狠狠撸

狠狠撸Share a Scribd company logo

分会场一新的安全威胁趋势下的公司安全建设

?
?
ITband
ITband

Symantec 2010 @ BJ

1 of 41
新的安全威胁趋势下的公司安全建设 赛门铁克软件(北京)有限公司 首席安全解决方案顾问 马蔚彦 Symantec Vision 2010 1
年 月 日 种独特的恶意代码被 2010?年7月13日,一种独特的恶意代码被 发现——Stuxnet 其目的是企图控制全球的工业基础设施 微软在今年7月16日发布的2286198号安全公 告中建议客户访问微软提供的通用支持网站, 告中建议客户访问微软提供的通用支持网站 并联系“所在国家的执法机关” Symantec?Vision?2010 2
针对工业基础设施的数据采集与监控系统(SCADA),西门子 SIMATICWinCC和PCS7软件。 主要利用了Windows中快捷方式‘LNK/PIF’自动执行代码的 漏洞,通过U盘或者共享网络进行传播。 漏洞 通过U盘或者共享网络进行传播 Stuxnet被设计出来,目标是寻找基础设施关键信息并破坏其关 Stuxnet被设计出来 目标是寻找基础设施关键信息并破坏其关 键部分。 这是一种百分之百直接面向现实世界的破坏性网络攻击。 Symantec?Vision?2010 3
据英国《每日邮报》9月25日报道,该网络“超级武器”已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了该 病毒。 病毒 Symantec?Vision?2010 4
敲响警钟 ? 对系统管理员而言, 对系统管理员而言,当对日益频繁的补丁,零日攻击的公告日渐麻木的情况下的一 个警示。 ? 认为大多数恶意软件都以互联网为中心的认识,是否可能让我们错过或者忽视了某 些类型的威胁? ? 对公司而言, 对公司而言,传统工业专用系统(如:工业控制领域)中的传统安全防护理念—— 对公司而言,传统工业专用系统(如:工业控制领域)中的传统安全防护理念 “隔离”,还能适应当前的环境吗? ? 随着传统工业与信息技术的不断融合,传统PC安全走过的弯路,是否都会在传统 工业重演? Symantec?Vision?2010 5
引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 Symantec?Vision?2010 6
我们面对着一个飞速变化的IT环境 公司目标 网银、网上购物、在线服务、社 业务/服务 ? 降低成本 ,?创新业务 创新业务 开放化 交性网站 提升效能 ,?最大效益 ? 传统工控系统的PC,转向更为廉 IT 价和通用的 价和通用的Windows-Intel平台 平台 基础设施 通用化 ? 电信业核心网正在从传统的专用 的多承载网络转向开放性的IP统 一承载 终端 ? 手机、上网本、智能终端; 多元化 ? 终端应用多样化 ? 虚拟化技术的运用 资源整合 ? 数据与业务的集中化 与优化 ? 云计算模式的应用 信息 膨胀化 ? IDC的数据,人类一天产生的信息量为8兆万亿字节 ? 公司的信息,以每年超过66%的速度在增长 Symantec?Vision?2010
IT环境的变化带来的安全风险 公司目标 应用安全、数据与信息安全的管 业务/服务 ? 降低成本 ,?创新业务 创新业务 开放化 理和技术控制措施提出更高要求。 提升效能 ,?最大效益 IT ? 传统IT系统的安全问题扩大化: 基础设施 – 设备范围扩大 通用化 – 影响范围扩大 – 安全运维能力要求扩大 终端 ? 使得原本已经较难管理的终端 多元化 环境,变得更加复杂 ? 新模式产生新的安全问题 资源整合 ? 依然存在并关注老的安全问题 与优化 ? 新旧模式转变过渡期的安全管理复杂化 信息 膨胀化 ? 信息和数据的安全风险,更加直接影响业务和公司信誉 信息和数据的安全风险 更加直接影响业务和公司信誉 Symantec?Vision?2010
滨罢系统在公司中的角色变化 以“信息”为中心 以 系统 为中心 以“系统”为中心 驱动力:更高的生产力以及合作与 驱动力:业务自动化,如: 知识共享的灵活性 ERP,功能性的应用 数据:?分散,非结构化 数据:集中化,结构化 数据:集中化 结构化 基础设施:虚拟,云,外包服务 基础设施 虚拟 云 外包服务 基础设施:?物理 SEC?101?ESG?Security?Strategy Symantec?Vision?2010 9
引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 Presentation?Identifier?Goes?Here Symantec?Vision?2010 10
恶意代码的增长 攻击动机的转变 信息风险超乎想象 威胁的深度影响 演变为一种犯罪商 1. 1 广泛性 针对性 1. 1 攻击的主要目标 1. 1 公司信誉和竞争力 业模式 2. 追求名誉 获利 2. 防护的薄弱环节 2. 国家基础设施 3. 政治动机显露头脚 全球信息安全威胁趋势 Symantec?Vision?2010 11
恶意代码的趋势 数量上的爆炸式增长 传播途径和方式的多样性:欺骗性安全软件、邮件、IM、BBS等 在过去十年内,恶意病毒已经成功演变为一种犯罪商业模式,所涉金额高达 数十亿美元 Symantec?Vision?2010 12
恶意代码趋势 (2002 – 2009) 2009年… ?57% 恶意代码只出现在单一计算机 ?57%?恶意代码只出现在单一计算机 ?传统防病毒机制已力不从心!! 成长17倍!! Symantec Vision 2010. 13
攻击动机的转变 攻击形式上,针对性攻击取代广泛性攻击 有90% 是有组织的犯罪活动,以公司信息为明确的目标 以破坏为目的,公司的关键性基础设施正在成为受关注的攻击目标 Symantec?Vision?2010 14
信息风险超乎想象 有88%的公司无法回答“我们的信息风险有多大?” 全球有80%的公司存在信息泄漏的风险 在日益膨胀的恶意代码中,有90-95%针对敏感信息 泄密极其容易,每400封邮件中就有1封包含敏感信息,每50份通过网络传输的 文件中就有1份包含敏感数据,每2个USB盘中就有1个包含敏感信息 个 Symantec?Vision?2010 15
威胁的深度影响 在发达国家,泄漏一条客户信息带来的损失高达 200美金 2009年价值超过 $1trillion的信息被窃取 Stuxnet事件被喻为一个新的时代的标志—— 网络间谍和网络阴谋的时代 Symantec?Vision?2010 16
引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 Symantec?Vision?2010 17
中国公司安全建设的发展和应对 传统的思路和模式 以边界、安全域为主的 被动的、防御型 应对型的安全建设 “传统防护思路” 的技术手段 模式 防护重点 安全治理观念 高效安全管理需求 逐渐转向针对: 1.加强主动防御的合规管理 .加强主动防御的合规管理 通过工具化、自动化的安全 ?数据内容 工作。 手段,应对不断扩张的IT资 ?应用 2. 加强安全监控综合分析; 产的管理,有效落实安全管 户身份 ?用户身份 3. 通过安全指标为衡量手 理要求 ?行为 段,推进安全治理、衡量 的安全防护。——业务化 安全建设绩效。 Symantec?Vision?2010
但,依然令中国公司IT管理者感到困惑的问 但,依然令中国公司IT管理者感到困惑的问 题: 题: 安全到底应该建成什么样子? ~ 能否有一个标准的、可落地的安全框架,供企 业参照执行? Symantec?Vision?2010
SYMANTEC?的思考之 : 有 SYMANTEC?的思考之一:~有or没有? SYMANTEC 的思考之一:~有or没有? 的思考之 有or 安全到底应该建成什么样子? ~能否有一个标准的、可落地的安全框架,供公司参照执 行? 有 没有 ? 标准 ? 没有能够简单照搬,解决 ? 理念,方法论 问题的通用模式 ? 最佳实践 ? 没有一成不变的固定模式 ? 建设思路 没有最好的安全,只有最适宜的安全 没有最好的安全 只有最适宜的安全 Symantec?Vision?2010
SYMANTEC?的思考之二 : 最大的瓶颈所在 SYMANTEC 的思考之二 :~最大的瓶颈所在 SYMANTEC? 矛盾 落差 ? IT部门内部:生产vs安全 ? 观念上的重视与实际行动支 持间的落差 ? 部门之间 业务 vs IT 部门之间:业务 ? 理想状态与现实环境的落差 Symantec?Vision?2010 21
SYMANTEC?的思考之三 : SYMANTEC?的思考之三 业务/服务 整合三股共同推动的力量 ~整合三股共同推动的力量 开放化 IT 基础设施 通用化 终端 重点在于 安全控制 ? ISO 27001重点在于IT安全控制 多元化 ? 但没有讲如何做 资源整合 与优化 信息 膨胀化 ISO 27001 ? 以标准为公司建设的参照 ? ITIL重点在于IT过程管理 ? 强调IT支持和IT交付 ? 及时了解最大的外部威胁 ? 但是没有安全和开发 ? 采取应对最大威胁的最新手段 ? 寻求解决内部困境的最佳实践 ? COBIT重点在于IT控制和度量评 落 价 差 ? 但是没有讲如何做 Cobit ? 也不专注在安全 Cobit IT 治理关注的域业务目标与IT目标的关系 Symantec?Vision?2010
引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 安 建设的方向与 点 Symantec?Vision?2010 23
Symantec可以: Symantec可以: 提供最佳实践,助力安全建设 提供最佳实践 助力安全建设 建立“防御联盟”,共同推动安全建设 Symantec?Vision?2010 24
赛门铁克愿景 “Confidence in the Connected World” Confidence?in?the?Connected?World 互联世界,满怀信心 Secure?and?Manage?Your?Information‐Driven? S dM Y I f ti D i Enterprise,?across?Physical,?Virtual,?and?Cloud Symantec? Vision 2010 25
来自最佳实践的公司安全建设框架: ? 以合规管理推动安全治理常态化 – 以风险和公司策略为驱动 Risk?Based?and?Policy?Driven Ri k B d d P li D i – 以自动化的风险与合规管理为手段 IT Governance, Risk and Compliance – 不断治理和改善安全状态 – 应对不断变化的挑战 ? 以“信息”风险管理为核心 Information? Centric – 信息的安全更针对数据的内容 Information Risk – 信息是IT系统的核心与重点 Identity?Centric Management Operationalized ? 增强基础设施管理 Identity Id tit & – 标准化、流程化、自动化 Authentication Infrastructure Management – 更加高效、安全的IT运行管理 Management ? 以身份管理确保可信的访问 Well? Well ? 提供良好的基础设施保护 – 人是IT系统使用的主体 Protected? – 提供安全保护良好的基础设施 Infrastructure – 身份的标识与认证确保主体的安全 Infrastructure – 更加安全的基础设施环境 Protection Symantec?Vision?2010 26
最佳实践 以合规促进安全治理 实现安全治理的闭环: Data Protection Server Policy Malware Policy Policy ? 定义风险并开发适宜的IT 策略 PCI SOX Basel FISMA ? 评估基础设施和运行流程 COBIT ISO NIST 的风险 策略管理 评估与识别 风险及遵从报 纠正与响应 ? 对问题进行应有的监控、 ? Assess 告 ? Remedia 上报并提供证明 ? Define/m anage? technical? ? Report? te? written? & ih ik with?risk? deficienc ? 问题的弥补 policies procedural? weighted? ies controls model ? Prioritize? ? Distribute? policies?&? ? Identify? ? Centralize? and? track? track critical? critical view?of? view of respond? respond exception vulnerabilit procedural? to? s ies controls incidents ? Detect? deviations 27 7 27 Symantec?Vision?2010
最佳实践 IT系统的主体安全——身份 确保可信的身份: ? 用户、站点、设备身份的 认证 ? 提供可信的连接保证 ? 交易的认证 ? 访问控制 VeriSign?Services 欺诈行为 信任服务 用户认证 设备认证 加密 检测 28 Symantec?Vision?2010
最佳实践 以保护“信息”为核心 方案 把业务部门引入安全管理的 理念 CD/ 电子 最佳 切入点 最佳“切入点”: DV 邮件 D We USB USB b邮 设备 件 信息泄漏 防泄漏 策略 笔记 ? 定义敏感信息 风险管理 本电 监控 &预防 及时 消息 解决方案 脑 发现 &保护 ? 监视这些数据如何被使 监视这些数据如何被使用 File 服务 Web/ftp 器 ? 建立防泄漏的管理机制和流程 数据库 服务器 – 提升整个公司对信息安全管理的参 方法论 与度 结合实际的最佳实践 – 将信息安全管理上升到业务风险管 ?由下属部门的主管组成 统筹管理委员会 ?负责制定战略方向,扩大覆盖范围,设定风险防范机制目标,监测标准。确 保优先权正确,资源充足,业务单位正在进行数据监测。 理的高度 ?CISO,CIO应当带领指导委员会,推动业务部门参加数据指标的监控,对事件 进行补救,并增减政策规定。 进行补救 并增减政策规定 IT部门 风险管理部 业务部 门 门 ? 负责DLP系统的 ? 负责上报事件和统计数据 ? 负责部门内的事 管理 的管理 件管理 –负责维护系统功 – 风险管理部门给出明确的风险等 – 一般风险由部门自己 级定义 管理 能和性能,配置和 能和性能 配置和 – 明确哪个等级的事件必须上报 – 高危风险需上报总部 管理策略、响应规 – 管理上报事件,进行调查和取证 风险管理部门 则、用户、角色、 – 定期按统计数据进行排名,排名 – 定期提交所属部门风 工作流 结果记入KPI指标 险统计数据 –系统优调和扩展, – 必要时,启动紧急响应流程。联 系公关部门,外部法律机构减小 29 或消除负面影响 Symantec?Vision?2010 监测运行 指标
最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理,提 高效率 ? 及时监控和掌握系统的运行状态 Server Management g Symantec?Vision?2010 30
最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 ? 及时监控和掌握系统的运行状 Client 态 Management g Symantec?Vision?2010 31
最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 Service Desk ? 及时监控和掌握系统的运行 状态 Symantec?Vision?2010 32
最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 IT Asset ? 及时监控和掌握系统的运行 Management 状态 Symantec?Vision?2010 33
最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: Workflow Management ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 ? 及时监控和掌握系统的运行 状态 Symantec?Vision?2010 34
最佳实践 提供更加全面的基础设施保护 针对当前威胁的发展 提供整合的应对手段 ? 通过统一的Portal,实现对安全状况和 操作的可视化能力的提升 ? 提供多层次 更加完整的保护能力 提供多层次、更加完整的保护能力 (从端点—网关—服务器) ? 统一化的管理,简化管理,有效抑制 安全的开销 ? 自动化的备份与恢复、监控、更新和 安全策略的强制执行 Symantec?Vision?2010 35
公司安全工作落实和推进的最佳实践 管理目标 管 标 落实工作 落实 作 (风险) (考核) 逐步提升 可知 准确可知 可管 全面可管 可控 精细可控 抓三类指标 覆盖率——建设规模/内容 管 落地执行 技 合规率 合规率——管理的执行力/持续效果 管理的执行力/持续效果 理 术 措 支撑 手 精细度——管理的精细度 施 促进 段 限制 Symantec?Vision?2010
Symantec可以: Symantec可以: 提供最佳实践,助力安全建设 提供最佳实践 助力安全建设 建立“防御联盟”,共同推动安全建设 Targeted?Attacks?on?Intellectual?Property Symantec?Vision?2010 37
Global?Intelligence?Network Identifies?more?threats,?takes?action?faster?&?prevents?impact Calgary, Alberta Dublin, Ireland Reading, England San Francisco, CA Alexandria, VA Tokyo, Japan Mountain View, CA Chengdu, China Austin, TX Culver City, CA City Taipei, Taiwan Chennai, India Pune, India Sydney, AU Worldwide Coverage Global Scope and Scale 24x7 Event Logging Rapid Detection Attack Activity Malware Intelligence Vulnerabilities Spam/Phishing ? 240,000 sensors ? 130M client, server, ? 32,000+ vulnerabilities ? 2.5M decoy accounts ? 200+ countries g gateways monitored y ? 11,000 vendors ? 8B+ email messages/day g y ? Global coverage ? 72,000 technologies ? 1B+ web requests/day Preemptive Security Alerts Symantec?Vision?2010 Copyright ? 2009 Symantec Corporation. All rights reserved. Protection Information Threat Triggered Actions 38
Building?a? Community?of?Defense with Businesses Building a “Community of Defense”?with?Businesses > Customers?from?businesses?around?the?world Who > Symantec?Security?Leadership?and?Experts?on? Threat?Research > Ongoing discussions about the types of IT risks Ongoing?discussions about?the?types?of?IT?risks? What businesses?face?today > Share?information?about?security incidents,?impact? , p p assessment,?and?best?practices?to?prevent > Today’s?targeted?attacks?characterized?by? mend organization,?covert?nature?and?patience g , p Recomm Key? > Strong?consensus?these?attacks?represent?a? significant risk?to?intellectual?property > Suggestions?…… gg Symantec?Vision?2010 39
共同努力,构建中国公司安全的 防护联盟 共同努力 构建中国公司安全的“防护联盟” ? 强烈呼吁建立”首席信息安全官 “的管理岗位,或类似的管理机构。 ? 加强业界通行的最佳安全实践的应 用推广。 ? 加强公司之间解决内部困境的经验 分享。 Symantec?Vision?2010
Thank?you! y 马蔚彦 Weiyan_ma@symantec.com y @y 13601394620 Copyright???2010?Symantec?Corporation.?All?rights?reserved. Symantec?and?the?Symantec?Logo?are?trademarks?or?registered?trademarks?of?Symantec?Corporation?or?its?affiliates?in? the?U.S.?and?other?countries. Other?names?may?be?trademarks?of?their?respective?owners. This?document?is?provided?for?informational?purposes?only?and?is?not?intended?as?advertising. All Thi d ti id d f i f ti l l di ti t d d d ti i All?warranties?relating?to?the?information?in?this?document,?either?express?or?implied,? ti l ti t th i f ti i thi d t ith i li d are?disclaimed?to?the?maximum?extent?allowed?by?law. The?information?in?this?document?is?subject?to?change?without?notice. Presentation?Identifier?Goes?Here 41

More Related Content

分会场一新的安全威胁趋势下的公司安全建设

  • 2. 年 月 日 种独特的恶意代码被 2010?年7月13日,一种独特的恶意代码被 发现——Stuxnet 其目的是企图控制全球的工业基础设施 微软在今年7月16日发布的2286198号安全公 告中建议客户访问微软提供的通用支持网站, 告中建议客户访问微软提供的通用支持网站 并联系“所在国家的执法机关” Symantec?Vision?2010 2
  • 5. 敲响警钟 ? 对系统管理员而言, 对系统管理员而言,当对日益频繁的补丁,零日攻击的公告日渐麻木的情况下的一 个警示。 ? 认为大多数恶意软件都以互联网为中心的认识,是否可能让我们错过或者忽视了某 些类型的威胁? ? 对公司而言, 对公司而言,传统工业专用系统(如:工业控制领域)中的传统安全防护理念—— 对公司而言,传统工业专用系统(如:工业控制领域)中的传统安全防护理念 “隔离”,还能适应当前的环境吗? ? 随着传统工业与信息技术的不断融合,传统PC安全走过的弯路,是否都会在传统 工业重演? Symantec?Vision?2010 5
  • 6. 引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 Symantec?Vision?2010 6
  • 7. 我们面对着一个飞速变化的IT环境 公司目标 网银、网上购物、在线服务、社 业务/服务 ? 降低成本 ,?创新业务 创新业务 开放化 交性网站 提升效能 ,?最大效益 ? 传统工控系统的PC,转向更为廉 IT 价和通用的 价和通用的Windows-Intel平台 平台 基础设施 通用化 ? 电信业核心网正在从传统的专用 的多承载网络转向开放性的IP统 一承载 终端 ? 手机、上网本、智能终端; 多元化 ? 终端应用多样化 ? 虚拟化技术的运用 资源整合 ? 数据与业务的集中化 与优化 ? 云计算模式的应用 信息 膨胀化 ? IDC的数据,人类一天产生的信息量为8兆万亿字节 ? 公司的信息,以每年超过66%的速度在增长 Symantec?Vision?2010
  • 8. IT环境的变化带来的安全风险 公司目标 应用安全、数据与信息安全的管 业务/服务 ? 降低成本 ,?创新业务 创新业务 开放化 理和技术控制措施提出更高要求。 提升效能 ,?最大效益 IT ? 传统IT系统的安全问题扩大化: 基础设施 – 设备范围扩大 通用化 – 影响范围扩大 – 安全运维能力要求扩大 终端 ? 使得原本已经较难管理的终端 多元化 环境,变得更加复杂 ? 新模式产生新的安全问题 资源整合 ? 依然存在并关注老的安全问题 与优化 ? 新旧模式转变过渡期的安全管理复杂化 信息 膨胀化 ? 信息和数据的安全风险,更加直接影响业务和公司信誉 信息和数据的安全风险 更加直接影响业务和公司信誉 Symantec?Vision?2010
  • 9. 滨罢系统在公司中的角色变化 以“信息”为中心 以 系统 为中心 以“系统”为中心 驱动力:更高的生产力以及合作与 驱动力:业务自动化,如: 知识共享的灵活性 ERP,功能性的应用 数据:?分散,非结构化 数据:集中化,结构化 数据:集中化 结构化 基础设施:虚拟,云,外包服务 基础设施 虚拟 云 外包服务 基础设施:?物理 SEC?101?ESG?Security?Strategy Symantec?Vision?2010 9
  • 10. 引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 Presentation?Identifier?Goes?Here Symantec?Vision?2010 10
  • 11. 恶意代码的增长 攻击动机的转变 信息风险超乎想象 威胁的深度影响 演变为一种犯罪商 1. 1 广泛性 针对性 1. 1 攻击的主要目标 1. 1 公司信誉和竞争力 业模式 2. 追求名誉 获利 2. 防护的薄弱环节 2. 国家基础设施 3. 政治动机显露头脚 全球信息安全威胁趋势 Symantec?Vision?2010 11
  • 13. 恶意代码趋势 (2002 – 2009) 2009年… ?57% 恶意代码只出现在单一计算机 ?57%?恶意代码只出现在单一计算机 ?传统防病毒机制已力不从心!! 成长17倍!! Symantec Vision 2010. 13
  • 16. 威胁的深度影响 在发达国家,泄漏一条客户信息带来的损失高达 200美金 2009年价值超过 $1trillion的信息被窃取 Stuxnet事件被喻为一个新的时代的标志—— 网络间谍和网络阴谋的时代 Symantec?Vision?2010 16
  • 17. 引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 Symantec?Vision?2010 17
  • 18. 中国公司安全建设的发展和应对 传统的思路和模式 以边界、安全域为主的 被动的、防御型 应对型的安全建设 “传统防护思路” 的技术手段 模式 防护重点 安全治理观念 高效安全管理需求 逐渐转向针对: 1.加强主动防御的合规管理 .加强主动防御的合规管理 通过工具化、自动化的安全 ?数据内容 工作。 手段,应对不断扩张的IT资 ?应用 2. 加强安全监控综合分析; 产的管理,有效落实安全管 户身份 ?用户身份 3. 通过安全指标为衡量手 理要求 ?行为 段,推进安全治理、衡量 的安全防护。——业务化 安全建设绩效。 Symantec?Vision?2010
  • 20. SYMANTEC?的思考之 : 有 SYMANTEC?的思考之一:~有or没有? SYMANTEC 的思考之一:~有or没有? 的思考之 有or 安全到底应该建成什么样子? ~能否有一个标准的、可落地的安全框架,供公司参照执 行? 有 没有 ? 标准 ? 没有能够简单照搬,解决 ? 理念,方法论 问题的通用模式 ? 最佳实践 ? 没有一成不变的固定模式 ? 建设思路 没有最好的安全,只有最适宜的安全 没有最好的安全 只有最适宜的安全 Symantec?Vision?2010
  • 21. SYMANTEC?的思考之二 : 最大的瓶颈所在 SYMANTEC 的思考之二 :~最大的瓶颈所在 SYMANTEC? 矛盾 落差 ? IT部门内部:生产vs安全 ? 观念上的重视与实际行动支 持间的落差 ? 部门之间 业务 vs IT 部门之间:业务 ? 理想状态与现实环境的落差 Symantec?Vision?2010 21
  • 22. SYMANTEC?的思考之三 : SYMANTEC?的思考之三 业务/服务 整合三股共同推动的力量 ~整合三股共同推动的力量 开放化 IT 基础设施 通用化 终端 重点在于 安全控制 ? ISO 27001重点在于IT安全控制 多元化 ? 但没有讲如何做 资源整合 与优化 信息 膨胀化 ISO 27001 ? 以标准为公司建设的参照 ? ITIL重点在于IT过程管理 ? 强调IT支持和IT交付 ? 及时了解最大的外部威胁 ? 但是没有安全和开发 ? 采取应对最大威胁的最新手段 ? 寻求解决内部困境的最佳实践 ? COBIT重点在于IT控制和度量评 落 价 差 ? 但是没有讲如何做 Cobit ? 也不专注在安全 Cobit IT 治理关注的域业务目标与IT目标的关系 Symantec?Vision?2010
  • 23. 引发的思考 1 IT环境整体的发展趋势 2 全球的安全威胁变化特点 3 如何摆脱公司安全建设的困境 4 公司安全建设的方向与重点 安 建设的方向与 点 Symantec?Vision?2010 23
  • 24. Symantec可以: Symantec可以: 提供最佳实践,助力安全建设 提供最佳实践 助力安全建设 建立“防御联盟”,共同推动安全建设 Symantec?Vision?2010 24
  • 25. 赛门铁克愿景 “Confidence in the Connected World” Confidence?in?the?Connected?World 互联世界,满怀信心 Secure?and?Manage?Your?Information‐Driven? S dM Y I f ti D i Enterprise,?across?Physical,?Virtual,?and?Cloud Symantec? Vision 2010 25
  • 26. 来自最佳实践的公司安全建设框架: ? 以合规管理推动安全治理常态化 – 以风险和公司策略为驱动 Risk?Based?and?Policy?Driven Ri k B d d P li D i – 以自动化的风险与合规管理为手段 IT Governance, Risk and Compliance – 不断治理和改善安全状态 – 应对不断变化的挑战 ? 以“信息”风险管理为核心 Information? Centric – 信息的安全更针对数据的内容 Information Risk – 信息是IT系统的核心与重点 Identity?Centric Management Operationalized ? 增强基础设施管理 Identity Id tit & – 标准化、流程化、自动化 Authentication Infrastructure Management – 更加高效、安全的IT运行管理 Management ? 以身份管理确保可信的访问 Well? Well ? 提供良好的基础设施保护 – 人是IT系统使用的主体 Protected? – 提供安全保护良好的基础设施 Infrastructure – 身份的标识与认证确保主体的安全 Infrastructure – 更加安全的基础设施环境 Protection Symantec?Vision?2010 26
  • 27. 最佳实践 以合规促进安全治理 实现安全治理的闭环: Data Protection Server Policy Malware Policy Policy ? 定义风险并开发适宜的IT 策略 PCI SOX Basel FISMA ? 评估基础设施和运行流程 COBIT ISO NIST 的风险 策略管理 评估与识别 风险及遵从报 纠正与响应 ? 对问题进行应有的监控、 ? Assess 告 ? Remedia 上报并提供证明 ? Define/m anage? technical? ? Report? te? written? & ih ik with?risk? deficienc ? 问题的弥补 policies procedural? weighted? ies controls model ? Prioritize? ? Distribute? policies?&? ? Identify? ? Centralize? and? track? track critical? critical view?of? view of respond? respond exception vulnerabilit procedural? to? s ies controls incidents ? Detect? deviations 27 7 27 Symantec?Vision?2010
  • 28. 最佳实践 IT系统的主体安全——身份 确保可信的身份: ? 用户、站点、设备身份的 认证 ? 提供可信的连接保证 ? 交易的认证 ? 访问控制 VeriSign?Services 欺诈行为 信任服务 用户认证 设备认证 加密 检测 28 Symantec?Vision?2010
  • 29. 最佳实践 以保护“信息”为核心 方案 把业务部门引入安全管理的 理念 CD/ 电子 最佳 切入点 最佳“切入点”: DV 邮件 D We USB USB b邮 设备 件 信息泄漏 防泄漏 策略 笔记 ? 定义敏感信息 风险管理 本电 监控 &预防 及时 消息 解决方案 脑 发现 &保护 ? 监视这些数据如何被使 监视这些数据如何被使用 File 服务 Web/ftp 器 ? 建立防泄漏的管理机制和流程 数据库 服务器 – 提升整个公司对信息安全管理的参 方法论 与度 结合实际的最佳实践 – 将信息安全管理上升到业务风险管 ?由下属部门的主管组成 统筹管理委员会 ?负责制定战略方向,扩大覆盖范围,设定风险防范机制目标,监测标准。确 保优先权正确,资源充足,业务单位正在进行数据监测。 理的高度 ?CISO,CIO应当带领指导委员会,推动业务部门参加数据指标的监控,对事件 进行补救,并增减政策规定。 进行补救 并增减政策规定 IT部门 风险管理部 业务部 门 门 ? 负责DLP系统的 ? 负责上报事件和统计数据 ? 负责部门内的事 管理 的管理 件管理 –负责维护系统功 – 风险管理部门给出明确的风险等 – 一般风险由部门自己 级定义 管理 能和性能,配置和 能和性能 配置和 – 明确哪个等级的事件必须上报 – 高危风险需上报总部 管理策略、响应规 – 管理上报事件,进行调查和取证 风险管理部门 则、用户、角色、 – 定期按统计数据进行排名,排名 – 定期提交所属部门风 工作流 结果记入KPI指标 险统计数据 –系统优调和扩展, – 必要时,启动紧急响应流程。联 系公关部门,外部法律机构减小 29 或消除负面影响 Symantec?Vision?2010 监测运行 指标
  • 30. 最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理,提 高效率 ? 及时监控和掌握系统的运行状态 Server Management g Symantec?Vision?2010 30
  • 31. 最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 ? 及时监控和掌握系统的运行状 Client 态 Management g Symantec?Vision?2010 31
  • 32. 最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 Service Desk ? 及时监控和掌握系统的运行 状态 Symantec?Vision?2010 32
  • 33. 最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 IT Asset ? 及时监控和掌握系统的运行 Management 状态 Symantec?Vision?2010 33
  • 34. 最佳实践 加强基础设施的管理 技术手段是落实管理手段的基本保障: Workflow Management ? 实现更加安全的操作环境 ? 分布和强制执行补丁的管理 ? 通过自动化的过程简化管理, 提高效率 ? 及时监控和掌握系统的运行 状态 Symantec?Vision?2010 34
  • 35. 最佳实践 提供更加全面的基础设施保护 针对当前威胁的发展 提供整合的应对手段 ? 通过统一的Portal,实现对安全状况和 操作的可视化能力的提升 ? 提供多层次 更加完整的保护能力 提供多层次、更加完整的保护能力 (从端点—网关—服务器) ? 统一化的管理,简化管理,有效抑制 安全的开销 ? 自动化的备份与恢复、监控、更新和 安全策略的强制执行 Symantec?Vision?2010 35
  • 36. 公司安全工作落实和推进的最佳实践 管理目标 管 标 落实工作 落实 作 (风险) (考核) 逐步提升 可知 准确可知 可管 全面可管 可控 精细可控 抓三类指标 覆盖率——建设规模/内容 管 落地执行 技 合规率 合规率——管理的执行力/持续效果 管理的执行力/持续效果 理 术 措 支撑 手 精细度——管理的精细度 施 促进 段 限制 Symantec?Vision?2010
  • 37. Symantec可以: Symantec可以: 提供最佳实践,助力安全建设 提供最佳实践 助力安全建设 建立“防御联盟”,共同推动安全建设 Targeted?Attacks?on?Intellectual?Property Symantec?Vision?2010 37
  • 38. Global?Intelligence?Network Identifies?more?threats,?takes?action?faster?&?prevents?impact Calgary, Alberta Dublin, Ireland Reading, England San Francisco, CA Alexandria, VA Tokyo, Japan Mountain View, CA Chengdu, China Austin, TX Culver City, CA City Taipei, Taiwan Chennai, India Pune, India Sydney, AU Worldwide Coverage Global Scope and Scale 24x7 Event Logging Rapid Detection Attack Activity Malware Intelligence Vulnerabilities Spam/Phishing ? 240,000 sensors ? 130M client, server, ? 32,000+ vulnerabilities ? 2.5M decoy accounts ? 200+ countries g gateways monitored y ? 11,000 vendors ? 8B+ email messages/day g y ? Global coverage ? 72,000 technologies ? 1B+ web requests/day Preemptive Security Alerts Symantec?Vision?2010 Copyright ? 2009 Symantec Corporation. All rights reserved. Protection Information Threat Triggered Actions 38
  • 39. Building?a? Community?of?Defense with Businesses Building a “Community of Defense”?with?Businesses > Customers?from?businesses?around?the?world Who > Symantec?Security?Leadership?and?Experts?on? Threat?Research > Ongoing discussions about the types of IT risks Ongoing?discussions about?the?types?of?IT?risks? What businesses?face?today > Share?information?about?security incidents,?impact? , p p assessment,?and?best?practices?to?prevent > Today’s?targeted?attacks?characterized?by? mend organization,?covert?nature?and?patience g , p Recomm Key? > Strong?consensus?these?attacks?represent?a? significant risk?to?intellectual?property > Suggestions?…… gg Symantec?Vision?2010 39
  • 40. 共同努力,构建中国公司安全的 防护联盟 共同努力 构建中国公司安全的“防护联盟” ? 强烈呼吁建立”首席信息安全官 “的管理岗位,或类似的管理机构。 ? 加强业界通行的最佳安全实践的应 用推广。 ? 加强公司之间解决内部困境的经验 分享。 Symantec?Vision?2010
  • 41. Thank?you! y 马蔚彦 Weiyan_ma@symantec.com y @y 13601394620 Copyright???2010?Symantec?Corporation.?All?rights?reserved. Symantec?and?the?Symantec?Logo?are?trademarks?or?registered?trademarks?of?Symantec?Corporation?or?its?affiliates?in? the?U.S.?and?other?countries. Other?names?may?be?trademarks?of?their?respective?owners. This?document?is?provided?for?informational?purposes?only?and?is?not?intended?as?advertising. All Thi d ti id d f i f ti l l di ti t d d d ti i All?warranties?relating?to?the?information?in?this?document,?either?express?or?implied,? ti l ti t th i f ti i thi d t ith i li d are?disclaimed?to?the?maximum?extent?allowed?by?law. The?information?in?this?document?is?subject?to?change?without?notice. Presentation?Identifier?Goes?Here 41