构建信息安全保障体系——使命原则框架执行和实践

1、构建(u jin)信息安全保障体系使命、原则、框架、执行和实践2006年11月共一百零六页三观(sn un)论实现层运营层技术人员过程决策层宏观(hnggun)微观中观共一百零六页摘要(zhiyo)使命(shmng)27号文原则风险管理框架信息安全保障框架执行IT风险管理的业务化从风险管理到合规性管理实践安全域安全管理平台共一百零六页使命(shmng)共一百零六页问题(wnt)什么是信息安全？到底要解决那些(nxi)问题？怎么实施信息安全建设？共一百零六页问题(wnt)什么是信息安全？通过回答最根本的问题(wnt)，帮助我们探究事物的本原。到底要解决那些问题？明确工作的目标和要求，从一个大的广

2、泛的概念中寻找自身的定位。怎么实施信息安全建设？通过回答最实际的问题，帮助我们获得需要的实效。共一百零六页三法则(fz)Q3-WWH三问题：什么(shn me)/为什么(shn me)/怎么共一百零六页中办发200327号国家信息化领导小组关于加强(jiqing)信息安全保障工作的意见（2003年8月26日）共一百零六页加强(jiqing)信息安全保障工作-总体要求总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障(bozhng)基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。共一百零六页加强信息安全保障工作-主

3、要(zhyo)原则主要原则：立足国情(guqng)，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。共一百零六页加强(jiqing)信息安全保障工作-九项任务系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究，推进产业发展法制建设、标准化建设人才培养与全民安全意识保证(bozhng)信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制共一百零六页原则(yunz)共一百零六

4、页原则(yunz)风险管理风险管理了解(lioji)威胁了解资产和业务了解保障措施共一百零六页安全(nqun)的三个相对性原则安全没有绝对，没有100%实践安全相对性的三个原则(yunz)风险原则适合商业机构生存原则适合强力机构保镖原则适合涉密机构共一百零六页风险管理风险管理的理念从90年代开始，已经逐步成为引导(yndo)信息安全技术应用的核心理念共一百零六页ISO13335中的风险管理的关系(gun x)图共一百零六页ISO13335以风险(fngxin)为核心的安全模型风险(fngxin)防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础

5、共一百零六页风险评估(pn )的国家标准共一百零六页国信办报告(bogo)中的风险要素关系图安全管理平台中实时风险监控的理论(lln)基础共一百零六页德国ITBPM共一百零六页最精简(jngjin)的风险管理要素共一百零六页三法则(fz)Q3-WWHR3-AST三问题(wnt)：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁共一百零六页了解(lioji)威胁共一百零六页威胁(wixi)趋势外部威胁环境危害的频度、范围越来越大威胁的方面越来越综合攻击的技术含量越来越大攻击的技术(jsh)成本越来越低攻击的法律风险还难于真正体现 内部威胁和物理威胁系统的环境越来越复杂系统自身的结构越来越复

6、杂内部发生恶意和非恶意的可能性越来越大威胁传递和放大的情况更加严重共一百零六页威胁(wixi)的总结恶意代码人为发起的越权(yu qun)和入侵类病毒、蠕虫等传播类发起的拒绝服务攻击类违规操作误操作违规业务恶意信息恶意传播有害信息垃圾信息（垃圾短信、垃圾邮件等）信息泄漏物理问题设备故障环境事故自然灾害共一百零六页针对(zhndu)威胁的主要技术针对恶意代码防火墙、防病毒、入侵检测(jin c)、漏洞扫描违规操作流量监控、审计、应用系统安全措施恶意信息内容监控、内容过滤、加密物理问题容灾、备份共一百零六页了解资产(zchn)和业务共一百零六页怎么(zn me)了解资产和业务（IT相关）分析(fn

7、x)信息体系架构ITA业务系统网络分布形态系统的层次性技术和管理时间（生命周期）价值（资产价值、影响价值、投入） 共一百零六页机构典型的ITA及其安全(nqun)思维公共(gnggng)网络广域网络对外发布对外业务渠道核心业务内部业务OA、财务等业务支撑安全保障异地内网异地灾备机构内网共一百零六页ITA分析(fnx)初探-层次物理(wl)和环境网络与通信主机和系统应用和业务数据和介质人员和组织使命和价值共一百零六页ITA分析(fnx)初探-分布式从安全角度(jiod)梳理网络结构的主要方法节点路径法子网边界法安全域方法子网和边界分析路径和节点分析共一百零六页中国移动2004年的6个试点(sh

8、din)项目安全域划分与边界整合服务与端口管理生产终端统一(tngy)管理安全帐号口令安全补丁与版本管理安全预警共一百零六页边界接入域互联网接入区计算环境 一般服务区计算环境域计算环境 核心区网络基础设施域支撑性设施域骨干区汇集区接入区安全系统网管系统其它支撑系统外联网接入区内联网接入区计算环境 重要服务区内部网接入区通过(tnggu)安全域理解6个试点项目的安排安全域划分与边界(binji)整合服务与端口管理生产终端统一管理安全帐号口令安全补丁与版本管理安全预警共一百零六页运营商的业务(yw)特色承载网支撑系统经营分析决策系统内部后勤式系统共一百零六页电力系统(din l x tn)二次安防

9、的思路共一百零六页某涉密广域网的特色(ts)业务没有(mi yu)基于大型的信息系统业务小型业务部门自成业务单元各个业务部门之间主要是一些协同数据共享业务安全特色强调小网安全，自成小型防护体系内部大网强调全局监控，提供承载规范数据共享，保证安全防止泄密共一百零六页某涉密办公网的特色(ts)将系统(xtng)和网络进行一个典型分割，分别解决安全问题边界（物理隔离、防火墙、防病毒网关、入侵检测）内网（VLAN、流量监控、异常监控）客户端接入区/OA区（非法外联、补丁管理、PC防病毒、内网综合治理）服务器区（服务器加固、入侵检测）安全支撑（漏洞扫描）共一百零六页银行的业务(yw)特征内部(nib)经

10、营决策分析系统OLAP对外核心业务系统OLTP后台核心计算渠道服务界面共一百零六页了解保障(bozhng)措施共一百零六页保障体系的实际(shj)组成共一百零六页技术环境(hunjng)当前主流的基本安全产品加密防病毒防火墙入侵检测漏洞扫描身份(shn fen)认证VPN 共一百零六页技术环境当前主流的基本安全(nqun)服务咨询服务整体框架规划和设计评估加固服务对于主机(zhj)和网络进行技术评估和加固风险评估服务对系统的整体风险进行评估并对风险管理提供设计渗透性测试服务安全教育和培训 共一百零六页安全管理(gunl)平台成为一个值得考虑的选择漏洞评估中心事件监控中心风险分析决策支持与预警系

11、统响应管理系统显示报告ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台知识库外部协同用户管理安全知识管理平台自身安全共一百零六页三法则(fz)Q3-WWHR3-ASTP3-CSP三问题：什么/为什么/怎么(zn me)风险三要素：资产业务/保障措施/威胁产品三形态：部件产品/服务/平台共一百零六页框架(kun ji)共一百零六页框架(kun ji)共一百零六页最精简(jngjin)的风险管理要素：R3-AST共一百零六页信息安全保障(bozhng)框架资产清单(qngdn)面向网络拓扑基

12、于安全域/业务域基于业务流分析 共一百零六页信息安全保障(bozhng)框架脆弱性管理(gunl)告警管理事件管理预警管理威胁管理 共一百零六页信息安全保障(bozhng)框架通过S3-PPT方法展开(zhn ki)保障措施共一百零六页技术功能(gngnng)是T3-PDR的衍生共一百零六页三法则(fz)Q3-WWHR3-ASTP3-CSPV3-MMMS3-PPTT3-PDR三问题：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁产品三形态：部件产品/服务(fw)/平台三观论：宏观/中观/微观保障：人员组织/过程/技术技术：防护/检测/响应共一百零六页保障(bozhng)框架-措施共一百

13、零六页27号文的框架(kun ji)分析等级(dngj)保护风险评估监控体系应急体系信任体系技术和产业法制建设标准化建设人才培养全民意识保证资金责任制共一百零六页产品的框架(kun ji)分析IDS应用(yngyng)审计防火墙SAN防垃圾安全管理中心Scanner远程数据热备IPS防病毒加密机双因子PKI共一百零六页安全服务体系的框架(kun ji)分析评估(pn )加固教育培训MSS应急响应安全集成风险评估管理咨询共一百零六页体系设计方案的框架(kun ji)分析安全监控体系(tx)安全审计体系安全防护体系应急恢复体系网络信任体系安全管理体系共一百零六页最佳(zu ji)实践建议教育和培训

14、成熟产品防病毒、防火墙、VPN、入侵(rqn)检测、漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安全域监控体系、安全监控管理中心事件管理体系、应急体系共一百零六页执行(zhxng)共一百零六页执行(zhxng)风险管理的落实IT风险管理的业务化将IT风险管理（信息安全(nqun)）融合到业务安全(nqun)中去从风险管理到合规性管理共一百零六页国际(guj)风险管理趋势业务化IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐(zhjin)与安全并行考虑来源：Gartner共一百零六页案例分析：瑞士联合银行UBS的风险(fngxin)观点共一百零六页瑞士联合银行UBS的

15、风险(fngxin)观点共一百零六页UBS将机构安全(nqun)问题组织化共一百零六页UBS策略和组织(zzh)的保证共一百零六页UBS风险管理组织(zzh)共一百零六页UBS 风险(fngxin)报告共一百零六页合规性管理(gunl)需求驱动力的变化需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance共一百零六页问题型需求驱动(q dn)的特点问题常常来源于客户实际问题常常是不成体系的（看起来）需求(xqi)满足常常是“头痛医头，脚痛医脚”问题解决要求很快，追求速效问题所带来的需求都非常实在问题解决办法常常体现为面

16、向脆弱性安全比如：防病毒、入侵检测、防火墙等共一百零六页体系化需求(xqi)驱动的特点常常来源于从专家和厂商而来的技术推动(tu dng)客户零散的问题，被内外部专家提炼看起来成体系，但是因为有抽象，和实际总是有些差别常常表现为：面向结构性安全比如：保障体系、可信计算、管理平台等由于各个因素的牵扯，所以见效较慢完全靠体系来驱动，力度常常不足共一百零六页政策性需求驱动(q dn)的特点常常来源于上级机构和主管机构虽然不追求完美的体系，但是政策性要求有一定整体性政策性要求不是强制性的，有一定的灵活性常常表现为：一些(yxi)要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足共一百

17、零六页合规性需求(xqi)驱动的特点常常来源于上级(shngj)机构和主管机构强制性、具有极强的推动力和约束力有效的合规性要求要简单和明确共一百零六页当前(dngqin)典型的“规”萨班斯-奥克斯利法案 SOX新巴塞尔资本协议 Basel II银监会200663号文银行业金融机构信息系统管理指引 国资发改革2006108号文中央企业全面风险管理指引 等级保护 公通字20067号文信息安全等级保护管理办法试行(shxng)涉密分级保护涉及国家秘密的信息系统分级保护技术要求 共一百零六页企业信息安全保障能力(nngl)成长阶段划分成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企

18、业在不同阶段的百分比分布来源：Gartner Inc. 2006年1月30%50%15%5%共一百零六页企业信息安全保障能力成长(chngzhng)阶段划分成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc. 2006年1月30%50%15%5%盲目自信阶段普遍缺乏安全意识(y sh)，对企业安全状况不了解，未意识(y sh)到信息安全风险的严重性认知阶段通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平改进阶段意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行

19、全面的信息安全架构设计，有计划的建设信息安全保障体系卓越运营阶段信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力共一百零六页各个(gg)阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc. 2006年1月30%50%15%5%基本安全(nqun)产品部署主要人员的培训教育建立安全团队制定安全方针政策评估并了解现状共一百零六页各个阶段的主要工作(gngzu)任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在

20、不同阶段的百分比分布来源：Gartner Inc. 2006年1月30%50%15%5%启动信息安全战略(zhnl)项目设计信息安全架构建立信息安全流程完成信息安全改进项目共一百零六页各个(gg)阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc. 2006年1月30%50%15%5%信息安全流程(lichng)的持续改进追踪技术和业务的变化共一百零六页需求驱动力向“合规性”的转化带来客户价值(jizh)和产业机会需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Pr

21、oblem合规性Compliance共一百零六页实践(shjin)共一百零六页中观落实的思想(sxing)方法面向实效的目标(mbio)规避最坏情况，追求较高要求，满足最低要求需求筐架来自内部来自外部主动引导体系化政策性被动要求问题型合规性共一百零六页中观落实的思想(sxing)方法面向实效的目标(mbio)管理与技术的平衡共一百零六页管理(gunl)与技术的平衡“坚持(jinch)管理与技术并重”三分技术，七分管理从管理着眼，从技术入手管理驱动技术 技术实现管理宏观微观中观共一百零六页中观落实的思想(sxing)方法面向实效的目标管理与技术的平衡(pnghng)从管理着眼，从技术入手管理驱动

22、技术，技术实现管理共一百零六页中观落实(lush)的思想方法面向(min xin)实效的目标管理与技术的平衡落实中观运作的着手之处共一百零六页域共一百零六页安全(nqun)域的概念广义的安全域概念(ginin)是具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括：策略和流程 物理环境网络区域业务和使命人和组织主机和系统共一百零六页资产(zchn)结构化-安全域安全域方法归根到底就是(jish)用结构将微观的大量资产和其他安全要素，有序地展现在宏观层面共一百零六页美国(mi u)NSA的IATF共一百零六页启明星辰的3+1安全(nqun)域方法边界接入域网络互联域管理支撑域（网络管

23、理和安全管理等）计算服务域共一百零六页围绕安全域落实(lush)相关工作安全域的等级化依据安全域安排分阶段工作通过安全域调整完成网络安全改造(gizo)通过安全域分析实现业务流转安全分析围绕安全域完成安全产品和服务的部署边界、内、外、相连、远程连接根据安全域的不同等级给予投入，形成整体的效益最佳共一百零六页中观落实(lush)的思想方法面向(min xin)实效的目标管理与技术的平衡落实中观运作的着手之处擦亮中观运作的眼睛共一百零六页鸟瞰图共一百零六页共一百零六页安全管理平台成为(chngwi)承上启下的技术手段安全(nqun)管理平台成为检测和响应能力的汇总点共一百零六页平台应当发挥(fhu

24、)的作用决策层面 .从业务风险层面理解安全事件计算和跟踪安全投资回报率运营层面准确分析现有系统(xtng)的威胁确定安全事件的优先顺序理顺安全事件管理的流程 技术层面集中管理不同的安全设备综合分析分布的安全报警宏观微观中观共一百零六页功能(gngnng)体系结构漏洞评估中心事件/流量/运行监控中心风险分析决策支持与预警系统响应管理系统显示报告体系结构示意图ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台统一信息知识库外部协同用户管理安全知识管理平台自身安全共一百零六页实时监控(jin kn)的可视化显示实时监控内容监控对象、事件类型、风险级别（5级）、发生时间、源地址、目标地址、协议类型、时间间隔等显示方式拓扑链接(lin ji)图GIS地理图交互式图表