构建信息系统的安全管理平台框架和实践启明星辰.pptxVIP

标题页构建信息系统的平安管理平台——框架与实践北京启明星辰信息技术 咨询总监 赵呈东摘要构建信息平安管理平台原那么、要求和大思路了解资产和业务了解威胁了解保障措施框架具体任务和建议1. 原那么、要求和大思路中办发[20**]27号国家信息化领导小组关于加强信息平安保障工作的意见〔20**年8月26日〕加强信息平安保障工作-总体要求总体要求：坚持积极防御、综合防范的方针，全面提高信息平安防护能力，重点保障根底信息网络和重要信息系统平安，创立平安健康的网络环境，保障和促进信息化开展，保护公众利益，维护国家平安。加强信息平安保障工作-主要原那么主要原那么：立足国情，以我为主，坚持管理与技术并重；正确处理平安与开展的关系，以平安保开展，在开展中求平安；统筹规划，突出重点，强化根底性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息平安保障体系。加强信息平安保障工作-九项任务系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息平安监控体系应急处理体系加强技术研究，推进产业开展法制建设、标准化建设人才培养与全民平安意识保证信息平安资金加强对信息平安保障工作的领导，建立健全信息平安管理责任制20**年和20**年的动向20**年国家风险评估试点应急预案编写和演练等级保护工作试点和宣贯萨班斯法案在商业领域产生影响20**年等级保护评估工作20**年公通字7号文3月风险评估指南宣贯活动…平安的驱动力问题具体的平安事件等政策27号文等体系化整体规划合规性等级保护、风险评估等风险管理风险管理的理念从90年代开始，已经逐步成为引导信息平安技术应用的核心理念风险的定义对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]利用抗击增加增加暴露降低引出拥有被满足增加ISO13335以风险为核心的平安模型威胁漏洞一般风险评估的理论根底防护措施风险信息资产防护需求价值国信办报告中的风险９要素关系图最精简的风险管理３要素信息平安工作的思路信息平安工作不是仅仅防火墙、防病毒、入侵检测、管理制度… …已经逐步从单纯开发技术和产品本身，转向同时从整体保障框架着眼，解决实际问题，实现价值。从三个方面展开框架到底哪些问题对我们是真正的危害到底我们的系统中哪些是要重点保护的，我们的系统的特点和结构是什么到底哪些措施最有效，现有措施的效果如何专业厂商要协助客户完善保障体系2、了解威胁政务网络面临的问题多样化网络平安威胁隐蔽通道蠕虫病毒黑客攻击恶意代码政务网络异常流量逻辑炸弹内部、外部泄密违规操作3、了解资产和业务作平安必须了解资产和业务“正确处理平安与开展的关系，以平安保开展，在开展中求平安〞等级保护的要求也要我们做到对自身的了解，才能做到适度的防护我们对于信息系统的依赖程度决定了我们在平安上的投入业务资产保障措施威胁怎么了解资产和业务(IT相关)分析信息体系架构ITA业务系统网络分布形态系统的层次性技术和管理〔组织结构〕时间〔生命周期〕价值〔资产价值、影响价值、投入〕… …关于资产和业务方面的趋势用结构化的方法描述自身的资产和业务是更加系统化、更加全面地进行平安保护的根底平安域方法逐步成为比较现实地描述网络和系统环境的方法平安域的概念广义的平安域概念是具有相同和相似的平安要求和策略的IT要素的集合。这些IT要素包括：业务和使命策略和流程 物理环境主机和系统人和组织网络区域常见平安域的划分方法按照业务系统划分优点：自然形成、划分简单缺点：防护复杂、重复投资、影响易用性按照防护等级划分优点：防护简单、保护投资缺点：割接本钱高、影响易用性按照行为特征划分优点：针对常见的威胁进行更细致的防护缺点：需要详细分析业务系统的行为边界接入域互联网接入区外联网接入区内联网接入区内部网接入区计算环境域计算环境 一般效劳区计算环境 重要效劳区计算环境 核心区网络根底设施域支撑性设施域平安系统网管系统其它支撑系统骨干区聚集区接入区4、了解保障措施保障体系的实际组成技术环境——当前主流的根本平安产品加密防病毒防火墙入侵检测漏洞扫描身份认证VPN… …技术环境——当前主流的根本平安效劳咨询效劳整体框架规划和设计评估加固效劳对于主机和网络进行技术评估和加固风险评估效劳对系统的整体风险进行评估并对风险管理提供设计渗透性测试效劳平安教育和培训… …人工审计显示报告Scanner其他状态响外部响应检测系统漏洞评估中心应系统风险分析管（安全设决策支持IDS理备管理系与预警系统系统与网事件监控中心统管）FWAV策略管理平台资产管理平台资源管理平台主机与网络设备外部安全知识管自身安全用户管理其他事件协同知识库理平台检测系统平安管理平台成为一个值得考虑的选择5、框架信息平安保障框架资产清单面向网络拓扑基于平安域/业务域基于业务流分析 … …信息平安保障框架脆弱性管理