《构建信息系统的安全管理平台-框架和实践--启明星辰》由会员分享,可在线阅读,更多相关《构建信息系统的安全管理平台-框架和实践--启明星辰(46页珍藏版)》请在金锄头文库上搜索。
1、标题页构建信息系统的安全管理平构建信息系统的安全管理平 台台 框架与实践框架与实践北京启明星辰信息技术有限公司咨询总监 赵呈东摘要构建信息安全管理平台 原则、要求和大思路 了解资产和业务 了解威胁 了解保障措施 框架 具体任务和建议1. 原则、要求和大思路中办发200327号国家信息化领导小组关于 加强信息安全保障工作的意见 (2003年8月26日)加强信息安全保障工作-总体要求总体要求: 坚持积极防御、综合防范的方针, 全面提高信息安全防护能力, 重点保障基础信息网络和重要信息系统安全 , 创建安全健康的网络环境, 保障和促进信息化发展, 保护公众利益,维护国家安全。加强信息安全保障工作-主
2、要原则主要原则: 立足国情,以我为主, 坚持管理与技术并重; 正确处理安全与发展的关系,以安全保发展 ,在发展中求安全; 统筹规划,突出重点,强化基础性工作; 明确国家、企业、个人的责任和义务,充分 发挥各方面的积极性,共同构筑国家信息安 全保障体系。加强信息安全保障工作-九项任务系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究,推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导,建立健全信 息安全管理责任制2005年和2006年的动向 2005年 国家风险评估试点 应急预案编写和
3、演练 等级保护工作试点和宣贯 萨班斯法案在商业领域产生影响 2006年 等级保护评估工作 2006年公通字7号文 3月风险评估指南宣贯活动 安全的驱动力问题 具体的安全事件等 政策 27号文等 体系化 整体规划 合规性 等级保护、风险评估等风险管理风险管理的理念从90年代开始,已经逐步 成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 摘自AS/NZS4360ISO13335以风险为核心的安全模 型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础国信办报告中的风险要素关系图最精简的风险管理要素信息安全工
4、作的思路信息安全工作不是仅仅防火墙、防病毒、 入侵检测、管理制度 已经逐步从单纯开发技术和产品本身,转 向同时从整体保障框架着眼,解决实际问 题,实现价值。从三个方面展开框架到底哪些问题对我们是真正的危害 到底我们的系统中哪些是要重点保护的, 我们的系统的特点和结构是什么 到底哪些措施最有效,现有措施的效果如 何专业厂商要协助客户完善保障体系2、了解威胁政务网络面临的问题政务网络内部、外部泄密异常流量逻辑炸弹恶意代码黑客攻击违规操作隐蔽通道蠕虫病毒多样化网络安全威胁3、了解资产和业务作安全必须了解资产和业务“正确处理安全与发展的关系,以安全保 发展,在发展中求安全” 等级保护的要求也要我们做到
5、对自身的了 解,才能做到适度的防护 我们对于信息系统的依赖程度决定了我们 在安全上的投入怎么了解资产和业务(IT相关)分析信息体系架构ITA 业务系统 网络分布形态 系统的层次性 技术和管理(组织结构) 时间(生命周期) 价值(资产价值、影响价值、投入) 业务 资产保障 措施威胁关于资产和业务方面的趋势用结构化的方法描述自身的资产和业务是 更加系统化、更加全面地进行安全保护的 基础 安全域方法逐步成为比较现实地描述网络和 系统环境的方法安全域的概念广义的安全域概念是 具有相同和相似的安全要求和策略的IT要素 的集合。 这些IT要素包括:策略和流程 物理环境网络区域业务和使命人和组织主机和系统常
6、见安全域的划分方法 按照业务系统划分 优点:自然形成、划分简单 缺点:防护复杂、重复投资、影响易用性 按照防护等级划分 优点:防护简单、保护投资 缺点:割接成本高、影响易用性 按照行为特征划分 优点:针对常见的威胁进行更细致的防护 缺点:需要详细分析业务系统的行为边界接入域互联网接入区计算环境 一般服务区计算环境域计算环境 核心区网络基础设施域支撑性设施域骨干区汇集区接入区安全 系统网管 系统其它支 撑系统外联网接入区内联网接入区计算环境 重要服务区内部网接入区4、了解保障措施保障体系的实际组成技术环境 当前主流的基本安全产品加密 防病毒 防火墙 入侵检测 漏洞扫描 身份认证 VPN 技术环境
7、 当前主流的基本安全服务咨询服务 整体框架规划和设计 评估加固服务 对于主机和网络进行技术评估和加固 风险评估服务 对系统的整体风险进行评估并对风险管理提供设 计 渗透性测试服务 安全教育和培训 安全管理平台成为一个值得考虑的 选择漏洞评估中心事件监控中心风险分析 决策支持 与预警系统响 应 管 理 系 统显示报告ScannerIDSFWAV主机与网 络设备人工审计外部响应 系统 (安全设 备管理系 统与网 管)策略管理平台资源管理平台其他事件 检测系统其他状态 检测系统资产管理平台知识库外部 协同用户管理安全知识管 理平台自身安全5、框架信息安全保障框架资产清单 面向网络拓扑 基于安全域/业
8、务域 基于业务流分析 信息安全保障框架脆弱性管理 告警管理 事件管理 预警管理 威胁管理 信息安全保障框架通过S3-PPT方法展开保障措施保障框架-措施27号文的框架分析等级保护等级保护 风险评估风险评估监控体系监控体系应急体系应急体系信任体系信任体系技术和产业技术和产业法制建设法制建设 标准化建设标准化建设人才培养人才培养 全民意识全民意识保证资金保证资金责任制责任制产品的框架分析IDS应用审计防火墙SAN防垃圾安全管理中心Scanner远程数据热备IPS防病毒加密 机双因子PKIUTM安全服务体系的框架分析评估加固教育培训 MSS应急响应安全集成风险评估管理咨询体系设计方案的框架分析安全监
9、控体系安全审计体系安全防护体系应急恢复体系网络信任体系安全管理体系启明星辰产品系天阗系天玥系天清系天榕系天瑶系泰合系天燕系启明星辰当前产品天阗系 NIDS网络入侵检测 HIDS主机入侵检测 AFMS异常流量监控 天镜漏洞扫描系统 天玥系 天玥网络综合审计系统 天玥业务审计(移动业务) 天珣非法外联审计系统 天燕系 产品测评工具 服务评估工具 风险管理与控制系统 辑侦工具天清系 防火墙和病毒网关 防拒绝服务系统 网络隔离机 天清短信过滤系统 天清防垃圾邮件系统 天榕系 天榕Linux网络备份系统 Webkeeper网站保护和恢复 天瑶系 加密机 泰合系 IMS入侵管理平台 综合安全监控平台SOC
10、平台架构漏洞评估中心事件/流量/运行 监控中心风险分析 决策支持 与预警系统响 应 管 理 系 统显示报告ScannerIDSFWAV主机与网 络设备人工审计外部响应 系统 (安全设 备管理系 统与网 管)策略管理平台资源管理平台其他事件 检测系统其他状态 检测系统资产管理平台统一信息 知识库外部 协同用户管理安全知识管 理平台自身安全范式化范式化关联分析关联分析可视化可视化响应管理响应管理资产资产/ /资源管理资源管理知识库知识库配置管理配置管理6 最佳实践建议教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 监控体系、安全监控管理中心 事件管理体系、应急体系总结构建信息安全保障体系 原则、要求和大思路 了解资产和业务 了解威胁 了解保障措施 框架 具体任务和建议谢谢 谢谢
