2019信息安全建设规划实践.PDFVIP

2019 信息安全建设规划实践 CIOC 邢红波 前途汽车 （苏州）有限公司 目录 CONTENTS 01 风险挑战 02 策略目标 03 规划理念 04 实施模式 PART 01 风险挑战 01 1.1 企业信息安全规划的背景 • 数字化转型企业需要对数字资产进行合理、有效的保护 - 随着企业数字化转型的深入，线上线下一体化“数字化双胞胎”运营的逐步实现，信息资产已经成为企业最有价值，最具竞争力的核心资产 ，如何 理更合理、更高效实现信息（数字）资产的保护，是对信息安全建设提出更高要求。 • 工业互联网建设需要企业有与之匹配的安全管控能力 - 工业互联网时代IT、OT、CT快速融合，IoT模糊了传统安全边界 ，数据安全是工业互联网面临的最大壁垒之一，开展针对性的信息安全建设是构 架坚固的网络安全系统、管理脆弱环节、保护敏感信息与知识产权的有效途径。 • 利益驱动下的信息安全事件频发给企业造成巨额经济损失 - 在当今信息即财富的背景下，越来越多的黑客组织投身于信息资产的窃取，攻击手段变幻莫测，而且攻击渠道日益变幻，IoT设备、工业网已成为 不法黑客的攻击重点，为整个网络空间安全环境带来全新挑战。 • 数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航 - 国外GDPR 、联邦数据法；国内安全法、工业控制系统安全防护指南、信息安全等级保护办法；企业需要通过ISO27001认证，建立相应的安全规 划方案给后续的体系建设指明方向，确保企业合规运营。 风险挑战 策略目标 规划理念 实施模式 01 1.2 信息安全建设风险和挑战 • 企业数据化转型的深入，传统意义上固定的安全边界已经消失，工业互联网、移动办公、云计算、IoT等使信息跨越了办公边界而自由流动；汽车的电动化、智能 化、网联化、共享化趋势，使得新兴技术的发展应用在提高工作效率，满足客户体验同时，特别是政策性影响，也给安全技术带来了新的风险、挑战和要求 数据保护 移动办公 云计算 安全运营中心 ► 数据无处不在，系统、终端、网络、手机等 ► 设备的类型多样化与可移动性增强 ► 基础架构投资的经济效益提升 ► 看不见、摸不着的未知安全攻防 特 等 ► 网络接入渠道的增多与频繁的接断性 ► 网络带宽的发展促进了多种模式的云服务 ► 企业的安全健康状况难窥全貌 点 ► 知识共享与协同工作需要更频繁的数据交换 ► 移动应用的丰富化、个性化、定制化 ► 资源的可扩展性与数据集中化管理 ► 总是在为扑救安全事件而买单 ► 社交媒体的蓬勃发展增加了数据传输的渠道 ► 有效管理分散在各处的数据 ► 标准化配置的综合管理 ► IT传统基础架构的转变 ► 多种异构设备的日志标准规范与统一 IT ► 保障日渐庞大的数据的顺畅使用 ► 远程设备的策略部署与平台化管理 ► 从传统的外包服务转向云服务 ► 海量日志的有效归并管理与压缩存储 挑 ► IT消费品化、BYOD带来的设备管理多样化 ► 改造传统应用以适应于移动设备访问 ► 更弹性的负载均衡技术使用 ► 技术与管理的流程融合与决策支持 战 ► 移动应用的定制化开发 ► 用户操作习惯的转变 ► 识别整个企业中的敏感数据并进行分类分级 ► 移动设备自身的物理安全保护 ► 传统的基于物理边界的安全防护机制的转变 ► 安全健康状况的实时监