运营型企业如何提升IT安全管理能力精选ppt课件.ppt

运营型企业如何提升IT安全管理能力 作者 TonyEmail tony26600882 欢迎同行们和我联系 企业四种信息安全管理模式 安全管理能力提升目标 关键安全能力项 业务连续性保障访问控制和安全审计安全事件处理和应急响应等保三级评估安全运维KPI量化考核 4 1 具备流程化管理能力 安全策略 安全制度和流程文档化 并具有可实施性 初步建立一个账号管理 认证管理 授权管理 审计管理的综合技术平台 在一定程度上提高安全管理的自动化程度 信息化系统具备通过等保三级测评的安全状态 内部组织和人员安全资产管理和物理安全访问控制通讯保障和运营维护业务连续性要求 架构的完整性从管理和技术上实现架构的完整规划和建设 安全风险的控制和预防对安全风险实施有效的管理 安全运维管理纳入公司的管理系统建立安全运维工单管理系统 并和公司的工单管理系统实现操作集成和共享 建立安全运维管理的KPI系统 并纳入公司的考核体系 安全管理体系架构有较强的自适应能力应对可能的安全新变化 对新上线业务系统的安全运维实现快速支持 安全管理规划阶段成果 2 初步建立ISMS体系 建立一个完善的安全体系架构 3 通过等保三级评测 第一阶段预期成果 第二阶段预期成果 信息安全体系整体视图 安全策略管理工程安全管理安全信息管理变更管理日常运作管理 主机系统安全管理补丁升级管理网络服务安全管理办法网络安全审计 业务系统安全管理OA系统安全管理日常安全维护管理交易数据安全管理 计算机病毒预防管理设备变更管理日常安全维护管理 网络设备安全管理网络设备升级管理设备变更管理日常安全维护管理防火墙安全管理IDS IPS设备管理 数据库安全管理 日常安全维护管理配置备份与恢复管理远程接入维护安全管理第三方网络接入安全 网络层 主机层 应用层 数据库层 机房安全管理办公区安全管理机房环境要求 需求分析管理开发管理测试管理入网管理 变更管理项目管理 SOX等级保护 应用开发设计 物理环境 运营维护 应急响应流程应急预案应急演练重大安全事件的处理机制 灾备管理数据备份及恢复管理容量规划自我测评及第三方评估 业务可持续性保障 符合性 认证授权 访问控制 帐号管理审计 建议在此框架下建立安全管理体系 ISMS的文档结构表之一 ISMS的文档结构表之二 ISMS的建立过程 安全管理文档层次结构 第一层 策略和方针 policy guideline 例如 战略规划 方针政策 发展方向 等宏观层面的内容第二层 规范和要求 specifications requirements 例如 制度 建设策略 安全要求 等具体内容第三层 实施细则 implementation 例如 流程 表格 记录等执行层面的细节 1 2偏重于策略和制度 3偏重于实施和执行 实施细则应在1 2类文档的指导下编写 业务战略管理 应用安全管理 安全运营管理 文档数据安全 用户管理 基础设施安全 内容安全管理 病毒防护 网页内容过滤 防垃圾邮件 防恶意软件 弱点管理 系统配置检查 安全补丁管理 弱点扫描评估 安全风险管理 风险收集识别 风险分析计算 风险监控告警 风险响应处理 BCP 在管理中的定位与作用 业务连续性管理 资产分级分类 资产基线定义 交易与传输管理 应用数据权限 数据接口控制 数据传输控制 存储与访问管理 数据存储保护 数据库权限管理 敏感数据加密 数据输入验证 数据归档销毁 BCP 过程和成果 业务连续性方案测试与评审 制定业务连续性管理程序 目的和目标适用范围各相关部门的职责定义业务连续性管理程序预期成果 业务连续性分析和风险分析 制定业务连续性框架 业务连续性方案及实施 过程 内容 成果 1 业务连续性管理程序 关键业务分析关键资产分析风险识别与评估风险的定义和处理措施IT风险对业务连续性的影响分析业务连续性评估指标业务连续性对业务收益分析 1 业务连续性影响分析报告 2 评估表 1 业务连续性管理框架 2 业务连续性管理战略计划 1 业务连续性管理实施方案 1 业务持续性管理计划测试报告 2 业务持续性管理计划评审报告 计划的测试和审核 业务连续性方案的更新 网络系统的恢复演练 备用设施的切换演练 全员应急培训 各种程序和计划的编写 各种措施的触发条件 应急程序备用程序恢复程序方案维护计划培训计划人员角色和职责定义 关键业务系统单独编写连续性实施方案方案的维护人及其职责方案的实施计划 ISMS 10 业务连续性管理 域的部分内容 BCP 建立业务连续性管理程序 建立业务连续性管理程序公司在实施业务连续性管理之前 应明确以下工作是建立业务连续性保障体系的关键工作内容 在识别关键业务流程并排列优先顺序的基础上 根据风险发生的可能性及其产生的影响来判定公司所面临的风险 识别网络与信息处理设施实现的业务目标 根据公司的业务目标和优先级别制定业务连续性战略 对公司影响重大 需要高层决定的 如 何为 可以接受的水平 根据业务连续性战略制定业务连续性计划 定期测试并更新具体方案和程序 确保业务连续性管理被纳入公司的管理流程和组织结构 明确分配业务连续性管理的职责 包括部门之间的协调 购买合适的保险 可以作为业务连续性计划的组成部分 已成为公司业务流程一部分的合作方 如SP 外包服务的承包商也必须负责制订 实施 联合测试业务连续性方案 且该方案必须经过公司审核 BCP 建立业务连续性管理程序 业务连续性战略目标1 业务连续性战略2 业务连续性计划 业务风险 资产 威胁 漏洞 IT风险 业务风险 风险计划等 风险识别 从组织 业务发展目标 实施程序 预期目标等 作为BCP实施的指导方针 BCP管理程序 BCP中关键的策略 流程 程序 定义 计划等 BCP框架 BCP的维护 执行监督 演练 调整等 BCP测试和评审 组织结构 实施指南 BCP实施方案 风险处置方式和依据等 风险管理 2 1 4 5 6 3 业务管理 1 2 3 4 5 6 BCP 业务连续性和影响分析 二 业务连续性和影响分析公司在进行业务连续性和影响分析时 首先应进行风险评估 识别和分析两个主要因素 一是可能导致业务中断的事件 如设备故障 自然灾害等 另一个是中断产生的影响 如破坏规模以及恢复时间等 业务连续性和影响分析应当涵盖所有业务流程 而不仅仅限于网络与信息处理设施 业务资源和流程的责任人必须参与到风险评估活动中 公司应当根据风险评估的结果制定业务连续性战略 并据此确定业务连续性的整体方案 在获取管理人员批准后予以贯彻实施 在进行业务连续性和影响分析过程中 重要的一步是确认关键信息资产 灾难恢复计划流程的级别和范围从总体上由业务影响评估 BIA 所确定的特定信息资产损失对公司和业务的影响予以决定 业务的重要程度基于若干评估范围 客户利益 经济损失 法律影响 公司声誉 该重要程度可用来确定恢复时间目标 RTO 决定网络与信息资产恢复正常需要的时间 并以RTO作为重要程度的首要度量 同时 公司必须评审恢复时间 并且应由受影响的业务和信息系统的相关各方 系统 数据所有人以及设备保管人 协商一致 记录在案 BCP 业务连续性和影响分析 BCP 业务连续性方案框架 三 业务连续性方案框架公司应制定一套业务连续性方案框架 以确保所有方案的连贯性 一致性 具体内容应包括 详细列出各种措施的触发条件和激活程序 包括涉及的人员 应急程序 规定在发生危及业务可用性的事件后应采取的各种措施 当危及生命安全时 还应包括与政府部门的联系安排 如公安局 消防局等 备用程序 规定各种临时性的 尽快提供业务的替代措施 如 启用异地备份系统 用手工方式临时替代自动方式等 恢复程序 规定在恢复正常业务流程时所应采取的措施 如 用备份数据恢复原有系统 备用倒回主用等 维护计划 规定测试业务连续性方案的时间和方式 以及维护流程 提出教育和培训的具体要求 如 培训周期 培训对象等 明确相关人员在方案执行过程中的角色和职责 并根据实际情况指定主备用人员 需要特别指出的是 公司现有的应急预案是业务连续性方案的一部分 通常包括了上述的a b c d项内容 还应进一步完善 BCP 制定并实施业务连续性方案 四 制定并实施业务连续性方案公司在制定和实施业务连续性方案时应考虑以下内容 每套业务连续性方案都应指定责任人 系统责任人 维护人必须负责制定并实施业务连续性方案 业务连续性方案应经过领导层和安全部门的审批 识别业务流程中所有岗位的职责 确定该岗位人员在业务连续性方案中的责任 确定并实施应急程序 并特别关注外部业务的关联性 记录经过批准的程序 并形成正式文件 向员工及第三方提供不同内容的业务连续性方案培训 测试并更新方案 所需的服务和资源 包括物业 水电 人员配备 非信息处理资源以及信息处理设施的备用安排等 业务连续性方案的密级应与业务系统的信息敏感性的最高级别相匹配 确保满足业务恢复目标 并与业务优先级别相匹配 确保业务连续性方案和其他备份数据 软件包等必需资源被安全地保存 如异地存放 BCP 维护业务连续性方案 五 维护业务连续性方案为确保业务连续性方案的有效性 公司应通过定期测试 评审和更新来维护业务连续性方案 同时确保所有相关人员都理解并掌握业务连续性方案 公司应制定业务连续性方案的测试计划 该计划应包括测试规模 测试时间和测试方式 业务连续性方案的各个组成部分也可以单独测试 并根据其重要程度采用不同的测试频率 在具体测试中 应结合实际情况 采用恰当的测试方式 如 书面排练 即借助实例 严格遵照已有的书面方案 以会议 口头等方式进行模拟排练 仿真 即通过模拟环境和流程进行测试 系统恢复测试 侧重技术和操作 备用系统或场所的恢复测试 第三方提供的设施和服务测试 确保其符合合同要求 全面演练 检验公司部门 人员 设备 设施以及流程能否做出正确响应 BCP ISMS业务连续性管理域 文档汇总 一 系统级访问控制和审计 常见的系统维护访问方式 事前 统一管理 事前 事中 事后的风险控制思路事前 制定统一的帐号管理 权限访问策略 审计策略事中 身份认证和授权事后 统一综合审计 事中 事后 IT操作行为 人 角色 审计 授权 制定策略 认证授权 认证 综合审计 基于SOX方案的工作思路 维护工作现状 各业务系统的审计相互独立 缺乏集中统一系统访问审计 难以对安全事件进行关联分析 不利于问题排查 缺少账号生命周期管理 业务系统的帐号多人共用 发生安全事故难于确定帐号的实际使用者 帐号分散管理 用户经常需要在各个系统之间切换 每次切换都需要输入用户名和密码进行登录 影响了工作效率 各业务系统分别管理所属的系统资源和应用资源 缺乏集中统一的资源授权管理平台 无法按照最小权限原则分配权限 缺少严格的认证手段 无法对自然人进行统一认证 当前维护工作现状分析 建设原则 统一用户接入控制 以统一接入网关作为用户登录各应用资源 系统资源的统一入口 集中控制用户访问的系统 实现用户登录门户的强认证集中控制内部维护人员和外部代维人员访问IT资源 避免维护人员使用不安全的终端直接访问系统根据操作行为进行敏感度分集 通过文本和视频 日志方式完整记录内部维护人员和厂家代维人员的访问及操作行为 为日志审计提供原始资料输出萨班斯审计需要的各类报表 输出报表能按照具体需求定制 授权管理 实现系统资源和应用资源实体级的权限控制和管理 基于集中安全管控策略的实体级访问控制和鉴权实现本省系统资源和应用资源的自动采集或手动管理对本省所有系统资源 应用资源 支持角色定义 支持基于角色的授权实体内的权限控制和管理 帐号口令集中管理 在统一用户管理系统基础上 实现各IT资源帐号的集中管理 实现各系统和应用帐号自动采集 实现对各系统资源和应用资源中的帐号进行创建 分配 同步实现各分公司统一用户目录中用户身份信息的规范化 将资源帐号和主帐号进行主从帐号关联 实现操作对应到人 建立用户主帐号 从帐号关联关系的视图强制口令修改 防范弱口令引发的安全事件输出萨班斯审计需要的各类报表 根据本省具体需求定制 日志集中管理与审计 支持系统 访问日志的收集和统一的日志格式标准化能将从系统侧采集的日志和在统一用户接入点形成的文本或视频日志关联实现将日志信息关联到用户主帐号 自然人 能对自然人的登录过程 关键操作行为进行审计快速检索原始日志 支持安全事件事后责任调查根据预先定义规则发现高危操作 及时告警能够审计发现绕开4A系统直接登录被维护对象的行为输出萨班斯审计报表 输出报表可根据具体需求定制 安全访问控制与审计建设要求 访问控制和审计 过程和成果 人员角色管理资源账号整理 组织架构人员角色和职责描述自然人账号 主账号 的规划系统资源的操作权限规划资源账号 从账号 的整理第三方厂商账号规划 安全策略 技术平台建设 4A管理 过程 内容 成果 1 组织及人员安全管理规范 2 第三方组织及人员安全管理规范 3 资源账号管理办法 账号策略认证策略授权策略审计策略 1 用户角色管理规范 2 账号口令管理规范 3 访问权限管理规范 4 系统安全审计管理规范 1 运维统一接入控制平台 1 4A平台的维护管理办法 3A系统 实现账号 授权 认证的集中管理审计系统 实现对自然人的行为和IT操作行为的审计和关联分析 定期的策略更新和维护定期的日志分析和审阅 ISMS相关域的管理文档 技术平台 2 管理成果 2 技术成果 成熟的技术平台 采用 物理旁路接入 逻辑串联接入 的部署方式实现 集中管理用户 认证授权 审计策略 运维操作的单点登录 集中管理所有主机 网络设备的资源账号 对所有的维护操作进行记录和审计 二 业务级访问控制和审计 审计细则 流程 实体 进程 文件库表 账号权限 外部接口 敏感 资金 操作 账号资金 积分 酬金 卡资源等 2 3 3 1 客户资料 用户信息 客户服务信息等 业务系统的安全审计 对应用系统的要求 业务系统尽可能详细的输出日志信息 并通过特定标识关联业务交易的全过程 确认审计对象 资金信息 敏感信息 数据库表及文件 进程 外部接口 账号权限 操作 访问 操作 承载 交换 确定审计对象 确定审计类别 确定审计内容 业务系统的安全审计 确定审计对象 2 确认审计类别 配置文件的修改 帐号权限 敏感信息库表的修改 外部接口 访问控制 进程状态 账号合规性 1 确认审计对象 资金信息 敏感信息 确定审计对象 确定审计类别 确定审计内容 业务系统的安全审计 确定审计类别 2 确认审计类别 配置文件的修改 帐号权限 敏感信息库表的修改 3 确认审计内容 类别 业务描述 审计细则 级别 响应方式 数据来源 外部接口 访问控制 进程状态 账号合规性 1 确认审计对象 资金信息 敏感信息 审计周期 确定审计对象 确定审计类别 确定审计内容 业务系统的安全审计 确定审计内容 访问控制审计细则 示例 安全事件应急预案 从执行来看 应急预案中应包括以下内容 安全事件分类定级 根据分类分级标准 对安全事件进行分类定级 响应方式 根据事件等级 选择响应方式 应急人员组成 根据事件等级 临时成立应急领导和技术小组 启动响应流程 启动相应的应急响应流程 事后处理 例如事件记录 预案调整等 从管理来看 应急预案中应包括以下内容 安全事件分类定级标准应急预案管理 包括基本原则 启动条件 人员 设备 技术保障措施等 演练及维护机制通用应急预案专项应急预案 针对频繁发生的 影响重大的 破坏严重的安全事件 制定专项预案 安全事件应急预案 从流程来看 应急预案包括以下主要流程 安全事件上报流程 根据不同的安全事件来源制定流程 安全事件处理流程 根