信息保障技术框架iatf介绍081116 best.pptVIP

网络，安全是“硬”道理 － 上海广电应确信有限公司（SVA Networks） 陈长松 86216518 cschen@ 信息保障技术框架(Information Assurance Technical Framework) 陈长松 博士 上海三零卫士信息安全有限公司 IATF的背景 信息安全体系在组织中的作用 安全组织、管理体系、技术体系 组织 主要涉及内容 1、战略目标 2、业务要求 3、安全需求 4、组织结构 5、部门职能 6、人员职责与分工 7、沟通与汇报 管理体系 人、技术、操作相结合，能够动态适应的安全管理要求的体系，涵盖计划、实施、检查、控制四个过程。组织体系是实施管理体系的基础。 管理体系设计按照ISO17799的要求，建立包含策略、流程、作业指导、表单记录的文档化的体系。管理体系建议将与边界整合，组织建设、技术体系同步进行规划，并根据轻重缓急分为近期建议与长期建议两个部分。 技术体系 能够提高管理效率、实现组织目标的软件、硬件与服务。 技术体系一定是为组织目标服务，技术体系设计需要考虑： 成本 可用性 管理与维护 信息保障技术框架(IATF) 信息系统安全建设 业务网络特点： 网络结构复杂，覆盖 范围大 多个子网络，有各自的边界 业务流程完全依赖信息系统，数据敏感度 与INTERNET互联 安全体系常用的保障技术 网络基础设施安全 骨干网、无线网络安全、VPN 边界安全 防火墙、远程访问、逻辑隔离、IDS、防病毒、网络漏洞扫描、网络审计 计算环境安全 应用程序安全、主机防病毒、主机入侵检测 安全基础设施 PKI、检测和响应能力 骨干网 无线网络安全 VPN 防火墙 远程访问 逻辑隔离 防病毒 网络漏洞扫描 网络审计 应用程序安全 PKI 检测和响应能力 管理体系 安全管理与运行体系组成要素 安全策略（方针）制定 安全管理组织机构 安全制度 安全相关标准/规范 安全管理与运行体系组成要素 安全策略 安全基础设施 互联和第三方访问的安全 外包 信息分类 安全职责定义 用户培训 安全事件处理和响应 安全区域 设备安全 操作流程和责任 系统规划 软件采购与使用 网络管理 介质处理和安全 信息和软件的交换 访问控制 用户访问控制 用户责任 网络访问控制 操作系统访问控制 应用系统访问控制 监视系统的访问和使用 移动计算和远程工作 系统的安全要求 应用系统的安全 密钥管理 系统文件的安全 开发和支持过程的安全 业务连续性管理 对安全策略和技术手段执行情况的审查 运行方案 网段划分维护 身份鉴别与访问控制 日常入侵监测与安全审计 防病毒跟踪与升级 备份与恢复 应用系统安全 网络中心安全 防火墙维护 日常安全运行计划 管理方案 组织管理 人员管理 技术安全管理 软件、设备、介质、涉密信息、技术文档、线路、互连、紧急事件、审计与跟踪 涉密便携机管理 场地设施安全管理 全生命周期的安全管理 * * 组织 管理体系 技术体系 目标 组织安全是信息系统管理运行安全的基础，面对动态、复杂的管理策略，只有建立专门负责安全的结构清晰、职责清楚的管理组织机构才能保证整个系统安全策略的贯彻和落实。 关注是否形成了纵深防御体系由四个部分构成 边界 网络基础设施 计算环境 支撑性安全基础设施 关注的是”技术(工具)” 如何构建安全体系 计算环境安全 安全体系规划实例 边界安全 网络基础设施安全 安全基础设施 安全通告 安全体系规划 安全运行维护 安全管理规划 风险评估 评估与加固 工程实施管理 应急响应 培训 认证 定制开发 工程运行 工程升级 工程建设 工程监理 工程设计 产品管理 用户核心利益