企业信息安全体系建设与实践.pptx

•2017年10月，台湾远东国际商业银行披露，其电脑系统遭

黑客植入恶意程序远端操控转账。据悉，主要受影响范围为少部分PC、伺服器（即“服务器”）及SWIFT系统，客户个人资料没有外泄。台湾警方随后表示，已通过国际刑警组织通报追回部分赃款，预计远东银行损失在50万美元以上，警方已着手进行鉴识比对，追查入侵远东银行电脑系统的黑客团伙。

•整个黑产链条可划分多达15个不同工种，他们分工明确、协同作案，形成了完整的网络诈骗地下产业链。

•初步统计，网络诈骗从业者至少有160万人，每年非法获利金额超过1100亿元。

•2017年5月12日晚，一款名为

Wannacry的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索活动，至少150个国家、30万名用户中招，造成数十亿美元损失。

各类安全事件频发，信息安全事态严峻

巨大经济利益驱使地下黑色产业链

•2018年3月17日，美国纽约时报和英国观察者报共同发布了深度报道，”TheCambridgeAnalyticaFiles”，称Facebook上超过5000万用户信息数据被一家名为CambridgeAnalytica（剑桥分析）的公司不当获取，用于在2016年美国总统大选中对目标受众进行精准信息投放，可能影响到大选结果。

•几百亿美元市值瞬间蒸发，这个代价足以在地球上养活一支绝对庞大的安全团队，甚至可以直接收购几家规模比较大的安全公司了。

数据泄露事件导致企业出现严重损失

.

实现路径和方法？

信息安全

定位

安全部门和各部门工作关系？

工作边界如何划分？

为什么需要这些资源？

建设者？运营者？检查监督？

应该管什么？

系统管理部门

网络管理部门

环境设备部门

业务部门

测试部门

开发部门

安全部门

发现早-全面监测

处置快-应急响应

进不来-防攻击

出不去-防泄露

领域管理对象管理和建设活动监督和检查活动

一般安全领域

业务管

理运行

业务功能和数据

应用系统安全需求分析、应用系统操作手册制订、应用系统日常管理

合规

检查

开发、运行、管理等工作过程合规检查和风险评估

技术

检查

源代

码安

全检

查、

渗透测试、漏洞扫描、等保测评、网页防篡改等

行内其他部门检查或评估

风险评估、尽职监督检查、IT审计

、

部银银、署家发信全

安民、会计国委的安查

公人行监审等部起息检

应用建

设运行

应用研发过程

安全需求评审、安全架构设计、安全需求分析、安全功能实现、安全编码、漏洞修复

源代码

源代码安全需求分析、源代码安全管理要求制订、源代码日常安全管理

开发和测试数据

开发和测试数据安全需求分析、开发和测试数据安全管理要求制订、实施开发和测试数据日常安全管理

已投产应用实例

已投产应用安全需求分析、数据访问权限管理、数据变更管理、漏洞修复

待提取数据

数据提取安全需求分析、数据提取安全要求制订、数据提取过程安全保护

IT基础

设施建

设运行

系统

系统安全需求分析、系统安全要求制订、系统安全技术研究、系统安全架构设计、系统资产信息统计、系统安全漏洞修复、系统用户权限管理、信息安全事件处置、威胁情报分析

网络

网络安全需求分析、网络安全要求制订、网络安全技术研究、网络安全架构设计、网络资产信息统计、网络安全漏洞修复、网络用户权限管理、信息安全事件处置、威胁情报分析

实体环

境保障

数据中心园区

安全制度制订、值班、巡查、门禁系统建设管理、视频监控系统建设管理、访客管理

办公大楼

安全制度制订、值班、巡查、门禁系统建设管理、视频监控系统建设管理、访客管理

机房

安全制度制订、值班、巡查、门禁系统建设管理、视频监控系统建设管理、访客管理

基础安全领域

威胁情报和态势感知

安全威胁情报收集、安全威胁情报分析、安全威胁情报通报、安全态势感知平台需求分析、安全态势感