深化安全服务,推进等级保护建设精读.pptx

深化安全服务，推进等级保护建设 “拐点转型” —2012年回顾&未来趋势分析 “深化创新” —等级保护服务的探索和实践 “服务平台化”—等级保护“云服务”平台 主题 事情如果有变坏的可能，不管这种可能性有多小，它总会发生。 ①任何事都没有表面看起来那么简单； ②所有的事都会比你预计的时间长； ③会出错的事总会出错； ④如果你担心某种情况发生，那么它就更有可能发生。 引子：墨菲定律 智能终端、无线安全威胁再次敲响警钟 信息泄密事件愈演愈烈 互联网应用的安全攻击需引起重视 APT攻击、DDOS攻击依然强劲 信息安全2012年回顾总结 一、早期的无意识攻击，以炫耀技术为主 二、趋利性安全攻击，目的获取利益 三、主要表现为有组织的攻击、反政府的恐怖袭击等网络战。 更多‘智能系统’ 更多网络和系统互联 更多有价值目标 更多不同动机的攻击者! 威胁变化：从“技术炫耀”到“趋利攻击”到“网络战” 安全对象：从“系统”到“业务”到“人和数据” 网络与设备安全 操作系统、数据库安全 应用层控制，如DPI 应用层防护，如SQL注入防护 业务生命周期中各部分应用安全 业务安全检测与防护 人、信息等流程中每一元素安全 数据安全 网络及系统层安全 人和数据 业务安全 应用安全 卖产品 提供服务 运营模式 产品经济 服务经济 体验经济 经济模式发展 安全行业 产品+服务>安全运营==良好的用户体验 资源以服务的方式对外提供。 Security-as-a-Service 安全交付：从“安全产品”到“安全服务”到“安全运营” 1、安全介入：从“侧重运维”到“全生命周期”的安全管理。 2、技术平台：“人”对IT支撑手段的迫切需求及关键技术突破。 4、体系运转：从“职责规范”到“基于流程”的协调发展。 3、安全视角：从“安全体系”到“评价度量体系”的拓展。 安全体系：从“建章立制”到“有效执行”到“量化优化” “拐点转型”—2012年回顾&未来趋势分析 “深化创新”—等级保护服务的探索和实践 “服务平台化”—等级保护“云服务”平台 主题 基于等保建设全生命周期的咨询服务 系统定级 安全规划设计 安全实施 安全运维 系统终止 系统定级服务 差距分析评估 系统规划与方案设计服务 系统整改与集成实施服务 等保合规审计 基础运维服务 系统识别描述 系统等级划分 安全等级确定 协助定级备案 安全需求分析 等保体系设计 安全建设规划 整改方案设计 等级保护技术实施 等级保护管理实施 等保测评辅助 运行管理和控制 变更管理和控制 安全状态监控 安全事件处置与应急 安全检查和持续改进 监督检查协助 1 2 3 4 5 6 行业化推进：信息安全管理体系与行业监管融合 安全管理体系最佳实践 等级保护基本要求 业务安全 需求 信息安全管理体系ISMS 行业监管 要求 等级保护基本要求 行业等级保护基本要求 。。。。。。 ISO 27000系列 ISO 20000 。。。。。。 银行 证券期货 电力 电信 党政机关 。。。。。。 门户网站 电子银行 交易系统 。。。。。。 安全管家：等保测评后的安全运维服务 安全管家运维服务 服务理念：把您的安全交给我 ① 遵守客户工作及作息时间安排，服务过程认真负责细致入微； ② 驻场人员听从客户工作人员安排，与客户值班人员密切沟通，协调好工作； ③ 按时按质完成交办任务，网络、终端、服务器全覆盖； ④ 完善的汇报机制，确保客户对安全态势的掌握； ⑤ 各当日值班人员要求24小时手机开机； ⑥ 人员能力考核达标才能上岗，遵守等级保护人员管理要求。 对信息资产“了如指掌”-信息资产细化整理工作 对系统状态“安全可控”-强化信息系统安全审计 对系统事件“应对有方”-ITSM服务管理体系建设支持 对业务需求“保障有力”-安全管理体系落实 安全基线：应用确保技术措施有效落地 制定安全基线 应用安全基线 有效管理基线 安全基线工具 漏洞 扫描 配置 核查 评估与加固 安全 巡检 上线 检查 账号设置 密码设置 账号设置 密码设置 日志审核 环境配置 账号设置 密码设置 日志审核 环境配置 最小化服务 角色和权限管理 配置备份 配置增强 全生命周期：基于全生命周期安全管理 基于软件安全开发周期(SDL)对不满足业务安全需求和等级保护要求的业务系统进行安全改造 安全改造方式 二次开发、部署安全功能组件或者集成安全产品 安全功能增强 身份鉴别 、访问控制、数据加密传输、 日志管理和安全审计、数据库独立 领域拓展：无线局域网中实现等级保护安全要求 《信息安全技术信息系统安全等级保护基本要求》(GB／T22239) 领域拓展：无线局域网中实现等级保护安全要求 “拐点转型”—2012年回顾&未来趋势分析 “深化创新”—等级保护服务的