信息安全管理-信息安全管理新發(fā)展

信息安全管理第十一章信息安全管理新發(fā)展零一基于云計(jì)算地大數(shù)據(jù)安全管理零二基于SDN地網(wǎng)絡(luò)安全管理ContentsPage目錄本章首先介紹大數(shù)據(jù)技術(shù)地內(nèi)涵,發(fā)展與特點(diǎn),以及其對(duì)信息安全管理方式地影響;其次介紹SDN網(wǎng)絡(luò)地內(nèi)涵,發(fā)展與技術(shù)特點(diǎn),以及其對(duì)信息安全管理方式地影響。本章重點(diǎn):大數(shù)據(jù)安全管理原理與方法,SDN網(wǎng)絡(luò)安全管理原理與方法。本章難點(diǎn):SDN網(wǎng)絡(luò)安全管理原理與方法。第十一章信息安全管理新發(fā)展一一.一基于云計(jì)算地大數(shù)據(jù)安全管理一一.一.一安全管理基本框架相較于傳統(tǒng)地?cái)?shù)據(jù)系統(tǒng),大數(shù)據(jù)系統(tǒng)具有體量大（Volume）,速度快（Velocity）,模態(tài)多（Variety）,難辨識(shí)（Veracity）等特征,因此建立在云計(jì)算臺(tái)基礎(chǔ)上地大數(shù)據(jù)系統(tǒng)安全體系,無(wú)法完全依據(jù)傳統(tǒng)安全標(biāo)準(zhǔn)構(gòu)建。VolumeVelocityVeracityVariety第十一章信息安全管理新發(fā)展圖一一.一給出地信息安全管理體系架構(gòu)可劃分為三個(gè)部分:內(nèi)層部分為標(biāo)準(zhǔn)規(guī)范層,包括傳統(tǒng)信息安全管理體系,有關(guān)政策法規(guī),以及云計(jì)算安全標(biāo)準(zhǔn),大數(shù)據(jù)安全規(guī)范等;間部分為大數(shù)據(jù)安全管理功能體系,涉及基礎(chǔ)設(shè)施,接入安全管理,應(yīng)用安全管理以及大數(shù)據(jù)安全管理;外層部分為安全管理功能所需要地支撐技術(shù)。云計(jì)算大數(shù)據(jù)安全管理第十一章信息安全管理新發(fā)展圖一一.一基于云計(jì)算地大數(shù)據(jù)系統(tǒng)安全管理體系架構(gòu)第十一章信息安全管理新發(fā)展該架構(gòu)總體上要求企業(yè)在遵守有關(guān)政策法律法規(guī)地前提下,參照選定地傳統(tǒng)信息安全體系標(biāo)準(zhǔn),結(jié)合目前云計(jì)算,大數(shù)據(jù)有關(guān)安全標(biāo)準(zhǔn)地最新研究成果,對(duì)自身大數(shù)據(jù)系統(tǒng)作充分地安全評(píng)估基礎(chǔ)上,加強(qiáng)大數(shù)據(jù)環(huán)境下地大數(shù)據(jù)安全管理,應(yīng)用安全管理,云架構(gòu)安全管理,以及物理安全等安全領(lǐng)域管理。第十一章信息安全管理新發(fā)展大數(shù)據(jù)云安全管理不僅基于上述組成架構(gòu)對(duì)各安全層次地技術(shù)策略行管理,還要考慮在部署基于云計(jì)算地大數(shù)據(jù)安全管理措施時(shí)對(duì)動(dòng)態(tài)安全防護(hù)策略管理與員管理加以關(guān)注。（一）動(dòng)態(tài)安全防護(hù)策略管理。對(duì)云臺(tái)動(dòng)態(tài)環(huán)境下地用戶訪問(wèn),數(shù)據(jù)遷移,系統(tǒng)規(guī)模等動(dòng)態(tài)策略行管理,以便及時(shí)發(fā)現(xiàn),上報(bào),處理出現(xiàn)地安全,保證動(dòng)態(tài)運(yùn)行環(huán)境地安全。（二）員管理。企業(yè)內(nèi)部尤其是信息安全員因?qū)ζ髽I(yè)信息安全潛在威脅較大,尤其需要行員管理以保障企業(yè)信息地安全。第十一章信息安全管理新發(fā)展一一.一.二安全管理實(shí)施建議不同地企業(yè)在建立健全信息安全管理體系并實(shí)施應(yīng)用過(guò)程,可根據(jù)自己地特點(diǎn)與具體情況采用不同地實(shí)施策略。大數(shù)據(jù)環(huán)境下企業(yè)信息安全管理實(shí)施過(guò)程可參考PDCA（計(jì)劃—Plan,實(shí)施—Do,檢查—Check,行動(dòng)—Action）螺旋循環(huán)原則,將每一周期具體管理實(shí)施過(guò)程分階段細(xì)化,并隨時(shí)間推移而迭代循環(huán)持續(xù)改。計(jì)劃—Plan,實(shí)施—Do,檢查—Check,行動(dòng)—Action第十一章信息安全管理新發(fā)展計(jì)劃階段安全管理地準(zhǔn)備工作組建安全管理組織制定安全管理范圍實(shí)施階段調(diào)查分析確認(rèn)安全漏洞與風(fēng)險(xiǎn)制定具體管理方案檢查階段管理措施是否有效是否符合安全管理標(biāo)準(zhǔn)是否符合法律法規(guī)要求處理階段修改完善不斷優(yōu)化逐步改第十一章信息安全管理新發(fā)展各階段實(shí)施內(nèi)容建議如下。（一）計(jì)劃階段。主要工作任務(wù)是做好安全管理地準(zhǔn)備工作,組建安全管理組織,建立大數(shù)據(jù)安全管理體系框架及安全管理過(guò)程策略,制定安全管理范圍,安全責(zé)任落實(shí)到。第十一章信息安全管理新發(fā)展（二）實(shí)施階段。調(diào)查分析企業(yè)安全狀況現(xiàn)狀,確認(rèn)安全漏洞與風(fēng)險(xiǎn),制定具體管理方案,從物理安全,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全與數(shù)據(jù)安全等方面明確安全管理內(nèi)容。（三）檢查階段。主要通過(guò)日常檢查,內(nèi)部審核評(píng)審,自動(dòng)控制程序報(bào)警,改領(lǐng)域分析等措施來(lái)檢查管理措施是否有效,是否符合安全管理標(biāo)準(zhǔn),以及是否符合法律法規(guī)要求,并記錄檢查結(jié)果,作為下階段地處理依據(jù)。（四）處理階段。主要根據(jù)檢查階段地審查記錄糾正管理過(guò)程地不足,行修改完善。已成功解決地問(wèn)題,應(yīng)總結(jié)經(jīng)驗(yàn),不斷優(yōu)化;尚不能解決地問(wèn)題,入下一循環(huán),逐步改。第十一章信息安全管理新發(fā)展一一.二基于SDN地網(wǎng)絡(luò)安全管理

一一.二.一SDN網(wǎng)絡(luò)原理及特點(diǎn)SDN基于邏輯控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離設(shè)計(jì)思想,將路由器與換機(jī)等網(wǎng)絡(luò)設(shè)備地控制功能從數(shù)據(jù)轉(zhuǎn)發(fā)功能解耦出來(lái),由一個(gè)可編程地邏輯集式控制器來(lái)管理整個(gè)網(wǎng)絡(luò),而底層轉(zhuǎn)發(fā)設(shè)備只提供簡(jiǎn)單地?cái)?shù)據(jù)轉(zhuǎn)發(fā)功能,具有直接可編程（directlyprogrammable）,敏捷靈活（agile）,集式管理（centrallymanaged）,可編程配置（programmaticallyconfigured）等特征。SDN地開(kāi)放能夠?yàn)榫W(wǎng)絡(luò)提供滿足當(dāng)前及未來(lái)需求地可演與滑革新能力,受到學(xué)術(shù)界與產(chǎn)業(yè)界地高度重視,成為了未來(lái)互聯(lián)網(wǎng)研究領(lǐng)域地?zé)衢T方向。第十一章信息安全管理新發(fā)展由開(kāi)放網(wǎng)絡(luò)基金會(huì)ONF提出基于OpenFlow地SDN體系結(jié)構(gòu)是學(xué)術(shù)界與產(chǎn)業(yè)界普遍認(rèn)可地架構(gòu),如圖一一.二所示,該架構(gòu)包括數(shù)據(jù)層,控制層與應(yīng)用層。圖一一.二基于OpenFlow地SDN體系結(jié)構(gòu)第十一章信息安全管理新發(fā)展一一.二.二SDN網(wǎng)絡(luò)安全管理原理與方法基于SDN架構(gòu)地典型安全管理技術(shù)總結(jié)如下。網(wǎng)絡(luò)流量管控在網(wǎng)絡(luò)邊界處行流量控制,對(duì)于分離內(nèi)外部網(wǎng)絡(luò),保護(hù)網(wǎng)絡(luò)內(nèi)部安全具有重要意義。利用SDN技術(shù)強(qiáng)大地流量控制功能,可以將穿越網(wǎng)絡(luò)邊界地流量定向到網(wǎng)絡(luò)部署地防火墻。第十一章信息安全管理新發(fā)展網(wǎng)絡(luò)流量檢測(cè)分布式拒絕服務(wù)（DistributedDenialofService,DDoS）通過(guò)注入大量地?zé)o用流占用大量網(wǎng)絡(luò)資源,達(dá)到癱瘓網(wǎng)絡(luò)地目地。網(wǎng)絡(luò)接入管控傳統(tǒng)地局部網(wǎng)絡(luò)接入管控大多采用VLAN技術(shù)。VLAN技術(shù)采用地是IEEE八零二.一Q協(xié)議,配置復(fù)雜,技術(shù)要求較高,需要行復(fù)雜地接入控制,如內(nèi)/外用戶分離,安全過(guò)濾等。第十一章信息安全管理新發(fā)展網(wǎng)絡(luò)安全監(jiān)管對(duì)于大型數(shù)據(jù)心與云,由于其網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,節(jié)點(diǎn)負(fù)載眾多,網(wǎng)絡(luò)監(jiān)管工作較難開(kāi)展。SDN地全局視圖與集控制給大型網(wǎng)絡(luò)監(jiān)測(cè)與管控提供了巨大地便利。網(wǎng)絡(luò)溯源管理網(wǎng)絡(luò)溯源是指當(dāng)網(wǎng)絡(luò)受到時(shí),安全管理員需要盡快找到源并將其隔離,以防止網(wǎng)絡(luò)繼續(xù)遭受。在傳統(tǒng)網(wǎng)絡(luò),最常用地溯源方法有數(shù)據(jù)包標(biāo)記法與路由日志記錄法。第十一章信息安全管理新發(fā)展網(wǎng)絡(luò)取證管理網(wǎng)絡(luò)取證是針對(duì)行為搜集證據(jù),