安全運(yùn)營(yíng)管理課件

安全運(yùn)營(yíng)管理體系V5內(nèi)容提要安全管理問題與挑戰(zhàn)安全運(yùn)營(yíng)管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營(yíng)與收入保障安全運(yùn)營(yíng)與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT保障體系安全運(yùn)營(yíng)管理體系建議安全運(yùn)營(yíng)組織安全運(yùn)營(yíng)支持層次安全運(yùn)營(yíng)管理流程行動(dòng)建議和路線圖2安全運(yùn)營(yíng)管理企業(yè)信息安全de路線圖信息安全要融入企業(yè)，適度安全即可信息安全很簡(jiǎn)單，買些FW/IDS/AV裝上就行了信息安全投入太大，太專業(yè)，太難了信息安全是國(guó)家和政府的事情，離我們太遠(yuǎn)了信息安全如何搞？拿來主義！“標(biāo)準(zhǔn)規(guī)范＋專家顧問”就搞定了“三分技術(shù)七分管理”信息安全要結(jié)合實(shí)際IT環(huán)境，深入核心業(yè)務(wù)安全運(yùn)營(yíng)管理信息安全系統(tǒng)體系架構(gòu)4安全運(yùn)營(yíng)管理IT控制亟待解決的問題

變更控制過程并不存在（特別是在分布式或基于Web的環(huán)境中）針對(duì)關(guān)鍵應(yīng)用的安全程序、策略和配置結(jié)構(gòu)并沒有文件化組織的安全策略、程序、角色與責(zé)任等方面存在差距安全管理程序缺乏適當(dāng)?shù)目刂?，或者往往：缺乏人員離職或改變工作職責(zé)情況下對(duì)訪問進(jìn)行刪除或變更的控制（特別是對(duì)合同人員）對(duì)訪問變更的批準(zhǔn)不夠充分管理層對(duì)訪問級(jí)別沒有進(jìn)行有規(guī)律的復(fù)查和批準(zhǔn)對(duì)系統(tǒng)的過度訪問對(duì)操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用環(huán)境的特權(quán)訪問職責(zé)分離不足應(yīng)用開發(fā)者和數(shù)據(jù)庫管理員能夠訪問生產(chǎn)系統(tǒng)基礎(chǔ)架構(gòu)支持應(yīng)用不夠安全（網(wǎng)絡(luò)、OS、DB）并沒有將IT控制集成到關(guān)鍵的業(yè)務(wù)過程中去（SDCL、變更控制、符合性、測(cè)試和數(shù)據(jù)轉(zhuǎn)換程序）缺乏對(duì)控制持續(xù)有效的校驗(yàn)過程（至少應(yīng)該一個(gè)季度一次）沒有對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估的長(zhǎng)期策略5安全運(yùn)營(yíng)管理“安全運(yùn)營(yíng)管理”的定位安全運(yùn)營(yíng)是指在安全策略的指導(dǎo)下，安全組織利用安全技術(shù)來達(dá)成安全保護(hù)目標(biāo)的過程安全運(yùn)營(yíng)與IT運(yùn)營(yíng)相輔相成、互為依托、共享資源與信息安全運(yùn)營(yíng)與安全組織緊密聯(lián)系，融合在業(yè)務(wù)管理和IT管理體系中安全策略安全組織管理安全運(yùn)行維護(hù)安全技術(shù)基于運(yùn)行維護(hù)管理運(yùn)用基于指導(dǎo)落實(shí)遠(yuǎn)程接入管理辦法網(wǎng)帳號(hào)和口令管理策略防病毒規(guī)范SOC規(guī)范…中國(guó)網(wǎng)通信息安全主策略管理層指示安全框架最佳實(shí)踐…管理維護(hù)管理執(zhí)行6安全運(yùn)營(yíng)管理內(nèi)容提要安全管理問題與挑戰(zhàn)安全運(yùn)營(yíng)管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營(yíng)與收入保障安全運(yùn)營(yíng)與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT保障體系安全運(yùn)營(yíng)管理體系建議安全運(yùn)營(yíng)組織安全運(yùn)營(yíng)支持層次安全運(yùn)營(yíng)管理流程行動(dòng)建議和路線圖7安全運(yùn)營(yíng)管理業(yè)務(wù)流程和系統(tǒng)的發(fā)展對(duì)

安全運(yùn)營(yíng)管理提出新的要求呼叫中心電子郵件郵件短信網(wǎng)站自助服務(wù)服務(wù)開通資源管理事件管理工單管理客戶管理客戶交互市場(chǎng)管理項(xiàng)目管理管線資源、無線設(shè)備接入網(wǎng)、傳輸、交換話音、互聯(lián)網(wǎng)XML/UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-Level

Agreement資源管理工單管理配置管理性能管理安全管理變更管理服務(wù)水平管理計(jì)費(fèi)結(jié)算帳務(wù)伙伴管理經(jīng)營(yíng)分析決策支持商業(yè)智能BASS管理層市場(chǎng)部計(jì)劃部客服計(jì)費(fèi)網(wǎng)絡(luò)部網(wǎng)管中心整合前后端，全程調(diào)度訂單-資源-服務(wù)開通-更新客戶資料-報(bào)竣申訴-客戶資料-網(wǎng)管工單-解決-報(bào)竣訂單-資源-立項(xiàng)采購-更新資源庫-服務(wù)開通-更新客戶資料-報(bào)竣BOSS綜合網(wǎng)管安全運(yùn)營(yíng)平臺(tái)安全運(yùn)營(yíng)一方面需要適應(yīng)業(yè)務(wù)流程和系統(tǒng)的發(fā)展，另外一方面幫助控制整合后系統(tǒng)的安全風(fēng)險(xiǎn)8安全運(yùn)營(yíng)管理電信運(yùn)營(yíng)商典型的收入生成過程示意圖在收入生成的很多環(huán)節(jié)上都有可能因?yàn)榘踩{而造成收入流失！9安全運(yùn)營(yíng)管理找回遺漏收入提高利潤(rùn)減少收入的延遲減少和防范新的收入流失企業(yè)資源計(jì)劃ERP集成化的、條理化（Streamlined）的市場(chǎng)和客戶響應(yīng)流程系統(tǒng)平臺(tái)完備的客戶資料系統(tǒng)和運(yùn)營(yíng)數(shù)據(jù)系統(tǒng)數(shù)據(jù)倉庫和主題分析集成化、自動(dòng)化的BOSS系統(tǒng)高效的數(shù)據(jù)業(yè)務(wù)管理平臺(tái)集成化的、條理化的內(nèi)部IT運(yùn)維管理平臺(tái)優(yōu)化的、完備的KPI指標(biāo)體系，及其收集、分析與展示完備的備份和災(zāi)難恢復(fù)能力根源分析能力收入保障目標(biāo)安全運(yùn)營(yíng)保證收入優(yōu)化主要可用的IT手段

廣義的收入保障與安全運(yùn)營(yíng)計(jì)費(fèi)數(shù)據(jù)的完整性、可用性、可信性客戶資料的完整性和可信性減少人為錯(cuò)誤、濫用誤用等帶來的損失跨系統(tǒng)層和應(yīng)用層的完整的身份和授權(quán)管理

保證關(guān)鍵流程點(diǎn)的有效性和可審計(jì)性提高系統(tǒng)和服務(wù)的可用性，以及業(yè)務(wù)連續(xù)提供能力提高客戶安全故障的快速響應(yīng)能力保護(hù)客戶數(shù)據(jù)和隱私穩(wěn)定服務(wù)質(zhì)量考察并保障主要收入流程和系統(tǒng)BOSS的升級(jí)和穩(wěn)定運(yùn)行規(guī)范管理SP的服務(wù)提供和計(jì)費(fèi)快速響應(yīng)市場(chǎng)的需求變化提升客戶滿意度提高計(jì)費(fèi)準(zhǔn)確性提高服務(wù)開通/服務(wù)停止準(zhǔn)確性提升客戶滿意度降低成本和風(fēng)險(xiǎn)疏理現(xiàn)有計(jì)費(fèi)體系，找出問題剔除存在的差異，降低錯(cuò)誤率分析欠費(fèi)類型，降低壞賬風(fēng)險(xiǎn)分析號(hào)碼資源利用，提高利用率分析路由和網(wǎng)絡(luò)資源利用，降低成本提升管理水平完善內(nèi)控體系，實(shí)現(xiàn)閉環(huán)管理建立KPI稽核體系，有效進(jìn)行收入控制自動(dòng)化工具，固化流程，大幅提高執(zhí)行能力精確的財(cái)務(wù)和管理報(bào)表提高部門間協(xié)作，快速解決運(yùn)營(yíng)中出現(xiàn)的問題10安全運(yùn)營(yíng)管理SOX符合性對(duì)企業(yè)的影響因?yàn)榭煽康呢?cái)務(wù)報(bào)告過程有賴于IT，所以，IT在SOX404符合性努力過程中扮演著關(guān)鍵的角色；對(duì)許多組織來說，SOX可以簡(jiǎn)化為對(duì)現(xiàn)有責(zé)任的法律條文化。這些IT控制責(zé)任早已存在，不過，SOX可能要求進(jìn)行額外的形式化，并且要求在文件化和測(cè)試方面做出努力公司應(yīng)該確保IT在SOX符合性努力中扮演主動(dòng)的角色：參與符合性領(lǐng)導(dǎo)委員會(huì)理解財(cái)務(wù)報(bào)告過程，就IT（應(yīng)用、基礎(chǔ)架構(gòu)、安全等）的依賴性進(jìn)行溝通在確保財(cái)務(wù)報(bào)告過程具有充分控制方面，建立IT的角色文件化IT風(fēng)險(xiǎn)及與財(cái)務(wù)報(bào)告過程相關(guān)的控制定期測(cè)試控制，改進(jìn)重要的不足建立監(jiān)視活動(dòng)，以確保IT控制在特定時(shí)間內(nèi)的效力安全運(yùn)營(yíng)管理安全管理與技術(shù)的發(fā)展體現(xiàn)出以下三個(gè)趨勢(shì)走向規(guī)范標(biāo)準(zhǔn)BS7799/ISO17799/ISO27001ITIL/eTOMCoBITX.805

國(guó)內(nèi)正在制定越來越多的國(guó)家標(biāo)準(zhǔn)和規(guī)范，例如風(fēng)險(xiǎn)評(píng)估規(guī)范、風(fēng)險(xiǎn)管理規(guī)范等集成應(yīng)用安全與系統(tǒng)安全

關(guān)鍵應(yīng)用的身份、授權(quán)與審計(jì)成為企業(yè)內(nèi)控的必備首選完備的職責(zé)分離設(shè)計(jì)(SOD)和權(quán)限管理安全管理系統(tǒng)走向平臺(tái)化、集成化與IT管理集成與應(yīng)用集成深入企業(yè)管理核心流程

收入保障需要安全管理提供的數(shù)據(jù)和業(yè)務(wù)安全保障

SOX符合性需要安全管理提供的“內(nèi)控”業(yè)務(wù)連續(xù)性管理與安全保障密不可分安全作為增值服務(wù)安全成為市場(chǎng)競(jìng)爭(zhēng)力12安全運(yùn)營(yíng)管理安全運(yùn)營(yíng)需要參考

COBIT–ITIL–BS7799等最佳實(shí)踐COBIT重點(diǎn)在于IT控制和IT度量評(píng)價(jià)，但是沒有講如何做，也不專注在安全I(xiàn)TIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付，但是沒有安全和開發(fā)ISO/IEC17799重點(diǎn)在于IT安全控制，但沒有講如何做參照CobiT和ISO17799來進(jìn)行安全健康檢查/審計(jì)，并識(shí)別過程和控制中的脆弱性參照ITIL來提高IT過程和控制，參照ISO17799來提高安全過程和控制參照ITIL來定義技術(shù)參照CobiT來定義“度量”和KPIITIL還可以用來作為架構(gòu)方面的參照架構(gòu)和角色度量過程技術(shù)控制人SOXcomplianceisoneofthebusinessobjectivesofsecurityoperations!13安全運(yùn)營(yíng)管理故障性能配置變更連續(xù)性服務(wù)質(zhì)量服務(wù)臺(tái)IT保障身份認(rèn)證安全域訪問控制漏洞補(bǔ)丁風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)日志審計(jì)安全保障關(guān)鍵業(yè)務(wù)的雙重保障OSS服務(wù)開通資源管理網(wǎng)絡(luò)管理服務(wù)管理存儲(chǔ)備份OA/MSSEAI流程模型數(shù)據(jù)模型業(yè)務(wù)模型BSSCRM數(shù)據(jù)采集計(jì)費(fèi)帳務(wù)綜合結(jié)算經(jīng)營(yíng)分析業(yè)務(wù)關(guān)聯(lián)根源分析管理應(yīng)用數(shù)據(jù)庫操作系統(tǒng)存儲(chǔ)及IT硬件各種網(wǎng)元設(shè)施管理14安全運(yùn)營(yíng)管理內(nèi)容提要安全管理問題與挑戰(zhàn)安全運(yùn)營(yíng)管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營(yíng)與收入保障安全運(yùn)營(yíng)與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT保障體系安全運(yùn)營(yíng)管理體系建議安全運(yùn)營(yíng)組織安全運(yùn)營(yíng)支持層次安全運(yùn)營(yíng)管理流程行動(dòng)建議和路線圖15安全運(yùn)營(yíng)管理安全運(yùn)營(yíng)是IT治理的重要保障環(huán)節(jié)SOX符合性收入保障業(yè)務(wù)戰(zhàn)略計(jì)費(fèi)營(yíng)帳結(jié)算客服經(jīng)營(yíng)分析IT保障變更管理事件管理問題管理配置管理綜合監(jiān)控服務(wù)臺(tái)

應(yīng)用開發(fā)

BOSSBASS質(zhì)量&稽核優(yōu)化支持安全保障數(shù)據(jù)安全系統(tǒng)安全應(yīng)用安全安全運(yùn)營(yíng)IT,網(wǎng)管安全日常運(yùn)營(yíng)安全支撐關(guān)系建立并完善安全運(yùn)營(yíng)管理體系，是提高安全保障能力的重要步驟！其中包含了人員組織、流程服務(wù)以及技術(shù)工具等多方面的建設(shè)要求！規(guī)劃建設(shè)

BOSSBASS應(yīng)用業(yè)務(wù)安全運(yùn)營(yíng)管理層次化的安全運(yùn)營(yíng)支持體系安全運(yùn)營(yíng)管理主要管理流程關(guān)系示意圖安全監(jiān)控網(wǎng)管監(jiān)控類別基礎(chǔ)架構(gòu)系統(tǒng)軟件業(yè)務(wù)配套設(shè)施安全系統(tǒng)安全風(fēng)險(xiǎn)管理安全資產(chǎn)事件性質(zhì)審告故障咨詢業(yè)務(wù)處理維護(hù)作業(yè)其它安全18SecurityOn-Demand【2003年11月】安全是一種服務(wù)(業(yè)務(wù))

Securityisaservice安全與業(yè)務(wù)緊密對(duì)應(yīng)

MapSecuritytobusiness安全像服務(wù)一樣運(yùn)行

RunSecurityasaservice安全“根源分析”

SecurityRoot-causeanalysis安全就緒的IT基礎(chǔ)架構(gòu)

Security-readyITinfrastructure服務(wù)知曉的安全

Service-awaresecurity開放互通集成安全自我管理

Self-managingSecurity互操作與自動(dòng)響應(yīng)

Auto-responseandInteroperability可度量可考核可管理資產(chǎn)風(fēng)險(xiǎn)優(yōu)先級(jí)流程標(biāo)準(zhǔn)化模塊化集成性深層防御面向業(yè)務(wù)智能相關(guān)AlignmentEfficientResponsive安全運(yùn)營(yíng)管理安全服務(wù)是部分安全流程的封裝和抽象安全服務(wù)具有服務(wù)對(duì)象、服務(wù)內(nèi)容、服務(wù)形式、服務(wù)質(zhì)量等屬性。通常，一項(xiàng)安全服務(wù)由跨多個(gè)安全流程的多種安全活動(dòng)來提供。安全服務(wù)面向服務(wù)對(duì)象的體驗(yàn)與質(zhì)量關(guān)鍵指標(biāo)，安全流程則面向?qū)嶋H的安全運(yùn)營(yíng)管理過程與活動(dòng)。安全服務(wù)是相互關(guān)聯(lián)的若干安全流程和活動(dòng)的封裝與客戶展現(xiàn)。安全活動(dòng)安全流程安全服務(wù)安全使命企業(yè)關(guān)鍵業(yè)務(wù)信息系統(tǒng)元素管理層其他IT小組最終用戶面向管控面向服務(wù)安全運(yùn)營(yíng)服務(wù)可以首先考慮試行安全緊急響應(yīng)服務(wù)、安全報(bào)告服務(wù)等，選擇具有明確客戶界面、活動(dòng)較為成熟的部分作為試行、堅(jiān)持逐步推進(jìn)的原則，成熟一塊，推行一塊，考核一塊?！皥?zhí)行力”是其中的關(guān)鍵。20安全運(yùn)營(yíng)管理技術(shù)路線收集整理各個(gè)組織安全相關(guān)的活動(dòng)進(jìn)行業(yè)務(wù)分析納入標(biāo)準(zhǔn)過程，定義安全配置管理庫設(shè)計(jì)原則收集管理層賦予安全工作的使命和業(yè)務(wù)部門的要求進(jìn)行業(yè)務(wù)分析標(biāo)準(zhǔn)化安全服務(wù)目錄11’安全過程安全服務(wù)臺(tái)安全應(yīng)急響應(yīng)管理安全配置管理安全變更管理安全問題管理安全預(yù)警管理安全風(fēng)險(xiǎn)管理安全審計(jì)管理……安全服務(wù)安全事件響應(yīng)帳號(hào)與口令補(bǔ)丁管理安全審計(jì)安全培訓(xùn)安全報(bào)告……22’3實(shí)現(xiàn)指導(dǎo)安全過程的設(shè)計(jì)需要緊密結(jié)合既定過程和流程，緊密融合，尤其是服務(wù)臺(tái)和事件管理安全配置管理重點(diǎn)考慮各種安全設(shè)備的安全特有屬性安全服務(wù)設(shè)計(jì)的原則是在保障“安全管控”效果的同時(shí)，為安全工作的各個(gè)“客戶”提供良好的界面安全服務(wù)和過程需要相應(yīng)的技術(shù)手段來支撐實(shí)現(xiàn)21安全運(yùn)營(yíng)管理內(nèi)容提要安全管理問題與挑戰(zhàn)安全運(yùn)營(yíng)管理戰(zhàn)略業(yè)務(wù)發(fā)展的要求安全運(yùn)營(yíng)與收入保障安全運(yùn)營(yíng)與薩班斯法案符合性標(biāo)準(zhǔn)和最佳實(shí)踐IT保障體系安全運(yùn)營(yíng)管理體系建議安全運(yùn)營(yíng)組織安全運(yùn)營(yíng)支持層次安全運(yùn)營(yíng)管理流程行動(dòng)建議和路線圖22安全運(yùn)營(yíng)管理安全管理與IT管理的交替融合身份管理應(yīng)用和數(shù)據(jù)安全安全域劃分和邊界整合安全集中監(jiān)控IP網(wǎng)管理(3G/NGN的IP核心)VoIP管理MPLSVPN管理資產(chǎn)管理和軟件分發(fā)日志審計(jì)ITILServieDesk流程整合－服務(wù)管理反病毒Network&SystemFaultManagement故障管理Network&SystemPerf.Management性能管理主機(jī)訪問控制網(wǎng)絡(luò)流量分析IT綜合網(wǎng)管－監(jiān)控IT網(wǎng)管與安全集成3G/NGN/IMS綜合安全保障IT管理安全管理相互依賴IT服務(wù)管理之服務(wù)提供安全運(yùn)營(yíng)管理安全運(yùn)營(yíng)管理中心的建設(shè)SOC安全運(yùn)營(yíng)管理中心安全系統(tǒng)元素變更與發(fā)布事件管理安全主管和管理員IT系統(tǒng)管理員/兼職安全管理配置信息內(nèi)部活動(dòng)：策略與審計(jì)漏洞與補(bǔ)丁事件分析帳號(hào)口令情報(bào)、教育活動(dòng)延伸：維護(hù)監(jiān)視記錄…安全運(yùn)營(yíng)管理安全運(yùn)營(yíng)建設(shè)進(jìn)階數(shù)據(jù)信息知識(shí)行動(dòng)關(guān)注－收集層次化布署平臺(tái)應(yīng)用覆蓋性能可靠性保存開放性關(guān)注－過濾過濾機(jī)制合并機(jī)制靈活性實(shí)施能力智能性開放性關(guān)注－相關(guān)相關(guān)規(guī)則挖掘?qū)嵤┠芰χ悄苄蚤_放性關(guān)注－流程管理成熟度人

流程

技術(shù)專家知識(shí)實(shí)施能力靈活性開放性錯(cuò)誤或者失衡的資源分配和投資比例錯(cuò)誤的架構(gòu)、不匹配的組織認(rèn)為SOC的建設(shè)主要是產(chǎn)品安裝，對(duì)建設(shè)中項(xiàng)目風(fēng)險(xiǎn)認(rèn)識(shí)不足設(shè)計(jì)建設(shè)SOC時(shí)沒有考慮IT基礎(chǔ)設(shè)施的特點(diǎn)定義了不適當(dāng)?shù)捻?xiàng)目目標(biāo)集成商和原廠家的技術(shù)支持力度不夠?qū)x擇SOC產(chǎn)品的可擴(kuò)展性、健壯性、性能沒有透徹的了解沒有設(shè)計(jì)好相應(yīng)的管理和應(yīng)急流程認(rèn)為SOC建設(shè)完、驗(yàn)收結(jié)束就大功告成安全運(yùn)營(yíng)管理Symantec助力安全運(yùn)營(yíng)管理“Operate”istheresultofabrainstormingsessionbetweenSymantec&EmaginedSecurityandisnotofficial.標(biāo)準(zhǔn)Create/SelectstandardAssesscontrolsDetectdeviationsRemediatedeficiencies權(quán)限GathereffectivepermissionsTranslatepermissionsintohumanreadableformatRouteentitlementstodataownerforreview&approval責(zé)任Assessnon-programmaticallyassessablecontrolsReportwithriskweightedmodelCentralizeviewofproceduralcontrols策略Define/manage

writtenpoliciesDistributepolicies&

trackexceptionsDemonstratecoverageDisplayevidenceNISTPCICobitSOXISOGLBAFISMAMalware

PolicyEndpoint

PolicyData

Protection

Policy26安全運(yùn)營(yíng)管理采用基準(zhǔn)風(fēng)險(xiǎn)分析查看結(jié)果調(diào)度策略運(yùn)行時(shí)間定制模塊添加模塊創(chuàng)建策略安全運(yùn)營(yíng)管理策略一致性管理策略管理需求如何確保企業(yè)符合諸如Sarbanes–Oxley法案的要求？如何監(jiān)控和審查IT系統(tǒng)中安全策略的執(zhí)行情況？如何將口頭或紙面的策略要求落到IT系統(tǒng)的配置上？如何通過提升下列的能力來改善我們的SLA：弱點(diǎn)響應(yīng)補(bǔ)丁管理歸檔策略電子郵件策略遵從性報(bào)告配置審核安全運(yùn)營(yíng)管理企業(yè)安全策略與標(biāo)準(zhǔn)的管理跟蹤取證試點(diǎn)分發(fā)編寫29安全運(yùn)營(yíng)管理技術(shù)標(biāo)準(zhǔn)管理糾正

違規(guī)檢測(cè)訪問控制選擇與建立IncludesTechnicalStandardsFromCIS,NSA…CoversWindows,UNIX,Linux,