收藏
下载资源

运营型企业如何提升IT安全管理能力精选ppt课件.ppt

上传人:资****亨 文档编号:125345777 上传时间:2020-03-17 格式:PPT 页数:52 大小:1.03MB
返回 下载 相关 举报
运营型企业如何提升IT安全管理能力精选ppt课件.ppt_第1页
第1页 / 共52页
运营型企业如何提升IT安全管理能力精选ppt课件.ppt_第2页
第2页 / 共52页
运营型企业如何提升IT安全管理能力精选ppt课件.ppt_第3页
第3页 / 共52页
运营型企业如何提升IT安全管理能力精选ppt课件.ppt_第4页
第4页 / 共52页
运营型企业如何提升IT安全管理能力精选ppt课件.ppt_第5页
第5页 / 共52页
点击查看更多>>
资源描述

《运营型企业如何提升IT安全管理能力精选ppt课件.ppt》由会员分享,可在线阅读,更多相关《运营型企业如何提升IT安全管理能力精选ppt课件.ppt(52页珍藏版)》请在金锄头文库上搜索。

1、运营型企业如何提升IT安全管理能力 作者 Tony Email tony26600882 欢迎同行们和我联系 企业四种信息安全管理模式 安全管理能力提升目标 安全规划重点实现目标 1 建立业务连续性计划实现业务连续性流程化 量化管理 2 规划访问控制和安全审计策略通过加强内控 实现合规管理 3 提升安全事件处理和应急能力提高安全事件的处理效率和成功率 4 业务系统等保三级安全评估实现业务系统基本符合等保三级要求 5 安全运维KPI考核体系实现安全运维工作的量化考核 关键安全能力项 1 业务连续性保障 2 访问控制和安全审 计 3 安全事件处理和应 急响应 4 等保三级评估 5 安全运维KPI量

2、化考 核 4 1 1 具备流程化管理能力 2 安全策略 安全制度和流 程文档化 并具有可实施 性 3 初步建立一个账号管理 认证管理 授权管理 审 计管理的综合技术平台 在一定程度上提高安全管 理的自动化程度 信息化系统具备通过等 保三级测评的安全状态 1 内部组织和人员安全 2 资产管理和物理安全 3 访问控制 4 通讯保障和运营维护 5 业务连续性要求 6 1 架构的完整性 从管理和技术上实现架构的完整规 划和建设 2 安全风险的控制和预防 对安全风险实施有效的管理 3 安全运维管理纳入公司的管理系统 建立安全运维工单管理系统 并和 公司的工单管理系统实现操作集成 和共享 建立安全运维管理

3、的KPI系统 并纳 入公司的考核体系 4 安全管理体系架构有较强的自适应能力 1 应对可能的安全新变化 2 对新上线业务系统的安全运维实现 快速支持 安全管理规划阶段成果 2 初步建立ISMS体系 建立一个完善的安全体 系架构 3 通过等保三级评测 第一阶段预期成果第二阶段预期成果 信息安全体系整体视图 安全策略管理 工程安全管理 安全信息管理 变更管理 日常运作管理 持续改进 自我评估 安全策略审核 安全策略改进 主机系统安全管理 补丁升级管理 网络服务安全管理办法 网络安全审计 业务系统安全管理 OA系统安全管理 日常安全维护管理 交易数据安全管理 计算机病毒预防管理 设备变更管理 日常安

4、全维护管理 网络设备安全管理 网络设备升级管理 设备变更管理 日常安全维护管理 防火墙安全管理 IDS IPS设备管理 数据库安全管理 日常安全维护管理 配置备份与恢复管理 远程接入维护安全管理 第三方网络接入安全 网络层 主机层 应用层 数据库层 机房安全管理 办公区安全管理 机房环境要求 需求分析管理 开发管理 测试管理 入网管理 变更管理 项目管理 SOX 等级保护 应用开发设计物理环境运营维护 应急响应流程 应急预案 应急演练 重大安全事件的处理机制 灾备管理 数据备份及恢复管理 容量规划 自我测评及第三方评估 业务可持续性保障 符合性 信息资产分类 信息资产分级 信息资产 资产管理维

5、护 项目采购管理 人员岗位管理 安全培训管理 安全管理机构及职责 IT安全规划 组织架构 安全管理 安全策略 组织架构及人员安全 授权机制 协调机制 第三方安全管理 人员安全管理 安全处罚条例 策略审核修订 认证 授权 访问控制 帐号管理 审计 建议在此框架下建立安全管 理体系 ISMS的文档结构表之一 II级文档 共71份 牵头部门控制项策略 制度 流程文件优先级生效时间 01 信息安全策略 9份 1 1 ISMS安全策略 1 1 2 文件控制程序 1 3 风险评估程序 1 4 风险管理程序 1 5 适用性声明 02 信息安全组织 3份 2 1 信息安全组织建设规定 1 03 资产管理 21

6、份 3 1 资产分类分级标准 1 3 2 设备管理程序 3 3 软件管理程序 3 4 档案管理程序 3 5 移动存储介质安全管理办法 1 3 6 禁用U盘自动运行操作指南 3 7 电脑设备主机命名规范 04 人力资源安全 11份 4 1 人员安全管理程序 4 2 第三方组织及人员安全管理办法 1 4 3 人员安全培训管理办法 1 05 物理和环境安 全 9份 5 1 物理和环境安全管理办法 5 2 机房区域安全管理规定 1 5 3 办公区域安全管理规定 06 通信和操作管 理 58份 6 1 外包服务管理程序 6 2 防病毒管理程序 1 6 3 本地网备份管理程序 1 6 4 信息系统备份管理

7、程序 1 ISMS的文档结构表之二 II级文档 共71份 牵头部门控制项策略 制度 流程文件优先级生效时间 01 信息安全策略 9份 1 1 ISMS安全策略 1 1 2 文件控制程序 1 3 风险评估程序 06 通信和操作管理 58份 6 1 外包服务管理程序 6 2 防病毒管理程序 1 6 3 本地网备份管理程序 1 6 4 信息系统备份管理程序 1 6 5 业务数据导出和修改管理程序 1 6 6 信息交换管理程序 6 安全基线配置规范 07 访问控制 24份 7 1 帐号及口令管理程序 1 7 2 网络设安全配置管理程序 1 7 3 系统访问管理规定 1 7 4 敏感数据访问管理办法 1

8、 7 5 计算机终端安全管理制度 1 7 6 第三方计算机接入网络规定 1 7 7 用户角色管理制度 1 08 信息系统获取 开发 和维护 14份 8 1 应用系统生命周期管理办法 1 8 2 软件开发管理办法 8 3 软件开发技术规范 8 4 软件安全技术指南 09 信息安全事件管理 9份 9 1 安全事件管理程序 1 9 2 信息安全奖惩管理规定 9 3 信息安全预警管理制度 1 9 4 信息安全应急预案 1 10 业务连续性管理 12份 10 1 业务连续性管理程序 1 10 2 基础设施故障处理流程 1 10 3 灾难备份及恢复实施指南 1 11 符合性 2份 11 1 符合性管理规定

9、 系统类别安全配置基线 中间件 Apache服务器安全配置基线 IIS服务器安全配置基线 Tomcat web服务器安全配置基线 Weblogic web服务器安全配置基线 Websphere web服务器安全配置基线 操作系统 AIX安全配置基线 HP Unix安全配置基线 Linux安全配置基线 MS windows安全配置基线 Solaris安全配置基线 数据库 DB2安全配置基线 SQL Server安全配置基线 Oracle安全配置基线 网络及安全设备 Cisco设备安全配置基线 Huawei设备安全配置基线 Juniper设备安全配置基线 加密机设备安全配置基线 天融信防火墙安全配

10、置基线 web应用 web应用安全配置基线 ISMS的建立过程 安全管理文档层次结构 第一层 策略和方针 policy 业务业务系统统的帐帐号多人共用 发发生安全事故难难于确定帐帐号 的实际实际使用者 帐帐号分散管理 用户经户经常需要在各个系统统之间间切换换 每次切 换换都需要输输入用户户名和密码进码进行登录录 影响 了工作效率 各业务业务系统统分别别管理所 属的系统资统资源和应应用资资 源 缺乏集中统统一的资资 源授权权管理平台 无法按 照最小权权限原则则分配权权 限 缺少严严格的认证认证手段 无法对对自然人进进行统统一 认证认证 当前维护工作现状分析 建设原则 建设原则要求 1 集中管理

11、集中管理用户 设备 系统账号 集中管理用户 系统账号的密码 所有用户集中登录 集中认证 集中配置账号密码策略 访问控制策略 集中管理所有用户操作记录 2 基于自然人的访问 控制策略 根据用户角色设置分组访问控制策略 实现 用户 系统 系统账号 的对应关系 实现实体级的访问控制授权 3 命令级的权限控制 可设置以命令为基础的权限控制策略 实现命令级别的实体内授权 4 多种审计手段 以用户身份为依据 真实完整的记录每个用户的所有操 作行为 精确到命令的审计机制 对用户的操作进行仿真回放 记录加密维护协议SSH数据 统统一用户户接入控制 以统一接入网关作为用户登录各应用资源 系统资源的统一入口 集

12、中控制用户访问的系统 实现用户登录门户的强认证 集中控制内部维护人员和外部代维人员访问IT资源 避免维护人员使 用不安全的终端直接访问系统 根据操作行为进行敏感度分集 通过文本和视频 日志方式完整记录 内部维护人员和厂家代维人员的访问及操作行为 为日志审计提供原 始资料 输出萨班斯审计需要的各类报表 输出报表能按照具体需求定制 授权权管理 实现系统资源和应用资源实体级的权限控制和管理 基于集中安 全管控策略的实体级访问控制和鉴权 实现本省系统资源和应用资源的自动采集或手动管理 对本省所有系统资源 应用资源 支持角色定义 支持基于角色 的授权 实体内的权限控制和管理 帐帐号口令集中管理 在统一用

13、户管理系统基础上 实现各IT资源帐号的集中管理 实现各 系统和应用帐号自动采集 实现对各系统资源和应用资源中的帐号进 行创建 分配 同步 实现各分公司统一用户目录中用户身份信息的规范化 将资源帐号和主帐号进行主从帐号关联 实现操作对应到人 建立用 户主帐号 从帐号关联关系的视图 强制口令修改 防范弱口令引发的安全事件 输出萨班斯审计需要的各类报表 根据本省具体需求定制 日志集中管理与审计审计 支持系统 访问日志的收集和统一的日志格式标准化 能将从系统侧采集的日志和在统一用户接入点形成的文本或视频日志 关联 实现将日志信息关联到用户主帐号 自然人 能对自然人的登录过 程 关键操作行为进行审计 快

14、速检索原始日志 支持安全事件事后责任调查 根据预先定义规则发现高危操作 及时告警 能够审计发现绕开4A系统直接登录被维护对象的行为 输出萨班斯审计报表 输出报表可根据具体需求定制 安全访问控制与审计建设 要求 访问控制和审计 过程和成果 人员角色管理 资源账号整理 组织架构 人员角色和职责 描述 自然人账号 主 账号 的规划 系统资源的操作 权限规划 资源账号 从账 号 的整理 第三方厂商账号 规划 安全策略技术平台建 设 4A管理 过程 内容 成果 1 组织及人员安全 管理规范 2 第三方组织及人 员安全管理规范 3 资源账号管理办 法 账号策略 认证策略 授权策略 审计策略 1 用户角色管

15、理规 范 2 账号口令管理规 范 3 访问权限管理规 范 4 系统安全审计管 理规范 1 运维统一接入控 制平台 1 4A平台的维护 管理办法 3A系统 实现 账号 授权 认 证的集中管理 审计系统 实现 对自然人的行为 和IT操作行为的 审计和关联分析 定期的策略更新 和维护 定期的日志分析 和审阅 ISMS相关域的管理文档 技术平台 II级文档III级文档 安全领域策略 制度 流程文件记录 表格文件 04 人力资源 安全 4 1 人员安全管理程序 4 1 1 离职申请书 4 2 第三方组织及人员安全 管理办法 4 2 1 代维人员岗位信息安全保证书 4 2 2 代维人员转岗或离岗申请书 4

16、 2 3 系统代维工作备案表 4 2 4 系统代维工作汇报 4 2 5 系统代维工作考核记录表 4 3 人员安全培训管理办法 4 3 1 员工培训及考核记录 4 3 2 第三方人员培训及考核记录 07 访问控制 7 1 帐号及口令管理程序 7 1 1 帐号申请表 7 1 2 帐号变更申请表 7 1 3 超级帐号申请审批表 7 1 4 第三方帐号申请审批表 7 1 5 帐号移交表 7 1 6 口令重置申请表 7 1 7 帐号清单审核表 7 1 8 内置帐号口令修改记录表 7 1 9 第三方帐号回收记录表 7 2 网络设备安全配置管理 程序 7 2 1 网络设备安全配置列表 7 2 2 网络设备安全配置变更申请表 7 3 系统访问管理规定 7 4 敏感数据访问管理办法 7 4 1 数据敏感区访问流程表 7 4 2 业务数据提取记录表 7 5 计算机终端安全管理制 度 7 5 1 计算机终端接入局域网申请表 7 5 2 联网计算机登终端记表 7 6 第三方计算机接入网络 规定 7 6 1 第三方计算机接入网络申请表 7 7 用户角色管理制度 7 7 1 用户角色申请变更登记表 2 管理成果

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号