安全運營管理課件

安全運營管理體系V5內(nèi)容提要安全管理問題與挑戰(zhàn)安全運營管理戰(zhàn)略業(yè)務發(fā)展的要求安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT保障體系安全運營管理體系建議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖2安全運營管理企業(yè)信息安全de路線圖信息安全要融入企業(yè)，適度安全即可信息安全很簡單，買些FW/IDS/AV裝上就行了信息安全投入太大，太專業(yè)，太難了信息安全是國家和政府的事情，離我們太遠了信息安全如何搞？拿來主義！“標準規(guī)范＋專家顧問”就搞定了“三分技術七分管理”信息安全要結合實際IT環(huán)境，深入核心業(yè)務安全運營管理信息安全系統(tǒng)體系架構4安全運營管理IT控制亟待解決的問題

變更控制過程并不存在（特別是在分布式或基于Web的環(huán)境中）針對關鍵應用的安全程序、策略和配置結構并沒有文件化組織的安全策略、程序、角色與責任等方面存在差距安全管理程序缺乏適當?shù)目刂疲蛘咄喝狈θ藛T離職或改變工作職責情況下對訪問進行刪除或變更的控制（特別是對合同人員）對訪問變更的批準不夠充分管理層對訪問級別沒有進行有規(guī)律的復查和批準對系統(tǒng)的過度訪問對操作系統(tǒng)、數(shù)據(jù)庫和應用環(huán)境的特權訪問職責分離不足應用開發(fā)者和數(shù)據(jù)庫管理員能夠訪問生產(chǎn)系統(tǒng)基礎架構支持應用不夠安全（網(wǎng)絡、OS、DB）并沒有將IT控制集成到關鍵的業(yè)務過程中去（SDCL、變更控制、符合性、測試和數(shù)據(jù)轉(zhuǎn)換程序）缺乏對控制持續(xù)有效的校驗過程（至少應該一個季度一次）沒有對風險進行評估的長期策略5安全運營管理“安全運營管理”的定位安全運營是指在安全策略的指導下，安全組織利用安全技術來達成安全保護目標的過程安全運營與IT運營相輔相成、互為依托、共享資源與信息安全運營與安全組織緊密聯(lián)系，融合在業(yè)務管理和IT管理體系中安全策略安全組織管理安全運行維護安全技術基于運行維護管理運用基于指導落實遠程接入管理辦法網(wǎng)帳號和口令管理策略防病毒規(guī)范SOC規(guī)范…中國網(wǎng)通信息安全主策略管理層指示安全框架最佳實踐…管理維護管理執(zhí)行6安全運營管理內(nèi)容提要安全管理問題與挑戰(zhàn)安全運營管理戰(zhàn)略業(yè)務發(fā)展的要求安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT保障體系安全運營管理體系建議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖7安全運營管理業(yè)務流程和系統(tǒng)的發(fā)展對

安全運營管理提出新的要求呼叫中心電子郵件郵件短信網(wǎng)站自助服務服務開通資源管理事件管理工單管理客戶管理客戶交互市場管理項目管理管線資源、無線設備接入網(wǎng)、傳輸、交換話音、互聯(lián)網(wǎng)XML/UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-Level

Agreement資源管理工單管理配置管理性能管理安全管理變更管理服務水平管理計費結算帳務伙伴管理經(jīng)營分析決策支持商業(yè)智能BASS管理層市場部計劃部客服計費網(wǎng)絡部網(wǎng)管中心整合前后端，全程調(diào)度訂單-資源-服務開通-更新客戶資料-報竣申訴-客戶資料-網(wǎng)管工單-解決-報竣訂單-資源-立項采購-更新資源庫-服務開通-更新客戶資料-報竣BOSS綜合網(wǎng)管安全運營平臺安全運營一方面需要適應業(yè)務流程和系統(tǒng)的發(fā)展，另外一方面幫助控制整合后系統(tǒng)的安全風險8安全運營管理電信運營商典型的收入生成過程示意圖在收入生成的很多環(huán)節(jié)上都有可能因為安全威脅而造成收入流失！9安全運營管理找回遺漏收入提高利潤減少收入的延遲減少和防范新的收入流失企業(yè)資源計劃ERP集成化的、條理化（Streamlined）的市場和客戶響應流程系統(tǒng)平臺完備的客戶資料系統(tǒng)和運營數(shù)據(jù)系統(tǒng)數(shù)據(jù)倉庫和主題分析集成化、自動化的BOSS系統(tǒng)高效的數(shù)據(jù)業(yè)務管理平臺集成化的、條理化的內(nèi)部IT運維管理平臺優(yōu)化的、完備的KPI指標體系，及其收集、分析與展示完備的備份和災難恢復能力根源分析能力收入保障目標安全運營保證收入優(yōu)化主要可用的IT手段

廣義的收入保障與安全運營計費數(shù)據(jù)的完整性、可用性、可信性客戶資料的完整性和可信性減少人為錯誤、濫用誤用等帶來的損失跨系統(tǒng)層和應用層的完整的身份和授權管理

保證關鍵流程點的有效性和可審計性提高系統(tǒng)和服務的可用性，以及業(yè)務連續(xù)提供能力提高客戶安全故障的快速響應能力保護客戶數(shù)據(jù)和隱私穩(wěn)定服務質(zhì)量考察并保障主要收入流程和系統(tǒng)BOSS的升級和穩(wěn)定運行規(guī)范管理SP的服務提供和計費快速響應市場的需求變化提升客戶滿意度提高計費準確性提高服務開通/服務停止準確性提升客戶滿意度降低成本和風險疏理現(xiàn)有計費體系，找出問題剔除存在的差異，降低錯誤率分析欠費類型，降低壞賬風險分析號碼資源利用，提高利用率分析路由和網(wǎng)絡資源利用，降低成本提升管理水平完善內(nèi)控體系，實現(xiàn)閉環(huán)管理建立KPI稽核體系，有效進行收入控制自動化工具，固化流程，大幅提高執(zhí)行能力精確的財務和管理報表提高部門間協(xié)作，快速解決運營中出現(xiàn)的問題10安全運營管理SOX符合性對企業(yè)的影響因為可靠的財務報告過程有賴于IT，所以，IT在SOX404符合性努力過程中扮演著關鍵的角色；對許多組織來說，SOX可以簡化為對現(xiàn)有責任的法律條文化。這些IT控制責任早已存在，不過，SOX可能要求進行額外的形式化，并且要求在文件化和測試方面做出努力公司應該確保IT在SOX符合性努力中扮演主動的角色：參與符合性領導委員會理解財務報告過程，就IT（應用、基礎架構、安全等）的依賴性進行溝通在確保財務報告過程具有充分控制方面，建立IT的角色文件化IT風險及與財務報告過程相關的控制定期測試控制，改進重要的不足建立監(jiān)視活動，以確保IT控制在特定時間內(nèi)的效力安全運營管理安全管理與技術的發(fā)展體現(xiàn)出以下三個趨勢走向規(guī)范標準BS7799/ISO17799/ISO27001ITIL/eTOMCoBITX.805

國內(nèi)正在制定越來越多的國家標準和規(guī)范，例如風險評估規(guī)范、風險管理規(guī)范等集成應用安全與系統(tǒng)安全

關鍵應用的身份、授權與審計成為企業(yè)內(nèi)控的必備首選完備的職責分離設計(SOD)和權限管理安全管理系統(tǒng)走向平臺化、集成化與IT管理集成與應用集成深入企業(yè)管理核心流程

收入保障需要安全管理提供的數(shù)據(jù)和業(yè)務安全保障

SOX符合性需要安全管理提供的“內(nèi)控”業(yè)務連續(xù)性管理與安全保障密不可分安全作為增值服務安全成為市場競爭力12安全運營管理安全運營需要參考

COBIT–ITIL–BS7799等最佳實踐COBIT重點在于IT控制和IT度量評價，但是沒有講如何做，也不專注在安全ITIL重點在于IT過程管理，強調(diào)IT支持和IT交付，但是沒有安全和開發(fā)ISO/IEC17799重點在于IT安全控制，但沒有講如何做參照CobiT和ISO17799來進行安全健康檢查/審計，并識別過程和控制中的脆弱性參照ITIL來提高IT過程和控制，參照ISO17799來提高安全過程和控制參照ITIL來定義技術參照CobiT來定義“度量”和KPIITIL還可以用來作為架構方面的參照架構和角色度量過程技術控制人SOXcomplianceisoneofthebusinessobjectivesofsecurityoperations!13安全運營管理故障性能配置變更連續(xù)性服務質(zhì)量服務臺IT保障身份認證安全域訪問控制漏洞補丁風險評估入侵檢測日志審計安全保障關鍵業(yè)務的雙重保障OSS服務開通資源管理網(wǎng)絡管理服務管理存儲備份OA/MSSEAI流程模型數(shù)據(jù)模型業(yè)務模型BSSCRM數(shù)據(jù)采集計費帳務綜合結算經(jīng)營分析業(yè)務關聯(lián)根源分析管理應用數(shù)據(jù)庫操作系統(tǒng)存儲及IT硬件各種網(wǎng)元設施管理14安全運營管理內(nèi)容提要安全管理問題與挑戰(zhàn)安全運營管理戰(zhàn)略業(yè)務發(fā)展的要求安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT保障體系安全運營管理體系建議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖15安全運營管理安全運營是IT治理的重要保障環(huán)節(jié)SOX符合性收入保障業(yè)務戰(zhàn)略計費營帳結算客服經(jīng)營分析IT保障變更管理事件管理問題管理配置管理綜合監(jiān)控服務臺

應用開發(fā)

BOSSBASS質(zhì)量&稽核優(yōu)化支持安全保障數(shù)據(jù)安全系統(tǒng)安全應用安全安全運營IT,網(wǎng)管安全日常運營安全支撐關系建立并完善安全運營管理體系，是提高安全保障能力的重要步驟！其中包含了人員組織、流程服務以及技術工具等多方面的建設要求！規(guī)劃建設

BOSSBASS應用業(yè)務安全運營管理層次化的安全運營支持體系安全運營管理主要管理流程關系示意圖安全監(jiān)控網(wǎng)管監(jiān)控類別基礎架構系統(tǒng)軟件業(yè)務配套設施安全系統(tǒng)安全風險管理安全資產(chǎn)事件性質(zhì)審告故障咨詢業(yè)務處理維護作業(yè)其它安全18SecurityOn-Demand【2003年11月】安全是一種服務(業(yè)務)

Securityisaservice安全與業(yè)務緊密對應

MapSecuritytobusiness安全像服務一樣運行

RunSecurityasaservice安全“根源分析”

SecurityRoot-causeanalysis安全就緒的IT基礎架構

Security-readyITinfrastructure服務知曉的安全

Service-awaresecurity開放互通集成安全自我管理

Self-managingSecurity互操作與自動響應

Auto-responseandInteroperability可度量可考核可管理資產(chǎn)風險優(yōu)先級流程標準化模塊化集成性深層防御面向業(yè)務智能相關AlignmentEfficientResponsive安全運營管理安全服務是部分安全流程的封裝和抽象安全服務具有服務對象、服務內(nèi)容、服務形式、服務質(zhì)量等屬性。通常，一項安全服務由跨多個安全流程的多種安全活動來提供。安全服務面向服務對象的體驗與質(zhì)量關鍵指標，安全流程則面向?qū)嶋H的安全運營管理過程與活動。安全服務是相互關聯(lián)的若干安全流程和活動的封裝與客戶展現(xiàn)。安全活動安全流程安全服務安全使命企業(yè)關鍵業(yè)務信息系統(tǒng)元素管理層其他IT小組最終用戶面向管控面向服務安全運營服務可以首先考慮試行安全緊急響應服務、安全報告服務等，選擇具有明確客戶界面、活動較為成熟的部分作為試行、堅持逐步推進的原則，成熟一塊，推行一塊，考核一塊?！皥?zhí)行力”是其中的關鍵。20安全運營管理技術路線收集整理各個組織安全相關的活動進行業(yè)務分析納入標準過程，定義安全配置管理庫設計原則收集管理層賦予安全工作的使命和業(yè)務部門的要求進行業(yè)務分析標準化安全服務目錄11’安全過程安全服務臺安全應急響應管理安全配置管理安全變更管理安全問題管理安全預警管理安全風險管理安全審計管理……安全服務安全事件響應帳號與口令補丁管理安全審計安全培訓安全報告……22’3實現(xiàn)指導安全過程的設計需要緊密結合既定過程和流程，緊密融合，尤其是服務臺和事件管理安全配置管理重點考慮各種安全設備的安全特有屬性安全服務設計的原則是在保障“安全管控”效果的同時，為安全工作的各個“客戶”提供良好的界面安全服務和過程需要相應的技術手段來支撐實現(xiàn)21安全運營管理內(nèi)容提要安全管理問題與挑戰(zhàn)安全運營管理戰(zhàn)略業(yè)務發(fā)展的要求安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT保障體系安全運營管理體系建議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖22安全運營管理安全管理與IT管理的交替融合身份管理應用和數(shù)據(jù)安全安全域劃分和邊界整合安全集中監(jiān)控IP網(wǎng)管理(3G/NGN的IP核心)VoIP管理MPLSVPN管理資產(chǎn)管理和軟件分發(fā)日志審計ITILServieDesk流程整合－服務管理反病毒Network&SystemFaultManagement故障管理Network&SystemPerf.Management性能管理主機訪問控制網(wǎng)絡流量分析IT綜合網(wǎng)管－監(jiān)控IT網(wǎng)管與安全集成3G/NGN/IMS綜合安全保障IT管理安全管理相互依賴IT服務管理之服務提供安全運營管理安全運營管理中心的建設SOC安全運營管理中心安全系統(tǒng)元素變更與發(fā)布事件管理安全主管和管理員IT系統(tǒng)管理員/兼職安全管理配置信息內(nèi)部活動：策略與審計漏洞與補丁事件分析帳號口令情報、教育活動延伸：維護監(jiān)視記錄…安全運營管理安全運營建設進階數(shù)據(jù)信息知識行動關注－收集層次化布署平臺應用覆蓋性能可靠性保存開放性關注－過濾過濾機制合并機制靈活性實施能力智能性開放性關注－相關相關規(guī)則挖掘?qū)嵤┠芰χ悄苄蚤_放性關注－流程管理成熟度人

流程

技術專家知識實施能力靈活性開放性錯誤或者失衡的資源分配和投資比例錯誤的架構、不匹配的組織認為SOC的建設主要是產(chǎn)品安裝，對建設中項目風險認識不足設計建設SOC時沒有考慮IT基礎設施的特點定義了不適當?shù)捻椖磕繕思缮毯驮瓘S家的技術支持力度不夠?qū)x擇SOC產(chǎn)品的可擴展性、健壯性、性能沒有透徹的了解沒有設計好相應的管理和應急流程認為SOC建設完、驗收結束就大功告成安全運營管理Symantec助力安全運營管理“Operate”istheresultofabrainstormingsessionbetweenSymantec&EmaginedSecurityandisnotofficial.標準Create/SelectstandardAssesscontrolsDetectdeviationsRemediatedeficiencies權限GathereffectivepermissionsTranslatepermissionsintohumanreadableformatRouteentitlementstodataownerforreview&approval責任Assessnon-programmaticallyassessablecontrolsReportwithriskweightedmodelCentralizeviewofproceduralcontrols策略Define/manage

writtenpoliciesDistributepolicies&

trackexceptionsDemonstratecoverageDisplayevidenceNISTPCICobitSOXISOGLBAFISMAMalware

PolicyEndpoint

PolicyData

Protection

Policy26安全運營管理采用基準風險分析查看結果調(diào)度策略運行時間定制模塊添加模塊創(chuàng)建策略安全運營管理策略一致性管理策略管理需求如何確保企業(yè)符合諸如Sarbanes–Oxley法案的要求？如何監(jiān)控和審查IT系統(tǒng)中安全策略的執(zhí)行情況？如何將口頭或紙面的策略要求落到IT系統(tǒng)的配置上？如何通過提升下列的能力來改善我們的SLA：弱點響應補丁管理歸檔策略電子郵件策略遵從性報告配置審核安全運營管理企業(yè)安全策略與標準的管理跟蹤取證試點分發(fā)編寫29安全運營管理技術標準管理糾正

違規(guī)檢測訪問控制選擇與建立IncludesTechnicalStandardsFromCIS,NSA…CoversWindows,UNIX,Linux,