构建信息系统的安全管理平台框架和实践启明星辰创新.ppt

构建信息系统的安全管理平台——框架与实践 北京启明星辰信息技术有限公司 咨询总监 赵呈东 摘要 构建信息安全管理平台 原则、要求和大思路 了解资产和业务 了解威胁 了解保障措施 框架 具体任务和建议 1. 原则、要求和大思路 中办发[2003]27号 国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日） 加强信息安全保障工作-总体要求 总体要求： 坚持积极防御、综合防范的方针， 全面提高信息安全防护能力， 重点保障基础信息网络和重要信息系统安全， 创建安全健康的网络环境， 保障和促进信息化发展， 保护公众利益，维护国家安全。 加强信息安全保障工作-主要原则 主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 加强信息安全保障工作-九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 2005年和2006年的动向 2005年 国家风险评估试点 应急预案编写和演练 等级保护工作试点和宣贯 萨班斯法案在商业领域产生影响 2006年 等级保护评估工作 2006年公通字7号文 3月风险评估指南宣贯活动 … 安全的驱动力 问题 具体的安全事件等 政策 27号文等 体系化 整体规划 合规性 等级保护、风险评估等 风险管理 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 [摘自AS/NZS4360] ISO13335以风险为核心的安全模型 国信办报告中的风险９要素关系图 最精简的风险管理３要素 信息安全工作的思路 从三个方面展开框架 专业厂商要协助客户完善保障体系 2、了解威胁 政务网络面临的问题 3、了解资产和业务 作安全必须了解资产和业务 “正确处理安全与发展的关系，以安全保发展，在发展中求安全” 等级保护的要求也要我们做到对自身的了解，才能做到适度的防护 我们对于信息系统的依赖程度决定了我们在安全上的投入 怎么了解资产和业务(IT相关) 分析信息体系架构ITA 业务系统 网络分布形态 系统的层次性 技术和管理（组织结构） 时间（生命周期） 价值（资产价值、影响价值、投入） … … 关于资产和业务方面的趋势 用结构化的方法描述自身的资产和业务是更加系统化、更加全面地进行安全保护的基础 安全域方法逐步成为比较现实地描述网络和系统环境的方法 安全域的概念 广义的安全域概念是 具有相同和相似的安全要求和策略的IT要素的集合。 这些IT要素包括： 常见安全域的划分方法 按照业务系统划分 优点：自然形成、划分简单 缺点：防护复杂、重复投资、影响易用性 按照防护等级划分 优点：防护简单、保护投资 缺点：割接成本高、影响易用性 按照行为特征划分 优点：针对常见的威胁进行更细致的防护 缺点：需要详细分析业务系统的行为 4、了解保障措施 保障体系的实际组成 技术环境——当前主流的基本安全产品 加密 防病毒 防火墙 入侵检测 漏洞扫描 身份认证 VPN … … 技术环境——当前主流的基本安全服务 咨询服务 整体框架规划和设计 评估加固服务 对于主机和网络进行技术评估和加固 风险评估服务 对系统的整体风险进行评估并对风险管理提供设计 渗透性测试服务 安全教育和培训 … … 安全管理平台成为一个值得考虑的选择 5、框架 信息安全保障框架 资产清单 面向网络拓扑 基于安全域/业务域 基于业务流分析 … … 信息安全保障框架 脆弱性管理 告警管理 事件管理 预警管理 威胁管理 … … 信息安全保障框架 通过S3-PPT方法展开保障措施 保障框架-措施 27号文的框架分析 产品的框架分析 安全服务体系的框架分析 体系设计方案的框架分析 启明星辰产品系 启明星辰当前产品 天阗系 NIDS网络入侵检测 HIDS主机入侵检测 AFMS异常流量监控 天镜漏洞扫描系统 天玥系 天玥网络综合审计系统 天玥业务审计（移动业务） 天珣非法外联审计系统 天燕系 产品测评工具 服务评估工具 风险管理与控制系统 辑侦工具 SOC平台架构 6 最佳实践建议 教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 监控体系、安全监控管理中心 事件管理体系、应急体系 总结 构建信息安全保