观势-论则-取实--网络信息安全的趋势.ppt

观势 论则 取实 网络信息安全的趋势 原则和实践 2010年11月2日 内容简介 得到高层重视的两件事 奥巴马政府的报告 IBM提出智慧地球 奥巴马报告要点观察 明确Cyberspace网际空间陆 海 空 太空 网际等五大空间并列突出讲问题 威胁强调政治 军事 经济 外交等手段共同协调划定关键基础设施电信 金融 电力 联邦政务总统直辖的负责人和办公室近期和中期行动计划 近期行动计划 1 AppointacybersecuritypolicyofficialresponsibleforcoordinatingtheNation scybersecuritypoliciesandactivities establishastrongNSCdirectorate underthedirectionofthecybersecuritypolicyofficialdual hattedtotheNSCandtheNEC tocoordinateinteragencydevelopmentofcybersecurity relatedstrategyandpolicy 2 PrepareforthePresident sapprovalanupdatednationalstrategytosecuretheinformationandcommunicationsinfrastructure ThisstrategyshouldincludecontinuedevaluationofCNCIactivitiesand whereappropriate buildonitssuccesses 3 DesignatecybersecurityasoneofthePresident skeymanagementprioritiesandestablishperformancemetrics 4 DesignateaprivacyandcivillibertiesofficialtotheNSCcybersecuritydirectorate 5 Conveneappropriateinteragencymechanismstoconductinteragency clearedlegalanalysesofprioritycybersecurity relatedissuesidentifiedduringthepolicy developmentprocessandformulatecoherentunifiedpolicyguidancethatclarifiesroles responsibilities andtheapplicationofagencyauthoritiesforcybersecurity relatedactivitiesacrosstheFederalgovernment 近期行动计划 6 Initiateanationalpublicawarenessandeducationcampaigntopromotecybersecurity 7 DevelopU S Governmentpositionsforaninternationalcybersecuritypolicyframeworkandstrengthenourinternationalpartnershipstocreateinitiativesthataddressthefullrangeofactivities policies andopportunitiesassociatedwithcybersecurity 8 Prepareacybersecurityincidentresponseplan initiateadialogtoenhancepublic privatepartnershipswithaneyetowardstreamlining aligning andprovidingresourcestooptimizetheircontributionandengagement9 IncollaborationwithotherEOPentities developaframeworkforresearchanddevelopmentstrategiesthatfocusongame changingtechnologiesthathavethepotentialtoenhancethesecurity reliability resilience andtrustworthinessofdigitalinfrastructure providetheresearchcommunityaccesstoeventdatatofacilitatedevelopingtools testingtheories andidentifyingworkablesolutions 10 Buildacybersecurity basedidentitymanagementvisionandstrategythataddressesprivacyandcivillibertiesinterests leveragingprivacy enhancingtechnologiesfortheNation 近期行动计划 任命网际安全政策高级协调官为总统准备更新的国家战略明确网际安全是总统的关键管理优先级 建立指标度量任命隐私和公民自由官员建立合适的跨部门机制启动一个国家公众宣传和教育计划发展并加强对于国际伙伴的保障准备一个网际安全事件响应计划 启动与私营机构的合作关注改变游戏规则的技术发展建立基于网际安全的ID管理战略 中期行动计划 1 Improvetheprocessforresolutionofinteragencydisagreementsregardinginterpretationsoflawandapplicationofpolicyandauthoritiesforcyberoperations 2 UsetheOMBprogramassessmentframeworktoensuredepartmentsandagenciesuseperformance basedbudgetinginpursuingcybersecuritygoals 3 ExpandsupportforkeyeducationprogramsandresearchanddevelopmenttoensuretheNation scontinuedabilitytocompeteintheinformationageeconomy 4 Developastrategytoexpandandtraintheworkforce includingattractingandretainingcybersecurityexpertiseintheFederalgovernment 5 Determinethemostefficientandeffectivemechanismtoobtainstrategicwarning maintainsituationalawareness andinformincidentresponsecapabilities 6 Developasetofthreatscenariosandmetricsthatcanbeusedforriskmanagementdecisions recoveryplanning andprioritizationofR D 7 Developaprocessbetweenthegovernmentandtheprivatesectortoassistinpreventing detecting andrespondingtocyberincidents 8 Developmechanismsforcybersecurity relatedinformationsharingthataddressconcernsaboutprivacyandproprietaryinformationandmakeinformationsharingmutuallybeneficial 中期行动计划 9 Developsolutionsforemergencycommunicationscapabilitiesduringatimeofnaturaldisaster crisis orconflictwhileensuringnetworkneutrality 10 Expandsharingofinformationaboutnetworkincidentsandvulnerabilitieswithkeyalliesandseekbilateralandmultilateralarrangementsthatwillimproveeconomicandsecurityinterestswhileprotectingcivillibertiesandprivacyrights11 Encouragecollaborationbetweenacademicandindustriallaboratoriestodevelopmigrationpathsandincentivesfortherapidadoptionofresearchandtechnologydevelopmentinnovations 12 Usetheinfrastructureobjectivesandtheresearchanddevelopmentframeworktodefinegoalsfornationalandinternationalstandardsbodies 13 Implement forhigh valueactivities e g theSmartGrid anopt inarrayofinteroperableidentitymanagementsystemstobuildtrustforonlinetransactionsandtoenhanceprivacy 14 Refinegovernmentprocurementstrategiesandimprovethemarketincentivesforsecureandresilienthardwareandsoftwareproducts newsecurityinnovation andsecuremanagedservices 中期行动计划 法律预算计划教育和研究引入专家进入联邦政府战略预警机制和事件响应能力开发一套威胁场景和度量建立政府和私营机构的良好机制 以应对事件建立信息分享机制保障应急通讯能力保护隐私和公民自由鼓励与研究机构和产业界的合作研究开发框架和标准建立可以互操作的ID管理改进政府采购策略 IBM提出的智慧地球 IBM提出的智慧地球的3个I 从风险三要素开始 抓住最根本的 保持不变的 梳理手上的 加密 强认证 防火墙 入侵检测 国家战略 攻击检测渗透测试 组织体系 制度 规则 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划 计划 云模式 项目管理 监控 预警 冗余 备份 应急响应 合规性要求 首席安全官 安全专家 三观论宏观 中观 微观 量化 指标化 合作 外包 管理理念 涉密系统安全 病毒 蠕虫 分布式拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 业务逻辑 卫星通讯 业务大集中数据中心 线路中断 梳理手上的 涉密系统安全 病毒 蠕虫 分布式拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 业务逻辑 卫星通讯 业务大集中数据中心 线路中断 梳理手上的 涉密系统安全 病毒 蠕虫 分布式拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 业务逻辑 卫星通讯 业务大集中数据中心 线路中断 业务大集中数据中心 线路中断 梳理手中的 业务大集中数据中心 线路中断 加密 强认证 防火墙 入侵检测 国家战略 攻击检测渗透测试 组织体系 制度 规则 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划 计划 云模式 项目管理 监控 预警 冗余 备份 应急响应 合规性要求 首席安全官 安全专家 三观论宏观 中观 微观 量化 指标化 合作 外包 管理理念 业务大集中数据中心 线路中断 梳理手上的 加密 强认证 防火墙 入侵检测 国家战略 攻击检测渗透测试 组织体系 制度 规则 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划 计划 云模式 项目管理 监控 预警 冗余 备份 应急响应 合规性要求 首席安全官 安全专家 三观论宏观 中观 微观 量化 指标化 合作 外包 管理理念 安全专家 管理理念 业务大集中数据中心 线路中断 梳理手上的 安全专家 管理理念 资产和业务 威胁和危害 安全措施 方法 原则 涉密系统安全 病毒 蠕虫 分布式拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 业务逻辑 卫星通讯 业务大集中数据中心 线路中断 梳理手上的 加密 强认证 防火墙 入侵检测 国家战略 攻击检测渗透测试 组织体系 制度 规则 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划 计划 云模式 项目管理 监控 预警 冗余 备份 应急响应 合规性要求 首席安全官 安全专家 三观论宏观 中观 微观 量化 指标化 合作 外包 管理理念 最精简的风险管理 要素 GB中的风险10要素与三要素对应 风险立方体 RiskCube 资产 威胁 措施 风险立方体中的安全工作 资产 威胁 措施 注 此图中的坐标轴不代表程度 风险立方体中的安全工作 资产 威胁 措施 互联网业务系统 互联网攻击 互联网防入侵FW IDS IPS 防SQL注入 注 此图中的坐标轴不代表程度 风险立方体中的安全思索 资产 威胁 措施 A 资产影响 T A S T A 管理平台化 管理度量技术 面对僵尸网从单点检测到大监测 针对SQL注入IPS技术 不同的机构 业务 核心业务系统 OA 观察业务和资产 观察威胁 构建信息安全保障框架 通过S3 PPT方法展开保障措施 如何落地 取得实效 需求驱动力的四象限 建立度量和例行报告制度 度量化和例行报告将规范具体成为关键指标为指标建立评估方法和工具为评价建立标杆将重要指标设置为KPI 融入到责任管理体系中举例防病毒产品装机率 升级比率IDS监测能力网络链路覆盖度 IT治理的三大标准之一 11 39 134 BSI认为的8个关键控制措施 法律相关 知识产权保护组织记录数据保护和个人信息隐私 最佳实践相关 信息安全方针文件落实信息安全责任信息安全教育与培训安全事故汇报业务连续性管理 应急工作的关键控制措施 法律相关 知识产权保护组织记录数据保护和个人信息隐私 最佳实践相关 信息安全方针文件落实信息安全责任信息安全教育与培训安全事故汇报业务连续性管理应急预案 安全域工作是应急的基础 网络结构分析 根据功能分区服务器区域 运行 商务 管理客户端区域基础支持系统 业务流分析 网络结构和业务流构成应急地图 生命周期的三大过程 用项目管理体系完善应急体系 项目管理 范围时间成本质量人力资源沟通风险获取整体 敏捷信息安全过程 通用应急过程 PDCERF准备检测抑制根除恢复跟踪 PDCERFPreparationDetectionContainmentEradicationRecoveryFollow up PDCERF应急模式 基于不同级别的处理模式 基于不同级别的处理模式 到基于缓冲的安全 持续做安全的一个基础方法论 缓冲的观点 基于时间的安全 其时间难于计算看两个实际的安全保障的例子2008年奥运网络安全保障2009年2月PMNC保障缓冲包括冗余 重复 纵深 延缓 预警 抑制 丢车保帅 局部和整体 响应 恢复 反击 缓冲思想的基本立足点就是原理上攻击是可以成功的 在实际中是可以解决的 安全 难啊 潜在性 复杂性 模糊性 动态性 安全边际 如何看待安全解决方案并推荐一手好牌 涉密系统安全 病毒 蠕虫 分布式拒绝服务攻击 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 核心业务 电磁泄漏 终端安全 文档安全 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 业务逻辑 卫星通讯 业务大集中数据中心 线路中断 梳理手上的 加密 强认证 防火墙 入侵检测 国家战略 攻击检测渗透测试 组织体系 制度 规则 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划 计划 云模式 项目管理 监控 预警 冗余 备份 应急响应 合规性要求 首席安全官 安全专家 三观论宏观 中观 微观 量化 指标化 合作 外包 管理理念 涉密系统安全 办公安全 网上银行 骨干网 网站安全 ERP 服务器安全 核心业务 终端安全 文档安全 业务逻辑 卫星通讯 业务大集中数据中心 我们手上的 加密 强认证 防火墙 入侵检测 国家战略 攻击检测渗透测试 组织体系 制度 规则 工作流 审计 管理平台 风险评估 等级保护 体系结构 规划 计划 云模式 项目管理 监控 预警 冗余 备份 应急响应 合规性要求 首席安全官 安全专家 三观论宏观 中观 微观 量化 指标化 合作 外包 管理理念 病毒 蠕虫 分布式拒绝服务攻击 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 电磁泄漏 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 线路中断 对手手上的 病毒 蠕虫 分布式拒绝服务攻击 火灾 水灾 设备故障 内部人员作案 网络渗透 网络嗅探 电磁泄漏 误操作 垃圾信息 安全事件 漏洞 脆弱性 黑客 线路中