构建信息安全保障体系-使命、原则、框架、执行和实践课件

1、构建信息安全保障体系-使命、原则、框架、执行和实践,1,构建信息安全保障体系使命、原则、框架、执行和实践,2006年11月,构建信息安全保障体系-使命、原则、框架、执行和实践,2,三观论,宏观,微观,中观,构建信息安全保障体系-使命、原则、框架、执行和实践,3,摘要,使命27号文 原则风险管理 框架信息安全保障框架 执行 IT风险管理的业务化 从风险管理到合规性管理 实践 安全域 安全管理平台,构建信息安全保障体系-使命、原则、框架、执行和实践,4,使命,构建信息安全保障体系-使命、原则、框架、执行和实践,5,问题,什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设,构建信息安全保障

2、体系-使命、原则、框架、执行和实践,6,问题,什么是信息安全？ 通过回答最根本的问题，帮助我们探究事物的本原。 到底要解决那些问题？ 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。 怎么实施信息安全建设？ 通过回答最实际的问题，帮助我们获得需要的实效,构建信息安全保障体系-使命、原则、框架、执行和实践,7,三法则,Q3-WWH,三问题：什么/为什么/怎么,构建信息安全保障体系-使命、原则、框架、执行和实践,8,中办发200327号,国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日,构建信息安全保障体系-使命、原则、框架、执行和实践,9,加强信息安全保障工

3、作-总体要求,总体要求： 坚持积极防御、综合防范的方针， 全面提高信息安全防护能力， 重点保障基础信息网络和重要信息系统安全， 创建安全健康的网络环境， 保障和促进信息化发展， 保护公众利益，维护国家安全,构建信息安全保障体系-使命、原则、框架、执行和实践,10,加强信息安全保障工作-主要原则,主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系,构建信息安全保障体系-使命、原则、框架、执行和实践,11,加强信

4、息安全保障工作-九项任务,系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制,构建信息安全保障体系-使命、原则、框架、执行和实践,12,原则,构建信息安全保障体系-使命、原则、框架、执行和实践,13,原则风险管理,风险管理 了解威胁 了解资产和业务 了解保障措施,构建信息安全保障体系-使命、原则、框架、执行和实践,14,安全的三个相对性原则,安全没有绝对，没有100% 实践安全相对性的三个原则 风险原则适

5、合商业机构 生存原则适合强力机构 保镖原则适合涉密机构,构建信息安全保障体系-使命、原则、框架、执行和实践,15,风险管理,风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念,构建信息安全保障体系-使命、原则、框架、执行和实践,16,ISO13335中的风险管理的关系图,构建信息安全保障体系-使命、原则、框架、执行和实践,17,ISO13335以风险为核心的安全模型,风险,防护措施,信息资产,威胁,漏洞,防护需求,价值,一般风险评估的 理论基础,构建信息安全保障体系-使命、原则、框架、执行和实践,18,风险评估的国家标准,构建信息安全保障体系-使命、原则、框架、执行和实践

6、,19,国信办报告中的风险要素关系图,安全管理平台中 实时风险监控 的理论基础,构建信息安全保障体系-使命、原则、框架、执行和实践,20,德国ITBPM,构建信息安全保障体系-使命、原则、框架、执行和实践,21,最精简的风险管理要素,构建信息安全保障体系-使命、原则、框架、执行和实践,22,三法则,Q3-WWH R3-AST,三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁,构建信息安全保障体系-使命、原则、框架、执行和实践,23,了解威胁,构建信息安全保障体系-使命、原则、框架、执行和实践,24,威胁趋势,外部威胁环境 危害的频度、范围越来越大 威胁的方面越来越综合 攻击的技

7、术含量越来越大 攻击的技术成本越来越低 攻击的法律风险还难于真正体现,内部威胁和物理威胁 系统的环境越来越复杂 系统自身的结构越来越复杂 内部发生恶意和非恶意的可能性越来越大 威胁传递和放大的情况更加严重,构建信息安全保障体系-使命、原则、框架、执行和实践,25,威胁的总结,恶意代码 人为发起的越权和入侵类 病毒、蠕虫等传播类 发起的拒绝服务攻击类 违规操作 误操作 违规业务,恶意信息 恶意传播有害信息 垃圾信息（垃圾短信、垃圾邮件等） 信息泄漏 物理问题 设备故障 环境事故 自然灾害,构建信息安全保障体系-使命、原则、框架、执行和实践,26,针对威胁的主要技术,针对恶意代码 防火墙、防病毒、

8、入侵检测、漏洞扫描 违规操作 流量监控、审计、应用系统安全措施 恶意信息 内容监控、内容过滤、加密 物理问题 容灾、备份,构建信息安全保障体系-使命、原则、框架、执行和实践,27,了解资产和业务,构建信息安全保障体系-使命、原则、框架、执行和实践,28,怎么了解资产和业务（IT相关,分析信息体系架构ITA 业务系统 网络分布形态 系统的层次性 技术和管理 时间（生命周期） 价值（资产价值、影响价值、投入）,构建信息安全保障体系-使命、原则、框架、执行和实践,29,机构典型的ITA及其安全思维,公共网络 广域网络,对外发布 对外业务渠道,核心业务,内部业务 OA、财务等,业务支撑,安全保障,异地

9、内网,异地灾备,机构内网,构建信息安全保障体系-使命、原则、框架、执行和实践,30,ITA分析初探-层次,物理和环境,网络与通信,主机和系统,应用和业务,数据和介质,人员和组织,使命和价值,构建信息安全保障体系-使命、原则、框架、执行和实践,31,ITA分析初探-分布式,从安全角度梳理网络结构的主要方法 节点路径法 子网边界法 安全域方法,构建信息安全保障体系-使命、原则、框架、执行和实践,32,中国移动2004年的6个试点项目,安全域划分与边界整合 服务与端口管理 生产终端统一管理 安全帐号口令 安全补丁与版本管理 安全预警,构建信息安全保障体系-使命、原则、框架、执行和实践,33,通过安全

10、域理解6个试点项目的安排,安全域划分与边界整合,服务与端口管理,生产终端统一管理,安全帐号口令,安全补丁与版本管理,安全预警,构建信息安全保障体系-使命、原则、框架、执行和实践,34,运营商的业务特色,构建信息安全保障体系-使命、原则、框架、执行和实践,35,电力系统二次安防的思路,构建信息安全保障体系-使命、原则、框架、执行和实践,36,某涉密广域网的特色,业务 没有基于大型的信息系统业务 小型业务部门自成业务单元 各个业务部门之间主要是一些协同数据共享 业务安全特色 强调小网安全，自成小型防护体系 内部大网强调全局监控，提供承载 规范数据共享，保证安全防止泄密,构建信息安全保障体系-使命、

11、原则、框架、执行和实践,37,某涉密办公网的特色,将系统和网络进行一个典型分割，分别解决安全问题 边界（物理隔离、防火墙、防病毒网关、入侵检测） 内网（VLAN、流量监控、异常监控） 客户端接入区/OA区（非法外联、补丁管理、PC防病毒、内网综合治理） 服务器区（服务器加固、入侵检测） 安全支撑（漏洞扫描,构建信息安全保障体系-使命、原则、框架、执行和实践,38,银行的业务特征,内部经营决策分析系统OLAP 对外核心业务系统OLTP,构建信息安全保障体系-使命、原则、框架、执行和实践,39,了解保障措施,构建信息安全保障体系-使命、原则、框架、执行和实践,40,保障体系的实际组成,构建信息安全

12、保障体系-使命、原则、框架、执行和实践,41,技术环境当前主流的基本安全产品,加密 防病毒 防火墙 入侵检测 漏洞扫描 身份认证 VPN,构建信息安全保障体系-使命、原则、框架、执行和实践,42,技术环境当前主流的基本安全服务,咨询服务 整体框架规划和设计 评估加固服务 对于主机和网络进行技术评估和加固 风险评估服务 对系统的整体风险进行评估并对风险管理提供设计 渗透性测试服务 安全教育和培训,构建信息安全保障体系-使命、原则、框架、执行和实践,43,安全管理平台成为一个值得考虑的选择,构建信息安全保障体系-使命、原则、框架、执行和实践,44,三法则,Q3-WWH R3-AST P3-CSP,

13、三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 产品三形态：部件产品/服务/平台,构建信息安全保障体系-使命、原则、框架、执行和实践,45,框架,构建信息安全保障体系-使命、原则、框架、执行和实践,46,框架,构建信息安全保障体系-使命、原则、框架、执行和实践,47,最精简的风险管理要素：R3-AST,构建信息安全保障体系-使命、原则、框架、执行和实践,48,信息安全保障框架,资产清单 面向网络拓扑 基于安全域/业务域 基于业务流分析,构建信息安全保障体系-使命、原则、框架、执行和实践,49,信息安全保障框架,脆弱性管理 告警管理 事件管理 预警管理 威胁管理,构建信息安全保

14、障体系-使命、原则、框架、执行和实践,50,信息安全保障框架,通过S3-PPT方法展开保障措施,构建信息安全保障体系-使命、原则、框架、执行和实践,51,技术功能是T3-PDR的衍生,构建信息安全保障体系-使命、原则、框架、执行和实践,52,三法则,Q3-WWH R3-AST P3-CSP V3-MMM S3-PPT T3-PDR,三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 产品三形态：部件产品/服务/平台 三观论：宏观/中观/微观 保障：人员组织/过程/技术 技术：防护/检测/响应,构建信息安全保障体系-使命、原则、框架、执行和实践,53,保障框架-措施,构建信息安全保

15、障体系-使命、原则、框架、执行和实践,54,27号文的框架分析,等级保护 风险评估,监控体系,应急体系,信任体系,技术和产业,法制建设 标准化建设,人才培养 全民意识,保证资金,责任制,构建信息安全保障体系-使命、原则、框架、执行和实践,55,产品的框架分析,IDS,应用审计,防火墙,SAN,防垃圾,安全管理中心,Scanner,远程数据热备,IPS,防病毒,加密机,双因子,PKI,构建信息安全保障体系-使命、原则、框架、执行和实践,56,安全服务体系的框架分析,评估加固,教育培训,MSS,应急响应,安全集成,风险评估,管理咨询,构建信息安全保障体系-使命、原则、框架、执行和实践,57,体系设

16、计方案的框架分析,安全监控体系,安全审计体系,安全防护体系,应急恢复体系,网络信任体系,安全管理体系,构建信息安全保障体系-使命、原则、框架、执行和实践,58,最佳实践建议,教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 监控体系、安全监控管理中心 事件管理体系、应急体系,构建信息安全保障体系-使命、原则、框架、执行和实践,59,执行,构建信息安全保障体系-使命、原则、框架、执行和实践,60,执行风险管理的落实,IT风险管理的业务化 将IT风险管理（信息安全）融合到业务安全中去 从风险管理到合规性管理,构建信息安全保障

17、体系-使命、原则、框架、执行和实践,61,国际风险管理趋势业务化,IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑,来源：Gartner,构建信息安全保障体系-使命、原则、框架、执行和实践,62,案例分析：瑞士联合银行UBS的风险观点,构建信息安全保障体系-使命、原则、框架、执行和实践,63,瑞士联合银行UBS的风险观点,构建信息安全保障体系-使命、原则、框架、执行和实践,64,UBS将机构安全问题组织化,构建信息安全保障体系-使命、原则、框架、执行和实践,65,UBS策略和组织的保证,构建信息安全保障体系-使命、原则、框架、执行和实践,66,UBS风险管理组

18、织,构建信息安全保障体系-使命、原则、框架、执行和实践,67,UBS 风险报告,构建信息安全保障体系-使命、原则、框架、执行和实践,68,合规性管理需求驱动力的变化,构建信息安全保障体系-使命、原则、框架、执行和实践,69,问题型需求驱动的特点,问题常常来源于客户实际 问题常常是不成体系的（看起来） 需求满足常常是“头痛医头，脚痛医脚” 问题解决要求很快，追求速效 问题所带来的需求都非常实在 问题解决办法常常体现为 面向脆弱性安全 比如：防病毒、入侵检测、防火墙等,构建信息安全保障体系-使命、原则、框架、执行和实践,70,体系化需求驱动的特点,常常来源于 从专家和厂商而来的技术推动 客户零散的

19、问题，被内外部专家提炼 看起来成体系，但是因为有抽象，和实际总是有些差别 常常表现为：面向结构性安全 比如：保障体系、可信计算、管理平台等 由于各个因素的牵扯，所以见效较慢 完全靠体系来驱动，力度常常不足,构建信息安全保障体系-使命、原则、框架、执行和实践,71,政策性需求驱动的特点,常常来源于上级机构和主管机构 虽然不追求完美的体系，但是政策性要求有一定整体性 政策性要求不是强制性的，有一定的灵活性 常常表现为：一些要点总结 厂商和客户一般在政策上的敏感度不高 政策性的实际推动力常常不足,构建信息安全保障体系-使命、原则、框架、执行和实践,72,合规性需求驱动的特点,常常来源于上级机构和主管

20、机构 强制性、具有极强的推动力和约束力 有效的合规性要求要简单和明确,构建信息安全保障体系-使命、原则、框架、执行和实践,73,当前典型的“规,萨班斯-奥克斯利法案 SOX 新巴塞尔资本协议 Basel II 银监会200663号文 银行业金融机构信息系统管理指引 国资发改革2006108号文 中央企业全面风险管理指引 等级保护 公通字20067号文 信息安全等级保护管理办法试行 涉密分级保护 涉及国家秘密的信息系统分级保护技术要求,构建信息安全保障体系-使命、原则、框架、执行和实践,74,企业信息安全保障能力成长阶段划分,构建信息安全保障体系-使命、原则、框架、执行和实践,75,企业信息安全

21、保障能力成长阶段划分,盲目自信阶段 普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力,构建信息安全保障体系-使命、原则、框架、执行和实践,76,各个阶段的主要工作任务,基本安全产品部署,主要人员的培

22、训教育,建立 安全团队,制定安全方针政策,评估并 了解现状,构建信息安全保障体系-使命、原则、框架、执行和实践,77,各个阶段的主要工作任务,启动信息安全战略项目,设计信息安全架构,建立信息安全流程,完成信息安全改进项目,构建信息安全保障体系-使命、原则、框架、执行和实践,78,各个阶段的主要工作任务,信息安全流程的持续改进,追踪技术和业务的变化,构建信息安全保障体系-使命、原则、框架、执行和实践,79,需求驱动力向“合规性”的转化带来客户价值和产业机会,构建信息安全保障体系-使命、原则、框架、执行和实践,80,实践,构建信息安全保障体系-使命、原则、框架、执行和实践,81,中观落实的思想方法

23、,面向实效的目标 规避最坏情况，追求较高要求，满足最低要求,构建信息安全保障体系-使命、原则、框架、执行和实践,82,中观落实的思想方法,面向实效的目标 管理与技术的平衡,构建信息安全保障体系-使命、原则、框架、执行和实践,83,管理与技术的平衡,坚持管理与技术并重,三分技术，七分管理,从管理着眼，从技术入手 管理驱动技术 技术实现管理,构建信息安全保障体系-使命、原则、框架、执行和实践,84,中观落实的思想方法,面向实效的目标 管理与技术的平衡 从管理着眼，从技术入手 管理驱动技术，技术实现管理,构建信息安全保障体系-使命、原则、框架、执行和实践,85,中观落实的思想方法,面向实效的目标 管

24、理与技术的平衡 落实中观运作的着手之处,构建信息安全保障体系-使命、原则、框架、执行和实践,86,域,构建信息安全保障体系-使命、原则、框架、执行和实践,87,安全域的概念,广义的安全域概念是 具有相同和相似的安全要求和策略的IT要素的集合。 这些IT要素包括,策略和流程,物理环境,网络区域,业务和使命,人和组织,主机和系统,构建信息安全保障体系-使命、原则、框架、执行和实践,88,资产结构化-安全域,安全域方法归根到底就是用结构将微观的大量资产和其他安全要素，有序地展现在宏观层面,构建信息安全保障体系-使命、原则、框架、执行和实践,89,美国NSA的IATF,构建信息安全保障体系-使命、原则

25、、框架、执行和实践,90,启明星辰的3+1安全域方法,构建信息安全保障体系-使命、原则、框架、执行和实践,91,围绕安全域落实相关工作,安全域的等级化 依据安全域安排分阶段工作 通过安全域调整完成网络安全改造 通过安全域分析实现业务流转安全分析 围绕安全域完成安全产品和服务的部署 边界、内、外、相连、远程连接 根据安全域的不同等级给予投入，形成整体的效益最佳,构建信息安全保障体系-使命、原则、框架、执行和实践,92,中观落实的思想方法,面向实效的目标 管理与技术的平衡 落实中观运作的着手之处 擦亮中观运作的眼睛,构建信息安全保障体系-使命、原则、框架、执行和实践,93,鸟瞰图,构建信息安全保障体系-使命、原则、框架、执行和实践,94,构建信息安全保障体系-使命、原则、框架、执行和实践,95,安全管理平台成为承上启下的技术手段,安全管理平台成为检测和响应能力的汇总点,构建信息安全保障体系-