文档介绍:杭州帕拉迪网络科技有限公司
杭州帕拉迪网络科技有限公司
目录
为什么需要操作安全审计
需要怎样的操作安全审计
帕拉迪统一管理平台的实现
实施效果展现
价值总结&典型客户
杭州帕拉迪网络科技有限公司
为什么需要操作安全审计
IT运维现状
信息安全相关标准、法案
杭州帕拉迪网络科技有限公司
IT运维现状一
☞多点登录、分散管理
服务器资源
杭州帕拉迪网络科技有限公司
IT运维现状二
第三方厂家
开发人员
管理人员
系统帐号
☞交叉异构、帐号共享
杭州帕拉迪网络科技有限公司
IT运维现状三
内部用户
外部用户
资源设备
权限滥用
恶意访问
误操作
权力限用
系统管理员
网管员
安全管理员
软件系统开发人员
黑客
代维厂商
合作伙伴
企业临时用户
内部用户
来自企业内部的非法威胁
高权限操作风险不透明
违规操作导致敏感信息泄露
误操作导致服务异常甚至宕机
来自企业外部的非法威胁
操作风险不可控
黑客盗用帐号实施恶意攻击
无法有效监管操作、必要取证/举证
☞人为操作风险
杭州帕拉迪网络科技有限公司
ISO27001标准
、意外和信息安全事件的日志,并保留一定期限,以便为安全事件的调查和取证;
;
,符合安全策略和标准的要求。
CC标准
信息技术通用评估准则( Common Criteria for Information Technology Security Evaluation)中,安全审计是其安全功能要求中最重要的组成部分,同时也是信息系统安全体系中必备的一个措施,它是评判一个系统是否真正安全的重要尺码。
SOX法案
302节:要求行政人员证明他们公司设计和执行了适当的控制,以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。
404节:要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。
信息安全相关标准、法案
杭州帕拉迪网络科技有限公司
需要怎样的操作审计
操作管理统一化
管理流程规范化
操作风险最小化
杭州帕拉迪网络科技有限公司
数据库
管理人员
开发人员
操作管理统一化
操作
代维人员
服务器
统一认证
统一授权
统一审计
网络设备
☞统一操作管理平台理念构建
杭州帕拉迪网络科技有限公司
管理流程规范化
自动修改
人的管理
操作管理
设备管理
☞规范管理流程的实行