運營型企業(yè)如何提升IT安全管理能力ppt課件.ppt

1、運營型企業(yè)如何提升IT安全管理能力,作者：Tony Email： (歡迎同行們和我聯(lián)系）,企業(yè)四種信息安全管理模式,安全管理能力提升目標,2,關鍵安全能力項,業(yè)務連續(xù)性保障 訪問控制和安全審計 安全事件處理和應急響應 等保三級評估 安全運維KPI量化考核,4,1,具備流程化管理能力； 安全策略、安全制度和流程文檔化，并具有可實施性； 初步建立一個賬號管理、認證管理、授權管理、審計管理的綜合技術平臺，在一定程度上提高安全管理的自動化程度。,信息化系統(tǒng)具備通過等保三級測評的安全狀態(tài),內部組織和人員安全 資產管理和物理安全 訪問控制 通訊保障和運營維護 業(yè)務連續(xù)性要求 ,架構的完整性 從管理和技術上

2、實現(xiàn)架構的完整規(guī)劃和建設。 安全風險的控制和預防 對安全風險實施有效的管理。 安全運維管理納入公司的管理系統(tǒng) 建立安全運維工單管理系統(tǒng)，并和公司的工單管理系統(tǒng)實現(xiàn)操作集成和共享； 建立安全運維管理的KPI系統(tǒng)，并納入公司的考核體系。 安全管理體系架構有較強的自適應能力 應對可能的安全新變化； 對新上線業(yè)務系統(tǒng)的安全運維實現(xiàn)快速支持。,安全管理規(guī)劃階段成果,2,初步建立ISMS體系,建立一個完善的安全體系架構,3,通過等保三級評測,第一階段預期成果,第二階段預期成果,3,信息安全體系整體視圖,安全策略管理 工程安全管理 安全信息管理 變更管理 日常運作管理,主機系統(tǒng)安全管理 補丁升級管理 網絡服

3、務安全管理辦法 網絡安全審計,業(yè)務系統(tǒng)安全管理 OA系統(tǒng)安全管理 日常安全維護管理 交易數據安全管理,計算機病毒預防管理 設備變更管理 日常安全維護管理,網絡設備安全管理 網絡設備升級管理 設備變更管理 日常安全維護管理 防火墻安全管理 IDS/IPS設備管理,數據庫安全管理,日常安全維護管理 配置備份與恢復管理 遠程接入維護安全管理 第三方網絡接入安全,網絡層,主機層,應用層,數據庫層,機房安全管理 辦公區(qū)安全管理 機房環(huán)境要求,需求分析管理 開發(fā)管理 測試管理 入網管理,變更管理 項目管理,SOX 等級保護,應用開發(fā)設計,物理環(huán)境,運營維護,應急響應流程 應急預案 應急演練 重大安全事件的

4、處理機制,災備管理 數據備份及恢復管理 容量規(guī)劃 自我測評及第三方評估,業(yè)務可持續(xù)性保障,符合性,認證 授權,訪問控制,帳號管理 審計,建議在此框架下建立安全管理體系！,4,ISMS的文檔結構表之一,5,ISMS的文檔結構表之二,6,ISMS的建立過程,7,安全管理文檔層次結構,第一層：策略和方針。（policy 業(yè)務系統(tǒng)的帳號多人共用，發(fā)生安全事故難于確定帳號的實際使用者; 帳號分散管理.,用戶經常需要在各個系統(tǒng)之間切換，每次切換都需要輸入用戶名和密碼進行登錄，影響了工作效率。,各業(yè)務系統(tǒng)分別管理所屬的系統(tǒng)資源和應用資源，缺乏集中統(tǒng)一的資源授權管理平臺，無法按照最小權限原則分配權限。,缺少嚴

5、格的認證手段； 無法對自然人進行統(tǒng)一認證.,當前維護工作現(xiàn)狀分析,24,建設原則,25,統(tǒng)一用戶接入控制,以統(tǒng)一接入網關作為用戶登錄各應用資源、系統(tǒng)資源的統(tǒng)一入口，集中控制用戶訪問的系統(tǒng)，實現(xiàn)用戶登錄門戶的強認證 集中控制內部維護人員和外部代維人員訪問IT資源，避免維護人員使用不安全的終端直接訪問系統(tǒng) 根據操作行為進行敏感度分集，通過文本和視頻、日志方式完整記錄內部維護人員和廠家代維人員的訪問及操作行為，為日志審計提供原始資料 輸出薩班斯審計需要的各類報表，輸出報表能按照具體需求定制,授權管理,實現(xiàn)系統(tǒng)資源和應用資源實體級的權限控制和管理，基于集中安全管控策略的實體級訪問控制和鑒權 實現(xiàn)本省系

6、統(tǒng)資源和應用資源的自動采集或手動管理 對本省所有系統(tǒng)資源、應用資源，支持角色定義，支持基于角色的授權 實體內的權限控制和管理,帳號口令集中管理,在統(tǒng)一用戶管理系統(tǒng)基礎上，實現(xiàn)各IT資源帳號的集中管理，實現(xiàn)各系統(tǒng)和應用帳號自動采集，實現(xiàn)對各系統(tǒng)資源和應用資源中的帳號進行創(chuàng)建、分配、同步 實現(xiàn)各分公司統(tǒng)一用戶目錄中用戶身份信息的規(guī)范化。 將資源帳號和主帳號進行主從帳號關聯(lián)，實現(xiàn)操作對應到人，建立用戶主帳號、從帳號關聯(lián)關系的視圖 強制口令修改，防范弱口令引發(fā)的安全事件 輸出薩班斯審計需要的各類報表，根據本省具體需求定制,日志集中管理與審計,支持系統(tǒng)、訪問日志的收集和統(tǒng)一的日志格式標準化 能將從系統(tǒng)側

7、采集的日志和在統(tǒng)一用戶接入點形成的文本或視頻日志關聯(lián) 實現(xiàn)將日志信息關聯(lián)到用戶主帳號（自然人），能對自然人的登錄過程、關鍵操作行為進行審計 快速檢索原始日志，支持安全事件事后責任調查 根據預先定義規(guī)則發(fā)現(xiàn)高危操作，及時告警 能夠審計發(fā)現(xiàn)繞開4A系統(tǒng)直接登錄被維護對象的行為 輸出薩班斯審計報表，輸出報表可根據具體需求定制,安全訪問控制與審計建設要求,26,訪問控制和審計-過程和成果,人員角色管理 資源賬號整理,組織架構 人員角色和職責描述 自然人賬號(主賬號)的規(guī)劃 系統(tǒng)資源的操作權限規(guī)劃 資源賬號(從賬號)的整理 第三方廠商賬號規(guī)劃,安全策略,技術平臺建設,4A管理,過程,內容,成果,1.組織

8、及人員安全管理規(guī)范 2.第三方組織及人員安全管理規(guī)范 3.資源賬號管理辦法,賬號策略 認證策略 授權策略 審計策略,1.用戶角色管理規(guī)范 2. 賬號口令管理規(guī)范 3.訪問權限管理規(guī)范 4.系統(tǒng)安全審計管理規(guī)范,1.運維統(tǒng)一接入控制平臺,1.4A平臺的維護管理辦法,3A系統(tǒng)，實現(xiàn)賬號、授權、認證的集中管理 審計系統(tǒng)，實現(xiàn)對自然人的行為和IT操作行為的審計和關聯(lián)分析 ,定期的策略更新和維護 定期的日志分析和審閱 ,ISMS相關域的管理文檔 + 技術平臺,27,2 管理成果,28,2 技術成果,成熟的技術平臺，采用“物理旁路接入，邏輯串聯(lián)接入”的部署方式 實現(xiàn)： 集中管理用戶、認證授權、審計策略；

9、運維操作的單點登錄； 集中管理所有主機、網絡設備的資源賬號； 對所有的維護操作進行記錄和審計； ,二、業(yè)務級訪問控制和審計,30,審計細則,流程,實體,進程,文件庫表,賬號權限,外部接口,敏感,資金,操作,賬號資金、積分、酬金、卡資源等,2,3,3,1,客戶資料、用戶信息、客戶服務信息等,業(yè)務系統(tǒng)的安全審計,對應用系統(tǒng)的要求：業(yè)務系統(tǒng)盡可能詳細的輸出日志信息，并通過特定標識關聯(lián)業(yè)務交易的全過程。,31,確認審計對象,資金信息,敏感信息,數據庫表及文件,進程,外部接口,賬號權限,操作,訪問、操作,承載,交換,確定審計對象,確定審計類別,確定審計內容,業(yè)務系統(tǒng)的安全審計-確定審計對象,32,2.確

10、認審計類別,配置文件的修改,帳號權限,敏感信息庫表的修改,外部接口,訪問控制,進程狀態(tài),賬號合規(guī)性,1.確認審計對象,資金信息,敏感信息,確定審計對象,確定審計類別,確定審計內容,業(yè)務系統(tǒng)的安全審計-確定審計類別,33,2.確認審計類別,配置文件的修改,帳號權限,敏感信息庫表的修改,3.確認審計內容,類別,業(yè)務描述,審計細則,級別,響應方式,數據來源,外部接口,訪問控制,進程狀態(tài),賬號合規(guī)性,1.確認審計對象,資金信息,敏感信息,審計周期,確定審計對象,確定審計類別,確定審計內容,業(yè)務系統(tǒng)的安全審計-確定審計內容,34,訪問控制審計細則-示例,35,安全事件應急預案,從執(zhí)行來看，應急預案中應包

11、括以下內容： 安全事件分類定級：根據分類分級標準，對安全事件進行分類定級； 響應方式：根據事件等級，選擇響應方式； 應急人員組成：根據事件等級，臨時成立應急領導和技術小組； 啟動響應流程：啟動相應的應急響應流程，； 事后處理：例如事件記錄，預案調整等。,從管理來看，應急預案中應包括以下內容： 安全事件分類定級標準 應急預案管理：包括基本原則、啟動條件、人員/設備/技術保障措施等； 演練及維護機制 通用應急預案 專項應急預案：針對頻繁發(fā)生的、影響重大的、破壞嚴重的安全事件，制定專項預案。,安全事件應急預案,從流程來看，應急預案包括以下主要流程： 安全事件上報流程：根據不同的安全事件來源制定流程；

12、 安全事件處理流程：根據不同的安全事件制定流程； 修復流程：制定修復方案并進行系統(tǒng)加固，或者加強安全管理制度建設等。,等級的建立過程,40,等保和ISMS的過程對應關系,41,等保三級評估表格,42,續(xù) ,43,續(xù) ,44,續(xù) ,45,續(xù) ,46,KPI指標分類,依據關注的角度不同，安全運維管理考核指標大致可以分為3類： 實施類考核指標：用于度量安全策略的實施情況，主要考核事前安全工作。 效能類考核指標：用于度量安全服務的工作結果和效率，主要考核事中安全工作。 影響類考核指標：用于度量安全事件對業(yè)務的影響，主要考核事后安全工作。,48,KPI考核的相關人員角色,與安全運維管理考核指標相關的人員角色包括： *：為信息安全考核計劃提供高層支持和監(jiān)督。 *：為信息安全考核計劃提供支持，協(xié)調有關工作。 安全管理員：開發(fā)信息安全考核計劃、策略和方法；定期審查安全指標的結果和分析報告；確保安全策略的執(zhí)行，并對執(zhí)行結果的考核指標負責。 系統(tǒng)/網絡管理員：為安全指標的制定和數據采集提供支持。 監(jiān)控人員：負責信息安全日常工作，收集數據和計算安全指標。,49,KPI成功的相關要素,信息安全指標計劃的成功要素，有以下3點： 組織設計和人員責任：與信息安全相關的干系人，都應當參與信息安全指標的開發(fā)和實施