06 启明星辰_潘柱廷_铺开业务看应用防护.pptVIP

云计算的层次价值链 云计算 CaaS 僵尸网 物联网 移动互联网 Web安全 IPv6 网络钓鱼 垃圾邮件 内部人员作案 流量洪流 垃圾短信 业务逻辑 知件 云化安全 流量清洗 K-Based Prevention Sys. 4A 管理平台 云存储 Service in box 云模式 合规性要求 SOA SaaS 知件 云计算 CaaS 僵尸网 物联网 移动互联网 Web安全 IPv6 网络钓鱼 垃圾邮件 内部人员作案 流量洪流 垃圾短信 业务逻辑 应用服务器贴身防护 云化安全 流量清洗 4A 管理平台 云存储 云模式 合规性要求 SOA SaaS 知件 K-Based Prevention Sys. Service in box 应用服务器贴身防护 手机用户 手机 通讯网 IP网 应用服务器 云计算 CaaS 僵尸网 物联网 移动互联网 Web安全 IPv6 网络钓鱼 垃圾邮件 内部人员作案 流量洪流 垃圾短信 业务逻辑 热牌 云化安全 知件 流量清洗 K-Based Prevention Sys. 4A 管理平台 云存储 Service in box 云模式 合规性要求 SOA SaaS 涉密系统安全 病毒/蠕虫 分布式 拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾/水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞/脆弱性 黑客 业务逻辑 卫星通讯 业务大集中 数据中心 线路中断 牌 加密 强认证 防火墙 入侵检测 国家战略 攻击检测 渗透测试 组织体系 制度/规则 多功能网关 UTM 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划/计划 云模式 项目管理 监控/预警 冗余/备份 应急响应 合规性要求 首席安全官 安全专家 三观论 宏观/中观/微观 量化/指标化 合作/外包 管理理念 云计算 CaaS 僵尸网 物联网 移动互联网 Web安全 IPv6 网络钓鱼 垃圾邮件 内部人员作案 流量洪流 垃圾短信 业务逻辑 云化安全 知件 流量清洗 K-Based Prevention Sys. 4A 管理平台 云存储 Service in box 云模式 合规性要求 SOA SaaS * 在谈安全方案的时候，会涉及到很多很多的话题，如果不梳理清楚就会混乱 * 一套方板，都是和资产业务相关的 一套草花，都是和威胁、漏洞、危害相关的 * 一套红桃，就是安全措施 当然，任何一个花色不一定只有13张牌 黑桃，代表原则、方法，既可以用在安全措施，也可以用在业务上，甚至可以用在威胁上 * 花色一旦理清楚，就不乱了 * * * * * * * * 花色一旦理清楚，就不乱了 * * * * * * 铺开业务看应用防护 启明星辰　首席战略官　　　． 中国计算机学会　理事　潘柱廷 2010年4月22日 话题 不易的风险立方体 业务、威胁和防护措施 在业务流中分析安全着力点 当前一些热点 老生常谈风险三要素 谈安全方案涉及到的方方面面 加密 强认证 防火墙 入侵检测 国家战略 攻击检测 渗透测试 组织体系 制度/规则 多功能网关 UTM 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划/计划 云模式 项目管理 监控/预警 冗余/备份 应急响应 合规性要求 首席安全官 安全专家 三观论 宏观/中观/微观 量化/指标化 合作/外包 管理理念 涉密系统安全 病毒/蠕虫 分布式 拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾/水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞/脆弱性 黑客 业务逻辑 卫星通讯 业务大集中 数据中心 线路中断 梳理手上的牌 涉密系统安全 病毒/蠕虫 分布式 拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾/水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞/脆弱性 黑客 业务逻辑 卫星通讯 业务大集中 数据中心 线路中断 梳理手中的 加密 强认证 防火墙 入侵检测 国家战略 攻击检测 渗透测试 组织体系 制度/规则 多功能网关 UTM 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划/计划 云模式 项目管理 监控/预警 冗余/备份 应急响应 合规性要求 首席安全官 安全专家 三观论 宏观/中观/微观 量化/指标化 合作/外包 管理理念 涉密系统安全 病毒/蠕虫 分布式 拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾/水灾 设备故障 内部人员作案 网络渗透 网