《IM15-信息安全管理资料讲解》由会员分享,可在线阅读,更多相关《IM15-信息安全管理资料讲解(35页珍藏版)》请在金锄头文库上搜索。
1、管理科学与工程教研室,人文经管学院,信息管理概论,Information Management,涂 庆,信息管理概论的主要内容,绪论 信息管理的概念基础 信息生命周期管理 信息资源管理 信息系统管理 信息市场管理 信息安全管理 信息平台管理 信息人文管理 信息管理的发展前沿,7.3 信息安全管理体系,俄罗斯作家克雷洛夫的著名寓言天鹅、梭子鱼和虾,一天,梭子鱼、虾和天鹅,想把一辆小车从大路上拖下来:三伙一齐负起沉重的担子。 它们用足狠劲,身上青筋根根暴露;无论它们怎样地拖呀,拉呀,推呀,小车还是在老地方,一码也没有移动。 倒不是小车重得动不了,而是另有缘故:天鹅使劲儿往上向天空直提,虾一步步向后
2、拖,梭子鱼又朝着池塘拉去。,应用到信息安全管理上?,信息安全管理体系,7.3 信息安全管理体系,OPSEC目的就是解决目前各种安全产品间的联动互操作性问题 : OPSEC解决了当前多厂商解决方案面临的最大难题互操作性和管理的复杂性,避免了选择多个厂商的产品带来的产品集成和灵活性的限制。 OPSEC提供的开放平台,扩展了Check Point SVN (Secure Virtual Network)的体系结构,对OPSEC合作伙伴来说,与SVN的集成无疑为参与市场竞争提供了较好的解决方案;对客户来说,用OPSEC集成意味着选择最好的产品和服务,而不用去担心它们之间的互操作性。,信息安全管理平台,
3、7.3 信息安全管理体系,OPSEC联盟成立于1997年向用户提供完整的、能够在多厂商之间进行紧密集成的网络安全解决方案,今天,它已经有了超过270个合作伙伴。OPSEC是以 Check Point作为核心,力争向用户提供在网络安全方面最好的集成应用,力争向用户提供最好的安全性以及中央的、企业级的安全策略管理。 OPSEC联盟分为两大部分:一部分提供集成的应用程序,它由许多IT厂商组成,这些厂商提供了被Check Point OPSEC认可的、并且与OPSEC构架兼容的产品;另一部分提供基于Check Point平台的安全服务,这部分厂商向用户提供基于Check Point解决方案的市场领先的
4、硬盒子产品(Appliance)以及互联网设备和服务器。 保护信息和网络安全的关键在于建立一个完整的Internet 安全架构:集成不同安全厂商的最优秀的产品来满足用户对多层次安全性的需求。集成和管理性是架构这样一个平台的关键。安全管理不仅要求能够提供网络整体的安全策略,而且能够将这些安全策略应用到多种安全技术中去,例如:防火墙、VPN、QoS服务、报表管理甚至合理的系统配置。Check point的虚拟安全网络(Secure Virtual Network)体系和OPSEC提供了业界领先的Internet安全解决方案。真正地实现了客户网络安全需求,解决了客户网络安全中面临的各种挑战。,7.3
5、 信息安全管理体系,信息安全管理平台,OPSEC涉及到所有的业务保护,个人通讯服务,寄存器,指令,电话,代码,买卖,通过OPSEC,Check Point同业界领先的应用厂商和客户建立了良好的合作关系,并向最终用户提供在复杂网络环境中的开放式安全体系架构,实现用户端到端的安全。 通过公开的API、工业标准的协议和高级编程语言,可以轻松实现OPSEC集成。OPSEC向第三方产品提供了一个单一的结构集成到Check Point SVN的方方面面。第三方厂商可以通过以下途径来获得OPSEC的认证。 OPSEC Software Development Kit(SDK),它允许与Check Point
6、业界领先的SVN体系集成在一起。SDK提供非常清楚的接口定义,帮助其他厂商轻松地实现同VPN-1/Firewall-1,FloodGate-1和Meta IP的集成。 工业标准接口和协议,它提供详细的规范,保证多厂商产品之间的互操作性和认证标准。 Check Point INSPECT语言,它利用VPN-1/Firewall-1和FloodGate-1,增加应用来支持从通信到应用层的所有信息的截取、分析和控制。 嵌入的Check Point INSPECT虚拟机或完整的VPN-1/Firewall-1代码集,它允许第三方厂商将Check Point技术嵌入到其系统或硬盒子中(Appliance
7、)。 由于API隐藏了协议和网络中的复杂技术,使得编程工作变得较为简单。为了提供额外的安全性,使用OPSEC SDK创建的应用还能够利用SSL对客户和服务器之间的所有OPSEC通信实施加密。,7.3 信息安全管理体系,7.3 信息安全管理体系,OPSEC与多项功能联动与内容安全联动内容安全允许用户扫描经过网络的所有数据包内容。例如:病毒、恶意Java或AcitveX程序等。Check Point提供的CVP API定义了异步接口将数据包转发到服务器应用程序,去执行内容验证,用户可以根据多种标准来验证内容的安全。与Web资源联动UFP(URL Filtering Protocol)定义了Clie
8、nt/Server异步接口来分类和控制基于特定URL地址的通信,防火墙上的UFP客户端将URL传送到UFP服务器上,UFP服务器使用动态分类技术将URL进行分类,防火墙则根据安全规则的定义对分类进行处理。对客户来说,通过中央的安全策略管理即可实现高效的Web资源管理。与入侵检测联动SAMP (Suspicious Activity Monitorng Protocol)API定义了入侵检测应用同VPN-1/Firewall-1通信的接口。入侵检测引擎使用SAMP来识别网络中的可疑行为,并通知防火墙处理。另外SAMP应用可以使用其他OPSEC接口和API来发送日志、告警和状态信息到VPN-1/F
9、irewall-1管理服务器。与认证联动 Check Point提供了一个开放式集成环境,第三方的PKI能紧密地与Check Point集成在一起(VPN-1 Gateway、VPN-1 SecureClient)。开放的PKI使得管理员能够选择最大限度满足要求的PKI解决方案。,7.3 信息安全管理体系,2003年,启明星辰推出了泰合信息安全运营中心系统 (泰合SOC) 启明星辰公司专门为中小型网络规模用户定制开发了泰合信息安全运营中心系统标准版,该版本SOC主要针对安全设备数量(Device数)在30台以下,主机数在500台以下,政府、军队、军工、能源等行业以及其他中小型网络规模用户,为用
10、户提供了标准通用模块,包括事件收集模块、事件分析模块、域与资产管理模块、风险监控模块、脆弱性管理模块、报表模块、用户管理模块,这些都是大部分用户所需要的必备模块。 泰合SOC实现了全新的信息安全风险管理方式。它将不同位置的不同安全系统中大量分散的安全事件进行汇总、过滤、收集和关联分析,针对全局得出安全风险事件,并统一地对安全事件进行响应和处理,帮助用户建立统一的管理平台,实现对安全的全局分析和动态监控。,7.3 信息安全管理体系,泰合SOC由“四个中心、五个功能模块”组成,泰合信息安全管理体系框架,7.3 信息安全管理体系,泰合SOC系统管理功能强大: 脆弱性管理,可全面掌握全网各系统中存在的
11、安全漏洞; 综合分析与预警,采集资产基本信息,结合脆弱性信息和安全事件,进行综合的安全风险分析,分析企业所面临的威胁,确保这些威胁不会给企业造成不良后果; 响应管理,根据网络安全状态,及时调动有关资源对安全事件做出响应,降低风险的负面影响; 此外,安全策略管理、安全知识管理、资源管理、用户管理、显示管理等功能也是非常实用的功能。,7.3 信息安全管理体系,7.3 信息安全管理体系,泰合安全运营中心的价值体现 针对技术人员 统一管理网络中的安全设备,特别是不同厂商的设备。制定基于全局的安全策略和安全工作流程;对各安全设备产生的日志,尤其是监测类产品(如IDS、审计、Scanner等)的日志报警信
12、息进行关联分析,提炼出有价值的信息,并能获取后续处理的建议和助;对安全设备的日志集中存储,并提交统一的报表。降低技术人员的工作烦琐度。 对企业中的风险评估工作进行持续管理。通过SOC系统对评估结果进行管理,将业务资产评估的结果直接导入SOC中,成为资产管理的数据;将脆弱性评估的结果也导入SOC中,作为脆弱性管理的数据。,7.3 信息安全管理体系,泰合安全运营中心的价值体现 针对运营主管 通过建立知识库、应急预案等体制,帮助技术人员提高自身的专业素质,并协助他们在出现重大安全事件时做出合理的决策,提高技术人员的工作效率。通过SOC系统对技术人员进行量化的绩效管理,可以进行纵向比较。对下属机构进行
13、集中管理和监控。某个大中型企业有多个分支机构,当某一个点发生蠕虫病毒的时候,总部知道后会采取措施通知下面的点在网络设备上关闭一些端口,阻止蠕虫的泛滥,预防安全事件对全局的影响。实现对全网的统一监管,而不是分支机构局域网各自为政。,7.3 信息安全管理体系,泰合安全运营中心的价值体现 针对决策领导通过将安全事件跟业务风险关联,采用直观的界面,使决策领导能随时了解业务系统的信息安全状态。将风险量化,协助领导分析每次信息安全项目的投资回报率,为信息安全投资提供依据。,7.4 信息安全机制,数据备份,Data Backup,离线备份很重要,频繁的备份可以帮助你免除灾难与错误,通过网络进行个人计算机数据
14、备份,通过双机镜像服务器可提供高可靠性:在网上内容完全相同而且同步更新的两个或多个服务器,除主服务器外,其余的都被称为镜像服务器,UPS,Power company,中煤平朔信息化数据存储成功案例,中煤平朔公司服务器大约有40台,运行的生产系统有办公OA、档案管理系统、电子印章系统、门户系统、邮件系统、web系统、mail系统等多种系统,重要的数据库有sql server 2008、oracle、db2、sybase等大型数据库。大部分系统和数据库运行在2008server上和少数linux系统。这些数据和生产息息相关,不得不进行有效地管理和备份,以免数据丢失造成巨大的损失。 公司信息数据量大
15、,涉及的系统种类较多,系统大部分和生产系统相关,不容有失,系统和数据在发生灾难或者丢失的时候必须保证在短时间内得到有效地恢复,避免造成损失或者停工。 用户需求 必须要有全面的系统备份,可以在原服务器坏掉的情况下,把系统备份到另外一个与备份服务器上进行临时的更换,保证系统恢复的可用性。 原有系统文件数据和数据库数据要有定时的备份,确保数据零丢失,可以作为更换服务器、更新系统或者遇到不可避免的灾难性事故的保障。 重要中的重要系统必须有一个实施备用服务器,保证第一时间接管原有山产系统和数据,不可间断。 要求备份软件简单明了,图形化的操作,不占用本身的网络资源,尽量避开服务器繁忙时期,在空闲时期备份。
16、,中煤平朔信息化数据存储成功案例,中科同向给客户提出SAN环境的备份结构:专为存储备份服务,称为最快、最安全的存储网络;难度也是最高的,该方案方便以后用户扩展,可以无限的扩展其服务器数量,没有局限性。 方案选用HeartsOne备份软件,以HeartsOne备份软件为中心,实施整体存储备份方案,使用户的备份功能达到全面,可以实现实时备份、定时备份、容灾、系统恢复,满足用户全体系统的需求。 产品选型: 硬件:IBM服务器、Tandberg 磁带库,可容纳24T数据容量,IBM磁盘阵列(8盘位)软件:HeartsOne备份软件相应功能组件。 功能:可对上述系统实现定时备份;对重要系统实现系统备份,如oa、mail、门户、电子印章、财务系统;对重中之重的系统实现容灾功能。,7.4 信息安全机制,生物识别:指纹读取器、手印读取器、视网膜扫描仪,生物识别,FAR:误判率 FRR:拒判率,生物识别,虹膜是位于人眼表面黑色瞳孔和白色巩膜之间的圆环状区域,在红外光下呈 现出丰富的纹理信息,如斑点、条纹、细丝、冠状、隐窝等细节特征。虹膜从婴儿胚胎
