安全運(yùn)營管理最新ppt

1、安全(Quan)運(yùn)營管理體系V5第一頁，共三十九頁。2內(nèi)容(Rong)提要安全管理問題(Ti)與挑戰(zhàn)安全運(yùn)營管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營與收入保障安全運(yùn)營與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT 保障體系安全運(yùn)營管理體系建議安全運(yùn)營組織安全運(yùn)營支持層次安全運(yùn)營管理流程行動(dòng)建議和路線圖第二頁，共三十九頁。企業(yè)信(Xin)息安全 de 路線圖信息安全要融(Rong)入企業(yè)，適度安全即可信息安全很簡單，買些(Xie)FW/IDS/AV裝上就行了信息安全投入太大，太專業(yè)，太難了信息安全是國家和政府的事情，離我們太遠(yuǎn)了信息安全如何搞？拿來主義！“標(biāo)準(zhǔn)規(guī)范專家顧問”就搞定了“三分技術(shù)七分管理”信息安全要結(jié)合

2、實(shí)際IT環(huán)境，深入核心業(yè)務(wù)第三頁，共三十九頁。信息安全系統(tǒng)體(Ti)系架構(gòu)4第四頁，共三十九頁。5IT控制(Zhi)亟待解決的問題 變更控制過程并(Bing)不存在（特別是在分布式或基于Web的環(huán)境中） 針對(duì)關(guān)鍵應(yīng)用的安全程序、策略和配置結(jié)構(gòu)并沒有文件化 組織的安全策略、程序、角色與責(zé)任等方面存在差距 安全管理程序缺乏適當(dāng)?shù)目刂?，或者往往?缺乏人員離職或改變工作職責(zé)情況下對(duì)訪問進(jìn)行刪除或變更的控制（特別是對(duì)合同人員） 對(duì)訪問變更的批準(zhǔn)不夠充分 管理層對(duì)訪問級(jí)別沒有進(jìn)行有規(guī)律的復(fù)查和批準(zhǔn) 對(duì)系統(tǒng)的過度訪問 對(duì)操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用環(huán)境的特權(quán)訪問 職責(zé)分離不足 應(yīng)用開發(fā)者和數(shù)據(jù)庫管理員能夠訪問生

3、產(chǎn)系統(tǒng) 基礎(chǔ)架構(gòu)支持應(yīng)用不夠安全（網(wǎng)絡(luò)、OS、DB） 并沒有將IT控制集成到關(guān)鍵的業(yè)務(wù)過程中去（SDCL、變更控制、符合性、測試和數(shù)據(jù)轉(zhuǎn)換程序） 缺乏對(duì)控制持續(xù)有效的校驗(yàn)過程（至少應(yīng)該一個(gè)季度一次） 沒有對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估的長期策略第五頁，共三十九頁。6“安全運(yùn)(Yun)營管理”的定位安全運(yùn)營是指在安全策略的指導(dǎo)下，安全組織利用安全技術(shù)來達(dá)成安全保護(hù)目標(biāo)的過程安全運(yùn)營與IT運(yùn)營相輔相成、互為依托、共享資源與信息安全運(yùn)營與安全組織緊密聯(lián)(Lian)系，融合在業(yè)務(wù)管理和IT管理體系中安全(Quan)策略安全組織管理安全運(yùn)行維護(hù)安全技術(shù)基于運(yùn)行維護(hù)管理運(yùn)用基于指導(dǎo)落實(shí)遠(yuǎn)程接入管理辦法網(wǎng)帳號(hào)和口令管理策略

4、防病毒規(guī)范SOC規(guī)范中國網(wǎng)通信息安全主策略管理層指示安全框架最佳實(shí)踐管理維護(hù)管理執(zhí)行第六頁，共三十九頁。7內(nèi)容(Rong)提要安全管理問題與挑戰(zhàn)安全運(yùn)營管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營與收入保障安全運(yùn)營與薩班斯法案(An)符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT 保障體系安全運(yùn)營管理體系建議安全運(yùn)營組織安全運(yùn)營支持層次安全運(yùn)營管理流程行動(dòng)建議和路線圖第七頁，共三十九頁。8業(yè)務(wù)流程和(He)系統(tǒng)的發(fā)展對(duì)安全運(yùn)營管理提出新的要求呼叫(Jiao)中心 電子郵件 郵件短信 網(wǎng)站自助服務(wù)服(Fu)務(wù)開通 資源管理事件管理 工單管理客戶管理 客戶交互市場管理 項(xiàng)目管理管線資源、無線設(shè)備接入網(wǎng)、傳輸、交換話音、互聯(lián)網(wǎng)XML/

5、UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-LevelAgreement資源管理 工單管理 配置管理 性能管理 安全管理 變更管理 服務(wù)水平管理計(jì)費(fèi) 結(jié)算 帳務(wù) 伙伴管理 經(jīng)營分析 決策支持商業(yè)智能BASS管理層市場部計(jì)劃部客服計(jì)費(fèi)網(wǎng)絡(luò)部網(wǎng)管中心整合前后端，全程調(diào)度訂單-資源-服務(wù)開通-更新客戶資料-報(bào)竣申訴-客戶資料-網(wǎng)管工單-解決-報(bào)竣訂單-資源-立項(xiàng)采購-更新資源庫-服務(wù)開通-更新客戶資料-報(bào)竣BOSS綜合網(wǎng)管安全運(yùn)營平臺(tái)安全運(yùn)營一方面需要適應(yīng)業(yè)務(wù)流程和系統(tǒng)的發(fā)展，另外一方面幫助控制整合后系統(tǒng)的安全風(fēng)險(xiǎn)第八頁，共三十九頁。9電信運(yùn)營(Ying)商典型

6、的收入生成過程示意圖在收入生成的很多環(huán)節(jié)上都有可能因?yàn)榘踩{而(Er)造成收入流失！第九頁，共三十九頁。10找回遺漏收入提高利潤減少收入的(De)延遲減少和防范新的收入流失企業(yè)資源計(jì)劃ERP集成化的、條理化（Streamlined）的市場和客戶響應(yīng)流程系統(tǒng)平臺(tái)完備的客戶資料系統(tǒng)和運(yùn)營數(shù)據(jù)系統(tǒng)數(shù)據(jù)倉庫(Ku)和主題分析集成化、自動(dòng)化的BOSS系統(tǒng)高效的數(shù)據(jù)業(yè)務(wù)管理平臺(tái)集成化的、條理化的內(nèi)部IT運(yùn)維管理平臺(tái)優(yōu)化的、完備的KPI指標(biāo)體系，及其收集、分析與展示完備的備份和災(zāi)難恢復(fù)能力根源分析能力收入(Ru)保障目標(biāo)安全運(yùn)營保證收入優(yōu)化主要可用的IT手段 廣義的收入保障與安全運(yùn)營計(jì)費(fèi)數(shù)據(jù)的完整性、可用

7、性、可信性客戶資料的完整性和可信性減少人為錯(cuò)誤、濫用誤用等帶來的損失跨系統(tǒng)層和應(yīng)用層的完整的身份和授權(quán)管理 保證關(guān)鍵流程點(diǎn)的有效性和可審計(jì)性提高系統(tǒng)和服務(wù)的可用性，以及業(yè)務(wù)連續(xù)提供能力提高客戶安全故障的快速響應(yīng)能力保護(hù)客戶數(shù)據(jù)和隱私穩(wěn)定服務(wù)質(zhì)量考察并保障主要收入流程和系統(tǒng)BOSS的升級(jí)和穩(wěn)定運(yùn)行規(guī)范管理SP的服務(wù)提供和計(jì)費(fèi)快速響應(yīng)市場的需求變化提升客戶滿意度提高計(jì)費(fèi)準(zhǔn)確性提高服務(wù)開通/服務(wù)停止準(zhǔn)確性提升客戶滿意度降低成本和風(fēng)險(xiǎn)疏理現(xiàn)有計(jì)費(fèi)體系，找出問題剔除存在的差異，降低錯(cuò)誤率分析欠費(fèi)類型，降低壞賬風(fēng)險(xiǎn)分析號(hào)碼資源利用，提高利用率分析路由和網(wǎng)絡(luò)資源利用，降低成本提升管理水平完善內(nèi)控體系，實(shí)現(xiàn)閉

8、環(huán)管理建立KPI稽核體系，有效進(jìn)行收入控制自動(dòng)化工具，固化流程，大幅提高執(zhí)行能力精確的財(cái)務(wù)和管理報(bào)表提高部門間協(xié)作，快速解決運(yùn)營中出現(xiàn)的問題第十頁，共三十九頁。SOX符合性對(duì)企業(yè)的(De)影響因?yàn)榭煽康呢?cái)務(wù)報(bào)告過程有賴于IT，所以，IT在SOX 404符合性努力過程中扮演著關(guān)鍵的角色；對(duì)許多組織來說，SOX可以簡化為對(duì)現(xiàn)有責(zé)任的法律條文化。這些IT控制責(zé)任早已存在，不(Bu)過，SOX可能要求進(jìn)行額外的形式化，并且要求在文件化和測試方面做出努力公司應(yīng)該確保IT在SOX符合性努力中扮演主動(dòng)的角色：參與符合性領(lǐng)導(dǎo)委員會(huì)理解財(cái)務(wù)報(bào)告過程，就IT（應(yīng)用、基礎(chǔ)架構(gòu)、安全等）的依賴性進(jìn)行溝通在確保財(cái)務(wù)報(bào)告

9、過程具有充分控制方面，建立IT的角色文件化IT風(fēng)險(xiǎn)及與財(cái)務(wù)報(bào)告過程相關(guān)的控制定期測試控制，改進(jìn)重要的不足建立監(jiān)視活動(dòng)，以確保IT控制在特定時(shí)間內(nèi)的效力第十一頁，共三十九頁。12安全管理與技術(shù)的發(fā)展體現(xiàn)出(Chu)以下三個(gè)趨勢走向規(guī)范(Fan)標(biāo)準(zhǔn) BS7799/ ISO17799/ ISO27001 ITIL / eTOM CoBIT X.805 國內(nèi)正在制定越來越多的國家標(biāo)準(zhǔn)和規(guī)范(Fan)，例如風(fēng)險(xiǎn)評(píng)估規(guī)范(Fan)、風(fēng)險(xiǎn)管理規(guī)范(Fan)等集成應(yīng)用安全與系統(tǒng)安全 關(guān)鍵應(yīng)用的身份、授權(quán)與審計(jì)成為企業(yè)內(nèi)控的必備首選 完備的職責(zé)分離設(shè)計(jì)(SOD)和權(quán)限管理 安全管理系統(tǒng)走向平臺(tái)化、集成化與IT

10、管理集成與應(yīng)用集成深入企業(yè)管理核心流程 收入保障需要安全管理提供的數(shù)據(jù)和業(yè)務(wù)安全保障 SOX符合性需要安全管理提供的“內(nèi)控” 業(yè)務(wù)連續(xù)性管理與安全保障密不可分 安全作為增值服務(wù) 安全成為市場競爭力第十二頁，共三十九頁。13安全運(yùn)營需要參考COBITITILBS7799等最佳實(shí)(Shi)踐COBIT重點(diǎn)在于IT控制和IT度量評(píng)價(jià)，但是沒有講如何做，也不(Bu)專注在安全I(xiàn)TIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付，但是沒有安全和開發(fā)ISO/IEC17799重點(diǎn)在于IT安全控制，但沒有講如何做參照CobiT和ISO17799來進(jìn)行(Xing)安全健康檢查/審計(jì)，并識(shí)別過程和控制中的脆弱性參

11、照ITIL來提高IT過程和控制，參照ISO17799來提高安全過程和控制參照ITIL來定義技術(shù)參照CobiT來定義“度量”和KPIITIL還可以用來作為架構(gòu)方面的參照架構(gòu)和角色度量過程技術(shù)控制人SOX compliance is one of the business objectives of security operations !第十三頁，共三十九頁。14故障性能配置變更連續(xù)性服務(wù)質(zhì)量(Liang)服務(wù)臺(tái)IT保障身份認(rèn)證安全域訪問控制漏洞補(bǔ)丁風(fēng)險(xiǎn)(Xian)評(píng)估入侵檢測日志審計(jì)安全保障關(guān)鍵業(yè)(Ye)務(wù)的雙重保障OSS服務(wù)開通資源管理網(wǎng)絡(luò)管理服務(wù)管理存儲(chǔ)備份OA/MSSEAI流程模型數(shù)據(jù)

12、模型業(yè)務(wù)模型BSSCRM數(shù)據(jù)采集計(jì)費(fèi)帳務(wù)綜合結(jié)算經(jīng)營分析業(yè)務(wù)關(guān)聯(lián)根源分析管理應(yīng)用數(shù)據(jù)庫操作系統(tǒng)存儲(chǔ)及IT硬件各種網(wǎng)元設(shè)施管理第十四頁，共三十九頁。15內(nèi)(Nei)容提要安全管理問題與挑戰(zhàn)安全運(yùn)營管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營與收入保障安全運(yùn)營與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT 保障體系安全運(yùn)營管理體系建議安全運(yùn)營組織安全運(yùn)營支持層次(Ci)安全運(yùn)營管理流程行動(dòng)建議和路線圖第十五頁，共三十九頁。安全運(yùn)營是(Shi)IT 治理的重要保障環(huán)節(jié)SOX符合(He)性收(Shou)入保障業(yè)務(wù)戰(zhàn)略計(jì)費(fèi)營帳結(jié)算客服經(jīng)營分析IT保障變更管理事件管理問題管理配置管理綜合監(jiān)控服務(wù)臺(tái) 應(yīng) 用 開 發(fā) BOSS BA

13、SS質(zhì)量&稽核優(yōu)化支持安全保障數(shù)據(jù)安全系統(tǒng)安全應(yīng)用安全安全運(yùn)營IT, 網(wǎng)管安全日常運(yùn)營安全支撐關(guān)系建立并完善安全運(yùn)營管理體系，是提高安全保障能力的重要步驟！其中包含了人員組織、流程服務(wù)以及技術(shù)工具等多方面的建設(shè)要求！規(guī)劃建設(shè) BOSS BASS應(yīng)用業(yè)務(wù)第十六頁，共三十九頁。層次化的安全運(yùn)營支持(Chi)體系第十七頁，共三十九頁。18主要管理(Li)流程關(guān)系示意圖安全監(jiān)(Jian)控網(wǎng)管監(jiān)(Jian)控類別基礎(chǔ)架構(gòu)系統(tǒng)軟件業(yè)務(wù)配套設(shè)施安全系統(tǒng)安全風(fēng)險(xiǎn)管理安全資產(chǎn)事件性質(zhì)審告故障咨詢業(yè)務(wù)處理維護(hù)作業(yè)其它安全第十八頁，共三十九頁。Security On-Demand 【2003年(Nian)11月】

14、安全是一種服務(wù)(業(yè)務(wù))Security is a service安全與業(yè)務(wù)緊密對(duì)應(yīng)Map Security to business安全像服務(wù)一樣運(yùn)行Run Security as a service安全“根源分(Fen)析”Security Root-cause analysis安全就緒的IT基礎(chǔ)架構(gòu)Security-ready IT infrastructure服務(wù)知曉的安全Service-aware security開放互通集成安全自我管理Self-managing Security互操作與自動(dòng)響應(yīng)Auto-response and Interoperability可 度 量可 考 核(H

15、e)可 管 理資產(chǎn)風(fēng)險(xiǎn)優(yōu)先級(jí)流程標(biāo)準(zhǔn)化模塊化集成性深層防御面向業(yè)務(wù)智能相關(guān)AlignmentEfficientResponsive第十九頁，共三十九頁。20安全服務(wù)是部分安全流程(Cheng)的封裝和抽象安全服務(wù)具有服務(wù)對(duì)象、服務(wù)內(nèi)容、服務(wù)形式、服務(wù)質(zhì)量等屬性。通常，一項(xiàng)安全服務(wù)由跨(Kua)多個(gè)安全流程的多種安全活動(dòng)來提供。安全服務(wù)面向服務(wù)對(duì)象的體驗(yàn)與質(zhì)量關(guān)鍵指標(biāo)，安全流程則面向?qū)嶋H的安全運(yùn)營管理過程與活動(dòng)。安全服務(wù)是相互關(guān)聯(lián)的若干安全流程和活動(dòng)的封裝與客戶展現(xiàn)。安全(Quan)活動(dòng)安全流程安全服務(wù)安全使命企業(yè)關(guān)鍵業(yè)務(wù)信息系統(tǒng)元素管理層其他IT小組最終用戶面向管控面向服務(wù)安全運(yùn)營服務(wù)可以首先

16、考慮試行安全緊急響應(yīng)服務(wù)、安全報(bào)告服務(wù)等，選擇具有明確客戶界面、活動(dòng)較為成熟的部分作為試行、堅(jiān)持逐步推進(jìn)的原則，成熟一塊，推行一塊，考核一塊?！皥?zhí)行力”是其中的關(guān)鍵。第二十頁，共三十九頁。21技術(shù)(Shu)路線收集整理各個(gè)組織安全相關(guān)的活動(dòng)進(jìn)行業(yè)務(wù)分析納入標(biāo)準(zhǔn)過程，定義安全配置管理庫設(shè)計(jì)(Ji)原則收集管理層(Ceng)賦予安全工作的使命和業(yè)務(wù)部門的要求進(jìn)行業(yè)務(wù)分析標(biāo)準(zhǔn)化安全服務(wù)目錄11安全過程安全服務(wù)臺(tái)安全應(yīng)急響應(yīng)管理安全配置管理安全變更管理安全問題管理安全預(yù)警管理安全風(fēng)險(xiǎn)管理安全審計(jì)管理安全服務(wù)安全事件響應(yīng)帳號(hào)與口令補(bǔ)丁管理安全審計(jì)安全培訓(xùn)安全報(bào)告223實(shí)現(xiàn)指導(dǎo)安全過程的設(shè)計(jì)需要緊密結(jié)合既

17、定過程和流程，緊密融合，尤其是服務(wù)臺(tái)和事件管理安全配置管理重點(diǎn)考慮各種安全設(shè)備的安全特有屬性安全服務(wù)設(shè)計(jì)的原則是在保障“安全管控”效果的同時(shí)，為安全工作的各個(gè)“客戶”提供良好的界面安全服務(wù)和過程需要相應(yīng)的技術(shù)手段來支撐實(shí)現(xiàn)第二十一頁，共三十九頁。22內(nèi)容提(Ti)要安全管理問題與挑戰(zhàn)安全運(yùn)營管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營與收入保障安全運(yùn)營與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)(Shi)踐IT 保障體系安全運(yùn)營管理體系建議安全運(yùn)營組織安全運(yùn)營支持層次安全運(yùn)營管理流程行動(dòng)建議和路線圖第二十二頁，共三十九頁。安全管(Guan)理與IT管理的交替融合身(Shen)份管理應(yīng)用和數(shù)據(jù)(Ju)安全安全域劃分和邊界整

18、合安全集中監(jiān)控IP網(wǎng)管理(3G/NGN的IP核心)VoIP管理MPLS VPN管理資產(chǎn)管理和軟件分發(fā)日志審計(jì)ITIL ServieDesk流程整合服務(wù)管理反病毒Network & System Fault Management故障管理Network & System Perf. Management性能管理主機(jī)訪問控制網(wǎng)絡(luò)流量分析IT綜合網(wǎng)管監(jiān)控IT網(wǎng)管與安全集成3G/NGN/IMS綜合安全保障IT管理安全管理相互依賴IT服務(wù)管理之服務(wù)提供第二十三頁，共三十九頁。安全運(yùn)營管理中心(Xin)的建設(shè)SOC安全運(yùn)營管(Guan)理中心安全系統(tǒng)(Tong)元素變更與發(fā)布事件管理安全主管和管理員IT系統(tǒng)

19、管理員/兼職安全管理配置信息內(nèi)部活動(dòng)：策略與審計(jì)漏洞與補(bǔ)丁事件分析帳號(hào)口令情報(bào)、教育活動(dòng)延伸：維護(hù)監(jiān)視記錄第二十四頁，共三十九頁。安全運(yùn)營建(Jian)設(shè)進(jìn)階數(shù)(Shu)據(jù)信(Xin)息知識(shí)行動(dòng)關(guān)注收集層次化布署平臺(tái)應(yīng)用覆蓋性能可靠性保存開放性關(guān)注過濾過濾機(jī)制合并機(jī)制靈活性實(shí)施能力智能性開放性關(guān)注相關(guān)相關(guān)規(guī)則挖掘?qū)嵤┠芰χ悄苄蚤_放性關(guān)注流程管理成熟度人流程技術(shù)專家知識(shí)實(shí)施能力靈活性開放性錯(cuò)誤或者失衡的資源分配和投資比例錯(cuò)誤的架構(gòu)、不匹配的組織認(rèn)為SOC的建設(shè)主要是產(chǎn)品安裝，對(duì)建設(shè)中項(xiàng)目風(fēng)險(xiǎn)認(rèn)識(shí)不足設(shè)計(jì)建設(shè)SOC時(shí)沒有考慮IT基礎(chǔ)設(shè)施的特點(diǎn)定義了不適當(dāng)?shù)捻?xiàng)目目標(biāo)集成商和原廠家的技術(shù)支持力度不夠?qū)?/p>

20、選擇SOC產(chǎn)品的可擴(kuò)展性、健壯性、性能沒有透徹的了解沒有設(shè)計(jì)好相應(yīng)的管理和應(yīng)急流程認(rèn)為SOC建設(shè)完、驗(yàn)收結(jié)束就大功告成第二十五頁，共三十九頁。26Symantec助力安全運(yùn)(Yun)營管理“Operate” is the result of a brainstorming session between Symantec & Emagined Security and is not official.標(biāo)準(zhǔn)Create/Select standardAssess controlsDetect deviationsRemediate deficiencies權(quán)限Gather effective p

21、ermissionsTranslate permissions into human readable formatRoute entitlements to data owner for review & approval責(zé)任Assess non-programmatically assessable controlsReport with risk weighted modelCentralize view of procedural controls策略Define/managewritten policiesDistribute policies &track exceptionsDe

22、monstrate coverageDisplay evidenceNISTPCICobitSOXISOGLBAFISMAMalwarePolicyEndpointPolicyDataProtectionPolicy第二十六頁，共三十九頁。采用基準(zhǔn)風(fēng)險(xiǎn)分(Fen)析查看結(jié)果調(diào)度策略運(yùn)行時(shí)間定制模塊添加模塊創(chuàng)建策略第二十七頁，共三十九頁。策略一(Yi)致性管理策略管理需求如何確保企業(yè)符合諸如SarbanesOxley 法(Fa)案的要求？如何監(jiān)控和審查IT系統(tǒng)中安全策略的執(zhí)行情況？如何將口頭或紙面的策略要求落到IT系統(tǒng)的配置上？如何通過提升下列的能力來改善我們的SLA：弱點(diǎn)響應(yīng)補(bǔ)丁管理歸檔策略電子郵件策略遵從性報(bào)告配置審核第二十八頁，共三十九頁。29企(Qi)業(yè)安全策略與標(biāo)準(zhǔn)的管理跟蹤取證試點(diǎn)分發(fā)編寫第二十九頁，共三十九頁。30技(Ji)術(shù)標(biāo)準(zhǔn)管理糾正 違規(guī)檢測訪問控制選擇與建立Includes Technical Standards From CIS, NSA Covers Windows