云安全方案思路20140827

1、北京煙草云安全建設(shè)項目云平臺運維安全解決方案思路目標(biāo)原則設(shè)計理念技術(shù)框架規(guī)范體系預(yù)期效果目錄目標(biāo)原則現(xiàn)狀北京煙草多年信息化建設(shè)1.初步打破信息孤島，采用SOA技術(shù)，建立企業(yè)總線，通過WS ETL、MQ等方式實現(xiàn)數(shù)據(jù)共享，橫縱慣通；系統(tǒng)安全數(shù)據(jù)安全尤為關(guān)鍵！2.在平臺統(tǒng)一、資源統(tǒng)一的基礎(chǔ)，正在積極構(gòu)建北京煙草私有云；云計算的落地，北京煙草整個資源將成為一個資源池，安全問題已經(jīng)從單獨的設(shè)備應(yīng)用，波及到整個設(shè)備及信息系統(tǒng)。3.移動互聯(lián)網(wǎng)在北京煙草的廣泛應(yīng)用，建立worklight平臺，移動互聯(lián)網(wǎng)的應(yīng)用越來越多，面臨如何解決移動安全。因素 三個“忽視” 重視安全技術(shù)，忽視安全管理 重視外部防護(hù)，忽視內(nèi)

2、部安全 重視產(chǎn)品購買，忽視產(chǎn)品使用 三個“缺乏” 缺乏統(tǒng)一安全架構(gòu)規(guī)劃與協(xié)調(diào) 缺乏信息安全組織與治理 缺乏信息安全意識教育與培訓(xùn)有點無面 不成體系！訪問控制SOC身份認(rèn)證監(jiān)控審計內(nèi)容安全備份恢復(fù)管理制度轉(zhuǎn)變事后安全事前安全被動安全主動安全 通過對人、行為、資源的量化管理，統(tǒng)一規(guī)范，流程再造，通過規(guī)范的運維管理，保證北京煙草私有云平臺的安全，徹底改變目前救火隊員的安全模式。方法云安全方法論 從管理、技術(shù)和運維多個層面，全面提升北京煙草信息系統(tǒng)的安全性。從網(wǎng)絡(luò)、主機(jī)、平臺、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，做到行為跟蹤。管理原則云安全管理三要素全要素：云安全體系中

3、的基礎(chǔ)和核心全流程：安全保障運維執(zhí)行工作的行事方法全方位：安全工作的管理手段 實現(xiàn)北京煙草服務(wù)與數(shù)據(jù)的安全，有形與無形的安全。技術(shù)原則云安全I(xiàn)T技術(shù)原則 平臺是IBM解決方案；was、ESB都是IBM；多家產(chǎn)品集成，盡量采用商品化軟件；適當(dāng)采用開源，非關(guān)鍵環(huán)節(jié)適當(dāng)hadoop，前臺界面界面適當(dāng)采用微軟或是設(shè)計制作。資源統(tǒng)一資源統(tǒng)一規(guī)范統(tǒng)一規(guī)范統(tǒng)一架構(gòu)開放架構(gòu)開放技術(shù)簡潔技術(shù)簡潔垂直管理垂直管理設(shè)計理念安全審計安全魔方資源管理安全魔方日常運維知識庫用戶管理規(guī)范流程資源分類資源登記資源跟蹤統(tǒng)一用戶管理管理指標(biāo)統(tǒng)一授權(quán)管理證書中心強(qiáng)認(rèn)證管理指標(biāo)庫事件知識庫運維知識庫合規(guī)檢查安全審計運維任務(wù)驅(qū)動事件驅(qū)

4、動設(shè)備狀態(tài)監(jiān)控系統(tǒng)運行監(jiān)控人員行為監(jiān)控工作流引擎工作流執(zhí)行魔方舉例OA虛擬機(jī)擴(kuò)容魔方舉例網(wǎng)站無法登陸執(zhí)行難點規(guī)范的量化流程的梳理知識庫的建立實施難點角色設(shè)定技術(shù)框架技術(shù)框架基于北京煙草現(xiàn)有技術(shù)路線設(shè)計的技術(shù)框架人員管理業(yè)務(wù)系統(tǒng)用戶的日常操作行為，本期請安成其應(yīng)用系統(tǒng)的安全規(guī)范及 介入標(biāo)準(zhǔn)整個信息化運行維護(hù)，其中包括物理設(shè)備運維、中間件及平臺軟件運維以及業(yè)務(wù)系統(tǒng)的日常運行運維運維人員操作人員主管信息化及安全領(lǐng)分析決策人員，對資源、運維人以及人操作行為分析，全面了解安全級別及隱患等分析決策賬號管理認(rèn)證管理授權(quán)管理證書中心服務(wù)器證書客戶端證書強(qiáng)認(rèn)證雙因素認(rèn)證統(tǒng)一認(rèn)證服務(wù)ESB企業(yè)總線營銷系統(tǒng)OA系統(tǒng)

5、專賣系統(tǒng)LDAP資源管理數(shù)據(jù)中心全部的軟件，包括網(wǎng)絡(luò)防火墻策略、操作系統(tǒng)、中間件平臺、數(shù)據(jù)庫、應(yīng)用軟件、虛擬化、以及人員行為。數(shù)據(jù)中心全部的硬件設(shè)備，包括電源、防火、網(wǎng)絡(luò)、安全、主機(jī)、機(jī)柜、存儲等等設(shè)備設(shè)備軟件運行監(jiān)控行為監(jiān)控數(shù)據(jù)中心監(jiān)控管理數(shù)據(jù)中心監(jiān)控管理資源分類管理資源維護(hù)管理資源盤點管理資源統(tǒng)一訪問ESB企業(yè)總線網(wǎng)絡(luò)安全設(shè)備操作系統(tǒng)主機(jī)服務(wù)器中間件應(yīng)用軟件規(guī)范管理政府安全法規(guī)安全管理規(guī)范 資源申請流程煙草行業(yè)要求安全最佳實踐資源使用流程資源變更流程指標(biāo)庫管理魔方映射安全總線(映射管理)注冊查詢變更人員管理資源管理規(guī)范管理管理魔方工作流引擎查詢監(jiān)控系統(tǒng)查詢映射數(shù)據(jù)庫監(jiān)控管理誰的系統(tǒng)誰監(jiān)控的

6、原則系統(tǒng)設(shè)備運行監(jiān)控機(jī)房設(shè)備監(jiān)控人員行為監(jiān)控ESB總線網(wǎng)絡(luò)設(shè)備監(jiān)控主機(jī)監(jiān)控虛擬環(huán)境監(jiān)控操作系統(tǒng)監(jiān)控中間件監(jiān)控數(shù)據(jù)庫監(jiān)控虛擬桌面堡壘機(jī)隔離RFID卡軌跡跟蹤生物技術(shù)識別機(jī)房環(huán)境監(jiān)控RFID 機(jī)柜監(jiān)控RFID資產(chǎn)監(jiān)控設(shè)備監(jiān)控 圖形化展現(xiàn)資產(chǎn)狀況 實時定位人員位置 身份卡+生物識別技術(shù) RFID標(biāo)簽RFID讀寫器天線RFID手持讀寫器Tracking Server 手動掃描 特例處理 安裝于機(jī)房門口 安裝于機(jī)柜內(nèi) 安裝于吊頂內(nèi) 資產(chǎn)Tag：安裝在每個設(shè)備上 人員Tag：隨身攜帶應(yīng)用展示安全儀表盤立方體數(shù)據(jù)源以數(shù)據(jù)分析為主的安全儀表盤監(jiān)控數(shù)據(jù)系統(tǒng)日志BI報表工具決策儀表盤管理儀表盤監(jiān)控儀表盤ETLOL

7、AP以流程管理為主的安全管理ESB 總線服務(wù)和組件流程管理流程編排流程執(zhí)行 流程監(jiān)控應(yīng)用功能IP地址修改任務(wù)OA主機(jī)巡檢任務(wù)營銷-F5宕機(jī)事件交換機(jī)宕機(jī)事件OA虛擬機(jī)內(nèi)存擴(kuò)充任務(wù)營銷系統(tǒng)巡檢任務(wù)OA-01中間件宕機(jī)事件防火墻宕機(jī)事件服務(wù)目錄 組件目錄規(guī)范體系 規(guī)范架構(gòu)規(guī)范模型云安全規(guī)范體系私有云安全規(guī)范體系規(guī)范框架 IBM規(guī)范分類預(yù)期效果后期補(bǔ)充 分布實施計劃 實施范圍 實施內(nèi)容 項目方案細(xì)化 以資源為核心預(yù)期效果l北京煙草有形、無形資產(chǎn)統(tǒng)一登記、跟蹤、監(jiān)控，以及組織架構(gòu)、業(yè)務(wù)架構(gòu)、IT資產(chǎn)等，統(tǒng)一管理，構(gòu)成三全管理模式；l在資產(chǎn)統(tǒng)一管理的前提下，對人、行為和資產(chǎn)進(jìn)行統(tǒng)一的安全防范，提升北京煙草的安全等級 ；l云