《中国移动业务系统安全运维自评估系统》由会员分享,可在线阅读,更多相关《中国移动业务系统安全运维自评估系统(24页珍藏版)》请在金锄头文库上搜索。
1、业务系统安全运维自评估系统研究项目汇报业务系统安全运维自评估系统研究项目汇报报告报告第2页一一一一. . . . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)第3页1.1 1.1 研究背景及目标(开题报告)研究背景及目标(开题报告)说明:研究目标需与该项目开题报告保持一致。第4页1.2 1.2 主要研究内容及分工(开题报告)主要研究内容及分工(开题报告) 说明:即开题评审后,确定的主要研究内容及各研究单位的分工。第5页1.3 1.3 开题计划完成情况总结开题计划完成情况总结主要内容提示,仅供参考:一、开题计划执行情况:包括时间、人员分工、研究成
2、果等是否达到了该联合项目“开题报告”中的具体要求和目标;二、研究中存在哪些不足?第6页一一. . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)第7页2.1 2.1 背景背景2008年,集团公司在中国移动2008年网络与信息安全工作指导意见中提出“加强网络与信息安全人才队伍建设,重点选拔培养各省公司安全技术人才,逐步成立面向全网的安全规范编写、安全风险评估、安全应急处理专家队伍。”第8页2.1 2.1 问题和困惑问题和困惑查什么?怎么查?1、安全技术门槛的问题;2、标准化、流程化操作的问题;3、耗人耗时(工作量)的问题;4、报表无法统一呈现的问题
3、。无线音乐网站面对互联网用户提供无线音乐服务,其互联网接口必然就会受到来自于互联网中的各种攻击威胁,包括网页篡改、DDos攻击、蠕虫、敏感信息泄露、网站挂马等等。对于各种攻击的防护要求,操作系统、网络设备、网络架构、安全设备等都存在可能的影响,因此不同的系统和设备需要定义相对应的防范要求。第9页2.1 2.1 问题和困惑问题和困惑呈现什么?如何呈现?1、安全状态量化的问题;2、安全工作效果的检验问题;3、安全趋势的分析问题;由于无线音乐业务的不断扩大,网络规模日趋复杂,而风险评估的工作量大,涉及范围宽,技术要求高,日常运维的作业已经无法完全通过人工来实现,只有借助于自动化的自评估工具,以安全基
4、线作为基本标准,通过自动化实施自评估,提升评估的效率和效果,实现统一的风险管理和呈现,最终达到有效发现无线音乐运营系统的安全风险,从而预防和控制风险,提高系统的安全性的目的。第10页2.2 2.2 解决思路解决思路将业务系统的多项安全检查结果,基于资产统一呈现。 呈现集中化面向业务系统的自动化安全检查。 检查自动化满足日常维护中定期频繁检查的需求。 检查常态化 检查全面化在安全规范要求的基础上,对业务系统全面安全检查。第11页2.2 2.2 自评估定义自评估定义p风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害
5、程度,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。p重要性风险评估是信息安全保障工作的重要方法,是信息风险管理理论和方法在信息化中的应用,是正确确定信息资产、合理分析信息安全风险、科学管理风险和控制风险的过程。p方式根据风险评估发起者的不同,风险评估可分为自评估和、检查评估两种方式。第12页2.2 2.2 自评估工具的必要性自评估工具的必要性p网络结构复杂,耗人、耗时;p缺乏基于业务系统的安全基线,存在技术门槛;p安全评估效用无法令人满意,评估的效果不稳定;p安全运维作业难度大、自动化程度低
6、,无法实现风险的统一管理和呈现;p工作岗位间配合效率有待提升。第13页2.2 2.2 安全基线的定义安全基线的定义安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。安全基线是什么?安全基线定义了业务系统在系统脆弱性和运行状态上,必须达到的基本的安全运行要求。安全基线不是什么?安全基线不是配置核查,或者说不仅仅是配置核查;安全基线不是安全建议;安全基线不是对系统安全运行的最高要求;第14页2.2 2.2 自评估工具的价值自评估工具的价值安全基线工具的价值业务系业务系统安全统安全基线基线全面和集全面和集中体现当中体现当前的安全前的安全状态状态常态常态/频繁频繁以及自动以及
7、自动化安全检化安全检查查动态体动态体现系统现系统安全变安全变化的趋化的趋势势安全建安全建设和事设和事故应急故应急提供决提供决策支持策支持第15页2.3 2.3 自评估工具设计思路自评估工具设计思路自评估通过工具来自动实现,自动评估,自动分析,自动生成报表。第16页2.3 2.3 自评估工具框架自评估工具框架第17页2.3 2.3 安全基线模型安全基线模型第18页2.3 2.3 安全基线的内容安全基线的内容第19页2.3 2.3 安全基线的建立安全基线的建立三位一体 缺一不可第20页2.4 2.4 自评估流程自评估流程第21页2.5 2.5 应用场景应用场景场景1-入网/工程验收环节的安全检查第22页2.5 2.5 应用场景应用场景场景2-日常安全维护检查第23页2.5 2.5 应用场景应用场景场景3上级部门检查下级部门第24页24结束结束谢谢大家!
