信息系统安全方案

《信息系统安全方案》由会员分享，可在线阅读，更多相关《信息系统安全方案（118页珍藏版）》请在金锄头文库上搜索。

1、信息系统安全方案,Cisco Systems, Inc.,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,OA网,G网网管,C网网管,信息系统网络,业务生产网,网络管理,计费采集,ATM网网管,G/C计费,VoIP网管,增值计费,VC计费,193计费,信息系统承载平台现状,193,G网,C网,VoIP,VC,165,信息系统承载平台现状,信息化系统的发展趋势,逐步由后台的业务支撑成为业务生产运营的核心 信息化应用系统是联通生产运营的枢纽环节，强调经营数据的集中与整合 分布式信息采集、集中式经

2、营决策分析和风险控制要求技术和管理体制的垂直化,CRM,计费及结算系统,营业及帐务系统,经营分析系统,DCN 业务支撑网络,BSS系统,MSSOSS系统,综合网管系统,决策支持系统,企业应用集成,内部门户,客户服务系统,其他（OA、财务、人力咨询）不断的外延,埃森哲建议的联通总部和省份信息系统总体架构,BSS,MSS/ERP,OSS,CRM,合作伙伴关系,经营分析,企业外部门户,综合结算,综合采集,企业内部门户,企业决策支持,ERP,集成订单管理,综合生产调度,企业协同办公,综合资源管理,专业综合网管,IT 网管,CRM (融合呼叫中心),合作伙伴关系,经营分析,企业外部门户,综合结算,综合采

3、集,企业内部门户,企业决策支持,ERP,集成订单管理,综合生产调度,企业协同办公,综合资源管理,专业综合网管,IT 网管,综合计费帐务,服务开通管理,综合故障管理,综合服务质量,总部,省份,网络规划和设计,网元设备/EMS,网元设备/EMS,用户信用控制，综合经营分析，统一客户服务体验等集中应用部署需要数据中心的整合。 萨班斯、内控、经营数据本身的重要性要求整个系统提供综合性的技术安全机制（内部互访、对外互联、终端、服务器） 降低建设、维护成本同时提高对集中应用部署支持能力和系统安全控制能力要求整合,信息系统承载平台整合驱动因素,联通信息系统统一承载平台体系结构 功能分区，结构分层,业务生产网

4、,企业数据中心,单一的物理网络DCN,网管网,计费营帐采集网,OA网,合作伙伴等其它子系统,信息访问控制,客服,物理网络层,逻辑隔离层,信息控制层,应用层,BSS,MSS,OSS,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,萨班斯法案对企业持续管控的要求,2006年7月15日起，萨班斯法案正式生效。从这一天开始，包括中国内地44家企业在内的所有在美上市公司必须严格遵守萨班斯法案. “萨班斯-奥克斯利法案”(Sarbanes-Oxley)指2002年6月18日美国国会参议院银行委员会以17

5、票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案2002上市公司会计改革与投资者保护法案。这一议案由布什总统在2002年7月30日签署成为正式法律，称作2002年萨班斯-奥克斯利法案。 “萨班斯法案”的Section 302 and Section 404对在美上市公司和即将在美上市的公司提出信息系统管控能力的要求。 其中 404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2）管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理

6、层的内部控制年报必须包括：（1）建立维护适当公司财务报告内部控制制度的管理层责任公告/声明；（2）管理层用以评价内部控制制度的框架的解释公告/声明；（3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4）说明公司审计师已就（3）中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严

7、厉的刑事处罚。,萨班斯法案针对的对象,财务,BSS,OSS系统,ERP系统,人力资源/OA/其他,萨班斯是一部会计法案 主要针对财务系统 实际上今日财务报表的处理大多由信息系统IT提供处理与执行 财务系统与信息系统更紧密地结合，对涉及财务的交易进行初始化、授权、记录、处理和编制报表,内部控制的审核标准、框架和规范,SEC要求审计师在审计报告上注明“审计是根据PCAOB的标准执行的” 。 关于对内部控制的定义，SEC采纳了COSO的定义。 PCAOB建议公司采纳COSO的控制模型，并以此为依据建立内部控制架构。 定义了财务报表相关的内部控制（ICFR），要求审计师仅对该部分发表意见。 CobiT

8、 定义了内部控制的最佳实践,IT 控制的重要意义,对全球300多家企业的调查表明，管理者认为IT控制对SOX符合性具有极其重要的意义,信息系统在IT管控过程中存在的普遍问题,关键业务流程的程序、策略和纪录没有电子信息化，业务流程缺乏IT控制集成 内部信息逾权访问 业务员工可以访问后台数据库、操作系统 业务员工可以访问过多业务系统 应用开发和数据库管理员能够访问业务系统 网络、操作系统、数据库等基础架构自身没有安全加固 终端接入没有控制：对于接入公司内部网的设备没有全局的登录认证机制，导致非法设备接入并能访问业务系统。 没有强制执行全局安全策略：没有全局的自动手段检查策略执行的有效性，缺少智能化

9、的全网安全策略部署软硬件，导致统一制定的安全策略成为空谈，各自为政。例如防病毒，防火墙规则、软件补丁、密码管理。,信息控制层面临的具体技术问题,业务间网络层面的信息控制技术问题包涵两个大方面 如何明确终端和服务器的分类来划分安全域。 各个安全域内部的信息控制策略，各个安全域边界的信息控制策略。,安全区域,纵深防御依赖于安全域的清楚定义 安全域边界清晰，可明确定义边界安全策略 加强安全域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间 依据安全策略，可以明确需要部署的安全设备 使相应的安全设备充分运用，发挥应有的作用,网络域： 信息系统承载网，是安全域的承载子域。 信息控制重点是进行

10、各专业系统的网络隔离与边界防护并保障网络性能 系统域： 核心业务逻辑服务器、数据库服务器，是信息系统的核心子域。 信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。 服务域： 各业务的界面服务器，为信息系统提供公共服务，是整个系统的信息交换域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。 信息控制重点是防非法访问、防信息篡改。 终端域： 各类客户端和维护终端，是信息系统的公众子域。 信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性检查。,安全域划分及信息控制重点,系统域、服务域、终端域、网

11、络域逻辑关系示意,系统域 （业务逻辑、数据库）,内部网络 认证网关,网络域MPLS VPN,综合终端,漫游终端,专业终端,维护终端,银行系统终端,服务域 （界面服务器）,终端域,系统域 服务域,外部网络认证网关,互联网,漫游终端 合作营业厅终端,防火墙,服务域与系统域之间通过防火墙控制互访 业务专用终端直接通过MPLS VPN访问服务域 维护专用终端通过MPLS VPN访问服务域和系统域 综合终端须经过内部网络认证网关访问服务域 银行系统网络通过防火墙访问服务域 在外网的漫游终端和合作营业厅须通过全网集中设置的外部网络认证网关访问服务域 在内网的漫游终端须通过内部网络认证网关访问服务域 与银行

12、系统的网络出口及互联网出口应集中到省会,防火墙,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-终端准入控制,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-主机终端保护,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,防火墙安全控制，保护内网网段 IDS检测异常数据流量，发现危险网段,信息控制策略-域间准入控制,IPSEC VPN SSL VPN,连接互联网安全,vpn网关、防火墙安全控制，保护内网网段,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-局域网络控制,MAC地址绑定 广播风暴控制 DHCP

13、检查 ARP检查 BPDU防范,MAC地址绑定 广播风暴控制 BPDU防范,互联网,FE,FE,ACL uRPF ICMP限速 防DOS攻击,数据中心,营业办公区,外部网络,DCN,ACL,uRPF,ICMP限速,信息控制策略-网络异常控制,互联网,FE,FE,ACL uRPF ICMP限速 防DOS攻击,终端MAC地址绑定,PVLAN,ACL限定用户的地址,CSA保护用户主机,在发现攻击后通知监控系统,数据中心,营业办公区,外部网络,DCN,终端MAC地址绑定,用户认证/动态Vlan分配,DHCP端口跟踪分配,ACL限定用户的地址 NAC准入控制,ACL,uRPF,ICMP限速,防火墙安全控

14、制，保护内网网段,IDS检测异常数据流量，发现危险网段,信息控制策略-具备全面网络安全管理能力的控制策略,远程节点的安全防护,VPN远程安全接入,无线安全防护,连接互联网安全,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,什么是思科网络安全准入控制（NAC）？,思科 网络准入控制（NAC）是由思科领导的行业项目，主要用于限制各种新兴安全威胁所造成的伤害 在NAC中，可以只允许符合要求的可信端点设备（如PC、服务器和PDA等）访问网络，并限制不符合要求的设备访问网络 NAC旨在大幅度提高网络

15、识别、抵御和适应威胁的能力 NAC是 思科自防御网络计划的第一个阶段,目前企业/SP DCN内部桌面管理系统面临的问题,终端用户的身份控制以及访问权限控制 Windows 操作系统的安全漏洞，易被黑客或者病毒利用，比如造成蠕虫病毒泛滥 员工访问危险的网站 员工安装非授权的危险软件，或者没有安装指定的安全软件（如杀毒软件） 员工违反安全规定，擅自使用可移动存储设备（如CD、U盘、移动硬盘等），易于泄漏内部资料 员工私自安装双网卡、电话拨号、ADSL等上网 PC机数量太多，管理人员维护、监控困难 导致：60-70% 的系统及网络安全隐患 来源于公司内部,之前的网络准入方法 依靠单纯的用户名密码认证机制,“Hello.”,Alice: “Hello.”,Bob: “Hello. I am an administrator”,Granted,Granted,Granted,Granted,Chuck: “I am running an unpatched Windows 2000 system. I am Gigabit Ethernet connected with worm de jour and this one is really nasty. Have a nice day!”,