《云安全方案思路20140827讲解》由会员分享,可在线阅读,更多相关《云安全方案思路20140827讲解(31页珍藏版)》请在金锄头文库上搜索。
1、云安全云安全 北京烟草云安全建设项目 云平台运维安全解决方案思路 云安全云安全 目标原则 设计理念 技术框架 规范体系 预期效果 目录 云安全云安全 目标 原则 云安全云安全 现状 北京烟草多年信息化建设 1.初步打破信息孤岛,采用SOA技术,建立企业总线,通过WS ETL 、MQ等方式实现数据共享,横纵惯通;系统安全数据安全尤为关 键! 2.在平台统一、资源统一的基础,正在积极构建北京烟草私有云;云 计算的落地,北京烟草整个资源将成为一个资源池,安全问题已经从 单独的设备应用,波及到整个设备及信息系统。 3.移动互联网在北京烟草的广泛应用,建立worklight平台,移动 互联网的应用越来越
2、多,面临如何解决移动安全。 云安全云安全 因素 三个“忽视” 重视安全技术,忽视安全管理 重视外部防护,忽视内部安全 重视产品购买,忽视产品使用 三个“缺乏” 缺乏统一安全架构规划与协调 缺乏信息安全组织与治理 缺乏信息安全意识教育与培训 有点无面 不成体系! 访问控制 SOC 身份认证 监控审计 内容安全 备份恢复 管理制度 云安全云安全 转变 事后安全 事前安全 被动安全主动安全 通过对人、行为、资源的量化管理,统一规范,流程再造,通 过规范的运维管理,保证北京烟草私有云平台的安全,彻底改变目 前救火队员的安全模式。 云安全云安全 方法 云安全方法论 从管理、技术和运维多个层面,全面 提升
3、北京烟草信息系统的安全性。从网 络、主机、平台、应用、数据等层面加强 防护措施,保障信息系统的机密性、完整 性和可用性,做到行为跟踪。 事前审批事前审批 事中监控事中监控 事后审计事后审计 云安全云安全 管理 原则 云安全管理三要素 全方位全方位 全流程全流程 全要素全要素 全要素:云安全体系中的基础和核心 全流程:安全保障运维执行工作的行事方法 全方位:安全工作的管理手段 实现北京烟草服务与数据的安全,有形 与无形的安全。 全生命周期管理全生命周期管理 云安全云安全 技术 原则 云安全IT技术原则 平台是IBM解决方案;was、ESB都是 IBM;多家产品集成,尽量采用商品化软 件;适当采用
4、开源,非关键环节适当 hadoop,前台界面界面适当采用微软或 是设计制作。 资资源统统 一 规规范统统 一 架构开放 技术简术简 洁洁 垂直管理 云安全云安全 设计 理念 云安全云安全 运维人运维人| |操作人操作人 安全 审计 安全 魔方 信息化资源信息化资源 运运维维| |操作行为操作行为 流流 程程 规规 范范 云安全云安全 安全魔方安全魔方 立方体安全服务立方体安全服务 资 源 管 理 安全 魔方 日常运维知识库 用 户 管 理 规范 流程 资源分类资源登记 资源跟踪 统一用户管理 管理指标 统一授权管理 证书中心 强认证管理 指标库 人人 资资 源源 规规 范范 映映 射射 关关
5、系系 事件知识库 运维知识库合规检查 安全审计 运维 任务驱动 事件驱动 结果结果 设备状态监控 系统运行监控 人员行为监控 工作流引擎 工作流执行 云安全云安全 魔方 举例 OA虚拟机扩容 云安全云安全 魔方 举例 网站无法登陆 云安全云安全 执行 难点 规范的量化 流程的梳理 知识库的建立 实施难点 角色设定 云安全云安全 技术 框架 云安全云安全 技术 框架 基于北京烟草现有技术路线设计的技术框架 云安全云安全 人员 管理 业务系统用户的日常操作行 为,本期请安成其应用系统 的安全规范及 介入标准 整个信息化运行维护,其中 包括物理设备运维、中间件 及平台软件运维以及业务系 统的日常运行
6、运维 人员人员管理管理 运维人员 操作人员 主管信息化及安全领分析决 策人员,对资源、运维人以 及人操作行为分析,全面了 解安全级别及隐患等 分析决策 账号管理 认证管理 授权管理 证书中心 服务器证书 客户端证书 强认证 双因素认证 统一认证服务 ESB企业总线 营销系统 OA系统 专卖系统 LDAP 云安全云安全 资源 管理 数据中心全部的软件,包括网络防火墙 策略、操作系统、中间件平台、数据 库、应用软件、虚拟化、以及人员行 为。 数据中心全部的硬件设备,包括电源、 防火、网络、安全、主机、机柜、存储 等等设备 资源管理资源管理 设备 软件 运行 监控 行为 监控 数据中心 监控管理 数
7、据中心 监控管理 资源分类 管理 资源维护 管理 资源盘点 管理 资源统一访问 ESB企业总线 网络安全 设备 操作系统 主机 服务器 中间件应用软件 云安全云安全 规范 管理 政府安全法规 安全管理规范 资源申请流程 烟草行业要求安全最佳实践 资源使用流程资源变更流程 指标库管理 云安全云安全 魔方 映射 安全总线(映射管理) 注册查询变更 人员管理资源管理规范管理 管理魔方 工作流引擎 查询 监控系统 查询 映射数据库 云安全云安全 监控 管理 谁的系统谁监控的原则 系统设备运行监控机房设备监控人员行为监控 ESB总线 网络设备监控 主机监控 虚拟环境监控 操作系统监控 中间件监控 数据库
8、监控 虚拟桌面 堡垒机隔离 RFID卡轨迹跟踪 生物技术识别 机房环境监控 RFID 机柜监控 RFID资产监控 云安全云安全 设备 监控 图形化展现资产状况 实时定位人员位置 身份卡+生物识别技术 RFID标签RFID读写器天线RFID手持读写器Tracking Server 手动扫描 特例处理 安装于机房门口 安装于机柜内 安装于吊顶内 资产Tag:安装在每 个设备上 人员Tag:随身携带 云安全云安全 应用 展示 安全仪表盘 立方体 数据源 以数据分析为主的安全仪表盘 监控数据 系统日志 BI 报表 工具 决策仪表盘 管理仪表盘 监控仪表盘 ETL OLAP 以流程管理为主的安全管理 E
9、SB 总线 服务和组件流程管理 流程编排 流程执行 流程监控 应用功能 IP地址修改任务 OA主机巡检任务 营销-F5宕机事件 交换机宕机事件 OA虚拟机内存扩充任务 营销系统巡检任务 OA-01中间件宕机事件 防火墙宕机事件 服务目录 组件目录 云安全云安全 规范 体系 云安全云安全 规范 架构 规 范 模 型 云安全规范体系 私有云安全规范体系 规范框架 IBM 云安全云安全 规范 分类 运行维护规范运行维护规范操作人员操作规范操作人员操作规范 设设 备备 规规 范范 系系 统统 规规 范范 平平 台台 规规 范范 业业 务务 系系 统统 终终 端端 安安 全全 北北 烟烟 安安 全全 规
10、规 范范 体体 系系 云安全云安全 预期 效果 云安全云安全 后期补充 分布实施计划 实施范围 实施内容 项目方案细化 以资源为核心 云安全云安全 预期 效果 资产统一资产统一 管理管理 安全统一安全统一 防范防范 服务统一服务统一 总线总线 数据统一数据统一 平台平台 全生命周期全生命周期 安全生态圈安全生态圈 l北京烟草有形、无形资产统一登记、跟踪、监控,以及组织架构、业务架构、IT 资产等,统一管理,构成三全管理模式; l在资产统一管理的前提下,对人、行为和资产进行统一的安全防范,提升北京 烟草的安全等级 ; l云安全应用平台采用SOA架构,安全服务统一注册管理,形成服务目录; l采用统一数据平台,结合上下文分析,进行全过程的分析及追溯; l北京烟草全要素的安全,从要素进入北京烟草开始,直到退出北京烟草,进行 全生命周期的安全管理。 云安全云安全 谢谢!
