《信息安全审计监控平台介绍》由会员分享,可在线阅读,更多相关《信息安全审计监控平台介绍(41页珍藏版)》请在金锄头文库上搜索。
1、国都兴业信息审计系统技术(北京)有限公司国都兴业信息审计系统技术(北京)有限公司国都兴业信息审计系统技术(北京)有限公司国都兴业信息审计系统技术(北京)有限公司云计算环境下的云计算环境下的信息安全审计监管平台项目汇报信息安全审计监管平台项目汇报报告主要内容报告主要内容报告主要内容报告主要内容国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司项目基本信息项目基本信息项目基本信息项目基本信息项目名称:项目名称:云计算环境下的信息安全审计监管平台云计算环境下的信息安全审计监管平
2、台云计算环境下的信息安全审计监管平台云计算环境下的信息安全审计监管平台项目所属领域:新一代信息技术项目所属领域:新一代信息技术 云计算云计算项目建设周期:项目建设周期:2011年年6月月2013年年6月月项目项目承担单位承担单位:牵头单位:国都兴业信息审计系统技术(北京)有限公司牵头单位:国都兴业信息审计系统技术(北京)有限公司合作单位:国家信息安全技术研究中心、中国电子技术标准化研究所等合作单位:国家信息安全技术研究中心、中国电子技术标准化研究所等国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限
3、公有限公有限公有限公司司司司报告主要内容报告主要内容报告主要内容报告主要内容国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司项目单位简介项目单位简介项目单位简介项目单位简介国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司报告主要内容报告主要内容报告主要内容报告主要内容国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业
4、信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司云计算前与后云计算前与后国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司企业运营成本下降企业运营成本下降企业运营效率提升企业运营效率提升企业服务、数据从内部转为外部企业服务、数据从内部转为外部变迁云计算前云计算前云计算后云计算后云应用云应用国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) )
5、)有限公有限公有限公有限公司司司司服务器在哪里服务器在哪里?业务流程可靠业务流程可靠吗?吗?防火墙架设了防火墙架设了吗?吗?还有谁在和我还有谁在和我们在用同一台机们在用同一台机器?器?会不会让竞争会不会让竞争对手看到我们的对手看到我们的资料?资料?云中云中国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司数据在哪里?数据在哪里?文档在哪里?文档在哪里?日本有地震吗日本有地震吗?云计算服务的安全风险云计算服务的安全风险国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业
6、信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司云计算服务存在着七大潜在风险:风险一:数据被未知的超级用户访问风险:无法通过本地部署访问控制,及时发现或阻断超级用户对数据发起的访问风险二:合规性建设能力未知的风险:云计算环境下数据被存放在企业外部,难以提供合规性建设报告对数据安全保护能力提供证明风险三:数据存储位置未知的风险:大量的基础设施和分布式技术的部署,导致用户对数据的真实存储位置不可知云计算服务的安全风险云计算服务的安全风险国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技
7、术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司云计算服务存在着七大潜在风险:风险四:数据隔离保护未知的风险:虚拟化技术的运用,使用户难以获知正与哪个或者哪些其他用户共享相同的存储或处理设备,对于提供商在解决数据隔离保护问题方面部署措施的有效性更是难以获得充分、可信的信息。风险五:数据恢复能力不可知风险:尽管云提供者承诺用户数据是安全的、可靠的、不会丢失,但是由提供商给出的这个承诺的客观性和公信力受到质疑,其真实性只能在灾难发生的时刻得到验证云计算服务的安全风险云计算服务的安全风险国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信
8、息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司云计算服务存在着七大潜在风险:风险六:增大司法取证困难的风险:多个企业用户共享相同的云服务,为支持针对某一个特定用户开展的司法取证活动,从大量的、来自不同用户的云访问日志中筛选信息,工作难度之高,操作风险之大可以想象。风险七:长期可用性保证的风险:企业用户保存在云中的数据是否长期可用,难以得到一个公正、可靠的风险评价。云计算风险挑战云计算风险挑战云计算服务特色云计算服务风险信息安全的传统三大件防火墙、信息安全的传统三大件防火墙、IDS、防病毒面对这些挑战力不从心。、防病毒面对这些挑战力不从心。审计监管将
9、成为云应用安全的重点审计监管将成为云应用安全的重点云安全审计相关研究现状云安全审计相关研究现状安全、可信、合规是推进云计算研究和应用的三大关键问题形成产业联盟,合作解决云安全、可信、合规等问题CSA(云安全联盟),CCA(中国云计算联盟),ZCA(中关村云安全产业联盟)向审计监管领域寻求云安全保护最佳实践云审计理念开始起步,并逐渐被更多的云用户和提供商认可通过自动化手段持续监控云服务平台建设和运营风险向用户提供监管审计服务,降低云数据安全风险为提供商提供监管记录,证明安全、合规建设云平台以及提供可信、持续云服务的能力云安全审计相关研究现状云安全审计相关研究现状标准是保障云安全建设的必要前提NI
10、STSP 800-144云计算安全和隐私管理指南SP 800-145 NIST云计算定义CSA云计算首要安全威胁云计算关键领域安全指南v2.1ISACA与CSA合作开发云计算审计程序,建设云安全控制矩阵云计算与安全并行云计算与安全并行2010年7月北京市启动实施“祥云工程行动计划”。祥云工程旨在促进北京市战略性新兴产业在新一轮国际竞争中形成新的优势。据了解,祥云工程已列入“十二五”软件信息服务业和电子信息发展规划。北京市希望经过3-5年的发展,使北京中关村成为我国云计算研究中心和产业基地,力求云应用的水平居于世界前列,使北京成为世界级云计算产业基地。国家发改委办公厅颁布的关于组织实施2009年
11、信息安全专项有关事项的通知中明确的将“为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务”做为支持的重点之一。云安全审计监管需要统一的标准云安全审计监管需要统一的标准云计算服务特色云计算服务风险云计算服务保障云服务保障基础云风险控制的杀手锏云风险控制的杀手锏报告主要内容报告主要内容报告主要内容报告主要内容国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司信息安全审计监管平台信息安全审计监管平台项目建设思路项目建设思路开发云审计标准研究并云审计与云安全监管
12、标准建立云审计监管平台的标准体系设计并实现云计算审计监管数据采集接口标准搭建云信息安全审计监管平台实施云监管审计项目建设思路(续)项目建设思路(续)开发云审计标准搭建云信息安全审计监管平台从基础设施、系统平台、应用软件三个层面纵深建设安全审计监管平台部署两种引擎、两个中心云计算审计监管数据采集引擎云计算风险分析引擎云计算审计监管数据存储中心云计算审计监管的策略管理中心实施云监管审计项目建设思路(续项目建设思路(续2)开发云审计标准搭建云信息安全审计监管平台实施云监管审计云审计用户服务平台建立定期自动发送审计报告机制提供用户自助查询审计服务机制提供特色化审计要求订制服务云审计企业服务平台根据企业
13、需求定期发送审计记录证明根据审计监管数据分析云平台建设中存在的风险,为企业用户提供云平台改进建议云安全监管服务平台为监管机构提供自动化的、客观的审计监管记录,为监管部门调整云平台建设监管要求、做出监管决策提供数据支持项目技术特色项目技术特色建设理念创新国都兴业是云安全审计理念的引领者,是国内外首批提出从监管审计角度解决云计算服务安全、可信、合规等问题的探路者应用风险的理念管理云计算服务建设和运营中存在或者可能存在的各类问题,为提供商、用户以及监管机构提供客观、公正的评估参考实现技术创新在六大关键技术上进行研究、探索和突破云采集分析归并技术、构建全云审计接口平台、云审计策略服务、海量存储快速检索
14、、云数据访问动态基线自动建立、云风险识别决策算法体系化地规划平台建设探索全面、协调的平台体系架构建设三大平台、两个中心、两个引擎形成一系列标准为平台建设提供理论指导和规范规范接口结构、统一审计监管要求,建设云风险评估模型和实施指南坚持技术自主综合运用具有自主知识产权的技术和产品搭建平台提升相关领域的技术自主研发能力增强平台建设和运营的可控性项目研发优势项目研发优势技术产品相对成熟多年致力于解决信息系统安全审计问题,在技术研发和产品建设方面形成经验积累慧眼网络审计慧眼数据库审计慧眼主机审计慧眼业务审计慧眼运维审计慧眼日志审计慧眼恶意代码审计慧眼综合审计 IaaS PaaS SaaS 项目研发优势
15、项目研发优势用户网络相对完善项目牵头单位以及合作单位的业务用户广泛覆盖政府、军队、金融、通信等多个机构及重点行业多年来优良的产品及服务质量赢得用户群对本项目建设单位技术水平和安全理念的认可和支持开展一定程度的部署实践目前本项目已经在部分用户企业中开展小型私有云安全审计监管平台建设实践,为本项目的顺利开展奠定了技术基础项目研发优势项目研发优势平台优势国都兴业信息审计系统(北京)有限公司:专业信息审计系统研发公司,掌握信息审计核心技术国家信息技术安全研究中心:安全专家云集,提供云监管平台支持中国电子技术标准化研究所:促进云审计相关标准的开发与制定云基地:云计算技术合作、云审计监管示范项目研发优势项
16、目研发优势领衔专家徐亚非:项目总负责人,高级工程师。国务院特殊津贴奖励的信息安全专家、国家“863” 网络安全防护技术攻关课题组带头人、国务院信息化工作办公室网络安全专家组成员、中国国防信息化咨询专家委员会委员李京春:高级工程师。曾任解放军信息安全测评认证中心总工程师,现任国家信息技术安全研究中心总工程师,解放军总后勤部信息化专家咨询委员会信息安全专业委员会委员,国家信息安全风险评估推进工作专家组成员。吴源俊:研究员。曾任中国电子信息标准化所所长和顾问,现任全国信息安全标准化技术委员会 WG7组长,是中国电子信息标准化所第一代指导企业标准化工作的开创者、实践者。项目已取得进展项目已取得进展信息
17、审计监管技术“云”化企业私有云审计监管平台建设项目周期项目周期2011年年6月月2013年年6月月云审计与云安全监管标准编制报告主要内容报告主要内容报告主要内容报告主要内容国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司平台预期市场分析平台预期市场分析用户群分析三类使用对象云计算平台使用用户云计算服务提供商云安全监管机构用户数量庞大安全、可信、合规和持续性是用户对云计算服务的普遍担忧云监管审计报告适合云服务提供商和使用用户的共同需求平台预期市场分析平台预期市场分析服务应
18、用特征分领域提供服务适应安全性、合规性、持续性等不同风险领域的审计监管需求适应三类用户各自对于云计算服务平台建设的审计需求适应用户个性化审计监管需求持续提供服务持续监控审计云服务平台建设运营状态,完整捕获云环境中的数据交互异常,识别潜在风险信息定期向用户提供审计报告和风险预警提供定制化服务依据要用户需求调整监控重点和审计策略有选择地提供智能化风险应对建议项目社会效益分析项目社会效益分析带动国内信息安全市场带动国内信息安全市场新领域新领域产业的发展产业的发展在未来10年里,云必将成为影响整个IT行业的关键性技术,也会对现有的信息技术体系架构带来了深远的影响,信息安全需要适应新领域的发展。通过云信
19、息安全审计监管平台的建设可以更好的促进信息安全在云计算领域的发展。项目社会效益分析项目社会效益分析实现与云计算服务、云审计的国际标准化实现与云计算服务、云审计的国际标准化研究顺利接轨研究顺利接轨云审计标准体系旨在通过建立一组相关标准,构建完整的控制与审计管理体系,为国内组织的云计算的管理、风险控制、审计程序提供参照标准、实施指南和最佳实践;完善我国信息安全保障体系建设;同时,促进实现国内信息安全标准建设与国际及国外(领先的国家)的标准研究工作统一。项目社会效益分析项目社会效益分析解决就业问题,培养人才解决就业问题,培养人才云计算是信息产业最热门的技术,云安全是近期信息安全领域关注的最热点话题,
20、拥有广泛的市场前景。各国都投入巨大人力、物力、财力资源,抓紧时间研发技术,完善产品,编写标准规范。国都兴业利用自有技术建设信息安全审计监管平台项目,识别云风险,有利于我国自主创新能力的提升,为我国的知识产权建设和技术发展做出重要贡献。本项目将创造众多就业机会,培养安全审计领域和云安全领域的专业人员。报告主要内容报告主要内容报告主要内容报告主要内容国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司项目投资建设现状项目投资建设现状本项目计划建设期为2年,2011年6月至201
21、3年6月2011年6月之前公司已投入1000万,用于信息审计监管技术“云”化和企业私有云审计监管平台建设投资预算与资金筹措投资预算与资金筹措本项目建设期内预计投资总额为5000万元,其来源主要为:企业自筹3000万元,申请中央和地方政府资金资助2000万元。主要用于固定资产投资、研发投入、基础设施建设和市场推广等项目经济效益预估项目经济效益预估本项目在项目建设期两年内累计实现销售收入1.6亿元,利润3013万元,上缴税金3336万元。2014年2015年为本项目的达产年,预计累计实现销售收入2.5亿元,利润1.13亿元,上缴税金6681万元,产业化前景良好。预计从本项目执行期到达产年(2011年6月-2013年6月)的成本费用率45%,内部收益率为37.72%,投资利润率为29.36%,投资回收期为2.44年。谢谢谢谢!国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术国都兴业信息审计系统技术 ( ( ( (北京北京北京北京) ) ) )有限公有限公有限公有限公司司司司