SlideShare uma empresa Scribd logo

分会场四It 治理、风险管理和法规遵从的一种整体实现方案

ITband
ITband

Symentec 2010 @BJ

Tecnologia
1 de 23
IT GRC (IT治理、风险管理和法规遵从) 的一种整体实现方案 彭戈平 高级系统工程师 1
议程 1 大型企业IT GRC 的挑战 2 IT GRC整体解决方案 Symantec Control Compliance Suite 3 Symantec Control Compliance Suite 案例介绍 Symantec Vision 2010 2
IT 治理、风险管理和法规遵从的挑战 安全风险 法规/审计遵从 • 威胁的复杂性与日俱增 • 评估的频率 • 基础架构和配置的不断变化 • 内外部审计 • 法规要求日益增多 • 向多方报告 安全和遵从成本 • 控制目标的重叠 • 手动评估控制 • 环境的多样性 Symantec Vision 2010 3
自动化工具大幅降低审计成本和提升效果 成熟的组织使用自动化审计工具降低 自动化提高了审计频率和降低成本 54%的成本 7 100% 6 80% 54% 评估审计周期(月) 5 less 法规遵从相对花费 60% 4 3 40% 2 20% 1 0 0% 最不成熟 最成熟 最不成熟 最成熟 * Based on a survey of 3,280 companies Source: IT Policy Compliance Group Symantec Vision 2010 4
企业IT GRC关键需求和面临的复杂问题 3.自动的技术控制评估 • 控制测试的自动化 • 平台支持的广度和深度 • 自动识别和技术标准的 违规 • 识别关键漏洞 1.策略和控制的对应 2.策略分发和更新 4.自动的程序控制评估 6.灵活报告和分析 7.补救管理 • 通过一个管理平台实 • 定义和管理企业策略 • 将控制转换为问卷形式 现可定制的透明监控 • 自动与工单系统集成 以符合多个法规和标 • 基于Web的评估问卷来 • 可供审计的证据 • 封闭型和开放型补救 准的要求 评估策略是否被理解和 流程 • 把控制措施和企业策 • 动态分析 执行,取代手工纸质的 • 精确跟踪 略对应 问卷 • 灵活的分发 • 策略分发、接受、反 馈和回顾更新 5.敏感数据控制 8.IT资产数据库 • 敏感信息的定义 • 自动搜索敏感信息 • 资产信息以及来 • 划分补救措施的优先级 自其他设备和应 证据 用程序的控制数 据 资产 控制 Symantec Vision 2010 5
大多数企业使用不同的单点产品解决上述问题 技术控制 策略 程序控制 报告 补救 数据 控制 第三方 证据 证据 资产 控制 Symantec Vision 2010 6
Symantec Control Compliance Suite – IT GRC整体解决方案 7
赛门铁克的 IT 治理、风险管理和法规遵从方法 以策略为主导的IT治理、风险管理和遵从 保护基础架构 保护信息 端点 发现 网络 数据泄露防护 邮件 加密 Web应用 网络访问控制 数据保护 划分风险优先级的补救措施 有效的系统管理 发现 资产库 配置 设置 补丁 报告 工作流 CMDB Symantec Vision 2010 8
Symantec提供全面集成式的 IT GRC 解决方案 技术控制 CCS Standards Manager CCS Vulnerability Manager 策略 程序控制 报告 补救 CCS Policy CCS Response CCS 基础架构 Symantec Manager Assessment Manager Service Desk 数据 控制 第三方证据 DLP Discover Data Insight 证据 CCS 基础架构 资产 控制 Symantec Vision 2010 9
Symantec IT GRC 实现原理 HIPPA SOX GLBA FISMA Basel 法规要求 Cobit ISO PCI NERC 控制措施 对应 部署 That is a Policy That is a Policy 分配 Sample Text Sample Text without any without any meaning and just Policy That is a meaning and just there to Sample Text there to Illustrates the without any Illustrates the Text within a and just within a meaning Text PowerPoint there to PowerPoint Slide. Illustrates the Slide. 实施 Text within a PowerPoint Slide. 策略 资产 人 风险分析 That is a Policy That is a Policy That is a Policy That is a Policy Sample Text Sample Text Sample Text Sample Text without any without any without any without any meaning and just Policy meaning and just Policy That is a meaning and just That is a meaning and just there to there to Sample Text there to Sample Text there to Illustrates the Illustrates the without any Illustrates the without any Illustrates the Text within a and just within a Text within a and just within a meaning Text meaning Text PowerPoint PowerPoint there to PowerPoint there to PowerPoint Slide. Slide. Illustrates the Slide. Illustrates the Slide. Text within a Text within a 测量 PowerPoint 测量 PowerPoint Slide. Slide. 技术控制 程序控制 10 Symantec Vision 2010
制定和管理策略 • IT 策略生命周期管理降低成本和 复杂度 • 通过内置的策略内容制定策略 • 评估包括法规和最佳实践 • 自动的法规更新 • 将策略与控制措施进行对应 • 避免重复遵从多个法规中的相同控 制 Symantec Vision 2010 11
自动评估IT 基础架构 • 改进的IT风险可视化,降低法规遵从 的成本和复杂度 • 自动评估技术控制,识别不符合和 配置错误 • 利用业界最好的预装内容 • 管理例外情况 • 灵活的无代理或基于代理的 数据收集选项 • 以遵从证据的形式发布 Symantec Vision 2010 12
范围最广的技术控制平台 CCS 10.0 平台 版本 无代理 基于代理 ● Server 2008 RTM、R2 ● 2008 R2 Mar 10 SU Server 2003 SP2、R2 ● ● Server 2000 ● ● Windows Vista SP1、SP2 ● ● XP SP1、SP2、SP3 ● ● Windows 7 RTM *2010-2 PCU Mar 10 SU ● Hyper-V Server 2008**、2008 R2** 操作系统 2008 R2 Mar 10 SU Active Directory ● HP-UX 11*、11.11/11i v1、11.23 (11iv2)、11.31 ● ● 5.1*、5.2、5.3、6.1**、WPAR**、LPAR**、VIO client 1.5**、VIO server ● AIX ● 2.1** AIX 6.1 2010-3 PCU Unix 和虚拟化 Red Hat Linux V8*、v9*、EL 2.1*、EL 3.0、EL 4.0、EL 5.0 ● ● v8*、v8.1*、v8.2*、v9.0*、v9.1*、v9.2*、v9.3*、ES 8.1*、ES 9.0、ES 10、 ● SuSE Linux ● 11 Suse 11 2010-3 zLinux RHEL 5、SUSE 9、10 ● ● ● Solaris 8、9、10、Solaris Zones** Zones 2010-3 ● ● ● VMware ESX 3.0x、ESX 3.5、ESX 4、ESXi** ESX 4 2010-2 PCU ** 2010 年 7 月 Oracle 8i*、9i、10g、10g OAS、11g ● ● 数据库 SQL Server 7.0, 2000, 2005, 2008 ● ● DB2 8.1, 8.2, 9.1, 9.5 ● Sybase 12.5, 15.0.1, 15.0.2, 15.0.3 ● My-SQL 4.x、5.x ● 应用程 MS Exchange 2000*, 2003*, 2007* ● 序 MS IIS 5.0, 6.0 ● ● ● Apache 仅限数据收集 ● ● Netware 6.5、OES 2.0* 2010-3 PCU 不支持 OES 其他 AS/400 V5R3、V5R4、V6R1 ● * OpenVMS 从 2010 年 3 月 17V8.2.1 及更高版本 仅以无代理模式提供 日起 ● ** 仅以基于代理的模式提供 Symantec Vision 2010 13
执行高级漏洞评估 • 主动防止对关键资产和信息的威 Web 应 胁 用程序 • 识别 Web 应用程序、数据库、服 数据库 务器和其他网络设备中的重大漏 洞 操作系统 • 超过 54,000 项检查,覆盖14,000 个漏洞 您的数据 • 独一无二的漏洞“链”机制 • 特有的风险评级算法 • 64 位的高性能扫描引擎 CCS Vulnerability Manager 可将所有已知 漏洞关联起来,以查明隐而未知的新问题 Symantec Vision 2010 14
自动评估程序控制 • 自动评估程序控制,取代了费时费力 的手工操作 • 基于Web的调查问卷,涵盖超过60个 法规和标准 • 通过风险加权调查进行评估 • 跟踪响应 - 接受情况、例外情况和澄清 申请 • 与技术控制检查结合使用,以全面了 解遵从状况 Symantec Vision 2010 15
确定重要资产并划分优先级 • 结合DLP,获得更好的遵从和安 全现状概况 • 使用 DLP Discovery 信息识别具有 敏感数据的资产 • 划分这些资产的优先级,以进行 控制评估 • 对这些资产考虑加固方法 • 并排显示 CCS 和 DLP 数据,以划 分补救工作的优先级 • 更全面地了解遵从和安全状况 Symantec Vision 2010 16
报告风险和遵从状况 • 可为多个股东提供相关数据, 供其做出更明智的决策 • 基于 Web 的动态管理面板 • 将技术、流程和数据控制功能 与外部系统提供的证据相集成 • 可从多个面板视图和过滤选项 中选择,并可深入了解所有细 节 • 最终用户部署成本较低 Symantec Vision 2010 17
集中收集和管理证据 • 降低管理开销,增进对 IT 风 险和遵从状况的了解 • 结合来自多个系统和应用程序 的数据,包括 DLP 和漏洞评估 数据 • 标准化数据,并将数据与策略 和法规相对应 • 在基于 Web 的管理面板和报 告中查看导入的数据 Symantec Vision 2010 18
基于风险修补缺陷 • 首先解决最严重的缺陷,改善IT 风险状况 • 根据遵从和风险评分(使用 CVSS 量化分析)确定修补措施 的优先级 • 提供详细的修补说明 • 自动与故障单系统相集成: • 通过 Altiris Service Desk提供闭 环的验证 • 支持第三方Remedy/HP Service Desk Symantec Vision 2010 19
Symantec Control Compliance Suite 案例介绍 Symantec Vision 2010 20
美国大陆航空公司的 IT GRC 技术控制 • 操作系统、网络和数据 库安全标准 • 事件管理 • 风险评估 策略/标准 • 漏洞管理 • 信息安全策略 • 信息安全标准 程序控制 报告 补救 - 访问控制 • 资产遵从 - 审计 • 法规遵从 • 配置错误 • 遵从趋势 - 资产分类 • 风险管理 • 用户权限和特权不当 • 审计证据 …… • 服务器认证 • 补丁程序缺失 • 差距分析 • 法规遵从 • 自行评估 • 标准更新 • 管理层面板 - PCI DSS - SOX - HIPAA 数据 控制 第三方数据 • 数据分类 • 使用DLP自动搜索敏感 信息 • 资产信息以及来自 • 硬盘加密 证据 Qualys、Vontu 和 SEP 的安全数据 资产 控制 Symantec Vision 2010 21
国内某大型金融集团的IT GRC TECHNICAL CONTROLS • Automation of controls 主机安全配置检查和漏洞评估 testing • Breadth and depth of platform support • Asset prioritization • 数据中心有几千台服务器,系统平台有HP-UX, POLICY Solaris,Linux,AIX,AS400,Windows,数据库 REMEDIATE PROCEDURAL CONTROLS REPORT • Translate mandates 有SQL Server,Oracle,DB2,My-SQL • Translate controls into • Customizable, single pane of glass • Automated into controls integration with • Reduce overlapping • 已基于CIS benchmark制定了各主机、应用和数据 questionnaires visibility • Audit-ready evidence ticketing systems controls across • Gather data from • Closed- and open- mandates 库的安全配置策略vendors / partners • Dynamic analysis loop remediation • Manage approval • Prioritize controls • 企业通过ISO27001认证,需要接受ISO27001外审、 tracking • Flexible distribution • Precise 公司审计部的IT审计、银监会审计、保监会、证 DATA 监会的审计,法规遵从压力大 CONTROLS 3rd PARTY DATA • 原来使用脚本在主机服务器上运行进行主机安全 • Definition of sensitive information • Asset 配置检查,需要管理员手工执行,工作量大 • Automated discovery information, of sensitive information controls data • 使用CCS Standard Manager Module ESM进行配置 from other • Prioritized remediation EVIDENCE 检查和漏洞评估,自动化安全审计过程,大大降 devices & apps ASSETS CONTROLS 低审计工作量,轻松应对内外部各方审计 Symantec Vision 2010 22
Thank you! 彭戈平 gary_peng@symantec.com 13825037012 Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 23

Recomendados

腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松Michael Zhang
 
腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松areyouok
 
赛诺朗基全局事件管理
赛诺朗基全局事件管理赛诺朗基全局事件管理
赛诺朗基全局事件管理Mktg
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to PracticeJordan Pan
 
Предотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюПредотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюSelectedPresentations
 
Grc w22
Grc w22Grc w22
Grc w22SelectedPresentations
 
IT GRC with Symantec
IT GRC with SymantecIT GRC with Symantec
IT GRC with SymantecArrow ECS UK
 
GRC– The Way Forward
GRC– The Way ForwardGRC– The Way Forward
GRC– The Way ForwardRochester Security Summit
 

Recomendados

腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松Michael Zhang
 
腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松腾讯大讲堂30 运维工具让你的开发运营更轻松
腾讯大讲堂30 运维工具让你的开发运营更轻松areyouok
 
赛诺朗基全局事件管理
赛诺朗基全局事件管理赛诺朗基全局事件管理
赛诺朗基全局事件管理Mktg
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to PracticeJordan Pan
 
Предотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюПредотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюSelectedPresentations
 
Grc w22
Grc w22Grc w22
Grc w22SelectedPresentations
 
IT GRC with Symantec
IT GRC with SymantecIT GRC with Symantec
IT GRC with SymantecArrow ECS UK
 
GRC– The Way Forward
GRC– The Way ForwardGRC– The Way Forward
GRC– The Way ForwardRochester Security Summit
 
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值ITband
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & ITBilly Lee
 
Teched 2013 监和控
Teched 2013 监和控Teched 2013 监和控
Teched 2013 监和控Cheng Zhang
 
Mocha Bsm
Mocha BsmMocha Bsm
Mocha Bsm王 莆中
 
Brochure acl solutions_new_version
Brochure acl solutions_new_versionBrochure acl solutions_new_version
Brochure acl solutions_new_versionDavid Chuang
 
baidu fuye
baidu fuyebaidu fuye
baidu fuyedachmx
 
百度 fuye
百度 fuye百度 fuye
百度 fuyedachmx
 
盛大游戏运维体系
盛大游戏运维体系盛大游戏运维体系
盛大游戏运维体系Ken Liu
 
盛大游戏运维体系
盛大游戏运维体系盛大游戏运维体系
盛大游戏运维体系Ken Liu
 
基于虚拟化平台创建企业私有云
基于虚拟化平台创建企业私有云基于虚拟化平台创建企业私有云
基于虚拟化平台创建企业私有云ITband
 
阿里云 张旭 集群运维管理平台
阿里云 张旭 集群运维管理平台阿里云 张旭 集群运维管理平台
阿里云 张旭 集群运维管理平台guiyingshenxia
 
集群运维管理平台
集群运维管理平台集群运维管理平台
集群运维管理平台mysqlops
 
Web系统性能测试方案浅谈
Web系统性能测试方案浅谈Web系统性能测试方案浅谈
Web系统性能测试方案浅谈beiyu95
 
Aws 全面业务流程管理解决方案v2 0
Aws 全面业务流程管理解决方案v2 0Aws 全面业务流程管理解决方案v2 0
Aws 全面业务流程管理解决方案v2 0mfrog
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证ITband
 
Top100summit 互联网发布与实验体系建设
Top100summit 互联网发布与实验体系建设 Top100summit 互联网发布与实验体系建设
Top100summit 互联网发布与实验体系建设 drewz lin
 
Autotask 简介
Autotask 简介Autotask 简介
Autotask 简介down123
 
網路安全管理
網路安全管理網路安全管理
網路安全管理Hsuan-Chih Wang
 
Greenplum技术
Greenplum技术Greenplum技术
Greenplum技术锐 张
 
分会场二赛门铁克灾备系统项目经验分享
分会场二赛门铁克灾备系统项目经验分享分会场二赛门铁克灾备系统项目经验分享
分会场二赛门铁克灾备系统项目经验分享ITband
 
It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点ITband
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案ITband
 

Mais conteúdo relacionado

Semelhante a 分会场四It 治理、风险管理和法规遵从的一种整体实现方案

分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值ITband
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & ITBilly Lee
 
Teched 2013 监和控
Teched 2013 监和控Teched 2013 监和控
Teched 2013 监和控Cheng Zhang
 
Brochure acl solutions_new_version
Brochure acl solutions_new_versionBrochure acl solutions_new_version
Brochure acl solutions_new_versionDavid Chuang
 
baidu fuye
baidu fuyebaidu fuye
baidu fuyedachmx
 
百度 fuye
百度 fuye百度 fuye
百度 fuyedachmx
 
盛大游戏运维体系
盛大游戏运维体系盛大游戏运维体系
盛大游戏运维体系Ken Liu
 
盛大游戏运维体系
盛大游戏运维体系盛大游戏运维体系
盛大游戏运维体系Ken Liu
 
基于虚拟化平台创建企业私有云
基于虚拟化平台创建企业私有云基于虚拟化平台创建企业私有云
基于虚拟化平台创建企业私有云ITband
 
阿里云 张旭 集群运维管理平台
阿里云 张旭 集群运维管理平台阿里云 张旭 集群运维管理平台
阿里云 张旭 集群运维管理平台guiyingshenxia
 
集群运维管理平台
集群运维管理平台集群运维管理平台
集群运维管理平台mysqlops
 
Web系统性能测试方案浅谈
Web系统性能测试方案浅谈Web系统性能测试方案浅谈
Web系统性能测试方案浅谈beiyu95
 
Aws 全面业务流程管理解决方案v2 0
Aws 全面业务流程管理解决方案v2 0Aws 全面业务流程管理解决方案v2 0
Aws 全面业务流程管理解决方案v2 0mfrog
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证ITband
 
Top100summit 互联网发布与实验体系建设
Top100summit 互联网发布与实验体系建设 Top100summit 互联网发布与实验体系建设
Top100summit 互联网发布与实验体系建设 drewz lin
 
Autotask 简介
Autotask 简介Autotask 简介
Autotask 简介down123
 
Greenplum技术
Greenplum技术Greenplum技术
Greenplum技术锐 张
 
分会场二赛门铁克灾备系统项目经验分享
分会场二赛门铁克灾备系统项目经验分享分会场二赛门铁克灾备系统项目经验分享
分会场二赛门铁克灾备系统项目经验分享ITband
 

Semelhante a 分会场四It 治理、风险管理和法规遵从的一种整体实现方案 (20)

分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & IT
 
Teched 2013 监和控
Teched 2013 监和控Teched 2013 监和控
Teched 2013 监和控
 
Mocha Bsm
Mocha BsmMocha Bsm
Mocha Bsm
 
Brochure acl solutions_new_version
Brochure acl solutions_new_versionBrochure acl solutions_new_version
Brochure acl solutions_new_version
 
baidu fuye
baidu fuyebaidu fuye
baidu fuye
 
百度 fuye
百度 fuye百度 fuye
百度 fuye
 
盛大游戏运维体系
盛大游戏运维体系盛大游戏运维体系
盛大游戏运维体系
 
盛大游戏运维体系
盛大游戏运维体系盛大游戏运维体系
盛大游戏运维体系
 
基于虚拟化平台创建企业私有云
基于虚拟化平台创建企业私有云基于虚拟化平台创建企业私有云
基于虚拟化平台创建企业私有云
 
阿里云 张旭 集群运维管理平台
阿里云 张旭 集群运维管理平台阿里云 张旭 集群运维管理平台
阿里云 张旭 集群运维管理平台
 
集群运维管理平台
集群运维管理平台集群运维管理平台
集群运维管理平台
 
Web系统性能测试方案浅谈
Web系统性能测试方案浅谈Web系统性能测试方案浅谈
Web系统性能测试方案浅谈
 
Aws 全面业务流程管理解决方案v2 0
Aws 全面业务流程管理解决方案v2 0Aws 全面业务流程管理解决方案v2 0
Aws 全面业务流程管理解决方案v2 0
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证
 
Top100summit 互联网发布与实验体系建设
Top100summit 互联网发布与实验体系建设 Top100summit 互联网发布与实验体系建设
Top100summit 互联网发布与实验体系建设
 
Autotask 简介
Autotask 简介Autotask 简介
Autotask 简介
 
網路安全管理
網路安全管理網路安全管理
網路安全管理
 
Greenplum技术
Greenplum技术Greenplum技术
Greenplum技术
 
分会场二赛门铁克灾备系统项目经验分享
分会场二赛门铁克灾备系统项目经验分享分会场二赛门铁克灾备系统项目经验分享
分会场二赛门铁克灾备系统项目经验分享
 

Mais de ITband

It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点ITband
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案ITband
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多ITband
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值ITband
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示ITband
 
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhsITband
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cvITband
 
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact centerITband
 
3 junhua-experience show unified communication
3 junhua-experience show unified communication3 junhua-experience show unified communication
3 junhua-experience show unified communicationITband
 
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v12 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1ITband
 
1 john wang-experience show exec intro
1 john wang-experience show exec intro1 john wang-experience show exec intro
1 john wang-experience show exec introITband
 
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip officeITband
 
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景ITband
 
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践ITband
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代ITband
 
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化ITband
 
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护ITband
 
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移ITband
 

Mais de ITband (20)

It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示
 
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs
 
滕达斐
滕达斐滕达斐
滕达斐
 
滕达斐
滕达斐滕达斐
滕达斐
 
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv
 
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center
 
3 junhua-experience show unified communication
3 junhua-experience show unified communication3 junhua-experience show unified communication
3 junhua-experience show unified communication
 
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v12 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1
 
1 john wang-experience show exec intro
1 john wang-experience show exec intro1 john wang-experience show exec intro
1 john wang-experience show exec intro
 
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office
 
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景
 
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代
 
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化
 
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护
 
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移
 

分会场四It 治理、风险管理和法规遵从的一种整体实现方案

  • 2. 议程 1 大型企业IT GRC 的挑战 2 IT GRC整体解决方案 Symantec Control Compliance Suite 3 Symantec Control Compliance Suite 案例介绍 Symantec Vision 2010 2
  • 3. IT 治理、风险管理和法规遵从的挑战 安全风险 法规/审计遵从 • 威胁的复杂性与日俱增 • 评估的频率 • 基础架构和配置的不断变化 • 内外部审计 • 法规要求日益增多 • 向多方报告 安全和遵从成本 • 控制目标的重叠 • 手动评估控制 • 环境的多样性 Symantec Vision 2010 3
  • 4. 自动化工具大幅降低审计成本和提升效果 成熟的组织使用自动化审计工具降低 自动化提高了审计频率和降低成本 54%的成本 7 100% 6 80% 54% 评估审计周期(月) 5 less 法规遵从相对花费 60% 4 3 40% 2 20% 1 0 0% 最不成熟 最成熟 最不成熟 最成熟 * Based on a survey of 3,280 companies Source: IT Policy Compliance Group Symantec Vision 2010 4
  • 5. 企业IT GRC关键需求和面临的复杂问题 3.自动的技术控制评估 • 控制测试的自动化 • 平台支持的广度和深度 • 自动识别和技术标准的 违规 • 识别关键漏洞 1.策略和控制的对应 2.策略分发和更新 4.自动的程序控制评估 6.灵活报告和分析 7.补救管理 • 通过一个管理平台实 • 定义和管理企业策略 • 将控制转换为问卷形式 现可定制的透明监控 • 自动与工单系统集成 以符合多个法规和标 • 基于Web的评估问卷来 • 可供审计的证据 • 封闭型和开放型补救 准的要求 评估策略是否被理解和 流程 • 把控制措施和企业策 • 动态分析 执行,取代手工纸质的 • 精确跟踪 略对应 问卷 • 灵活的分发 • 策略分发、接受、反 馈和回顾更新 5.敏感数据控制 8.IT资产数据库 • 敏感信息的定义 • 自动搜索敏感信息 • 资产信息以及来 • 划分补救措施的优先级 自其他设备和应 证据 用程序的控制数 据 资产 控制 Symantec Vision 2010 5
  • 6. 大多数企业使用不同的单点产品解决上述问题 技术控制 策略 程序控制 报告 补救 数据 控制 第三方 证据 证据 资产 控制 Symantec Vision 2010 6
  • 7. Symantec Control Compliance Suite – IT GRC整体解决方案 7
  • 8. 赛门铁克的 IT 治理、风险管理和法规遵从方法 以策略为主导的IT治理、风险管理和遵从 保护基础架构 保护信息 端点 发现 网络 数据泄露防护 邮件 加密 Web应用 网络访问控制 数据保护 划分风险优先级的补救措施 有效的系统管理 发现 资产库 配置 设置 补丁 报告 工作流 CMDB Symantec Vision 2010 8
  • 9. Symantec提供全面集成式的 IT GRC 解决方案 技术控制 CCS Standards Manager CCS Vulnerability Manager 策略 程序控制 报告 补救 CCS Policy CCS Response CCS 基础架构 Symantec Manager Assessment Manager Service Desk 数据 控制 第三方证据 DLP Discover Data Insight 证据 CCS 基础架构 资产 控制 Symantec Vision 2010 9
  • 10. Symantec IT GRC 实现原理 HIPPA SOX GLBA FISMA Basel 法规要求 Cobit ISO PCI NERC 控制措施 对应 部署 That is a Policy That is a Policy 分配 Sample Text Sample Text without any without any meaning and just Policy That is a meaning and just there to Sample Text there to Illustrates the without any Illustrates the Text within a and just within a meaning Text PowerPoint there to PowerPoint Slide. Illustrates the Slide. 实施 Text within a PowerPoint Slide. 策略 资产 人 风险分析 That is a Policy That is a Policy That is a Policy That is a Policy Sample Text Sample Text Sample Text Sample Text without any without any without any without any meaning and just Policy meaning and just Policy That is a meaning and just That is a meaning and just there to there to Sample Text there to Sample Text there to Illustrates the Illustrates the without any Illustrates the without any Illustrates the Text within a and just within a Text within a and just within a meaning Text meaning Text PowerPoint PowerPoint there to PowerPoint there to PowerPoint Slide. Slide. Illustrates the Slide. Illustrates the Slide. Text within a Text within a 测量 PowerPoint 测量 PowerPoint Slide. Slide. 技术控制 程序控制 10 Symantec Vision 2010
  • 11. 制定和管理策略 • IT 策略生命周期管理降低成本和 复杂度 • 通过内置的策略内容制定策略 • 评估包括法规和最佳实践 • 自动的法规更新 • 将策略与控制措施进行对应 • 避免重复遵从多个法规中的相同控 制 Symantec Vision 2010 11
  • 12. 自动评估IT 基础架构 • 改进的IT风险可视化,降低法规遵从 的成本和复杂度 • 自动评估技术控制,识别不符合和 配置错误 • 利用业界最好的预装内容 • 管理例外情况 • 灵活的无代理或基于代理的 数据收集选项 • 以遵从证据的形式发布 Symantec Vision 2010 12
  • 13. 范围最广的技术控制平台 CCS 10.0 平台 版本 无代理 基于代理 ● Server 2008 RTM、R2 ● 2008 R2 Mar 10 SU Server 2003 SP2、R2 ● ● Server 2000 ● ● Windows Vista SP1、SP2 ● ● XP SP1、SP2、SP3 ● ● Windows 7 RTM *2010-2 PCU Mar 10 SU ● Hyper-V Server 2008**、2008 R2** 操作系统 2008 R2 Mar 10 SU Active Directory ● HP-UX 11*、11.11/11i v1、11.23 (11iv2)、11.31 ● ● 5.1*、5.2、5.3、6.1**、WPAR**、LPAR**、VIO client 1.5**、VIO server ● AIX ● 2.1** AIX 6.1 2010-3 PCU Unix 和虚拟化 Red Hat Linux V8*、v9*、EL 2.1*、EL 3.0、EL 4.0、EL 5.0 ● ● v8*、v8.1*、v8.2*、v9.0*、v9.1*、v9.2*、v9.3*、ES 8.1*、ES 9.0、ES 10、 ● SuSE Linux ● 11 Suse 11 2010-3 zLinux RHEL 5、SUSE 9、10 ● ● ● Solaris 8、9、10、Solaris Zones** Zones 2010-3 ● ● ● VMware ESX 3.0x、ESX 3.5、ESX 4、ESXi** ESX 4 2010-2 PCU ** 2010 年 7 月 Oracle 8i*、9i、10g、10g OAS、11g ● ● 数据库 SQL Server 7.0, 2000, 2005, 2008 ● ● DB2 8.1, 8.2, 9.1, 9.5 ● Sybase 12.5, 15.0.1, 15.0.2, 15.0.3 ● My-SQL 4.x、5.x ● 应用程 MS Exchange 2000*, 2003*, 2007* ● 序 MS IIS 5.0, 6.0 ● ● ● Apache 仅限数据收集 ● ● Netware 6.5、OES 2.0* 2010-3 PCU 不支持 OES 其他 AS/400 V5R3、V5R4、V6R1 ● * OpenVMS 从 2010 年 3 月 17V8.2.1 及更高版本 仅以无代理模式提供 日起 ● ** 仅以基于代理的模式提供 Symantec Vision 2010 13
  • 14. 执行高级漏洞评估 • 主动防止对关键资产和信息的威 Web 应 胁 用程序 • 识别 Web 应用程序、数据库、服 数据库 务器和其他网络设备中的重大漏 洞 操作系统 • 超过 54,000 项检查,覆盖14,000 个漏洞 您的数据 • 独一无二的漏洞“链”机制 • 特有的风险评级算法 • 64 位的高性能扫描引擎 CCS Vulnerability Manager 可将所有已知 漏洞关联起来,以查明隐而未知的新问题 Symantec Vision 2010 14
  • 15. 自动评估程序控制 • 自动评估程序控制,取代了费时费力 的手工操作 • 基于Web的调查问卷,涵盖超过60个 法规和标准 • 通过风险加权调查进行评估 • 跟踪响应 - 接受情况、例外情况和澄清 申请 • 与技术控制检查结合使用,以全面了 解遵从状况 Symantec Vision 2010 15
  • 16. 确定重要资产并划分优先级 • 结合DLP,获得更好的遵从和安 全现状概况 • 使用 DLP Discovery 信息识别具有 敏感数据的资产 • 划分这些资产的优先级,以进行 控制评估 • 对这些资产考虑加固方法 • 并排显示 CCS 和 DLP 数据,以划 分补救工作的优先级 • 更全面地了解遵从和安全状况 Symantec Vision 2010 16
  • 17. 报告风险和遵从状况 • 可为多个股东提供相关数据, 供其做出更明智的决策 • 基于 Web 的动态管理面板 • 将技术、流程和数据控制功能 与外部系统提供的证据相集成 • 可从多个面板视图和过滤选项 中选择,并可深入了解所有细 节 • 最终用户部署成本较低 Symantec Vision 2010 17
  • 18. 集中收集和管理证据 • 降低管理开销,增进对 IT 风 险和遵从状况的了解 • 结合来自多个系统和应用程序 的数据,包括 DLP 和漏洞评估 数据 • 标准化数据,并将数据与策略 和法规相对应 • 在基于 Web 的管理面板和报 告中查看导入的数据 Symantec Vision 2010 18
  • 19. 基于风险修补缺陷 • 首先解决最严重的缺陷,改善IT 风险状况 • 根据遵从和风险评分(使用 CVSS 量化分析)确定修补措施 的优先级 • 提供详细的修补说明 • 自动与故障单系统相集成: • 通过 Altiris Service Desk提供闭 环的验证 • 支持第三方Remedy/HP Service Desk Symantec Vision 2010 19
  • 20. Symantec Control Compliance Suite 案例介绍 Symantec Vision 2010 20
  • 21. 美国大陆航空公司的 IT GRC 技术控制 • 操作系统、网络和数据 库安全标准 • 事件管理 • 风险评估 策略/标准 • 漏洞管理 • 信息安全策略 • 信息安全标准 程序控制 报告 补救 - 访问控制 • 资产遵从 - 审计 • 法规遵从 • 配置错误 • 遵从趋势 - 资产分类 • 风险管理 • 用户权限和特权不当 • 审计证据 …… • 服务器认证 • 补丁程序缺失 • 差距分析 • 法规遵从 • 自行评估 • 标准更新 • 管理层面板 - PCI DSS - SOX - HIPAA 数据 控制 第三方数据 • 数据分类 • 使用DLP自动搜索敏感 信息 • 资产信息以及来自 • 硬盘加密 证据 Qualys、Vontu 和 SEP 的安全数据 资产 控制 Symantec Vision 2010 21
  • 22. 国内某大型金融集团的IT GRC TECHNICAL CONTROLS • Automation of controls 主机安全配置检查和漏洞评估 testing • Breadth and depth of platform support • Asset prioritization • 数据中心有几千台服务器,系统平台有HP-UX, POLICY Solaris,Linux,AIX,AS400,Windows,数据库 REMEDIATE PROCEDURAL CONTROLS REPORT • Translate mandates 有SQL Server,Oracle,DB2,My-SQL • Translate controls into • Customizable, single pane of glass • Automated into controls integration with • Reduce overlapping • 已基于CIS benchmark制定了各主机、应用和数据 questionnaires visibility • Audit-ready evidence ticketing systems controls across • Gather data from • Closed- and open- mandates 库的安全配置策略vendors / partners • Dynamic analysis loop remediation • Manage approval • Prioritize controls • 企业通过ISO27001认证,需要接受ISO27001外审、 tracking • Flexible distribution • Precise 公司审计部的IT审计、银监会审计、保监会、证 DATA 监会的审计,法规遵从压力大 CONTROLS 3rd PARTY DATA • 原来使用脚本在主机服务器上运行进行主机安全 • Definition of sensitive information • Asset 配置检查,需要管理员手工执行,工作量大 • Automated discovery information, of sensitive information controls data • 使用CCS Standard Manager Module ESM进行配置 from other • Prioritized remediation EVIDENCE 检查和漏洞评估,自动化安全审计过程,大大降 devices & apps ASSETS CONTROLS 低审计工作量,轻松应对内外部各方审计 Symantec Vision 2010 22
  • 23. Thank you! 彭戈平 gary_peng@symantec.com 13825037012 Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 23