安全运营管理.ppt_第1页
安全运营管理.ppt_第2页
安全运营管理.ppt_第3页
安全运营管理.ppt_第4页
安全运营管理.ppt_第5页
已阅读5页,还剩34页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

安全运营管理体系 V5 2 内容提要 安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图 企业信息安全de路线图 信息安全要融入企业 适度安全即可 信息安全很简单 买些FW IDS AV装上就行了 信息安全投入太大 太专业 太难了 信息安全是国家和政府的事情 离我们太远了 信息安全如何搞 拿来主义 标准规范 专家顾问 就搞定了 三分技术七分管理 信息安全要结合实际IT环境 深入核心业务 信息安全系统体系架构 4 5 IT控制亟待解决的问题 变更控制过程并不存在 特别是在分布式或基于Web的环境中 针对关键应用的安全程序 策略和配置结构并没有文件化组织的安全策略 程序 角色与责任等方面存在差距安全管理程序缺乏适当的控制 或者往往 缺乏人员离职或改变工作职责情况下对访问进行删除或变更的控制 特别是对合同人员 对访问变更的批准不够充分管理层对访问级别没有进行有规律的复查和批准对系统的过度访问对操作系统 数据库和应用环境的特权访问职责分离不足应用开发者和数据库管理员能够访问生产系统基础架构支持应用不够安全 网络 OS DB 并没有将IT控制集成到关键的业务过程中去 SDCL 变更控制 符合性 测试和数据转换程序 缺乏对控制持续有效的校验过程 至少应该一个季度一次 没有对风险进行评估的长期策略 6 安全运营管理 的定位 安全运营是指在安全策略的指导下 安全组织利用安全技术来达成安全保护目标的过程安全运营与IT运营相辅相成 互为依托 共享资源与信息安全运营与安全组织紧密联系 融合在业务管理和IT管理体系中 安全策略 安全组织管理 安全运行维护 安全技术 基于 运行维护 管理运用 基于 指导落实 远程接入管理办法网帐号和口令管理策略防病毒规范SOC规范 中国网通信息安全主策略管理层指示安全框架最佳实践 管理维护 管理执行 7 内容提要 安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图 8 业务流程和系统的发展对安全运营管理提出新的要求 呼叫中心电子邮件邮件短信网站自助服务 服务开通资源管理事件管理工单管理 客户管理客户交互市场管理项目管理 XML UDDI WSDL SOAP SOA BPEL I CRM O CRM 资源管理工单管理配置管理性能管理安全管理变更管理服务水平管理 BASS 管理层市场部计划部客服计费 网络部网管中心 整合前后端 全程调度订单 资源 服务开通 更新客户资料 报竣申诉 客户资料 网管工单 解决 报竣订单 资源 立项采购 更新资源库 服务开通 更新客户资料 报竣 BOSS 综合网管安全运营平台 安全运营一方面需要适应业务流程和系统的发展 另外一方面帮助控制整合后系统的安全风险 9 电信运营商典型的收入生成过程示意图 在收入生成的很多环节上都有可能因为安全威胁而造成收入流失 10 找回遗漏收入提高利润减少收入的延迟减少和防范新的收入流失 企业资源计划ERP集成化的 条理化 Streamlined 的市场和客户响应流程系统平台完备的客户资料系统和运营数据系统数据仓库和主题分析集成化 自动化的BOSS系统高效的数据业务管理平台集成化的 条理化的内部IT运维管理平台优化的 完备的KPI指标体系 及其收集 分析与展示完备的备份和灾难恢复能力根源分析能力 收入保障 目标 安全运营 保证收入优化 主要可用的IT手段 广义的收入保障与安全运营 计费数据的完整性 可用性 可信性客户资料的完整性和可信性减少人为错误 滥用误用等带来的损失跨系统层和应用层的完整的身份和授权管理保证关键流程点的有效性和可审计性提高系统和服务的可用性 以及业务连续提供能力提高客户安全故障的快速响应能力保护客户数据和隐私 稳定服务质量 考察并保障主要收入流程和系统BOSS的升级和稳定运行规范管理SP的服务提供和计费快速响应市场的需求变化 提升客户满意度 提高计费准确性提高服务开通 服务停止准确性提升客户满意度 降低成本和风险 疏理现有计费体系 找出问题剔除存在的差异 降低错误率分析欠费类型 降低坏账风险分析号码资源利用 提高利用率分析路由和网络资源利用 降低成本 提升管理水平 完善内控体系 实现闭环管理建立KPI稽核体系 有效进行收入控制自动化工具 固化流程 大幅提高执行能力精确的财务和管理报表提高部门间协作 快速解决运营中出现的问题 SOX符合性对企业的影响 因为可靠的财务报告过程有赖于IT 所以 IT在SOX404符合性努力过程中扮演着关键的角色 对许多组织来说 SOX可以简化为对现有责任的法律条文化 这些IT控制责任早已存在 不过 SOX可能要求进行额外的形式化 并且要求在文件化和测试方面做出努力公司应该确保IT在SOX符合性努力中扮演主动的角色 参与符合性领导委员会理解财务报告过程 就IT 应用 基础架构 安全等 的依赖性进行沟通在确保财务报告过程具有充分控制方面 建立IT的角色文件化IT风险及与财务报告过程相关的控制定期测试控制 改进重要的不足建立监视活动 以确保IT控制在特定时间内的效力 12 安全管理与技术的发展体现出以下三个趋势 走向规范标准 BS7799 ISO17799 ISO27001ITIL eTOMCoBITX 805国内正在制定越来越多的国家标准和规范 例如风险评估规范 风险管理规范等 集成应用安全与系统安全 关键应用的身份 授权与审计成为企业内控的必备首选完备的职责分离设计 SOD 和权限管理安全管理系统走向平台化 集成化与IT管理集成与应用集成 深入企业管理核心流程 收入保障需要安全管理提供的数据和业务安全保障SOX符合性需要安全管理提供的 内控 业务连续性管理与安全保障密不可分安全作为增值服务安全成为市场竞争力 13 安全运营需要参考COBIT ITIL BS7799等最佳实践 COBIT重点在于IT控制和IT度量评价 但是没有讲如何做 也不专注在安全ITIL重点在于IT过程管理 强调IT支持和IT交付 但是没有安全和开发ISO IEC17799重点在于IT安全控制 但没有讲如何做 参照CobiT和ISO17799来进行安全健康检查 审计 并识别过程和控制中的脆弱性参照ITIL来提高IT过程和控制 参照ISO17799来提高安全过程和控制参照ITIL来定义技术参照CobiT来定义 度量 和KPIITIL还可以用来作为架构方面的参照 SOXcomplianceisoneofthebusinessobjectivesofsecurityoperations 14 故障性能配置变更连续性服务质量服务台IT保障 身份认证安全域访问控制漏洞补丁风险评估入侵检测日志审计安全保障 关键业务的双重保障 业务关联 根源分析 管理应用数据库操作系统存储及IT硬件 管理 15 内容提要 安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图 安全运营是IT治理的重要保障环节 SOX符合性 收入保障 业务战略 计费 营帐 结算 客服 经营分析 IT保障 变更管理 事件管理 问题管理 配置管理 综合监控 服务台 应用开发BOSSBASS 质量 稽核 优化支持 安全保障 数据安全 系统安全 应用安全 安全运营 IT 网管 安全 日常运营 安全 支撑关系 建立并完善安全运营管理体系 是提高安全保障能力的重要步骤 其中包含了人员组织 流程服务以及技术工具等多方面的建设要求 规划建设BOSSBASS 应用业务 层次化的安全运营支持体系 18 主要管理流程关系示意图 安全监控 网管监控 类别基础架构系统软件业务配套设施安全系统 安全风险管理 安全资产 事件性质审告故障咨询业务处理维护作业其它安全 SecurityOn Demand 2003年11月 安全是一种服务 业务 Securityisaservice安全与业务紧密对应MapSecuritytobusiness安全像服务一样运行RunSecurityasaservice安全 根源分析 SecurityRoot causeanalysis安全就绪的IT基础架构Security readyITinfrastructure服务知晓的安全Service awaresecurity开放互通集成安全自我管理Self managingSecurity互操作与自动响应Auto responseandInteroperability 可度量可考核可管理 资产风险优先级流程 标准化模块化集成性 深层防御面向业务智能相关 Alignment Efficient Responsive 20 安全服务是部分安全流程的封装和抽象 安全服务具有服务对象 服务内容 服务形式 服务质量等属性 通常 一项安全服务由跨多个安全流程的多种安全活动来提供 安全服务面向服务对象的体验与质量关键指标 安全流程则面向实际的安全运营管理过程与活动 安全服务是相互关联的若干安全流程和活动的封装与客户展现 安全活动 安全流程 安全服务 安全使命 企业关键业务 信息系统元素 管理层其他IT小组最终用户 面向管控 面向服务 安全运营服务可以首先考虑试行安全紧急响应服务 安全报告服务等 选择具有明确客户界面 活动较为成熟的部分作为试行 坚持逐步推进的原则 成熟一块 推行一块 考核一块 执行力 是其中的关键 21 技术路线 收集整理各个组织安全相关的活动进行业务分析纳入标准过程 定义安全配置管理库设计原则 收集管理层赋予安全工作的使命和业务部门的要求进行业务分析标准化安全服务目录 1 1 2 2 3 实现 指导 安全过程的设计需要紧密结合既定过程和流程 紧密融合 尤其是服务台和事件管理安全配置管理重点考虑各种安全设备的安全特有属性安全服务设计的原则是在保障 安全管控 效果的同时 为安全工作的各个 客户 提供良好的界面安全服务和过程需要相应的技术手段来支撑实现 22 内容提要 安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图 安全管理与IT管理的交替融合 身份管理 应用和数据安全 安全域划分和边界整合 安全集中监控 IP网管理 3G NGN的IP核心 VoIP管理MPLSVPN管理 资产管理和软件分发 日志审计 ITILServieDesk流程整合 服务管理 反病毒 Network SystemFaultManagement故障管理 Network SystemPerf Management性能管理 主机访问控制 网络流量分析 IT综合网管 监控 IT网管与安全集成 3G NGN IMS综合安全保障 IT管理 安全管理 相互依赖 IT服务管理之服务提供 安全运营管理中心的建设 SOC 安全运营管理中心 安全系统元素 变更与发布 事件管理 配置信息 安全运营建设进阶 数据 信息 知识 行动 关注 收集层次化布署平台应用覆盖性能可靠性保存开放性 关注 过滤过滤机制合并机制灵活性实施能力智能性开放性 关注 相关相关规则挖掘实施能力智能性开放性 关注 流程管理成熟度人 流程 技术专家知识实施能力灵活性开放性 错误或者失衡的资源分配和投资比例错误的架构 不匹配的组织认为SOC的建设主要是产品安装 对建设中项目风险认识不足 设计建设SOC时没有考虑IT基础设施的特点定义了不适当的项目目标集成商和原厂家的技术支持力度不够 对选择SOC产品的可扩展性 健壮性 性能没有透彻的了解没有设计好相应的管理和应急流程认为SOC建设完 验收结束就大功告成 26 Symantec助力安全运营管理 Operate istheresultofabrainstormingsessionbetweenSymantec EmaginedSecurityandisnotofficial 采用基准风险分析 策略一致性管理 策略管理需求如何确保企业符合诸如Sarbanes Oxley法案的要求 如何监控和审查IT系统中安全策略的执行情况 如何将口头或纸面的策略要求落到IT系统的配置上 如何通过提升下列的能力来改善我们的SLA 弱点响应补丁管理归档策略电子邮件策略遵从性报告配置审核 29 企业安全策略与标准的管理 30 技术标准管理 IncludesTechnicalStandardsFromCIS NSA CoversWindows UNIX Linux Oracle SQL 31 权限管理 32 控制与评估 33 安全监控管理 AltirisInc 工作流引擎让运营管理可视 BusinessStaff ITStaff SymantecWorkflow TraditionalCode ScriptingLanguage publicclassGenomeComparer IComparer publicGenomeCompar

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论