Weitere ähnliche Inhalte Ähnlich wie 分会场四It 治理、风险管理和法规遵从的一种整体实现方案 (20) 分会场四It 治理、风险管理和法规遵从的一种整体实现方案2. 议程
1 大型企业IT GRC 的挑战
2 IT GRC整体解决方案 Symantec Control Compliance Suite
3 Symantec Control Compliance Suite 案例介绍
Symantec Vision 2010 2
3. IT 治理、风险管理和法规遵从的挑战
安全风险 法规/审计遵从
• 威胁的复杂性与日俱增 • 评估的频率
• 基础架构和配置的不断变化 • 内外部审计
• 法规要求日益增多 • 向多方报告
安全和遵从成本
• 控制目标的重叠
• 手动评估控制
• 环境的多样性
Symantec Vision 2010 3
4. 自动化工具大幅降低审计成本和提升效果
成熟的组织使用自动化审计工具降低
自动化提高了审计频率和降低成本
54%的成本
7 100%
6
80% 54%
评估审计周期(月)
5 less
法规遵从相对花费
60%
4
3 40%
2
20%
1
0 0%
最不成熟 最成熟 最不成熟 最成熟
* Based on a survey of 3,280 companies Source: IT Policy Compliance Group
Symantec Vision 2010 4
5. 企业IT GRC关键需求和面临的复杂问题
3.自动的技术控制评估
• 控制测试的自动化
• 平台支持的广度和深度
• 自动识别和技术标准的
违规
• 识别关键漏洞
1.策略和控制的对应
2.策略分发和更新 4.自动的程序控制评估 6.灵活报告和分析 7.补救管理
• 通过一个管理平台实
• 定义和管理企业策略 • 将控制转换为问卷形式 现可定制的透明监控 • 自动与工单系统集成
以符合多个法规和标 • 基于Web的评估问卷来 • 可供审计的证据 • 封闭型和开放型补救
准的要求
评估策略是否被理解和 流程
• 把控制措施和企业策 • 动态分析
执行,取代手工纸质的 • 精确跟踪
略对应 问卷 • 灵活的分发
• 策略分发、接受、反
馈和回顾更新
5.敏感数据控制
8.IT资产数据库
• 敏感信息的定义
• 自动搜索敏感信息 • 资产信息以及来
• 划分补救措施的优先级 自其他设备和应
证据 用程序的控制数
据
资产 控制
Symantec Vision 2010 5
8. 赛门铁克的 IT 治理、风险管理和法规遵从方法
以策略为主导的IT治理、风险管理和遵从
保护基础架构 保护信息
端点 发现
网络
数据泄露防护
邮件
加密
Web应用
网络访问控制 数据保护
划分风险优先级的补救措施
有效的系统管理
发现 资产库 配置 设置 补丁 报告
工作流 CMDB
Symantec Vision 2010 8
9. Symantec提供全面集成式的 IT GRC 解决方案
技术控制
CCS Standards
Manager
CCS Vulnerability
Manager
策略 程序控制 报告 补救
CCS Policy CCS Response CCS 基础架构
Symantec
Manager Assessment
Manager Service Desk
数据
控制
第三方证据
DLP Discover
Data Insight 证据 CCS 基础架构
资产 控制
Symantec Vision 2010 9
10. Symantec IT GRC 实现原理
HIPPA SOX GLBA FISMA Basel
法规要求 Cobit ISO PCI NERC
控制措施
对应
部署
That is a Policy That is a Policy
分配
Sample Text Sample Text
without any without any
meaning and just Policy
That is a meaning and just
there to
Sample Text there to
Illustrates the
without any Illustrates the
Text within a and just within a
meaning Text
PowerPoint there to PowerPoint
Slide.
Illustrates the Slide.
实施
Text within a
PowerPoint
Slide.
策略
资产 人
风险分析
That is a Policy That is a Policy That is a Policy
That is a Policy
Sample Text Sample Text Sample Text
Sample Text
without any without any without any
without any
meaning and just Policy meaning and just Policy
That is a meaning and just
That is a meaning and just there to
there to
Sample Text there to Sample Text there to
Illustrates the Illustrates the
without any Illustrates the
without any Illustrates the
Text within a and just within a Text within a and just within a
meaning Text
meaning Text
PowerPoint PowerPoint there to PowerPoint
there to PowerPoint Slide.
Slide.
Illustrates the Slide. Illustrates the Slide.
Text within a Text within a
测量
PowerPoint
测量
PowerPoint
Slide. Slide.
技术控制 程序控制
10
Symantec Vision 2010
11. 制定和管理策略
• IT 策略生命周期管理降低成本和
复杂度
• 通过内置的策略内容制定策略
• 评估包括法规和最佳实践
• 自动的法规更新
• 将策略与控制措施进行对应
• 避免重复遵从多个法规中的相同控
制
Symantec Vision 2010 11
12. 自动评估IT 基础架构
• 改进的IT风险可视化,降低法规遵从
的成本和复杂度
• 自动评估技术控制,识别不符合和
配置错误
• 利用业界最好的预装内容
• 管理例外情况
• 灵活的无代理或基于代理的
数据收集选项
• 以遵从证据的形式发布
Symantec Vision 2010 12
13. 范围最广的技术控制平台
CCS 10.0
平台 版本
无代理 基于代理
●
Server 2008 RTM、R2 ●
2008 R2 Mar 10 SU
Server 2003 SP2、R2 ● ●
Server 2000 ● ●
Windows
Vista SP1、SP2 ● ●
XP SP1、SP2、SP3 ● ●
Windows 7 RTM *2010-2 PCU Mar 10 SU
●
Hyper-V Server 2008**、2008 R2**
操作系统
2008 R2 Mar 10 SU
Active Directory ●
HP-UX 11*、11.11/11i v1、11.23 (11iv2)、11.31 ● ●
5.1*、5.2、5.3、6.1**、WPAR**、LPAR**、VIO client 1.5**、VIO server ●
AIX ●
2.1** AIX 6.1 2010-3 PCU
Unix 和虚拟化
Red Hat Linux V8*、v9*、EL 2.1*、EL 3.0、EL 4.0、EL 5.0 ● ●
v8*、v8.1*、v8.2*、v9.0*、v9.1*、v9.2*、v9.3*、ES 8.1*、ES 9.0、ES 10、 ●
SuSE Linux ●
11 Suse 11 2010-3
zLinux RHEL 5、SUSE 9、10 ● ●
●
Solaris 8、9、10、Solaris Zones** Zones 2010-3
●
● ●
VMware ESX 3.0x、ESX 3.5、ESX 4、ESXi** ESX 4 2010-2 PCU ** 2010 年 7 月
Oracle 8i*、9i、10g、10g OAS、11g ● ●
数据库
SQL Server 7.0, 2000, 2005, 2008 ● ●
DB2 8.1, 8.2, 9.1, 9.5 ●
Sybase 12.5, 15.0.1, 15.0.2, 15.0.3 ●
My-SQL 4.x、5.x ●
应用程
MS Exchange 2000*, 2003*, 2007* ●
序
MS IIS 5.0, 6.0 ● ●
●
Apache 仅限数据收集
● ●
Netware 6.5、OES 2.0* 2010-3 PCU 不支持 OES
其他
AS/400 V5R3、V5R4、V6R1 ●
*
OpenVMS 从 2010 年 3 月 17V8.2.1 及更高版本
仅以无代理模式提供 日起 ●
** 仅以基于代理的模式提供
Symantec Vision 2010 13
14. 执行高级漏洞评估
• 主动防止对关键资产和信息的威 Web 应
胁 用程序
• 识别 Web 应用程序、数据库、服
数据库
务器和其他网络设备中的重大漏
洞
操作系统
• 超过 54,000 项检查,覆盖14,000
个漏洞
您的数据
• 独一无二的漏洞“链”机制
• 特有的风险评级算法
• 64 位的高性能扫描引擎 CCS Vulnerability Manager 可将所有已知
漏洞关联起来,以查明隐而未知的新问题
Symantec Vision 2010 14
15. 自动评估程序控制
• 自动评估程序控制,取代了费时费力
的手工操作
• 基于Web的调查问卷,涵盖超过60个
法规和标准
• 通过风险加权调查进行评估
• 跟踪响应 - 接受情况、例外情况和澄清
申请
• 与技术控制检查结合使用,以全面了
解遵从状况
Symantec Vision 2010 15
16. 确定重要资产并划分优先级
• 结合DLP,获得更好的遵从和安
全现状概况
• 使用 DLP Discovery 信息识别具有
敏感数据的资产
• 划分这些资产的优先级,以进行
控制评估
• 对这些资产考虑加固方法
• 并排显示 CCS 和 DLP 数据,以划
分补救工作的优先级
• 更全面地了解遵从和安全状况
Symantec Vision 2010 16
17. 报告风险和遵从状况
• 可为多个股东提供相关数据,
供其做出更明智的决策
• 基于 Web 的动态管理面板
• 将技术、流程和数据控制功能
与外部系统提供的证据相集成
• 可从多个面板视图和过滤选项
中选择,并可深入了解所有细
节
• 最终用户部署成本较低
Symantec Vision 2010 17
18. 集中收集和管理证据
• 降低管理开销,增进对 IT 风
险和遵从状况的了解
• 结合来自多个系统和应用程序
的数据,包括 DLP 和漏洞评估
数据
• 标准化数据,并将数据与策略
和法规相对应
• 在基于 Web 的管理面板和报
告中查看导入的数据
Symantec Vision 2010 18
19. 基于风险修补缺陷
• 首先解决最严重的缺陷,改善IT
风险状况
• 根据遵从和风险评分(使用
CVSS 量化分析)确定修补措施
的优先级
• 提供详细的修补说明
• 自动与故障单系统相集成:
• 通过 Altiris Service Desk提供闭
环的验证
• 支持第三方Remedy/HP Service
Desk
Symantec Vision 2010 19
21. 美国大陆航空公司的 IT GRC
技术控制
• 操作系统、网络和数据
库安全标准
• 事件管理
• 风险评估
策略/标准
• 漏洞管理
• 信息安全策略
• 信息安全标准 程序控制 报告 补救
- 访问控制 • 资产遵从
- 审计 • 法规遵从 • 配置错误
• 遵从趋势
- 资产分类 • 风险管理 • 用户权限和特权不当
• 审计证据
…… • 服务器认证 • 补丁程序缺失
• 差距分析
• 法规遵从 • 自行评估 • 标准更新
• 管理层面板
- PCI DSS
- SOX
- HIPAA 数据
控制
第三方数据
• 数据分类
• 使用DLP自动搜索敏感
信息 • 资产信息以及来自
• 硬盘加密 证据 Qualys、Vontu 和
SEP 的安全数据
资产 控制
Symantec Vision 2010 21
22. 国内某大型金融集团的IT GRC
TECHNICAL CONTROLS
• Automation of controls
主机安全配置检查和漏洞评估
testing
• Breadth and depth of
platform support
• Asset prioritization
• 数据中心有几千台服务器,系统平台有HP-UX,
POLICY Solaris,Linux,AIX,AS400,Windows,数据库 REMEDIATE
PROCEDURAL CONTROLS REPORT
• Translate mandates 有SQL Server,Oracle,DB2,My-SQL
• Translate controls into
• Customizable, single
pane of glass
• Automated
into controls integration with
• Reduce overlapping • 已基于CIS benchmark制定了各主机、应用和数据
questionnaires visibility
• Audit-ready evidence
ticketing systems
controls across • Gather data from • Closed- and open-
mandates 库的安全配置策略vendors / partners • Dynamic analysis loop remediation
• Manage approval
• Prioritize controls
• 企业通过ISO27001认证,需要接受ISO27001外审、 tracking
• Flexible distribution • Precise
公司审计部的IT审计、银监会审计、保监会、证
DATA
监会的审计,法规遵从压力大
CONTROLS
3rd PARTY DATA
• 原来使用脚本在主机服务器上运行进行主机安全
• Definition of sensitive
information
• Asset
配置检查,需要管理员手工执行,工作量大
• Automated discovery information,
of sensitive information controls data
• 使用CCS Standard Manager Module ESM进行配置 from other
• Prioritized remediation
EVIDENCE
检查和漏洞评估,自动化安全审计过程,大大降 devices & apps
ASSETS CONTROLS
低审计工作量,轻松应对内外部各方审计
Symantec Vision 2010 22
23. Thank you!
彭戈平
gary_peng@symantec.com
13825037012
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
23