構(gòu)建信息系統(tǒng)的安全管理平臺(tái)框架和實(shí)踐啟明星辰

1、標(biāo)題(biot)頁共四十七頁構(gòu)建信息系統(tǒng)的安全管理(gunl)平臺(tái)框架與實(shí)踐北京啟明星辰信息技術(shù)有限公司 咨詢(zxn)總監(jiān) 趙呈東共四十七頁摘要(zhiyo)構(gòu)建信息安全管理(gunl)平臺(tái)原則、要求和大思路了解資產(chǎn)和業(yè)務(wù)了解威脅了解保障措施框架具體任務(wù)和建議共四十七頁1. 原則、要求(yoqi)和大思路共四十七頁中辦發(fā)200327號(hào)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于(guny)加強(qiáng)信息安全保障工作的意見（2003年8月26日）共四十七頁加強(qiáng)信息安全保障工作-總體(zngt)要求總體要求：堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)(

2、wnglu)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。共四十七頁加強(qiáng)信息安全保障工作-主要(zhyo)原則主要原則：立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)(yw)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。共四十七頁加強(qiáng)(jiqing)信息安全保障工作-九項(xiàng)任務(wù)系統(tǒng)等級(jí)保護(hù)和風(fēng)險(xiǎn)管理基于密碼技術(shù)的信息保護(hù)和信任體系網(wǎng)絡(luò)信息安全監(jiān)控體系應(yīng)急處理體系加強(qiáng)技術(shù)研究，推進(jìn)(tujn)產(chǎn)業(yè)發(fā)展法制建設(shè)、標(biāo)準(zhǔn)化建設(shè)人才培養(yǎng)與全民安全意識(shí)保證信息安全資金加強(qiáng)

3、對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制共四十七頁2005年和2006年的動(dòng)向(dngxing)2005年國(guó)家風(fēng)險(xiǎn)評(píng)估試點(diǎn)應(yīng)急預(yù)案編寫和演練等級(jí)保護(hù)工作試點(diǎn)和宣貫薩班斯法案(f n)在商業(yè)領(lǐng)域產(chǎn)生影響2006年等級(jí)保護(hù)評(píng)估工作2006年公通字7號(hào)文3月風(fēng)險(xiǎn)評(píng)估指南宣貫活動(dòng)共四十七頁安全(nqun)的驅(qū)動(dòng)力問題具體的安全事件等政策27號(hào)文等體系化整體規(guī)劃合規(guī)性等級(jí)保護(hù)、風(fēng)險(xiǎn)(fngxin)評(píng)估等共四十七頁風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理的理念(l nin)從90年代開始，已經(jīng)逐步成為引導(dǎo)信息安全技術(shù)應(yīng)用的核心理念(l nin)風(fēng)險(xiǎn)的定義對(duì)目標(biāo)有所影響的某件事情發(fā)生的可能性摘自AS/NZS4360共四

4、十七頁ISO13335以風(fēng)險(xiǎn)為核心的安全(nqun)模型風(fēng)險(xiǎn)(fngxin)防護(hù)措施信息資產(chǎn)威脅漏洞防護(hù)需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足一般風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)共四十七頁國(guó)信辦報(bào)告(bogo)中的風(fēng)險(xiǎn)要素關(guān)系圖共四十七頁最精簡(jiǎn)(jngjin)的風(fēng)險(xiǎn)管理要素共四十七頁信息安全工作(gngzu)的思路信息安全工作不是僅僅防火墻、防病毒、入侵檢測(cè)、管理制度 已經(jīng)逐步從單純開發(fā)技術(shù)和產(chǎn)品本身，轉(zhuǎn)向同時(shí)(tngsh)從整體保障框架著眼，解決實(shí)際問題，實(shí)現(xiàn)價(jià)值。共四十七頁從三個(gè)方面(fngmin)展開框架到底哪些問題對(duì)我們是真正的危害(wihi)到底我們的系統(tǒng)中哪些是要重點(diǎn)保護(hù)的，我們的系

5、統(tǒng)的特點(diǎn)和結(jié)構(gòu)是什么到底哪些措施最有效，現(xiàn)有措施的效果如何共四十七頁專業(yè)廠商要協(xié)助(xizh)客戶完善保障體系共四十七頁2、了解(lioji)威脅共四十七頁政務(wù)網(wǎng)絡(luò)面臨(minlng)的問題政務(wù)(zhngw)網(wǎng)絡(luò)內(nèi)部、外部泄密異常流量邏輯炸彈惡意代碼黑客攻擊違規(guī)操作隱蔽通道蠕蟲病毒多樣化網(wǎng)絡(luò)安全威脅共四十七頁3、了解(lioji)資產(chǎn)和業(yè)務(wù)共四十七頁作安全必須了解資產(chǎn)(zchn)和業(yè)務(wù)“正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全”等級(jí)保護(hù)的要求也要我們做到對(duì)自身的了解，才能做到適度的防護(hù)我們對(duì)于信息系統(tǒng)的依賴(yli)程度決定了我們?cè)诎踩系耐度牍菜氖唔撛趺戳私?lioji)資產(chǎn)

6、和業(yè)務(wù)(IT相關(guān))分析信息體系架構(gòu)ITA業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)分布(fnb)形態(tài)系統(tǒng)的層次性技術(shù)和管理（組織結(jié)構(gòu)）時(shí)間（生命周期）價(jià)值（資產(chǎn)價(jià)值、影響價(jià)值、投入） 業(yè)務(wù)資產(chǎn)保障措施威脅共四十七頁關(guān)于資產(chǎn)和業(yè)務(wù)(yw)方面的趨勢(shì)用結(jié)構(gòu)化的方法(fngf)描述自身的資產(chǎn)和業(yè)務(wù)是更加系統(tǒng)化、更加全面地進(jìn)行安全保護(hù)的基礎(chǔ)安全域方法逐步成為比較現(xiàn)實(shí)地描述網(wǎng)絡(luò)和系統(tǒng)環(huán)境的方法共四十七頁安全(nqun)域的概念廣義的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合(jh)。這些IT要素包括：策略和流程 物理環(huán)境網(wǎng)絡(luò)區(qū)域業(yè)務(wù)和使命人和組織主機(jī)和系統(tǒng)共四十七頁常見安全域的劃分(hu fn)方法按照業(yè)務(wù)系統(tǒng)劃分優(yōu)

7、點(diǎn)：自然形成、劃分簡(jiǎn)單缺點(diǎn)：防護(hù)復(fù)雜(fz)、重復(fù)投資、影響易用性按照防護(hù)等級(jí)劃分優(yōu)點(diǎn)：防護(hù)簡(jiǎn)單、保護(hù)投資缺點(diǎn)：割接成本高、影響易用性按照行為特征劃分優(yōu)點(diǎn)：針對(duì)常見的威脅進(jìn)行更細(xì)致的防護(hù)缺點(diǎn)：需要詳細(xì)分析業(yè)務(wù)系統(tǒng)的行為共四十七頁邊界(binji)接入域互聯(lián)網(wǎng)接入?yún)^(qū)計(jì)算環(huán)境 一般(ybn)服務(wù)區(qū)計(jì)算環(huán)境域計(jì)算環(huán)境 核心區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施域支撐性設(shè)施域骨干區(qū)匯集區(qū)接入?yún)^(qū)安全系統(tǒng)網(wǎng)管系統(tǒng)其它支撐系統(tǒng)外聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)計(jì)算環(huán)境 重要服務(wù)區(qū)內(nèi)部網(wǎng)接入?yún)^(qū)共四十七頁4、了解(lioji)保障措施共四十七頁保障體系的實(shí)際(shj)組成共四十七頁技術(shù)(jsh)環(huán)境當(dāng)前主流的基本安全產(chǎn)品加密(ji m)防病毒防

8、火墻入侵檢測(cè)漏洞掃描身份認(rèn)證VPN 共四十七頁技術(shù)環(huán)境(hunjng)當(dāng)前主流的基本安全服務(wù)咨詢服務(wù)整體框架規(guī)劃(guhu)和設(shè)計(jì)評(píng)估加固服務(wù)對(duì)于主機(jī)和網(wǎng)絡(luò)進(jìn)行技術(shù)評(píng)估和加固風(fēng)險(xiǎn)評(píng)估服務(wù)對(duì)系統(tǒng)的整體風(fēng)險(xiǎn)進(jìn)行評(píng)估并對(duì)風(fēng)險(xiǎn)管理提供設(shè)計(jì)滲透性測(cè)試服務(wù)安全教育和培訓(xùn) 共四十七頁安全管理平臺(tái)成為一個(gè)值得考慮(kol)的選擇漏洞評(píng)估中心事件監(jiān)控中心風(fēng)險(xiǎn)分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報(bào)告ScannerIDSFWAV主機(jī)與網(wǎng)絡(luò)設(shè)備人工審計(jì)外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺(tái)資源管理平臺(tái)其他事件檢測(cè)系統(tǒng)其他狀態(tài)檢測(cè)系統(tǒng)資產(chǎn)管理平臺(tái)知識(shí)庫外部協(xié)同用戶管理安全知識(shí)管理平臺(tái)自身安全共四十七頁5、

9、框架(kun ji)共四十七頁信息安全保障(bozhng)框架資產(chǎn)清單(qngdn)面向網(wǎng)絡(luò)拓?fù)浠诎踩?業(yè)務(wù)域基于業(yè)務(wù)流分析 共四十七頁信息安全保障(bozhng)框架脆弱性管理(gunl)告警管理事件管理預(yù)警管理威脅管理 共四十七頁信息安全保障(bozhng)框架通過S3-PPT方法展開保障(bozhng)措施共四十七頁保障(bozhng)框架-措施共四十七頁27號(hào)文的框架(kun ji)分析等級(jí)保護(hù)風(fēng)險(xiǎn)(fngxin)評(píng)估監(jiān)控體系應(yīng)急體系信任體系技術(shù)和產(chǎn)業(yè)法制建設(shè)標(biāo)準(zhǔn)化建設(shè)人才培養(yǎng)全民意識(shí)保證資金責(zé)任制共四十七頁產(chǎn)品(chnpn)的框架分析IDS應(yīng)用(yngyng)審計(jì)防火墻SAN防垃

10、圾安全管理中心Scanner遠(yuǎn)程數(shù)據(jù)熱備IPS防病毒加密機(jī)雙因子PKIUTM共四十七頁安全(nqun)服務(wù)體系的框架分析評(píng)估(pn )加固教育培訓(xùn)MSS應(yīng)急響應(yīng)安全集成風(fēng)險(xiǎn)評(píng)估管理咨詢共四十七頁體系設(shè)計(jì)方案的框架(kun ji)分析安全監(jiān)控體系(tx)安全審計(jì)體系安全防護(hù)體系應(yīng)急恢復(fù)體系網(wǎng)絡(luò)信任體系安全管理體系共四十七頁啟明星辰產(chǎn)品(chnpn)系天闐系天玥系天清系天榕系天瑤系泰合系天燕系共四十七頁啟明星辰當(dāng)前(dngqin)產(chǎn)品天闐系NIDS網(wǎng)絡(luò)入侵檢測(cè)HIDS主機(jī)入侵檢測(cè)AFMS異常(ychng)流量監(jiān)控天鏡漏洞掃描系統(tǒng)天玥系天玥網(wǎng)絡(luò)綜合審計(jì)系統(tǒng)天玥業(yè)務(wù)審計(jì)（移動(dòng)業(yè)務(wù)）天珣非法外聯(lián)審計(jì)系統(tǒng)

11、天燕系產(chǎn)品測(cè)評(píng)工具服務(wù)評(píng)估工具風(fēng)險(xiǎn)管理與控制系統(tǒng)輯偵工具天清系防火墻和病毒網(wǎng)關(guān)防拒絕服務(wù)系統(tǒng)網(wǎng)絡(luò)隔離機(jī)天清短信過濾系統(tǒng)天清防垃圾郵件系統(tǒng)天榕系天榕Linux網(wǎng)絡(luò)備份系統(tǒng)Webkeeper網(wǎng)站保護(hù)和恢復(fù)天瑤系加密機(jī)泰合系IMS入侵管理平臺(tái)綜合安全監(jiān)控平臺(tái)共四十七頁SOC平臺(tái)(pngti)架構(gòu)漏洞評(píng)估中心事件/流量/運(yùn)行監(jiān)控中心風(fēng)險(xiǎn)分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報(bào)告ScannerIDSFWAV主機(jī)與網(wǎng)絡(luò)設(shè)備人工審計(jì)外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺(tái)資源管理平臺(tái)其他事件檢測(cè)系統(tǒng)其他狀態(tài)檢測(cè)系統(tǒng)資產(chǎn)管理平臺(tái)統(tǒng)一信息知識(shí)庫外部協(xié)同用戶管理安全知識(shí)管理平臺(tái)自身安全范式化關(guān)聯(lián)分析可視

12、化響應(yīng)管理資產(chǎn)/資源管理知識(shí)庫配置管理共四十七頁6 最佳(zu ji)實(shí)踐建議教育和培訓(xùn)成熟產(chǎn)品防病毒、防火墻、VPN、入侵檢測(cè)(jin c)、漏洞掃描風(fēng)險(xiǎn)評(píng)估框架式的安全建設(shè)規(guī)劃信息安全管理體系安全域監(jiān)控體系、安全監(jiān)控管理中心事件管理體系、應(yīng)急體系共四十七頁總結(jié)(zngji)構(gòu)建(u jin)信息安全保障體系原則、要求和大思路了解資產(chǎn)和業(yè)務(wù)了解威脅了解保障措施框架具體任務(wù)和建議共四十七頁 謝 謝共四十七頁內(nèi)容摘要標(biāo)題頁。構(gòu)建信息系統(tǒng)的安全管理平臺(tái)框架與實(shí)踐。咨詢總監(jiān) 趙呈東。立足國(guó)情，以我為主，。正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全。統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作。明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)(yw)，充分發(fā)揮各方面的積極性，共同構(gòu)