构建信息安全保障体系-使命原则框架执行和实践

构建信息平安保障体系

——使命、原那么、框架、执行和实践2006年11月三观论实现层运营层技术人员过程决策层宏观微观中观摘要使命——27号文原那么——风险管理框架——信息平安保障框架执行IT风险管理的业务化从风险管理到合规性管理实践平安域平安管理平台使命问题什么是信息平安？到底要解决那些问题？怎么实施信息平安建设？问题什么是信息平安？通过答复最根本的问题，帮助我们探究事物的本原。到底要解决那些问题？明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。怎么实施信息平安建设？通过答复最实际的问题，帮助我们获得需要的实效。三法那么Q3-WWH 三问题：什么/为什么/怎么中办发[2003]27号国家信息化领导小组关于加强信息平安保障工作的意见〔2003年8月26日〕加强信息平安保障工作-总体要求加强信息平安保障工作-主要原那么加强信息平安保障工作-九项任务原那么原那么——风险管理风险管理了解威胁了解资产和业务了解保障措施平安的三个相对性原那么平安没有绝对，没有100%实践平安相对性的三个原那么风险原那么——适合商业机构生存原那么——适合强力机构保镖原那么——适合涉密机构风险管理ISO13335中的风险管理的关系图ISO13335以风险为核心的平安模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论根底风险评估的国家标准国信办报告中的风险９要素关系图平安管理平台中实时风险监控的理论根底德国ITBPM最精简的风险管理３要素三法那么Q3-WWH R3-AST 三问题：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁了解威胁威胁趋势内部威胁和物理威胁系统的环境越来越复杂系统自身的结构越来越复杂内部发生恶意和非恶意的可能性越来越大威胁传递和放大的情况更加严重威胁的总结恶意代码人为发起的越权和入侵类病毒、蠕虫等传播类发起的拒绝效劳攻击类违规操作误操作违规业务恶意信息恶意传播有害信息垃圾信息〔垃圾短信、垃圾邮件等〕信息泄漏物理问题设备故障环境事故自然灾害了解资产和业务怎么了解资产和业务〔IT相关〕机构典型的ITA及其平安思维公共网络广域网络对外发布对外业务渠道核心业务内部业务OA、财务等业务支撑平安保障异地内网异地灾备机构内网ITA分析初探-层次物理和环境网络与通信主机和系统应用和业务数据和介质人员和组织使命和价值ITA分析初探-分布式从平安角度梳理网络结构的主要方法节点路径法子网边界法平安域方法子网和边界分析路径和节点分析中国移动2004年的6个试点工程平安域划分与边界整合效劳与端口管理生产终端统一管理平安帐号口令平安补丁与版本管理平安预警边界接入域互联网接入区计算环境一般服务区计算环境域计算环境核心区网络基础设施域支撑性设施域骨干区汇集区接入区安全系统网管系统其它支撑系统外联网接入区内联网接入区计算环境重要服务区内部网接入区通过平安域理解6个试点工程的安排平安域划分与边界整合效劳与端口管理生产终端统一管理平安帐号口令平安补丁与版本管理平安预警运营商的业务特色承载网支撑系统经营分析决策系统内部后勤式系统电力系统二次安防的思路某涉密广域网的特色业务没有基于大型的信息系统业务小型业务部门自成业务单元各个业务部门之间主要是一些协同数据共享业务平安特色强调小网平安，自成小型防护体系内部大网强调全局监控，提供承载标准数据共享，保证平安防止泄密某涉密办公网的特色银行的业务特征内部经营决策分析系统—OLAP对外核心业务系统—OLTP后台核心计算渠道服务界面了解保障措施保障体系的实际组成平安管理平台成为一个值得考虑的选择漏洞评估中心事件监控中心风险分析决策支持与预警系统响应管理系统显示报告ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台知识库外部协同用户管理安全知识管理平台自身安全三法那么Q3-WWH R3-ASTP3-CSP 三问题：什么/为什么/怎么风险三要素：资产业务/保障措施/威胁产品三形态：部件产品/效劳/平台框架框架最精简的风险管理３要素：R3-AST信息平安保障框架资产清单面向网络拓扑基于平安域/业务域基于业务流分析……信息平安保障框架脆弱性管理告警管理事件管理预警管理威胁管理……信息平安保障框架通过S3-PPT方法展开保障措施三法那么Q3-WWH R3-ASTP3-CSPV3-MMMS3-PPTT3-PDR 保障框架-措施27号文的框架分析等级保护风险评估监控体系应急体系信任体系法制建设标准化建设人才培养全民意识保证资金责任制产品的框架分析IDS应用审计SAN防垃圾平安管理中心Scanner远程数据热备IPS防病毒加密机双因子PKI平安效劳体系的框架分析评估加固教育培训MSS应急响应平安集成风险评估管理咨询体系设计方案的框架分析平安监控体系平安审计体系平安防护体系应急恢复体系网络信任体系平安管理体系最正确实践建议执行执行——风险管理的落实IT风险管理的业务化将IT风险管理〔信息平安〕融合到业务平安中去从风险管理到合规性管理国际风险管理趋势——业务化IT平安风险成为企业运营风险中最为重要的一个组成局部，业务连续性逐渐与平安并行考虑来源：Gartner案例分析：瑞士联合银行UBS的风险观点瑞士联合银行UBS的风险观点UBS风险包原始风险间接风险信用风险市场风险流动性和融资风险交易过程风险合规风险法律风险税收风险安全风险责任风险UBS－将机构平安问题组织化UBS－策略和组织的保证UBS－风险管理组织UBS－风险报告合规性管理——需求驱动力的变化需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance问题型需求驱动的特点体系化需求驱动的特点合规性需求驱动的特点常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有效的合规性要求要简单和明确当前典型的“规〞企业信息平安保障能力成长阶段划分成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%企业信息平安保障能力成长阶段划分成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%盲目自信阶段普遍缺乏平安意识，对企业平安状况不了解，未意识到信息平安风险的严重性认知阶段通过信息平安风险评估等，企业意识到自身存在的信息平安风险，开始采取一些措施提升信息平安水平改进阶段意识到局部的、单一的信息平安控制措施难以明显改善企业信息平安状况，开始进行全面的信息平安架构设计，有方案的建设信息平安保障体系卓越运营阶段信息平安改进工程完成后，在拥有较为全面的信息平安控制能力根底上，建立持续改进的机制，以应对平安风险的变化，不断提升平安控制能力各个阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%根本平安产品部署主要人员的培训教育建立平安团队评估并了解现状各个阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%启动信息平安战略工程设计信息平安架构建立信息平安流程完成信息平安改进工程各个阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%信息平安流程的持续改进需求驱动力向“合规性〞的转化

带来客户价值和产业时机需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance实践中观落实的思想方法面向实效的目标躲避最坏情况，追求较高要求，满足最低要求需求筐架来自内部来自外部主动引导体系化政策性被动要求问题型合规性中观落实的思想方法宏观微观中观中观落实的思想方法中观落实的思想方法域平安域的概念广义的平安域概念是具有相同和相似的平安要求和策略的IT要素的集合。这些IT要素包括：策略和流程物理环境网络区域业务和使命人和组织主机和系统资产结构化-平安域平安域方法归根到底就是用结构将微观的大量资产和其他平安要素，有序地展现在宏观层面美国NSA的IATF启明星辰的3+1平安域方法边界接入域网络互联域管理支撑域（网络管理和安全管理等）计算服务域围绕平安域落实相关工作平安域的等级化依据平安域安排分阶段工作通过平安域调整完成网络平安改造通过平安域分析实现业务流转平安分析围绕平安域完成平安产品和效劳的部署边界、内、外、相连、远程连接…根据平安域的不同等级给予投入，形成整体的效益最正确…中观落实的思想方法鸟瞰图平安管理平台成为检测和响应能力的汇总点平台应当发挥的作用宏观微观中观功能体系结构漏洞评估中心事件/流量/运行监控中心风险分析决策支持与预警系统响应管理系统显示报告体系结构示意图ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台统一信息知识库外部协同用户管理安全知识管理平台自身安全实时监控的可视化显示实时监控内容监控对象、事件类型、风险级别〔5级〕、发生时间、源地址、目标地址、协议类型、时间间隔等显示方式拓扑链接图GIS地理图交互式图表设备状态视图报表管理状态监控-客户实景某客户平安管理平台的实景落实信息平安工作的思路根底性组织化——教育培训工具化——成熟的产品风险评估——成熟的效劳