序文
**近年、ネットワークへの侵入や情報漏えい、ネットワークウイルスなどの事件が多発しており、国家レベルでデータセキュリティに関連する法令が相次いで公布されており、基幹産業として国の強い監督下に置かれています。金融業界は、上位の法令や規格、仕様書などを参考にして、さまざまな関連業界規制を策定・発行しています。また、著者の会社のインフラや情報システムは長年にわたって構築されてきたことを考慮すると、一部のアプリケーションシステム、管理プラットフォーム、機器の更新や再編が必要となります。この場合、企業のネットワークセキュリティ計画を調整し、科学的かつ合理的な方法でネットワークセキュリティ構築を推進することが非常に重要です。**業界の最先端で成熟度や技術革新を備えた有力機関に加え、ほとんどの金融機関のネットワークセキュリティ構築が当社と同レベルであることを鑑み、当社の今回の企画プロジェクトは、業界の同僚と話し合うために使用されます。
1. プロジェクト実施の背景
*(1) サイバーセキュリティの監督要件はますます厳格化*
国内外のネットワークセキュリティ状況の客観的現実と緊急のニーズに対応して、国は「サイバーセキュリティ法」、「サイバーセキュリティレベル保護」シリーズの基準など、一連の法律、規制、規制要件を次々に導入してきました。機密保護 2.0) と「データ セキュリティ法」 「国家重要情報インフラのセキュリティ保護に関する規則」と「個人情報保護法」は、ネットワーク セキュリティ、データ セキュリティ、およびデータ セキュリティの管理について、より包括的かつ厳格な新しい要件を打ち出しました。個人情報のセキュリティ。
*(2)ネットワークセキュリティ構築のコスト削減と効率化*
現在、同社のデジタル構築は、ネットワークのオープン化、リソースの統合、インタラクティブな共有を目的としたプライベートネットワーク変革、クラウド管理プラットフォーム構築、エンタープライズサービスバス構築などの一連のプロジェクトを通じて高速レーンに入っている。したがって、全方位の情報化構築と平等な保護とコンプライアンスを背景に、全体的な計画と集中的な構築を通じてネットワークセキュリティの同時構築を実施し、ネットワークセキュリティ管理のコンプライアンスを向上させ、ネットワークセキュリティの過剰構築を回避することが急務となっています。 - リソースの投資、解決が必要な問題。
2. プロジェクトの施工内容
*(1)全体の構築アイデア*
現在、同社はすでに最も基本的な基本的なセキュリティ管理環境を備えており、イントラネットの分割と構築、インターネット エクスポートの統合を完了し、すべてのネットワーク リソースとサーバー リソースを管理する総合的な管理アプローチも採用しています。
図1 全体的な建設構想の枠組み
その上で、ネットワークセキュリティに対する多層防御の原則に引き続き従うべきであり、まず、データ資産の分類と分類、既存の情報システムの分類と分類を通じて、ネットワークセキュリティの保護対象とその保護対象を明確にする必要があります。その後の保護活動に投資する必要があります。
その後、全体的なセキュリティ計画の段階で、既存のデータ配布、システム分析、およびネットワーク セキュリティ リソースの適用範囲に関する統計を整理し、データおよび情報システムの分類と格付けの結果を、特定されたネットワーク セキュリティの技術的リスクと組み合わせる必要があります。コンプライアンスリスクを軽減し、最も合理的なネットワークセキュリティ計画ソリューションを提供します。
最終的な計画のアイデアは、さまざまなレベルの保護オブジェクトとそれらが直面するセキュリティ リスクをターゲットにし、段階的およびバッチで保護オブジェクト レベルを満たすネットワーク セキュリティ リソースに投資すると同時に、重要なデータと重要なシステムが最も包括的なセキュリティを確実に受けられるようにすることです。これにより、企業の既存および将来のリソースが最大限に活用されます。
*(2)企画プロジェクトの組織体制*
企画プロジェクト統括グループのリーダーは社内のネットワークセキュリティリーダーであり、各部門の責任者がプロジェクト統括グループのメンバーとなります。
企画プロジェクトのプロジェクトマネージャーはIT部門の責任者で、プロジェクトメンバーはネットワークセキュリティの専門家、各部門のセキュリティ担当者、サードパーティのセキュリティサービスプロバイダーなどです。
*(3)各ステージの実施内容*
*1* *.* *データの分類と分類(データコンプライアンスのリスク評価)*
*1) データ資産の分類*
*仕事内容:*
- プロジェクトキックオフ会議(システム調査+データ調査)を開催し、各部門の責任者に通知し、その後の資産仕分け作業に参加する各部門のデータ資産仕分け担当者を手配・指名する。
- 各部門のデータ資産分類担当者にデータ資産レポートツールの使用方法に関するトレーニングを提供し、データ統計の範囲と種類、および現在のデータライフサイクル管理状況の報告方法を明確にします。
- プロジェクトチームは、各部門のデータ資産の統計結果を収集・集計し、報告要件を満たさない統計結果を返却・修正します。
*仕事の意味:*
- 既存のデータ資産の整理を完了し、格付けと分類の原則を策定する基本的な作業を完了します。
- データ ライフサイクル管理の現状に関する事前調査を完了します。
*出力結果:*
「データ資産分類表」 「データライフサイクル管理現状統計表」
*2) 分類と格付けの原則の確立*
*仕事内容:*
- 「JRT 0197-2020 Financial Data Security データ セキュリティ分類ガイドライン」を参照し、会社の既存のデータ分類と分類原則を組み合わせて、各部門によって要約されたデータを分類します。
- 業界における企業データの現状とグループデータの分類および格付けの参照基準に該当するカテゴリを選別します。
- 業界レベルの保護の階層的保護要件と組み合わせることで、分類と階層原則が既存のデータ管理環境に従って再分類されます。
*仕事の意味:*
- ベスト プラクティスを参照し、独自の管理ステータスと組み合わせて分類と格付けの作業を完了し、その後のシステムの分類と格付けの基礎を提供します。
- 各レベルでのデータ セキュリティ保護に必要なリソースの分析を事前に完了します。
*出力結果:*
「データ分類・格付け細則」および「データライフサイクル評価フォーム」
*3) データリスク評価*
*仕事内容:*
「データセキュリティ法」、「個人情報保護法」、「GB/T 35273-2017 情報セキュリティ技術個人情報セキュリティ仕様」、「財務データセキュリティ データライフサイクルセキュリティ仕様 JRT0223-2021」およびその他の規制および標準を参照してください。 「データ資産仕分け表」や「データライフサイクル管理現状統計表」の統計結果と組み合わせて、データライフサイクルの各リンクにおけるリスク評価を、ヒアリング、調査、技術検査等を通じて実施します。
*仕事の意味:*
企業のその後のセキュリティ管理と全体的な計画への重要な参照および入力として、既存のデータ セキュリティの技術的リスクとコンプライアンス リスクを特定します。
*出力結果:*
「データセキュリティリスク評価レポート」 「データセキュリティリスク対応の推奨事項」
*2* *.* *情報システムの分類と分類 (等級保護の完全網羅評価)*
※1)情報システム現況調査※
*仕事内容:*
- プロジェクトキックオフ会議(システム調査+データ調査)を開催し、各部門長に通知し、各部門の情報システム担当者を配置・任命し、その後の調査作業に協力する。
- 企業の既存のシステム分類と分類定義を参考にして、各部門のシステム分類担当者にトレーニングを提供します。
- プロジェクトチームは各部門のシステム統計結果を収集・集計し、報告要件を満たさない統計結果は返却・修正します。
*仕事の意味:*
- 階層保護の階層管理原則を参照してシステムの予備レビューを実施します。これは、システムの階層分類原則に対するその後の調整の参考として役立ちます。
- 既存のシステムに投資されているセキュリティ リソースに関する統計は、計画段階での重要な情報として機能します。
*出力結果:*
「情報システム概要表」(ビジネス特性の説明、関連データ、セキュリティリソース投資統計を含む)
*2) システム分類と分類の原則が確立されています*
*仕事内容:*
情報システムの調査結果に基づいて、業界レベルの保護要件と組み合わせて、企業の内部システムの分類および格付けルールがまとめられています。
*仕事の意味:*
既存の情報システムと将来の新しいシステムの分類とファイリングのためのガイダンス文書を作成します。
*出力結果:*
「情報システムの分類及び格付け細則」
*3) システム評価申請ガイダンス*
*仕事内容:*
「情報システムの分類・格付け細則」と格付け・登録手続きについて、各部門への集中広報と質疑応答を実施。
*仕事の意味:*
- グレーディングと登録申請を完全にカバーするための基本的な環境を確立します。
- システムレポートの基本的なワークフローを確立します。
- 情報システムの過剰な評価や過剰な構築を避けてください。
*出力結果:*
- 各部門は、システムを分類および分類し、平等な保護と分類のために登録する独立した機能を備えています。
- システムの内部ファイリングプロセスの構築が暫定的に完了しました。
*3* *.* *企業ネットワークセキュリティ全体計画(集中構築・統合・活用)*
*1) セキュリティ経営資源分析*
*仕事内容:*
データとシステムの調査段階でのセキュリティ リソースの統計結果に基づいて、データとシステムの分類と格付けの結果を組み合わせて、現在のリソース割り当ての合理性を分析します。
*仕事の意味:*
既存のリソース統合および将来のリソース計画の参考として。
*出力結果:*
「安全経営資源分析レポート」
*2) リスク管理ニーズ分析*
*仕事内容:*
過去数年間の安全検査、リスク評価、および等級保証評価の結果を要約し、データのリスク評価結果と組み合わせて、リスク管理ニーズの分析を完了します。
*仕事の意味:*
リソースの統合と計画の参考として、セキュリティ リソースの主要な投資方向を明確にします。
*出力結果:*
「リスク管理要件リスト」
*3* *) ネットワークセキュリティ管理リソースの統合に関する提案*
*仕事内容:*
リスク管理要件とセキュリティリソース割り当ての現状を組み合わせて、既存のネットワークセキュリティ管理リソースを統合するための提案が提供され、修正内容に優先順位が付けられます。
*仕事の意味:*
- 既存リソースの統合の方向性を明確にする。
- 資源投資の必要性と有効性を確保する。
*出力結果:*
「ネットワークセキュリティ管理リソースの統合に関する推奨事項」
*4* *) ネットワークセキュリティリソースの投資計画*
*仕事内容* :
- プロジェクトチームは、既存のリソースと廃棄を統合した後、他のリスク項目に対する安全リソースを計画します。主に人員組織の調整、プロセス構築の最適化、技術製品の追加、製品追加後のオリジナル製品の再利用計画が含まれます。
- 業界やグループのサイバーセキュリティ戦略の方向性を総合的に分析し、企業の経営状況や発展に適したサイバーセキュリティプロジェクトのテーマを提供します。
*仕事の意味:*
- 3~5年以内に追加資源投資の方向性を明確にする。
- 3 ~ 5 年以内の古いリソースの活用に関する提案を提供します。
- 3 ~ 5 年以内にネットワーク セキュリティ リソース割り当ての合理性を確保します。
*出力結果:*
「ネットワークセキュリティ総合計画報告書」
3. プロジェクト投資
プロジェクト計画で策定された実施計画によれば、プロジェクト総工数は 92 人日と見積もられており、具体的な実施工数の見積りと実施方法は以下のとおりである。
| *実装フェーズ* | *実施内容* | *実装* | ※お一人様あたりの目安※ |
|---|---|---|---|
| *データ分類分類* | データ資産の並べ替え | 聞き取り調査 | 10 |
| 分類と格付けの原則の確立 | 書類作成と現場報告 | 7 | |
| データリスク評価 | ヒアリング調査、技術評価 | 14 | |
| *情報システムの分類分類* | 情報システムの現状調査 | 聞き取り調査 | 10 |
| システム分類と分類の原則が確立される | 書類作成と現場報告 | 7 | |
| システム評価申請ガイダンス | 書類作成、現場指導 | 5 | |
| *全体的なネットワーク セキュリティ計画* | セキュリティ管理リソースの分析 | 書類作成と現場報告 | 10 |
| リスク管理のニーズ分析 | 書類作成と現場報告 | 5 | |
| 既存のリソースを統合するための提案 | 書類作成と現場報告 | 10 | |
| 将来の資源投資計画 | 書類作成と現場報告 | 14 | |
| *合計人日* | *92* |
4. プロジェクトの実施サイクルとノード
*(1) プロジェクト構築サイクル*
工事期間:20XX年6月~20XX年12月
*(2) プロジェクト実施のキーノード*
| *シリアルナンバー* | *プロジェクト実施の進捗状況* | *始まる時間* |
|---|---|---|
| 1 | プロジェクトの始まり | 20XX年6月 |
| 2 | データ資産・情報システム仕分け研修 | 20XX年6月 |
| 3 | データ資産/情報システムの仕分け | 20XX年6月~7月 |
| 4 | 分類と格付けの原則の確立 | 20XX年7月~8月 |
| 5 | データリスク評価 | 20XX年8月~9月 |
| 6 | システム評価申請ガイダンス | 20XX年9月 |
| 7 | セキュリティ経営資源・リスク管理ニーズ分析 | 20XX年9月~10月 |
| 8 | リソース統合の提案/リソース投資の計画と準備 | 20XX年10月~11月 |
| 9 | リソース統合の提案/リソース投資計画のレビュー | 20XX年11月~12月 |
| 10 | プロジェクトの承諾 | 20XX年12月 |
今日の私の記事を気に入っていただければ、私のプライベート ネットワーク セキュリティ学習教材を無料で共有します。
ネットワークセキュリティ学習リソースの共有:
最後に、私自身が勉強したネットワーク セキュリティ学習教材の完全なセットを共有したいと思います。ネットワーク セキュリティを学びたい友人に役立つことを願っています。
基本ゼロから始める
ネットワーク セキュリティに触れたことのない学生のために、詳細な学習と成長のロードマップを用意しました。これは最も科学的で体系的な学習ルートと言え、誰もがこの大まかな方向性に従って問題なく学習することができます。
[クリックして受け取る] CSDN ギフトパッケージ: 「ハッキング & ネットワーク セキュリティ入門 & 高度な学習リソース パッケージ」無料共有
1. 学習ロードマップ
攻撃や守備など学ぶべきことはたくさんありますが、具体的に覚えるべきことは上のロードマップに書きましたので、それをすべて習得できれば民間の仕事を請け負っても問題ありません。
2.ビデオチュートリアル
インターネット上には多くの学習リソースがありますが、基本的に不完全です。これは私が自分で録画したインターネット セキュリティ ビデオ チュートリアルです。上記のロードマップのすべてのナレッジ ポイントについてのビデオ説明が付属しています。[クリックしてビデオチュートリアルをご覧ください]
また、大規模なネットワークセキュリティ運用やCTF、SRCの脆弱性掘削などに参加した経験や技術ポイントを含めた技術文書も自ら編集し、200冊以上の電子書籍も出版しています[クリックすると技術文書を入手できます]
(すべて1つの作品にパッケージ化されており、1つずつ拡張することはできません。合計300以上のエピソードがあります)
3. 技術資料と電子書籍
また、大規模なネットワーク セキュリティ運用、CTF、SRC の脆弱性調査に参加した経験と技術的なポイントを含む技術文書も私自身で編集し、200 冊以上の電子書籍もあります [クリックして書籍を入手する]
4. ツールキット、インタビューの質問、ソースコード
「仕事をうまくやり遂げたいなら、まず自分のツールを磨かなければなりません。」 私は、誰にとっても最も人気のある数十のハッキング ツールをまとめました。取材範囲は主に情報収集、Androidハッキングツール、自動化ツール、フィッシングなどです。興味のある学生はぜひご覧ください。
最後に、ここ数年にわたって私がまとめたネットワーク セキュリティに関する面接の質問を紹介します。ネットワーク セキュリティの仕事を探しているなら、間違いなく大いに役立つでしょう。
これらの質問は、Sangfor、Qi Anxin、Tencent などの大手企業への面接時によく遭遇します。良い質問や良い洞察があれば、ぜひ共有してください。
参考分析: Sangfor 公式 Web サイト、Qi’anxin 公式 Web サイト、Freebuf、csdn など。
コンテンツの特徴: 明確な構成とグラフィカルな表現により、理解しやすくなっています。
内容の概要: イントラネット、オペレーティング システム、プロトコル、ペネトレーション テスト、セキュリティ サービス、脆弱性、インジェクション、XSS、CSRF、SSRF、ファイル アップロード、ファイル ダウンロード、ファイル インクルード、XXE、論理的脆弱性、ツール、SQLmap、NMAP、BP、国境なき医師団…
スペースに限りがあるため、情報の一部のみが表示されています。
無料で共有できる CSDN ギフト パッケージ「ハッキング & ネットワーク セキュリティ入門 & 高度な学習リソース パッケージ」を入手するには、以下のリンクをクリックする必要があります。
