安全运营管理.ppt

安全运营管理体系,V5,2,内容提要,安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图,企业信息安全de路线图,信息安全要融入企业，适度安全即可,信息安全很简单，买些FW/IDS/AV装上就行了,信息安全投入太大，太专业，太难了,信息安全是国家和政府的事情，离我们太远了,信息安全如何搞？拿来主义！“标准规范专家顾问”就搞定了,“三分技术七分管理”,信息安全要结合实际IT环境，深入核心业务,4,信息安全系统体系架构,5,IT控制亟待解决的问题,变更控制过程并不存在（特别是在分布式或基于Web的环境中）针对关键应用的安全程序、策略和配置结构并没有文件化组织的安全策略、程序、角色与责任等方面存在差距安全管理程序缺乏适当的控制，或者往往：缺乏人员离职或改变工作职责情况下对访问进行删除或变更的控制（特别是对合同人员）对访问变更的批准不够充分管理层对访问级别没有进行有规律的复查和批准对系统的过度访问对操作系统、数据库和应用环境的特权访问职责分离不足应用开发者和数据库管理员能够访问生产系统基础架构支持应用不够安全（网络、OS、DB）并没有将IT控制集成到关键的业务过程中去（SDCL、变更控制、符合性、测试和数据转换程序）缺乏对控制持续有效的校验过程（至少应该一个季度一次）没有对风险进行评估的长期策略,6,“安全运营管理”的定位,安全运营是指在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过程安全运营与IT运营相辅相成、互为依托、共享资源与信息安全运营与安全组织紧密联系，融合在业务管理和IT管理体系中,安全策略,安全组织管理,安全运行维护,安全技术,基于,运行维护,管理运用,基于,指导落实,远程接入管理办法网帐号和口令管理策略防病毒规范SOC规范,中国网通信息安全主策略管理层指示安全框架最佳实践,管理维护,管理执行,7,内容提要,安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图,8,业务流程和系统的发展对安全运营管理提出新的要求,呼叫中心电子邮件邮件短信网站自助服务,服务开通资源管理事件管理工单管理,客户管理客户交互市场管理项目管理,XML/UDDI/WSDL/SOAP/SOA/BPEL,I-CRM,O-CRM,资源管理工单管理配置管理性能管理安全管理变更管理服务水平管理,BASS,管理层市场部计划部客服计费,网络部网管中心,整合前后端，全程调度订单-资源-服务开通-更新客户资料-报竣申诉-客户资料-网管工单-解决-报竣订单-资源-立项采购-更新资源库-服务开通-更新客户资料-报竣,BOSS,综合网管安全运营平台,安全运营一方面需要适应业务流程和系统的发展，另外一方面帮助控制整合后系统的安全风险,9,电信运营商典型的收入生成过程示意图,在收入生成的很多环节上都有可能因为安全威胁而造成收入流失！,10,找回遗漏收入提高利润减少收入的延迟减少和防范新的收入流失,企业资源计划ERP集成化的、条理化（Streamlined）的市场和客户响应流程系统平台完备的客户资料系统和运营数据系统数据仓库和主题分析集成化、自动化的BOSS系统高效的数据业务管理平台集成化的、条理化的内部IT运维管理平台优化的、完备的KPI指标体系，及其收集、分析与展示完备的备份和灾难恢复能力根源分析能力,收入保障,目标,安全运营,保证收入优化,主要可用的IT手段,广义的收入保障与安全运营,计费数据的完整性、可用性、可信性客户资料的完整性和可信性减少人为错误、滥用误用等带来的损失跨系统层和应用层的完整的身份和授权管理保证关键流程点的有效性和可审计性提高系统和服务的可用性，以及业务连续提供能力提高客户安全故障的快速响应能力保护客户数据和隐私,稳定服务质量,考察并保障主要收入流程和系统BOSS的升级和稳定运行规范管理SP的服务提供和计费快速响应市场的需求变化,提升客户满意度,提高计费准确性提高服务开通/服务停止准确性提升客户满意度,降低成本和风险,疏理现有计费体系，找出问题剔除存在的差异，降低错误率分析欠费类型，降低坏账风险分析号码资源利用，提高利用率分析路由和网络资源利用，降低成本,提升管理水平,完善内控体系，实现闭环管理建立KPI稽核体系，有效进行收入控制自动化工具，固化流程，大幅提高执行能力精确的财务和管理报表提高部门间协作，快速解决运营中出现的问题,SOX符合性对企业的影响,因为可靠的财务报告过程有赖于IT，所以，IT在SOX404符合性努力过程中扮演着关键的角色；对许多组织来说，SOX可以简化为对现有责任的法律条文化。这些IT控制责任早已存在，不过，SOX可能要求进行额外的形式化，并且要求在文件化和测试方面做出努力公司应该确保IT在SOX符合性努力中扮演主动的角色：参与符合性领导委员会理解财务报告过程，就IT（应用、基础架构、安全等）的依赖性进行沟通在确保财务报告过程具有充分控制方面，建立IT的角色文件化IT风险及与财务报告过程相关的控制定期测试控制，改进重要的不足建立监视活动，以确保IT控制在特定时间内的效力,12,安全管理与技术的发展体现出以下三个趋势,走向规范标准,BS7799/ISO17799/ISO27001ITIL/eTOMCoBITX.805国内正在制定越来越多的国家标准和规范，例如风险评估规范、风险管理规范等,集成应用安全与系统安全,关键应用的身份、授权与审计成为企业内控的必备首选完备的职责分离设计(SOD)和权限管理安全管理系统走向平台化、集成化与IT管理集成与应用集成,深入企业管理核心流程,收入保障需要安全管理提供的数据和业务安全保障SOX符合性需要安全管理提供的“内控”业务连续性管理与安全保障密不可分安全作为增值服务安全成为市场竞争力,13,安全运营需要参考COBITITILBS7799等最佳实践,COBIT重点在于IT控制和IT度量评价，但是没有讲如何做，也不专注在安全ITIL重点在于IT过程管理，强调IT支持和IT交付，但是没有安全和开发ISO/IEC17799重点在于IT安全控制，但没有讲如何做,参照CobiT和ISO17799来进行安全健康检查/审计，并识别过程和控制中的脆弱性参照ITIL来提高IT过程和控制，参照ISO17799来提高安全过程和控制参照ITIL来定义技术参照CobiT来定义“度量”和KPIITIL还可以用来作为架构方面的参照,SOXcomplianceisoneofthebusinessobjectivesofsecurityoperations!,14,故障性能配置变更连续性服务质量服务台IT保障,身份认证安全域访问控制漏洞补丁风险评估入侵检测日志审计安全保障,关键业务的双重保障,业务关联,根源分析,管理应用数据库操作系统存储及IT硬件,管理,15,内容提要,安全管理问题与挑战安全运营管理战略业务发展的要求安全运营与收入保障安全运营与萨班斯法案符合性标准和最佳实践IT保障体系安全运营管理体系建议安全运营组织安全运营支持层次安全运营管理流程行动建议和路线图,安全运营是IT治理的重要保障环节,SOX符合性,收入保障,业务战略,计费,营帐,结算,客服,经营分析,IT保障,变更管理,事件管理,问题管理,配置管理,综合监控,服务台,应用开发BOSSBASS,质量if(Genome)x).Fitness(Genome)y).Fitness)return1;elseif(Genome)x).Fitness