1 / 43

資安議題 HP Security Strategy

資安議題 HP Security Strategy. 92156114 江東軒 92156127 李致賢 92156159 楊雅婷 92156209 胡彥亮. 大綱. 資安議題 組織的資訊安全議題 國際資訊安全管理標準 HP 的重要安全策略 資訊安全政策的制定 (Security Governance ) 資訊基礎架構 (Trusted Infrastructure ) 身份認證管理 (Identity Management) 主動式預防管理 (Proactive Security Management). 組織的資訊安全議題.

Download Presentation

資安議題 HP Security Strategy

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 資安議題HP Security Strategy 92156114 江東軒 92156127 李致賢 92156159 楊雅婷 92156209 胡彥亮

  2. 大綱 • 資安議題 • 組織的資訊安全議題 • 國際資訊安全管理標準 • HP的重要安全策略 • 資訊安全政策的制定 (Security Governance ) • 資訊基礎架構 (Trusted Infrastructure ) • 身份認證管理 (Identity Management) • 主動式預防管理 (Proactive Security Management)

  3. 組織的資訊安全議題

  4. 網路安全的服務與目標 • 1.安全隱密性(Confidentiality) • 2.身份認證性(Authentication) • 3.資料完整性(Integrity) • 4.授權性(Authorization) • 5.不可否認性(Non-Repudiation)

  5. 資訊安全的環境背景 • 1.企業電腦化之普及所潛藏之危機 • 2.Internet的開放性 • 3.匿名性與距離性 • 4.犯罪速度快、容易複製、波及面大 • 5.電腦犯罪容易潛伏及隱藏 • 6.法律的周延性不足

  6. 組織資訊安全的漏洞與弱點 • 1.作業系統本身的弱點 • 2.通訊協定本身的弱點 • 3.網路軟體上的弱點 • 4.管理制度上的弱點 • 5.人員的弱點

  7. 網路安全的新威脅與挑戰

  8. 資訊安全防禦機制

  9. 組織資訊安全策略

  10. 資訊安全四大活動機制與目的

  11. 國際資訊安全管理標準:BS7799 • 國家資通安全會報: 政府重要資訊單位(A級機構) 皆必須取得BS7799 • 導入效益 • 增加信任度、滿意度 • 持續改善資安環境 • 降低損失 • 提升經營利潤 • 降低風險

  12. 個案介紹: HP Security Strategy

  13. attacks Sooner and Faster

  14. HP的重要安全策略 1. 資訊安全政策的制定 (Security Governance ) 企業資訊安全政策必須切合法規、企業需求、作業標準來制定政策、組織架構、流程與權限。 ‧安全策略及政策服務‧政策定義與流程設計‧弱點及風險評估‧ISO 17799 評估‧駭客入侵測試‧安全訓練及認知強化‧法規遵循審查‧資安程式發展‧資安與ITIL整合服務

  15. HP的重要安全策略 2. 資訊基礎架構 (Trusted Infrastructure ) 包含了使網路、系統、儲存、作業系統平台以及應用程式等,能即時並在限定的權限下安全的回應,形成值得信賴的基礎建設。 ‧活成長的通訊網路設計架構‧網路存取管控解決方案‧網路及周圍環境安全‧Microsoft 資訊安全解決方案‧統整終端架構的解決方案 ‧儲存安全‧系統與主機安全‧桌上型電腦與筆記型電腦的安全管理‧應用軟體的安全管理‧資訊安全服務 (基礎架構,規劃及建置)

  16. HP的重要安全策略 3. 身份認證管理 (Identity Management) 從定義、建立、修改、終結,到追蹤身分皆能在安全的管理下進入網路、系統、應用程式及IT服務 ‧身分與存取的準備 ‧身分認證與管理分析、關聯評估‧企業風險與價值影響評估‧目錄統整的設計及規劃‧存取設計及規劃‧身分認證的設計與規劃‧身分認證與存取的建置‧公共鑰匙的基礎架構‧智慧卡整合

  17. HP的重要安全策略 4. 主動式預防管理 (Proactive Security Management) 舉凡裝置、應用程式以及交換器等需要安全地管理其工具、技術和服務,都需要此主動式方案來監測、發現、回報並反應問題 ‧資安危機管理程式 ‧主動防禦服務 ‧資安事件關聯性察覺 ‧病毒碼更新管理‧企業IT SOC資安作業中心規劃與建置

  18. Security Governance

  19. 為什麼需要策略性管理? 除了優化,更重要的是: • 使顧客、勞工、供應者、夥伴能夠有更快更簡便的方法通過外部防範 • 整合或分割組職變化時,能夠更有效率 • 使新的商業模型能夠更快實做 • 可以提供部分管理區塊給予商業使用 • 區域化的管理方法,更可以降低風險

  20. HP的ANA網管策略 • ANA means adaptive network architecture • 它以創新的方法幫助一個企業以商業觀點建構網路 • ANA可以基於商業需求的觀點來幫助企業網路分割出許多應用程式區塊 • ANA可以延伸這些區塊,而不必考慮區域性,提共一個一致性的平台管理策略 • 使用ANA的結果,可以簡化管理,最大化利用,最小化使用時間

  21. Trusted infrastructure

  22. Partnering for Security Solutions with Leading Companies

  23. 共同革新和合作發展標準 Helping to Advancing the Security Field and Industry • Trusted Computing Group • Liberty Alliance • and 97 others on a recent count • Industry partners - Microsoft, Intel, AMD, IBM, Verisign, Nokia, Symantec,….etc

  24. Trusted Infrastructure - lots of R&D activity Embedded TPM security chips in commercial PCs • Potential in other devices Device security • Drivelock(TPM), DiskSanitizer, Computrace

  25. 系統安全性 OS Security • for Unix: HPUX, Linux, OpenVMS, NSK, Tru64 • for Windows (WindowsSE, Protecttools) Network edge • LAN edge security functionality • Endpoint compliance Secure printers and printing

  26. HP Security Products

  27. Identity Management

  28. What is identity management? • 一套在個人或是團體之間所使用的流程、工具、或是協定 • 一套結合的橫跨企業系統已用來判斷身分 • 使個人或是系統,組職能夠依照權力得到他們所能擁有的資源以及服務 • 當然,也包括了非科技的流程(人工認證)

  29. HP Identity Management Suite Automate change management across all enterprise lifecycles - business, IT and user lifecycles

  30. Proactive Security Management

  31. 主動防禦管理包含哪些? • 資安危機管理程式 • 主動防禦服務 • 資安事件關聯性察覺 • 病毒碼更新管理 • 企業IT SOC資安作業中心規劃與建置

  32. 緩和,處理威脅的方法 • 位置管理:只對熟析的IP or mac進行開放 • Pop-up提醒:每日對使用者提醒是否有威脅須更新管理 • 使用者權限分離:使使用者就算中毒也沒有高權限能存取系統 • 保持關機即會受傷的系統運作,並且減少此系統量

  33. Active countermeasure? HP AC 是在攻擊之前對脆弱的系統執行的一種前攝的基於工具的服務 -與回應的其他安全工具在你被感染之後

  34. Active Countermeasures Covers those Gaps Concept: 概念︰ • 攻擊透過在軟體裡使用知道的弱點的功績發生 • 使用相同弱點路徑用途,但是到達那裡在一次攻擊發生並且封閉那弱點之前 • 有系統但是迅速透過多種IP 位址搜尋 • 在他們被利用之前,帶你的網路的一些情況的了解暴露並且處理弱點 • 面對最高的危險病毒/ 蠕蟲會很快產生疫苗保護你的基礎設施。

  35. Active countermeasure parts 1.目標的認證與評定: 認定目標是否合乎規則 2.測試是否有危險: 曝露易被侵入路徑,測試安全性 3.執行緩和動作 對系統執行緩和,處理威脅

  36. Active countermeasure

More Related