分会场四It 治理、风险管理和法规遵从的一种整体实现方案

882 views

Published on

Symentec 2010 @BJ

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
882
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

分会场四It 治理、风险管理和法规遵从的一种整体实现方案

  1. 1. IT GRC (IT治理、风险管理和法规遵从)的一种整体实现方案彭戈平高级系统工程师 1
  2. 2. 议程 1 大型企业IT GRC 的挑战 2 IT GRC整体解决方案 Symantec Control Compliance Suite 3 Symantec Control Compliance Suite 案例介绍 Symantec Vision 2010 2
  3. 3. IT 治理、风险管理和法规遵从的挑战 安全风险 法规/审计遵从• 威胁的复杂性与日俱增 • 评估的频率• 基础架构和配置的不断变化 • 内外部审计• 法规要求日益增多 • 向多方报告 安全和遵从成本 • 控制目标的重叠 • 手动评估控制 • 环境的多样性 Symantec Vision 2010 3
  4. 4. 自动化工具大幅降低审计成本和提升效果 成熟的组织使用自动化审计工具降低 自动化提高了审计频率和降低成本 54%的成本 7 100% 6 80% 54%评估审计周期(月) 5 less 法规遵从相对花费 60% 4 3 40% 2 20% 1 0 0% 最不成熟 最成熟 最不成熟 最成熟 * Based on a survey of 3,280 companies Source: IT Policy Compliance Group Symantec Vision 2010 4
  5. 5. 企业IT GRC关键需求和面临的复杂问题 3.自动的技术控制评估 • 控制测试的自动化 • 平台支持的广度和深度 • 自动识别和技术标准的 违规 • 识别关键漏洞1.策略和控制的对应 2.策略分发和更新 4.自动的程序控制评估 6.灵活报告和分析 7.补救管理 • 通过一个管理平台实• 定义和管理企业策略 • 将控制转换为问卷形式 现可定制的透明监控 • 自动与工单系统集成 以符合多个法规和标 • 基于Web的评估问卷来 • 可供审计的证据 • 封闭型和开放型补救 准的要求 评估策略是否被理解和 流程• 把控制措施和企业策 • 动态分析 执行,取代手工纸质的 • 精确跟踪 略对应 问卷 • 灵活的分发• 策略分发、接受、反 馈和回顾更新 5.敏感数据控制 8.IT资产数据库 • 敏感信息的定义 • 自动搜索敏感信息 • 资产信息以及来 • 划分补救措施的优先级 自其他设备和应 证据 用程序的控制数 据 资产 控制 Symantec Vision 2010 5
  6. 6. 大多数企业使用不同的单点产品解决上述问题 技术控制 策略 程序控制 报告 补救 数据 控制 第三方 证据 证据 资产 控制 Symantec Vision 2010 6
  7. 7. Symantec Control Compliance Suite –IT GRC整体解决方案 7
  8. 8. 赛门铁克的 IT 治理、风险管理和法规遵从方法 以策略为主导的IT治理、风险管理和遵从 保护基础架构 保护信息 端点 发现 网络 数据泄露防护 邮件 加密 Web应用 网络访问控制 数据保护 划分风险优先级的补救措施 有效的系统管理 发现 资产库 配置 设置 补丁 报告 工作流 CMDB Symantec Vision 2010 8
  9. 9. Symantec提供全面集成式的 IT GRC 解决方案 技术控制 CCS Standards Manager CCS Vulnerability Manager 策略 程序控制 报告 补救 CCS Policy CCS Response CCS 基础架构 Symantec Manager Assessment Manager Service Desk 数据 控制 第三方证据 DLP Discover Data Insight 证据 CCS 基础架构 资产 控制 Symantec Vision 2010 9
  10. 10. Symantec IT GRC 实现原理 HIPPA SOX GLBA FISMA Basel 法规要求 Cobit ISO PCI NERC 控制措施 对应 部署 That is a Policy That is a Policy 分配 Sample Text Sample Text without any without any meaning and just Policy That is a meaning and just there to Sample Text there to Illustrates the without any Illustrates the Text within a and just within a meaning Text PowerPoint there to PowerPoint Slide. Illustrates the Slide. 实施 Text within a PowerPoint Slide. 策略 资产 人 风险分析 That is a Policy That is a Policy That is a Policy That is a Policy Sample Text Sample Text Sample Text Sample Text without any without any without any without any meaning and just Policy meaning and just Policy That is a meaning and just That is a meaning and just there to there to Sample Text there to Sample Text there to Illustrates the Illustrates the without any Illustrates the without any Illustrates the Text within a and just within a Text within a and just within a meaning Text meaning Text PowerPoint PowerPoint there to PowerPoint there to PowerPoint Slide. Slide. Illustrates the Slide. Illustrates the Slide. Text within a Text within a 测量 PowerPoint 测量 PowerPoint Slide. Slide. 技术控制 程序控制 10 Symantec Vision 2010
  11. 11. 制定和管理策略 • IT 策略生命周期管理降低成本和 复杂度• 通过内置的策略内容制定策略• 评估包括法规和最佳实践• 自动的法规更新• 将策略与控制措施进行对应• 避免重复遵从多个法规中的相同控 制 Symantec Vision 2010 11
  12. 12. 自动评估IT 基础架构 • 改进的IT风险可视化,降低法规遵从 的成本和复杂度 • 自动评估技术控制,识别不符合和 配置错误 • 利用业界最好的预装内容 • 管理例外情况 • 灵活的无代理或基于代理的 数据收集选项 • 以遵从证据的形式发布 Symantec Vision 2010 12
  13. 13. 范围最广的技术控制平台 CCS 10.0平台 版本 无代理 基于代理 ● Server 2008 RTM、R2 ● 2008 R2 Mar 10 SU Server 2003 SP2、R2 ● ● Server 2000 ● ● Windows Vista SP1、SP2 ● ● XP SP1、SP2、SP3 ● ● Windows 7 RTM *2010-2 PCU Mar 10 SU ● Hyper-V Server 2008**、2008 R2**操作系统 2008 R2 Mar 10 SU Active Directory ● HP-UX 11*、11.11/11i v1、11.23 (11iv2)、11.31 ● ● 5.1*、5.2、5.3、6.1**、WPAR**、LPAR**、VIO client 1.5**、VIO server ● AIX ● 2.1** AIX 6.1 2010-3 PCU Unix 和虚拟化 Red Hat Linux V8*、v9*、EL 2.1*、EL 3.0、EL 4.0、EL 5.0 ● ● v8*、v8.1*、v8.2*、v9.0*、v9.1*、v9.2*、v9.3*、ES 8.1*、ES 9.0、ES 10、 ● SuSE Linux ● 11 Suse 11 2010-3 zLinux RHEL 5、SUSE 9、10 ● ● ● Solaris 8、9、10、Solaris Zones** Zones 2010-3 ● ● ● VMware ESX 3.0x、ESX 3.5、ESX 4、ESXi** ESX 4 2010-2 PCU ** 2010 年 7 月 Oracle 8i*、9i、10g、10g OAS、11g ● ●数据库 SQL Server 7.0, 2000, 2005, 2008 ● ● DB2 8.1, 8.2, 9.1, 9.5 ● Sybase 12.5, 15.0.1, 15.0.2, 15.0.3 ● My-SQL 4.x、5.x ●应用程 MS Exchange 2000*, 2003*, 2007* ● 序 MS IIS 5.0, 6.0 ● ● ● Apache 仅限数据收集 ● ● Netware 6.5、OES 2.0* 2010-3 PCU 不支持 OES其他 AS/400 V5R3、V5R4、V6R1 ● * OpenVMS 从 2010 年 3 月 17V8.2.1 及更高版本 仅以无代理模式提供 日起 ● ** 仅以基于代理的模式提供 Symantec Vision 2010 13
  14. 14. 执行高级漏洞评估• 主动防止对关键资产和信息的威 Web 应 胁 用程序• 识别 Web 应用程序、数据库、服 数据库 务器和其他网络设备中的重大漏 洞 操作系统• 超过 54,000 项检查,覆盖14,000 个漏洞 您的数据• 独一无二的漏洞“链”机制• 特有的风险评级算法• 64 位的高性能扫描引擎 CCS Vulnerability Manager 可将所有已知 漏洞关联起来,以查明隐而未知的新问题 Symantec Vision 2010 14
  15. 15. 自动评估程序控制• 自动评估程序控制,取代了费时费力 的手工操作• 基于Web的调查问卷,涵盖超过60个 法规和标准• 通过风险加权调查进行评估• 跟踪响应 - 接受情况、例外情况和澄清 申请• 与技术控制检查结合使用,以全面了 解遵从状况 Symantec Vision 2010 15
  16. 16. 确定重要资产并划分优先级 • 结合DLP,获得更好的遵从和安 全现状概况 • 使用 DLP Discovery 信息识别具有 敏感数据的资产 • 划分这些资产的优先级,以进行 控制评估 • 对这些资产考虑加固方法 • 并排显示 CCS 和 DLP 数据,以划 分补救工作的优先级 • 更全面地了解遵从和安全状况 Symantec Vision 2010 16
  17. 17. 报告风险和遵从状况 • 可为多个股东提供相关数据, 供其做出更明智的决策• 基于 Web 的动态管理面板• 将技术、流程和数据控制功能 与外部系统提供的证据相集成• 可从多个面板视图和过滤选项 中选择,并可深入了解所有细 节• 最终用户部署成本较低 Symantec Vision 2010 17
  18. 18. 集中收集和管理证据• 降低管理开销,增进对 IT 风 险和遵从状况的了解• 结合来自多个系统和应用程序 的数据,包括 DLP 和漏洞评估 数据• 标准化数据,并将数据与策略 和法规相对应• 在基于 Web 的管理面板和报 告中查看导入的数据 Symantec Vision 2010 18
  19. 19. 基于风险修补缺陷• 首先解决最严重的缺陷,改善IT 风险状况• 根据遵从和风险评分(使用 CVSS 量化分析)确定修补措施 的优先级• 提供详细的修补说明• 自动与故障单系统相集成: • 通过 Altiris Service Desk提供闭 环的验证 • 支持第三方Remedy/HP Service Desk Symantec Vision 2010 19
  20. 20. Symantec Control Compliance Suite案例介绍 Symantec Vision 2010 20
  21. 21. 美国大陆航空公司的 IT GRC 技术控制 • 操作系统、网络和数据 库安全标准 • 事件管理 • 风险评估 策略/标准 • 漏洞管理• 信息安全策略• 信息安全标准 程序控制 报告 补救 - 访问控制 • 资产遵从 - 审计 • 法规遵从 • 配置错误 • 遵从趋势 - 资产分类 • 风险管理 • 用户权限和特权不当 • 审计证据 …… • 服务器认证 • 补丁程序缺失 • 差距分析• 法规遵从 • 自行评估 • 标准更新 • 管理层面板 - PCI DSS - SOX - HIPAA 数据 控制 第三方数据 • 数据分类 • 使用DLP自动搜索敏感 信息 • 资产信息以及来自 • 硬盘加密 证据 Qualys、Vontu 和 SEP 的安全数据 资产 控制 Symantec Vision 2010 21
  22. 22. 国内某大型金融集团的IT GRC TECHNICAL CONTROLS • Automation of controls 主机安全配置检查和漏洞评估 testing • Breadth and depth of platform support • Asset prioritization • 数据中心有几千台服务器,系统平台有HP-UX, POLICY Solaris,Linux,AIX,AS400,Windows,数据库 REMEDIATE PROCEDURAL CONTROLS REPORT • Translate mandates 有SQL Server,Oracle,DB2,My-SQL • Translate controls into • Customizable, single pane of glass • Automated into controls integration with • Reduce overlapping • 已基于CIS benchmark制定了各主机、应用和数据 questionnaires visibility • Audit-ready evidence ticketing systems controls across • Gather data from • Closed- and open- mandates 库的安全配置策略vendors / partners • Dynamic analysis loop remediation • Manage approval • Prioritize controls • 企业通过ISO27001认证,需要接受ISO27001外审、 tracking • Flexible distribution • Precise 公司审计部的IT审计、银监会审计、保监会、证 DATA 监会的审计,法规遵从压力大 CONTROLS 3rd PARTY DATA • 原来使用脚本在主机服务器上运行进行主机安全 • Definition of sensitive information • Asset 配置检查,需要管理员手工执行,工作量大 • Automated discovery information, of sensitive information controls data • 使用CCS Standard Manager Module ESM进行配置 from other • Prioritized remediation EVIDENCE 检查和漏洞评估,自动化安全审计过程,大大降 devices & apps ASSETS CONTROLS 低审计工作量,轻松应对内外部各方审计 Symantec Vision 2010 22
  23. 23. Thank you! 彭戈平 gary_peng@symantec.com 13825037012Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates inthe U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 23

×