信息安全与IT运维课件

1、信息安全与IT运维1 信息安全与信息安全与IT IT运维运维 我们不能消除风险，却可以管理风险我们不能消除风险，却可以管理风险 2008年1月20日 信息安全与IT运维2 提纲提纲 n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型 信息安全与IT运维3 什么是信息安全？（什么是信息安全？（1 1） 关于信息安全的定义很多，国内外、不同组织给出不同的定义， 但我们可以找出其中共性的部分 n 国内学者的定义：“信息安全保密内容分为：实体安全、运行 安全、数据安全和管理安全四个方面。” n 我国“计算机信息系统

2、安全专用产品分类原则”中的定义是： “涉及实体安全、 运行安全和信息安全三个方面。” n 我国相关立法给出的定义是：“保障计算机及其相关的和配套 的设备、设施（网络）的安全，运行环境的安全，保障信息安 全，保障计算机功能的正常发挥，以维护计算机信息系统的安 全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 信息安全与IT运维4 什么是信息安全？（什么是信息安全？（2 2） n 国家信息安全重点实验室给出的定义是：“信息安全涉及到信 息的机密性、完整性、可用性、可控性。综合起来说，就是要 保障电子信息的有效性。” n 英国BS7799信息安全管理标准给出的定义是：“信息安全是 使信息避免

3、一系列威胁，保障商务的连续性，最大限度地减少 商务的损失，最大限度地获取投资和商务的回报，涉及的是机 密性、完整性、可用性。” 信息安全与IT运维5 什么是信息安全？（什么是信息安全？（3 3） n 美国国家安全局信息保障主任给出的定义是：“因为术语信 息安全一直仅表示信息的机密性，在国防部我们用信息保 障来描述信息安全，也叫IA。它包含5种安全服务，包 括机密性、完整性、可用性、真实性和不可抵赖性。” n 国际标准化委员会给出的定义是：“为数据处理系统而采取的 技术的和管理的安全保护，保护计算机硬件、软件、数据不因 偶然的或恶意的原因而遭到破坏、更改、显露”。 信息安全与IT运维6 什么是信

4、息安全什么是信息安全信息安全目标总结信息安全目标总结 n 信息安全的目标 机密性 Confidentiality 完整性 Integrity 可用性 Availability 可控性 controllability 真实性 Authenticity 不可否认性 Non-repudiation 信息安全与IT运维7 什么是信息安全什么是信息安全涵盖内容总结涵盖内容总结 n 信息安全的涵盖内容 物理安全 网络安全 主机安全 应用安全 数据安全 安全管理 信息安全与IT运维8 提纲提纲 n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实

5、践 n 信息安全工作模型 信息安全与IT运维9 什么是什么是ITIT运维？运维？互联网定义互联网定义 IT运维是IT管理的核心和重点部分，也是内容最多、最繁杂的部 分，该阶段主要用于IT部门内部日常运营管理，涉及的对象分 成两大部分，即IT业务系统和运维人员，可细分为七个子系统： 设备管理：对网络设备、服务器备、操作系统运行状况进行监控 应用/服务管理：各种应用软件与服务 数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复 业务管理：对组织业务系统的监控与管理，CSF/KPI 目录/内容管理：组织的对内、外信息的管理 资产管理：包括物理与逻辑资产 信息安全管理： 日常工作管理：职责

6、分工，绩效考核，知识平台整理等 信息安全与IT运维10 什么是什么是ITIT运维运维我的定义我的定义 n 组织为实现业务目标而针对IT系统所采取的一切管理的总和， 可以分为两类：服务支持管理与服务交付管理。 n 服务支持包括： 事故管理 问题管理 配置管理 变更管理 发布管理 n 服务交付包括： 可用性管理 能力管理 服务水平管理 外包管理 信息安全与IT运维11 什么是什么是ITIT运维运维总结总结 n IT运维的目标 支撑组织业务目标 n IT运维的内容 服务交付 服务支持 IT运维 ITIL + Cobit + CISA + ISO20000 信息安全与IT运维12 提纲提纲 n 什么是

7、信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型 信息安全与IT运维13 信息安全与信息安全与ITIT运维的关系（运维的关系（1 1） n 安全是IT运维的重要组成模块，对于某些行业是关键模块 IT运维旨在谋求安全性与方便性 安全保障着价值 安全正在创造价值. 网上银行的安全性吸引了更多的消费者 商业秘密的安全措施使得组织更具竞争力 电子签名法的出台打消了使用者的安全疑虑 具有安全认证与强大容灾能力的邮件系统才能拥有海量的用户 信息安全与IT运维14 信息安全与信息安全与ITIT运维的关系（运维的关系（2 2） n

8、 安全与IT运维共有一个衡量标尺：组织业务目标 业务需求驱动信息安全与IT运维需求 信息安全与IT运维方案要适应业务流程 信息安全与IT运维方案要支撑业务的可持续发展 业务目标的调整驱使安全与IT运维的调整 投资与企业战略、风险状况密切相关 信息安全与IT运维15 信息安全与信息安全与ITIT运维的关系（运维的关系（3 3） n 安全贯穿了IT运维整个生命周期 安全与IT运维都是一个过程，而不是一次事件 每个IT运维流程都影响着安全的一个或者多个目标（C.I.A） 失去安全的IT运维是失败的运维 安全的成熟度模型与IT运维的标杆管理是吻合的 信息安全与IT运维16 信息安全与信息安全与ITIT

9、运维的关系（运维的关系（4 4） n IT运维与信息安全的融合 安全公司试水运维，安全产品强化管理、监控功能，支持 IT运维 运维支持类产品引入安全概念、集成安全技术 信息安全融入IT运维流程中 相关标准的认证工作可以同时进行（ISO20000/270001） 信息安全与IT运维17 信息安全与信息安全与ITIT运维的关系（运维的关系（5 5） n IT运维的趋势彰示着安全的未来 IT运维的标准化符合安全的“纵深防御”的理念 IT运维的流程化提高了安全的可管理性，为改进安全工作 提供条件 IT运维的自动化减少了人为失误，降低了安全的成本 信息安全与IT运维18 提纲提纲 n 什么是信息安全 n

10、 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型 信息安全与IT运维19 怎样开展信息安全治理（怎样开展信息安全治理（1 1） 1、规划 根据组织业务与组织文化，制定安全目标 对组织进行风险评估 制定安全基线 信息安全与IT运维20 怎样开展信息安全治理（怎样开展信息安全治理（2 2） 2、实施 根据安全基线，制定安全建设计划、投资回报计划 建立信息安全管理框架， 融合各种安全技术、产品，建设组织安全保障体系。 对关键流程制定BCP/DRP计划 信息安全与IT运维21 怎样开展信息安全治理（怎样开展信息安全治理（3 3） 3、

11、评估 参照Cobit，开展信息系统审计 根据组织的业务流程，建立基于“平衡积分卡”的绩效考 评机制 逐步分解“平衡积分卡”为若干个KPI/KGI/Metrics等， 参照安全基线发现差距 在尽量不影响业务连续性的前提下，采取有效演练手段， 确保BCP、DRP的有效性 信息安全与IT运维22 怎样开展信息安全治理（怎样开展信息安全治理（4 4） 4、维护 根据评估结果，进行流程改进 标杆管理，提高安全系统成熟度 持续改进，永不停止 信息安全与IT运维23 怎样开展信息安全治理（怎样开展信息安全治理（5 5） n 关于人. 上述步骤中，并没有列出“人”的因素，其实在整个安全 治理工作中，“人”是最

12、关键的因素。 对人的安全意识的培养、安全技能的教育伴随着整个安全 治理工作全程，不会仅限于某个特定步骤 信息安全与IT运维24 怎样开展信息安全治理（怎样开展信息安全治理（6 6） n 关于安全成熟度. 系统安全工程能力成熟模型（SSE-CMM）描述了一个组织的安全工程过程 必须包含的本质特征，这些特征是完善的安全工程保。包括6级。 SSE-CMM0: 未实施级 SSE-CMM1: 非正式实施级 执行基本实施 SSE-CMM2: 计划和跟踪级 规划执行，规范化执行，验证执行，跟踪执行 SSE-CMM3: 已定义级 定义标准过程，执行已定义过程，协调实施 SSE-CMM4: 可管理级 建立可测的

13、质量目标，客观的管理执行 SSE-CMM5: 持续改进级 改进组织能力，改进过程有效性 信息安全与IT运维25 怎样开展信息安全治理（怎样开展信息安全治理（7 7） n 关于绩效考评与平衡计分卡 没有绩效考评无法度量信息安全治理的输出 一般来讲，平衡计分卡从如下4个角度进行 财务角度 成本预算、投资回报等 客户角度 服务质量、客户满意度、需求解决、高效的IT服务台等 企业内部运营 业务流程效率、登录时间、故障发生率、故障平均修复时间 学习与成长 人才培养，技能发展等 信息安全与IT运维26 提纲提纲 n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作

14、 n 信息安全最佳实践 n 信息安全工作模型 信息安全与IT运维27 信息安全治理的最佳实践（信息安全治理的最佳实践（1 1） n 没有管理层支持的安全治理的结果只有一个：失败 确保资金、人员的支持 管理层的支持在一定程度上说明信息安全治理顺从组织业 务目标 怎样得到管理层的支持？ 信息安全与IT运维28 信息安全治理的最佳实践（信息安全治理的最佳实践（2 2） n 没有规划的安全治理，结果也是失败 信息安全治理是一个复杂的工程，没有规划只能失败 信息安全与IT运维29 信息安全治理的最佳实践（信息安全治理的最佳实践（3 3） n 遵循标准才能少走弯路 相关的标准与体系： ISO20000/2

15、70001 ITIL，Cobit，COSO 相关的法律： SOX302/404 信息安全等级管理办法 信息安全与IT运维30 信息安全治理的最佳实践（信息安全治理的最佳实践（4 4） n 信息资产分类/分级，实现有限投资的效益最大化 信息资产分类/分级并不是简单的资产清点 信息资产分类/分级为进一步的访问控制做准备 信息资产的分类以业务流程为参照，分级以重要性为参照 信息安全与IT运维31 信息安全治理的最佳实践（信息安全治理的最佳实践（5 5） n 建立纵深防御机制 纵深防御机制被认为是解决信息安全的最佳方法，是指在 信息系统中的多个点使用多种安全技术，从而减少攻击者 利用关键业务资源或信息

16、泄露到企业外部的总体可能性。 在消息传递和协作环境中，纵深防御体系可以帮助管理员 确保恶意代码或活动被阻止在基础结构内的多个检查点。 这降低了威胁进入内部网络的可能性。 怎样建立纵深防御机制？ 信息安全与IT运维32 信息安全治理的最佳实践（信息安全治理的最佳实践（6 6） n 预防为主，检测与纠正并举的安全控制措施 安全问题发生的阶段越靠后，解决安全问题付出的代价越 高。 信息安全拒绝完美主义，不要试图消除所有的风险 虽然不能消除所有的风险，但是可以管理所有风险 信息安全与IT运维33 信息安全治理的最佳实践（信息安全治理的最佳实践（7 7） n 安全治理是一个动态的过程，而非一次孤立事件

17、安全策略的建立不是安全的终点 安全产品的部署也不是安全的终点 安全治理根本没有终点，安全治理是一个循环 公司业务目标的调整对信息安全的影响 新技术、新产品的发展带来隐患或者机遇。wireless，IM， cc攻击等 信息安全与IT运维34 信息安全治理的最佳实践（信息安全治理的最佳实践（8 8） n 安全治理的过程就是发现并消除短木板的过程 信息安全的短木板在很多方面都存在 以信息防泄漏为例，大多数网关设备能支持访问控制，能 对邮件、网页、ftp等进行监控并过滤，但是仍然存在其他 途径可以泄漏信息，包括移动介质、无线通讯、以及近来 越来越普及的即时通讯工具。 信息安全与IT运维35 信息安全治

18、理的最佳实践（信息安全治理的最佳实践（9 9） n 安全的管理，归根结底是对人的管理 人的安全意识、安全操作、安全技能 信息安全中最重要的环节是人，最薄弱的环节也是人。 人可以解决技术、产品所不能解决的问题，比如Social Engineering Attack 人可以管理技术、产品的缺陷 信息安全与IT运维36 信息安全治理的最佳实践（信息安全治理的最佳实践（1010） n 参照但不照搬最佳实践 没有一个最佳实践能适应所有情况，包括上述9条:-) 信息安全与IT运维37 提纲提纲 n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型 信息安全与IT运维38 信息安全工作模型（图）信息安全工作模型（图） 实施实施 安全建设计划安全建设计划 投资回报计划投资回报计划 技术产品部署技术产品部署 BCP/DRP 评估评估 信息系统审计信息系统审计 绩效考核绩效考核 发现差距发现差距 BCP/DRP演练演练 维护维护 流程改造流程改造 持续改进持续改进 规划规划 业务目标业务目标 组织