构建信息安全保障体系——使命原则框架执行和实践.ppt

构建信息安全保障体系使命、原则、框架、执行和实践,2006年11月,三观论,宏观,微观,中观,摘要,使命27号文原则风险管理框架信息安全保障框架执行IT风险管理的业务化从风险管理到合规性管理实践安全域安全管理平台,使命,问题,什么是信息安全？到底要解决那些问题？怎么实施信息安全建设？,问题,什么是信息安全？通过回答最根本的问题，帮助我们探究事物的本原。到底要解决那些问题？明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。怎么实施信息安全建设？通过回答最实际的问题，帮助我们获得需要的实效。,三法则,Q3-WWH,三问题：什么/为什么/怎么,中办发200327号,国家信息化领导小组关于加强信息安全保障工作的意见（2003年8月26日）,加强信息安全保障工作-总体要求,总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。,加强信息安全保障工作-主要原则,主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,加强信息安全保障工作-九项任务,系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究，推进产业发展法制建设、标准化建设人才培养与全民安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制,原则,原则风险管理,风险管理了解威胁了解资产和业务了解保障措施,安全的三个相对性原则,安全没有绝对，没有100%实践安全相对性的三个原则风险原则适合商业机构生存原则适合强力机构保镖原则适合涉密机构,风险管理,风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念,ISO13335中的风险管理的关系图,ISO13335以风险为核心的安全模型,风险,防护措施,信息资产,威胁,漏洞,防护需求,价值,一般风险评估的理论基础,风险评估的国家标准,国信办报告中的风险要素关系图,安全管理平台中实时风险监控的理论基础,德国ITBPM,最精简的风险管理要素,三法则,Q3-WWHR3-AST,三问题：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁,了解威胁,威胁趋势,外部威胁环境危害的频度、范围越来越大威胁的方面越来越综合攻击的技术含量越来越大攻击的技术成本越来越低攻击的法律风险还难于真正体现,内部威胁和物理威胁系统的环境越来越复杂系统自身的结构越来越复杂内部发生恶意和非恶意的可能性越来越大威胁传递和放大的情况更加严重,威胁的总结,恶意代码人为发起的越权和入侵类病毒、蠕虫等传播类发起的拒绝服务攻击类违规操作误操作违规业务,恶意信息恶意传播有害信息垃圾信息（垃圾短信、垃圾邮件等）信息泄漏物理问题设备故障环境事故自然灾害,针对威胁的主要技术,针对恶意代码防火墙、防病毒、入侵检测、漏洞扫描违规操作流量监控、审计、应用系统安全措施恶意信息内容监控、内容过滤、加密物理问题容灾、备份,了解资产和业务,怎么了解资产和业务（IT相关）,分析信息体系架构ITA业务系统网络分布形态系统的层次性技术和管理时间（生命周期）价值（资产价值、影响价值、投入）,机构典型的ITA及其安全思维,公共网络广域网络,对外发布对外业务渠道,核心业务,内部业务OA、财务等,业务支撑,安全保障,异地内网,异地灾备,机构内网,ITA分析初探-层次,物理和环境,网络与通信,主机和系统,应用和业务,数据和介质,人员和组织,使命和价值,ITA分析初探-分布式,从安全角度梳理网络结构的主要方法节点路径法子网边界法安全域方法,中国移动2004年的6个试点项目,安全域划分与边界整合服务与端口管理生产终端统一管理安全帐号口令安全补丁与版本管理安全预警,通过安全域理解6个试点项目的安排,安全域划分与边界整合,服务与端口管理,生产终端统一管理,安全帐号口令,安全补丁与版本管理,安全预警,运营商的业务特色,电力系统二次安防的思路,某涉密广域网的特色,业务没有基于大型的信息系统业务小型业务部门自成业务单元各个业务部门之间主要是一些协同数据共享业务安全特色强调小网安全，自成小型防护体系内部大网强调全局监控，提供承载规范数据共享，保证安全防止泄密,某涉密办公网的特色,将系统和网络进行一个典型分割，分别解决安全问题边界（物理隔离、防火墙、防病毒网关、入侵检测）内网（VLAN、流量监控、异常监控）客户端接入区/OA区（非法外联、补丁管理、PC防病毒、内网综合治理）服务器区（服务器加固、入侵检测）安全支撑（漏洞扫描）,银行的业务特征,内部经营决策分析系统OLAP对外核心业务系统OLTP,了解保障措施,保障体系的实际组成,技术环境当前主流的基本安全产品,加密防病毒防火墙入侵检测漏洞扫描身份认证VPN,技术环境当前主流的基本安全服务,咨询服务整体框架规划和设计评估加固服务对于主机和网络进行技术评估和加固风险评估服务对系统的整体风险进行评估并对风险管理提供设计渗透性测试服务安全教育和培训,安全管理平台成为一个值得考虑的选择,三法则,Q3-WWHR3-ASTP3-CSP,三问题：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁产品三形态：部件产品/服务/平台,框架,框架,最精简的风险管理要素：R3-AST,信息安全保障框架,资产清单面向网络拓扑基于安全域/业务域基于业务流分析,信息安全保障框架,脆弱性管理告警管理事件管理预警管理威胁管理,信息安全保障框架,通过S3-PPT方法展开保障措施,技术功能是T3-PDR的衍生,三法则,Q3-WWHR3-ASTP3-CSPV3-MMMS3-PPTT3-PDR,三问题：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁产品三形态：部件产品/服务/平台三观论：宏观/中观/微观保障：人员组织/过程/技术技术：防护/检测/响应,保障框架-措施,27号文的框架分析,等级保护风险评估,监控体系,应急体系,信任体系,技术和产业,法制建设标准化建设,人才培养全民意识,保证资金,责任制,产品的框架分析,IDS,应用审计,防火墙,SAN,防垃圾,安全管理中心,Scanner,远程数据热备,IPS,防病毒,加密机,双因子,PKI,安全服务体系的框架分析,评估加固,教育培训,MSS,应急响应,安全集成,风险评估,管理咨询,体系设计方案的框架分析,安全监控体系,安全审计体系,安全防护体系,应急恢复体系,网络信任体系,安全管理体系,最佳实践建议,教育和培训成熟产品防病毒、防火墙、VPN、入侵检测、漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安全域监控体系、安全监控管理中心事件管理体系、应急体系,执行,执行风险管理的落实,IT风险管理的业务化将IT风险管理（信息安全）融合到业务安全中去从风险管理到合规性管理,国际风险管理趋势业务化,IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑,来源：Gartner,案例分析：瑞士联合银行UBS的风险观点,瑞士联合银行UBS的风险观点,UBS将机构安全问题组织化,UBS策略和组织的保证,UBS风险管理组织,UBS风险报告,合规性管理需求驱动力的变化,问题型需求驱动的特点,问题常常来源于客户实际问题常常是不成体系的（看起来）需求满足常常是“头痛医头，脚痛医脚”问题解决要求很快，追求速效问题所带来的需求都非常实在问题解决办法常常体现为面向脆弱性安全比如：防病毒、入侵检测、防火墙等,体系化需求驱动的特点,常常来源于从专家和厂商而来的技术推动客户零散的问题，被内外部专家提炼看起来成体系，但是因为有抽象，和实际总是有些差别常常表现为：面向结构性安全比如：保障体系、可信计算、管理平台等由于各个因素的牵扯，所以见效较慢完全靠体系来驱动，力度常常不足,政策性需求驱动的特点,常常来源于上级机构和主管机构虽然不追求完美的体系，但是政策性要求有一定整体性政策性要求不是强制性的，有一定的灵活性常常表现为：一些要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足,合规性需求驱动的特点,常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有效的合规性要求要简单和明确,当前典型的“规”,萨班斯-奥克斯利法案SOX新巴塞尔资本协议BaselII银监会200663号文银行业金融机构信息系统管理指引国资发改革2006108号文中央企业全面风险管理指引等级保护公通字20067号文信息安全等级保护管理办法试行涉密分级保护涉及国家秘密的信息系统分级保护技术要求,企业信息安全保障能力成长阶段划分,企业信息安全保障能力成长阶段划分,盲目自信阶段普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性认知阶段通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平改进阶段意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系卓越运营阶段信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力,各个阶段的主要工作任务,基本安全产品部署,主要人员的培训教育,建立安全团队,制定安全方针政策,评估并了解现状,各个阶段的主要工作任务,启动信息安全战略项目,设计信息安全架构,建立信息安全流程,完成信息安全改进项目,各个阶段的主要工作任务,信息安全流程的持续改进,追踪技术和业务的变化,需求驱动力向“合规性”的转化带来客户价值和产业机会,实践,中观落实的思想方法,面向实效的目标规避最坏情况，追求较高要求，满足最低要求,中观落实的思想方法,面向实效的目标管理与技术的平衡,管理与技术的平衡,“坚持管理与技术并重”,三分技术，七分管理,从管理着眼，从技术入手管理驱动技术技术实现管理,中观落实的思想方法,面向实效的目标管理与技术的平衡从管理着眼，从技术入手管理驱动技术，技术实现管理,中观落实的思想方法,面向实效的目标管理与技术的平衡落实中观运作的着手之处,域,安全域的概念,广义的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括：,策略和流程,物理环境,网络区域,业务和使命,人和组织,主机和系统,资产结构化-安全域,安全域方法归根到底就是用结构将微观的大量资产和其他安全要素，有序地展现在宏观层面,美国NSA的IATF,启明星辰的3+1安全域方法,围绕安全域落实相关工作,安全域的等级化依据安全域安排分阶段工作通过安全域调整完成网络安全改造通过安全域分析实现业务流转安全分析围绕安全域完成安全产品和服务的部署边界、内、外、相连、远程连接根据安全域的不同等级给予投入，形成整体的效益最佳,中观落实的思想方法,面向实效的目标管理与技术的平衡落实中观运作的着手之处擦亮中观运作的眼睛,鸟瞰图,安全管理平台成为承上启下的技术手段,安全管理平台成为检测和响应能力的汇总点,平台应当发挥的作用,决策层面.从业务风险层面理解安全事件计算和跟踪安全投资回报率运营层面准确分析现有系统的威胁确定安全事件的优先顺序理顺安全事件管理的流程技术层面集中管理不同的安全设备综合分析分布的安全报警,功能体系结构,实时监控的可视化显示,实时监控内容监控对象、事件类型、风险级别（5级）、发生时间、源地址、目标地址、协议类型、时间间隔等显示方式拓扑链接图GIS地理图交互式图表设备状态视图,报表管理,状态监控-客户实景,某客户安全管理平台的实景,落实信息安全工作的思路,基础性组织化教育培训工具化成熟的产品风险评估成