企業(yè)IT信息安全規(guī)劃PPT課件.pptx

1、目錄,XX集團信息化藍圖架構 信息安全規(guī)劃 信息安全目標框架及設計目標 信息安全目標體系 XX容災體系,應用系統(tǒng),信息化建設目標,IT安全,信息安全 管理,信息安全 技術,支持類,運營類,決策類,專業(yè)類,信息化藍圖分類之（五）IT安全,IT治理,IT組織 機構,IT人員,IT流程和制度,IT運維,企業(yè)服務平臺,企業(yè)服務總線（ESB）,業(yè)務流程管理（BPM）,基礎設施平臺,數據中心,基礎架構,安全與管理,網絡與鏈路,桌面終端,XX集團信息安全體系框架及設計目標,基于XX集團信息化安全的現狀和設計原則，提出信息安全未來建設目標,制定和實施符合國家信息系統(tǒng)安全等級保護基本要求以及XX集團信息系統(tǒng)現狀

2、的安全管理策略和規(guī)范 在信息中心設置信息安全崗位，并完善職責規(guī)范 制定明確的信息安全策略，定期進行安全風險評估和審核，并制定持續(xù)改進計劃,對關鍵的安全技術平臺防病毒、防火墻、入侵檢測系統(tǒng)實現，統(tǒng)一的安全產品選型、統(tǒng)一的安全產品部署、統(tǒng)一的安全策略發(fā)布 統(tǒng)一的內部基礎網絡規(guī)劃，對不同安全要求的內網接入進行訪問控制管理 建設滿足業(yè)務需求的信息系統(tǒng)災難恢復能力,安全管理制度,安全管理機構,人員安全管理,系統(tǒng)建設管理,系統(tǒng)運維管理,物理層面安全控制,網絡層面安全控制,主機層面安全控制,應用層面安全控制,數據層面安全控制,信息安全管理對象與原則介紹,安全管理的職責分離原則,對于一些涉及敏感數據處理的計算

3、機系統(tǒng)安全管理而言，以下工作應分開進行： 系統(tǒng)的操作和系統(tǒng)的開發(fā)相分離。這樣系統(tǒng)的開發(fā)者即使知道系統(tǒng)有那些安全漏洞也沒有機會利用； 機密資料的接受和傳送相分離。這樣任何一方都無法對資料進行篡改； 安全管理和系統(tǒng)管理相分離。這樣可使制定安全措施的人并不能親自實施這些安全措施而對其起到制約的作用； 系統(tǒng)操作和備份管理相分離。結合日志管理，以實現對數據處理過程的監(jiān)督； 除要符合中國的安全規(guī)范外，還要符合國際的規(guī)范，如ISO27001、ISO17799等。郵件系統(tǒng)要避免出現列入黑名單的情況。,安全管理的多人負責原則、任期有限原則,多人負責原則： 出于相互監(jiān)督和相互備份的考慮，如只有單人負責，則若發(fā)生安

4、全問題時此人不在崗就不能處理，或者他本人有安全問題時，很難察覺。 任期有限原則： 出于監(jiān)督的目的，負責系統(tǒng)安全和系統(tǒng)管理的人員要有一定的輪換制度，以防止由單人長期負責一個系統(tǒng)的安全而造成的漏洞。,安全管理對象,安全管理的對象是整個系統(tǒng)而不是系統(tǒng)中的某個或某些元素。系統(tǒng)的所有構成要素都是管理的對象，從系統(tǒng)內部看，安全管理涉及計算機、網絡、操作、人事和信息資源；從外部環(huán)境看，安全管理涉及法律、道德、文化傳統(tǒng)和社會制度等方面的內容,信息安全管理是一個持續(xù)性的閉環(huán)過程,信息安全管理,信息安全管理可定義為具有四個主要階段的持續(xù)過程： 評估風險：識別組織的風險并區(qū)分其嚴重程度。 這些風險可能與特定的IT系

5、統(tǒng)和資產相關或無關； 決策支持：根據定義的成本-收益分析過程確定并選擇控制解決方案； 實施控制：部署并操作全面的控制解決方案以降低信息安全風險； 衡量評測：確定并報告已部署的控制措施的有效性，以將風險管理至可接受的級別。,為保障信息安全制度的執(zhí)行和落實，必需明確信息安全職能，建立相應的信息安全組織,對標國家信息系統(tǒng)安全等級保護基本要求，當前XX基本建立相應信息安全的組織和職能,信息安全現狀評估安全管理,差距概述,現狀總體評價：XX已經編制信息安全管理規(guī)范，并已于2009年啟動推廣；XX信息系統(tǒng)建設和運維的安全管理力度相對薄弱；安全管理人員配置不夠；相關流程和制度的執(zhí)行有待改善。,主要存在的問題

6、：,初步改進建議：,目前XX內部已建立專職的信息安全組織和人員，但從事信息安全相關工作人員的信息安全從業(yè)資質認證的覆蓋比例不夠。 XX信息系統(tǒng)建設和運維的安全管理力度相對薄弱；安全管理人員配置不夠，相關流程和制度的執(zhí)行有待改善。 信息安全內部審計、管理評審及有效性度量等有關制度需進行完善。,進一步提高從事信息安全相關工作人員的信息安全從業(yè)資質認證的覆蓋比例。 進一步加強信息系統(tǒng)相關安全管理人員配置，按照相關崗位要求配置專人進行管理。 盡快完善相關管理制度。,信息安全現狀評估安全技術,差距概述,現狀總體評價：通過實施第一期SOC平臺對集團總部已經部署的所有安全設施進行集中管控。后續(xù)將逐步推進SO

7、C平臺到各下屬公司，通過在各下屬公司分節(jié)點部署數據采集引擎的方法，將節(jié)點數據逐步匯聚到集團SOC平臺中。對關鍵系統(tǒng)實施災難恢復方案，備份方式主要采取數據異地容災備份。XXSOC平臺在應用過程中缺乏專人進行系統(tǒng)的運行、維護以及系統(tǒng)相關問題的管理。,主要存在的問題：,初步改進建議：,XXSOC平臺在應用過程中缺乏專人進行系統(tǒng)的運行、維護以及系統(tǒng)相關問題的管理。,進一步提高從事信息安全相關工作人員的信息安全從業(yè)資質認證的覆蓋比例。 進一步加強信息安全系統(tǒng)建設和運維的安全管理力度，相關安全管理人員按照相關要求盡快配置到位。,XX信息化安全的現狀評價總結,XX集團信息安全設計原則,外部標準,公司需求,可

8、實施性,覆蓋度,方案的設計要滿足國資委信息化評測標準 （安全部分）、公安部信息安全規(guī)定、電監(jiān)會的信息安全要求、XX集團公司的安全規(guī)范等信息化安全方面的規(guī)定或標準,信息化安全方案的制定應充分考慮XX集團信息化應用的現狀及發(fā)展方向，與應用系統(tǒng)分布及基礎架構相匹配的安全方案才能保障信息化的安全可靠運行,在方案設計時，需要充分考慮實施中的風險，以及實施的周期和成本，對潛在的風險必須做充分的分析并給出相應的解決對策,全覆蓋的安全體系，對象范圍覆蓋最終用戶、服務器端以及信息網絡，在企業(yè)內部做到信息安全死角為零,可管理性,安全平臺設計應充分考慮到后期運營層面與管理層面的平衡性,國家通過出臺信息系統(tǒng)安全等級保

9、護基本要求，明確了信息安全管理的規(guī)范框架,國資委的央企信息化評價，重點考察信息安全參考的標準和認證情況，信息技術安全機制建設情況，采取的安全措施信息化安全事故情況 ，與此框架相吻合,目錄,XX集團信息化藍圖架構 信息安全規(guī)劃 信息安全目標框架及設計目標 信息安全目標體系 XX容災體系,管理制度 制定信息安全工作的總體方針和安全策略，說明集團安全工作的總體目標、范圍、原則和安全框架等 應對安全管理活動中重要的管理內容建立安全管理制度 應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程 制定和發(fā)布 應指定或授權專門的部門或人員負責安全管理制度的制定 應組織相關人員對制定的安全管理制度進行論證

10、和審定 應將安全管理制度以某種方式發(fā)布到相關人員手中 評審和修訂 應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂,信息安全目標體系-XX安全管理制度,溝通和合作 應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通 與保持合作單位、公安機關、電信公司的合作與溝通 審核和檢查 安全管理員應負責定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數據備份等情況,崗位設置 應設立專職的安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責 應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責 人員配備 應配備一定數量的系統(tǒng)

11、管理員、網絡管理員、安全管理員等 安全管理員不能兼任網絡管理員、系統(tǒng)管理員、數據庫管理員等 授權和審批 應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批 應針對關鍵活動建立審批流程，并由批準人簽字確認,信息安全目標體系-XX安全管理機構,安全意識教育和培訓 應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓 應告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒 應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓 外部人員訪問管理 應確保在外部人員訪問受控區(qū)域前得到授權或審批，批

12、準后由專人全程陪同或監(jiān)督，并登記備案,人員錄用 應規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審查，對其所具有的技術技能進行考核 應與從事關鍵崗位的人員簽署保密協(xié)議 人員離崗 應規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備 應辦理嚴格的調離手續(xù) 人員考核 應定期對各個崗位的人員進行安全技能及安全認知的考核,信息安全目標體系-集團人員安全管理,系統(tǒng)交付 應制定系統(tǒng)交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點 應對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓 應確保提供系統(tǒng)建設過程中的文檔和指導用戶進行系統(tǒng)

13、運行維護的文檔 安全服務商選擇 應確保安全服務商的選擇符合國家的有關規(guī)定 應與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責任 應確保選定的安全服務商提供技術支持和服務承諾，必要的與其簽訂服務合同,外包軟件開發(fā) 應根據開發(fā)要求檢測軟件質量 應確保提供軟件設計的相關文檔和使用指南 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼 應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門 測試驗收 應對系統(tǒng)進行安全性測試驗收 在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告 應組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定，并

14、簽字確認 工程實施 應指定或授權專門的部門或人員負責工程實施過程的 管理 應制定詳細的工程實施方案，控制工程實施過程,信息安全目標體系-系統(tǒng)建設管理 （1）,系統(tǒng)定級 應明確信息系統(tǒng)的邊界和安全保護等級 應以書面的形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由 應確保信息系統(tǒng)的定級結果經過相關部門的批準 安全方案設計 應根據系統(tǒng)的安全保護等級選擇基本安全措施，依據風險分析的結果補充和調整安全措施 應以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內容，形成系統(tǒng)的安全方案 應對安全方案進行細化，形成能指導安全系統(tǒng)建設、安全產品采購和使用的詳細設計方案 應組織相關部門和有關安全技術專家對安全設

15、計方案的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施,產品采購和使用 應確保安全產品采購和使用符合國家的有關規(guī)定 應確保密碼產品采購和使用符合國家密碼主管部門的要求 應指定或授權專門的部門負責產品的采購 自行軟件開發(fā) 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開 應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則 應確保提供軟件設計的相關文檔和使用指南，并由專人負責保管,信息安全目標體系-系統(tǒng)建設管理 （2）,安全方案設計,自行軟件開發(fā),介質管理 應確保介質存放在安全的環(huán)境中，對各類介質進行控制和保護，并實行存儲環(huán)境專人管理 應對介質歸檔和查詢等過程進行記錄，并根據存檔介質

16、的目錄清單定期盤點 應對需要送出維修或銷毀的介質，首先清除其中的敏感數據，防止信息的非法泄漏 應根據所承載數據和軟件的重要程度對介質進行分類和標識管理 密碼管理 應使用符合國家密碼管理規(guī)定的密碼技術和產品,環(huán)境管理 應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理 應配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理 應建立機房安全管理制度，對有關機房物理訪問 物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定 應加強對辦公環(huán)境的保密性管理，包括工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等 資產管理 應編制與信息系統(tǒng)相關的資產

17、清單，包括資產責任部門、重要程度和所處位置等內容 應建立資產安全管理制度，規(guī)定信息系統(tǒng)資產管理的責任人員或責任部門，并規(guī)范資產管理和使用,信息安全目標體系-系統(tǒng)運維管理 （1）,設備管理 應對信息系統(tǒng)相關的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理 應建立基于申報、審批和專人負責的設備安全管理制度，對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行規(guī)范化管理 應對終端計算機、工作站、便攜機、系統(tǒng)和網絡等設備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現關鍵設備（包括備份和冗余設備）的啟動/停止、加電/斷電等操作 應確保信息處理設備必須經過審批才能帶離機房或

18、辦公地點 變更管理 應確認系統(tǒng)中要發(fā)生的重要變更，并制定相應的變更方案 系統(tǒng)發(fā)生重要變更前，應向主管領導申請，審批后方可實施變更，并在實施后向相關人員通告,信息安全目標體系-系統(tǒng)運維管理 （2）,惡意代碼防范管理 應提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統(tǒng)之前也應進行病毒檢查 應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄 應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定,網絡安全管理 應指定人員對網絡進行管理，負責運行日志、網絡監(jiān)控記錄的日常維護和報警

19、信息分析和處理工作 應建立網絡安全管理制度，對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定 應根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份 應定期對網絡系統(tǒng)進行漏洞掃描，對發(fā)現的網絡系統(tǒng)安全漏洞進行及時的修補 應對網絡設備的配置文件進行定期備份 應保證所有與外部系統(tǒng)的連接均得到授權和批準,信息安全目標體系-系統(tǒng)運維管理 （3）,系統(tǒng)安全管理 應根據業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略 應定期進行漏洞掃描，對發(fā)現的系統(tǒng)安全漏洞及時進行修補 應安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應首先在測試環(huán)境中測試通過，并對重要

20、文件進行備份后，方可實施系統(tǒng)補丁程序的安裝 應建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定 應依據操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數的設置和修改等內容，嚴禁進行未經授權的操作 應定期對運行日志和審計數據進行分析，以便及時發(fā)現異常行為,備份與恢復管理 應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數據及軟件系統(tǒng)等 應規(guī)定備份信息的備份方式、備份頻度、存儲介質、保存期等 應根據數據的重要性及其對系統(tǒng)運行的影響，制定數據的備份策略和恢復策略，備份策略指明備份數據的放置場所、文件命名規(guī)則、介質替換頻率和數據離站運輸方法 應急

21、預案管理 應在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內容 應對系統(tǒng)相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次,信息安全目標體系-系統(tǒng)運維管理 （4）,安全事件處置 應報告所發(fā)現的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點 應制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現場處理、事件報告和后期恢復的管理職責 應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產生的影響，對本系統(tǒng)計算機安全事件進行等級劃分 應記錄并保存所有報告的安全弱點和可疑事

22、件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生,目錄,XX集團信息化藍圖架構 信息安全規(guī)劃 信息安全目標框架及設計目標 信息安全目標體系 XX容災體系,容災建設時需要充分考慮實用性、可擴展性、規(guī)范性、可操作性和兼容性,容災是確保信息和信息系統(tǒng)安全的一項重要措施，其建設過程中應充分考慮以下因素：,容災是保障數據安全的重要方式，容災的實現方式主要有數據級、應用級和業(yè)務級,恢 復 時 間,投 資,持續(xù)可用,業(yè)務級,快速恢復,應用級,可以恢復,數據級,分,小時,天,周,數據級容災是僅將生產中心的數據完整地復制到容災中心的容災方式。數據級容災是異地容災的最低級形式，也是最基本的方式，是實現更高

23、級容災方式的基礎，但僅可以保證數據是可用的，若技術策略選擇得當，可以保證業(yè)務數據的完整性。 應用級容災是指在數據級容災實現數據可用的基礎上，進一步實現應用的可用性，確保業(yè)務可以快速恢復。容災系統(tǒng)的應用不改變原有的業(yè)務處理邏輯，是對生產中心系統(tǒng)的基本復制。 業(yè)務級容災是生產中心與容災中心對業(yè)務請求同時進行處理的容災方式，能夠確保業(yè)務持續(xù)可用，但投資很高。,通常容災的恢復目標根據恢復的時間和恢復的數據量可定義分為兩種，分別為恢復時間目標 RTO和恢復點目標 RPO。根據RTO的指標，容災方式可分為數據級、應用級和業(yè)務級。,RPO：RPO( Recovery Point Objective )是指災難發(fā)生后，容災系統(tǒng)能把數據恢復到災難發(fā)生前時間點的數據，它是衡量企業(yè)在災難發(fā)生后會丟失多少數據的指標。RPO可簡單的描述為企業(yè)能容忍的最大數據丟失量。,此外，容災還要考慮系統(tǒng)的數據丟失量,RPO的功能：由于實現“零數據丟失”需要的巨大的基礎架構、帶寬和軟件成本 ，這就使“零數據丟失”只能夠用于極度昂貴數據，而不能用于所有的情況。 所以企業(yè)需要確切地確定它能夠承擔在一次災難中丟失多少數據。RPO就是用來幫助企業(yè)分析和評估數據丟失量的工具/指標。,確定RPO的步驟： 1、到所