务信息资产存在的安全隐患风险分析针对企业用户的信息安全风险评估是参照国际风险评估标准和管理规范，对企业的业务信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行综合分析监测，判断信息安全事件发生的概率以及可能造成的损失，从而分析总结出企业在信息安全方面的薄弱点和信息安全需求。 综合分析脆弱性被威胁利用的可能性以及给可能带