构建信息系统的安全管理平台-框架和实践--启明星辰.ppt

标题页 构建信息系统的安全管理平台 框架与实践 北京启明星辰信息技术有限公司咨询总监赵呈东 摘要 构建信息安全管理平台原则 要求和大思路了解资产和业务了解威胁了解保障措施框架具体任务和建议 1 原则 要求和大思路 中办发 2003 27号 国家信息化领导小组关于加强信息安全保障工作的意见 2003年8月26日 加强信息安全保障工作 总体要求 总体要求 坚持积极防御 综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展 保护公众利益 维护国家安全 加强信息安全保障工作 主要原则 主要原则 立足国情 以我为主 坚持管理与技术并重 正确处理安全与发展的关系 以安全保发展 在发展中求安全 统筹规划 突出重点 强化基础性工作 明确国家 企业 个人的责任和义务 充分发挥各方面的积极性 共同构筑国家信息安全保障体系 加强信息安全保障工作 九项任务 系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究 推进产业发展法制建设 标准化建设人才培养与全民安全意识保证信息安全资金加强对信息安全保障工作的领导 建立健全信息安全管理责任制 2005年和2006年的动向 2005年国家风险评估试点应急预案编写和演练等级保护工作试点和宣贯萨班斯法案在商业领域产生影响2006年等级保护评估工作2006年公通字7号文3月风险评估指南宣贯活动 安全的驱动力 问题具体的安全事件等政策27号文等体系化整体规划合规性等级保护 风险评估等 风险管理 风险管理的理念从90年代开始 已经逐步成为引导信息安全技术应用的核心理念风险的定义对目标有所影响的某件事情发生的可能性 摘自AS NZS4360 ISO13335以风险为核心的安全模型 风险 防护措施 信息资产 威胁 漏洞 防护需求 价值 一般风险评估的理论基础 国信办报告中的风险 要素关系图 最精简的风险管理 要素 信息安全工作的思路 信息安全工作不是仅仅防火墙 防病毒 入侵检测 管理制度 已经逐步从单纯开发技术和产品本身 转向同时从整体保障框架着眼 解决实际问题 实现价值 从三个方面展开框架 到底哪些问题对我们是真正的危害到底我们的系统中哪些是要重点保护的 我们的系统的特点和结构是什么到底哪些措施最有效 现有措施的效果如何 专业厂商要协助客户完善保障体系 2 了解威胁 政务网络面临的问题 政务网络 内部 外部泄密 异常流量 逻辑炸弹 恶意代码 黑客攻击 违规操作 隐蔽通道 蠕虫病毒 多样化网络安全威胁 3 了解资产和业务 作安全必须了解资产和业务 正确处理安全与发展的关系 以安全保发展 在发展中求安全 等级保护的要求也要我们做到对自身的了解 才能做到适度的防护我们对于信息系统的依赖程度决定了我们在安全上的投入 怎么了解资产和业务 IT相关 分析信息体系架构ITA业务系统网络分布形态系统的层次性技术和管理 组织结构 时间 生命周期 价值 资产价值 影响价值 投入 关于资产和业务方面的趋势 用结构化的方法描述自身的资产和业务是更加系统化 更加全面地进行安全保护的基础安全域方法逐步成为比较现实地描述网络和系统环境的方法 安全域的概念 广义的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合 这些IT要素包括 策略和流程 物理环境 网络区域 业务和使命 人和组织 主机和系统 常见安全域的划分方法 按照业务系统划分优点 自然形成 划分简单缺点 防护复杂 重复投资 影响易用性按照防护等级划分优点 防护简单 保护投资缺点 割接成本高 影响易用性按照行为特征划分优点 针对常见的威胁进行更细致的防护缺点 需要详细分析业务系统的行为 边界接入域 互联网接入区 计算环境一般服务区 计算环境域 计算环境核心区 网络基础设施域 支撑性设施域 骨干区 汇集区 接入区 安全系统 网管系统 其它支撑系统 外联网接入区 内联网接入区 计算环境重要服务区 内部网接入区 4 了解保障措施 保障体系的实际组成 技术环境 当前主流的基本安全产品 加密防病毒防火墙入侵检测漏洞扫描身份认证VPN 技术环境 当前主流的基本安全服务 咨询服务整体框架规划和设计评估加固服务对于主机和网络进行技术评估和加固风险评估服务对系统的整体风险进行评估并对风险管理提供设计渗透性测试服务安全教育和培训 安全管理平台成为一个值得考虑的选择 5 框架 信息安全保障框架 资产清单面向网络拓扑基于安全域 业务域基于业务流分析 信息安全保障框架 脆弱性管理告警管理事件管理预警管理威胁管理 信息安全保障框架 通过S3 PPT方法展开保障措施 保障框架 措施 27号文的框架分析 等级保护风险评估 监控体系 应急体系 信任体系 技术和产业 法制建设标准化建设 人才培养全民意识 保证资金 责任制 产品的框架分析 IDS 应用审计 防火墙 SAN 防垃圾 安全管理中心 Scanner 远程数据热备 IPS 防病毒 加密机 双因子 PKI UTM 安全服务体系的框架分析 评估加固 教育培训 MSS 应急响应 安全集成 风险评估 管理咨询 体系设计方案的框架分析 安全监控体系 安全审计体系 安全防护体系 应急恢复体系 网络信任体系 安全管理体系 启明星辰产品系 启明星辰当前产品 天阗系NIDS网络入侵检测HIDS主机入侵检测AFMS异常流量监控天镜漏洞扫描系统天玥系天玥网络综合审计系统天玥业务审计 移动业务 天珣非法外联审计系统天燕系产品测评工具服务评估工具风险管理与控制系统辑侦工具 天清系防火墙和病毒网关防拒绝服务系统网络隔离机天清短信过滤系统天清防垃圾邮件系统天榕系天榕Linux网络备份系统Webkeeper网站保护和恢复天瑶系加密机泰合系IMS入侵管理平台综合安全监控平台 SOC平台架构 6最佳实践建议 教育和培