企業(yè)信息安全體系課件

2014年6月19日企業(yè)信息安全體系建設(shè)

交流討論材料2014年6月19日企業(yè)信息安全體系建設(shè)1第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的體系架構(gòu)第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全管理的實踐

2第二部分目錄企業(yè)信息安全的體系架構(gòu)第三部分企業(yè)信息安23超級互聯(lián)的商業(yè)世界與極其復(fù)雜的IT環(huán)境超級互聯(lián)的商業(yè)世界：激增的數(shù)字業(yè)務(wù)信息存儲在消費者和企業(yè)所使用的虛擬云和社交平臺、儀器、移動設(shè)備中，且可供訪問。這就創(chuàng)造了一個極其復(fù)雜的

IT環(huán)境

—可能的攻擊點幾乎是無限的高級持續(xù)性的安全威脅：最有經(jīng)驗的對手現(xiàn)在正帶來高級持續(xù)性威脅，他們通過密切的關(guān)注的堅持不懈來獲取敏感業(yè)務(wù)信息的訪問權(quán)限。這些攻擊利用尖端的方法，可持續(xù)無限長的時間且具有專門的目標(biāo)傳統(tǒng)IT防御的有效性：如今，愈加多樣的威脅侵蝕著傳統(tǒng)

IT防御

(比如防火墻和防病毒軟件

)的有效性，甚至在許多情況下完全避開了這些控制企業(yè)面臨的安全挑戰(zhàn)：所有企業(yè)都迫切希望找到信任、透明度和隱私之間的絕佳平衡。企業(yè)實現(xiàn)這種更具挑戰(zhàn)性的平衡而面臨的三大壓力：攻擊面擴(kuò)大攻擊模式擴(kuò)散且手法熟練威脅和解決方案異常復(fù)雜*

根據(jù)思科2014年安全報告，IBM安全報告3超級互聯(lián)的商業(yè)世界與極其復(fù)雜的IT環(huán)境超級互聯(lián)的商業(yè)世界34業(yè)務(wù)

業(yè)務(wù)IT支撐IT支撐客戶企業(yè)IT技術(shù)客戶企業(yè)IT技術(shù)傳統(tǒng)業(yè)務(wù)模式新業(yè)務(wù)模式傳統(tǒng)的企業(yè)運(yùn)作模式

信息安全僅作為后臺數(shù)據(jù)的保障

基本與業(yè)務(wù)無關(guān)的信息安全需求新的安全考慮

安全是一個企業(yè)整體需求

風(fēng)險評估和企業(yè)連續(xù)戰(zhàn)略都是今

天董事會上討論的話題

企業(yè)對受過安全培訓(xùn)的人員需求

越來越高業(yè)務(wù)模式的變革增加了企業(yè)信息安全的壓力新的企業(yè)運(yùn)作模式

因客戶和IT直接連線導(dǎo)致IT

和業(yè)

務(wù)流程的匯合

安全不是單獨的解決方案4業(yè)務(wù) 業(yè)務(wù)IT支撐客戶企業(yè)IT技術(shù)客戶企業(yè)IT技術(shù)傳統(tǒng)業(yè)務(wù)45

企業(yè)的信息安全需求來自以下方面：法律法規(guī)與合同條約的要求組織原則目標(biāo)和規(guī)定風(fēng)險評估的結(jié)果風(fēng)險評估是信息安全管理的基礎(chǔ)企業(yè)的信息安全需求與風(fēng)險管理視角安全策略Security

Policy

保護(hù)

Protect

應(yīng)急計劃Emergenc

y

Plan

轉(zhuǎn)移

Mitigate風(fēng)險分析

RiskAnalysis

預(yù)防

Prevent

從業(yè)務(wù)出發(fā)才能了解企業(yè)的風(fēng)險

關(guān)注安全遵守才能降低企業(yè)的風(fēng)險

殘余風(fēng)險

Residual

Risk

接受

Risk5 企業(yè)的信息安全法律法規(guī)與合同企業(yè)的信息安全需求與風(fēng)險管5第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的基本框架第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全新領(lǐng)域挑戰(zhàn)

6第二部分目錄企業(yè)信息安全的基本框架第三部分企業(yè)信息安67企業(yè)信息安全框架的基本層面戰(zhàn)略和治理框架合規(guī)和策略遵從安全治理、風(fēng)險管理與合規(guī)

風(fēng)險管理框架

安全運(yùn)維

視角：企業(yè)信息安全需要

從全方位的視角去管理，

而不是通過單一系統(tǒng)或程

序來實現(xiàn)

框架：合適的信息安全框

架有利于指導(dǎo)安全體系的

建設(shè)

層次：從體系框架的角度，

分為三層：

安全治理、風(fēng)險管理

與合規(guī)

安全運(yùn)維

基礎(chǔ)安全服務(wù)與架構(gòu)安全事件

安全事件

安全事件

安全策略

安全績效

安全外包

監(jiān)控

響應(yīng)

審計

管理

管理

管理

安全運(yùn)維

物理安全

。機(jī)房安全。視頻監(jiān)控安全

基礎(chǔ)安全服務(wù)與架構(gòu)基礎(chǔ)架構(gòu)安全

應(yīng)用安全

數(shù)據(jù)安全

身份與訪問安全

。網(wǎng)絡(luò)安全

。開發(fā)生命周期

。數(shù)據(jù)生命周期

。身份驗證

。主機(jī)安全

安全

管理

。訪問管理

。終端安全

。業(yè)務(wù)流程安全

。數(shù)據(jù)泄露保護(hù)

。身份生命周期

。Web應(yīng)用安全

。數(shù)據(jù)加密

管理

。應(yīng)用開發(fā)環(huán)境

。數(shù)據(jù)歸檔、。

災(zāi)難恢復(fù)

安全7企業(yè)信息安全框架的基本層面戰(zhàn)略和治理框架合規(guī)和策略遵從安全78安全治理、風(fēng)險管理與合規(guī)安全治理、風(fēng)險管理與合規(guī)是企業(yè)安全框架的最頂層，是業(yè)務(wù)驅(qū)動安全的出發(fā)點通過對企業(yè)業(yè)務(wù)和運(yùn)營風(fēng)險的評估，確定其戰(zhàn)略和治理框架，風(fēng)險管理框架，定義合規(guī)和策略遵從，確立信息安全文檔管理體系信息安全治理不同于信息安全管理，是在宏觀層面的戰(zhàn)略角度上，對信息安全戰(zhàn)略上的過程、結(jié)構(gòu)與聯(lián)系進(jìn)行梳理與監(jiān)控，以確保組織信息系統(tǒng)的安全運(yùn)營管理能夠沿著正確方向演進(jìn)

戰(zhàn)略與治理框架?為組織的信息安全定義戰(zhàn)略

框架?指明具體安全管理工作的目

標(biāo)和職責(zé)范圍?安全意識培養(yǎng)

–

宣傳教育

風(fēng)險管理?對象確立?風(fēng)險評估?風(fēng)險處理?審核批準(zhǔn)?監(jiān)控審查?溝通咨詢

合規(guī)與策略遵從?加強(qiáng)對規(guī)范策略了解?確立企業(yè)需要合規(guī)的具體內(nèi)

容和實現(xiàn)方式?合規(guī)性建設(shè)，從管理與技術(shù)

面落實規(guī)范與策略要求?合規(guī)性審計，提供綜合性評

述8安全治理、風(fēng)險管理與合規(guī)安全治理、風(fēng)險管理與合規(guī)是企業(yè)安89相關(guān)標(biāo)準(zhǔn)規(guī)范：ISO27002與ISMS信息安全管理體系ISMS信息安全管理體系框架ISO27002是一個完整的信息安全控制模型，包含了11個主題，可以為企業(yè)帶來：

受業(yè)界廣泛認(rèn)同的方法論

按業(yè)界最佳實踐方針開展信息安全評估、實施、維護(hù)和管理

為定義策略、標(biāo)準(zhǔn)、流程提供框架指南9相關(guān)標(biāo)準(zhǔn)規(guī)范：ISO27002與ISMS信息安全管理體系I910信息安全運(yùn)維安全事件監(jiān)控

安全事件收

集

安全事件歸

并過濾

安全事件標(biāo)

準(zhǔn)化

安全事件關(guān)

聯(lián)分析

安全事件顯

示安全事件響應(yīng)

記錄日志

分析確認(rèn)

事件處理

系統(tǒng)恢復(fù)

事后分析與

跟蹤安全事件審計

全面的日志

采集

審計記錄的

規(guī)范化工作

基于策略的

日志過濾

本地與網(wǎng)絡(luò)

結(jié)合的審計

體系

多維關(guān)系分

析工作

符合法案的

內(nèi)控報表工

作安全策略管理

主策略

技術(shù)標(biāo)準(zhǔn)和

規(guī)范

管理規(guī)定和

辦法

操作流程

用戶協(xié)議

培訓(xùn)資料和

用戶手冊安全績效管理

安全績效考

核計劃

安全績效考

核方法

人員角色

成熟度安全外包服務(wù)

提供安全防

護(hù)設(shè)備

提供運(yùn)營維

護(hù)與安全事

件監(jiān)控服務(wù)

制定安全運(yùn)

營策略及流

程

提供綜合網(wǎng)

絡(luò)安全服務(wù)

提供專級監(jiān)

控

…

…安全運(yùn)維是指在安全策略的指導(dǎo)下，安全組織利用安全技術(shù)來達(dá)成安全保護(hù)的過程安全運(yùn)維與IT運(yùn)維相輔相成、互為依托、共享信息和資源安全運(yùn)維與安全組織緊密聯(lián)系，融合在業(yè)務(wù)管理和IT管理體系中10信息安全運(yùn)維安全事件監(jiān)控安全事件響應(yīng)安全事件審計安全策略10基礎(chǔ)安全服務(wù)與架構(gòu)基礎(chǔ)安全服務(wù)與架構(gòu)定義了企業(yè)信息安全框架中的五個核心的基礎(chǔ)技術(shù)架構(gòu)和相關(guān)服務(wù)基礎(chǔ)安全服務(wù)于架構(gòu)是安全運(yùn)維和管理的對象，其功能由各自的子系統(tǒng)提供保證身份和訪問安

全

身份驗證

訪問管理

身份生命周

期數(shù)據(jù)安全

數(shù)據(jù)生命周

期安全

數(shù)據(jù)泄露防

護(hù)

數(shù)據(jù)加密數(shù)據(jù)歸檔災(zāi)難備份及

恢復(fù)

11應(yīng)用安全

應(yīng)用開發(fā)生

命周期安全

業(yè)務(wù)流程安

全

應(yīng)用開發(fā)環(huán)

境安全Web應(yīng)用安

全基礎(chǔ)架構(gòu)安全

網(wǎng)絡(luò)及周邊

安全

主機(jī)安全

終端安全物理安全

機(jī)房物理安

全

視頻監(jiān)控安

全

…

…基礎(chǔ)安全服務(wù)與架構(gòu)基礎(chǔ)安全服務(wù)與架構(gòu)定義了企業(yè)信息安全框架11第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的基本框架第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全新領(lǐng)域挑戰(zhàn)

12第二部分目錄企業(yè)信息安全的基本框架第三部分企業(yè)信息安12企業(yè)信息安全體系總體建設(shè)方法企業(yè)業(yè)務(wù)

需求企業(yè)信息安全框架安全需求信息安全運(yùn)維體系企業(yè)信息安全框架參考和吸取了行業(yè)經(jīng)驗與實踐，可作為建設(shè)的參照從企業(yè)需求出發(fā)，參照企業(yè)信息安全框架，通過評估和風(fēng)險分析等方法，定義企業(yè)安全需求根據(jù)企業(yè)安全需求，定義企業(yè)信息安全建設(shè)的內(nèi)容與方向

信息安全

管理體系信息安全技術(shù)體系

13企業(yè)信息安全體系總體建設(shè)方法企業(yè)業(yè)務(wù)企業(yè)信息安全需求信息安1314企業(yè)參照安全框架模型來幫助信息安全體系的建立

專業(yè)服務(wù)Professional

Services管理服務(wù)

Managed

Services

軟硬件

Hardware&

Software網(wǎng)絡(luò)、服務(wù)器、終端

Network,

Server,

and

End-point物理安全

Physical

Facilities共同的策略、事件處理與報告人員與身份

People

and

Identity實現(xiàn)方式…

管控與風(fēng)險管理

Governance

and

Risk

Management結(jié)構(gòu)化的控制框架支持性能、風(fēng)險與符合性管理

Structured

control

framework

supporting

performance,

risk

and

compliance

management.

安全架構(gòu)

威脅緩解與業(yè)務(wù)支持

Threat

Mitigation

and

Business

Enablement

數(shù)據(jù)與信息

流程與應(yīng)用

Data

and

Process

and

Information

Application?

管理上：管控與風(fēng)險管理是安全的基礎(chǔ)，它包括策略定義、遵從與合規(guī)、以及與審計相關(guān)的活動?

技術(shù)上：威脅緩解與業(yè)務(wù)支持包括5大類安全功能，構(gòu)成了安全技術(shù)架構(gòu)?

安全管理與技術(shù)：通過專業(yè)服務(wù)、管理服務(wù)、軟硬件部署三種形式來提供14企業(yè)參照安全框架模型來幫助信息安全體系的建立 專業(yè)服務(wù)管14

組織與人員

流程安全管理架構(gòu)

技術(shù)安全技術(shù)架構(gòu)業(yè)務(wù)邏輯

15IT

基

礎(chǔ)

架

構(gòu)

執(zhí)行企業(yè)信息安全體系建設(shè)是人員、流程與技術(shù)的整合

越來越多的企業(yè)認(rèn)識到：必須整合企業(yè)組織與人員、管理體系與流程、技術(shù)手段三

方面因素，設(shè)計一致完整的安全架構(gòu)、并持續(xù)實施才能獲得理想的安全管控效果若干誤區(qū)：?

網(wǎng)絡(luò)安全和信息安全概念

的混淆?

重視技術(shù)，輕視管理?

重視產(chǎn)品功能，輕視人為

因素?

重視對外安全，輕視內(nèi)部

安全?

靜態(tài)不變的觀念?

缺乏整體性信息安全體系

的考慮 組織與人員 技術(shù)業(yè)務(wù)邏輯IT基礎(chǔ)架構(gòu)企業(yè)信息15流程

全架構(gòu)作業(yè)

準(zhǔn)

Product16企業(yè)信息安全管理架構(gòu)應(yīng)包含的內(nèi)容

企業(yè)信息安全金字塔描述了企業(yè)安全架構(gòu)的構(gòu)

成

安全原則：描述信息安全的業(yè)務(wù)需求價值安全政策：描述信息安全的目地、方向、愿景及責(zé)任安全標(biāo)準(zhǔn)：信息安全實施規(guī)則，包括技術(shù)、方法及其它細(xì)節(jié)安全流程：于跨單位實施政策標(biāo)準(zhǔn)的活動、工作及程序安全步驟：描述個人在流程上的詳細(xì)工作安全架構(gòu)：信息安全技術(shù)如何結(jié)合的細(xì)節(jié)安全產(chǎn)品：信息安全解決方案所選的產(chǎn)品及工具ISO27001要求企業(yè)建立起PDCA的模型，確保信息安全的持續(xù)發(fā)展。產(chǎn)品步驟

建議策略

安

標(biāo)原則流程全架構(gòu)作業(yè)準(zhǔn)Product16企業(yè)信息安全管16事件匯總17企業(yè)信息安全技術(shù)架構(gòu)應(yīng)包括的內(nèi)容完整性審計信任管理信息流控制接入控制授權(quán)管理信任關(guān)系確認(rèn)管理審計系統(tǒng)接口

認(rèn)證管理接入控制接入控制

策略審計系統(tǒng)接口信息流策略服務(wù)

信息流管理

數(shù)據(jù)流控圖數(shù)據(jù)流過濾、邊界防護(hù)審計系統(tǒng)接口信任關(guān)系庫信息關(guān)系分發(fā)

信任關(guān)系生命周期管理信任管理--單點登陸審計分析審計報告

生成

審計事件產(chǎn)生事件收集實時事件分析審計管理系統(tǒng)安全優(yōu)化、可用性應(yīng)用安全測試管理災(zāi)難恢復(fù)審計系統(tǒng)接口物理防護(hù)事件匯總17企業(yè)信息安全技術(shù)架構(gòu)應(yīng)包括的內(nèi)容完整性審計信任管1718企業(yè)信息安全管理體系的建設(shè)信息安全管理體系是信息安全保障體系的重要組成部分信息安全管理體系框架從企業(yè)管理的層面出發(fā)，按照多層防護(hù)的思想，為實現(xiàn)信息安全戰(zhàn)略而搭建

安全政策，標(biāo)準(zhǔn)–

管理規(guī)定

安全意識培養(yǎng)

–

宣傳教育

安全組織

–

管理控制

審計

–

監(jiān)督

風(fēng)險評估

–發(fā)現(xiàn)問題18企業(yè)信息安全管理體系的建設(shè)信息安全管理體系是信息安全保1819企業(yè)信息安全運(yùn)維體系的建設(shè)包含的內(nèi)容

威脅分析與預(yù)警

安全狀態(tài)和時間的監(jiān)控

安全事件或事故的響應(yīng)

基于安全管控目標(biāo)的操作行為與

日志審計系統(tǒng)達(dá)到的效果

統(tǒng)一的管理模式

規(guī)范化的管理流程

自動化的管理操作

高級的維護(hù)管理

量化的評估標(biāo)準(zhǔn)

科學(xué)的考核體系

防患于未然19企業(yè)信息安全運(yùn)維體系的建設(shè)包含的內(nèi)容達(dá)到的效果1920企業(yè)信息安全技術(shù)體系的建設(shè)合適的安全技術(shù)解決方案，不但需要理解安全管理的要求，同時也為安全運(yùn)維管理提供易于操作的平臺企業(yè)安全技術(shù)體系的建立原則是要建設(shè)與管理制度對應(yīng)的企業(yè)的安全架構(gòu)設(shè)計解決方案設(shè)計與具體的安全技術(shù)的應(yīng)用上，要考慮當(dāng)前企業(yè)應(yīng)用系統(tǒng)能夠中常見的安全弱點安全技術(shù)規(guī)劃的原則

整體安全性的規(guī)劃

功能整合以統(tǒng)一管控

考慮同時進(jìn)行項目的影響

從負(fù)面影響最小措施入手

具有未來擴(kuò)充性信息安全架構(gòu)的對應(yīng)

接入控制

信任管理

信息流控制

審計

完整性安全技術(shù)體系的建設(shè)

物理安全技術(shù)

基礎(chǔ)架構(gòu)安全

應(yīng)用安全技術(shù)

數(shù)據(jù)安全技術(shù)

身份和訪問管理20企業(yè)信息安全技術(shù)體系的建設(shè)合適的安全技術(shù)解決方案，不但2021企業(yè)信息安全框架的應(yīng)用為應(yīng)對企業(yè)信息安全建設(shè)的需求，企業(yè)信息安全的各個層次可以對應(yīng)到相應(yīng)的安全服務(wù)在技術(shù)體系的建立過程中，可對應(yīng)提供技術(shù)架構(gòu)的參考21企業(yè)信息安全框架的應(yīng)用為應(yīng)對企業(yè)信息安全建設(shè)的需求，企21第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的基本框架第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全管理的實踐

22第二部分目錄企業(yè)信息安全的基本框架第三部分企業(yè)信息安22的安全意識，改進(jìn)政策和培訓(xùn)。保護(hù)企業(yè)應(yīng)用：具備端到端的能力以保障

不

可

抵

賴實

流體

量認(rèn)

填證

充23企業(yè)信息安全體系的實踐：確保有效的信息安全須做到五點安全性風(fēng)險和薄弱環(huán)節(jié)的評估及管理：分析系統(tǒng)所面臨的威脅，制定并實施正確的應(yīng)對策略，治理和組織能力用以管理各種風(fēng)險，并確保符合監(jiān)管規(guī)范的要求。技術(shù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)：保證端點的安全性和完整性，提供流量管理和配置管理。企業(yè)持續(xù)性經(jīng)營和災(zāi)難恢復(fù)：確保能夠從嚴(yán)重的技術(shù)故障和/或安全漏洞中迅速恢復(fù)，并做到從一開始就主動預(yù)防故障的發(fā)生。應(yīng)用層傳輸層網(wǎng)際層網(wǎng)絡(luò)接口層數(shù)據(jù)保密性數(shù)據(jù)加密數(shù)字簽名訪問控制路由控制安

全

機(jī)

制數(shù)據(jù)完整性TCP/IP參考模型安

全

服身份認(rèn)證和訪問權(quán)限管理：為安全、有效

認(rèn)證服務(wù)地訪問關(guān)鍵應(yīng)用和資源提供支持，包括用

訪問控制戶管理、供應(yīng)和訪問權(quán)限，以及增強(qiáng)用戶

數(shù)據(jù)完整性應(yīng)用層面的安全——此方法集技術(shù)、控

性

務(wù)制、流程和管理于一體。的安全意識，改進(jìn)政策和培訓(xùn)。保護(hù)企業(yè)應(yīng)用：具備端到端的能力以23流程

全架構(gòu)作業(yè)產(chǎn)品244.

分兩類進(jìn)行產(chǎn)品的布置，并完成相應(yīng)的作業(yè)指南：A.

基本類：防毒軟件、補(bǔ)丁工具、個人防火墻。企業(yè)身份管理平臺與資產(chǎn)管理工具；B：符合與審計類：同步或提前布置符合與審計工具5.

在實際的工作中，對第2步的規(guī)范、管理流程，進(jìn)行修訂。包括部署、執(zhí)行、檢查、培訓(xùn)、通知、符合與審計流程及相應(yīng)的角色定位6.

定期根據(jù)執(zhí)行情況進(jìn)行相應(yīng)的改進(jìn)與變更，包括對基本類產(chǎn)品的更換與日常支持，開發(fā)并部署一些符合與審計的工具。企業(yè)信息安全管理實踐：IT安全和使用標(biāo)準(zhǔn)及運(yùn)營的制定

基礎(chǔ)是建立企業(yè)的信息安全架構(gòu)模型

1.

參考企業(yè)的安全政策，企業(yè)IT安全準(zhǔn)則，和信息安全分類與控制

2.

制定終端安全標(biāo)準(zhǔn)：員工電腦的安全和使用標(biāo)準(zhǔn)；相關(guān)的執(zhí)行流程、

組織架構(gòu)等

3.

根據(jù)企業(yè)的安全架構(gòu)設(shè)計，進(jìn)行桌面安全產(chǎn)品的功能定位、確定選

擇標(biāo)準(zhǔn)并進(jìn)行測試。步驟

建議

原則策略

安

標(biāo)

準(zhǔn)

Product流程全架構(gòu)作業(yè)產(chǎn)品244.分兩類進(jìn)行產(chǎn)品的布置，2425企業(yè)信息安全管理實踐：培訓(xùn)是安全實踐中的重要環(huán)節(jié)在企業(yè)的安全培訓(xùn)中的“保障IT安全的服務(wù)實施”應(yīng)該包括基本的安全主題課程主題安全概述員工的安全責(zé)任內(nèi)部系統(tǒng)的安全標(biāo)準(zhǔn)安全與外包客戶事件管理用戶ID管理受眾學(xué)習(xí)本課程的所有人所有員工支持業(yè)務(wù)或為和外部企業(yè)提供企業(yè)間服務(wù)的多用戶系統(tǒng)、應(yīng)用、中間件和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的所有者和系統(tǒng)管理員負(fù)責(zé)管理信息科技服務(wù)實施的全球服務(wù)實施中心所有服務(wù)實施人員在內(nèi)部或外部客戶中負(fù)責(zé)下列任何系統(tǒng)、服務(wù)器或應(yīng)用的人員：刪除員工帳號?

建立員工帳號?

維護(hù)員工帳號更新員工帳號重建員工帳號密碼脆弱性管理不符合事件追蹤系統(tǒng)使用“不符合事件追蹤系統(tǒng)”負(fù)責(zé)保證設(shè)備遵從內(nèi)部系統(tǒng)的安全標(biāo)準(zhǔn)的

系統(tǒng)管理員和如其他人員業(yè)務(wù)線管理者、安全管理員或任何其他由業(yè)務(wù)線管理者安排的人員；任何負(fù)責(zé)網(wǎng)絡(luò)或服務(wù)以保證與業(yè)務(wù)線管理和安全管理相關(guān)業(yè)務(wù)執(zhí)行的人員25企業(yè)信息安全管理實踐：培訓(xùn)是安全實踐中的重要環(huán)節(jié)在企業(yè)2526企業(yè)信息安全技術(shù)實踐：根據(jù)風(fēng)險評估與業(yè)務(wù)發(fā)展的安全需求分析為確保公司的整個網(wǎng)絡(luò)系統(tǒng)能夠安全穩(wěn)定的運(yùn)行，需要對重要服務(wù)器、重要子網(wǎng)進(jìn)行安全保護(hù)，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，用戶的身份進(jìn)行鑒別等，主要須解決以下方面的安全問題：平臺安全：包括網(wǎng)站服務(wù)器、郵件服務(wù)器、Intranet服務(wù)器和內(nèi)部服務(wù)器等。網(wǎng)絡(luò)安全：防備來自Internet的攻擊，如：病毒、木馬和黑客等用戶安全：包括公司員工、網(wǎng)站訪客和網(wǎng)絡(luò)會員的身份認(rèn)定等數(shù)據(jù)安全：數(shù)據(jù)的災(zāi)備，總部與分支機(jī)構(gòu)之間、內(nèi)部網(wǎng)用戶到服務(wù)器、移動用戶和家庭用戶到服務(wù)器等的數(shù)據(jù)傳輸?shù)裙芾戆踩喝缪邪l(fā)中心有公司產(chǎn)品源代碼等重要的資料需特別的管理措施安全需求分析安全現(xiàn)狀梳理安全風(fēng)險分析安全目標(biāo)確認(rèn)安全策略制定技術(shù)策略管理策略產(chǎn)品選擇與部署安全管理與服務(wù)26企業(yè)信息安全技術(shù)實踐：根據(jù)風(fēng)險評估與業(yè)務(wù)發(fā)展的安全需求分2627企業(yè)信息安全技術(shù)實踐：策略制定遵循一定的原則，并分門別類

策略制定的原則?

適應(yīng)性原則：在一種情況下實施的安全策略到另一環(huán)境

下就未必適合?

動態(tài)性原則：用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，

網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快?

簡單性原則：安全的網(wǎng)絡(luò)是相對簡單的網(wǎng)絡(luò)?

系統(tǒng)性原則：應(yīng)全面考慮各類用戶、各種設(shè)備、各種情

況，有計劃有準(zhǔn)備地采取相應(yīng)的策略?

最小特權(quán)原則：每個用戶并不需要使用所有的服務(wù)；不

是所有用戶都需要去修改系統(tǒng)中的每一個文件；每一個

用戶并不需要都知道系統(tǒng)的根口令等

安全策略的分類?

物理安全策略：如機(jī)房環(huán)境、門禁系統(tǒng)、設(shè)備鎖、數(shù)據(jù)

備份、CMOS安全設(shè)置等。?

訪問控制策略：為公司總部內(nèi)部網(wǎng)與Internet網(wǎng)之間、

公司總部與分支機(jī)構(gòu)之間、Internet用戶與公司網(wǎng)絡(luò)之

間等需要進(jìn)行互連的網(wǎng)絡(luò)制定訪問控制規(guī)則。?

安全配置及更新策略：對操作系統(tǒng)、應(yīng)用系統(tǒng)、安全產(chǎn)

品等進(jìn)行升級更新、設(shè)置用戶訪問權(quán)限及信任關(guān)系等。?

管理員和用戶策略：制定機(jī)房出入管理制度、實行安全

責(zé)任制等。?

安全管理策略：安全規(guī)則設(shè)置、安全審計、日志分析、

漏洞檢測及修補(bǔ)等。?

密碼安全策略：密碼復(fù)雜度、密碼更改周期、密碼有效

期等?

緊急事件策略：針對攻擊和入侵可能導(dǎo)致的結(jié)果制定應(yīng)

急處理流程和災(zāi)難恢復(fù)計劃。27企業(yè)信息安全技術(shù)實踐：策略制定遵循一定的原則，并分門別類27企業(yè)信息安全技術(shù)實踐：產(chǎn)品貫徹策略，產(chǎn)品與管理有機(jī)結(jié)合交換機(jī)：劃分VLAN進(jìn)行子網(wǎng)隔離、抵抗嗅探類程序和提高網(wǎng)絡(luò)傳輸效率防火墻：解決內(nèi)外網(wǎng)隔離及服務(wù)器安全防范等問題，主要部署在網(wǎng)絡(luò)的Internet接點和重要部門的子網(wǎng)與其它內(nèi)部子網(wǎng)之間，其中個人防火墻系統(tǒng)安裝在客戶端。虛擬私有網(wǎng)：解決網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)陌踩Ｃ埽饕渴鹦枰踩Ｃ艿木€路兩端的節(jié)點處，如：防火墻和客戶端。身份認(rèn)證：解決用戶身份鑒定問題，主要部署在專用認(rèn)證服務(wù)器或需要認(rèn)證的服務(wù)器系統(tǒng)中。反病毒：防范病毒、木馬、蠕蟲等有害程序的感染與傳播，主要部署在服務(wù)器系統(tǒng)和客戶機(jī)系統(tǒng)。入侵檢測系統(tǒng)：安全監(jiān)控和黑客入侵實時報警攔截，主要部署在需要保護(hù)的服務(wù)器主機(jī)和需要保護(hù)的子網(wǎng)。災(zāi)備系統(tǒng)：…………

28企業(yè)信息安全技術(shù)實踐：產(chǎn)品貫徹策略，產(chǎn)品與管理有機(jī)結(jié)合交換2829安全風(fēng)險

安全

需求解決措施

業(yè)務(wù)影響

或中斷

網(wǎng)絡(luò)可

用性.

網(wǎng)絡(luò)流量監(jiān)控及DoS服務(wù)防護(hù).

核心服務(wù)器等采用負(fù)載均衡和容錯備份系統(tǒng)

惡意入侵

和破壞

系統(tǒng)可用

性.

應(yīng)用系統(tǒng)安全評估.

網(wǎng)站安全加固.

網(wǎng)頁防篡改系統(tǒng).

WEB應(yīng)用防火墻.

數(shù)據(jù)庫安全審計

非法訪問

訪問的

可控性.

CA認(rèn)證系統(tǒng).

防火墻.

安全控制中心.

入侵監(jiān)測系統(tǒng).

網(wǎng)絡(luò)掃描系統(tǒng).

網(wǎng)絡(luò)防病毒系統(tǒng).

信息審計系統(tǒng)數(shù)據(jù)泄漏

數(shù)據(jù)機(jī)

密性

.

構(gòu)建虛擬

專用網(wǎng)VPN

.

基于SSL協(xié)

議的應(yīng)用加

密系統(tǒng)

災(zāi)難性破壞災(zāi)難恢復(fù)

能力

.

災(zāi)備中心企業(yè)信息安全技術(shù)實踐：企業(yè)典型信息安全風(fēng)險及解決措施29安全 業(yè)務(wù)影響 惡意入侵 非法訪問數(shù)據(jù)泄漏 災(zāi)難性破壞2930技術(shù)發(fā)展與信息安全：云計算、SOA安全總體原則適用于任何環(huán)境，不論是云計算還是SOA，如：身份驗證，授權(quán)，機(jī)密性，完整性，審計和遵守安全性、可靠性和經(jīng)濟(jì)性是“云”最大的關(guān)注點基于SOA的企業(yè)關(guān)注身份識別及相關(guān)安全挑戰(zhàn)云計算的安全關(guān)注點

關(guān)鍵業(yè)務(wù)應(yīng)用的可靠性

數(shù)據(jù)暴露給非授權(quán)用戶訪問的風(fēng)

險

法規(guī)要求將某些應(yīng)用在云計算平

臺上的使用

云計算供應(yīng)商必須提供防火墻與

安全配置的管理方式

云計算降低了組織對資源的控制，

需要足夠的安全透明度SOA環(huán)境下的安全挑戰(zhàn)

跨組織服務(wù)與服務(wù)的身份識別

基本事務(wù)需要不同組織間實時無

縫對接

確保整合應(yīng)用有足夠的安全措施

對新舊技術(shù)混合而成系統(tǒng)和服務(wù)

進(jìn)行身份和安全管理

保護(hù)數(shù)據(jù)在整個生命周期中的安

全

政府、行業(yè)、企業(yè)本身在合規(guī)方

面的安全要求30技術(shù)發(fā)展與信息安全：云計算、SOA安全總體原則適用于任30技術(shù)發(fā)展與信息安全：

大數(shù)據(jù)激增的企業(yè)數(shù)據(jù)既帶來了巨大的管理挑戰(zhàn)，又帶來了用于獲取安全洞察的巨大機(jī)會。前瞻性的組織正轉(zhuǎn)向大數(shù)據(jù)平臺，如基于Hadoop的平臺，幫助解決各種高級安全挑戰(zhàn)。這些平臺提供的分析類型通常使用歷史基線、統(tǒng)計和可視化功能來發(fā)現(xiàn)過去的欺詐或安全漏洞證據(jù)數(shù)據(jù)的種類和數(shù)量正在推動實現(xiàn)新的大數(shù)據(jù)用例，幫助企業(yè)保持安全性通過大數(shù)據(jù)分析捕獲各種來源的數(shù)據(jù)，并使用現(xiàn)有規(guī)則以及客戶定義的規(guī)則將這些數(shù)據(jù)縮小為一個可管理的攻擊列表

31技術(shù)發(fā)展與信息安全：大數(shù)據(jù)激增的企業(yè)數(shù)據(jù)既帶來了巨大的管3132技術(shù)發(fā)展與信息安全：移動設(shè)備BYOD與MDM

原本為個人消費者設(shè)計的智能手機(jī)和平板電腦正在不斷被企業(yè)用于承載關(guān)鍵業(yè)務(wù)及核心應(yīng)用，同時，BYOD的

策略也被大量引入企業(yè)，傳統(tǒng)的IT管理在針對不斷涌現(xiàn)的新興移動設(shè)備管理方面受到巨大的挑戰(zhàn)

BYOD策略需要涵蓋以下內(nèi)容：可以訪問哪一類設(shè)備，如安卓，iPad，MacBook，Wintel;需要什么版本的操作系統(tǒng)你的用戶群需要什么級別的訪問權(quán)限用戶需要安裝什么應(yīng)用最重要的一點，需要使用公共wifi網(wǎng)絡(luò)的個人用戶要安裝VPN最后，要讓用戶知道設(shè)置密碼的重要性??利用Citrix

XenMobile、MobileIron等產(chǎn)品對BYOD設(shè)備進(jìn)行MDM管理提供完整的移動設(shè)備生命周期管理;從設(shè)備注冊、激活、使用、淘汰各個環(huán)節(jié)進(jìn)行全面管理;實現(xiàn)用戶及設(shè)備管理，配置管理，安全管理，資產(chǎn)管理等功能。32技術(shù)發(fā)展與信息安全：移動設(shè)備BYOD與MDM可以訪問哪3233相關(guān)案例與討論謝謝！33相關(guān)案例與討論謝謝！332014年6月19日企業(yè)信息安全體系建設(shè)

交流討論材料2014年6月19日企業(yè)信息安全體系建設(shè)34第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的體系架構(gòu)第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全管理的實踐

2第二部分目錄企業(yè)信息安全的體系架構(gòu)第三部分企業(yè)信息安353超級互聯(lián)的商業(yè)世界與極其復(fù)雜的IT環(huán)境超級互聯(lián)的商業(yè)世界：激增的數(shù)字業(yè)務(wù)信息存儲在消費者和企業(yè)所使用的虛擬云和社交平臺、儀器、移動設(shè)備中，且可供訪問。這就創(chuàng)造了一個極其復(fù)雜的

IT環(huán)境

—可能的攻擊點幾乎是無限的高級持續(xù)性的安全威脅：最有經(jīng)驗的對手現(xiàn)在正帶來高級持續(xù)性威脅，他們通過密切的關(guān)注的堅持不懈來獲取敏感業(yè)務(wù)信息的訪問權(quán)限。這些攻擊利用尖端的方法，可持續(xù)無限長的時間且具有專門的目標(biāo)傳統(tǒng)IT防御的有效性：如今，愈加多樣的威脅侵蝕著傳統(tǒng)

IT防御

(比如防火墻和防病毒軟件

)的有效性，甚至在許多情況下完全避開了這些控制企業(yè)面臨的安全挑戰(zhàn)：所有企業(yè)都迫切希望找到信任、透明度和隱私之間的絕佳平衡。企業(yè)實現(xiàn)這種更具挑戰(zhàn)性的平衡而面臨的三大壓力：攻擊面擴(kuò)大攻擊模式擴(kuò)散且手法熟練威脅和解決方案異常復(fù)雜*

根據(jù)思科2014年安全報告，IBM安全報告3超級互聯(lián)的商業(yè)世界與極其復(fù)雜的IT環(huán)境超級互聯(lián)的商業(yè)世界364業(yè)務(wù)

業(yè)務(wù)IT支撐IT支撐客戶企業(yè)IT技術(shù)客戶企業(yè)IT技術(shù)傳統(tǒng)業(yè)務(wù)模式新業(yè)務(wù)模式傳統(tǒng)的企業(yè)運(yùn)作模式

信息安全僅作為后臺數(shù)據(jù)的保障

基本與業(yè)務(wù)無關(guān)的信息安全需求新的安全考慮

安全是一個企業(yè)整體需求

風(fēng)險評估和企業(yè)連續(xù)戰(zhàn)略都是今

天董事會上討論的話題

企業(yè)對受過安全培訓(xùn)的人員需求

越來越高業(yè)務(wù)模式的變革增加了企業(yè)信息安全的壓力新的企業(yè)運(yùn)作模式

因客戶和IT直接連線導(dǎo)致IT

和業(yè)

務(wù)流程的匯合

安全不是單獨的解決方案4業(yè)務(wù) 業(yè)務(wù)IT支撐客戶企業(yè)IT技術(shù)客戶企業(yè)IT技術(shù)傳統(tǒng)業(yè)務(wù)375

企業(yè)的信息安全需求來自以下方面：法律法規(guī)與合同條約的要求組織原則目標(biāo)和規(guī)定風(fēng)險評估的結(jié)果風(fēng)險評估是信息安全管理的基礎(chǔ)企業(yè)的信息安全需求與風(fēng)險管理視角安全策略Security

Policy

保護(hù)

Protect

應(yīng)急計劃Emergenc

y

Plan

轉(zhuǎn)移

Mitigate風(fēng)險分析

RiskAnalysis

預(yù)防

Prevent

從業(yè)務(wù)出發(fā)才能了解企業(yè)的風(fēng)險

關(guān)注安全遵守才能降低企業(yè)的風(fēng)險

殘余風(fēng)險

Residual

Risk

接受

Risk5 企業(yè)的信息安全法律法規(guī)與合同企業(yè)的信息安全需求與風(fēng)險管38第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的基本框架第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全新領(lǐng)域挑戰(zhàn)

6第二部分目錄企業(yè)信息安全的基本框架第三部分企業(yè)信息安397企業(yè)信息安全框架的基本層面戰(zhàn)略和治理框架合規(guī)和策略遵從安全治理、風(fēng)險管理與合規(guī)

風(fēng)險管理框架

安全運(yùn)維

視角：企業(yè)信息安全需要

從全方位的視角去管理，

而不是通過單一系統(tǒng)或程

序來實現(xiàn)

框架：合適的信息安全框

架有利于指導(dǎo)安全體系的

建設(shè)

層次：從體系框架的角度，

分為三層：

安全治理、風(fēng)險管理

與合規(guī)

安全運(yùn)維

基礎(chǔ)安全服務(wù)與架構(gòu)安全事件

安全事件

安全事件

安全策略

安全績效

安全外包

監(jiān)控

響應(yīng)

審計

管理

管理

管理

安全運(yùn)維

物理安全

。機(jī)房安全。視頻監(jiān)控安全

基礎(chǔ)安全服務(wù)與架構(gòu)基礎(chǔ)架構(gòu)安全

應(yīng)用安全

數(shù)據(jù)安全

身份與訪問安全

。網(wǎng)絡(luò)安全

。開發(fā)生命周期

。數(shù)據(jù)生命周期

。身份驗證

。主機(jī)安全

安全

管理

。訪問管理

。終端安全

。業(yè)務(wù)流程安全

。數(shù)據(jù)泄露保護(hù)

。身份生命周期

。Web應(yīng)用安全

。數(shù)據(jù)加密

管理

。應(yīng)用開發(fā)環(huán)境

。數(shù)據(jù)歸檔、。

災(zāi)難恢復(fù)

安全7企業(yè)信息安全框架的基本層面戰(zhàn)略和治理框架合規(guī)和策略遵從安全408安全治理、風(fēng)險管理與合規(guī)安全治理、風(fēng)險管理與合規(guī)是企業(yè)安全框架的最頂層，是業(yè)務(wù)驅(qū)動安全的出發(fā)點通過對企業(yè)業(yè)務(wù)和運(yùn)營風(fēng)險的評估，確定其戰(zhàn)略和治理框架，風(fēng)險管理框架，定義合規(guī)和策略遵從，確立信息安全文檔管理體系信息安全治理不同于信息安全管理，是在宏觀層面的戰(zhàn)略角度上，對信息安全戰(zhàn)略上的過程、結(jié)構(gòu)與聯(lián)系進(jìn)行梳理與監(jiān)控，以確保組織信息系統(tǒng)的安全運(yùn)營管理能夠沿著正確方向演進(jìn)

戰(zhàn)略與治理框架?為組織的信息安全定義戰(zhàn)略

框架?指明具體安全管理工作的目

標(biāo)和職責(zé)范圍?安全意識培養(yǎng)

–

宣傳教育

風(fēng)險管理?對象確立?風(fēng)險評估?風(fēng)險處理?審核批準(zhǔn)?監(jiān)控審查?溝通咨詢

合規(guī)與策略遵從?加強(qiáng)對規(guī)范策略了解?確立企業(yè)需要合規(guī)的具體內(nèi)

容和實現(xiàn)方式?合規(guī)性建設(shè)，從管理與技術(shù)

面落實規(guī)范與策略要求?合規(guī)性審計，提供綜合性評

述8安全治理、風(fēng)險管理與合規(guī)安全治理、風(fēng)險管理與合規(guī)是企業(yè)安419相關(guān)標(biāo)準(zhǔn)規(guī)范：ISO27002與ISMS信息安全管理體系ISMS信息安全管理體系框架ISO27002是一個完整的信息安全控制模型，包含了11個主題，可以為企業(yè)帶來：

受業(yè)界廣泛認(rèn)同的方法論

按業(yè)界最佳實踐方針開展信息安全評估、實施、維護(hù)和管理

為定義策略、標(biāo)準(zhǔn)、流程提供框架指南9相關(guān)標(biāo)準(zhǔn)規(guī)范：ISO27002與ISMS信息安全管理體系I4210信息安全運(yùn)維安全事件監(jiān)控

安全事件收

集

安全事件歸

并過濾

安全事件標(biāo)

準(zhǔn)化

安全事件關(guān)

聯(lián)分析

安全事件顯

示安全事件響應(yīng)

記錄日志

分析確認(rèn)

事件處理

系統(tǒng)恢復(fù)

事后分析與

跟蹤安全事件審計

全面的日志

采集

審計記錄的

規(guī)范化工作

基于策略的

日志過濾

本地與網(wǎng)絡(luò)

結(jié)合的審計

體系

多維關(guān)系分

析工作

符合法案的

內(nèi)控報表工

作安全策略管理

主策略

技術(shù)標(biāo)準(zhǔn)和

規(guī)范

管理規(guī)定和

辦法

操作流程

用戶協(xié)議

培訓(xùn)資料和

用戶手冊安全績效管理

安全績效考

核計劃

安全績效考

核方法

人員角色

成熟度安全外包服務(wù)

提供安全防

護(hù)設(shè)備

提供運(yùn)營維

護(hù)與安全事

件監(jiān)控服務(wù)

制定安全運(yùn)

營策略及流

程

提供綜合網(wǎng)

絡(luò)安全服務(wù)

提供專級監(jiān)

控

…

…安全運(yùn)維是指在安全策略的指導(dǎo)下，安全組織利用安全技術(shù)來達(dá)成安全保護(hù)的過程安全運(yùn)維與IT運(yùn)維相輔相成、互為依托、共享信息和資源安全運(yùn)維與安全組織緊密聯(lián)系，融合在業(yè)務(wù)管理和IT管理體系中10信息安全運(yùn)維安全事件監(jiān)控安全事件響應(yīng)安全事件審計安全策略43基礎(chǔ)安全服務(wù)與架構(gòu)基礎(chǔ)安全服務(wù)與架構(gòu)定義了企業(yè)信息安全框架中的五個核心的基礎(chǔ)技術(shù)架構(gòu)和相關(guān)服務(wù)基礎(chǔ)安全服務(wù)于架構(gòu)是安全運(yùn)維和管理的對象，其功能由各自的子系統(tǒng)提供保證身份和訪問安

全

身份驗證

訪問管理

身份生命周

期數(shù)據(jù)安全

數(shù)據(jù)生命周

期安全

數(shù)據(jù)泄露防

護(hù)

數(shù)據(jù)加密數(shù)據(jù)歸檔災(zāi)難備份及

恢復(fù)

11應(yīng)用安全

應(yīng)用開發(fā)生

命周期安全

業(yè)務(wù)流程安

全

應(yīng)用開發(fā)環(huán)

境安全Web應(yīng)用安

全基礎(chǔ)架構(gòu)安全

網(wǎng)絡(luò)及周邊

安全

主機(jī)安全

終端安全物理安全

機(jī)房物理安

全

視頻監(jiān)控安

全

…

…基礎(chǔ)安全服務(wù)與架構(gòu)基礎(chǔ)安全服務(wù)與架構(gòu)定義了企業(yè)信息安全框架44第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的基本框架第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全新領(lǐng)域挑戰(zhàn)

12第二部分目錄企業(yè)信息安全的基本框架第三部分企業(yè)信息安45企業(yè)信息安全體系總體建設(shè)方法企業(yè)業(yè)務(wù)

需求企業(yè)信息安全框架安全需求信息安全運(yùn)維體系企業(yè)信息安全框架參考和吸取了行業(yè)經(jīng)驗與實踐，可作為建設(shè)的參照從企業(yè)需求出發(fā)，參照企業(yè)信息安全框架，通過評估和風(fēng)險分析等方法，定義企業(yè)安全需求根據(jù)企業(yè)安全需求，定義企業(yè)信息安全建設(shè)的內(nèi)容與方向

信息安全

管理體系信息安全技術(shù)體系

13企業(yè)信息安全體系總體建設(shè)方法企業(yè)業(yè)務(wù)企業(yè)信息安全需求信息安4614企業(yè)參照安全框架模型來幫助信息安全體系的建立

專業(yè)服務(wù)Professional

Services管理服務(wù)

Managed

Services

軟硬件

Hardware&

Software網(wǎng)絡(luò)、服務(wù)器、終端

Network,

Server,

and

End-point物理安全

Physical

Facilities共同的策略、事件處理與報告人員與身份

People

and

Identity實現(xiàn)方式…

管控與風(fēng)險管理

Governance

and

Risk

Management結(jié)構(gòu)化的控制框架支持性能、風(fēng)險與符合性管理

Structured

control

framework

supporting

performance,

risk

and

compliance

management.

安全架構(gòu)

威脅緩解與業(yè)務(wù)支持

Threat

Mitigation

and

Business

Enablement

數(shù)據(jù)與信息

流程與應(yīng)用

Data

and

Process

and

Information

Application?

管理上：管控與風(fēng)險管理是安全的基礎(chǔ)，它包括策略定義、遵從與合規(guī)、以及與審計相關(guān)的活動?

技術(shù)上：威脅緩解與業(yè)務(wù)支持包括5大類安全功能，構(gòu)成了安全技術(shù)架構(gòu)?

安全管理與技術(shù)：通過專業(yè)服務(wù)、管理服務(wù)、軟硬件部署三種形式來提供14企業(yè)參照安全框架模型來幫助信息安全體系的建立 專業(yè)服務(wù)管47

組織與人員

流程安全管理架構(gòu)

技術(shù)安全技術(shù)架構(gòu)業(yè)務(wù)邏輯

15IT

基

礎(chǔ)

架

構(gòu)

執(zhí)行企業(yè)信息安全體系建設(shè)是人員、流程與技術(shù)的整合

越來越多的企業(yè)認(rèn)識到：必須整合企業(yè)組織與人員、管理體系與流程、技術(shù)手段三

方面因素，設(shè)計一致完整的安全架構(gòu)、并持續(xù)實施才能獲得理想的安全管控效果若干誤區(qū)：?

網(wǎng)絡(luò)安全和信息安全概念

的混淆?

重視技術(shù)，輕視管理?

重視產(chǎn)品功能，輕視人為

因素?

重視對外安全，輕視內(nèi)部

安全?

靜態(tài)不變的觀念?

缺乏整體性信息安全體系

的考慮 組織與人員 技術(shù)業(yè)務(wù)邏輯IT基礎(chǔ)架構(gòu)企業(yè)信息48流程

全架構(gòu)作業(yè)

準(zhǔn)

Product16企業(yè)信息安全管理架構(gòu)應(yīng)包含的內(nèi)容

企業(yè)信息安全金字塔描述了企業(yè)安全架構(gòu)的構(gòu)

成

安全原則：描述信息安全的業(yè)務(wù)需求價值安全政策：描述信息安全的目地、方向、愿景及責(zé)任安全標(biāo)準(zhǔn)：信息安全實施規(guī)則，包括技術(shù)、方法及其它細(xì)節(jié)安全流程：于跨單位實施政策標(biāo)準(zhǔn)的活動、工作及程序安全步驟：描述個人在流程上的詳細(xì)工作安全架構(gòu)：信息安全技術(shù)如何結(jié)合的細(xì)節(jié)安全產(chǎn)品：信息安全解決方案所選的產(chǎn)品及工具ISO27001要求企業(yè)建立起PDCA的模型，確保信息安全的持續(xù)發(fā)展。產(chǎn)品步驟

建議策略

安

標(biāo)原則流程全架構(gòu)作業(yè)準(zhǔn)Product16企業(yè)信息安全管49事件匯總17企業(yè)信息安全技術(shù)架構(gòu)應(yīng)包括的內(nèi)容完整性審計信任管理信息流控制接入控制授權(quán)管理信任關(guān)系確認(rèn)管理審計系統(tǒng)接口

認(rèn)證管理接入控制接入控制

策略審計系統(tǒng)接口信息流策略服務(wù)

信息流管理

數(shù)據(jù)流控圖數(shù)據(jù)流過濾、邊界防護(hù)審計系統(tǒng)接口信任關(guān)系庫信息關(guān)系分發(fā)

信任關(guān)系生命周期管理信任管理--單點登陸審計分析審計報告

生成

審計事件產(chǎn)生事件收集實時事件分析審計管理系統(tǒng)安全優(yōu)化、可用性應(yīng)用安全測試管理災(zāi)難恢復(fù)審計系統(tǒng)接口物理防護(hù)事件匯總17企業(yè)信息安全技術(shù)架構(gòu)應(yīng)包括的內(nèi)容完整性審計信任管5018企業(yè)信息安全管理體系的建設(shè)信息安全管理體系是信息安全保障體系的重要組成部分信息安全管理體系框架從企業(yè)管理的層面出發(fā)，按照多層防護(hù)的思想，為實現(xiàn)信息安全戰(zhàn)略而搭建

安全政策，標(biāo)準(zhǔn)–

管理規(guī)定

安全意識培養(yǎng)

–

宣傳教育

安全組織

–

管理控制

審計

–

監(jiān)督

風(fēng)險評估

–發(fā)現(xiàn)問題18企業(yè)信息安全管理體系的建設(shè)信息安全管理體系是信息安全保5119企業(yè)信息安全運(yùn)維體系的建設(shè)包含的內(nèi)容

威脅分析與預(yù)警

安全狀態(tài)和時間的監(jiān)控

安全事件或事故的響應(yīng)

基于安全管控目標(biāo)的操作行為與

日志審計系統(tǒng)達(dá)到的效果

統(tǒng)一的管理模式

規(guī)范化的管理流程

自動化的管理操作

高級的維護(hù)管理

量化的評估標(biāo)準(zhǔn)

科學(xué)的考核體系

防患于未然19企業(yè)信息安全運(yùn)維體系的建設(shè)包含的內(nèi)容達(dá)到的效果5220企業(yè)信息安全技術(shù)體系的建設(shè)合適的安全技術(shù)解決方案，不但需要理解安全管理的要求，同時也為安全運(yùn)維管理提供易于操作的平臺企業(yè)安全技術(shù)體系的建立原則是要建設(shè)與管理制度對應(yīng)的企業(yè)的安全架構(gòu)設(shè)計解決方案設(shè)計與具體的安全技術(shù)的應(yīng)用上，要考慮當(dāng)前企業(yè)應(yīng)用系統(tǒng)能夠中常見的安全弱點安全技術(shù)規(guī)劃的原則

整體安全性的規(guī)劃

功能整合以統(tǒng)一管控

考慮同時進(jìn)行項目的影響

從負(fù)面影響最小措施入手

具有未來擴(kuò)充性信息安全架構(gòu)的對應(yīng)

接入控制

信任管理

信息流控制

審計

完整性安全技術(shù)體系的建設(shè)

物理安全技術(shù)

基礎(chǔ)架構(gòu)安全

應(yīng)用安全技術(shù)

數(shù)據(jù)安全技術(shù)

身份和訪問管理20企業(yè)信息安全技術(shù)體系的建設(shè)合適的安全技術(shù)解決方案，不但5321企業(yè)信息安全框架的應(yīng)用為應(yīng)對企業(yè)信息安全建設(shè)的需求，企業(yè)信息安全的各個層次可以對應(yīng)到相應(yīng)的安全服務(wù)在技術(shù)體系的建立過程中，可對應(yīng)提供技術(shù)架構(gòu)的參考21企業(yè)信息安全框架的應(yīng)用為應(yīng)對企業(yè)信息安全建設(shè)的需求，企54第二部分目錄

第一部分

企業(yè)面臨的信息安全環(huán)境企業(yè)信息安全的基本框架第三部分

企業(yè)信息安全體系的建設(shè)第四部分

企業(yè)信息安全管理的實踐

22第二部分目錄企業(yè)信息安全的基本框架第三部分企業(yè)信息安55的安全意識，改進(jìn)政策和培訓(xùn)。保護(hù)企業(yè)應(yīng)用：具備端到端的能力以保障

不

可

抵

賴實

流體

量認(rèn)

填證

充23企業(yè)信息安全體系的實踐：確保有效的信息安全須做到五點安全性風(fēng)險和薄弱環(huán)節(jié)的評估及管理：分析系統(tǒng)所面臨的威脅，制定并實施正確的應(yīng)對策略，治理和組織能力用以管理各種風(fēng)險，并確保符合監(jiān)管規(guī)范的要求。技術(shù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)：保證端點的安全性和完整性，提供流量管理和配置管理。企業(yè)持續(xù)性經(jīng)營和災(zāi)難恢復(fù)：確保能夠從嚴(yán)重的技術(shù)故障和/或安全漏洞中迅速恢復(fù)，并做到從一開始就主動預(yù)防故障的發(fā)生。應(yīng)用層傳輸層網(wǎng)際層網(wǎng)絡(luò)接口層數(shù)據(jù)保密性數(shù)據(jù)加密數(shù)字簽名訪問控制路由控制安

全

機(jī)

制數(shù)據(jù)完整性TCP/IP參考模型安

全

服身份認(rèn)證和訪問權(quán)限管理：為安全、有效

認(rèn)證服務(wù)地訪問關(guān)鍵應(yīng)用和資源提供支持，包括用

訪問控制戶管理、供應(yīng)和訪問權(quán)限，以及增強(qiáng)用戶

數(shù)據(jù)完整性應(yīng)用層面的安全——此方法集技術(shù)、控

性

務(wù)制、流程和管理于一體。的安全意識，改進(jìn)政策和培訓(xùn)。保護(hù)企業(yè)應(yīng)用：具備端到端的能力以56流程

全架構(gòu)作業(yè)產(chǎn)品244.

分兩類進(jìn)行產(chǎn)品的布置，并完成相應(yīng)的作業(yè)指南：A.

基本類：防毒軟件、補(bǔ)丁工具、個人防火墻。企業(yè)身份管理平臺與資產(chǎn)管理工具；B：符合與審計類：同步或提前布置符合與審計工具5.

在實際的工作中，對第2步的規(guī)范、管理流程，進(jìn)行修訂。包括部署、執(zhí)行、檢查、培訓(xùn)、通知、符合與審計流程及相應(yīng)的角色定位6.

定期根據(jù)執(zhí)行情況進(jìn)行相應(yīng)的改進(jìn)與變更，包括對基本類產(chǎn)品的更換與日常支持，開發(fā)并部署一些符合與審計的工具。企業(yè)信息安全管理實踐：IT安全和使用標(biāo)準(zhǔn)及運(yùn)營的制定

基礎(chǔ)是建立企業(yè)的信息安全架構(gòu)模型

1.

參考企業(yè)的安全政策，企業(yè)IT安全準(zhǔn)則，和信息安全分類與控制

2.

制定終端安全標(biāo)準(zhǔn)：員工電腦的安全和使用標(biāo)準(zhǔn)；相關(guān)的執(zhí)行流程、

組織架構(gòu)等

3.

根據(jù)企業(yè)的安全架構(gòu)設(shè)計，進(jìn)行桌面安全產(chǎn)品的功能定位、確定選

擇標(biāo)準(zhǔn)并進(jìn)行測試。步驟

建議

原則策略

安

標(biāo)

準(zhǔn)

Product流程全架構(gòu)作業(yè)產(chǎn)品244.分兩類進(jìn)行產(chǎn)品的布置，5725企業(yè)信息安全管理實踐：培訓(xùn)是安全實踐中的重要環(huán)節(jié)在企業(yè)的安全培訓(xùn)中的“保障IT安全的服務(wù)實施”應(yīng)該包括基本的安全主題課程主題安全概述員工的安全責(zé)任內(nèi)部系統(tǒng)的安全標(biāo)準(zhǔn)安全與外包客戶事件管理用戶ID管理受眾學(xué)習(xí)本課程的所有人所有員工支持業(yè)務(wù)或為和外部企業(yè)提供企業(yè)間服務(wù)的多用戶系統(tǒng)、應(yīng)用、中間件和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的所有者和系統(tǒng)管理員負(fù)責(zé)管理信息科技服務(wù)實施的全球服務(wù)實施中心所有服務(wù)實施人員在內(nèi)部或外部客戶中負(fù)責(zé)下列任何系統(tǒng)、服務(wù)器或應(yīng)用的人員：刪除員工帳號?

建立員工帳號?

維護(hù)員工帳號更新員工帳號重建員工帳號密碼脆弱性管理不符合事件追蹤系統(tǒng)使用“不符合事件追蹤系統(tǒng)”負(fù)責(zé)保證設(shè)備遵從內(nèi)部系統(tǒng)的安全標(biāo)準(zhǔn)的

系統(tǒng)管理員和如其他人員業(yè)務(wù)線管理者、安全管理員或任何其他由業(yè)務(wù)線管理者安排的人員；任何負(fù)責(zé)網(wǎng)絡(luò)或服務(wù)以保證與業(yè)務(wù)線管理和安全管理相關(guān)業(yè)務(wù)執(zhí)行的人員25企業(yè)信息安全管理實踐：培訓(xùn)是安全實踐中的重要環(huán)節(jié)在企業(yè)5826企業(yè)信息安全技術(shù)實踐：根據(jù)風(fēng)險評估與業(yè)務(wù)發(fā)展的安全需求分析為確保公司的整個網(wǎng)絡(luò)系統(tǒng)能夠安全穩(wěn)定的運(yùn)行，需要對重要服務(wù)器、重要子網(wǎng)進(jìn)行安全保護(hù)，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，用戶的身份進(jìn)行鑒別等，主要須解決以下方面的安全問題：平臺安全：包括網(wǎng)站服務(wù)器、郵件服務(wù)器、Intranet服務(wù)器和內(nèi)部服務(wù)器等。網(wǎng)絡(luò)安全：防備來自Internet的攻擊，如：病毒、木馬和黑客等用戶安全：包括公司員工、網(wǎng)站訪客和網(wǎng)絡(luò)會員的身份認(rèn)定等數(shù)據(jù)安全：數(shù)據(jù)的災(zāi)備，總部與分支機(jī)構(gòu)之間、內(nèi)部網(wǎng)用戶到服務(wù)器、移動用戶和家庭用戶到服務(wù)器等的數(shù)據(jù)傳輸?shù)裙芾戆踩喝缪邪l(fā)中心有公司產(chǎn)品源代碼等重要的資料需特別的管理措施安全需求分析安全現(xiàn)狀梳理安全風(fēng)險分析安全目標(biāo)確認(rèn)安全策略制定技術(shù)策略管理策略產(chǎn)品選擇與部署安全管理與服務(wù)26企業(yè)信息安全技術(shù)實踐：根據(jù)風(fēng)險評估與業(yè)務(wù)發(fā)展的安全需求分5927企業(yè)信息安全技術(shù)實踐：策略制定遵循一定的原則，并分門別類

策略制定的原則?

適應(yīng)性原則：在一種情況下實施的安全策略到另一環(huán)境

下就未必適合?

動態(tài)性原則：用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，

網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快?

簡單性原則：安全的網(wǎng)絡(luò)是相對簡單的網(wǎng)絡(luò)?

系統(tǒng)性原則：應(yīng)全面考慮各類用戶、各種設(shè)備、各種情

況，有計劃有準(zhǔn)備地采取相應(yīng)的策略?

最小特權(quán)原則：每個用戶并不需要使用所有的服務(wù)；不

是所有用戶都需要去修改系統(tǒng)中的每一個文件；每一個

用戶并不需要都知道系統(tǒng)的根口令等

安全策略的分類?

物理安全策略：如機(jī)房環(huán)境、門禁系統(tǒng)、設(shè)備鎖、數(shù)據(jù)

備份、CM