数字化转型之中大型企业整体网络安全解决方案(55页PPT)

微信扫码，打开到小程序

单击此处编辑文本 数字化转型 中大型企业整体网络安全解决方案 1 2 3 目录 安全趋势及需求分析 总体规划框架思路 Contents 具体解决方案设计 4 方案实施路径 5 典型案例 加入星球获取更多更全的数智化解决方案 数字化转型的相关理解 什么是数字化转型？ 就是利用数字化技术来推动企业组织转变业务模式，组织架构，企业文化等的变革措施。利用如某著 名企业互联网、社交网络、大数据、机器学习、人工智能、物联网、云计算、区块链等一系列技术为 企业组织构想和交付新的、差异化的价值。通过将技术与商业模式的深度融合，实现企业或机构在商 业（业务）模式上的优化、创新与变革。 信息化： 重点：流程和资源的 IT 系统化（数字 化） 范围：组织和供应商的封闭系统 应用：系统级产品 对象：结构化的数据 动力：组织驱动 目标：效率和成本 数字化： 重点：全要素的数字化 范围：面向客户的开放系统 应用：云计算、大数据、某著名企业 互联网 对象：结构与非结构化数据 动力：客户驱动 目标：能力升级与业务 信息化与数字化的关系： 信息化是数字化的基础 从重视过程到重视资产 数字化将全要素连接， IT 成为业务关键步 骤 背景 数字化转型业务的理解 制造智能化 （人工智能 \ 大数据 \ 机器人… .. ） IT 基础设施云化 (Iass\Pass\Saas), 面向服务化（ SOA) 营销精准化 （精准营销 \ 大数据 业务化） 生产运营数字化 (ERP\PLM\SRM \MES\QMS\.......) 汽车物联网化 （车载终端等） 管理、服务互联网化 ( 某著名企业 OA 、 VR 、顾客互 动 ) 建立有效的 IT 体系，强力支撑业务创新与运营，形成最佳实践，建立行业标杆 制造业信息化数字化转型 打造服务企业集团 支撑公司战略 XX 转型升级新局面，推动产品、营销、管理全面迈向高端，与产业链成员一起构建共生共赢的全 新产业生态圈，为员工创造美好生活，为客户创造价值，为社会创造财富，成为国际一流的服务 型企业集团。 XX 战略： 数字化转型背景下的几个典型安全问题 数据中心云化之后，虚拟网络安全状态，你是否掌握？ 大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 数字化转型面临的安全挑战 安全 挑战 传统边界模糊，网络 攻击面扩大 传统安全架构跟不 上安全新形势 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 邮 件 横向扩散 无障碍  2012 年 4 月，一名英特尔前员工 为了跳槽后能在 AMD 公司站稳脚， 从英特尔公司窃取了价值 10 亿美 元的电脑芯片制造与设计文件。 员工恶意窃取信息资产导致公司蒙受巨大损失  2015 年，某著名企业联合美国国 土安全部以及 FB 摧毁 Darkbot 僵 尸网络，已感染全球超过 100 万台 电脑。 僵尸网络盛行，企业 IT 投 资间接受损 背景 安全事件频发，企业网安全不容忽视 互联网 Internet 办公网络 办公终端 + 人员 企业信息资产与数据 传统安全建设 安全投资重点关注抵御外部攻击 防外部攻击 做边界隔离 阻止探测扫描 识别恶意流量 网络的安全威胁往往被忽略 办公网络成为安全洼地！！ 网络外部 网络 内网终端有没有肉鸡不清楚？ 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用 内网应用 终端响应 边界防护 边 界 防 护 INTERNET 网站 Web 服务 0Day 漏 洞 暴 力 破 解 钓 鱼 邮 件 社 工 攻 击 社会工程学攻击：在计算机科学中，社会工 程学指的是通过与他人的合法地交流，来使 其心理受到影响，做出某些动作或者是透露 一些信息的方式； 原因是：传统安全建设现状 缺乏监测预警能力 • 安全设备种类繁多，大部分硬件盒子设备生命周 期短、运维成本高？且安全设备越多，需要的安 全人员越多，光巡检的一些工作量就很大。 FW IPS AC WAF …… AV • 设备的安全策略怎么配置，如何让安全设备 发挥应有的价值？安全设备如何运维？配套 的流程制度如何制定且可落地？ • 企业还有哪些信息安全风险？大量的安全投 资给公司带来什么样的价值，和公司高层难 以说明白。 安全治理、策略层面 业务价值层面 安全技术层面 由 下 至 上 的 建 设 思 路 讲不清！ 管不好！ 用不起！ 所以，当前企业安全建设现状分析 目前网络建设现状及安全需求分析 虚拟机 私有云平台 虚拟机 虚拟机 CRM 供应链系统 财务共享中心等 互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 \ 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 缺乏统一的资产、威胁管理、风险管理的平台； • 无集中的日志审计、网络审计，缺乏网络管理体系。 • 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销分支等，基础机构已经比较完善，但是安全防 御能力弱，只有出口华为防火墙。其他安全措施都需要加强。 1 2 3 目录 安全趋势及风险分析 总体规划框架思路 Contents 具体落地方法及解决方案 4 典型案例 思考：企业需要怎么样设计安全体系？ 安全技术 体系 安全管理 体系 安全运营 体系 完整的安全体系 风险、威胁 保护资产对象 …… 外部威胁 威胁 高级威胁 业务异常 数字化转型下的安全建设应对思路 升级安全架构 进化安全能力 优化安全模式 从传统以被动防御为主的架构升级到主动检测、 积极响应的动态防御架构。 利用新的技术手段在攻击工具持续升级的趋势 下提供新的对抗手段。 从安全建设模式以堆砌硬件盒子设备到安全能 力级构建的模式。 解决思路 - 安全体系如何匹配数字转型 交付模型转变 • 轻资产运营模式， 是以价值为驱动的 资本战略。 • 安全设备以采购服 务的方式建设 安全即服务 • 基于 ITTL 理念，转 变之前安全设备的 交付模式。把安全 作为一项服务，给 业务部门提供服务 实现按需采购 • 除了必要的硬件网 关以外，基于软件 定义安全的方式采 购安全组件。 • 基于用户并发数量， 而不是直接采购一 项设备 构建安全运营中心 • 通过安全运营创造 安全价值，让公司 管理层以及业务部 门感受到安全价值 • 安全与业务紧密结 合，不脱节 安全建设目标 总体目标 按照“技术可落地、管理可执行、平台可扩展、安全可运营”的建设思路，使平台在各个安全层面不 仅达到国家信息安全相关标准要求，更实现“进不来、出不去、改不了，赖不掉、查得到”的总体目 标，重点保证数据安全和系统运行安全。 进不来 • 身份认证机制， 以及从云端、 边界、端点的 立体防护体系。 • 终端准入机制 出不去 • 数据加密、解 密、数据防泄 密 DLP 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备 • 基于 UEBA 的 行为分析技术 查得到 • 所以的访问行、 攻击事件为具 有记录，实时 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二 \ 三级级区域 工控 \ 无线网络区 域 某著名企业安全接 入区 云管理区 平台 安全 态势 感知 业务 安全 安全 服务体系 安全加固 技术标准 体系 国家安全 标准 云安全标准 智慧校园标 准 云资源监控 云操作监控 网络安全法 等级保护 2.0 边界 安全 出口边界安全 访问控制、链路负载、入侵防护、恶意代码防护等… 安全域隔离 安全域隔离、业务安全边界… 宏观辅助决策，微观有效威胁 失陷业务发现、失陷主机发现、 UEBA 、潜伏威胁黄金眼、主机外发行为检测、勒索检测、挖矿检测、安全事件检测 企业安全战略规划 端点检测响应系统（ EDR Endpoint Detection & Response） VMware 安全加固 数据安全 应用安全 主机安全 DLP 、完整性保护、生命周期保护 Web 安全防护、防篡改、漏洞扫描 OS 安全加固、基线核查、端点杀毒 安全运营体系： 事前：威胁预防 事中：积极防御 事后：检测响应 服务流程 咨询规划 风险预估 安全培训 应急响应 服务组织 1 2 3 目录 安全趋势及需求分析 总体规划框架思路 Contents 具体解决方案设计 4 方案实施路径 5 典型案例 现有企业安全架构 （出口防火墙） 扩展的安全架构部分 （数据中心、无线、某著 名企业互联网、主机安全、 漏扫、数据安全与数据库 审计等） 基础建设 基础架构设 计完善 强化系统 形成防御 - 检测 - 响 应闭环体 系 安 全 大 脑 云 端 安 全 端 点 安 全 边 界 安 全 整体优化 响应与服 务落地 持续安全服务 分支安全 \ 工 控安全等 安全意识培训 安全管理及流 程改造 风险评估 安全加固 规划 项目实施 运维管理 企 业 整 体 安 全 技 术 体 系 安 全 加 固 实 施 方 法 论 • 云脑（威胁情报、检测能力） • 云眼、云盾、云镜 • 在线专家 • 安全感知平台 • 用户行为分析 • 终端检测响应 EDR • 数据安全审计 • 准入系统 • 下一代防火墙 • 上网行为管理 • VPN 网关 • 安全资源池 • 垃圾邮件防护 安全建设规划路径分析 第一步：深度评估组织安全风险 • 查出当前安全建设的关键风险问题及薄弱环节，编写风险评估及分期规划方案 第二步：融合安全架构及轻资产化的安全交付模式 • 根据风险评估的结果，除了一些必要采购的硬件网关设备外，尽量以轻资产的方式采购。 第三步：共建的安全运营中心 • 补齐安全能力短板后，基于人、流程、技术平台、服务的四个方面，构建安全运营中心 安全体系框架：网络安全解决方案逻辑架构图 等保二 \ 三级级区域 工控 \ 无线网络区 域 某著名企业安全接 入区 云管理区 平台 安全 态势 感知 业务 安全 安全 服务体系 安全加固 技术标准 体系 国家安全 标准 云安全标准 智慧校园标 准 云资源监控 云操作监控 网络安全法 等级保护 2.0 边界 安全 出口边界安全 访问控制、链路负载、入侵防护、恶意代码防护等… 安全域隔离 安全域隔离、业务安全边界… 宏观辅助决策，微观有效威胁 失陷业务发现、失陷主机发现、 UEBA 、潜伏威胁黄金眼、主机外发行为检测、勒索检测、挖矿检测、安全事件检测 企业安全战略规划 端点检测响应系统（ EDR Endpoint Detection & Response） VMware 安全加固 数据安全 应用安全 主机安全 DLP 、完整性保护、生命周期保护 Web 安全防护、防篡改、漏洞扫描 OS 安全加固、基线核查、端点杀毒 安全运营体系： 事前：威胁预防 事中：积极防御 事后：检测响应 服务流程 咨询规划 风险预估 安全培训 应急响应 服务组织 安全技术体系：云端安全 - 互联网业务托管服务 返回维护站点 IP 地址 用户网站:www.xxx.xx 实 时 监 测 7*24 a. 分钟级 发现 b. 毫秒级 替换 c. 微信 \ 电话同 步告警 404 页面 • 托管式防护与响应 • 攻防专家应急对抗：金牌防御，每年两次，每次 15 天，带宽 50M 安全技术体系 - 边界安全：合理划分安全域 非安全区 半安全区 安全区 核心安全区 分级安全控制框架 Internet 区、 VPN 用户区和合作伙伴区等 计算域（ DMZ 区） 网络域（互联网接入、内联网接入、广域网） 用户域（管理用户区、业务用户区、远程用户区） 网络域（局域网核心区、数据中心核心区） 计算域（公共服务区、对内服务区、数据交换区、数据 存储区） 支撑域（安全管理区、网络运维区） 等级保护、 IATF 结合 安全技术体系 - 边界安全 - 融合边界隔离技术 L5-L7: 表示、会话 应用层 L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层 业务内容 应用架构 服务架构 操作系统 TCP/IP 协议栈 网络接口 网线 L7 以上 : 应用数据内容 网络层 DDoS 数据包、协议异常 访问控制问题 ARP 欺骗、广播风暴 SQL 注入、跨站脚本 Webshell 权限 应用扫描探测 应用层 DDoS （ CC 攻击） 非安全应用滥用 蠕虫、病毒、木马 应用软件（如 Apache ， Mysql 等）漏洞利用 中间件漏洞（如 Struts2 等）利用 操作系统漏洞利用攻击 信息窃取 网页篡改、挂马、黑链 弱密码攻击 传统 FW IPS AV WAF UTM 深信服 下一代防火墙 防 Web 攻击 漏洞防护 病毒防护 FW+VPN+IPS +AV ACL+NAT +DoS 满足企业不同的某著名企业化需求，按需选择 BYOD 、配发 设备模式。 • 基础的某著名企业协作办 公 – 安全接入与认证 – 传输加密 – 自带设备安装办公应用 • 重要业务系统某著名企业 化 – 单独的工作域入口 – 安全隔离的某著名企业 App – 一机两用场景 (BYOD, COPE) • 关键业务系统某著名企业 化 – 安全工作域 – 设备管理与应用审计 – 配发设备场景 EasyApp EasyWork EasyWork+ 某著名企业安全方案 安全接入 (VPN+ 认证 ) 数据安全隔离 (VPN+ 认证 + 沙箱隔离 ) 数据安全 / 设备管理 (VPN+ 认证 + 沙箱隔离 + 设备管控 ) 安全技术体系：某著名企业终端安全 - 员工主动恶泄密 安全技术体系：某著名企业终端安全 - 员工主动恶泄密 点击某著名企业内网 应用 VPN 单点登录 访问内网应用 点击企业微信内网应用 VPN 单点登录 访问内网应用 EasyApp—SaaS OA 效果 安全技术体系 - 云平台安全：软件定义安全边界 整体架构说明 引流交换机 平台层安全设备 接入 出口设备 核心 虚拟化层 云平台基础架构 安全资源池架构 南北向安全服务能力 东西向安全服务能力 服务对象 网络行为审计 下一代防火墙 数据库审计 VPN 日志审计 数据库审计 主机安全 租户 服务商 主管方 购买 安全编排 编排 运维 云内威胁管理 云内威胁管理 虚拟机 部署于每一台虚拟机的 agent 安全技术体系 - 云平台安全：软件定义安全界面 安全组网、业务流、故障可视 安全应用统一运维 安全技术体系 - 主机安全：终端检测响应 EDR ，加强端点安全保护 轻端重云架构，机器学习之芯！  加固（微隔离）  检测  响应  防御 基于应用策略，实现 主机东西向流量访问 控制 传统技术 + 人工智 能 + 机器学习的智 能检测模型 监控进程的可疑行为 , 以即时拦阻恶意代 码 全面探测服务器主机 和网络上的威胁活动 病毒、木马检测 僵尸网络检测 暴力破解检测 IP 黑白名单机制 文件隔离机制 业务安全域之间 业务安全域 网络 检测 加固 防御 web 服务器 中间件服务器 数据服务器 ……. 入侵行为主动 IP 封 堵 恶意文件隔离 X 深信服安 全中心 EDR Agent 受控终端 黑客 数据采集 策略下发 突破 边界 操作系统（ Windows/Linux ） 响应 管理平台支持统一的终端资产管理、终端安全体检、终 端合规检查，支持微隔离的访问控制策略统一管理，支 持对安全事件的一键隔离处置，以及热点事件 IOC 的 全网威胁定位，历史行为数据的溯源分析，远程协助取 证调查分析。 端点安全软件支 持轻代理模式安 装在物理主机、 虚拟机、云主机 等，支持 Windows 操作 系统和 Linux 操 作系统，支持服 务器终端和 PC 终端。 端点软件支持防 病毒功能、入侵 防御功能、防火 墙隔离功能、数 据信息采集上报、 安全事件的一键 处置等 安全技术体系：主机安全 - 云内安全威胁可视可控 全局流量路径可视 内置常用服务库 配置业务间访问关系 异常流量发现与阻断 安全技术体系：主机安全：基于人工智能技术的杀毒引擎 0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% 80.00% 90.00% 100.00% 97.85 % 32% 病毒检出率 病毒误报率 0.1% 0.04% 0.09% SAVE 深信服人工智能杀毒引擎 SAVE Sa