企業(yè)IT安全管理實務課件

1、企業(yè)IT 安全管理實務蝴蝶效應1979年，洛倫斯教授在華盛頓所作的報告中說：他在研究中發(fā)現(xiàn)，巴西的一只蝴蝶翅膀揮動一下，會在美國的得克薩斯州形成颶風。這一理論稱為“蝴蝶效應”。“蝴蝶效應”是說，有些小事可以糊涂；有些小事如經(jīng)過系統(tǒng)會被放大，則對一個企業(yè)、一個國家至關重要，就不能糊涂。 青蛙現(xiàn)象“青蛙現(xiàn)象”?！扒嗤墁F(xiàn)象”是19世紀末康奈爾大學幾個教授做的一個實驗：先把一只青蛙扔進沸騰的油鍋里，它非常敏捷，馬上跳了出來。然后教授們把這只青蛙放進一只裝有溫水的鐵鍋里，下面點著小火。它感到暖洋洋很舒服，水溫逐漸升高，它仍然悠然自在。等到它覺得燙了，體內(nèi)能量已耗盡，肌肉已硬了，跳不出來了，就這樣被煮死了

2、?！扒嗤墁F(xiàn)象”告訴我們，一些突變事件，往往容易引起人們警覺，而易致人于死地的卻是在自我感覺良好的情況下，對實際情況的逐漸惡化，沒有清醒的察覺，沒能及時做出反應。當感到危機臨頭了，再想挽救已經(jīng)來不及了。人的頭腦習慣于注意幅度較大的變化，我們要學會看出緩慢、漸進的過程。用我們中國人的話來說就是要防微杜漸，把問題解決在萌芽狀態(tài)。 壓力篇用戶管理層同行技術成本管理壓力用戶希望得到更多的信息、輔助、便利性；盡量少的限制、操作復雜性。管理層希望高效的組織結構，快速響應能力政策上合規(guī)、支撐企業(yè)戰(zhàn)略目標達成。技術要求不斷提高，組織結構總是被新產(chǎn)品使用拖動傳統(tǒng)中用成本中心的眼光看待IT服務支撐部是否比對手領先一

3、步，IT 不僅是基礎平臺，已經(jīng)成為戰(zhàn)略資源，構成競爭力的主因同樣的問題還在出現(xiàn)安全問題技術解決PDCA In The ISMS設計 ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS計劃執(zhí)行檢查反應It 安全管理體系分析現(xiàn)狀發(fā)現(xiàn)問題執(zhí)行風險評估（分析問題、找出原因、設定目標、定義策略建立組織定義計劃定義規(guī)則PDCA In The ISMSDesign the ISMS執(zhí)行和使用 ISMSMonitoring and review the ISMSImprove and u

4、pdate the ISMSPLAN行動CHECKACTISMSIt 安全管理體系落實責任、執(zhí)行計劃培訓、實踐，形成核心能力PDCA In The ISMSDesign the ISMSImplement and use the ISMS監(jiān)控和檢查ISMSImprove and update the ISMSPLANDO檢查ACTIt 安全管理體系執(zhí)行監(jiān)控過程內(nèi)部審計風險動態(tài)預測發(fā)現(xiàn)意外PDCA In The ISMSDesign the ISMSImplement and use the ISMSMonitoring and review the ISMS改進和升級ISMSPLANDOCHE

5、CKACTIt 安全管理體系對比目標，對意外做出改進矯正性和預防性活動向下一個環(huán)節(jié)交付現(xiàn)存問題關鍵環(huán)節(jié)有哪些？HOW?基線目標可量化，可衡量，可以達到的目標Objective目標目標完成國內(nèi)上市公司的關于IT 管理的合規(guī)要求完成國家對于重點行業(yè)實行信息系統(tǒng)等級保護的合規(guī)要求完成ISO-27001 的認證其它安全是管理層的責任安全管理僅在It部門展開安全的責任被委派到低層次的人員主觀的風險的衡量無專門組織做風險管理從傳統(tǒng)的管理角度過渡到董事會關注是CEO的工作 (屬于董事會的監(jiān)管)It 是業(yè)務核心 是戰(zhàn)略資源安全管理要在整個企業(yè)范圍內(nèi)進行一體化管理安全管理的責任由高級和部門管理人員承擔It 風險

6、管理是企業(yè)風險管理的一部分11Page 策略針對不同對象的安全策略（原則、遵行標準、指導方針、底線）針對各類技術的最低要求針對功能的基礎要求執(zhí)行組織的結構和目標例如：企業(yè)信息資產(chǎn)分類及管理策略企業(yè)信息系統(tǒng)安全等級保護及管理策略安全職能組織管理策略IT 保障日常工作管理和突發(fā)情況處置策略盡可能詳盡的，涉及實體、組織、過程的做事指導方針Policies策略詳盡策略組織企業(yè)安全工作領導機構IT 安全執(zhí)行機構IT 安全審計監(jiān)督IT 安全事件應急響應機構健全的組織架構清晰的職責邊界、最小授權原則、有效制衡原則。明確的決策規(guī)則和程序 有效的激勵和監(jiān)督機制 Organise組織清晰組織Regulation規(guī)

7、則基于策略的、滿足實際要求、以人為本的規(guī)章和制度規(guī)則通用的員工IT 操作的規(guī)則通用的IT 維護規(guī)則針對特殊環(huán)境中的規(guī)則針對各應用系統(tǒng)的規(guī)則針對特殊業(yè)務目標的規(guī)則務實規(guī)則認證合規(guī)必要的認證、合規(guī)Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳實踐組成的國際標準，非技術性標準，重點在于IT安全管理控制，是信息安全管理必不可少的參考；COBIT，信息化全生命周期管理框架，重點在于IT控制和IT度量評價，強烈建議將其作為IT風險管理、IT審計標準的重要參考；ITIL，IT服務管理的最佳實踐，重點在于

8、IT流程管理，強調(diào)IT支持和IT價值交付，可以在實施IT運維和IT服務管理時作為參考；企業(yè)內(nèi)部控制基本規(guī)范 上交所內(nèi)部控制指引、深交所內(nèi)部控制指引、銀行業(yè)金融機構信息系統(tǒng)風險管理指引巴塞爾協(xié)議、薩班斯法案、信息安全等級保護管理辦法ITIL IT服務管理最佳實踐(ISO/IEC 17799)COBIT 4.1國內(nèi)上市公司要求美國上市公司要求國家重點行業(yè)要求Compliance合規(guī)ISO27001通過認證帶來全面價值的提升遵守適用法律證書的獲得，可以向權威機構表明，組織遵守了所有適用的法律法規(guī)。從一定角度講，ISO27001:2005 標準是對適用法律法規(guī)的補充和注解，因為ISO27001:200

9、5 標準本身的制訂，是參照了業(yè)界最通行的實踐措施的，而這些實踐措施，在很多國家相關的信息保護法規(guī)中都有體現(xiàn)很多國家所推行的相關的行業(yè)指導性文件及要求，又可能是參照BS7799 而擬定的。因此，通過ISO27001:2005認證，可以使組織更有效地履行國家法律和行業(yè)規(guī)范的要求主體本身組織高效運作證書的獲得，本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關責任財務狀況ISMS 的實施，本身也能降低因為潛在安全事件發(fā)生而給組織帶來的損失，另外，也有可能減少保險金支出通過認證帶來全面價值的提升人員素質(zhì)以及意識提升職員的安全意識，增強其責任感風險管理有助于更好地了解信息

10、系統(tǒng)，并找到存在的問題以及保護的辦法，保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護。商業(yè)信譽和信心當合作伙伴、股東和客戶看到組織為保護信息而付出的努力時，其對組織的信心將得到加強。同樣的，證書的獲得，有助于確定組織，在同行業(yè)內(nèi)的競爭優(yōu)勢，提升其市場地位。商業(yè)運營符合型符合企業(yè)的自身遠期發(fā)展需要，事實上，現(xiàn)在很多國際性的投標項目已經(jīng)開始要求ISO27001:2005 符合性了，通過認證已經(jīng)是眾多企業(yè)提升核心競爭力的必要手段關于ISO27001認證流程ISO27001 規(guī)定了很多與建立、實施、維護和改進ISMS 相關的要求，組織是否符合這些要求，要在認證審核過程中予以驗證組織在建

11、立并實施ISMS 之后應該運行一段時間，確保體系功能正常、用戶得到有效培訓、文件和記錄系統(tǒng)運轉正確，一旦ISMS 根據(jù)設計規(guī)范運轉達到了令組織滿意的狀態(tài)，就可以聯(lián)系一家被認可的認證機構，準備相關資料，提出認證申請ISO27001認證審核的過程大致分兩個階段，即文件審核階段和現(xiàn)場審核階段認證申請流程：如左圖投資等級保護操作實務有哪些系統(tǒng)系統(tǒng)中的信息分類系統(tǒng)的服務分類服務的對象受害客體郵件系統(tǒng)財務系統(tǒng)OA系統(tǒng)穩(wěn)定存儲安全管理商業(yè)敏感信息內(nèi)部敏感信息公開信息合作伙伴員工VIP開放個人隱私公司商業(yè)利益企業(yè)公眾形象侵害程度定級(信息安全/服務安全) 一般嚴重非常嚴重信息實體標識密級標識絕密信息機密信息秘

12、密信息內(nèi)部信息公開信息控制標識操作權限保密存儲受控存儲不可通過郵件發(fā)送，復制載體登記，集中管理不可復制必須通過郵件加密發(fā)送，不可打印，不可復制授權復制PDF 格式,可以通過郵件發(fā)送，授權打印，授權復制自由復制處理標識創(chuàng)建者復制人（使用受權人）抄送到（被授權人）介質(zhì)標識紙介紙介+數(shù)字數(shù)字系統(tǒng)等級保護劃分標準等級對象侵害客體侵害程度監(jiān)管強度第一級社會秩序和公共利益合法權益損害自主保護第二級合法權益嚴重損害指導損害第三級國家安全社會秩序和公共利益嚴重損害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴重損害強制監(jiān)督檢查嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專門監(jiān)督檢查等級劃分實例信息系統(tǒng)安

13、全保護等級定級定級系統(tǒng)名稱侵害程度監(jiān)管強度一級互聯(lián)網(wǎng)郵件系統(tǒng)企業(yè)和個人合法權益受損自主保護二級內(nèi)部OA企業(yè)合法權益嚴重損害公共利益損害指導互聯(lián)網(wǎng)門戶三級企業(yè)ERP危及企業(yè)運行，公共利益嚴重損害監(jiān)督檢查四級鉆井數(shù)據(jù)存儲系統(tǒng)國家戰(zhàn)略資源信息嚴重損害，國家安全損害或嚴重損害強制監(jiān)督檢查策略的實務借助咨詢公司針對于某種目標的專家豐富業(yè)界的經(jīng)驗教育的背景擅長策略和計劃為客戶窮盡問題的可能提供各種解決方案為客戶的想法提供理由提升決策的公信力提供創(chuàng)新的建議規(guī)則務實參考COBIT4.0 建立管理和控制及評估機制COBIT4.0一共有209頁，囊括了7個業(yè)務需求、20個業(yè)務目標、28個IT目標、34個IT過程、

14、100多個控制管理目標，針對每個IT過程還定義有專門的度量方法和能力成熟度評估模型（5個級別，每個級別有專門的定義描述）。關于COBIT4.0計劃和組織定義IT 戰(zhàn)略計劃定義信息架構決定技術方向定義IT 過程、組織和關系管理IT 投資溝通管理目標和方向管理IT人力資源管理質(zhì)量管理IT 風險管理項目（PO1-PO10共計10個過程）獲得和執(zhí)行確定自動的方案獲得和運維應用軟件獲得和運維技術架構授權操作和使用獲得IT 資源管理變化安裝和授權方案和變化。（AI1-AI7 共計7過程）提交和支持定義和管理服務水平管理第三方服務管理性能和適應性保障不間斷服務保障系統(tǒng)安全。DS1-DS13共計 13過程監(jiān)視

15、監(jiān)視和評估it 性能監(jiān)視和評估內(nèi)控以外部要求確認合規(guī)提供IT 控制M1-M4 共計4個過程組織實務Windows 系統(tǒng)專家Unix/linux 系統(tǒng)專家安全專家網(wǎng)絡專家Internet 專家存儲專家系統(tǒng)集成專家數(shù)據(jù)庫專家應用系統(tǒng)專家系統(tǒng)網(wǎng)絡應用訪問控制保密管理認證授權管理弱點風險分析網(wǎng)絡管理安全補訂管理事故響應管理外部風險管理安全事件管理安全審計安全控制安全策略應急響應系統(tǒng)管理應用管理風險管理組織架構實務董事會、監(jiān)事會總裁、執(zhí)委會IT 保障部總經(jīng)理系統(tǒng)安全審計員IT 審計經(jīng)理IT安全 部經(jīng)理安全架構師安全分析師項目組安全專員網(wǎng)絡部經(jīng)理項目部 部經(jīng)理組織架構（合規(guī)）董事會、監(jiān)事會總裁、執(zhí)委會IT

16、 保障部總經(jīng)理系統(tǒng)安全審計員IT 審計經(jīng)理安全 部經(jīng)理安全架構師安全分析師項目組安全專員審計委員會企業(yè)內(nèi)審經(jīng)理網(wǎng)絡部經(jīng)理項目部 部經(jīng)理安全崗位安全架構師根據(jù)策略構建安全控制機制：域管理、 訪問控制管理、 VPN 管理、桌面安全管理 門戶策略管理 、 數(shù)字證書、實體授權安全分析師根據(jù)策略建立風險控制機制 IPS/IDS 管理 防病毒病毒管理 行為管理項目組安全專員平臺的安全架構師或安全分析師項目組安全架構師或安全分析師保障崗位網(wǎng)絡架構師構架網(wǎng)絡（1層-3層）維護網(wǎng)管手冊、地址表維護內(nèi)部網(wǎng)絡環(huán)境系統(tǒng)架構師構建維護應用軟件的運行系統(tǒng)，維護系統(tǒng)管理手冊應用架構師構建維護應用系統(tǒng)的運行維護各項應用系統(tǒng)的管理手冊借助域做授權管理完整的認證授權過程人力資源部系統(tǒng)企業(yè)安全架構師安全策略安全審計部系統(tǒng)架構師項目管理部增加刪除用戶創(chuàng)建 策略組定義 組的屬性創(chuàng)建 分系統(tǒng)中的 角色組 定義 角色組在系 統(tǒng)中的權限綁定 角色與 策略組將用戶放入角色組C: 文化認同 (culture)O: 組織運營 (organize)R: 崗位職責 (responsibility)P: 考核激勵 (promotion)E: 知識結構 (episteme)T: 團隊建設 (team)E: 學習發(fā)展 (enterprising)危機意識、權限與授權戰(zhàn)略目標、核心能力、價值理念、組織認同組織體制、職位積極性、創(chuàng)新意識、危機意識