《从威胁、目标和能力分析等级保护的安全整改和运维.ppt.ppt》由会员分享,可在线阅读,更多相关《从威胁、目标和能力分析等级保护的安全整改和运维.ppt.ppt(53页珍藏版)》请在金锄头文库上搜索。
1、领航信息安全领航信息安全 启明星辰安全技术最佳实践启明星辰安全技术最佳实践广州分公司广州分公司 邓景云邓景云 deng_ 从威胁、目标和能力分析等从威胁、目标和能力分析等保保 落实等保安全整改和运维的落实等保安全整改和运维的解决方案解决方案 等保相关案例介绍及总结等保相关案例介绍及总结信息安全存在的问题偏重偏重产品,忽品,忽视体系和管理。体系和管理。重重视外部攻外部攻击与入侵,忽与入侵,忽视内部的非法行内部的非法行为缺乏信息安全缺乏信息安全风险意意识,安全投入盲目,安全投入盲目一一劳永逸的永逸的错误观念,忽念,忽视信息安全是个信息安全是个动态的的过程程威威胁趋势愈演愈烈愈演愈烈等级保护之为什么
2、 Why1994年,年,中中华人民共和国人民共和国计算机信息系算机信息系统安全保安全保护条例条例 规定,定,“计算机算机信息系信息系统实行安全等行安全等级保保护,安全等,安全等级的划分的划分标准和安全等准和安全等级保保护的具体的具体办法,由公安部会同有关部法,由公安部会同有关部门制定制定” 。1995年年2月月18日人大日人大12次会次会议通通过并并实施的施的中中华人民共和国警察法人民共和国警察法第二章第二章第六条第十二款第六条第十二款规定,公安机关人民警察依法履行定,公安机关人民警察依法履行“监督管理督管理计算机信息系算机信息系统的安全保的安全保护工作工作”。法律依据。法律依据。1999年,
3、年,强制性国家制性国家标准准计算机信息系算机信息系统安全保安全保护等等级划分准划分准则GB 17859)2003年,中年,中办、国、国办转发的的国家信息化国家信息化领导小小组关于加关于加强信息安全保障工信息安全保障工作的意作的意见(中(中办发200327号)明确指出号)明确指出“实行信息安全等行信息安全等级保保护”。 “要重点保要重点保护基基础信息网信息网络和关系国家安全、和关系国家安全、经济命脉、社会命脉、社会稳定等方面的重定等方面的重要信息系要信息系统,抓,抓紧建立信息安全等建立信息安全等级保保护制度,制定信息安全等制度,制定信息安全等级保保护的管的管理理办法和技法和技术指南指南” 。20
4、04年,公安部、国家保密局、国家密年,公安部、国家保密局、国家密码管理局、国信管理局、国信办联合印合印发了了关于关于信息安全等信息安全等级保保护工作的工作的实施意施意见(66号文件)号文件)2006年年1月,公安部、国家保密局、国家密月,公安部、国家保密局、国家密码管理局、国信管理局、国信办联合制定了合制定了信信息安全等息安全等级保保护管理管理办法法(公通字(公通字20067号)号) 信息安全标准AS/NZS 4360: 1999 风险管理管理标准准ISO/IEC 13335 IT安全管理指南安全管理指南 ISO/IEC 17799:2005 信息安全管理最佳信息安全管理最佳实践指南践指南IS
5、O/IEC 27001:2005 信息安全管理体系信息安全管理体系规范范ISO/IEC 15408/GB 18336 CCIATF 信息保障技信息保障技术框架框架 SSE-CMM 系系统安全工程能力成熟度模型安全工程能力成熟度模型公安部等公安部等级保保护指南指南信息系统安全等级保护定级指南参考ISO13335信息系统安全等级保护实施指南参考ISO13335、IATF 、SSE-CMM信息系统安全等级保护基本要求参考ISO15408、7799参考信息系统安全等级保护测评准则ISO13335中的风险管理模型威胁漏洞资产价值需求控制风险利用利用存在存在抵御抵御引发引发增加增加增加增加增加增加拥有拥有
6、需要需要最精简的风险管理要素定级定级保护轮廓保护轮廓技术体系技术体系管理体系管理体系不同级别不同级别威胁不同威胁不同风险立方体-Risk Cube资产资产威胁威胁措施(安全能力)措施(安全能力) 安全目标安全目标风险立方体中的安全工作资产资产威胁威胁措施(安全能力)措施(安全能力) 电子客票系统电子客票系统社保网上系统社保网上系统(2级)级)互联网攻击互联网攻击互联网防入侵互联网防入侵FW, IDS, IPS, 防防SQL注入注入安全目标安全目标O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修
7、补的能力应具有发现所有已知漏洞并及时修补的能力 O2-27.应具有对网络、系统和应用的访问进行控制的能力应具有对网络、系统和应用的访问进行控制的能力风险立方体中的安全工作资产资产威胁威胁措施(安全能力)措施(安全能力) 硬件设备硬件设备网络线路网络线路机房机房(2级)级)自然灾难自然灾难电子屏蔽室、防火器、避雷设备电子屏蔽室、防火器、避雷设备火警装置等火警装置等安全目标安全目标O2-2.应具有防止雷击事件导致重要设备被破坏的能力应具有防止雷击事件导致重要设备被破坏的能力O2-3.应具有防水和防潮的能力应具有防水和防潮的能力O2-4.应具有灭火的能力应具有灭火的能力O2-5.应具有检测火灾和报警
8、的能力应具有检测火灾和报警的能力等级保护之五级监管等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损害严重损害第五级第五级极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损
9、害专门监督检查专门监督检查威胁分类 不同不同级别对抗的威抗的威胁的种的种类不同;不同;对于同于同类威威胁,不同,不同级别对抗的具体威抗的具体威胁的破坏能力也不同。的破坏能力也不同。安全目安全目标不同。不同。威胁和目标等保三级:等保三级:1)防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁(内部人员的恶意威胁,设备较为严重的故障)所造成的主要资源损害。2)能够及时发现安全漏洞和安全事件;3)在系统遭到损害后,能够较快恢复绝大部分功能。等保二级:等保二级:1)小型组织
10、、少量资源(个人能力、公开可获得或特定开发的工具)、一般自然灾难、以及其它相当危害程度(无意失误、设备故障等)。2)能够发现;3)一段时间内恢复部分内容。 基本要求的保障措施某级系统某级系统物物理理安安全全基本技术要求基本技术要求基本管理要求基本管理要求基本要求基本要求网网络络安安全全主主机机安安全全应应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理从风险立方体分析落实等保资产资产威胁威胁措施(安全能力)措施(安全能力) 安全目标安全目标二级信息系统对抗能力 2恢复能力 2威胁形态 2安全目标
11、 2基本要求 2 从威胁、目标和能力分析等从威胁、目标和能力分析等保保 落实等保安全整改和运维的落实等保安全整改和运维的解决方案解决方案 等保相关案例介绍及总结等保相关案例介绍及总结等级保护之怎么 How定定级定定级测评改改进测评持持续改改进落实等保整改、运维的解决方案阶段一:段一: 安全安全评估,建立等保保估,建立等保保护轮廓,提供整改依据廓,提供整改依据阶段二:安全域改造,段二:安全域改造,满足等保基本要求,建足等保基本要求,建设保障框架保障框架阶段三:段三: 平台建平台建设,等保,等保长期持期持续监控,建立运控,建立运维体系体系第一阶段:安全评估意意义: 2003年年7月月, 中中办发2
12、00327号文号文件件对开展信息安全开展信息安全风险评估工作提出了估工作提出了明确的要求。明确的要求。工作内容工作内容行业信息安全保障要求风险评估/自评估两个层面、三个纬度技术层面:网络、系统、应用管理层面:人员机构、制度流程、物理环境启明星辰风险评估技术发展全国人大风险评估项目、国家统计局网络风险评估全国人大风险评估项目、国家统计局网络风险评估中国石油天然气集团信息网络安全风险评估项目中国石油天然气集团信息网络安全风险评估项目中国建设银行总行网上银行服务器安全评估项目中国建设银行总行网上银行服务器安全评估项目中国人民银行评估标准及试点、广东移动安全评估服务中国人民银行评估标准及试点、广东移动
13、安全评估服务2008启明星辰风险评估与管理模型安全评估预期的效果四个识别:资产、威胁、保护措施、安全差距四个识别:资产、威胁、保护措施、安全差距体系设计差距评估体系执行差距评估第二阶段:安全域改造工作内容工作内容安全域划分网络优化产品部署安全域策略部署制定:美国国家安全局(NSA) 启明星辰“31”安全域模型 域域域资产结构化资产结构化-安全域安全域安全域方法归根到底就是安全域方法归根到底就是用用结构结构将微观的大量资产将微观的大量资产和其他安全要素,有序地和其他安全要素,有序地展现在宏观层面展现在宏观层面广义的安全域概念是广义的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合。IT
14、要素包括:物理环境、网络区域、主机和系统、业务和使命、策略和流程、人和组织电力系统二次安防的思路安全域的树型结构示意其它企业安全域案例*安全域部署案例*安全域部署案例*安全域部署案例运营商内部信息通信网、网管网、业务支撑系统运营商内部信息通信网、网管网、业务支撑系统*安全域部署案例*安全域部署案例*安全域部署案例安全域改造的预期效果IT系统的公交线路图系统的公交线路图等保的成果如何看得见?鸟瞰图第三阶段:平台建设工作内容工作内容SOC部署安全事件采集安全事件综合分析资产和域管理风险监控管理脆弱性管理安全域拓扑管理安全域策略管理业务数据流管理安全响应管理自身安全管理定制开发实时监控的可视化显示实
15、时监控内容实时监控内容监控对象、事件类型、风险级别(5级)、发生时间、源地址、目标地址、协议类型、时间间隔等显示方式显示方式拓扑链接图GIS地理图交互式图表设备状态视图安全管理平台成为检测和响应能力的汇总点安全管理平台成为检测和响应能力的汇总点平台建设的预期效果决策层面决策层面从业务风险层面理解安全事件从业务风险层面理解安全事件计算和跟踪安全投资回报率计算和跟踪安全投资回报率运营层面运营层面准确分析现有系统的威胁准确分析现有系统的威胁确定安全事件的优先顺序确定安全事件的优先顺序理顺安全事件管理的流程理顺安全事件管理的流程技术层面技术层面集中管理不同的安全设备集中管理不同的安全设备综合分析分布的
16、安全报警综合分析分布的安全报警“泰合平台”部分成功案例国家某局全国监测数据处理中心国家某局全国监测数据处理中心大型平台类项目超过大型平台类项目超过10个个!某客户使用“泰合平台”的实景医疗行业等保运维的特点医疗行业等保运维的特点HIS系统的内控系统的内控健全健全纪检监察制度察制度加加强密密码管理授管理授权控制信息控制信息查询功能模功能模块后台数据后台数据库审计监控控医疗行业等保运维的特点医疗行业等保运维的特点HIS系统的内控系统的内控启明星辰如何启明星辰如何实现通过天玥业务网审计系统实现对数据库操作的记录和审计查询,以此手段有效地监控任何对数据库访问的行为并对可疑的数据库查询操作做回放并记录,
17、以此追踪、威慑医药代表的统方行为,并可通过数据库浏览工具,将查询命令的操作结果直观反映到数据库上。医疗行业等保运维的特点医疗行业等保运维的特点HIS系统的内控系统的内控总体要求体要求对HIS(医院管理信息系统)系统后台数据库的访问行为进行审计并回放,并将审计命令反映为数据库操作结果以便监察部门查阅环境境现状状医务人员使用科室HIS系统的查询模块 ,或信息中心管理人员直接使用数据库查询分析工具(PowerBuilder、SQL查询分析器等)执行查询指令医疗行业等保运维的特点医疗行业等保运维的特点HIS系统的内控系统的内控数据数据库类型型MS SQL Server、Oracle、Sybase行行业
18、特殊需求特殊需求对所有类型HIS系统数据库的访问操作进行旁路审计并实时跟踪回放可自定义具有业务特征的策略库,对符合审计策略的操作可记录、查询、报表、报警审计结果需要翻译成监察部门的非专业人员可读格式,并将指令反映为数据库操作 从威胁、目标和能力分析等从威胁、目标和能力分析等保保 落实等保安全整改和运维的落实等保安全整改和运维的解决方案解决方案 等保相关案例介绍及总结等保相关案例介绍及总结案例:长城资产等级保护项目 用用户背景:背景:中国长城资产管理公司(以下以下简称称长城资产管理)是是经中中国政府批准成立的,具有独立法人国政府批准成立的,具有独立法人资格的国有独格的国有独资金金融企融企业,公司
19、注册,公司注册资本金本金100亿元人民元人民币,由国家,由国家财政政部全部全额拨入,入,长城城资产管理在全国管理在全国30个省市个省市设有分支有分支机构。机构。 合作内容启明星辰与启明星辰与长城城资产的合作内容:的合作内容:一期的安全等级划分和风险评估;二期的等级保护整改,包括安全域规划建设;二期的安全管理平台设计建设。本本项目中涉及的主要工作内容有:目中涉及的主要工作内容有:对长城资产管理现有的安全措施做出合理判断和评价。完成等级保护的定级工作的同时完成安全风险评估。实现对现有防火墙、防病毒、入侵检测和补丁管理系统等网络安全防护设备的统一数据采集和综合分析。二期项目中实现安全域划分、多种安全
20、设备的事件集中管理和安全风险的实时监控。逻辑关系SMCBlade_02数据库数据库Blade_01SIMSBlade_03显示终端显示终端网络行为监控网络行为监控脆弱性扫描脆弱性扫描交换机交换机路由器路由器服务器服务器防火墙防火墙安全网关安全网关入侵检测入侵检测漏洞信息:漏洞信息:日志信息:日志信息:访问信息:访问信息:展示信息:展示信息:SOC域域大屏幕显示大屏幕显示全国办事处部署图全国共部署全国共部署31个办事处,信息分别在个办事处,信息分别在各办事处各办事处EC汇总,后统一送往总部汇总,后统一送往总部SIMS服务器存入总部数据库。服务器存入总部数据库。总部SOC域北京办北京办河北办河北办
21、天津办天津办上海办上海办可识丰富的拓扑展示等级保护基线管理差距分析客户评价长城城资产公司信息技公司信息技术部部总经理理这样评价:价: “部署平台之后公司有效响应和贯彻了公安部信息系统等级保护规范的要求,协助公司进一步提升信息安全水平,保障业务的良好运行。 同时,利用平台的建设实践达到了对信息安全风险的可知-可识-可知识管理,使信息系统的安全风险处于可识、可可识、可视、可管、可控视、可管、可控之中”。启明星辰简介领导的关的关怀2000年1月,江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司2003年1月,胡锦涛总书记亲切接见启明星辰公司CEO严望佳博士今天的启明星辰公司拥有国有国际一流
22、的攻防技一流的攻防技术研究研究团队,是,是专业安全安全产品、解决方案和服品、解决方案和服务提供商提供商员工超工超过700700名,是国家名,是国家级网网络安全技安全技术研研发基地,基地,设有网有网络安全博士后工作站安全博士后工作站国内入侵国内入侵检测、UTMUTM、审计、安全管理平台、安全管理平台(SOC) (SOC) 产品技品技术的的领跑者跑者网网络入侵入侵检测、合、合规审计、漏洞、漏洞扫描、描、专业安全服安全服务,国内市,国内市场占有率第一占有率第一3030多家分支机构,遍布全国的服多家分支机构,遍布全国的服务网网络广泛的应用与服务政府政府为国家国家5050多个部、委、多个部、委、办、局提供安全保障、局提供安全保障金融金融国内国内1919家家银行中,行中,80%80%为启明星辰用启明星辰用户电信信为四大运四大运营商集商集团总公司及公司及5050多个省多个省级分公司提供解决方案分公司提供解决方案企企业2222个个进入世界入世界500500强的中国企的中国企业中中, ,已有已有1414个个为启明星辰用启明星辰用户启明星辰安全架构“诚信为先、技术领先、服务本地化、用户第一” 欢迎莅临启明星辰大厦参观指导欢迎莅临启明星辰大厦参观指导未雨绸缪、风雨同舟谢谢!
