構(gòu)建信息安全保障體系——使命原則框架執(zhí)行和實踐

1、構(gòu)建(u jin)信息安全保障體系使命、原則、框架、執(zhí)行和實踐2006年11月共一百零六頁三觀(sn un)論實現(xiàn)層運營層技術(shù)人員過程決策層宏觀(hnggun)微觀中觀共一百零六頁摘要(zhiyo)使命(shmng)27號文原則風險管理框架信息安全保障框架執(zhí)行IT風險管理的業(yè)務(wù)化從風險管理到合規(guī)性管理實踐安全域安全管理平臺共一百零六頁使命(shmng)共一百零六頁問題(wnt)什么是信息安全？到底要解決那些(nxi)問題？怎么實施信息安全建設(shè)？共一百零六頁問題(wnt)什么是信息安全？通過回答最根本的問題(wnt)，幫助我們探究事物的本原。到底要解決那些問題？明確工作的目標和要求，從一個大的廣

2、泛的概念中尋找自身的定位。怎么實施信息安全建設(shè)？通過回答最實際的問題，幫助我們獲得需要的實效。共一百零六頁三法則(fz)Q3-WWH三問題：什么(shn me)/為什么(shn me)/怎么共一百零六頁中辦發(fā)200327號國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(jiqing)信息安全保障工作的意見（2003年8月26日）共一百零六頁加強(jiqing)信息安全保障工作-總體要求總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障(bozhng)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。共一百零六頁加強信息安全保障工作-主

3、要(zhyo)原則主要原則：立足國情(guqng)，以我為主，堅持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。共一百零六頁加強(jiqing)信息安全保障工作-九項任務(wù)系統(tǒng)等級保護和風險管理基于密碼技術(shù)的信息保護和信任體系網(wǎng)絡(luò)信息安全監(jiān)控體系應(yīng)急處理體系加強技術(shù)研究，推進產(chǎn)業(yè)發(fā)展法制建設(shè)、標準化建設(shè)人才培養(yǎng)與全民安全意識保證(bozhng)信息安全資金加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責任制共一百零六頁原則(yunz)共一百零六

4、頁原則(yunz)風險管理風險管理了解(lioji)威脅了解資產(chǎn)和業(yè)務(wù)了解保障措施共一百零六頁安全(nqun)的三個相對性原則安全沒有絕對，沒有100%實踐安全相對性的三個原則(yunz)風險原則適合商業(yè)機構(gòu)生存原則適合強力機構(gòu)保鏢原則適合涉密機構(gòu)共一百零六頁風險管理風險管理的理念從90年代開始，已經(jīng)逐步成為引導(dǎo)(yndo)信息安全技術(shù)應(yīng)用的核心理念共一百零六頁ISO13335中的風險管理的關(guān)系(gun x)圖共一百零六頁ISO13335以風險(fngxin)為核心的安全模型風險(fngxin)防護措施信息資產(chǎn)威脅漏洞防護需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足一般風險評估的理論基礎(chǔ)

5、共一百零六頁風險評估(pn )的國家標準共一百零六頁國信辦報告(bogo)中的風險要素關(guān)系圖安全管理平臺中實時風險監(jiān)控的理論(lln)基礎(chǔ)共一百零六頁德國ITBPM共一百零六頁最精簡(jngjin)的風險管理要素共一百零六頁三法則(fz)Q3-WWHR3-AST三問題(wnt)：什么/為什么/怎么風險三要素：資產(chǎn)業(yè)務(wù)/保障措施/威脅共一百零六頁了解(lioji)威脅共一百零六頁威脅(wixi)趨勢外部威脅環(huán)境危害的頻度、范圍越來越大威脅的方面越來越綜合攻擊的技術(shù)含量越來越大攻擊的技術(shù)(jsh)成本越來越低攻擊的法律風險還難于真正體現(xiàn) 內(nèi)部威脅和物理威脅系統(tǒng)的環(huán)境越來越復(fù)雜系統(tǒng)自身的結(jié)構(gòu)越來越復(fù)

6、雜內(nèi)部發(fā)生惡意和非惡意的可能性越來越大威脅傳遞和放大的情況更加嚴重共一百零六頁威脅(wixi)的總結(jié)惡意代碼人為發(fā)起的越權(quán)(yu qun)和入侵類病毒、蠕蟲等傳播類發(fā)起的拒絕服務(wù)攻擊類違規(guī)操作誤操作違規(guī)業(yè)務(wù)惡意信息惡意傳播有害信息垃圾信息（垃圾短信、垃圾郵件等）信息泄漏物理問題設(shè)備故障環(huán)境事故自然災(zāi)害共一百零六頁針對(zhndu)威脅的主要技術(shù)針對惡意代碼防火墻、防病毒、入侵檢測(jin c)、漏洞掃描違規(guī)操作流量監(jiān)控、審計、應(yīng)用系統(tǒng)安全措施惡意信息內(nèi)容監(jiān)控、內(nèi)容過濾、加密物理問題容災(zāi)、備份共一百零六頁了解資產(chǎn)(zchn)和業(yè)務(wù)共一百零六頁怎么(zn me)了解資產(chǎn)和業(yè)務(wù)（IT相關(guān)）分析(fn

7、x)信息體系架構(gòu)ITA業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)分布形態(tài)系統(tǒng)的層次性技術(shù)和管理時間（生命周期）價值（資產(chǎn)價值、影響價值、投入） 共一百零六頁機構(gòu)典型的ITA及其安全(nqun)思維公共(gnggng)網(wǎng)絡(luò)廣域網(wǎng)絡(luò)對外發(fā)布對外業(yè)務(wù)渠道核心業(yè)務(wù)內(nèi)部業(yè)務(wù)OA、財務(wù)等業(yè)務(wù)支撐安全保障異地內(nèi)網(wǎng)異地災(zāi)備機構(gòu)內(nèi)網(wǎng)共一百零六頁ITA分析(fnx)初探-層次物理(wl)和環(huán)境網(wǎng)絡(luò)與通信主機和系統(tǒng)應(yīng)用和業(yè)務(wù)數(shù)據(jù)和介質(zhì)人員和組織使命和價值共一百零六頁ITA分析(fnx)初探-分布式從安全角度(jiod)梳理網(wǎng)絡(luò)結(jié)構(gòu)的主要方法節(jié)點路徑法子網(wǎng)邊界法安全域方法子網(wǎng)和邊界分析路徑和節(jié)點分析共一百零六頁中國移動2004年的6個試點(sh

8、din)項目安全域劃分與邊界整合服務(wù)與端口管理生產(chǎn)終端統(tǒng)一(tngy)管理安全帳號口令安全補丁與版本管理安全預(yù)警共一百零六頁邊界接入域互聯(lián)網(wǎng)接入?yún)^(qū)計算環(huán)境 一般服務(wù)區(qū)計算環(huán)境域計算環(huán)境 核心區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施域支撐性設(shè)施域骨干區(qū)匯集區(qū)接入?yún)^(qū)安全系統(tǒng)網(wǎng)管系統(tǒng)其它支撐系統(tǒng)外聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)計算環(huán)境 重要服務(wù)區(qū)內(nèi)部網(wǎng)接入?yún)^(qū)通過(tnggu)安全域理解6個試點項目的安排安全域劃分與邊界(binji)整合服務(wù)與端口管理生產(chǎn)終端統(tǒng)一管理安全帳號口令安全補丁與版本管理安全預(yù)警共一百零六頁運營商的業(yè)務(wù)(yw)特色承載網(wǎng)支撐系統(tǒng)經(jīng)營分析決策系統(tǒng)內(nèi)部后勤式系統(tǒng)共一百零六頁電力系統(tǒng)(din l x tn)二次安防

9、的思路共一百零六頁某涉密廣域網(wǎng)的特色(ts)業(yè)務(wù)沒有(mi yu)基于大型的信息系統(tǒng)業(yè)務(wù)小型業(yè)務(wù)部門自成業(yè)務(wù)單元各個業(yè)務(wù)部門之間主要是一些協(xié)同數(shù)據(jù)共享業(yè)務(wù)安全特色強調(diào)小網(wǎng)安全，自成小型防護體系內(nèi)部大網(wǎng)強調(diào)全局監(jiān)控，提供承載規(guī)范數(shù)據(jù)共享，保證安全防止泄密共一百零六頁某涉密辦公網(wǎng)的特色(ts)將系統(tǒng)(xtng)和網(wǎng)絡(luò)進行一個典型分割，分別解決安全問題邊界（物理隔離、防火墻、防病毒網(wǎng)關(guān)、入侵檢測）內(nèi)網(wǎng)（VLAN、流量監(jiān)控、異常監(jiān)控）客戶端接入?yún)^(qū)/OA區(qū)（非法外聯(lián)、補丁管理、PC防病毒、內(nèi)網(wǎng)綜合治理）服務(wù)器區(qū)（服務(wù)器加固、入侵檢測）安全支撐（漏洞掃描）共一百零六頁銀行的業(yè)務(wù)(yw)特征內(nèi)部(nib)經(jīng)

10、營決策分析系統(tǒng)OLAP對外核心業(yè)務(wù)系統(tǒng)OLTP后臺核心計算渠道服務(wù)界面共一百零六頁了解保障(bozhng)措施共一百零六頁保障體系的實際(shj)組成共一百零六頁技術(shù)環(huán)境(hunjng)當前主流的基本安全產(chǎn)品加密防病毒防火墻入侵檢測漏洞掃描身份(shn fen)認證VPN 共一百零六頁技術(shù)環(huán)境當前主流的基本安全(nqun)服務(wù)咨詢服務(wù)整體框架規(guī)劃和設(shè)計評估加固服務(wù)對于主機(zhj)和網(wǎng)絡(luò)進行技術(shù)評估和加固風險評估服務(wù)對系統(tǒng)的整體風險進行評估并對風險管理提供設(shè)計滲透性測試服務(wù)安全教育和培訓 共一百零六頁安全管理(gunl)平臺成為一個值得考慮的選擇漏洞評估中心事件監(jiān)控中心風險分析決策支持與預(yù)警系

11、統(tǒng)響應(yīng)管理系統(tǒng)顯示報告ScannerIDSFWAV主機與網(wǎng)絡(luò)設(shè)備人工審計外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺資源管理平臺其他事件檢測系統(tǒng)其他狀態(tài)檢測系統(tǒng)資產(chǎn)管理平臺知識庫外部協(xié)同用戶管理安全知識管理平臺自身安全共一百零六頁三法則(fz)Q3-WWHR3-ASTP3-CSP三問題：什么/為什么/怎么(zn me)風險三要素：資產(chǎn)業(yè)務(wù)/保障措施/威脅產(chǎn)品三形態(tài)：部件產(chǎn)品/服務(wù)/平臺共一百零六頁框架(kun ji)共一百零六頁框架(kun ji)共一百零六頁最精簡(jngjin)的風險管理要素：R3-AST共一百零六頁信息安全保障(bozhng)框架資產(chǎn)清單(qngdn)面向網(wǎng)絡(luò)拓撲基

12、于安全域/業(yè)務(wù)域基于業(yè)務(wù)流分析 共一百零六頁信息安全保障(bozhng)框架脆弱性管理(gunl)告警管理事件管理預(yù)警管理威脅管理 共一百零六頁信息安全保障(bozhng)框架通過S3-PPT方法展開(zhn ki)保障措施共一百零六頁技術(shù)功能(gngnng)是T3-PDR的衍生共一百零六頁三法則(fz)Q3-WWHR3-ASTP3-CSPV3-MMMS3-PPTT3-PDR三問題：什么/為什么/怎么風險三要素：資產(chǎn)業(yè)務(wù)/保障措施/威脅產(chǎn)品三形態(tài)：部件產(chǎn)品/服務(wù)(fw)/平臺三觀論：宏觀/中觀/微觀保障：人員組織/過程/技術(shù)技術(shù)：防護/檢測/響應(yīng)共一百零六頁保障(bozhng)框架-措施共一百

13、零六頁27號文的框架(kun ji)分析等級(dngj)保護風險評估監(jiān)控體系應(yīng)急體系信任體系技術(shù)和產(chǎn)業(yè)法制建設(shè)標準化建設(shè)人才培養(yǎng)全民意識保證資金責任制共一百零六頁產(chǎn)品的框架(kun ji)分析IDS應(yīng)用(yngyng)審計防火墻SAN防垃圾安全管理中心Scanner遠程數(shù)據(jù)熱備IPS防病毒加密機雙因子PKI共一百零六頁安全服務(wù)體系的框架(kun ji)分析評估(pn )加固教育培訓MSS應(yīng)急響應(yīng)安全集成風險評估管理咨詢共一百零六頁體系設(shè)計方案的框架(kun ji)分析安全監(jiān)控體系(tx)安全審計體系安全防護體系應(yīng)急恢復(fù)體系網(wǎng)絡(luò)信任體系安全管理體系共一百零六頁最佳(zu ji)實踐建議教育和培訓

14、成熟產(chǎn)品防病毒、防火墻、VPN、入侵(rqn)檢測、漏洞掃描風險評估框架式的安全建設(shè)規(guī)劃信息安全管理體系安全域監(jiān)控體系、安全監(jiān)控管理中心事件管理體系、應(yīng)急體系共一百零六頁執(zhí)行(zhxng)共一百零六頁執(zhí)行(zhxng)風險管理的落實IT風險管理的業(yè)務(wù)化將IT風險管理（信息安全(nqun)）融合到業(yè)務(wù)安全(nqun)中去從風險管理到合規(guī)性管理共一百零六頁國際(guj)風險管理趨勢業(yè)務(wù)化IT安全風險成為企業(yè)運營風險中最為重要的一個組成部分，業(yè)務(wù)連續(xù)性逐漸(zhjin)與安全并行考慮來源：Gartner共一百零六頁案例分析：瑞士聯(lián)合銀行UBS的風險(fngxin)觀點共一百零六頁瑞士聯(lián)合銀行UBS的

15、風險(fngxin)觀點共一百零六頁UBS將機構(gòu)安全(nqun)問題組織化共一百零六頁UBS策略和組織(zzh)的保證共一百零六頁UBS風險管理組織(zzh)共一百零六頁UBS 風險(fngxin)報告共一百零六頁合規(guī)性管理(gunl)需求驅(qū)動力的變化需求筐架來自內(nèi)部來自外部主動引導(dǎo)體系化Systematic政策性Policy被動要求問題型Problem合規(guī)性Compliance共一百零六頁問題型需求驅(qū)動(q dn)的特點問題常常來源于客戶實際問題常常是不成體系的（看起來）需求(xqi)滿足常常是“頭痛醫(yī)頭，腳痛醫(yī)腳”問題解決要求很快，追求速效問題所帶來的需求都非常實在問題解決辦法常常體現(xiàn)為面

16、向脆弱性安全比如：防病毒、入侵檢測、防火墻等共一百零六頁體系化需求(xqi)驅(qū)動的特點常常來源于從專家和廠商而來的技術(shù)推動(tu dng)客戶零散的問題，被內(nèi)外部專家提煉看起來成體系，但是因為有抽象，和實際總是有些差別常常表現(xiàn)為：面向結(jié)構(gòu)性安全比如：保障體系、可信計算、管理平臺等由于各個因素的牽扯，所以見效較慢完全靠體系來驅(qū)動，力度常常不足共一百零六頁政策性需求驅(qū)動(q dn)的特點常常來源于上級機構(gòu)和主管機構(gòu)雖然不追求完美的體系，但是政策性要求有一定整體性政策性要求不是強制性的，有一定的靈活性常常表現(xiàn)為：一些(yxi)要點總結(jié)廠商和客戶一般在政策上的敏感度不高政策性的實際推動力常常不足共一百

17、零六頁合規(guī)性需求(xqi)驅(qū)動的特點常常來源于上級(shngj)機構(gòu)和主管機構(gòu)強制性、具有極強的推動力和約束力有效的合規(guī)性要求要簡單和明確共一百零六頁當前(dngqin)典型的“規(guī)”薩班斯-奧克斯利法案 SOX新巴塞爾資本協(xié)議 Basel II銀監(jiān)會200663號文銀行業(yè)金融機構(gòu)信息系統(tǒng)管理指引 國資發(fā)改革2006108號文中央企業(yè)全面風險管理指引 等級保護 公通字20067號文信息安全等級保護管理辦法試行(shxng)涉密分級保護涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 共一百零六頁企業(yè)信息安全保障能力(nngl)成長階段劃分成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企

18、業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%共一百零六頁企業(yè)信息安全保障能力成長(chngzhng)階段劃分成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%盲目自信階段普遍缺乏安全意識(y sh)，對企業(yè)安全狀況不了解，未意識(y sh)到信息安全風險的嚴重性認知階段通過信息安全風險評估等，企業(yè)意識到自身存在的信息安全風險，開始采取一些措施提升信息安全水平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進行

19、全面的信息安全架構(gòu)設(shè)計，有計劃的建設(shè)信息安全保障體系卓越運營階段信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進的機制，以應(yīng)對安全風險的變化，不斷提升安全控制能力共一百零六頁各個(gg)階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%基本安全(nqun)產(chǎn)品部署主要人員的培訓教育建立安全團隊制定安全方針政策評估并了解現(xiàn)狀共一百零六頁各個階段的主要工作(gngzu)任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在

20、不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%啟動信息安全戰(zhàn)略(zhnl)項目設(shè)計信息安全架構(gòu)建立信息安全流程完成信息安全改進項目共一百零六頁各個(gg)階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%信息安全流程(lichng)的持續(xù)改進追蹤技術(shù)和業(yè)務(wù)的變化共一百零六頁需求驅(qū)動力向“合規(guī)性”的轉(zhuǎn)化帶來客戶價值(jizh)和產(chǎn)業(yè)機會需求筐架來自內(nèi)部來自外部主動引導(dǎo)體系化Systematic政策性Policy被動要求問題型Pr

21、oblem合規(guī)性Compliance共一百零六頁實踐(shjin)共一百零六頁中觀落實的思想(sxing)方法面向?qū)嵭У哪繕?mbio)規(guī)避最壞情況，追求較高要求，滿足最低要求需求筐架來自內(nèi)部來自外部主動引導(dǎo)體系化政策性被動要求問題型合規(guī)性共一百零六頁中觀落實的思想(sxing)方法面向?qū)嵭У哪繕?mbio)管理與技術(shù)的平衡共一百零六頁管理(gunl)與技術(shù)的平衡“堅持(jinch)管理與技術(shù)并重”三分技術(shù)，七分管理從管理著眼，從技術(shù)入手管理驅(qū)動技術(shù) 技術(shù)實現(xiàn)管理宏觀微觀中觀共一百零六頁中觀落實的思想(sxing)方法面向?qū)嵭У哪繕斯芾砼c技術(shù)的平衡(pnghng)從管理著眼，從技術(shù)入手管理驅(qū)動

22、技術(shù)，技術(shù)實現(xiàn)管理共一百零六頁中觀落實(lush)的思想方法面向(min xin)實效的目標管理與技術(shù)的平衡落實中觀運作的著手之處共一百零六頁域共一百零六頁安全(nqun)域的概念廣義的安全域概念(ginin)是具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括：策略和流程 物理環(huán)境網(wǎng)絡(luò)區(qū)域業(yè)務(wù)和使命人和組織主機和系統(tǒng)共一百零六頁資產(chǎn)(zchn)結(jié)構(gòu)化-安全域安全域方法歸根到底就是(jish)用結(jié)構(gòu)將微觀的大量資產(chǎn)和其他安全要素，有序地展現(xiàn)在宏觀層面共一百零六頁美國(mi u)NSA的IATF共一百零六頁啟明星辰的3+1安全(nqun)域方法邊界接入域網(wǎng)絡(luò)互聯(lián)域管理支撐域（網(wǎng)絡(luò)管

23、理和安全管理等）計算服務(wù)域共一百零六頁圍繞安全域落實(lush)相關(guān)工作安全域的等級化依據(jù)安全域安排分階段工作通過安全域調(diào)整完成網(wǎng)絡(luò)安全改造(gizo)通過安全域分析實現(xiàn)業(yè)務(wù)流轉(zhuǎn)安全分析圍繞安全域完成安全產(chǎn)品和服務(wù)的部署邊界、內(nèi)、外、相連、遠程連接根據(jù)安全域的不同等級給予投入，形成整體的效益最佳共一百零六頁中觀落實(lush)的思想方法面向(min xin)實效的目標管理與技術(shù)的平衡落實中觀運作的著手之處擦亮中觀運作的眼睛共一百零六頁鳥瞰圖共一百零六頁共一百零六頁安全管理平臺成為(chngwi)承上啟下的技術(shù)手段安全(nqun)管理平臺成為檢測和響應(yīng)能力的匯總點共一百零六頁平臺應(yīng)當發(fā)揮(fhu

24、)的作用決策層面 .從業(yè)務(wù)風險層面理解安全事件計算和跟蹤安全投資回報率運營層面準確分析現(xiàn)有系統(tǒng)(xtng)的威脅確定安全事件的優(yōu)先順序理順安全事件管理的流程 技術(shù)層面集中管理不同的安全設(shè)備綜合分析分布的安全報警宏觀微觀中觀共一百零六頁功能(gngnng)體系結(jié)構(gòu)漏洞評估中心事件/流量/運行監(jiān)控中心風險分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報告體系結(jié)構(gòu)示意圖ScannerIDSFWAV主機與網(wǎng)絡(luò)設(shè)備人工審計外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺資源管理平臺其他事件檢測系統(tǒng)其他狀態(tài)檢測系統(tǒng)資產(chǎn)管理平臺統(tǒng)一信息知識庫外部協(xié)同用戶管理安全知識管理平臺自身安全共一百零六頁實時監(jiān)控(jin kn)的可視化顯示實時監(jiān)控內(nèi)容監(jiān)控對象、事件類型、風險級別（5級）、發(fā)生時間、源地址、目標地址、協(xié)議類型、時間間隔等顯示方式拓撲鏈接(lin ji)圖GIS地理圖交互式圖表