構(gòu)建信息系統(tǒng)的安全管理平臺框架和實踐啟明星辰

1、標(biāo)題(biot)頁共四十七頁構(gòu)建信息系統(tǒng)的安全管理(gunl)平臺框架與實踐北京啟明星辰信息技術(shù)有限公司 咨詢(zxn)總監(jiān) 趙呈東共四十七頁摘要(zhiyo)構(gòu)建信息安全管理(gunl)平臺原則、要求和大思路了解資產(chǎn)和業(yè)務(wù)了解威脅了解保障措施框架具體任務(wù)和建議共四十七頁1. 原則、要求(yoqi)和大思路共四十七頁中辦發(fā)200327號國家信息化領(lǐng)導(dǎo)小組關(guān)于(guny)加強信息安全保障工作的意見（2003年8月26日）共四十七頁加強信息安全保障工作-總體(zngt)要求總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)(

2、wnglu)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全。共四十七頁加強信息安全保障工作-主要(zhyo)原則主要原則：立足國情，以我為主，堅持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)(yw)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。共四十七頁加強(jiqing)信息安全保障工作-九項任務(wù)系統(tǒng)等級保護(hù)和風(fēng)險管理基于密碼技術(shù)的信息保護(hù)和信任體系網(wǎng)絡(luò)信息安全監(jiān)控體系應(yīng)急處理體系加強技術(shù)研究，推進(jìn)(tujn)產(chǎn)業(yè)發(fā)展法制建設(shè)、標(biāo)準(zhǔn)化建設(shè)人才培養(yǎng)與全民安全意識保證信息安全資金加強

3、對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制共四十七頁2005年和2006年的動向(dngxing)2005年國家風(fēng)險評估試點應(yīng)急預(yù)案編寫和演練等級保護(hù)工作試點和宣貫薩班斯法案(f n)在商業(yè)領(lǐng)域產(chǎn)生影響2006年等級保護(hù)評估工作2006年公通字7號文3月風(fēng)險評估指南宣貫活動共四十七頁安全(nqun)的驅(qū)動力問題具體的安全事件等政策27號文等體系化整體規(guī)劃合規(guī)性等級保護(hù)、風(fēng)險(fngxin)評估等共四十七頁風(fēng)險管理風(fēng)險管理的理念(l nin)從90年代開始，已經(jīng)逐步成為引導(dǎo)信息安全技術(shù)應(yīng)用的核心理念(l nin)風(fēng)險的定義對目標(biāo)有所影響的某件事情發(fā)生的可能性摘自AS/NZS4360共四

4、十七頁ISO13335以風(fēng)險為核心的安全(nqun)模型風(fēng)險(fngxin)防護(hù)措施信息資產(chǎn)威脅漏洞防護(hù)需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足一般風(fēng)險評估的理論基礎(chǔ)共四十七頁國信辦報告(bogo)中的風(fēng)險要素關(guān)系圖共四十七頁最精簡(jngjin)的風(fēng)險管理要素共四十七頁信息安全工作(gngzu)的思路信息安全工作不是僅僅防火墻、防病毒、入侵檢測、管理制度 已經(jīng)逐步從單純開發(fā)技術(shù)和產(chǎn)品本身，轉(zhuǎn)向同時(tngsh)從整體保障框架著眼，解決實際問題，實現(xiàn)價值。共四十七頁從三個方面(fngmin)展開框架到底哪些問題對我們是真正的危害(wihi)到底我們的系統(tǒng)中哪些是要重點保護(hù)的，我們的系

5、統(tǒng)的特點和結(jié)構(gòu)是什么到底哪些措施最有效，現(xiàn)有措施的效果如何共四十七頁專業(yè)廠商要協(xié)助(xizh)客戶完善保障體系共四十七頁2、了解(lioji)威脅共四十七頁政務(wù)網(wǎng)絡(luò)面臨(minlng)的問題政務(wù)(zhngw)網(wǎng)絡(luò)內(nèi)部、外部泄密異常流量邏輯炸彈惡意代碼黑客攻擊違規(guī)操作隱蔽通道蠕蟲病毒多樣化網(wǎng)絡(luò)安全威脅共四十七頁3、了解(lioji)資產(chǎn)和業(yè)務(wù)共四十七頁作安全必須了解資產(chǎn)(zchn)和業(yè)務(wù)“正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全”等級保護(hù)的要求也要我們做到對自身的了解，才能做到適度的防護(hù)我們對于信息系統(tǒng)的依賴(yli)程度決定了我們在安全上的投入共四十七頁怎么了解(lioji)資產(chǎn)

6、和業(yè)務(wù)(IT相關(guān))分析信息體系架構(gòu)ITA業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)分布(fnb)形態(tài)系統(tǒng)的層次性技術(shù)和管理（組織結(jié)構(gòu)）時間（生命周期）價值（資產(chǎn)價值、影響價值、投入） 業(yè)務(wù)資產(chǎn)保障措施威脅共四十七頁關(guān)于資產(chǎn)和業(yè)務(wù)(yw)方面的趨勢用結(jié)構(gòu)化的方法(fngf)描述自身的資產(chǎn)和業(yè)務(wù)是更加系統(tǒng)化、更加全面地進(jìn)行安全保護(hù)的基礎(chǔ)安全域方法逐步成為比較現(xiàn)實地描述網(wǎng)絡(luò)和系統(tǒng)環(huán)境的方法共四十七頁安全(nqun)域的概念廣義的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合(jh)。這些IT要素包括：策略和流程 物理環(huán)境網(wǎng)絡(luò)區(qū)域業(yè)務(wù)和使命人和組織主機和系統(tǒng)共四十七頁常見安全域的劃分(hu fn)方法按照業(yè)務(wù)系統(tǒng)劃分優(yōu)

7、點：自然形成、劃分簡單缺點：防護(hù)復(fù)雜(fz)、重復(fù)投資、影響易用性按照防護(hù)等級劃分優(yōu)點：防護(hù)簡單、保護(hù)投資缺點：割接成本高、影響易用性按照行為特征劃分優(yōu)點：針對常見的威脅進(jìn)行更細(xì)致的防護(hù)缺點：需要詳細(xì)分析業(yè)務(wù)系統(tǒng)的行為共四十七頁邊界(binji)接入域互聯(lián)網(wǎng)接入?yún)^(qū)計算環(huán)境 一般(ybn)服務(wù)區(qū)計算環(huán)境域計算環(huán)境 核心區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施域支撐性設(shè)施域骨干區(qū)匯集區(qū)接入?yún)^(qū)安全系統(tǒng)網(wǎng)管系統(tǒng)其它支撐系統(tǒng)外聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)計算環(huán)境 重要服務(wù)區(qū)內(nèi)部網(wǎng)接入?yún)^(qū)共四十七頁4、了解(lioji)保障措施共四十七頁保障體系的實際(shj)組成共四十七頁技術(shù)(jsh)環(huán)境當(dāng)前主流的基本安全產(chǎn)品加密(ji m)防病毒防

8、火墻入侵檢測漏洞掃描身份認(rèn)證VPN 共四十七頁技術(shù)環(huán)境(hunjng)當(dāng)前主流的基本安全服務(wù)咨詢服務(wù)整體框架規(guī)劃(guhu)和設(shè)計評估加固服務(wù)對于主機和網(wǎng)絡(luò)進(jìn)行技術(shù)評估和加固風(fēng)險評估服務(wù)對系統(tǒng)的整體風(fēng)險進(jìn)行評估并對風(fēng)險管理提供設(shè)計滲透性測試服務(wù)安全教育和培訓(xùn) 共四十七頁安全管理平臺成為一個值得考慮(kol)的選擇漏洞評估中心事件監(jiān)控中心風(fēng)險分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報告ScannerIDSFWAV主機與網(wǎng)絡(luò)設(shè)備人工審計外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺資源管理平臺其他事件檢測系統(tǒng)其他狀態(tài)檢測系統(tǒng)資產(chǎn)管理平臺知識庫外部協(xié)同用戶管理安全知識管理平臺自身安全共四十七頁5、

9、框架(kun ji)共四十七頁信息安全保障(bozhng)框架資產(chǎn)清單(qngdn)面向網(wǎng)絡(luò)拓?fù)浠诎踩?業(yè)務(wù)域基于業(yè)務(wù)流分析 共四十七頁信息安全保障(bozhng)框架脆弱性管理(gunl)告警管理事件管理預(yù)警管理威脅管理 共四十七頁信息安全保障(bozhng)框架通過S3-PPT方法展開保障(bozhng)措施共四十七頁保障(bozhng)框架-措施共四十七頁27號文的框架(kun ji)分析等級保護(hù)風(fēng)險(fngxin)評估監(jiān)控體系應(yīng)急體系信任體系技術(shù)和產(chǎn)業(yè)法制建設(shè)標(biāo)準(zhǔn)化建設(shè)人才培養(yǎng)全民意識保證資金責(zé)任制共四十七頁產(chǎn)品(chnpn)的框架分析IDS應(yīng)用(yngyng)審計防火墻SAN防垃

10、圾安全管理中心Scanner遠(yuǎn)程數(shù)據(jù)熱備IPS防病毒加密機雙因子PKIUTM共四十七頁安全(nqun)服務(wù)體系的框架分析評估(pn )加固教育培訓(xùn)MSS應(yīng)急響應(yīng)安全集成風(fēng)險評估管理咨詢共四十七頁體系設(shè)計方案的框架(kun ji)分析安全監(jiān)控體系(tx)安全審計體系安全防護(hù)體系應(yīng)急恢復(fù)體系網(wǎng)絡(luò)信任體系安全管理體系共四十七頁啟明星辰產(chǎn)品(chnpn)系天闐系天玥系天清系天榕系天瑤系泰合系天燕系共四十七頁啟明星辰當(dāng)前(dngqin)產(chǎn)品天闐系NIDS網(wǎng)絡(luò)入侵檢測HIDS主機入侵檢測AFMS異常(ychng)流量監(jiān)控天鏡漏洞掃描系統(tǒng)天玥系天玥網(wǎng)絡(luò)綜合審計系統(tǒng)天玥業(yè)務(wù)審計（移動業(yè)務(wù)）天珣非法外聯(lián)審計系統(tǒng)

11、天燕系產(chǎn)品測評工具服務(wù)評估工具風(fēng)險管理與控制系統(tǒng)輯偵工具天清系防火墻和病毒網(wǎng)關(guān)防拒絕服務(wù)系統(tǒng)網(wǎng)絡(luò)隔離機天清短信過濾系統(tǒng)天清防垃圾郵件系統(tǒng)天榕系天榕Linux網(wǎng)絡(luò)備份系統(tǒng)Webkeeper網(wǎng)站保護(hù)和恢復(fù)天瑤系加密機泰合系IMS入侵管理平臺綜合安全監(jiān)控平臺共四十七頁SOC平臺(pngti)架構(gòu)漏洞評估中心事件/流量/運行監(jiān)控中心風(fēng)險分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報告ScannerIDSFWAV主機與網(wǎng)絡(luò)設(shè)備人工審計外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺資源管理平臺其他事件檢測系統(tǒng)其他狀態(tài)檢測系統(tǒng)資產(chǎn)管理平臺統(tǒng)一信息知識庫外部協(xié)同用戶管理安全知識管理平臺自身安全范式化關(guān)聯(lián)分析可視

12、化響應(yīng)管理資產(chǎn)/資源管理知識庫配置管理共四十七頁6 最佳(zu ji)實踐建議教育和培訓(xùn)成熟產(chǎn)品防病毒、防火墻、VPN、入侵檢測(jin c)、漏洞掃描風(fēng)險評估框架式的安全建設(shè)規(guī)劃信息安全管理體系安全域監(jiān)控體系、安全監(jiān)控管理中心事件管理體系、應(yīng)急體系共四十七頁總結(jié)(zngji)構(gòu)建(u jin)信息安全保障體系原則、要求和大思路了解資產(chǎn)和業(yè)務(wù)了解威脅了解保障措施框架具體任務(wù)和建議共四十七頁 謝 謝共四十七頁內(nèi)容摘要標(biāo)題頁。構(gòu)建信息系統(tǒng)的安全管理平臺框架與實踐。咨詢總監(jiān) 趙呈東。立足國情，以我為主，。正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全。統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作。明確國家、企業(yè)、個人的責(zé)任和義務(wù)(yw)，充分發(fā)揮各方面的積極性，共同構(gòu)