信息安全與IT運(yùn)維.ppt

信息安全與IT運(yùn)維 我們不能消除風(fēng)險(xiǎn) 卻可以管理風(fēng)險(xiǎn) 王朝陽(yáng)2008年1月20日 提綱 什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開(kāi)展信息安全工作信息安全最佳實(shí)踐信息安全工作模型 什么是信息安全 1 關(guān)于信息安全的定義很多 國(guó)內(nèi)外 不同組織給出不同的定義 但我們可以找出其中共性的部分 國(guó)內(nèi)學(xué)者的定義 信息安全保密內(nèi)容分為 實(shí)體安全 運(yùn)行安全 數(shù)據(jù)安全和管理安全四個(gè)方面 我國(guó) 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 中的定義是 涉及實(shí)體安全 運(yùn)行安全和信息安全三個(gè)方面 我國(guó)相關(guān)立法給出的定義是 保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備 設(shè)施 網(wǎng)絡(luò) 的安全 運(yùn)行環(huán)境的安全 保障信息安全 保障計(jì)算機(jī)功能的正常發(fā)揮 以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全 這里面涉及了物理安全 運(yùn)行安全與信息安全三個(gè)層面 什么是信息安全 2 國(guó)家信息安全重點(diǎn)實(shí)驗(yàn)室給出的定義是 信息安全涉及到信息的機(jī)密性 完整性 可用性 可控性 綜合起來(lái)說(shuō) 就是要保障電子信息的有效性 英國(guó)BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是 信息安全是使信息避免一系列威脅 保障商務(wù)的連續(xù)性 最大限度地減少商務(wù)的損失 最大限度地獲取投資和商務(wù)的回報(bào) 涉及的是機(jī)密性 完整性 可用性 什么是信息安全 3 美國(guó)國(guó)家安全局信息保障主任給出的定義是 因?yàn)樾g(shù)語(yǔ) 信息安全 一直僅表示信息的機(jī)密性 在國(guó)防部我們用 信息保障 來(lái)描述信息安全 也叫 IA 它包含5種安全服務(wù) 包括機(jī)密性 完整性 可用性 真實(shí)性和不可抵賴性 國(guó)際標(biāo)準(zhǔn)化委員會(huì)給出的定義是 為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù) 保護(hù)計(jì)算機(jī)硬件 軟件 數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞 更改 顯露 什么是信息安全 信息安全目標(biāo)總結(jié) 信息安全的目標(biāo)機(jī)密性Confidentiality完整性Integrity可用性Availability可控性controllability真實(shí)性Authenticity不可否認(rèn)性Non repudiation 什么是信息安全 涵蓋內(nèi)容總結(jié) 信息安全的涵蓋內(nèi)容物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理 提綱 什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開(kāi)展信息安全工作信息安全最佳實(shí)踐信息安全工作模型 什么是IT運(yùn)維 互聯(lián)網(wǎng)定義 IT運(yùn)維是IT管理的核心和重點(diǎn)部分 也是內(nèi)容最多 最繁雜的部分 該階段主要用于IT部門(mén)內(nèi)部日常運(yùn)營(yíng)管理 涉及的對(duì)象分成兩大部分 即IT業(yè)務(wù)系統(tǒng)和運(yùn)維人員 可細(xì)分為七個(gè)子系統(tǒng) 設(shè)備管理 對(duì)網(wǎng)絡(luò)設(shè)備 服務(wù)器備 操作系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控應(yīng)用 服務(wù)管理 各種應(yīng)用軟件與服務(wù)數(shù)據(jù) 存儲(chǔ) 容災(zāi)管理 對(duì)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ) 備份和恢復(fù)業(yè)務(wù)管理 對(duì)組織業(yè)務(wù)系統(tǒng)的監(jiān)控與管理 CSF KPI目錄 內(nèi)容管理 組織的對(duì)內(nèi) 外信息的管理資產(chǎn)管理 包括物理與邏輯資產(chǎn)信息安全管理 日常工作管理 職責(zé)分工 績(jī)效考核 知識(shí)平臺(tái)整理等 什么是IT運(yùn)維 我的定義 組織為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)而針對(duì)IT系統(tǒng)所采取的一切管理的總和 可以分為兩類 服務(wù)支持管理與服務(wù)交付管理 服務(wù)支持包括 事故管理問(wèn)題管理配置管理變更管理發(fā)布管理服務(wù)交付包括 可用性管理能力管理服務(wù)水平管理外包管理 什么是IT運(yùn)維 總結(jié) IT運(yùn)維的目標(biāo)支撐組織業(yè)務(wù)目標(biāo)IT運(yùn)維的內(nèi)容服務(wù)交付服務(wù)支持IT運(yùn)維 ITIL Cobit CISA ISO20000 提綱 什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開(kāi)展信息安全工作信息安全最佳實(shí)踐信息安全工作模型 信息安全與IT運(yùn)維的關(guān)系 1 安全是IT運(yùn)維的重要組成模塊 對(duì)于某些行業(yè)是關(guān)鍵模塊IT運(yùn)維旨在謀求安全性與方便性安全保障著價(jià)值安全正在創(chuàng)造價(jià)值 網(wǎng)上銀行的安全性吸引了更多的消費(fèi)者商業(yè)秘密的安全措施使得組織更具競(jìng)爭(zhēng)力電子簽名法的出臺(tái)打消了使用者的安全疑慮具有安全認(rèn)證與強(qiáng)大容災(zāi)能力的郵件系統(tǒng)才能擁有海量的用戶 信息安全與IT運(yùn)維的關(guān)系 2 安全與IT運(yùn)維共有一個(gè)衡量標(biāo)尺 組織業(yè)務(wù)目標(biāo)業(yè)務(wù)需求驅(qū)動(dòng)信息安全與IT運(yùn)維需求信息安全與IT運(yùn)維方案要適應(yīng)業(yè)務(wù)流程信息安全與IT運(yùn)維方案要支撐業(yè)務(wù)的可持續(xù)發(fā)展業(yè)務(wù)目標(biāo)的調(diào)整驅(qū)使安全與IT運(yùn)維的調(diào)整投資與企業(yè)戰(zhàn)略 風(fēng)險(xiǎn)狀況密切相關(guān) 信息安全與IT運(yùn)維的關(guān)系 3 安全貫穿了IT運(yùn)維整個(gè)生命周期安全與IT運(yùn)維都是一個(gè)過(guò)程 而不是一次事件每個(gè)IT運(yùn)維流程都影響著安全的一個(gè)或者多個(gè)目標(biāo) C I A 失去安全的IT運(yùn)維是失敗的運(yùn)維安全的成熟度模型與IT運(yùn)維的標(biāo)桿管理是吻合的 信息安全與IT運(yùn)維的關(guān)系 4 IT運(yùn)維與信息安全的融合安全公司試水運(yùn)維 安全產(chǎn)品強(qiáng)化管理 監(jiān)控功能 支持IT運(yùn)維運(yùn)維支持類產(chǎn)品引入安全概念 集成安全技術(shù)信息安全融入IT運(yùn)維流程中相關(guān)標(biāo)準(zhǔn)的認(rèn)證工作可以同時(shí)進(jìn)行 ISO20000 270001 信息安全與IT運(yùn)維的關(guān)系 5 IT運(yùn)維的趨勢(shì)彰示著安全的未來(lái)IT運(yùn)維的標(biāo)準(zhǔn)化符合安全的 縱深防御 的理念I(lǐng)T運(yùn)維的流程化提高了安全的可管理性 為改進(jìn)安全工作提供條件IT運(yùn)維的自動(dòng)化減少了人為失誤 降低了安全的成本 提綱 什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開(kāi)展信息安全工作信息安全最佳實(shí)踐信息安全工作模型 怎樣開(kāi)展信息安全治理 1 1 規(guī)劃根據(jù)組織業(yè)務(wù)與組織文化 制定安全目標(biāo)對(duì)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估制定安全基線 怎樣開(kāi)展信息安全治理 2 2 實(shí)施根據(jù)安全基線 制定安全建設(shè)計(jì)劃 投資回報(bào)計(jì)劃建立信息安全管理框架 融合各種安全技術(shù) 產(chǎn)品 建設(shè)組織安全保障體系 對(duì)關(guān)鍵流程制定BCP DRP計(jì)劃 怎樣開(kāi)展信息安全治理 3 3 評(píng)估參照Cobit 開(kāi)展信息系統(tǒng)審計(jì)根據(jù)組織的業(yè)務(wù)流程 建立基于 平衡積分卡 的績(jī)效考評(píng)機(jī)制逐步分解 平衡積分卡 為若干個(gè)KPI KGI Metrics等 參照安全基線發(fā)現(xiàn)差距在盡量不影響業(yè)務(wù)連續(xù)性的前提下 采取有效演練手段 確保BCP DRP的有效性 怎樣開(kāi)展信息安全治理 4 4 維護(hù)根據(jù)評(píng)估結(jié)果 進(jìn)行流程改進(jìn)標(biāo)桿管理 提高安全系統(tǒng)成熟度持續(xù)改進(jìn) 永不停止 怎樣開(kāi)展信息安全治理 5 關(guān)于人 上述步驟中 并沒(méi)有列出 人 的因素 其實(shí)在整個(gè)安全治理工作中 人 是最關(guān)鍵的因素 對(duì)人的安全意識(shí)的培養(yǎng) 安全技能的教育伴隨著整個(gè)安全治理工作全程 不會(huì)僅限于某個(gè)特定步驟 怎樣開(kāi)展信息安全治理 6 關(guān)于安全成熟度 系統(tǒng)安全工程能力成熟模型 SSE CMM 描述了一個(gè)組織的安全工程過(guò)程必須包含的本質(zhì)特征 這些特征是完善的安全工程保 包括6級(jí) SSE CMM0 未實(shí)施級(jí)SSE CMM1 非正式實(shí)施級(jí)執(zhí)行基本實(shí)施SSE CMM2 計(jì)劃和跟蹤級(jí)規(guī)劃執(zhí)行 規(guī)范化執(zhí)行 驗(yàn)證執(zhí)行 跟蹤執(zhí)行SSE CMM3 已定義級(jí)定義標(biāo)準(zhǔn)過(guò)程 執(zhí)行已定義過(guò)程 協(xié)調(diào)實(shí)施SSE CMM4 可管理級(jí)建立可測(cè)的質(zhì)量目標(biāo) 客觀的管理執(zhí)行SSE CMM5 持續(xù)改進(jìn)級(jí)改進(jìn)組織能力 改進(jìn)過(guò)程有效性 怎樣開(kāi)展信息安全治理 7 關(guān)于績(jī)效考評(píng)與平衡計(jì)分卡 沒(méi)有績(jī)效考評(píng)無(wú)法度量信息安全治理的輸出一般來(lái)講 平衡計(jì)分卡從如下4個(gè)角度進(jìn)行財(cái)務(wù)角度成本預(yù)算 投資回報(bào)等客戶角度服務(wù)質(zhì)量 客戶滿意度 需求解決 高效的IT服務(wù)臺(tái)等企業(yè)內(nèi)部運(yùn)營(yíng)業(yè)務(wù)流程效率 登錄時(shí)間 故障發(fā)生率 故障平均修復(fù)時(shí)間學(xué)習(xí)與成長(zhǎng)人才培養(yǎng) 技能發(fā)展等 提綱 什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開(kāi)展信息安全工作信息安全最佳實(shí)踐信息安全工作模型 信息安全治理的最佳實(shí)踐 1 沒(méi)有管理層支持的安全治理的結(jié)果只有一個(gè) 失敗確保資金 人員的支持管理層的支持在一定程度上說(shuō)明信息安全治理順從組織業(yè)務(wù)目標(biāo)怎樣得到管理層的支持 信息安全治理的最佳實(shí)踐 2 沒(méi)有規(guī)劃的安全治理 結(jié)果也是失敗信息安全治理是一個(gè)復(fù)雜的工程 沒(méi)有規(guī)劃只能失敗 信息安全治理的最佳實(shí)踐 3 遵循標(biāo)準(zhǔn)才能少走彎路相關(guān)的標(biāo)準(zhǔn)與體系 ISO20000 270001ITIL Cobit COSO相關(guān)的法律 SOX302 404信息安全等級(jí)管理辦法 信息安全治理的最佳實(shí)踐 4 信息資產(chǎn)分類 分級(jí) 實(shí)現(xiàn)有限投資的效益最大化信息資產(chǎn)分類 分級(jí)并不是簡(jiǎn)單的資產(chǎn)清點(diǎn)信息資產(chǎn)分類 分級(jí)為進(jìn)一步的訪問(wèn)控制做準(zhǔn)備信息資產(chǎn)的分類以業(yè)務(wù)流程為參照 分級(jí)以重要性為參照 信息安全治理的最佳實(shí)踐 5 建立縱深防御機(jī)制縱深防御機(jī)制被認(rèn)為是解決信息安全的最佳方法 是指在信息系統(tǒng)中的多個(gè)點(diǎn)使用多種安全技術(shù) 從而減少攻擊者利用關(guān)鍵業(yè)務(wù)資源或信息泄露到企業(yè)外部的總體可能性 在消息傳遞和協(xié)作環(huán)境中 縱深防御體系可以幫助管理員確保惡意代碼或活動(dòng)被阻止在基礎(chǔ)結(jié)構(gòu)內(nèi)的多個(gè)檢查點(diǎn) 這降低了威脅進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性 怎樣建立縱深防御機(jī)制 信息安全治理的最佳實(shí)踐 6 預(yù)防為主 檢測(cè)與糾正并舉的安全控制措施安全問(wèn)題發(fā)生的階段越靠后 解決安全問(wèn)題付出的代價(jià)越高 信息安全拒絕完美主義 不要試圖消除所有的風(fēng)險(xiǎn)雖然不能消除所有的風(fēng)險(xiǎn) 但是可以管理所有風(fēng)險(xiǎn) 信息安全治理的最佳實(shí)踐 7 安全治理是一個(gè)動(dòng)態(tài)的過(guò)程 而非一次孤立事件安全策略的建立不是安全的終點(diǎn)安全產(chǎn)品的部署也不是安全的終點(diǎn)安全治理根本沒(méi)有終點(diǎn) 安全治理是一個(gè)循環(huán)公司業(yè)務(wù)目標(biāo)的調(diào)整對(duì)信息安全的影響新技術(shù) 新產(chǎn)品的發(fā)展帶來(lái)隱患或者機(jī)遇 wireless IM cc攻擊等 信息安全治理的最佳實(shí)踐 8 安全治理的過(guò)程就是發(fā)現(xiàn)并消除短木板的過(guò)程信息安全的短木板在很多方面都存在以信息防泄漏為例 大多數(shù)網(wǎng)關(guān)設(shè)備能支持訪問(wèn)控制 能對(duì)郵件 網(wǎng)頁(yè) ftp等進(jìn)行監(jiān)控并過(guò)濾 但是仍然存在其他途徑可以泄漏信息 包括移動(dòng)介質(zhì) 無(wú)線通訊 以及近來(lái)越來(lái)越普及的即時(shí)通訊工具 信息安全治理的最佳實(shí)踐 9 安全的管理 歸根結(jié)底是對(duì)人的管理人的安全意識(shí) 安全操作 安全技能信息安全中最重要的環(huán)節(jié)是人 最薄弱的環(huán)節(jié)也是人 人可以解決技術(shù) 產(chǎn)品所不能解決的問(wèn)題 比如SocialEngineeringAttack人可以管理技術(shù) 產(chǎn)品的缺陷 信息安全治理的最佳實(shí)踐 10 參照但不照搬最佳實(shí)踐沒(méi)有一個(gè)最佳實(shí)踐能適應(yīng)所有情況 包括